Die Macher des tragbaren
Nomx- Geräts
für 200 US-Dollar
sparen nicht an Beinamen. Sie erklären "das sicherste Kommunikationsprotokoll der Welt". Das Gadget bietet angeblich "absolute Privatsphäre für persönliche und kommerzielle Nachrichten". Händler spielen erfolgreich mit den Ängsten der Benutzer, Cloud-Mail-Dienste zu hacken, weil in den letzten Jahren
kein einziger großer Mail-Anbieter auf ein massives Kontoleck verzichtet hat. Sie werden wirklich ständig gehackt. Für viele Benutzer ist es sehr wichtig, die Sicherheit persönlicher E-Mails zu gewährleisten - und sie schauen sich den Nomx-Home-Mail-Server an. „Die Anzahl der in den USA kompromittierten Google Mail-Konten (seit 2014): von
5 Millionen auf
24 Millionen . Die Anzahl der gefährdeten Konten für andere Cloud-Dienste im Jahr 2016:
272 Millionen Die Anzahl der Yahoo-Konten (einschließlich E-Mail), die 2013-2016 kompromittiert wurden:
mehr als 1 Milliarde . Die Anzahl der Nomx-Konten, die seit der Veröffentlichung des Geräts kompromittiert wurden: 0 ".
So ist die Werbung. Jetzt können Geschäftsleute die Null in dieser Anzeige sicher durch ein Einheits- oder ein Unendlichkeitszeichen ersetzen. Tatsächlich stellte sich heraus, dass die Sicherheit des Mailservers, gelinde gesagt, übertrieben war. Das heißt, es gibt praktisch keinen Schutz.
Der Sicherheitsspezialist Scott Helme war einer der eingeladenen Personen, die das Nomx-Sicherheitssystem in der
BBC Click- Fernsehsendung analysierten. Das Unternehmen hat diesem Programm zwei Exemplare des beworbenen Geräts zugewiesen, in der Hoffnung auf kostenlose PR. Aber es hat nicht geklappt.
Scott Helme
sagte, dass das "sicherste Kommunikationsprotokoll der Welt" tatsächlich ein einziges Loch ist.
Das Öffnen der "Box" zeigte, dass sie halb leer war. In der Ecke der großen Kiste befindet sich ein Raspberry Pi-Board im Wert von mehreren zehn Dollar.
Natürlich können Sie die Flash-Karte ganz einfach vom Raspberry Pi erhalten - und eine Kopie der Mailbox erstellen. Seltsamerweise verfügt das Raspbian-System über Standardeinstellungen, und das Ändern des Kennworts für das Stammverzeichnis ist ebenfalls nicht schwierig.
Der allgemeine Sicherheitsansatz der Entwickler ist alarmierend: Alte Software ist im System installiert:
- Raspbian GNU / Linux 7 (keuchend) - zuletzt aktualisiert am 7. Mai 2015
- nginx: nginx / 1.2.1 - veröffentlicht am 5. Juni 2012
- PHP 5.4.45-0 + deb7u5 - veröffentlicht am 3. September 2015
- OpenSSL 1.0.1t vom 3. Mai 2016
- Dovecot 2.1.7 vom 29. Mai 2012
- Postfix 2.9.6 vom 4. Februar 2013
- MySQL Ver 14.14 Distrib 5.5.52 vom 6. September 2016
Dies ist sehr seltsam, da das Gerät erst vor relativ kurzer Zeit zusammengebaut worden sein muss.
Scott Helme entdeckte dann eine Reihe von Schwachstellen in der Nomx-Webanwendung.
Der Hash für das Hauptkennwort (Setup-Kennwort) kann leicht entschlüsselt werden, und die Mindestkennwortlänge im Gerät beträgt 5 Zeichen, sodass er das Hauptkennwort leicht ermitteln konnte.
Aus irgendeinem Grund unterstützt das Gerät die Installation eines Mailservers in einer neuen Domäne nur, wenn er von einem GoDaddy-Registrar gekauft wurde.
Je besser ein Spezialist dieses Gerät verstand, desto mehr sah es wie eine Art Fälschung aus. Wenn Sie beispielsweise einen „Handshake“ und eine direkte Verbindung zwischen zwei Nomx-Servern herstellen,
wurde im Netzwerk
überhaupt kein Datenverkehr aufgezeichnet.
Das Testen der Nomx-Webanwendung ergab zahlreiche XSS- und CSRF-Schwachstellen. Ein Angreifer kann auf einfache Weise Postfächer erstellen und löschen, Domänen hinzufügen und fast alles auf dem Mailserver des Opfers tun.
Mit dieser Anfrage wird ein neues Postfach erstellt:
POST http://192.168.1.102/create-mailbox.php?domain=testingnomxsecurity.com HTTP/1.1 Host: 192.168.1.102 Cookie: PHPSESSID=39r4bb36385te1seds0dgtpt87 Content-Type: application/x-www-form-urlencoded Content-Length: 127 fUsername=csrf&fDomain=testingnomxsecurity.com&fPassword=csrf&fPassword2=csrf&fName=csrf&fActive=on&fMail=on&submit=Add+Mailbox
Darüber hinaus wurde auf dem von Scott nicht erstellten Gerät und sogar mit dem Kennwort ein Administratorkonto eines Drittanbieters gefunden. Dieses Konto gibt die volle Kontrolle über das Gerät. Darüber hinaus können Sie mithilfe von CSRF über eine Webanwendung ein eigenes Administratorkonto auf dem Server erstellen.
Scott Helme kommt zu dem Schluss, dass Nomx-Anzeigen und das Gerät selbst
als Betrug betrachtet werden sollten . Diese "Box" auf dem Raspberry Pi bietet
keine Sicherheit. Es dient einfach dazu, Geld von Benutzern zu nehmen, die eingeschüchtert sind und auf unnötigen Unsinn stoßen. Der Gründer, Executive Director und CTO des Unternehmens, Will Donaldson, nimmt an Konferenzen teil und erklärt, dass Nomx „absolut sicher“ ist.
Der Hacker warnte Donaldson vor einem Monat vor den Sicherheitslücken und zeigte sie ihm visuell während eines Skype-Anrufs. Aber er rührte nicht einmal einen Finger, um die Situation zu korrigieren oder zumindest die Benutzer zu warnen.
Das Unternehmen Nomx auf der offiziellen Website hat das Hacken seines Geräts besonders erkannt. Ein Hinweis im offiziellen Blog trägt den Titel: "
Nomx hat Sicherheitstests bestanden, nachdem ein Blogger eine Penetration von Nomx angekündigt hatte ." Das Unternehmen sagte, dass dies nur Demokopien seien, die an Journalisten verteilt wurden, und dass sie im „echten“ Nomx die Verwendung des Raspberry Pi ablehnen würden. Sie werden wahrscheinlich eine sicherere Konfiguration verwenden, frische Software mit allen Patches (zumindest ein Update-System einführen), und sie müssen die Sicherheitsanfälligkeit auf der betreffenden Webseite beseitigen. Nachdem alle Fehler beseitigt und der Preis drastisch gesenkt wurden, hat der Nomx-Mailserver möglicherweise Aussichten als kommerziell erfolgreiches Produkt, obwohl es unwahrscheinlich ist, dass etwas Wertvolles von dieser Fälschung geblendet werden kann.
Am Beispiel von Nomx sehen wir, wie eine gute Idee und die richtige Denkrichtung (Organisation eines sicheren persönlichen Mailservers zu Hause) in der Praxis sehr schlecht umgesetzt werden. Ganz zu schweigen von den überteuerten Kosten des Geräts. Donaldson wird die Arbeit der Fehler machen müssen, und es ist unwahrscheinlich, dass er es wagt, "das sicherste Kommunikationsprotokoll der Welt" zu erklären.