Geekly articles weekly

नॉम सुरक्षित मेल सर्वर: $ 200 स्कैम



$ 200 के लिए पोर्टेबल नोम डिवाइस के निर्माता एपिथिट्स पर कंजूसी नहीं करते हैं। वे घोषणा करते हैं "दुनिया में सबसे सुरक्षित संचार प्रोटोकॉल।" गैजेट माना जाता है कि "व्यक्तिगत और वाणिज्यिक संदेशों की पूर्ण गोपनीयता प्रदान करता है।" व्यापारी सफलतापूर्वक क्लाउड मेल सेवाओं को हैक करने के डर से उपयोगकर्ताओं पर खेलते हैं, क्योंकि हाल के वर्षों में एक भी बड़े मेल प्रदाता ने बड़े पैमाने पर खाता रिसाव के बिना नहीं किया है। वे वास्तव में लगातार हैक किए जाते हैं। कई उपयोगकर्ताओं के लिए व्यक्तिगत मेल की सुरक्षा सुनिश्चित करना बहुत महत्वपूर्ण है - और वे नॉमेक्स होम मेल सर्वर को देखते हैं। "संयुक्त राज्य अमेरिका में जीमेल खातों की संख्या 2014 के बाद से: 5 मिलियन से 24 मिलियन तक । 2016 में अन्य क्लाउड सेवाओं पर समझौता किए गए खातों की संख्या: 272 मिलियन याहू खातों की संख्या (मेल सहित) ने 2013-2016 में समझौता किया: 1 बिलियन से अधिक । डिवाइस के रिलीज़ होने के बाद से नामांकित खातों की संख्या: 0 "।

ऐसा विज्ञापन है। अब व्यवसायी इस विज्ञापन में शून्य को एक एकता या अनंत संकेत के साथ सुरक्षित रूप से बदल सकते हैं। वास्तव में, यह पता चला कि मेल सर्वर की सुरक्षा, इसे हल्के ढंग से करने के लिए, अतिरंजित थी। यही है, व्यावहारिक रूप से कोई सुरक्षा नहीं है।

सुरक्षा विशेषज्ञ स्कॉट हेल्म बीबीसी क्लिक टेलीविजन कार्यक्रम में नोम सुरक्षा प्रणाली का विश्लेषण करने के लिए आमंत्रित किए गए लोगों में से एक थे। कंपनी ने इस कार्यक्रम के लिए विज्ञापन की दो प्रतियों को आवंटित किया, जो मुफ्त पीआर की उम्मीद कर रहे थे। लेकिन यह काम नहीं किया।

स्कॉट हेल्म ने कहा कि "दुनिया में सबसे सुरक्षित संचार प्रोटोकॉल" वास्तव में एक ठोस छेद है।

"बॉक्स" खोलने से पता चला कि यह आधा खाली था। बड़े बॉक्स के कोने में कई दसियों डॉलर की रास्पबेरी पाई बोर्ड है।



बेशक, आप रास्पबेरी पाई से फ्लैश कार्ड आसानी से प्राप्त कर सकते हैं - और मेलबॉक्स की एक प्रति बना सकते हैं। अजीब तरह से, रास्पियन प्रणाली में डिफ़ॉल्ट सेटिंग्स हैं, और रूट के लिए पासवर्ड बदलना भी मुश्किल नहीं है।



सुरक्षा के लिए डेवलपर्स का सामान्य दृष्टिकोण चिंताजनक है: पुराना सॉफ्टवेयर सिस्टम में स्थापित है:

  • रास्पियन जीएनयू / लिनक्स 7 (मट्ठा) - अंतिम बार 7 मई 2015 को अपडेट किया गया
  • nginx: nginx / 1.2.1 - 5 जून 2012 को जारी किया गया
  • PHP 5.4.45-0 + deb7u5 - 3 सितंबर 2015 को जारी किया गया
  • OpenSSL 1.0.1 दिनांक 3 मई, 2016
  • 29 मई, 2012 को कबूतर 2.1.7 दिनांक
  • पोस्टफ़िक्स 2.9.6 दिनांक 4 फरवरी, 2013
  • MySQL Ver 14.14 डिस्ट्रिब्यूट 5.5.52 दिनांक 6 सितंबर, 2016

यह बहुत अजीब है, क्योंकि डिवाइस को अपेक्षाकृत हाल ही में इकट्ठा किया गया होगा।

स्कॉट हेल्म ने तब नोमक्स वेब एप्लिकेशन में कई कमजोरियों की खोज की।

मास्टर पासवर्ड (सेटअप पासवर्ड) के लिए हैश को आसानी से डिक्रिप्ट किया जाता है, और डिवाइस में न्यूनतम पासवर्ड की लंबाई 5 वर्ण है, इसलिए वह आसानी से मास्टर पासवर्ड निर्धारित करने में सक्षम था।



किसी कारण से, डिवाइस केवल एक नए सर्वर पर एक मेल सर्वर स्थापित करने का समर्थन करता है यदि इसे GoDaddy रजिस्ट्रार से खरीदा जाता है।



जितना अधिक एक विशेषज्ञ इस उपकरण को समझता था, उतना ही यह किसी तरह के नकली जैसा दिखता था। उदाहरण के लिए, "हैंडशेक" स्थापित करते समय और दो नोमक्स सर्वर के बीच सीधा संबंध, नेटवर्क में कोई भी ट्रैफ़िक दर्ज नहीं किया गया था



नोमेक्स वेब एप्लिकेशन के परीक्षण से कई XSS और CSRF भेद्यताएं पता चलीं। एक हमलावर मेलबॉक्स को आसानी से बना और हटा सकता है, डोमेन जोड़ सकता है, और पीड़ित के मेल सर्वर पर लगभग कुछ भी कर सकता है।

इस अनुरोध के साथ एक नया मेलबॉक्स बनाया गया है:

POST http://192.168.1.102/create-mailbox.php?domain=testingnomxsecurity.com HTTP/1.1 Host: 192.168.1.102 Cookie: PHPSESSID=39r4bb36385te1seds0dgtpt87 Content-Type: application/x-www-form-urlencoded Content-Length: 127 fUsername=csrf&fDomain=testingnomxsecurity.com&fPassword=csrf&fPassword2=csrf&fName=csrf&fActive=on&fMail=on&submit=Add+Mailbox

इसके अलावा, उस उपकरण पर एक तृतीय-पक्ष व्यवस्थापक खाता पाया गया जो स्कॉट ने नहीं बनाया, और यहां तक ​​कि पासवर्ड password साथ भी। यह खाता डिवाइस पर पूर्ण नियंत्रण देता है। इसके अलावा, एक वेब एप्लिकेशन के माध्यम से CSRF का उपयोग करके, आप सर्वर पर अपना स्वयं का व्यवस्थापक खाता बना सकते हैं।

स्कॉट हेल्म का निष्कर्ष है कि नोम विज्ञापन और डिवाइस को ही धोखाधड़ी माना जाना चाहिए । रास्पबेरी पाई पर यह "बॉक्स" कोई सुरक्षा प्रदान नहीं करता है। यह केवल उन उपयोगकर्ताओं से पैसे लेने के साधन के रूप में कार्य करता है जो भयभीत हैं और अनावश्यक बकवास में भागते हैं। संस्थापक, कंपनी के कार्यकारी निदेशक और सीटीओ, विल डोनाल्डसन, सम्मेलनों में भाग लेते हैं और घोषणा करते हैं कि नोमेक्स "सुरक्षित" है।


हैकर ने एक महीने पहले डोनल्डसन को कमजोरियों के बारे में चेतावनी दी थी और स्काइप कॉल के दौरान नेत्रहीन को उन्हें दिखाया था। लेकिन उसने स्थिति को ठीक करने के लिए या कम से कम उपयोगकर्ताओं को चेतावनी देने के लिए एक उंगली भी नहीं उठाई।

आधिकारिक वेबसाइट पर नामांकित कंपनी ने अजीब तरह से अपने डिवाइस की हैकिंग को मान्यता दी। आधिकारिक ब्लॉग पर एक नोट का हकदार है: " एक ब्लॉगर ने नोमेक्स के प्रवेश की घोषणा के बाद नोमेक्स सुरक्षा परीक्षण पास किया ।" कंपनी ने कहा कि ये केवल डेमो प्रतियां थीं जो पत्रकारों को सौंपी गई थीं, और "वास्तविक" नामांक में वे रास्पबेरी पाई का उपयोग करने से इनकार करेंगे। वे शायद अधिक सुरक्षित कॉन्फ़िगरेशन का उपयोग करने जा रहे हैं, सभी पैच के साथ ताजा सॉफ़्टवेयर (कम से कम एक अपडेट सिस्टम लागू करें), और उन्हें प्रश्न में वेब पेज पर भेद्यता को खत्म करने की आवश्यकता है। सभी कीड़ों को खत्म करने और काफी हद तक कीमत कम करने के बाद, शायद नॉमक्स मेल सर्वर में व्यावसायिक रूप से सफल उत्पाद के रूप में संभावनाएं होंगी, हालांकि यह संभावना नहीं है कि कुछ सार्थक इस नकली से अंधा हो सकता है।

एक उदाहरण के रूप में नॉमक्स का उपयोग करते हुए, हम देखते हैं कि कैसे एक अच्छा विचार और विचारों की सही दिशा (घर पर एक सुरक्षित व्यक्तिगत मेल सर्वर का आयोजन) को बहुत खराब तरीके से लागू किया जाता है। और यह डिवाइस की अधिक लागत का उल्लेख करने के लिए भी नहीं है। डोनाल्डसन को गलतियों का काम करना होगा, और उन्हें "दुनिया में सबसे सुरक्षित संचार प्रोटोकॉल" घोषित करने की हिम्मत करने की संभावना नहीं है।

Source: https://habr.com/ru/post/hi403595/

More articles:


All Articles