The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

27.04.2017 22:29  Система защищённых коммуникаций Nomx оказалась примером халатного отношения к безопасности

Исследователь Скот Хельме при поддержке издания BBC (Scott Helme) провёл тестирование устройства nomx, позиционируемого как реализация наиболее защищённого коммуникационного протокола ("The world’s most secure communications protocol. Everything else is insecure."). На деле, nomx оказался примером наплевательского отношения к безопасности, граничащим с жульничеством.

Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для крупных корпоративных сетей доходит до 10 тысяч долларов. Первое, что вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата Raspberry Pi за 35 долларов, SD-карта и пара светодиодов.

Не меньшее удивление вызвала программная начинка - на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно устаревшими версиями пакетов, например сам дистрибутив обновлён 7 мая 2015 года, nginx и Dovecot от 2012 года, PHP от 2015 года, OpenSSL и MySQL от 2016 года. При этом в системе не был предусмотрен механизм установки обновлений.

Web-интерфейс (на базе PostfixAdmin) открывался по HTTP, не был защищён от CSRF-атак и содержал аккаунт, позволяющий войти с правами администратора введя логин "admin@example.com" и пароль "password". Упоминаемый в рекламе безопасный коммуникационный протокол nomx оказался обычным SMTP-сервером, не использующим MX-записи в DNS, с самоподписанным сертификатом, без настройки SPF, DKIM и DMARC, и с привязкой к API регистратора доменов GoDaddy.

Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован (исследователь опубликовал эксплоит и подробно описал технику CSRF-атаки, которую может повторить любой желающий, как и изучить состав прошивки). По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.

  1. Главная ссылка к новости (https://scotthelme.co.uk/nomx-...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, commiethebeastie (ok), 22:55, 27/04/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +34 +/
    По моему опыту безопасники всегда являлись основным источником дыр. Создают сейфы с целлофановыми стенами. Знают кучу бесполезных слов, но абсолютно не понимают как работает "защищаемый" объект. Гнать их надо отовсюду с волчьим билетом.
     
     
  • 2.19, Аноним (-), 05:42, 28/04/2017 [^] [ответить]     [к модератору]
  • +/
    Это отчасти так Такие безопасники совсем бесполезны Но эксперты занимающиеся... весь текст скрыт [показать]
     
     
  • 3.24, Харли (ok), 07:09, 28/04/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    Гы Ну зато в ОБ одного ну очень известного и принадлежащего нуоченьправославным... весь текст скрыт [показать]
     
     
  • 4.50, YetAnotherOnanym (ok), 13:45, 28/04/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    А когда-то кактус к монитору ставили...
     
     
  • 5.72, Аноним (-), 16:29, 28/04/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    Кактус — к монитору, от излучения; Эдмундыча — к роутеру, от хакиров.
     
  • 4.81, krijich (ok), 11:54, 29/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >на столе у тамошнего черта стоит бюстик Дзержинского. Какой хттпс еще?

    А как Феликс Эдмундович  влияет на хттпс? Или это твоя личная неприязнь и какое-то суждение на этой основе?

     
  • 3.29, commiethebeastie (ok), 09:33, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Вот этих имею в виду: "сертифицированный специалист по б.". "начальник службы безопасности" это простой начальник охраны.
     
  • 3.65, commiethebeastie (ok), 15:33, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    >Кстати, кто подскажет, есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников?

    Есть, но для этого надо знать как работает предмет.

     
  • 3.80, agent_007 (ok), 00:49, 29/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Просто спросить как правильно защищать систему мгновенных сообщений, например А... весь текст скрыт [показать]
     
  • 1.2, Аноним (-), 22:56, 27/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +25 +/
    Чем больше кричат в рекламе о супербезопасности продукта, тем больше вероятность, что это дырявая поделка и все деньги потратили на рекламу, а не на разработчиков.
    Антивирусное ПО тому хороший пример.
     
     
  • 2.20, Аноним (-), 05:43, 28/04/2017 [^] [ответить]    [к модератору]  
  • +5 +/

    > Telegram тому хороший пример.

    fixed


     
     
  • 3.21, Аноним (-), 06:22, 28/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    что вас в Telegram  то не устроили? Централизация?
     
     
  • 4.83, Аноним (-), 13:45, 29/04/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Удаление ветки заставляет задуматься...
     
  • 1.3, Аноним (-), 23:00, 27/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +21 +/
    У ей внутре неонка.
     
  • 1.4, Аноним (-), 23:02, 27/04/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +5 +/
    Ещё бы, Raspberry Pi за 35 дорого и не потянет по производительности, поэтому в... весь текст скрыт [показать]
     
     
  • 2.28, Аноним (-), 09:16, 28/04/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Ещё бы, Raspberry Pi за $35 дорого и не потянет по производительности,
    > поэтому в серию поставили китайский Orange Pi PC 2 за 20
    > долларов.

    которая ВНЕЗАПНО еще медленней

     
     
  • 3.32, ak (??), 10:14, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    сказочник
     
  • 3.34, кэп (?), 10:18, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    С какого перепугу оно медленней? Оно заметно шустрее, особенно сетевуха.
    Единственная проблема с оранджами - борьба с перегревом. Лечится радиатором побольше и термоклеем получше.
     
     
  • 4.40, ak (??), 10:51, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    не единственная некоторые питают плату маломощными адаптерами результат непредс... весь текст скрыт [показать]
     
  • 1.5, Sabakwaka (ok), 23:11, 27/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    >> По моему опыту безопасники всегда являлись основным источником дыр...

    nomx — не безопасники, а болгены.

     
  • 1.6, Аноним (-), 23:17, 27/04/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    Про создателя nomx написано W L Donaldson is a cybersecurity expert , но в ... весь текст скрыт [показать]
     
  • 1.7, Аноним (-), 23:53, 27/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –6 +/
    А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами и рекламой.
    Подобных разоблачений был миллион, что бизнесу многих компаний не сильно помешало.
     
     
  • 2.37, Аноним (-), 10:28, 28/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    имеющий уши да услышит откровения Сноудена тоже не сильно как-то людей вразум... весь текст скрыт [показать]
     
  • 2.45, Аноним (-), 12:46, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > анонимуса

    Это нас, анонимусов, слушать не будут. А Скотт, хоть шарашкина контора и называет его "блогером", довольно известный чувак.

     
  • 2.53, YetAnotherOnanym (ok), 13:57, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Во-первых, таки не анонимус, а во-вторых, за спиной мистера Хельме стоит Британс... весь текст скрыт [показать]
     
  • 1.8, Аноним (-), 23:55, 27/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Из статьи непонятно, что же делает это уберустройство.
     
     
  • 2.10, Аноним (-), 00:19, 28/04/2017 [^] [ответить]    [к модератору]  
  • +26 +/
    оно делает их богаче.
     
  • 2.74, Sabakwaka (ok), 16:55, 28/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Это SMTP сервер, сконфигурированный без DNS и без MX записей Все данные статиче... весь текст скрыт [показать]
     
     
  • 3.78, Аноним (-), 18:21, 28/04/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Невнимательно читал Во-первых, API GoDaddy используется в качестве замены DDNS,... весь текст скрыт [показать]
     
     
  • 4.86, Sabakwaka (ok), 18:46, 29/04/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Да ну Да ну Понял, ты пользователь nomx, у тебя восемь боксов, теб... весь текст скрыт [показать]
     
     
  • 5.87, Аноним (-), 23:01, 29/04/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Чего разданукался? Пойди по ссылкам и почитай. А если инглиш не понимаешь, то хотя бы не пытайся умничать.
     
  • 1.9, Noteme (?), 00:12, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ничего удивительного. У нас делают точно также. В буклетах и на сайте чего только не понаписано, а внутри - софт мало того что дырявый, да еще и ворованный.
     
     
  • 2.11, Crazy Alex (ok), 00:44, 28/04/2017 [^] [ответить]    [к модератору]  
  • +7 +/
    Ну, мошенников везде хватает. Но какова наглость... Аж завидно слегка, я б так не рискнул
     
     
  • 3.12, Аноним84701 (ok), 01:04, 28/04/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Помню, лет десять назад шустро впаривали шифровальные адаптеры для хардов В ... весь текст скрыт [показать]
     
  • 2.43, тоже Аноним (ok), 12:13, 28/04/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    Вот неправда ваша У нас так не делают У нас делают программно-аппаратный компл... весь текст скрыт [показать]
     
  • 1.13, all_glory_to_the_hypnotoad (ok), 01:12, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –6 +/
    > PHP от 2015 года, ... MySQL от 2016 года.

    Какая разнрица от какого они года, эта смесь дерьма в принципе не может иметь ничего общего с безопасностью.

     
     
  • 2.14, Ilya Indigo (ok), 02:11, 28/04/2017 [^] [ответить]    [к модератору]  
  • –4 +/
    Обоснуйте Ваш выс... казывание!
    А также напомните, какие за 2 года уязвимости, связанные с безопасностью были обнаружены в PHP?
     
     
  • 3.16, Аноним (-), 03:03, 28/04/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Из недавнего http blog checkpoint com 2016 12 27 check-point-discovers-three-z... весь текст скрыт [показать]
     
     
  • 4.23, A.Stahl (ok), 07:07, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    >PHP это не erlang.

    А в Форте секьюрити дыр не находили уже лет 20. Да на том же РНР в месяц пишется больше, чем было написано на Эрланге за всё время его существования.

     
     
  • 5.25, Харли (ok), 07:19, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Тут дело то не в собственно кривости гаечного ключа, а в генетической бестолково... весь текст скрыт [показать]
     
     
  • 6.27, anomymous (?), 07:58, 28/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Хипстеры, эксклюзивность, Nomx, вот это всё.
    А на "ключе" просто пишут.
     
  • 6.38, Аноним (-), 10:29, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    а толк в том, что обуви на всех хватало ... весь текст скрыт [показать]
     
     
  • 7.42, Харли (ok), 11:44, 28/04/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    не обуви, а гуана. собственно о чем и речь
     
     
  • 8.47, Аноним (-), 13:00, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > не обуви, а гуана. собственно о чем и речь

    Посмотрел бы я на мусью в туфельках после дождичка за городом.


     
     
  • 9.63, Crazy Alex (ok), 15:23, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Суть не в том А в том, что хорошие туфельки купить проблематично было даже если... весь текст скрыт [показать]
     
     
  • 10.69, Аноним (-), 15:44, 28/04/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    в Приэльбрусьи?


     
  • 5.61, Аноним (-), 15:18, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > на том же РНР в месяц пишется больше, чем было написано на Эрланге за всё время его существования

    Что это говорит о качествах языка?

     
  • 3.54, YetAnotherOnanym (ok), 14:15, 28/04/2017 [^] [ответить]     [к модератору]  
  • +/
    Выберите сами, какие Вам больше по вкусу http cve mitre org cgi-bin cvekey cg... весь текст скрыт [показать]
     
     
  • 4.85, Аноним (-), 16:52, 29/04/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Вы сами-то по своим ссылкам  читали? Где там уязвимости _языка_?
     
  • 3.84, all_glory_to_the_hypnotoad (ok), 16:49, 29/04/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    нифгасе ты нaдрoчил минусов Первая проблема пыха это слишком большое кол-во ос... весь текст скрыт [показать]
     
     ....нить скрыта, показать (14)

  • 1.15, Аноним (-), 02:24, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Скот еще случайно набрел на postfixadmin, правда он похоже сам того не понял.
     
  • 1.17, Аноним (-), 03:42, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Да что же это за хрень такая?
     
  • 1.18, Дог (?), 04:27, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Сейчас это называется не мошенничество, а маркетинг.
     
     
  • 2.22, Аноним (-), 06:27, 28/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Сейчас это называется не мошенничество, а маркетинг.

    Оно всегда называлось маркетинг.

     
  • 2.31, хрю (?), 09:54, 28/04/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последних нескольких десятилетий.
     
     
  • 3.39, Аноним (-), 10:31, 28/04/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последних
    > нескольких десятилетий.

    издержки капиталистического подхода, увы

     
     
     
     
    Часть нити удалена модератором

  • 6.70, Аноним (-), 15:48, 28/04/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    "Единая Россия" не оглашает свои тарифы. Но понятно же, что на выборах любого уровня "излишки коммуняк" сразу же поступают в избирательные закрома ЕР.


     
  • 4.51, Аноним (-), 13:46, 28/04/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Северная Корея - наше будущее! Но сначала переходный демократический период турецкого образца.
     
  • 3.41, Аноним Аналитег (?), 10:56, 28/04/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Вспомнилось интервью одного из производителей шоколадок, на вопрос стоит ли жда... весь текст скрыт [показать]
     
     
  • 4.57, anonymous. (?), 15:07, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Причем это практикуется давно..
     
  • 1.44, Аноним (-), 12:32, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Это устройство работает на свободном ПО!
     
  • 1.46, ALex_hha (ok), 12:58, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован

    но видать умалчивают тот факт, что тесты проводились специалистами по безопасности их фирмы. Тогда понятно, почему не было найдено ни одной проблемы.

     
  • 1.49, Аноним (-), 13:25, 28/04/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    да это же прям как казённая сертификация непотребного хлама за деньги... весь текст скрыт [показать]
     
     
  • 2.62, Аноним (-), 15:22, 28/04/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > да это же прям как казённая сертификация непотребного хлама за деньги

    ...только без сертификата и денег. Зачем тратиться, если можно просто сказать, что всё секюрно?

     
  • 1.52, Аноним (-), 13:55, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Так у нас давно уже. https://www.rutoken.ru/images/content/rutoken_vpn_max.png только vpn обещают. Ага, с ethernet на usb шине, быстро будет работать.
     
     
  • 2.68, Аноним (-), 15:37, 28/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Так у нас давно уже. https://www.rutoken.ru/images/content/rutoken_vpn_max.png только
    > vpn обещают. Ага, с ethernet на usb шине, быстро будет работать.

    Ну у этих хоть корпус нормальный.

     
  • 1.55, ALex_hha (ok), 14:39, 28/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кстати на сайте nomx, они полностью опровергают заявление о дырявости. Факты в свою защиту особо доставляют

    Security Testing of a Rooted nomx Device:

    The BBC provided the nomx devices for testing to a UK-based blogger who physically disassembled and rooted one of the nomx devices. Rooting was done, in his words, by disassembling the nomx case, physically removing memory card from the Raspberry and inserting it into his PC, and then resetting the root password. That is not an action a typical user would do, nor is it routine for a nomx device

    "That is not an action a typical user would do, nor is it routine for a nomx device" а как будет действовать типичный пользователь? Или под типичным пользователем они подразумевают блондинку? :facepalm:

    И это заявляет человек, который на сайте написал о себе

    About our founder
    W.L. Donaldson is a cybersecurity expert, entrepreneur and multi-patented inventor.

    Или я что то не понимаю или лыжи не едут :D

     
     
  • 2.89, Kuromi (?), 15:27, 30/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Первые читалки Nook first edition к удивлению любопытных юзеров вместо встроен... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor