Jakob Møllerhøj sendte mig en email og spurgte "Hvorfor Lenovo endnu ikke har udgivet et fix?" og inden jeg fik set mig om var svaret blevet alt for langt til et citat i en artikel, så jeg blev enig med ham om at blogge det i stedet.
Som i alle andre katastrofer er første punkt "stands ulykken".
I yderste konsekvens burde det medføre at man ikke afskiber nye computere, hvis der er begrundet mistanke om at BIOS'en indeholde denne (eller andre) bagdøre. I både USA og EU er der (dyre!) regler imod vidende at sende defekte produkter på markedet.
Mao: Ordremodtagelse, Produktion og Bogføring er i vildt oprør.
Lenovo har ikke råd til at bare lukke det hele ned, så de prøver panisk at finde ud af hvilke produkter de kan levere, for at holde butikken kørende.
Dernæst kommer problemet med at få lappet BIOSen.
Det første problem er at finde nogen man kan stole på til den opgave.
Lenovo skriver selv at de bruger en underleverandør, en "IBV" - Independent Bios Vendor, af hvilke der muligvis kun er en håndfuld på verdensplan.
Hvad enten de fortsætter med denne IBV, eller på anden måde vis, skal Lenovo bringe sig i en situation hvor de kan stole på dem der arbejder med BIOS koden.
Når der kun er en håndfuld af disse IBV'er siger det næsten sig selv at deres andre kunder også vil være ramt. IBV'en har højtråbende C-team medlemmer fra HP, Dell, Micron, Asus osv. i de andre ti telefoner.
For underleverandøren handler det derfor om for enhver pris ikke at blive holdt økonomisk ansvarlig for Lenovos eller andre kunders tab. Det gør næppe processen hurtigere på nogen måde.
Dernæst kommer spørgsmålet om hvor mange kunder man har tilbage bagefter. Det kan meget vel tænkes at underleverandøren allerede har set elefanten og har forskanset sig bag advokater, der er ved at forberede en preventiv konkurs.
Men whatever ...
Når Lenovo engang har etableret en kompetence de tør stole på, skal de have afdækket problemets omfang.
Hvis underleverandøren kan pege på en bestemt person som den skyldige og overbevise Lenovo og andre om at man kan nøjes med at gennemgå alt hans arbejde i versionskontrolsystemet, er opgaven næsten overskuelig.
Alternativt skal man grave alle kildetekster op.
Dernæst skal man kompilere dem og sammenligne med de BIOS'er man har sendt ud til kunderne, for at sikre sig at man faktisk har de rigtige kildetekster, hvis ikke, starter detektivarbejdet som i sidste ende slutter i Reflections On Trusting Trust.
Jeg vil godt vædde på at man ikke har "spildt" alt for mange resourcer på "reproducible builds", en disciplin der er mange gange sværere og mere omfattende end de fleste forestiller sig. F.eks skal man gemme de præcise versioner af kompilere og biblioteker osv. Hvis compileren er dum skal man have kildeteksten liggende i præcis samme katalog og køre den som den præcise samme bruger på det præcise samme tidspunkt(!) Udvikles der på en Microsoft platform skal man naturligvis særligt huske at beskytte sig imod uønskede Windows 10 opgraderinger.
Når man så engang har overbevist sig om at man har troværdige kompetencer og de rigtige kildetekster, kan det egentlige arbejde begynde.
Først skal den aktuelle bagdør naturligvis findes og fjernes.
Derefter bliver Lenovo så nødt til at foretage et strategisk valg:
Tør de stoppe der, og risikere at den næste bagdør bliver publiceret dagen efter deres fix er ude ?
Eller skal de gå "all in" så de tør love kunderne at de har kigget ordentligt efter ? Hvilke modeller, hvor langt tilbage ?
(Code-review er en meget langsommelig affære, specielt hvis det skal foretages med "hostile intent" som baseline.)
En god ledelse kan tage den slags beslutninger hurtigt, den dårlig tager den aldrig, men sender den varme kartoffel ned i organisationen. Jeg aner ikke hvor Lenovo er på den skala.
Når den rettede BIOS er klar skal der laves kvalitetskontrol, primært for at sikre sig at man ikke kvajer sig og får tusindvis af døde maskiner ind til garantireparation.
Her dukker en særlig komplikation op: Hvad hvis nu bagdøren har været anvendt og BIOSen er fusket med ?
Første spørgsmål er om man tør prøve at lappe og lukke. I bedste fald lykkes det, i ikke så heldigt fald går maskinen i sort og skal på værksted, i værste fald får den ondsindede kode det til at se ud som om man har lappet og lukket, men i virkeligheden er maskinen stadig kompromiteret.
Næste og langt sværere spørgsmål er hvad man skal sige til kunden i det tilfælde?
Helst noget der ikke resulteret i en større shit-storm og sagsanlæg...
Hvis man synes den tekniske del af opgaven ser formidabel ud, er det dog ingenting imod hvad Jura og Marketing kan diske op med...
Hvordan man skal "sælge" bios-updaten til kunderne?
Hvor mange IT afdelinger er det nu lige der tør lave remote BIOS opdateringer ? Hvor mange af dem forlanger at Lenovo sender folk ud og gør det under garantien ?
Inden firmaet blev solgt til Kina var det en del af IBM og nød "trusted vendor" status vidt og bredt.
Her er f.eks et billede fra rumstationen ISS:
Af årsager jeg personligt slet ikke fatter, mindst af alt i perioden efter Snowdens afsløringer, har firmaet i stort omfang bibeholdt denne goodwill.
Her er f.eks et andet billede af en Lenovo laptop.
Listen over organisationer hvor den sikkerhedsansvarlige har, eller burde have, røde ører er derfor lang, startende med DoD, DoE, NRC og fortsættende helt ned til Folketinget i Danmark (via CFCS) på den offentlige side og guderne vide hvor mange $BIGCORPs på den private side, startende med Lockheed, Boeing, Airbus, ...
Det mindste disse sikkerhedsuansvarlige kan gøre for at redde røven, er at de sender et krav til Lenovo om "en detaljeret forklaring". Helle for ikke at bemande den inbox.
I den tungere ende bliver der indkaldt til møde og det er ikke tilfældige folk midt i organisationen der bliver inviteret.
Et helt specielt møde bliver med IBM, hvis goodwill (og varemærker) Lenovo som sagt stadig lever højt på.
I det vedstående, regulatoriske, ringhjørne er FTC, FCC, EU og, i en ideel verden, Sikkerhedsstyrelsen, som alle burde sendt Lenovo et krav om at holde alle kunder skadesløse, eller alternativt tilbagekøbe alt skramlet.
Det har de næppe gjort endnu, men lur mig om ikke f.eks USAnske PC producenter skubber på?
... og konkurrenternes sælgere er naturligvis allerede ude med tilbud om totaludskiftning til "Computere fra USA som I kan stole på"
Det er situationen set fra min stol og derfor har jeg egentlig ingen forventing om at se et patch fra Lenovo lige med det samme.
Om C-teamet i Lenovo ser den på samme vis må tiden vise.
Jeg har med vilje ikke taget de ting med som virkelig kan komplicere sagen for Lenovo.
Det kunne f.eks vise sig at de selv har bedt om denne bagdør, f.eks til fabrikstest af maskinerne, eller at bagdøren varr indbygget på foranledning af en efterretningstjeneste, eller bare mod betaling, med eller uden Lenovos officielle vidende (eller måske kun med visse Lenovo medarbejderes vidende?)
Det kan også sagtens forestilles at der dukker endnu mere artige "faciliteter" op når man nu endelig kigger ordentligt efter.
Og tiden må vise hvilke andre leverandører der har samme problem, lignende problemer eller tilsvarende problemer.
Hvis ikke NSA, GCHQ og Mossad er grænseløst inkompetente, er svaret: Dem alle.
Og det bringer mig til moralen i den her historie: Hvem kan man stole på?
Brugeren og ledelsen stoler på IT/Indkøbs afdelingen.
...som igen stoler på IT-forhandleren.
...som igen stoler på grossisten.
...som igen stoler på Lenovo.
...som igen stoler på deres "IBV" underleverandør.
...som igen stoler på deres medarbejder.
...som helt sikkert kunne sælge "visse services" til både NSA, GCHQ, Mossad og mange andre efterretningstjenester.
Tillid er godt, men uden kontrol er den blot et andet ord for naïvitet.
Hvis man vil have IT man kan stole på, skal der være mulighed for at kontrollere hvad der foregår.
Der skal ikke være nogle lukkede kasser og i særdeleshed ikke kasser der er nittet, boltet, svejset, forseglet med epoxy og til sidst smurt ind i radioaktivt affald.
Denne bagdør gemmer sig i et hjørne af maskinens indlejrede firmware som, per design, burde have været helt umulig for udefrakommende at inspicere.
Læs beretningen fra ham der afslørede bagdøren og læg godt mærke til hvor mange barierre han må bryde ned før han overhovedet kan komme til at analysere koden for bagdøre til at begynde med.
Det er "security by obscurity" af absolut værste, mindst troværdige og mest skadelige art.
Men ja, jeg skrev det her blogindlæg på min Lenovo computer, for der er ingen computere på markedet der idag har et design man kan stole på.
Jeg håber rigtig meget at Tsvetan fra Olimex kører videre med hans ARM64 laptop projekt...
phk
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
