image

Onderzoekers kraken beveiliging mailserver Nomx

vrijdag 28 april 2017, 09:22 door Redactie, 7 reacties

Een team van het BBC-programma Click veegt de vloer aan met de kleine persoonlijke mailserver Nomx. Nomx is een kleine box, met als basis een Raspberry Pi, die ontworpen is als e-mailserver voor consumenten en te koop is vanaf 199 dollar. Volgens de maker helpt het gebruik van een persoonlijke mailserver om je mails in eigen beheer te houden en kan de Nomx zelfs mee op reis worden genomen.

Om de claims van de fabrikant te testen, vroeg de BBC aan twee onderzoekers van de universiteit van Surrey om het apparaat op de proef te stellen. Nomx claimt "absolute beveiliging", maar de kleine box blijkt niet zo moeilijk om te kraken. Zo bleek dat de software van de mailserver zwaar verouderd is. In sommige gevallen zelfs vijf jaar oud. Bovendien bleek het diverse ongepatchte fouten te bevatten. Ook werd er gebruik gemaakt van default wachtwoorden waaronder 'password' en 'death'.

Daarnaast is de webinterface van het apparaat niet veilig voor bepaalde aanvallen en blijkt het mogelijk om een verborgen admin-account aan te maken waardoor een kwaadwillende volledige controle over het apparaat zou kunnen krijgen. De BBC concludeert dat de Nomx een dure en verouderde mailserver is die bovendien gebruik maakt van 'een van de onveiligste PHP applicaties'.

Een woordvoerder van Nomx trekt de testmethode van de onderzoekers in twijfel omdat 'geen enkele gebruiker op die manier de box zou testen'. De standaard wachtwoorden zijn volgens hem vooral bedoeld om de installatie gemakkelijker te maken. Gebruikers wordt geadviseerd om de wachtwoorden daarna te wijzigen.

Reacties (7)
28-04-2017, 09:59 door Anoniem
Voor meer details: https://scotthelme.co.uk/nomx-the-worlds-most-secure-communications-protocol/amp/

Gelukkig bieden ze ook een enterprise server aan waar een beloning van $10000 bij het vinden van security issues.
28-04-2017, 10:55 door Anoniem
Een woordvoerder van Nomx trekt de testmethode van de onderzoekers in twijfel omdat 'geen enkele gebruiker op die manier de box zou testen'.
Geen enkele is natuurlijk overdreven, maar het aantal "normale" gebruikers dat de box zo zou testen is ongetwijfeld erg laag.

Het probleem zijn echter ook niet de gebruikers, maar de niet-gebruikers (lees: hackers) die de box zo testen...

En dan wat anders: fijn dat met dit apparaatje elke leek zijn eigen mailserver kan beheren. Maar hoe is het dan met backups? Welke leek weet hoe je goed en betrouwbaar backups maakt? En dat je die off-site moet bewaren voor het geval van brand etc.?
28-04-2017, 12:09 door Anoniem
ja, want elke week kan je huis in de fik vliegen...
ik denk dat 99% van de mensen hun andere zaken belangrijker vinden dan email en die liggen ook niet in een brandveilige kluis...

de vraag is inderdaad of de soep zo heet gegeten wordt als deze opgediend werd door de BBC...

normaal is de bbc heel zorgvuldig maar de afgelopen maanden is het net sbs6....
28-04-2017, 13:00 door spatieman
Een woordvoerder van Nomx trekt de testmethode van de onderzoekers in twijfel omdat 'geen enkele gebruiker op die manier de box zou testen'.

nee.
maar hackers wel..
28-04-2017, 13:16 door Anoniem
Door Anoniem: ja, want elke week kan je huis in de fik vliegen...
ik denk dat 99% van de mensen hun andere zaken belangrijker vinden dan email en die liggen ook niet in een brandveilige kluis...

de vraag is inderdaad of de soep zo heet gegeten wordt als deze opgediend werd door de BBC...

normaal is de bbc heel zorgvuldig maar de afgelopen maanden is het net sbs6....
U heeft nooit brand meegemaakt in huis (ik wel!), maar je kunt er donder op zeggen dat áls er brand uitbreekt bij u thuis, dat er ook geen blusmiddelen voorhanden zijn om het vuur te bestrijden. Bij mij is dat gelukkig anders.
28-04-2017, 15:16 door Anoniem
Door Anoniem:de vraag is inderdaad of de soep zo heet gegeten wordt als deze opgediend werd door de BBC...
Lees eerst het bericht voor je moppert over de mogelijke temperatuur van de soep. Of je begrijpt de uitleg van de BBC niet en stookt maar wat.
28-04-2017, 16:39 door Anoniem
Mooie kop in het zand reactie van NOMX...ongelofelijk...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.