售价仅为200美元的便携式
Nomx设备的创建者们并不会因此而
措手不及 。 他们宣布“世界上最安全的通信协议”。 该小工具据说可以提供“个人和商业消息的绝对隐私”。 商家成功地发挥了用户对黑客攻击云邮件服务的担忧,因为近年来,
没有一家大型邮件提供商在没有大规模帐户泄漏的情况下完成了这一工作。 他们真的经常被黑客入侵。 对于许多用户而言,确保个人邮件的安全非常重要-他们着眼于Nomx家庭邮件服务器。 “自2014年以来,美国的Gmail帐户数量已从
500万增加到
2400万 。 2016年其他云服务上的受感染帐户数量:
2.72亿 在2013-2016年间,雅虎遭受盗用的帐户(包括邮件)数量:
超过10亿 。 自设备发布以来,已泄露的Nomx帐户数量:0“。
这就是广告。 现在,商人可以安全地用统一或无穷大符号替换此广告中的零。 实际上,事实证明,邮件服务器的安全性被夸大了。 即,实际上没有保护。
安全专家Scott Helme是受邀分析
BBC Click电视节目中Nomx安全系统的人之一。 该公司为此程序分配了两份广告设备的副本,希望获得免费的PR。 但是没有成功。
斯科特·赫尔姆(Scott Helme)
表示 ,“世界上最安全的通信协议”实际上是一个坚实的漏洞。
打开“盒子”,它显示一半是空的。 大盒子的一角是一块价值数十美元的Raspberry Pi板。
当然,您可以轻松地从Raspberry Pi获取闪存卡-并复制邮箱。 奇怪的是,Raspbian系统具有默认设置,更改root的密码也不难。
开发人员获得安全性的一般方法令人震惊:系统中安装了旧软件:
- Raspbian GNU / Linux 7(wheezy)-最近更新,2015年5月7日
- nginx:nginx / 1.2.1-2012年6月5日发布
- PHP 5.4.45-0 + deb7u5-2015年9月3日发布
- 2016年5月3日的OpenSSL 1.0.1t
- 2012年5月29日发布的Dovecot 2.1.7
- 2013年2月4日发布的Postfix 2.9.6
- 2016年9月6日发布的MySQL Ver 14.14 Distrib 5.5.52
这很奇怪,因为设备必须相对较新地组装。
然后,Scott Helme在Nomx Web应用程序中发现了许多漏洞。
主密码(设置密码)的哈希很容易解密,并且设备中的最小密码长度为5个字符,因此他能够轻松确定主密码。
由于某种原因,该设备仅支持从GoDaddy注册商处购买的新域上安装邮件服务器。
专家对这种设备了解得越多,看起来就越像是假货。 例如,当在两个Nomx服务器之间建立“握手”和直接连接时,网络中
根本没有记录
流量 。
对Nomx Web应用程序的测试显示了许多XSS和CSRF漏洞。 攻击者可以轻松地创建和删除邮箱,添加域以及在受害者的邮件服务器上执行几乎所有操作。
使用此请求创建一个新邮箱:
POST http://192.168.1.102/create-mailbox.php?domain=testingnomxsecurity.com HTTP/1.1 Host: 192.168.1.102 Cookie: PHPSESSID=39r4bb36385te1seds0dgtpt87 Content-Type: application/x-www-form-urlencoded Content-Length: 127 fUsername=csrf&fDomain=testingnomxsecurity.com&fPassword=csrf&fPassword2=csrf&fName=csrf&fActive=on&fMail=on&submit=Add+Mailbox
此外,在Scott尚未创建的设备上找到了一个第三方admin帐户,甚至使用密码
password 。 该帐户可以完全控制该设备。 此外,通过Web应用程序使用CSRF,您可以在服务器上创建自己的管理员帐户。
斯科特·赫尔姆(Scott Helme)得出结论,应将Nomx广告和设备本身
视为欺诈 。 Raspberry Pi上的此“框”不提供
任何安全性。 它只是一种手段,可从受到恐吓并陷入不必要废话的用户那里获取金钱。 该公司的创始人,执行董事兼首席技术官威尔·唐纳森(Will Donaldson)出席会议并宣布Nomx“绝对安全”。
黑客在一个月前就唐纳森(Donaldson)的漏洞进行了警告,并在Skype通话中以可视方式向他展示了这些漏洞。 但是他甚至没有动手纠正这种情况,或者至少没有警告用户。
Nomx公司在官方网站上特别承认其设备被黑客入侵。 官方博客上的注释标题为:“
在博主宣布渗透Nomx之后,Nomx通过了安全测试 。” 该公司表示,这些只是分发给记者的演示副本,在“真正的” Nomx中,他们将拒绝使用Raspberry Pi。 他们可能将使用更安全的配置,带有所有修补程序的新软件(至少引入更新系统),并且他们需要消除所关注网页上的漏洞。 在消除所有错误并大幅度降低价格之后,Nomx邮件服务器有望成为商业上成功的产品,尽管这种假货不太可能使某些有价值的东西蒙上阴影。
以Nomx为例,我们看到在实践中如何很好地实施一个好主意和正确的思路(在家中组织一个安全的个人邮件服务器)。 这更不用说设备的高价了。 唐纳森将不得不做一些错误工作,而且他不太可能敢于宣布“世界上最安全的通信协议”。