Onderzoekers kraken beveiliging mailserver Nomx
Een team van het BBC-programma Click veegt de vloer aan met de kleine persoonlijke mailserver Nomx. Nomx is een kleine box, met als basis een Raspberry Pi, die ontworpen is als e-mailserver voor consumenten en te koop is vanaf 199 dollar. Volgens de maker helpt het gebruik van een persoonlijke mailserver om je mails in eigen beheer te houden en kan de Nomx zelfs mee op reis worden genomen.
Om de claims van de fabrikant te testen, vroeg de BBC aan twee onderzoekers van de universiteit van Surrey om het apparaat op de proef te stellen. Nomx claimt "absolute beveiliging", maar de kleine box blijkt niet zo moeilijk om te kraken. Zo bleek dat de software van de mailserver zwaar verouderd is. In sommige gevallen zelfs vijf jaar oud. Bovendien bleek het diverse ongepatchte fouten te bevatten. Ook werd er gebruik gemaakt van default wachtwoorden waaronder 'password' en 'death'.
Daarnaast is de webinterface van het apparaat niet veilig voor bepaalde aanvallen en blijkt het mogelijk om een verborgen admin-account aan te maken waardoor een kwaadwillende volledige controle over het apparaat zou kunnen krijgen. De BBC concludeert dat de Nomx een dure en verouderde mailserver is die bovendien gebruik maakt van 'een van de onveiligste PHP applicaties'.
Een woordvoerder van Nomx trekt de testmethode van de onderzoekers in twijfel omdat 'geen enkele gebruiker op die manier de box zou testen'. De standaard wachtwoorden zijn volgens hem vooral bedoeld om de installatie gemakkelijker te maken. Gebruikers wordt geadviseerd om de wachtwoorden daarna te wijzigen.
Gelukkig bieden ze ook een enterprise server aan waar een beloning van $10000 bij het vinden van security issues.
Het probleem zijn echter ook niet de gebruikers, maar de niet-gebruikers (lees: hackers) die de box zo testen...
En dan wat anders: fijn dat met dit apparaatje elke leek zijn eigen mailserver kan beheren. Maar hoe is het dan met backups? Welke leek weet hoe je goed en betrouwbaar backups maakt? En dat je die off-site moet bewaren voor het geval van brand etc.?
ik denk dat 99% van de mensen hun andere zaken belangrijker vinden dan email en die liggen ook niet in een brandveilige kluis...
de vraag is inderdaad of de soep zo heet gegeten wordt als deze opgediend werd door de BBC...
normaal is de bbc heel zorgvuldig maar de afgelopen maanden is het net sbs6....
nee.
maar hackers wel..
ik denk dat 99% van de mensen hun andere zaken belangrijker vinden dan email en die liggen ook niet in een brandveilige kluis...
de vraag is inderdaad of de soep zo heet gegeten wordt als deze opgediend werd door de BBC...
normaal is de bbc heel zorgvuldig maar de afgelopen maanden is het net sbs6....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
