Lenovo efter bagdørsbeskyldning: Vi har forgæves forsøgt at samarbejde med sikkerhedsforsker

30. juni 2016 kl. 15:1113
Pc-virksomheden Lenovo arbejder på et fix til et sikkerhedshul, der relaterer sig til BIOS i flere maskiner fra virksomheden.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Lenovo arbejder på at løse et sikkerhedsproblem i flere maskiner fra pc-producenten. Det meddelelser Lenovo i en skrivelse til Version2, sendt via virksomhedens danske pressekontakt.

Henvendelsen fra Lenovo sker i forlængelse af, at Version2 tidligere i dag bragte et blogindlæg fra Poul-Henning Kamp, der er udvikler på kernen til FreeBSD.

Blogindlægget har titlen 'Lenovo-computere har indbygget bagdør'. Her skriver Poul-Henning Kamp blandt andet:

»Hvis jeg var minister for IT i Danmark, blev Lenovo øjeblikkelig blacklistet som leverandør til alle offentlige myndigheder, med henvisning til statens sikkerhed og borgernes privatliv.«

Artiklen fortsætter efter annoncen

Anledningen er et indlæg fra en anden sikkerhedsblogger, Dmytro Oleksiuk, som Poul-Henning Kamp linker til.

Her fortæller Oleksiuk om, hvad han beskriver som en zero-day-sårbarhed i firmwaren på tværs af en lang række Lenovo-modeller og firmware-versioner. Sårbarheden går det ifølge Oleksiuk muligt at eksekvere vilkårlig SMM-kode (System Management Mode) uden om styresystemet.

I et debat-indlæg under sit blogindlæg opsummerer Poul-Henning Kamp lidt af problematikken, som Oleksiuk beskriver i sit indlæg.

»... to lag under BIOS'en ...«

»Det er et hul ned i kode, der kører to lag under BIOS'en i maskinen, og der er intet, man som bruger kan gøre, hverken med reinstallationer af operativsystem, virusscan eller noget andet,« skriver Kamp og fortsætter:

Artiklen fortsætter efter annoncen

»Yderligere har den del af hardware/firmware direkte adgang til hardwaren på et niveau, der gør at der kan opretholdes netværksforbindelser, som ikke kommer i nærheden af operativsystemets firewall-faciliteter.«

Lenovo har givetvis også læst indlægget fra Oleksiuk. I hvert fald skriver virksomheden i mailen, som Version2 har modtaget:

»Lenovos Product Security Incident Response Team (PSIRT) er klar over påstande, som en uafhængig forsker er kommet med i forhold til en sårbarhed i SMM BIOS, som påvirker visse Lenovo ThinkPad-brandede og IdeaPad-brandede enheder. Lenovos Product Security Incident Response Team har foretaget flere mislykkede forsøg på at samarbejde med forskeren i forhold til denne sårbarhed. Vi arbejder på at udvikle et fix, som vil blive posted, så snart det er tilgængeligt, på Lenovo Product Security Advisories-websitet: https://support.lenovo.com/us/en/product_security/home

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
5. juli 2016 kl. 10:13

Når nu alligevel næsten alting kommer til at foregå og lagres i skyen, hvad betyder det så at man kan læse i din PC?

12
2. juli 2016 kl. 11:46

Dog er den jo nu noget uddateret.

Hvis man "bare" skal bruge en bærbar eller PC, så er der ikke meget der er uddateret, så længe man ikke skal køre vitualisering, 3D beregning eller andet tungt. Det meste forgår jo på nettet nu om dage, og PC/Bærbar fungere mest som tynd klient. Derfor MS er ved at skide i bukserne, da deres OS efterhåneden kun er nødvendigt til spil. og når det (også) flytter. Så er der kun køb af nye OS og bærbar fra virksoheder, hvor den IT ansvarlige ikke har været i kontakt med verden de sidste 5-10 år-

Men til svar på sprøgsmål, måske en Chrome fra google, hvor man selv installere et andet OS. NSA har nok her tænkt, at her har de alligevel alle data ligende ved Google, så ingen grund til at pille i den ? :-(

Noget helt andet. Men on. trop. er der nogen som har en liste over IP fra de forskellige organitioner ? Nu tager jeg mig sammen og får portscannet mine forskelige enheder. En list til sammenligning kan hjælpe meget her.

Men tror stadig at man ikke skal tro at vi bare er solgte alle sammen, som frihedshelten og samvitigheds fangen Edward Snoden skrev. Kryptering virker. Så brug det i en opensource udgave. Måske der for alle de her krumspring med BIOS og firmware, de er ved at løbe tør for muligheder over for kryptering.

10
1. juli 2016 kl. 11:39

Hvad skal man vælge som ultra-bærbar, linux-notebook med en god skærm?

Samsung havde nogle fantastiske (900x), men de sælges ikke mere i Skandinavien!

9
1. juli 2016 kl. 11:30

Det er lige før jeg kunne finde på at nævne en Pentium 1 pc eller en 486 pc fra før det var normalt at pc'er var koblet på internettet, men ellers er der kun 2 muligheder, og det er leve med at en pc sender oplysninger til både Kina, USA, og måske Rusland, eller udvikle en hel pc fra bunden og selv producere delene, men ud over det, så har jeg ingen anelse.

8
1. juli 2016 kl. 09:37

Hvis jeg skal bruge en bærbar PC med docking station, fuld HD-skærm, hurtig CPU, høj batterilevetid og med en nogenlunde fornuftig understøttelse af Linux (hvilket udelukker PC'er med Nvidia-grafikkort), og jeg samtidig vil undgå at skulle deponere mine data hos hhv. den kinesiske eller amerikanske efterretningstjeneste - hvad skal jeg så gå efter?

Er der reelt nogle gode alternativer?

11
1. juli 2016 kl. 13:25

Det nyeste hardware jeg kan komme på er en refurbished Thinkpad X200/T400 fra Ministry of freedom(https://minifree.org/) som kommer med open source bios libreboot på.

Dog er den jo nu noget uddateret.

7
30. juni 2016 kl. 19:55

De reklammerer langt mere for Facebook. Ikke at det er særlig godt, at bl.a. DR giver så massiv reklame til én virksomhed.

6
30. juni 2016 kl. 16:35

"»Hvis jeg var minister for IT i Danmark, blev Lenovo øjeblikkelig blacklistet som leverandør til alle offentlige myndigheder, med henvisning til statens sikkerhed og borgernes privatliv."

Desværre mener jeg gentagne gange at have oplevet, at TV-interviews med læger, forskere og beslutningstagere er foregået ved et skrivebord, foran en Lenovo-computer, som meget demonstrativt har været vendt mod kameraet, så logoet ikke har været til at undgået at se.

Jeg har altid undret mig over, at dette får lov at foregå upåtalt på offentlige institutioner, og i licens-betalte tv-stationer, og mit gæt er, at "nogen" har fået "et eller andet" for det.

Men i hvert fald har det efterladt det indtryk hos mig, at "det offentlige" er endog meget gode venner med Lenovo - så mon ikke sårbarheder som denne vil blive forbigået i tavshed indenfor det offentlige, og at man vil fortsætte med at indgå kontrakter om indkøb af Lenovo-pcer, hvis man på nogen måde kan slippe af sted med det?

4
30. juni 2016 kl. 15:52

Man ønsker vel at samarbejde, netop for at få indblik i hvilke(n) bagdør(e) Oleksiuk har fundet, så man ikke unødigt patcher uopdagede bagdøre.

Hvorfor skulle man ellers bruge en udefrakommende til at fjerne en bagdør man selv har lavet i set eget produkt?

  • Sendt fra min Lenovo Thinkpad :P
3
30. juni 2016 kl. 15:48

Samarbejde betyder "Her er nogle penge, hold så din mund"

Eller det kan betyde "Kom og hjælp os, så vi kan fedte dig ind i det her, så du ikke kan komme og brokke dig senere, for så er underlagt en fortrolighedserklæring, hvor vi kan gøre kål på dig juridisk og økonomisk"

1
30. juni 2016 kl. 15:39

Hvad slags "samarbejde" havde Lenovo forventet/ønsket/prøvet at opnå ?

Sikkerhedsladeporten er der jo hvad enten denne ene person eller en helt anden finder den...