Pembuat perangkat
Nomx portabel
seharga $ 200 tidak berhemat pada julukan. Mereka menyatakan "protokol komunikasi paling aman di dunia." Gadget tersebut seharusnya memberikan "privasi absolut dari pesan pribadi dan komersial." Pedagang berhasil bermain di ketakutan pengguna peretasan layanan cloud mail, karena
tidak satu pun penyedia email utama telah melakukan tanpa kebocoran akun besar-besaran dalam beberapa tahun terakhir. Mereka benar-benar diretas terus-menerus. Sangat penting bagi banyak pengguna untuk memastikan keamanan surat pribadi - dan mereka melihat server surat rumah Nomx. βJumlah akun Gmail yang dikompromikan di AS (sejak 2014): dari
5 juta menjadi
24 juta . Jumlah akun yang dikompromikan pada layanan cloud lainnya pada tahun 2016:
272 juta Jumlah akun Yahoo (termasuk surat) dikompromikan pada 2013-2016:
lebih dari 1 miliar . Jumlah akun Nomx yang telah dikompromikan sejak perangkat dirilis: 0 ".
Seperti itulah iklannya. Sekarang pengusaha dapat dengan aman mengganti nol dalam iklan ini dengan satu atau satu tanda tanpa batas. Faktanya, ternyata keamanan server mail, secara halus, dibesar-besarkan. Artinya, praktis tidak ada perlindungan.
Spesialis Keamanan Scott Helme adalah salah satu dari mereka yang diundang untuk menganalisis sistem keamanan Nomx dalam program televisi
BBC Click . Perusahaan mengalokasikan dua salinan perangkat yang diiklankan untuk program ini, dengan harapan mendapatkan PR gratis. Tapi itu tidak berhasil.
Scott Helme
mengatakan bahwa "protokol komunikasi paling aman di dunia" sebenarnya adalah satu lubang yang kuat.
Membuka "kotak" menunjukkan bahwa itu setengah kosong. Di sudut kotak besar ada papan Raspberry Pi senilai beberapa puluh dolar.
Tentu saja, Anda dapat dengan mudah mendapatkan kartu flash dari Raspberry Pi - dan membuat salinan kotak surat. Anehnya, sistem Raspbian memiliki pengaturan default, dan mengubah kata sandi untuk root juga tidak sulit.
Pendekatan umum pengembang terhadap keamanan mengkhawatirkan: perangkat lunak lama dipasang di sistem:
- Raspbian GNU / Linux 7 (wheezy) - terakhir diperbarui 7 Mei 2015
- nginx: nginx / 1.2.1 - dirilis 5 Juni 2012
- PHP 5.4.45-0 + deb7u5 - dirilis 3 September 2015
- OpenSSL 1.0.1t tanggal 3 Mei 2016
- Dovecot 2.1.7 tanggal 29 Mei 2012
- Postfix 2.9.6 tanggal 4 Februari 2013
- MySQL Ver 14.14 Distrib 5.5.52 tanggal 6 September 2016
Ini sangat aneh, karena perangkat pasti sudah dirakit relatif baru-baru ini.
Scott Helme kemudian menemukan sejumlah kerentanan dalam aplikasi web Nomx.
Hash untuk kata sandi master (kata sandi pengaturan) mudah didekripsi, dan panjang kata sandi minimum dalam perangkat adalah 5 karakter, sehingga ia dapat dengan mudah menentukan kata sandi utama.
Untuk beberapa alasan, perangkat hanya mendukung pemasangan server email pada domain baru jika dibeli dari pendaftar GoDaddy.
Semakin spesialis memahami perangkat ini, semakin terlihat seperti semacam palsu. Misalnya, ketika membuat "jabat tangan" dan koneksi langsung antara dua server Nomx,
tidak ada lalu lintas yang tercatat
sama sekali dalam jaringan.
Pengujian aplikasi web Nomx mengungkapkan banyak kerentanan XSS dan CSRF. Seorang penyerang dapat dengan mudah membuat dan menghapus kotak surat, menambahkan domain, dan melakukan hampir semua hal di server surat korban.
Kotak surat baru dibuat dengan permintaan ini:
POST http://192.168.1.102/create-mailbox.php?domain=testingnomxsecurity.com HTTP/1.1 Host: 192.168.1.102 Cookie: PHPSESSID=39r4bb36385te1seds0dgtpt87 Content-Type: application/x-www-form-urlencoded Content-Length: 127 fUsername=csrf&fDomain=testingnomxsecurity.com&fPassword=csrf&fPassword2=csrf&fName=csrf&fActive=on&fMail=on&submit=Add+Mailbox
Selain itu, akun admin pihak ketiga ditemukan pada perangkat yang tidak dibuat Scott, dan bahkan dengan kata
password kata
password . Akun ini memberikan kontrol penuh atas perangkat. Selain itu, menggunakan CSRF melalui aplikasi web, Anda dapat membuat akun admin Anda sendiri di server.
Scott Helme menyimpulkan bahwa iklan Nomx dan perangkat itu sendiri
harus dianggap sebagai penipuan . "Kotak" pada Raspberry Pi ini tidak memberikan keamanan
apa pun . Ini hanya berfungsi sebagai cara mengambil uang dari pengguna yang diintimidasi dan mengalami omong kosong yang tidak perlu. Pendiri, Direktur Eksekutif dan CTO perusahaan, Will Donaldson, menghadiri konferensi dan menyatakan bahwa Nomx "benar-benar aman."
Peretas memperingatkan Donaldson tentang kerentanan sebulan yang lalu dan secara visual menunjukkannya kepadanya selama panggilan Skype. Tetapi dia bahkan tidak mengangkat jari untuk memperbaiki situasi atau setidaknya memperingatkan pengguna.
Perusahaan Nomx di situs web resmi mengenali peretasan perangkatnya secara khusus. Sebuah catatan di blog resmi berjudul: "
Nomx lulus tes keamanan setelah seorang blogger mengumumkan penetrasi Nomx ." Perusahaan mengatakan bahwa ini hanya salinan demo yang dibagikan kepada wartawan, dan dalam Nomx "asli" mereka akan menolak untuk menggunakan Raspberry Pi. Mereka mungkin akan menggunakan konfigurasi yang lebih aman, perangkat lunak baru dengan semua tambalan (setidaknya memperkenalkan sistem pembaruan), dan mereka perlu menghilangkan kerentanan pada halaman web yang dimaksud. Setelah menghilangkan semua bug dan secara drastis mengurangi harganya, mungkin server mail Nomx akan memiliki prospek sebagai produk yang sukses secara komersial, meskipun tidak mungkin sesuatu yang berharga dapat dibutakan dari penipuan ini.
Menggunakan Nomx sebagai contoh, kita melihat bagaimana ide yang bagus dan arah pemikiran yang benar (mengatur server surat pribadi yang aman di rumah) diimplementasikan dengan sangat buruk dalam praktiknya. Dan ini bahkan belum lagi harga perangkat yang mahal. Donaldson harus melakukan kesalahan, dan dia tidak mungkin berani menyatakan "protokol komunikasi paling aman di dunia."