Lenovo efter bagdørsbeskyldning: Vi har forgæves forsøgt at samarbejde med sikkerhedsforsker

Pc-virksomheden Lenovo arbejder på et fix til et sikkerhedshul, der relaterer sig til BIOS i flere maskiner fra virksomheden.

Lenovo arbejder på at løse et sikkerhedsproblem i flere maskiner fra pc-producenten. Det meddelelser Lenovo i en skrivelse til Version2, sendt via virksomhedens danske pressekontakt.

Henvendelsen fra Lenovo sker i forlængelse af, at Version2 tidligere i dag bragte et blogindlæg fra Poul-Henning Kamp, der er udvikler på kernen til FreeBSD.

Blogindlægget har titlen 'Lenovo-computere har indbygget bagdør'. Her skriver Poul-Henning Kamp blandt andet:

»Hvis jeg var minister for IT i Danmark, blev Lenovo øjeblikkelig blacklistet som leverandør til alle offentlige myndigheder, med henvisning til statens sikkerhed og borgernes privatliv.«

Anledningen er et indlæg fra en anden sikkerhedsblogger, Dmytro Oleksiuk, som Poul-Henning Kamp linker til.

Her fortæller Oleksiuk om, hvad han beskriver som en zero-day-sårbarhed i firmwaren på tværs af en lang række Lenovo-modeller og firmware-versioner. Sårbarheden går det ifølge Oleksiuk muligt at eksekvere vilkårlig SMM-kode (System Management Mode) uden om styresystemet.

I et debat-indlæg under sit blogindlæg opsummerer Poul-Henning Kamp lidt af problematikken, som Oleksiuk beskriver i sit indlæg.

»... to lag under BIOS'en ...«

»Det er et hul ned i kode, der kører to lag under BIOS'en i maskinen, og der er intet, man som bruger kan gøre, hverken med reinstallationer af operativsystem, virusscan eller noget andet,« skriver Kamp og fortsætter:

»Yderligere har den del af hardware/firmware direkte adgang til hardwaren på et niveau, der gør at der kan opretholdes netværksforbindelser, som ikke kommer i nærheden af operativsystemets firewall-faciliteter.«

Lenovo har givetvis også læst indlægget fra Oleksiuk. I hvert fald skriver virksomheden i mailen, som Version2 har modtaget:

»Lenovos Product Security Incident Response Team (PSIRT) er klar over påstande, som en uafhængig forsker er kommet med i forhold til en sårbarhed i SMM BIOS, som påvirker visse Lenovo ThinkPad-brandede og IdeaPad-brandede enheder. Lenovos Product Security Incident Response Team har foretaget flere mislykkede forsøg på at samarbejde med forskeren i forhold til denne sårbarhed. Vi arbejder på at udvikle et fix, som vil blive posted, så snart det er tilgængeligt, på Lenovo Product Security Advisories-websitet: https://support.lenovo.com/us/en/product_security/home

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Madsen

Man ønsker vel at samarbejde, netop for at få indblik i hvilke(n) bagdør(e) Oleksiuk har fundet, så man ikke unødigt patcher uopdagede bagdøre.

Hvorfor skulle man ellers bruge en udefrakommende til at fjerne en bagdør man selv har lavet i set eget produkt?

  • Sendt fra min Lenovo Thinkpad :P
  • 18
  • 0
Anne-Marie Krogsbøll

"»Hvis jeg var minister for IT i Danmark, blev Lenovo øjeblikkelig blacklistet som leverandør til alle offentlige myndigheder, med henvisning til statens sikkerhed og borgernes privatliv."

Desværre mener jeg gentagne gange at have oplevet, at TV-interviews med læger, forskere og beslutningstagere er foregået ved et skrivebord, foran en Lenovo-computer, som meget demonstrativt har været vendt mod kameraet, så logoet ikke har været til at undgået at se.

Jeg har altid undret mig over, at dette får lov at foregå upåtalt på offentlige institutioner, og i licens-betalte tv-stationer, og mit gæt er, at "nogen" har fået "et eller andet" for det.

Men i hvert fald har det efterladt det indtryk hos mig, at "det offentlige" er endog meget gode venner med Lenovo - så mon ikke sårbarheder som denne vil blive forbigået i tavshed indenfor det offentlige, og at man vil fortsætte med at indgå kontrakter om indkøb af Lenovo-pcer, hvis man på nogen måde kan slippe af sted med det?

  • 5
  • 7
Yoel Caspersen Blogger

Hvis jeg skal bruge en bærbar PC med docking station, fuld HD-skærm, hurtig CPU, høj batterilevetid og med en nogenlunde fornuftig understøttelse af Linux (hvilket udelukker PC'er med Nvidia-grafikkort), og jeg samtidig vil undgå at skulle deponere mine data hos hhv. den kinesiske eller amerikanske efterretningstjeneste - hvad skal jeg så gå efter?

Er der reelt nogle gode alternativer?

  • 7
  • 1
Ivo Santos

Det er lige før jeg kunne finde på at nævne en Pentium 1 pc eller en 486 pc fra før det var normalt at pc'er var koblet på internettet, men ellers er der kun 2 muligheder, og det er leve med at en pc sender oplysninger til både Kina, USA, og måske Rusland, eller udvikle en hel pc fra bunden og selv producere delene, men ud over det, så har jeg ingen anelse.

  • 2
  • 0
Bent Jensen

Dog er den jo nu noget uddateret.


Hvis man "bare" skal bruge en bærbar eller PC, så er der ikke meget der er uddateret, så længe man ikke skal køre vitualisering, 3D beregning eller andet tungt. Det meste forgår jo på nettet nu om dage, og PC/Bærbar fungere mest som tynd klient. Derfor MS er ved at skide i bukserne, da deres OS efterhåneden kun er nødvendigt til spil. og når det (også) flytter. Så er der kun køb af nye OS og bærbar fra virksoheder, hvor den IT ansvarlige ikke har været i kontakt med verden de sidste 5-10 år-

Men til svar på sprøgsmål, måske en Chrome fra google, hvor man selv installere et andet OS. NSA har nok her tænkt, at her har de alligevel alle data ligende ved Google, så ingen grund til at pille i den ? :-(

Noget helt andet. Men on. trop. er der nogen som har en liste over IP fra de forskellige organitioner ? Nu tager jeg mig sammen og får portscannet mine forskelige enheder. En list til sammenligning kan hjælpe meget her.

Men tror stadig at man ikke skal tro at vi bare er solgte alle sammen, som frihedshelten og samvitigheds fangen Edward Snoden skrev. Kryptering virker. Så brug det i en opensource udgave. Måske der for alle de her krumspring med BIOS og firmware, de er ved at løbe tør for muligheder over for kryptering.

  • 1
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize