Стартап Nomx, предлагающий защищенное железо для email-серверов, заявил о себе сравнительно недавно: на выставке CES, прошедшей в январе 2017 года. Создатели Nomx обещали своим клиентам «самый защищенный коммуникационный протокол в мире», а также обещали позаботиться об «абсолютной приватности» как личной, так и коммерческой переписки.
Исследователь Скот Хелм (Scott Helme) решил проверить, что скрывается за громкими рекламными слоганами и внимательно изучил устройство Nomx, стоимостью $199. Данный девайс предлагают использовать для поднятия собственного email-сервера, чтобы держать свою корреспонденцию подальше от mail exchange серверов (mx, откуда и происходит название Nomx), которые, согласно заявлением разработчиков Nomx, повально небезопасны.
В своем блоге Хелм опубликовал подробный рассказ о своих изысканиях, включая фотоотчет о «вскрытии» устройства. Первый же сюрприз поджидал специалиста уже внутри корпуса Noxm: под крышкой исследователь обнаружил плату Raspberry Pi и несколько светодиодов. Хелм пишет, что не имеет ничего против Raspberry Pi, однако от гаджета за двести долларов, который обещает едва ли не абсолютную защиту, он ожидал немного другого.
Затем специалист перешел к изучению софтверной составляющей, и вскоре стало ясно, что Nomx работает с устаревшим ПО, кишит багами, а код разработчиков являет собой яркий пример того, как делать не нужно.
Хелм пишет, что Nomx работает с обычным ПО для почтовых серверов, стандартном для Raspberry, причем весь использованный софт давно устарел. Так, исследователь обнаружил:
- Raspbian GNU/Linux 7 (wheezy) – последнее обновление 7 мая 2015;
- nginx version: nginx/1.2.1 – выпущен 5 июня 2012;
- PHP 5.4.45-0+deb7u5 – выпущен 3 сентября 2015;
- OpenSSL 1.0.1t — выпущен 3 мая 2016;
- Dovecot 2.1.7 3 — выпущен 29 мая 2012;
- Postfix 2.9.6 — выпущен 4 февраля 2013;
- MySQL Ver 14.14 Distrib 5.5.52 — выпущен 6 сентября 2016.
Хуже того, разработчики, похоже, вообще не предусмотрели возможности обновления ПО, то есть механизма автообновлений пока попросту нет.
Продолжив исследование, Хелм выяснил, что веб-интерфейс Nomx содержит критическую уязвимость CSRF (Cross-Site Request Forgery), при помощи которой атакующий может удаленно перехватить управление над аккаунтом и устройством. «Я мог бы читать ваши письма, отправлять письма, удалять письма. Я мог бы даже создать собственный email-адрес», — пишет специалист. Хелм обнародовал не только подробное описание атаки, но и proof-of-concept эксплоит для этой уязвимости. По его словам, баг можно эксплуатировать как минимум тремя разными способами.
Помимо этого специалист обнаружил в устройствах Nomx еще множество проблем, включая незадокументированный административный аккаунт с учетными данными admin@example.com и password. Полный список проблем и уязвимостей, а также их подробное описание, можно найти в блоге Хелма.
Глава Nomx Уилл Дональдсон (Will Donaldson) уже отреагировал на обвинения и опровергает все выводы исследователя. Так, он сообщил журналистам Vice Motherboard, что CSRF-атака сработает лишь в том случае, если в момент открытия вредоносного сайта у пользователя запущена страница управления Nomx (Хелм, в свою очередь, утверждает, что это неправда). Также Дональдсон сообщил, что проблема уже была устранена, а Хелм тестировал устаревшее, рутованное устройство, тогда как новые девайсы Nomx вообще не используют Raspberry Pi.
Журналисты Motherboard отмечают, что при этом Дональдсон проигнорировал их вопрос о том, что делать владельцам таких «устаревших» устройств и когда они получат обновления, которые якобы уже выпустила компания.
В заключение своей статьи Хелм пишет, что Nomx подозрительно напоминают мошенников, которые обещают непревзойденную защиту и при этом продают устройства, использующие устаревший софт, обычный SMTP и самоподписанные сертификаты. При этом исследователь с тревогой отмечает, что у Nomx также есть и решения для бизнеса.
«Единственная хорошая вещь, которую можно сказать о данном продукте, он не создает запись MX для вашего домена, оправдывая имя “no MX’. Понятия не имею, чего хорошего в отсутствии MX записи, но она действительно не создается.
Сама основа этой концепции неверна. Поддерживать собственный почтовый сервер – это тяжело, это подвергает вас огромному риску. Я бы не рекомендовал никому использовать эти устройства», — резюмирует исследователь.
Другие ИБ-специалисты поддерживают точку зрения Хелма. К примеру, Трой Хант вообще советует бежать от подобных девайсов без оглядки.
When you see a company like @nomxprotocol selling security in a box with claims like "world’s most secure communications protocol"... run! https://t.co/3Td4Aty4we
— Troy Hunt (@troyhunt) April 26, 2017