Nix88

Nomx, comunicazioni davvero sicure?

Il ricercatore Scott Helme ha evidenziato diverse vulnerabilità nel dispositivo che dovrebbe garantire sicurezza e privacy per email, messaggi, audio e video, arrivando a insinuare che possa trattarsi di una truffa a danno dei consumatori

Roma - Nomx, il dispositivo che dovrebbe essere in grado di garantire la sicurezza e la privacy delle nostre email tramite l'uso del "protocollo di comunicazione più sicuro al mondo", potrebbe non essere poi così sicuro. Poco più di un mese fa, il ricercatore di sicurezza britannico Scott Helme è entrato in possesso di un Nomx per testarne la sicurezza e i risultati delle sue analisi sono stati tutt'altro che incoraggianti.

Nomx, non poi così sicuro?

È bastato aprire il dispositivo per rivelare come il sistema fosse basato su un Raspberry Pi, dal quale Helme è riuscito ad eseguire un dump della scheda di memoria e reimpostare la password di root in maniera estremamente facile: rimuovendola e collegandola al proprio computer.

Ulteriori analisi hanno mostrato poi come il parco software installato sul dispositivo (commercializzato nel 2017) fosse già obsoleto in termini di sicurezza, in quanto alcune versioni risalivano addirittura all'ormai lontano 2012:
- Raspbian GNU/Linux 7 (wheezy) del 7 maggio 2015;
- nginx/1.2.1 del 5 giugno 2012;
- PHP 5.4.45-0+deb7u5 del 3 settembre 2015;
- OpenSSL 1.0.1t del 3 maggio 2016;
- Dovecot 2.1.7 del 29 maggio 2012;
- Postfix 2.9.6 del 4 febbraio 2013;
- MySQL Ver 14.14 Distrib 5.5.52 del 6 settembre 2016.
Nomx, non poi così sicuro?

Passando alle problematiche evidenziate da Helme all'interno del codice sorgente della Web application, tra le altre (pubblicate a fondo pagina del suo articolo) saltano all'occhio diverse vulnerabilità di cross site scripting (XSS) e cross site request forgery (CSRF) tramite le quali sarebbe possibile creare un account amministrativo addizionale e per cui Scott ha provveduto a realizzare un exploit da sottoporre come Proof of Concept ai tecnici Nomx: a detta di Helme, il codice sarebbe pieno di cattivi esempi su come implementare le cose e denoterebbe una scarsa attenzione alla sicurezza da parte di chi lo ha sviluppato.

La risposta dell'azienda non si è fatta attendere, anche perché Helme li aveva avvisati che la BBC avrebbe realizzato un servizio speciale sulla faccenda: con un comunicato al vetriolo sul proprio sito Web, Nomx ha cercato di smontare punto per punto la tesi accusatoria del ricercatore sottolineando dettagli a suo avviso importanti, come il fatto che il dispositivo testato non fosse uno di quelli attualmente in commercio (dichiarazione poi smentita dal reporter della BBC) e che le vulnerabilità fossero sfruttabili esclusivamente previa disponibilità di accesso fisico al dispositivo, in quanto l'attacco sarebbe unico per ciascuno di essi. Proseguendo nella propria difesa, Nomx ha evidenziato anche come l'attacco richiedesse ben più dei pochi minuti dichiarati da Helme e che sebbene lui e i suoi colleghi avessero accettato di ripetere i test in condizioni fair, i ricercatori non sono stati in grado di compromettere il dispositivo fornito da Nomx, ritirandosi addirittura all'ultimo secondo dalla "sfida".

Insicuro o no, un appunto si potrebbe fare a Nomx circa la tempistica e la gestione del processo di disclosure, come riportato da Helme al termine del suo articolo.

Niccolò Castoldi

fonte immagine
Notizie collegate
  • TecnologiaL'email svizzera a prova di NSAGaleotto fu il CERN per la nascita di un nuovo servizio di posta elettronica, talmente sicura da essere a prova di NSA. Nel mentre in Germania il governo annuncia: basta aziende che spifferano informazioni agli USA
  • SicurezzaProtonMail, giorni di passioneIl servizio europeo di posta elettronica sicura vittima di un attacco DDoS di notevole portata. Costretta a pagare il riscatto, la società finisce offline perché il flusso di bit malevoli non si interrompe
  • AttualitàProtonMail, intermediari contro la cifratura?PayPal ha temporaneamente sospeso il canale delle donazioni, per poi riaprirlo. L'azienda dubitava che il servizio di email sicure in fase di sviluppo ad opera di ricercatori del MIT e di Harvard fosse completamente legale
31 Commenti alla Notizia Nomx, comunicazioni davvero sicure?
Ordina
  • Inteso come non facilmente leggibili/alterabili "in viaggio" da terzi? Ok, GNUPG è in giro da decenni. Volete messaggi non facilmente tracciabili? I2P-Bote. Volete audio/video "non facilmente intercettabili"? Ok, Jitsi ip2ip con zrtp o anche Ring (ex SFLPhone).

    Non esistono soluzioni commerciali o proprietarie sicure.
    non+autenticato
  • - Scritto da: xte
    > Non esistono soluzioni commerciali o proprietarie
    > sicure.
    E la garanzia su quelle open la metti tu? Hai mai riletto tutto il codice di un'applicazione open o fai anche tu un atto di fede come tutti affermando che essendoci il codice lo si può controllare (senza averlo mai scaricato o letto), ma soprattutto, hai controllato anche il codice del compilatore che ti genereà l'eseguibile e le varie librerie accessorie ecc.?
    Posso affermare con assoluta certezza che NO, non l'hai fatto come non l'ha mai fatto nessuno di quelli che chiaccherano cavolate. L'open potrebbe essere potenzialmente più sicuro, ma solo potrebbe, il resto è fuffa
    non+autenticato
  • Ho sommariamente letto il codice di un bel numero di applicazioni e come l'ho fatto io l'han fatto, spesso molto ma molto meglio di me, svariati soggetti in giro per il mondo. Al contrario un prodotto semiclosed non l'ha veramente guardato altro che il produttore.

    La certezza assoluta non la puoi avere, ma ci sono vari "gradi di insicurezza", le scatole chiuse sono tra i gradi più alti, il codice open, sviluppato da una community vasta sparsa per il mondo tra i più bassi.

    Un paragone: ti "puoi fidare" più dei risultati elettorali scrutinati sezione per sezione sul territorio nazionale con presenza di tutti i rappresentanti del caso nel seggio o il voto fatto su una piattaforma proprietaria gestita da un'azienda singola attraverso internet (ogni riferimento ai pentastellati con la loro illusione di democrazia non è puramente casuale)?
    non+autenticato
  • - Scritto da: xte
    > Ho sommariamente letto il codice di un bel numero
    > di applicazioni
    e con questo tagliamo la testa al toro. In prqatica confermi quello che ho detto. Poi l'atto di fede che altri abbiano fatto un'analisi seria è un valore aggiunto Rotola dal ridere
    Grazie di avermi confermato quello che sospettavo
    non+autenticato
  • veramente a me sembra che ti abbia smentito... ma avrai ragione tuA bocca storta
    non+autenticato
  • Prego! Posso per curiosità chiederti che garanzia ti da il software closed? Quella contrattuale direi di no visto che in ogni contratto si declina ogni possibile responsabilità per ogni cosa. Quella del commerciale discotecaro in giacca&cravatta non so a te che effetto faccia ma a me sa di garanzia d'altra natura (ovvero garanzia di cetrioli volanti)... Il buon nome? Hum, a guardare la storia di vulnerabilità pubbliche regolarmente patchate con ampi ritardi, negate ecc... A ben leggere le storie sulle assistenze clienti...

    Mah, posso chiederti che cosa sospettavi? Perché forse non sei riuscito a scriverlo.
    non+autenticato
  • se non è proibito negli stati uniti allora è insicuro per il patriot act. Gli unici dispositivi/software sicuri sono solo quelli di cui è proibita la vendita negli stati uniti ... non è una cosa troppo difficile da capire.
    non+autenticato
  • Dopo aver letto entrambi i siti, una cosa è certa, uno dei due sta mentendo! Rotola dal ridere
    non+autenticato
  • - Scritto da: Il Fuddaro
    > Dopo aver letto entrambi i siti, una cosa è
    > certa, uno dei due sta mentendo!
    > Rotola dal ridere
    l'hackerino e' un po' ipertrofico, ma essenzialmente i mentitori sono quelli del nomx...
    non+autenticato
  • Già il solo fatto che viaggia con a 'bordo' php la dice lunga su quanto possa essere sicuro. p:

    Si, si , lo so, voi phppiari, certo, certoooo.
    non+autenticato
  • Quindi affermi che php e' intrinsecamente insicuro ... qualche informazione a riguardo ?
    non+autenticato
  • Penso che affermi: se qualcuno sceglie php si classifica, un po' come qualcuno che scelga chessò di appoggiare un Hitler, Erdogan&c...
    non+autenticato
  • interessante , quindi perdonando per il momento la mancanza di argomentazione , almeno potrebbe esprimere il suo pensiero su cosa si dovrebbe scegliere al posto di php .
    non+autenticato
  • - Scritto da: Lorenzo
    > interessante , quindi perdonando per il momento
    > la mancanza di argomentazione , almeno potrebbe
    > esprimere il suo pensiero su cosa si dovrebbe
    > scegliere al posto di php
    > .

    Python e già molto ma molto più sicuro by design di php!

    Non per niente, un server che ti hosta uno dei tanti servizi tecnologie rivolte al fare pythonico non si trovano ad un tozzo di pane come i server con servizi php.

    Per non parlare del fatto che host che ti servono linguaggi di scripting non php, hanno ANCHE una certa 'spalla grossa', diversamente da cani e porci che ti mettono a disposizione uno dei tanti moduli php.
    non+autenticato
  • Ma vaffanculo, probabilmente non hai mai scritto una riga di PHP o Python in vita tua, pirla.
    non+autenticato
  • - Scritto da: ...
    > Ma vaffanculo, probabilmente non hai mai scritto
    > una riga di PHP o Python in vita tua, pirla.
    Perché metti un probabilmente ? Come tanti di quelli che postano qui (vedi panda per esempio) parlano solo perché così credono di essere qualcuno, in relatà sono solo "aria fritta"
    non+autenticato
  • - Scritto da: Il Fuddaro
    > Non per niente, un server che ti hosta uno dei
    > tanti servizi tecnologie rivolte al fare
    > pythonico non si trovano ad un tozzo di pane come
    > i server con servizi php.

    Ma ci sei o ci fai? 11,66 € + VAT/year per usare PHP o Python ti sembrano prezzi stratosferici?
    Non è il prezzo o la tecnologia a fare la differenza, ma la capacità di chi butta giù codice. Ovviamente se lasciamo lavorare la bocca o panda i risultati sono sotto gli occhi di tuttti

    > Per non parlare del fatto che host che ti servono
    > linguaggi di scripting non php, hanno ANCHE una
    > certa 'spalla grossa', diversamente da cani e
    > porci che ti mettono a disposizione uno dei tanti
    > moduli php.

    Leggi sopra ...
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Il Fuddaro
    > > Non per niente, un server che ti hosta uno
    > dei
    > > tanti servizi tecnologie rivolte al fare
    > > pythonico non si trovano ad un tozzo di pane
    > come
    > > i server con servizi php.
    >
    > Ma ci sei o ci fai? 11,66 € + VAT/year per usare
    > PHP o Python ti sembrano prezzi
    > stratosferici?
    > Non è il prezzo o la tecnologia a fare la
    > differenza, ma la capacità di chi butta giù
    > codice. Ovviamente se lasciamo lavorare la bocca
    > o panda i risultati sono sotto gli occhi di
    > tuttti
    >
    > > Per non parlare del fatto che host che ti
    > servono
    > > linguaggi di scripting non php, hanno ANCHE
    > una
    > > certa 'spalla grossa', diversamente da cani e
    > > porci che ti mettono a disposizione uno dei
    > tanti
    > > moduli php.
    >
    > Leggi sopra ...

    Cioè "il Fuddaro" oltre a non sapere manco i prezzi giudica quanto un linguaggio sia "intrinsecamente sicuro" da quanto costerebbero metterlo su un sito che fornisce hosting di linguaggi server-side... ma ci rendiamo conto a che livello sono certi elementi su questo sito? Allucinante.
    non+autenticato
  • - Scritto da: ...
    > Cioè "il Fuddaro" oltre a non sapere manco i
    > prezzi giudica quanto un linguaggio sia
    > "intrinsecamente sicuro" da quanto costerebbero
    > metterlo su un sito che fornisce hosting di
    > linguaggi server-side...
    Questo è "il fuddaro", ma tranquillo non è solo ha tanti compagni di merende qui su PI
    non+autenticato
  • - Scritto da: .....
    > - Scritto da: ...
    > > Cioè "il Fuddaro" oltre a non sapere manco i
    > > prezzi giudica quanto un linguaggio sia
    > > "intrinsecamente sicuro" da quanto
    > costerebbero
    > > metterlo su un sito che fornisce hosting di
    > > linguaggi server-side...
    > Questo è "il fuddaro", ma tranquillo non è solo
    > ha tanti compagni di merende qui su
    > PI


    Visto che oltre ad essere tre puntini e quindi coglione, adesso ti sei anche autopromosso, con quattro puntini, cioè SUPER COGLIONE e idiot by design(nascita), ti faccio un solo nome anche italiano sia mai che ti crei qualche problemuccio visto che adesso sei diventato SUPER COGLIONE, unbit.it.

    Vedi i prezzi e poi screma siti che forse funzionano per mezzo secondo ora, non mese.
    non+autenticato