Lenovo-melding kan indikere bevidst placeret firmware-bagdør fra uidentificeret tredjepart

Den sårbare firmware-kode i computere fra Lenovo kommer ikke fra pc-producenten selv, oplyser virksomheden.

Adskillige computere fra pc-producenten Lenovo er ramt af et stadigt åbent og alvorligt sikkerhedshul, og virksomheden aner ikke, hvor hullet er opstået.

Det fremgår af et indlæg, Lenovo har lagt på virksomhedens Product Security Advisory website

Her kategoriserer Lenovo selv alvorligheden af sårbarheden som 'high'. Scopet for, hvem der er berørt bliver kaldt for 'industry wide'.

Sikkerhedshullet relaterer sig ifølge Lenovo-indlægget til computerens BIOS-firmware, hvilket set fra et it-sikkerhedsmæssigt perspektiv er skidt. BIOS er software, som er indlejret i hardwaren på maskinerne.

Dermed er det heller ikke muligt at fjerne sikkerhedshullet ved eksempelvis at geninstallere Windows. Det specifikke sikkerhedshul kan ifølge Lenovos forklaring gøre det muligt for en angriber med lokal administratoradgang at eksekvere System Management Mode (SMM)-kode.

Lenovo fortæller i indlægget, der er lagt ud i går, at virksomhedens Product Security Incident Response Team (PSIRT) er ganske klar over, at en uafhængig forsker har offentliggjort en sårbarhed i BIOS, nærmere bestemt i System Management Mode (SMM)-koden som påvirker visse Lenovo-enheder.

Lenovo lægger ikke skjul på, at sikkerhedsforskerens blotlægning af sårbarheden ikke er koordineret med virksomheden, og at Lenovo desuden forgæves har forsøgt at samarbejde med forskeren.

»Shortly after the researcher stated over social media that he would disclose a BIOS-level vulnerability in Lenovo products, Lenovo PSIRT made several unsuccessful attempts to collaborate with the researcher in advance of his publication of this information,« som det er formuleret i den oprindelige ordlyd på Lenovo-sitet.

»Hvis jeg var minister for IT i Danmark ...«

Virksomheden nævner ikke navnet på forskeren, men der er utvivlsomt tale om Dmytro Oleksiuk, der 28. juni har offentliggjort et indlæg med en teknisk beskrivelse af en sårbarhed relateret til SMM i Lenovo-maskiner.

Oleksiuks indlæg har affødt et blogindlæg fra Version2-blogger Poul-Henning Kamp, der 30. juni - altså i går - under overskriften 'Lenovo computere har indbygget bagdør' blandt andet skrev:

»Hvis jeg var minister for IT i Danmark, blev Lenovo øjeblikkelig blacklistet som leverandør til alle offentlige myndigheder, med henvisning til statens sikkerhed og borgernes privatliv.«

Poul-Henning Kamps blogindlæg bevirkede, at Lenovos danske pressekontakt sendte en udtalelse på engelsk fra virksomheden til Version2. En del af ordlyden i den udtalelse er sammenfaldende med det indlæg, der nu ligger på virksomhedens Product Security Advisory website

Website-indlægget er dog noget længere og mere detaljeret. Website-indlægget er først lagt ud efter, Poul-Henning Kamp bragte sit blogindlæg.

På websitet oplyser Lenovo videre, at virksomheden er i gang med en efterforskning af sagen. Foreløbigt har Lenovo fundet frem til, at den sårbare SMM-kode stammer fra en af virksomhedens Independent BIOS Vendors (IBV’er) og altså ikke Lenovo selv.

Lenovo oplyser, at en IBV er software-udviklingsfirmaer, der har specialiseret sig i at udvikle og tilpasse den BIOS-firmware, som havner på pc’er, som dem Lenovo producerer.

Det bliver desuden forklaret, at en IBV tager udgangspunkt i en en fælles kodebase, som kommer fra chip-leverandører som Intel eller AMD.

Ovenpå denne kodebase lægger IBV'en så kodelag, der er designede til at fungere i forhold til en specifik computer. Lenovo oplyser i den forbindelse, at virksomheden for øjeblikket samarbejde med de tre største IBV'er i branchen.

I næste passage bliver ordlyden i Lenovos indlæg bemærkelsesværdig.

»… originally intended purpose«

I næste passage lyder det til, at Lenovo selv mener, en ukendt person har indbygget en bagdør i BIOS.

Lenovo forklarer, at den sårbare kode kommer fra en IBV, men at Lenovo ikke ved, hvem der har forfattet den sårbare kode. Endvidere oplyser virksomheden, at det oprindelige formål med den sårbare kode ikke kendes.

Når Lenovo bruger formuleringen ‘det oprindelige formål’ tyder det på, virksomheden selv mener, nogen har bygget sårbarheden ind i koden med vilje, og at sikkerhedshullet altså ikke er resultatet af eksempelvis kodesjusk .(Se opdatering i bunden af artiklen, red.)

Læs også: Lenovo: Sårbar BIOS-kode kom fra Intel og havde et legitimt formål

»The package of code with the SMM vulnerability was developed on top of a common code base provided to the IBV by Intel. Importantly, because Lenovo did not develop the vulnerable SMM code and is still in the process of determining the identity of the original author, it does not know its originally intended purpose,« lyder den oprindelige formulering fra Lenovo.

I næste afsnit fortsætter virksomheden med at tale om 'the original purpose of the vulnerable code.':

»But, as part of the ongoing investigation, Lenovo is engaging all of its IBVs as well as Intel to identify or rule out any additional instances of the vulnerability's presence in the BIOS provided to Lenovo by other IBVs, as well as the original purpose of the vulnerable code.«

Til sidst i indlægget fortæller Lenovo, at virksomheden samarbejder med IBV'er og Intel om at lave et fix, der fjerner sårbarheden. Yderligere informationer vil Lenovo poste på Security Advisory websitet https://support.lenovo.com/us/en/product_security/home

Lenovo oplyser ikke, hvilke maskiner, der kunne tænkes at være berørt. I den tidligere fremsendte mail til Version2, skrev virksomheden, at det drejede sig om »… visse Lenovo ThinkPad-brandede og IdeaPad-brandede enheder.«

Opdateret 8. august 2016
Lenovo har undersøgt sagen nærmere og opdateret sin sikkerhedsbulletin om problemet. Nu fremgår det, at den sårbare kode stammer fra Intel og har haft et legitimt formål. Der er ifølge Lenovo altså ikke tale om ondsindet kode, der bevidst er placeret i firmwaren. Vi har foretaget mindre rettelser i ovenstående for at afspejle denne opdatering.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

Efter de har fået koden fra NSA, som har samarbejdet med Intel om at gennemhulle sikkerheden så meget som muligt i systemer til slutbruger.

Så der er sikkert installere lidt af hver på de PC som folketingsmedlemerne fik igennem tolden i Isral ?

Hvornår kommer der krav fra EU om at alt kode på PC skal være tilgengæligt til gennemgang af ikke betalte NSA mennekser. Og at der ikke kan købe PC til det offenlige hvor det ikke er tilfældet. De private må selvom, om de vil udsættes for industrispionage ved at købe produkter med indbygget sikkerhedshuller.

Dette stopper først når firmaer som Cisco, Intel og Microsoft helt bliver fravalgt på grund af deres omgang med NSA, selv om de måske bliver voldboldet mod deres vilje, så er det først når prisen for de firmaer bliver så høj at den Amrikanske administration ikke kan klare presset, at der er en spinkel mulighed for at dette stopper.

Dette gælder så også for Kinesik hardware og software. Er regeringe og et flertal i folketinget stadig sikkert på at der ikke forgår aflytning af Dansker som ikke har noget med PET eller andre Danske myndighder at gøre.

Rune Jensen

Nu venter man bare på, at Android-producenter kommer ud med samme melding. At kernen er inficeret med en bagdør.
http://arstechnica.com/security/2016/05/chinese-arm-vendor-left-develope...

Og endnu længere tilbage
http://www.tripwire.com/state-of-security/latest-security-news/android-b...

Om det er NSA? Jeg ved ikke, om chancen er større for NSA bagdøre, end at andre bygger bagdøre ind. Naturligvis har NSA et vist formål med at ville indbygge bagdøre, ikke mindst ifht. hvad der officielt kaldes terrorforebyggelse, men at tro de er de eneste som kan finde på det, er nok lidt naivt.

Poul-Henning Kamp Blogger

er der vel ingen grund til at tro det kun har ramt Lenovo ?

Korrekt.

Faktisk er der ikke grund til at stole på nogen som helst computer, indtil den er gennemgået med tættekam.

PC-platformen er dog et kapitel for sig, fordi software 'arkitekturen' af firmwaren er en totalt skingrende sindsyg stak lappeløsninger og forsøg på kommercielle knibtangsmanøvrer.

Michael Eriksen

PC-platformen er dog et kapitel for sig, fordi software 'arkitekturen' af firmwaren er en totalt skingrende sindsyg stak lappeløsninger...

Hvad vi mangler er en stædig person indenfor hardware hvad Stallman har været for software.

Det jo ikke svært at finde et troværdigt ARM eller MIPS design, der kan produceres hos en vilkårlig chipfabrik efter eget valg. Det er heller ikke svært at reducere BIOS til en meget banal boot strap på under en kB oder so, der ikke kan andet end loade åben software/firmware.

Prroblemerne kommer med ethernet, USB, Bluetooth og andre områder, der er tæppebombet med patenter.

Jacob Larsen

Prroblemerne kommer med ethernet, USB, Bluetooth og andre områder, der er tæppebombet med patenter.

Bluetooth hører ikke til på den liste. Hvis man har råd til at få produceret et ARM design eller lignende, så har man også råd til et medlemsskab af Bluetooth SIG, som vil sikre mod patentslagsmål fra de store. Så er der kun patenttrolde tilbage, men det er der jo også ved software.

Søren Nielsen

Suk, lidt mindre ekstrablad tak.

Hele denne artikel bygger på formuleringen "originally intended purpose" af den omtalte kode, som simpelthen er læst som fanden læser biblen.

AL kode der skrives har et eller andet formål, da det blev tilføjet, og nu kan de så ikke længere se hvad denne kode rent faktisk gør (udover et sikkerhedshul).

Hvis der ikke er tale om et bevidst sikkerhedshul, så er det jo "bare" en udvikler der har glemt at skrive kommentarer over en stump kode, som fikser en eller anden edge-case, som er blevet irrelevant eller ikke er fundet af Lenovo i denne omgang.

Derudover så er det super vigtigt at vide hvad formålet med en kodegren er, hvis man har tænkt sig at fjerne/ændre den.

Det er PÆNT langt fra at formuleringen antyder at det er et bevidst sikkerhedshul.

Jakob Møllerhøj Journalist

Hele denne artikel bygger på formuleringen "originally intended purpose" af den omtalte kode, som simpelthen er læst som fanden læser biblen.

Artiklen bygger på Lenovos overordnede udmelding og indlæggene fra henholdsvis Poul-Henning Kamp og Oleksiuk. Derudover er vi nu ikke de eneste, der er faldet over Lenovos specifikke formulering. Her The Register (fra i dag):

"There's also a hint that Lenovo agrees with a speculation by Oleksiuk, that the code may be an intentional backdoor: “Lenovo is engaging all of its IBVs as well as Intel to identify or rule out any additional instances of the vulnerability's presence in the BIOS provided to Lenovo by other IBVs, as well as the original purpose of the vulnerable code” (emphasis added)."

Uanset om det er en bagdør eller en bug, så ændrer det ikke på, at et ukendt antal maskiner fra verdens største pc-producent har en åben sårbarhed i BIOS, som Lenovo selv karakeriserer som højst alvorlig, og som virksomheden åbenbart ikke aner, hvem der står bag. Den fortælling, mener vi i sig selv, er væsentlig af videreformidle. Og det gør ovenstående artikel også. Jakob - Version2

Søren Nielsen

Uanset om det er en bagdør eller en bug, så ændrer det ikke på, at et ukendt antal maskiner fra verdens største pc-producent har en åben sårbarhed i BIOS, som Lenovo selv karakeriserer som højst alvorlig, og som virksomheden åbenbart ikke aner, hvem der står bag. Den fortælling, mener vi i sig selv, er væsentlig af videreformidle. Og det gør ovenstående artikel også. Jakob - Version2

Se den del er jeg meget enig i. De SKAL have kontrol over hvad der er på deres maskine, fra BIOS til bloatware, og de er ansvarlige for det hele. Det er skræmmende at de ikke har, men dog næppe særlig unikt (i tilfældet med BIOS).

Det er i øvrigt mere end mærkeligt, at man ikke kan finde hvem der har skrevet de linjers kode - alle har jo brugt versionsstyring de sidste 20 år, så der burde være fuld sporbarhed på hvert eneste tegn i kodebasen.

Tauno Suikkanen

Jeg har købt en Lenovo bærbar. Den starter op med en Mega lang juridisk tekst på engelsk, som jeg ikke kan komme forbi uden at trykke på accept. Selv på dansk tror jeg ikke, at jeg ville komme igennem den i pc'ens levetid.

Ligger den i BIOS ? - eller kan jeg bare formatere harddisken ? - endnu bedre: Kan jeg lave en ændring bootloaderen ? (hvad hedder den så ?). Jeg kan godt boote op på en Knoppix usb.

Bare trykke "accept" er jeg ikke meget for. Det kan jo være noget med at accepterer den kineske udgave af menneskerettigheder og at de må hente og videresælge alle oplysninger fra min PC.

Jo, jeg er tæt på bare at lægge en Linux på. Men det er ikke det den er købt til (så havde jeg fået lige så god en pc til under den halve pris).

Log ind eller Opret konto for at kommentere