Los creadores del dispositivo port谩til
Nomx por $ 200 no escatiman en ep铆tetos. Declaran "el protocolo de comunicaci贸n m谩s seguro del mundo". El dispositivo supuestamente proporciona "absoluta privacidad de los mensajes personales y comerciales". Los comerciantes juegan con 茅xito con los temores de los usuarios de piratear servicios de correo en la nube, porque
ni un solo proveedor importante de correo ha funcionado sin una fuga masiva de cuenta en los 煤ltimos a帽os. Realmente son pirateados constantemente. Es muy importante para muchos usuarios garantizar la seguridad del correo personal, y miran el servidor de correo de Nomx. 鈥淓l n煤mero de cuentas de Gmail comprometidas en los EE. UU. (Desde 2014): de
5 millones a
24 millones . El n煤mero de cuentas comprometidas en otros servicios en la nube en 2016:
272 millones El n煤mero de cuentas de Yahoo (incluido el correo) comprometidas en 2013-2016:
m谩s de mil millones . El n煤mero de cuentas Nomx que se han visto comprometidas desde que se lanz贸 el dispositivo: 0 ".
Tal es el anuncio. Ahora los empresarios pueden reemplazar con seguridad el cero en este anuncio con un signo de unidad o infinito. De hecho, result贸 que la seguridad del servidor de correo, por decirlo suavemente, era exagerada. Es decir, pr谩cticamente no hay protecci贸n.
El especialista en seguridad Scott Helme fue uno de los invitados a analizar el sistema de seguridad Nomx en el
programa de televisi贸n
BBC Click . La compa帽铆a asign贸 dos copias del dispositivo anunciado a este programa, con la esperanza de obtener relaciones p煤blicas gratuitas. Pero no funcion贸.
Scott Helme
dijo que el "protocolo de comunicaci贸n m谩s seguro del mundo" es en realidad un agujero s贸lido.
Abrir la "caja" mostr贸 que estaba medio vac铆o. En la esquina de la caja grande hay una placa Raspberry Pi valorada en varias decenas de d贸lares.
Por supuesto, puede obtener f谩cilmente la tarjeta flash de la Raspberry Pi y hacer una copia del buz贸n. Por extra帽o que parezca, el sistema Raspbian tiene una configuraci贸n predeterminada, y cambiar la contrase帽a de la ra铆z tampoco es dif铆cil.
El enfoque general de los desarrolladores a la seguridad es alarmante: el software antiguo est谩 instalado en el sistema:
- Raspbian GNU / Linux 7 (wheezy) - 煤ltima actualizaci贸n 7 de mayo de 2015
- nginx: nginx / 1.2.1 - lanzado el 5 de junio de 2012
- PHP 5.4.45-0 + deb7u5 - lanzado el 3 de septiembre de 2015
- OpenSSL 1.0.1t del 3 de mayo de 2016
- Dovecot 2.1.7 del 29 de mayo de 2012
- Postfix 2.9.6 del 4 de febrero de 2013
- MySQL Ver 14.14 Distrib 5.5.52 del 6 de septiembre de 2016
Esto es muy extra帽o, porque el dispositivo debe haber sido ensamblado relativamente recientemente.
Scott Helme descubri贸 una serie de vulnerabilidades en la aplicaci贸n web Nomx.
El hash para la contrase帽a maestra (contrase帽a de configuraci贸n) se descifra f谩cilmente, y la longitud m铆nima de la contrase帽a en el dispositivo es de 5 caracteres, por lo que pudo determinar f谩cilmente la contrase帽a maestra.
Por alguna raz贸n, el dispositivo solo admite la instalaci贸n de un servidor de correo en un nuevo dominio si se compra a un registrador GoDaddy.
Cuanto m谩s entend铆a un especialista este dispositivo, m谩s parec铆a una especie de falso. Por ejemplo, al establecer un "apret贸n de manos" y una conexi贸n directa entre dos servidores Nomx,
no se registr贸
ning煤n tr谩fico en la red.
Las pruebas de la aplicaci贸n web Nomx revelaron numerosas vulnerabilidades XSS y CSRF. Un atacante puede crear y eliminar buzones f谩cilmente, agregar dominios y hacer casi cualquier cosa en el servidor de correo de la v铆ctima.
Se crea un nuevo buz贸n con esta solicitud:
POST http://192.168.1.102/create-mailbox.php?domain=testingnomxsecurity.com HTTP/1.1 Host: 192.168.1.102 Cookie: PHPSESSID=39r4bb36385te1seds0dgtpt87 Content-Type: application/x-www-form-urlencoded Content-Length: 127 fUsername=csrf&fDomain=testingnomxsecurity.com&fPassword=csrf&fPassword2=csrf&fName=csrf&fActive=on&fMail=on&submit=Add+Mailbox
Adem谩s, se encontr贸 una cuenta de administrador de terceros en el dispositivo que Scott no cre贸, e incluso con la contrase帽a
password . Esta cuenta le da control total sobre el dispositivo. Adem谩s, utilizando CSRF a trav茅s de una aplicaci贸n web, puede crear su propia cuenta de administrador en el servidor.
Scott Helme concluye que los anuncios de Nomx y el dispositivo en s铆
deben considerarse fraude . Esta "caja" en la Raspberry Pi no proporciona
ninguna seguridad. Simplemente sirve como un medio para tomar dinero de los usuarios que se sienten intimidados y se encuentran con tonter铆as innecesarias. Fundador, Director Ejecutivo y CTO de la compa帽铆a, Will Donaldson, asiste a conferencias y declara que Nomx es "absolutamente seguro".
El pirata inform谩tico advirti贸 a Donaldson sobre las vulnerabilidades hace un mes y se las mostr贸 visualmente durante una llamada de Skype. Pero ni siquiera movi贸 un dedo para corregir la situaci贸n o al menos advertir a los usuarios.
La compa帽铆a Nomx en el sitio web oficial reconoci贸 de manera peculiar el pirateo de su dispositivo. Una nota en el blog oficial se titula: "
Nomx pas贸 las pruebas de seguridad despu茅s de que un blogger anunci贸 una penetraci贸n de Nomx ". La compa帽铆a dijo que estas eran solo copias de demostraci贸n que se entregaron a los periodistas, y en el Nomx "real" se negar铆an a usar el Raspberry Pi. Probablemente van a utilizar una configuraci贸n m谩s segura, un software nuevo con todos los parches (al menos introducir un sistema de actualizaci贸n), y deben eliminar la vulnerabilidad en la p谩gina web en cuesti贸n. Despu茅s de eliminar todos los errores y reducir dr谩sticamente el precio, tal vez el servidor de correo Nomx tenga perspectivas como un producto comercialmente exitoso, aunque es poco probable que algo falso valga la pena.
Usando Nomx como ejemplo, vemos c贸mo una buena idea y la direcci贸n correcta de los pensamientos (organizar un servidor de correo personal seguro en casa) se implementa muy mal en la pr谩ctica. Y esto sin mencionar el costo excesivo del dispositivo. Donaldson tendr谩 que hacer el trabajo de errores, y es poco probable que se atreva a declarar "el protocolo de comunicaci贸n m谩s seguro del mundo".