Исследователь Скот Хельме при поддержке издания BBC (Scott Helme (https://github.com/ScottHelme/)) провёл (https://scotthelme.co.uk/nomx-the-worlds-most-secure-communi.../) тестирование устройства
nomx (https://www.nomx.com), позиционируемого как реализация наиболее защищённого коммуникационного протокола ("The world’s most secure communications protocol. Everything else is insecure."). На деле, nomx оказался примером наплевательского отношения к безопасности, граничащим с жульничеством.
Младшая модель nomx продаётся по цене $199, а стоимость старшей модели для крупных корпоративных сетей доходит до 10 тысяч долларов. Первое, что вызвало удивление стала начинка устройства. В корпусе была размещена обычная плата Raspberry Pi за 35 долларов, SD-карта и пара светодиодов.
Не меньшее удивление вызвала программная начинка (https://github.com/ScottHelme/nomx) - на устройстве загружался дистрибутив Raspbian 7 (wheezy) с сильно устаревшими версиями пакетов, например сам дистрибутив обновлён 7 мая 2015 года, nginx и Dovecot от 2012 года, PHP от 2015 года, OpenSSL и MySQL от 2016 года. При этом в системе не был предусмотрен механизм установки обновлений.
Web-интерфейс открывался по HTTP, не был защищён от CSRF-атак и содержал аккаунт, позволяющий войти с правами администратора введя логин "admin@example.com" и пароль "password". Упоминаемый в рекламе безопасный коммуникационный протокол nomx оказался обычным SMTP-сервером, не использующим MX-записи в DNS, с самоподписанным сертификатом, без настройки SPF, DKIM и DMARC, и с привязкой к API регистратора доменов GoDaddy.Компания nomx отрицает (https://www.nomx.com/) наличие уязвимости и проблем с безопасностью, указывая, что устройства успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометирован (исследователь опубликовал эксплоит (https://github.com/ScottHelme/nomx/tree/master/csrf) и подробно описал технику CSRF-атаки, которую может повторить любой желающий, как и изучить состав прошивки (https://github.com/ScottHelme/nomx)). По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.
URL: https://scotthelme.co.uk/nomx-the-worlds-most-secure-communi.../
Новость: http://www.opennet.me/opennews/art.shtml?num=46466
По моему опыту безопасники всегда являлись основным источником дыр. Создают сейфы с целлофановыми стенами. Знают кучу бесполезных слов, но абсолютно не понимают как работает "защищаемый" объект. Гнать их надо отовсюду с волчьим билетом.
Это отчасти так. Такие "безопасники" совсем бесполезны. Но эксперты занимающиеся только этим вопросом нужны, потому что разработчикам, часто, совсем не до этого, даже если они и понимают, но заняты другим.Я так понимаю, ты имеешь в виду личностей, вроде сотрудников первого отдела, всяких "начальник службы безопасности", "сертифицированный специалист по б." - да, согласен.
Кстати, кто подскажет, есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников? Например, что бы искать сотрудника на вакансию.
Гы. Ну зато в ОБ одного ну очень известного и принадлежащего нуоченьправославным братьЯм системного интегратора (Москва, Рязанский проспект) на столе у тамошнего черта стоит бюстик Дзержинского. Какой хттпс еще?
А когда-то кактус к монитору ставили...
Кактус — к монитору, от излучения; Эдмундыча — к роутеру, от хакиров.
>на столе у тамошнего черта стоит бюстик Дзержинского. Какой хттпс еще?А как Феликс Эдмундович влияет на хттпс? Или это твоя личная неприязнь и какое-то суждение на этой основе?
Вот этих имею в виду: "сертифицированный специалист по б.". "начальник службы безопасности" это простой начальник охраны.
>Кстати, кто подскажет, есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников?Есть, но для этого надо знать как работает предмет.
> есть какие-нибудь определения, по которым можно отличить одних "безопасников" от других безопасников? Например, что бы искать сотрудника на вакансию.Просто спросить как правильно защищать систему мгновенных сообщений, например. Абстрактную IM систему "телецап".
Чем больше кричат в рекламе о супербезопасности продукта, тем больше вероятность, что это дырявая поделка и все деньги потратили на рекламу, а не на разработчиков.
Антивирусное ПО тому хороший пример.
> Telegram тому хороший пример.fixed
что вас в Telegram то не устроили? Централизация?
Удаление ветки заставляет задуматься...
У ей внутре неонка.
> По поводу Raspberry Pi утверждается, что к исследователю в руки попал демонстрационный, а не серийный образец.Ещё бы, Raspberry Pi за $35 дорого и не потянет по производительности, поэтому в серию поставили китайский Orange Pi PC 2 за 20 долларов.
> Ещё бы, Raspberry Pi за $35 дорого и не потянет по производительности,
> поэтому в серию поставили китайский Orange Pi PC 2 за 20
> долларов.которая ВНЕЗАПНО еще медленней
сказочник
С какого перепугу оно медленней? Оно заметно шустрее, особенно сетевуха.
Единственная проблема с оранджами - борьба с перегревом. Лечится радиатором побольше и термоклеем получше.
> С какого перепугу оно медленней? Оно заметно шустрее, особенно сетевуха.
> Единственная проблема с оранджами - борьба с перегревом. Лечится радиатором побольше и
> термоклеем получше.не единственная
некоторые питают плату маломощными адаптерами. результат непредсказуем.
>> По моему опыту безопасники всегда являлись основным источником дыр...nomx — не безопасники, а болгены.
Про создателя nomx написано "W.L. Donaldson is a cybersecurity expert...", но в списке регалий "Mr. Donaldson served as the first USMC Webmaster at the Pentagon". это PHP, правку конфигов от рута и все детские дыры поясняет. Типа, если вёбмастер в пентагоне, то эксперт по безопасности.
А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами и рекламой.
Подобных разоблачений был миллион, что бизнесу многих компаний не сильно помешало.
> А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами
> и рекламой.
> Подобных разоблачений был миллион, что бизнесу многих компаний не сильно помешало.имеющий уши да услышит...
откровения Сноудена тоже не сильно как-то людей вразумили
> анонимусаЭто нас, анонимусов, слушать не будут. А Скотт, хоть шарашкина контора и называет его "блогером", довольно известный чувак.
> А теперь вопрос кого будут слушать, анонимуса или компанию с банковскими счетами
> и рекламой.Во-первых, таки не анонимус, а во-вторых, за спиной мистера Хельме стоит Британская Вещательная корпорация. Отставной уёб-кодер Пентагона против BBC - ну-ка, кто кого?.
Из статьи непонятно, что же делает это уберустройство.
оно делает их богаче.
>> что же делает это уберустройствоЭто SMTP сервер, сконфигурированный без DNS и без MX записей.
Все данные статически прописаны у GoDaddy, у которого закуплены статические DNS и MX записи и IP на всю выпущенную серию устройств.
Типа, втыкаешь медь, регистратор сам, втайне от остального мира, тебя маршрутизирует.
Т.е. мир, с точки зрения nomx — это твой домашний рутер, твоя виртуальная домашняя сеть over WAN.
И поскольку никто про тебя ничего не знает — должно выходить неуязвимо.
> Все данные статически прописаны у GoDaddy, у которого закуплены статические DNS и MX записи и IP на всю выпущенную серию устройств.Невнимательно читал. Во-первых, API GoDaddy используется в качестве замены DDNS, а никаких статических IP нет; во-вторых, MX записей тоже нет, потому что API GoDaddy не даёт их создавать; в-третьих, домен и доступ к API для руления A-записью оплачивает сам клиент.
> И поскольку никто про тебя ничего не знает — должно выходить неуязвимо.
Они тебе за рекламу забашляли, что ли?
>> API GoDaddy используется в качестве замены DDNS, а никаких статических IP нетДа ну?
>>> MX записей тоже нет, потому что API GoDaddy не даёт их создавать
Да ну??? :) :) :)
>> доступ к API для руления A-записью оплачивает сам клиент.
Понял, ты пользователь nomx, у тебя восемь боксов, тебя не обманешь.
>> Они тебе за рекламу забашляли, что ли?
За разоблачение.
Чего разданукался? Пойди по ссылкам и почитай. А если инглиш не понимаешь, то хотя бы не пытайся умничать.
Ничего удивительного. У нас делают точно также. В буклетах и на сайте чего только не понаписано, а внутри - софт мало того что дырявый, да еще и ворованный.
Ну, мошенников везде хватает. Но какова наглость... Аж завидно слегка, я б так не рискнул
> Ну, мошенников везде хватает. Но какова наглость... Аж завидно слегка, я б так не рискнулПомню, лет десять назад шустро впаривали "шифровальные адаптеры" для хардов.
В рекламе гордо упоминали "aes128 encryption".А на самом деле тупо (const_key[64] XOR data[64]) для каждого блока.
https://web.archive.org/web/20090810082343/http://www.h-onli...> These regular repetitions continued, and the almost identical columns of numbers
> suggest that the 512-byte sectors of your drive are not in fact encrypted with AES,
> but merely with a constant 512-byte cipher block applied as an XOR (exclusive OR)Когда прижали, оказалось:
> the manufacturer of the IM7206 controller chip used, confirming our findings.
> The IM7206 merely uses AES encryption when saving the RFID chip's ID in the controller's flash memory."уникальный" проприетарный алгоритм:
> The company explained that actual data encryption is based on a proprietary algorithmи вообще "все божья роса":
> For the time being, the company says it will continue to market the current module as providing "simple encryption."ЗЫ: мини-новость на опеннете:
https://www.opennet.me/opennews/art.shtml?num=14309
Вот неправда ваша. У нас так не делают. У нас делают программно-аппаратный комплекс, в котором общаться с вот такой коробочкой может только программа на распоследнем дотНете, требующая под собой MSSQL для хранения этой важной переписки.
> PHP от 2015 года, ... MySQL от 2016 года.Какая разнрица от какого они года, эта смесь дерьма в принципе не может иметь ничего общего с безопасностью.
Обоснуйте Ваш выс... казывание!
А также напомните, какие за 2 года уязвимости, связанные с безопасностью были обнаружены в PHP?
Из недавнего
http://blog.checkpoint.com/2016/12/27/check-point-discovers-.../
За два года можно еще больше наскребать.PHP это не erlang. PHP место на сырных заводах.
>PHP это не erlang.А в Форте секьюрити дыр не находили уже лет 20. Да на том же РНР в месяц пишется больше, чем было написано на Эрланге за всё время его существования.
Тут дело то не в собственно кривости гаечного ключа, а в генетической бестолковости механиков, продолжающих, как те мыши жрать кактус, этот ключ использовать. В СССР кирзовых сапог тоже выпускалось на порядки больше чем нормальной обуви, а толку то?
Хипстеры, эксклюзивность, Nomx, вот это всё.
А на "ключе" просто пишут.
> Тут дело то не в собственно кривости гаечного ключа, а в генетической
> бестолковости механиков, продолжающих, как те мыши жрать кактус, этот ключ использовать.
> В СССР кирзовых сапог тоже выпускалось на порядки больше чем нормальной
> обуви, а толку то?а толк в том, что обуви на всех хватало...
не обуви, а гуана. собственно о чем и речь
> не обуви, а гуана. собственно о чем и речьПосмотрел бы я на мусью в туфельках после дождичка за городом.
Суть не в том. А в том, что хорошие туфельки купить проблематично было даже если было куда надевать. Впрочем, тезис "PHP - чтобы писать повседневный код, делающий то, что нужно клиенту" полностью поддерживаю, просто с кирзачами сравнение неудачное.P.S. Никогда не забуду, как в Приэльбрусьи местные барышни по местным же тропкам (не ровным ни разу) на каблуках скакали.
в Приэльбрусьи?
> на том же РНР в месяц пишется больше, чем было написано на Эрланге за всё время его существованияЧто это говорит о качествах языка?
> Обоснуйте Ваш выс... казывание!
> А также напомните, какие за 2 года уязвимости, связанные с безопасностью были
> обнаружены в PHP?Выберите сами, какие Вам больше по вкусу:
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=php
https://nvd.nist.gov/vuln/search/results?adv_search=false&fo...
Вы сами-то по своим ссылкам читали? Где там уязвимости _языка_?
нифгасе ты нaдрoчил минусов.> А также напомните, какие за 2 года уязвимости, связанные с безопасностью были обнаружены в PHP?
Первая проблема пыха это слишком большое кол-во особенностей платформы и поведения различных компонент о которых нужно знать чтобы не вляпаться в проблемы. И это не удивительно, ведь пых разрабатывал идиoт по принципу ~ что вижу, то и херачу (аналогично, кстати, как и разрабатывался mysql).
А самая большая проблема пыха это куча рукозадых бездарей которые выбирают его для реализации чего-либо - гoгo притягивается к гoгну. И как следствие, практичеси весь пых софт усеян эпическими багами связанными с безопасностью.
Скот еще случайно набрел на postfixadmin, правда он похоже сам того не понял.
Да что же это за хрень такая?
Сейчас это называется не мошенничество, а маркетинг.
> Сейчас это называется не мошенничество, а маркетинг.Оно всегда называлось маркетинг.
оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последних нескольких десятилетий.
> оно всегда называлось обман, а мошенничество и маркетинг это уже веяния последних
> нескольких десятилетий.издержки капиталистического подхода, увы
"Единая Россия" не оглашает свои тарифы. Но понятно же, что на выборах любого уровня "излишки коммуняк" сразу же поступают в избирательные закрома ЕР.
Северная Корея - наше будущее! Но сначала переходный демократический период турецкого образца.
Вспомнилось интервью одного из производителей шоколадок, на вопрос стоит ли ждать повышения цен на продукцию из-за повышения цен на какао бобы, ответ был замечательный:
- Не обязательно! Есть много технологий позволяющих сохранить прежние цены. Например можно уменьшить порции.
Причем это практикуется давно..
Это устройство работает на свободном ПО!
> Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометированно видать умалчивают тот факт, что тесты проводились специалистами по безопасности их фирмы. Тогда понятно, почему не было найдено ни одной проблемы.
>Компания nomx отрицает наличие уязвимости и проблем с безопасностью, указывая, что устройство успешно прошло все тесты на безопасность и ни один пользователь не был скомпрометированда это же прям как казённая сертификация непотребного хлама за деньги
> да это же прям как казённая сертификация непотребного хлама за деньги...только без сертификата и денег. Зачем тратиться, если можно просто сказать, что всё секюрно?
Так у нас давно уже. https://www.rutoken.ru/images/content/rutoken_vpn_max.png только vpn обещают. Ага, с ethernet на usb шине, быстро будет работать.
> Так у нас давно уже. https://www.rutoken.ru/images/content/rutoken_vpn_max.png только
> vpn обещают. Ага, с ethernet на usb шине, быстро будет работать.Ну у этих хоть корпус нормальный.
Кстати на сайте nomx, они полностью опровергают заявление о дырявости. Факты в свою защиту особо доставляютSecurity Testing of a Rooted nomx Device:
The BBC provided the nomx devices for testing to a UK-based blogger who physically disassembled and rooted one of the nomx devices. Rooting was done, in his words, by disassembling the nomx case, physically removing memory card from the Raspberry and inserting it into his PC, and then resetting the root password. That is not an action a typical user would do, nor is it routine for a nomx device
"That is not an action a typical user would do, nor is it routine for a nomx device" а как будет действовать типичный пользователь? Или под типичным пользователем они подразумевают блондинку? :facepalm:
И это заявляет человек, который на сайте написал о себе
About our founder
W.L. Donaldson is a cybersecurity expert, entrepreneur and multi-patented inventor.Или я что то не понимаю или лыжи не едут :D
Первые читалки Nook (first edition) к удивлению любопытных юзеров вместо встроенного чипа памяти имели microsd слот с карточкой. Так что копание во внутренностях и смена прошивки были как два пальца об асфальт. Более поздние юниты такой "уязвимости" не имели. Барнс и Ноблс (производители Нука) тоже не ожидали что-то кто-то разберет читалку.
Nomx ничьему опыту не учатся