Blog: Lenovo computere har indbygget bagdør

Det har jeg sådan set hele tiden antaget var tilfældet, alt andet ville ikke give mening for diverse spionageforetagender.

Men nu er det dokumenteret og fastslået.

Computere fra Apple, Dell, HP osv. har utvivlsomt tilsvarende bagdøre, der er bare ikke nogen der har brugt den enorme tid det tager at grave dem frem.

Hvis jeg var minister for IT i Danmark, blev Lenovo øjeblikkelig blacklistet som leverandør til alle offentlige myndigheder, med henvisning til statens sikkerhed og borgernes privatliv.

Hvis jeg var direktør i Sikkerhedsstyrelsen ville jeg bede dem komme med en plan for at fjerne dette (og alle andre) sikkerhedshuller i alle de computere de har solgt i Danmark - eller alternativt at købe dem tilbage fra brugerne.

Men det er som bekendt bare mig der er paranoid...

phk

Lenovo har svaret:

Lenovo efter bagdørsbeskyldning: Vi har forgæves forsøgt at samarbejde med sikkerhedsforsker

Kommentarer (29)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Iversen

Er der nogen der har læst de 20 siders dokumentation som kan gi' et resumé?
Vi får nok heller ikke direktøren i Sikkerhedsstyrelsen eller ministeren for IT til at læse de sidder, så hjælp dem lidt ;-)

  • 13
  • 0
Dennis Madsen

Er det hardware eller software baseret, den/de bagdør(e)?

Når jeg hjælper familien i gang med en ny computer, installerer jeg altid clean windows, hvor jeg først fjerner alle partitioner, og derefter installerer windows, som selv opretter de partitioner, den skal bruge.

  • 2
  • 4
Morten Wegelbye Nissen

Jeg når ikke PHK til over hudtykkelsen på undersiden af hans fod i forståelsen af artiklen. Men det jeg fik ud af det er:

Man kan på en Lenovo bede firmwaren om at kører noget maskinekode som kan ligge hvor som helst. Det vil helt og aldeles omgå enhver sikkerhedsmekanisme der måtte ligge i softwaren der kører på maskinen - der er intet vi kan gøre mod det, uden en ny firmware.
Umiddelbart skal man have adgang til maskinen enten fysisk eller via et andet hul.

Koden ser helt klart ud til at det er meningen at det skal fungere sådan - sådan helt åbenlyst og ikke noget der kan gå igennem et review unden noget siger wtf.

  • 6
  • 0
Poul-Henning Kamp Blogger

Sorry, har ret meget om ørene idag...

Ja, det er korrekt: Det er et hul ned i kode der kører to lag under BIOS'en i maskinen og der er intet man som bruger kan gøre, hverken med reinstallationer af operativsystem, virusscan eller noget andet.

Yderligere har den del af hardware/firmware direkte adgang til hardwaren på et niveau der gør at der kan opretholdes netværksforbindelser som ikke kommer i nærheden af operativsystemets firewall faciliteter.

Jeg tør ikke sige om hullet kan exploites remote uden om operativsystemet, eller om man er nødt til at bryde den vej ind (eller via HW-access) første gang, men er man først inde den vej, er operativsystemet sat helt uden for indflydelse.

"Undskyldningen" for at dette kodelag overhovedet existerer at så man kan lave "Antitheft" ting i BIOS'en som tyven ikke kan slippe uden om.

  • 11
  • 0
Morten Wegelbye Nissen

Jeg tør ikke sige om hullet kan exploites remote uden om operativsystemet, eller om man er nødt til at bryde den vej ind (eller via HW-access) første gang, men er man først inde den vej, er operativsystemet sat helt uden for indflydelse.


Men af det vi har set i artiklen er der ikke noget der indikere at det skulle være tilfældet - men omvendt er det heller ikke afdækket om der ligget noget i en netkortchip der reagere på noget magisk data. (Hvilket ikke ville undre mig set i lyset af hvor åbenlys koden er)

  • 2
  • 0
Peter Christiansen

Der er bagdøre i al konsum elektronik og hvis producenten ikke har
installeret den, bliver det gjort ad-hoc af CIA/NSA og andre fra deres reload centre,
før de kommer ud til kunden, ligesom det sker med bla. ydstyr fra Cisco.

http://www.businessinsider.com/cisco-ceo-letter-to-obama-about-nsa-2014-5

At gå efter Lenovo specifikt lugter langt væk af at man prøver at fjene
fokus på hvad USA har gjort altid. Sand nok er det et problem at kineserne
også begynder at installere bagdøre i deres grej, men at kassere / patche lenovo udstyr er jo bare toppen af isbjerget.

  • 8
  • 5
Nicholas Colding

Det lyder som relevant læsning.
Jeg kan desværre ikke tilgå linket i artiklen, da min arbejdsplads (Holbæk kommune), har blokeret den adresse.
Eftersom it er mit område og Lenovo er det fabrikat vi indkøber , ville jeg ellers mene at det er meget relevant...

  • 6
  • 0
Michael Thygesen

Ifølge forfatteren selv på Twitter er det en gammel fejl i Intel's reference implementation der er blevet copy/pastet.

Ikke at det gør det et hak bedre. Men i det mindste viser det sig så at Lenovos/Lenovos leverandører, som forventet, ikke er kompetente nok til at indbygge en bagdør med vilje.

  • 2
  • 0
Bent Jensen

Har også flere Hardware Firewall, også som standart slået den fra på alle PC.
Mener ikke at Firewall i den enkelte PC giver mening intern på net.
Og køre med Vlan i Level3 switch (hukommelse)

Men ja, installere opensource firmware på ens hardware firewall kunne være en hjælpe. Evt flere i serie til ens server og andet, man skal nok ikke stole på et DMZ sigment længere.

En dag jeg har lidt mere tid, sætter jeg overvågning på PC enkeltvis, som ikke skal sende noget. De IP som alligevel bliver kaldt bliver sortlistet.

Er der nogen som kender til nemt tilgægelige lister med noget sådan. Fik sat en liste over MS server ind, og det fik mine Windows basere PC til at opføre sig langt bedre, ud over at slippe for utilsigtet opdateringer. Eller skal man bare lukke for alle US-UK-CHN også åbne for Google, Amaxon og EBAY Eller som dommen, om at det er lovligt at hacke og begå indbrud i en anden artikkel her på Version2 i dag viser, bare lukke for helt nettet. Bruger det alligevel kun til Spil, Email, Nyheder, Bank, TV, Indkøb, Bestilling, Fjernbetjening af kunder, Musik, Læge, og Porno.

  • 2
  • 2
Claus Futtrup

Som PHK skriver, egentlig ikke overraskende. Hvem har glæde af bagdøren - Lenovo er kinesisk i dag. Var det noget som fulgte med fra IBM tiden?

"Hvis jeg var minister for IT i Danmark" - ja, eh, vi håber det kommer en dag. Jeg mener, man må håbe at der en dag kommer en afdeling under regeringen / Christiansborg, som beskæftiger sig intensivt med IT, både ift. det sikkerhedspolitiske, men også alt det andet (f.eks. det rets-mæssige, herunder folks krav til hvad der bliver logget om deres privatliv). Det er på høje tid.

  • 10
  • 0
Robert Voje

Som jeg ser det:
Dersom du har en ekstern firewall, så vil ikke dette hullet kunne gøre noget via netværk som du ikke kan opdage via logs fra din firewall.
Med mindre du stoler på en firewall som kører på en sårbar Lenovo maskine, så kan jeg ikke se hvordan denne sårbarhed kan ødelægge noget hvis du har styr på hvad der foregår på resten af dit netværk.
Dersom du har applikationer som kører på den sårbare Lenovo maskine, som har tilgang til andre maskiner eller enheder via netværk som du stoler på og ikke har firewall beskyttelse på, som f.eks. nfs, smb, iscsi, etc. så kan det også være et problem.

  • 1
  • 2
Jn Madsen

Software er bygget på massivt genbrug af allerede eksisterende ting.
Ingen vil afsætte ressourcer til at gennemgå de utallige tusinder linier kode, der er skrevet for år siden.
Ingen aner hvad disse linier indeholder af uoverlagte fejl og overlagte implementeringer af spion-ting.
Softwareudvikling er at genbruge gamle ting og så tilføje nyt oven på. Kvalitetssikring er at prøve at rette de fejl kunderne ringer ind med.

Det må være en kanon følelse at være politiker i Danmark og sidde med en følelse af, at alt de har foretaget sig på deres Lenovo,- det er der andre der ved alt om. Måske amerikanske og kinesiske myndigheder.
PET og FET sidder nok stadig og øver sig på ping og traceroute.

Det kunne være sjovt at sniffe på en Lenovo og se, hvem den egenligt prøver at snakke med.

  • 2
  • 1
Kenn Nielsen

Det må være en kanon følelse at være politiker i Danmark og sidde med en følelse af, at alt de har foretaget sig på deres Lenovo,- det er der andre der ved alt om. Måske amerikanske og kinesiske myndigheder.

Her i Danmark har vi ingen tradition for afpresning, bestikkelse, eller korruption.
Altså, dvs. der er ingen registreringer af sådanne tilfælde, og det er der naturligvis en god grund til.

Den danske forklaring er selvfølgeligt at det altid er tungtvejene grunde af stor national vigtighed, som ligger til grund for at vor minister f.eks.
- Accepterer USA'nsk eller anden spionage og bøjer sig forover og siger "Vi bliver glade for det i længden"
eller
- På et tvivlsomt grundlag indkøber en mængde flyvende IC35
eller
- Lader nationale værdier blive solgt til GoldmanSachs til spotpris.

...den mindre naive forklaring er :
- At 'det' stinker, og der nok i hvert tilfælde er fordækte forklaringer på tingenes tilstand.

K

  • 4
  • 0
Morten Wegelbye Nissen
  • 1
  • 0
Jn Madsen

Det kommer jo an på hvad for noget kode den bliver bedt om at kører og at der ikke findes noget ligende i vores netudstyr.

Helt klart,- men på et eller andet tidspunkt,- hvis det er "aktiveret", så vil den sende en ip pakke til en eller anden.
Hvis man logger samtlige adresser den snakker med vha udstyr uden for Lenovo'en,- så har man noget at arbejde med.

  • 1
  • 1
Log ind eller Opret konto for at kommentere