لا يبخل
مبدعو جهاز
Nomx المحمول
مقابل 200 دولار على الألقاب. يعلنون "بروتوكول الاتصال الأكثر أمانا في العالم." من المفترض أن توفر الأداة "الخصوصية المطلقة للرسائل الشخصية والتجارية". يلعب التجار بنجاح على مخاوف المستخدمين من اختراق خدمات البريد السحابي ، لأنه
لم يقم أي مزود بريد رئيسي
واحد دون حدوث تسرب كبير للحساب في السنوات الأخيرة. يتم اختراقهم باستمرار باستمرار. من المهم جدًا للعديد من المستخدمين ضمان أمان البريد الشخصي - وهم ينظرون إلى خادم البريد المنزلي من Nomx. "عدد حسابات Gmail التي تم اختراقها في الولايات المتحدة الأمريكية (منذ 2014): من
5 ملايين إلى
24 مليونًا . عدد الحسابات المخترقة على الخدمات السحابية الأخرى في 2016:
272 مليون عدد حسابات Yahoo (بما في ذلك البريد) التي تم اختراقها في 2013-2016:
أكثر من مليار . عدد حسابات Nomx التي تم اختراقها منذ إصدار الجهاز: 0 ".
هذا هو الإعلان. يمكن لرجال الأعمال الآن استبدال صفر في هذا الإعلان بأمان بوحدة أو علامة لا متناهية. في الواقع ، اتضح أن أمن خادم البريد ، بعبارة ملطفة ، كان مبالغًا فيه. أي أنه لا توجد حماية عمليا.
كان أخصائي الأمن سكوت هيلمي أحد أولئك الذين تمت دعوتهم لتحليل نظام أمان نومكس في البرنامج التلفزيوني
بي بي سي كليك . خصصت الشركة نسختين من الجهاز المعلن عنه لهذا البرنامج على أمل الحصول على علاقات عامة مجانية. لكنها لم تنجح.
قال سكوت هيلم أن "بروتوكول الاتصال الأكثر أمانًا في العالم" هو في الواقع حفرة صلبة.
أظهر فتح "الصندوق" أنه نصف فارغ. يوجد في زاوية الصندوق الكبير لوحة Raspberry Pi تساوي عدة عشرات من الدولارات.
بالطبع ، يمكنك بسهولة الحصول على بطاقة الفلاش من Raspberry Pi - وعمل نسخة من صندوق البريد. من الغريب أن نظام Raspbian لديه إعدادات افتراضية ، كما أن تغيير كلمة مرور الجذر ليس صعبًا أيضًا.
النهج العام للمطورين للأمن ينذر بالخطر: يتم تثبيت البرامج القديمة في النظام:
- Raspbian GNU / Linux 7 (wheezy) - آخر تحديث 7 مايو 2015
- nginx: nginx / 1.2.1 - تم إصداره في 5 حزيران (يونيو) 2012
- PHP 5.4.45-0 + deb7u5 - تم إصداره في 3 سبتمبر 2015
- OpenSSL 1.0.1t بتاريخ 3 مايو 2016
- Dovecot 2.1.7 بتاريخ 29 مايو 2012
- Postfix 2.9.6 بتاريخ 4 فبراير 2013
- MySQL Ver 14.14 Distrib 5.5.52 بتاريخ 6 سبتمبر 2016
هذا غريب جدًا ، لأنه يجب أن يكون الجهاز قد تم تجميعه مؤخرًا نسبيًا.
اكتشف سكوت هيلم بعد ذلك عددًا من الثغرات الأمنية في تطبيق ويب Nomx.
يتم فك تشفير تجزئة كلمة المرور الرئيسية (كلمة مرور الإعداد) بسهولة ، والحد الأدنى لطول كلمة المرور في الجهاز هو 5 أحرف ، لذلك كان قادرًا على تحديد كلمة المرور الرئيسية بسهولة.
لسبب ما ، يدعم الجهاز فقط تثبيت خادم بريد على نطاق جديد إذا تم شراؤه من مسجل GoDaddy.
كلما فهم أخصائي هذا الجهاز أكثر ، بدا وكأنه نوع من المزيف. على سبيل المثال ، عند إنشاء "مصافحة" واتصال مباشر بين خادمي Nomx ،
لم يتم تسجيل
أي حركة مرور على الإطلاق في الشبكة.
كشف اختبار تطبيق ويب Nomx عن العديد من نقاط الضعف XSS و CSRF. يمكن للمهاجم إنشاء صناديق البريد وحذفها بسهولة وإضافة المجالات والقيام بأي شيء تقريبًا على خادم بريد الضحية.
يتم إنشاء صندوق بريد جديد بهذا الطلب:
POST http://192.168.1.102/create-mailbox.php?domain=testingnomxsecurity.com HTTP/1.1 Host: 192.168.1.102 Cookie: PHPSESSID=39r4bb36385te1seds0dgtpt87 Content-Type: application/x-www-form-urlencoded Content-Length: 127 fUsername=csrf&fDomain=testingnomxsecurity.com&fPassword=csrf&fPassword2=csrf&fName=csrf&fActive=on&fMail=on&submit=Add+Mailbox
بالإضافة إلى ذلك ، تم العثور على حساب مسؤول تابع لجهة خارجية على الجهاز الذي لم يقم سكوت بإنشائه ، وحتى باستخدام كلمة
password كلمة
password . هذا الحساب يعطي السيطرة الكاملة على الجهاز. علاوة على ذلك ، باستخدام CSRF من خلال تطبيق ويب ، يمكنك إنشاء حساب المشرف الخاص بك على الخادم.
يخلص سكوت هيلم إلى أنه يجب اعتبار إعلانات Nomx والجهاز نفسه
احتيالًا . لا يوفر هذا "الصندوق" الموجود في Raspberry Pi
أي أمان. إنه ببساطة بمثابة وسيلة لأخذ الأموال من المستخدمين الذين يتعرضون للترهيب ويواجهون هراء غير ضروري. المؤسس والمدير التنفيذي والمدير التنفيذي للشركة ، Will Donaldson ، يحضر المؤتمرات ويعلن أن Nomx "آمنة تمامًا".
حذر المخترق دونالدسون من نقاط الضعف قبل شهر وأظهرها له بصريًا أثناء مكالمة Skype. لكنه لم يرفع إصبعه لتصحيح الموقف أو على الأقل تحذير المستخدمين.
اعترفت شركة Nomx على الموقع الرسمي بشكل غريب باختراق جهازها. ملاحظة على المدونة الرسمية بعنوان: "
اجتاز Nomx اختبارات الأمان بعد أن أعلن أحد المدونين عن اختراق Nomx ." وقالت الشركة إن هذه مجرد نسخ تجريبية تم تسليمها للصحفيين ، وفي Nomx "الحقيقية" سيرفضون استخدام Raspberry Pi. من المحتمل أنهم سيستخدمون تكوينًا أكثر أمانًا وبرنامجًا جديدًا مع جميع التصحيحات (على الأقل تقديم نظام تحديث) ، وهم بحاجة إلى إزالة الثغرة الأمنية على صفحة الويب المعنية. بعد القضاء على جميع الأخطاء وخفض السعر بشكل كبير ، ربما سيكون لدى خادم بريد Nomx احتمالات كمنتج ناجح تجاريًا ، على الرغم من أنه من غير المحتمل أن يكون هناك شيء يستحق العناء من هذا المزيف.
باستخدام Nomx كمثال ، نرى كيف يتم تنفيذ الفكرة الجيدة والاتجاه الصحيح للأفكار (تنظيم خادم بريد شخصي آمن في المنزل) بشكل سيئ للغاية في الممارسة العملية. ناهيك عن التكلفة الزائدة للجهاز. سيتعين على دونالدسون القيام بعمل الأخطاء ، ومن غير المرجح أن يجرؤ على إعلان "بروتوكول الاتصال الأكثر أمانًا في العالم".