Lenovos forbandede problemer

Jakob Møllerhøj sendte mig en email og spurgte "Hvorfor Lenovo endnu ikke har udgivet et fix?" og inden jeg fik set mig om var svaret blevet alt for langt til et citat i en artikel, så jeg blev enig med ham om at blogge det i stedet.

Som i alle andre katastrofer er første punkt "stands ulykken".

I yderste konsekvens burde det medføre at man ikke afskiber nye computere, hvis der er begrundet mistanke om at BIOS'en indeholde denne (eller andre) bagdøre. I både USA og EU er der (dyre!) regler imod vidende at sende defekte produkter på markedet.

Mao: Ordremodtagelse, Produktion og Bogføring er i vildt oprør.

Lenovo har ikke råd til at bare lukke det hele ned, så de prøver panisk at finde ud af hvilke produkter de kan levere, for at holde butikken kørende.

Dernæst kommer problemet med at få lappet BIOSen.

Det første problem er at finde nogen man kan stole på til den opgave.

Lenovo skriver selv at de bruger en underleverandør, en "IBV" - Independent Bios Vendor, af hvilke der muligvis kun er en håndfuld på verdensplan.

Hvad enten de fortsætter med denne IBV, eller på anden måde vis, skal Lenovo bringe sig i en situation hvor de kan stole på dem der arbejder med BIOS koden.

Når der kun er en håndfuld af disse IBV'er siger det næsten sig selv at deres andre kunder også vil være ramt. IBV'en har højtråbende C-team medlemmer fra HP, Dell, Micron, Asus osv. i de andre ti telefoner.

For underleverandøren handler det derfor om for enhver pris ikke at blive holdt økonomisk ansvarlig for Lenovos eller andre kunders tab. Det gør næppe processen hurtigere på nogen måde.

Dernæst kommer spørgsmålet om hvor mange kunder man har tilbage bagefter. Det kan meget vel tænkes at underleverandøren allerede har set elefanten og har forskanset sig bag advokater, der er ved at forberede en preventiv konkurs.

Men whatever ...

Når Lenovo engang har etableret en kompetence de tør stole på, skal de have afdækket problemets omfang.

Hvis underleverandøren kan pege på en bestemt person som den skyldige og overbevise Lenovo og andre om at man kan nøjes med at gennemgå alt hans arbejde i versionskontrolsystemet, er opgaven næsten overskuelig.

Alternativt skal man grave alle kildetekster op.

Dernæst skal man kompilere dem og sammenligne med de BIOS'er man har sendt ud til kunderne, for at sikre sig at man faktisk har de rigtige kildetekster, hvis ikke, starter detektivarbejdet som i sidste ende slutter i Reflections On Trusting Trust.

Jeg vil godt vædde på at man ikke har "spildt" alt for mange resourcer på "reproducible builds", en disciplin der er mange gange sværere og mere omfattende end de fleste forestiller sig. F.eks skal man gemme de præcise versioner af kompilere og biblioteker osv. Hvis compileren er dum skal man have kildeteksten liggende i præcis samme katalog og køre den som den præcise samme bruger på det præcise samme tidspunkt(!) Udvikles der på en Microsoft platform skal man naturligvis særligt huske at beskytte sig imod uønskede Windows 10 opgraderinger.

Når man så engang har overbevist sig om at man har troværdige kompetencer og de rigtige kildetekster, kan det egentlige arbejde begynde.

Først skal den aktuelle bagdør naturligvis findes og fjernes.

Derefter bliver Lenovo så nødt til at foretage et strategisk valg:

Tør de stoppe der, og risikere at den næste bagdør bliver publiceret dagen efter deres fix er ude ?

Eller skal de gå "all in" så de tør love kunderne at de har kigget ordentligt efter ? Hvilke modeller, hvor langt tilbage ?

(Code-review er en meget langsommelig affære, specielt hvis det skal foretages med "hostile intent" som baseline.)

En god ledelse kan tage den slags beslutninger hurtigt, den dårlig tager den aldrig, men sender den varme kartoffel ned i organisationen. Jeg aner ikke hvor Lenovo er på den skala.

Når den rettede BIOS er klar skal der laves kvalitetskontrol, primært for at sikre sig at man ikke kvajer sig og får tusindvis af døde maskiner ind til garantireparation.

Her dukker en særlig komplikation op: Hvad hvis nu bagdøren har været anvendt og BIOSen er fusket med ?

Første spørgsmål er om man tør prøve at lappe og lukke. I bedste fald lykkes det, i ikke så heldigt fald går maskinen i sort og skal på værksted, i værste fald får den ondsindede kode det til at se ud som om man har lappet og lukket, men i virkeligheden er maskinen stadig kompromiteret.

Næste og langt sværere spørgsmål er hvad man skal sige til kunden i det tilfælde?

Helst noget der ikke resulteret i en større shit-storm og sagsanlæg...

Hvis man synes den tekniske del af opgaven ser formidabel ud, er det dog ingenting imod hvad Jura og Marketing kan diske op med...

Hvordan man skal "sælge" bios-updaten til kunderne?

Hvor mange IT afdelinger er det nu lige der tør lave remote BIOS opdateringer ? Hvor mange af dem forlanger at Lenovo sender folk ud og gør det under garantien ?

Inden firmaet blev solgt til Kina var det en del af IBM og nød "trusted vendor" status vidt og bredt.

Her er f.eks et billede fra rumstationen ISS:

Illustration: Privatfoto

Af årsager jeg personligt slet ikke fatter, mindst af alt i perioden efter Snowdens afsløringer, har firmaet i stort omfang bibeholdt denne goodwill.

Her er f.eks et andet billede af en Lenovo laptop.

Listen over organisationer hvor den sikkerhedsansvarlige har, eller burde have, røde ører er derfor lang, startende med DoD, DoE, NRC og fortsættende helt ned til Folketinget i Danmark (via CFCS) på den offentlige side og guderne vide hvor mange $BIGCORPs på den private side, startende med Lockheed, Boeing, Airbus, ...

Det mindste disse sikkerhedsuansvarlige kan gøre for at redde røven, er at de sender et krav til Lenovo om "en detaljeret forklaring". Helle for ikke at bemande den inbox.

I den tungere ende bliver der indkaldt til møde og det er ikke tilfældige folk midt i organisationen der bliver inviteret.

Et helt specielt møde bliver med IBM, hvis goodwill (og varemærker) Lenovo som sagt stadig lever højt på.

I det vedstående, regulatoriske, ringhjørne er FTC, FCC, EU og, i en ideel verden, Sikkerhedsstyrelsen, som alle burde sendt Lenovo et krav om at holde alle kunder skadesløse, eller alternativt tilbagekøbe alt skramlet.

Det har de næppe gjort endnu, men lur mig om ikke f.eks USAnske PC producenter skubber på?

... og konkurrenternes sælgere er naturligvis allerede ude med tilbud om totaludskiftning til "Computere fra USA som I kan stole på"

Det er situationen set fra min stol og derfor har jeg egentlig ingen forventing om at se et patch fra Lenovo lige med det samme.

Om C-teamet i Lenovo ser den på samme vis må tiden vise.

Jeg har med vilje ikke taget de ting med som virkelig kan komplicere sagen for Lenovo.

Det kunne f.eks vise sig at de selv har bedt om denne bagdør, f.eks til fabrikstest af maskinerne, eller at bagdøren varr indbygget på foranledning af en efterretningstjeneste, eller bare mod betaling, med eller uden Lenovos officielle vidende (eller måske kun med visse Lenovo medarbejderes vidende?)

Det kan også sagtens forestilles at der dukker endnu mere artige "faciliteter" op når man nu endelig kigger ordentligt efter.

Og tiden må vise hvilke andre leverandører der har samme problem, lignende problemer eller tilsvarende problemer.

Hvis ikke NSA, GCHQ og Mossad er grænseløst inkompetente, er svaret: Dem alle.

Og det bringer mig til moralen i den her historie: Hvem kan man stole på?

Brugeren og ledelsen stoler på IT/Indkøbs afdelingen.

...som igen stoler på IT-forhandleren.

...som igen stoler på grossisten.

...som igen stoler på Lenovo.

...som igen stoler på deres "IBV" underleverandør.

...som igen stoler på deres medarbejder.

...som helt sikkert kunne sælge "visse services" til både NSA, GCHQ, Mossad og mange andre efterretningstjenester.

Tillid er godt, men uden kontrol er den blot et andet ord for naïvitet.

Hvis man vil have IT man kan stole på, skal der være mulighed for at kontrollere hvad der foregår.

Der skal ikke være nogle lukkede kasser og i særdeleshed ikke kasser der er nittet, boltet, svejset, forseglet med epoxy og til sidst smurt ind i radioaktivt affald.

Denne bagdør gemmer sig i et hjørne af maskinens indlejrede firmware som, per design, burde have været helt umulig for udefrakommende at inspicere.

Læs beretningen fra ham der afslørede bagdøren og læg godt mærke til hvor mange barierre han må bryde ned før han overhovedet kan komme til at analysere koden for bagdøre til at begynde med.

Det er "security by obscurity" af absolut værste, mindst troværdige og mest skadelige art.

Men ja, jeg skrev det her blogindlæg på min Lenovo computer, for der er ingen computere på markedet der idag har et design man kan stole på.

Jeg håber rigtig meget at Tsvetan fra Olimex kører videre med hans ARM64 laptop projekt...

phk

Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Brian Højen-Sørensen

Hvad er der der gør at Lenovo skulle være mere "forbudt" end andre producenter?

Jeg tænker ikke specielt i denne sag (hvor Gigabyte, ASUS, HP og sikkert alle andre også er ramt i mere eller mindre grad). Jeg tænker mere på hvorfor det at købe en Acer, MSI eller Dell nede i Elgiganten skulle være bedre helt generelt? Det er ikke fordi jeg har nogen speciel tillid til Lenovo, men det har jeg heller ikke med hensyn til de andre, det hele er jo bygget i Kina af de samme komponenter.

  • 0
  • 0
#3 Thomas Hedberg

Det er for længst blevet konstateret at denne "feature" ikke er indbygget af Lenovo selv, men er kommer til Lenovo fra IBV'en som i dette tilfælde er Insyde og det menes at de har copy/pasted det fra et Intels reference design.

Dette bekræftes umiddelbart fordi samme funtion er fundet i bl.a. en HP maskine, flere motherboards fra Gigabyte og et ældre Intel reference design.

Insyde fortæller på deres hjemmeside at Acer, Toshiba, Lenovo, Siemens, HP, Dell, Wistron, Matata og Curtiss Wright er på deres liste over kunder og at deres UEFI BIOS er "The most widely used UEFI BIOS in production" - så der er med stor sandsynlig andre end Lenovo der slås med dette problem lige nu.

Det tager naturligvis mere et par dage at skabe det overblik og det bliver interessant at se hvornår de andre producenter melder sig på banen og hvor mange af dem der er ramt. Vi får det sikkert aldrig at vide, men det er særligt interessant hvis nogle af dem ikke er ramt overhovedet og hvordan de i så fald gik fri.

Hverken Intel, Insyde, Gigabyte eller HP har mig bekendt kommenteret på dette endnu.

  • 11
  • 2
#10 Bent Jensen

Opråb eller bare galde.

Det værste med den her overvågning af alt og alle, var hvis vi fik besked om det, at der var faste regler og (rigtigt) demokratisk og juritiskkontrol. Samt en ordenligt forklaring på hvorfor, hvem og hvad. Så ville de fleste formodenligt, synes at det var i orden.

Men i stedet har de bare øget overvågningen, helt uden for kontrol, tror ikke nogen ved hvad der helt foregår og hvorfor. Med alt og alle bliver overvåget, med undskyldningen om terror og børneporno. Men når det kommer til stykket så fanger de ingen terroister med deres overvågning, og hvis deres andet efterforskning eller huller har bare den mindste mulighed for at slippe ud, så lader de gladeligt børneporno og andet gå fri.

Det viser at systemet mest er til for system skyld, samt at industrispionage, terror, kriminalitet, og børneporno bare er undskydning for at flere penge, resurser og beføjelser.

Det ligner meget historien om hvordan briterne interneret Tysker fanger på et slot i England under 2 verdenskrig, hvor der var aflytning overalt. Der blev røbet mange hemmeligheder samt kendskab til jødeudrydelsen eller deltagelse blandt de fleste af de tyske officere. Inden koncentrations lejeren blev befriet troet man ikke på mange af de aflyttet samtaler om dette. Men efter krigen ville Churchill have de tyske officere dømt, det ville have betydet at denne overvågning og teknologi ville være blivet offenligjort. Da Churchill hurtigt mistet magten lige efter krigen, så gemte efterretningstjenesten denne overvågning væk, og lod alle de tyske fanger gå fri. For teknologien, og muligheden for at bruge den til at få andre oplysninger var vigtige end at få dømt folk for forbrydelser mod menneskeheden. Det er ikke lavet om på de 3 stjernets tilgang til tingene i dag. Heller lade en terroist eller børnevoldtægtsmand gå fri, end at vise man har oplysninger om et lille hul i noget software, som man har givet 100 milioner for, og som bliver patche 14 dage efter.

Så frihedshelten og samvitighed fangen Edward Snowden så rigtige da han ville advare os mod denne fare, hvor de 3 stjernet er mere ude for kontrol end under J. Edgar Hoover, hvor lovelige arbejden menneskeretigheds forkæmper blev overvåget og modarbejdet, eller drabt selv om de var under overvågning.

Frihedshelten og samvitighed fangen Edward Snowden handlet først som en rigtigt patriot med ansvar over for forfatningen og lovene, da hans chef stod ret i en høring overfor valgt repræsentanter (folkevalgte) og løj under ed.

Deres manglende efektivitet til at fange noget, hvis det ikke bibber eller blinker på en skærm viser sammes flugt, de kunnne ikke finde ud af at spære hans pas, så han rejste bare ud af landet.

Så derfor skal vi ikke give flere beføjelser væk, eller vi skal istedet tage dem tilbage, og sikker en demokratisk kontol af midler og foremål. Samt sikker at love også internationale bliver overholdt I principet kan de brænde alle vores penge af under julefrokosten. Nogen vil sige at i krig gælder alle kneb, det er ikke rigtige, det er noget der heder krigenslove og konvertioner som skal overholdes. Ellers er vi ikke en dyt bedre end dem vi bekæmper. Det ser næmmere ud til at de vinder, jo mere vi sælger ud af de frihedsretigheder og regler der skal beskytte det enkelte individ, mod måske at kunne fange en terorist. Jo mere vi lukker vi, for det de hader mest, vores frihed og åbenhed. Jo nærmer komme de sejren, mens vi taber, også på det personlige plan.

  • 6
  • 13
#12 Audun Nes

--- phk SITAT --- Eller skal de gå "all in" så de tør love kunderne at de har kigget ordentligt efter ? Hvilke modeller, hvor langt tilbage ? --- SITAT SLUT ---

Det er et rigtigt godt spørgsmål, og hvad hvis det også omfatter IdeaPad og Yoga modeller? Hvor mange private Lenovo ejere har nok viden til at opdatere Bios/efi? Og hvem tager udgiften?

  • 1
  • 0
#17 Kjeld Flarup Christensen

Hvis man vil være sikker (og stoler på Lenovo), så er man nødt til at geninstallere computeren totalt. Ny Bios, grundformattere harddiske, og måske et par andre ting. Dernæst skal OS geninstalleres fra ny, og så kan brugeren sætte sin computer op igen. Kort sagt, en hel ny computer. Så kan man overveje om man tør rulle en backup på med filer og cookies fra brugeren som kan være inficerede også.

Jeg tvivler på at standard brugerbetingelserne gør kunderne skadesløse i den situation.

  • 2
  • 1
#18 Tine Andersen

Helt enig- i str læsbar, er linierne så lange, at der skal scrolles sidelæns, og svarene er i str mikro. Godtnok trænger jeg til nye briller, men...

Det virker på min Android tablet, men ikke på Unbuntu på blærbar.

Mvh Tine God Tour!

  • 0
  • 0
#19 Bent Jensen

Opfølgning til oprøv Selv om jeg har fuldt forståelse for at kvinder ikke skal udsættes for det, som skete nyårsnat. Så er det jo stadig et udsalg af borger retigheder og retsikkerhed, hvor man nu bruger kolektiv afstraffelse, og man nok ikke længer skal gå i støre grupper. Det må også betyde at alle fan for et fodboldhold kan odømes for vold, kanonslag og alt andet før, under og efter en kamp. Samt kluberne eller hvem der lige har flest penge, skal betale alle omkostninger og udgifter til politi samt ødlægelser der forekommer ?

http://www.dr.dk/nyheder/udland/tyskland-skaerper-regler-hvornaar-det-er...

Men synes igen at det viser at vi bare sægler ud, de optrin der skete nyrårsnat kunne være forhindret hvis det var politi på gaden, og de samtidigt have taget deres opgaver alvorlige. Men igen et ledelsansvar, eller nok nærer et fravær, når der efter 500-1000 episoder meldes om en rolig nat. Måske der skulle bruges penge på betjente på gaden eller i patrulje vogene istedet på mere elektronik og overvågning, som åbenbart ikke forhindre vold og terror, selv om det bruges som begrundelse for flere resurser. Som igen bruges på anelytiker, adminstration, bonuser eller hvad ved jeg ! eller nogen som helst andre. Da det hele jo er hemmelig.

  • 1
  • 17
#22 Bent Jensen

er noget i tvivl om, hvad Bent Jensens mission er her på version2.

Jo, er her for at sætte etik, samvitighed, og tingene i perspektiv. Som en del af det at jeg er blevet ældre, samt min samlever har fundet min empatiskeevner i min lidt autiske ingeniør hjerne

Nogen læsere her, er jo så dybt fageligt funderet, at de ikke ser meget andet ud over det. Så de hopper på den første og bedste populistiske forklaring og forslag.Da de måske ikke (endnu) har opnået de samme evner inden for de lidt mere bløde fag.

Der udover så er mange af versions2 artikeler efterhånden meget "reklame" eller tæt på direkte viderbringning af PR fra firmaer samt maskinoversættelser af udlanske artikler. Så hvis de ikke blev holdt lidt i hånden, og tænkte på hvaedan Bent J. ville kommentere en artikel, inden de trykker på "send", så vil kvaliteten falde så meget, at de lukket sig selv.

Så vi er vigtigt, En del af det kritikse komentator korps .-)

  • 1
  • 2
#23 Bent Jensen

"Kan det blive mere off topic?"

Er det ikke en artikel om bagdøre, sikkert købt og betalt af en 3 bogstav. For at begå industri spionage og hente data fra private. Syndes at protest mod dette er on topic og viser at det ikke er sikkerhed eller bekæmpelse af Terror eller andet kriminalitet som er det vigtige for dem. Men stadig bare mere dem selv og deres "værktøj"

  • 1
  • 3
Log ind eller Opret konto for at kommentere