Durante un control interno, Lenovo ha encontrado una puerta trasera en Enterprise Network Operating System (ENOS), que es utilizado en algunos de los switches de la empresa, como por ejemplo la familia de productos RackSwitch y BladeCenter. El problema es grave debido a que un atacante puede obtener acceso administrativoy de esa forma interceptar y monitorizar el tráfico de datos que fluye a través del equipo.
#13:
#8 Nortel es(era) un fabricante de electrónica de red que se integra (integró) con AVAYA y con Alcatel (no recuerdo el orden...) y fabricaba productos para terceros (algo habitual...)
El el baile de compras de empresas dedicadas a hardware, la división de switching concreta de Nortel acabó en manos de IBM, que ensambló productos Nortel con su marca, y al final, acabó vendiendo esa división a Lenovo, que hizo lo mismo...
Y mira tu por donde, a fecha 2018, deciden revisar el firmware de los switches y descubren, oh sorpresa, que alguien ha metido una puerta trasera a propósito que se llama "HP Backdoor"...porque Nortel fabricaba a terceros, no lo olvidemos.
Lo que quiere decir es que un tercero pidió a Nortel insertar una puerta trasera a sus productos para poder monitorizar, acceder y registrar el tráfico de red (desde tu correo electrónico a tu dirección postal y todo aquello que pasa por allí) de forma remota. Y olvidaron (o no) el código allí hasta ahora.
Si una empresa dispone de ese tipo de dispositivos, todo el tráfico de red ha sido vulnerable durante todo este tiempo, pudiendo un atacante haber obtenido información que, se supone, no es visible fuera de la red...vamos, un marrón en toda regla, ya que son equipos profesionales que usan empresas grandes.
#1:
Siendo Lenovo en realidad fueron a poner ellos una puerta trasera y se encontraron con que ya habían puesto una.
#2:
"(...) El mecanismo fue habilitado a petición de uno de los clientes OEM de la empresa, y para tales efectos fue denominado ‘HP Backdoor’”.
Me pregunto quién habrá pedido eso...
#16:
#5 hace años que se lleva reportando puertas traseras en los ordenadores de lenovo:
y es una pena porque los portatiles thinkpad (marca que pertenecía a IBM) son robustos y bien soportados en linux, pero por culpa de las puertas traseras se ha convertido en una marca a evitar a toda costa
#15:
#3 Y que hay que concienciar a la gente de lo importante que es la seguridad y la privacidad; y por tanto, de lo peligroso que resulta el software privativo.
#3 Y que hay que concienciar a la gente de lo importante que es la seguridad y la privacidad; y por tanto, de lo peligroso que resulta el software privativo.
#35 Hmmm... por la calle tu reloj le puedd dar la hora a alguien que te caiga mal, y tu no quieras que sepa la hora por tu reloj: al dar la información de forma pública basta con echar un vistazo de reojo... pueden saber hasta si se te ha olvidado adelantarlo (o retrasarlo) segun el cambio de hora. Un fallo imperdonable.
Tu microhondas es vugnerable a cubiertos de plástico con trazas de metales.
#37 Siento quitarte la ilusión pero sí, tu reloj y tu microondas son vulnerables, al igual que los árboles. Es más, los pobres arbolicos son super vulnerables en los tiempos que corren, deberíamos protegerlos más... http://dle.rae.es/?id=c5dW2by
y es una pena porque los portatiles thinkpad (marca que pertenecía a IBM) son robustos y bien soportados en linux, pero por culpa de las puertas traseras se ha convertido en una marca a evitar a toda costa
#16 Este fallo no afecta a ordenadores, sino a switches. Lo cual no se que es más preocupante, ya que esos switches los utilizarán empresas por donde pasan datos personales de todo el mundo.
Estoy de acuerdo contigo, soy usuario de Thinkpads y es una pena que ya no sean de IBM, el próximo portátil que tenga ya dudo que sea Lenovo. Pasa igual que con Apple, hace años entendería que quien se comprase un Apple porque tenía hardware concreto, hoy en día no solo usa hardware que tiene cualquier PC, sino que encima usa hardware algo desfasado. La ventaja que tenían los Thinkpads de robustos y seguros se esfumó.
Yo sigo pensando lo mismo que llevo pensando hace un tiempo, aqui esta todo montado para espiar a quien sea necesario, y no hay que darle mas vueltas al asunto. Vulnerabilidad es mas bien una cagada digamos, todo lo que sale ahora no son cagadas, son funcionalidades ocultas.
#9 Desde que el software libre se ha generalizado (en servidores y equipos de redes, me refiero), han tenido que bajar al nivel de hardware. Por eso es tan importante empezar a impulsar el hardware libre. Podrán engañarnos y vendernos un diseño mientras nos dicen que es otro, pero estaremos un paso más cerca de la privacidad real (al menos, de router para dentro).
Cuando el hardware libre esté generalizado, habrá que dar el paso de las impresoras 3D o similar, que nos permita imprimir nuestros propios componentes.
El nivel de complejidad de desarrollar Hard libre Vs soft es varios ordenes de magnitud por encima, no me preguntes por que pero todos los proyectos que he seguido a lo largo de los años sobre temas que me interesaban al respecto o se quedaron en nada o tuvieron retrasos importantes (del orden de uno o dos años) que hicieron que cuando finalmente salia el cacharro ya estaba tan desfasado que poco menos que era una curiosidad.
Por poner 3 ejemplos intentaban/intentan generar una base medianamente libre para un dispositivo, los costes de produccion se disparan y se acabaron (menos la pyra-openpandora) en agua de borrrajas.
No se si es conspiranoia o realmente es tan jodido involucrar a una compañia de semiconductores en dar servicio a placas abiertas, pero el caso es que al menos yo lo que llevo viendo a lo largo de los años son proyectos mas o menos prometedores estrellandose una y otra vez (con la unica extepcion de openpandora que para cuando salio a la luz ya era un cacharro bastante desfasado)
#38 ¿Arduino? Sí, es más complejo porque la gente que puede entenderlo y mejorarlo son muchos menos que los que pueden entender el software. Pero en cualquier caso, es cuestión de tiempo. Estamos mucho más cerca que hace una década, desde luego.
#42 Hablamos de hardware libre, circuiteria para hacer labores medio serias, no, adruino apenas pasa de curiosidad para entusiastas, te falta potencia (y elementos dedicados) por todas las esquinas, No es solo el diseño de circuitos, que tiene su intringulis, si no que la fabricacion/distribucion/comercializacion entran en juego, no es tan facil como desarrollo soft lo libero en un repositorio público y ale a generar comunidad, aqui la comunidad tiene que rascarse el bolsillo y meter pasta, los prototipos no son baratos y no todo el mundo tiene quinientos pavetes para quemar en un hobbie.
#43 Claro, obviamente arduino no vale como base para un servidor. Era un ejemplo de hardware libre que funciona comercialmente.
El software libre tampoco empezó con un SO completo. Lo primero que se hacía eran aplicaciones sueltas. Todo empezó con un driver de impresora... y lo de tener un sistema completo tardó bastante más. Con el hardware libre hay que tener paciencia también. Sobre todo teniendo en cuenta eso, que "cualquiera" no puede entrar a colaborar así fácilmente. Hay que tener unos conocimientos de varios años de carrera para empezar a poder entenderlo.
No sé, yo soy bastante más optimista en este aspecto. He visto avanzar al hardware libre estos últimos años lo que no creí que pudiera avanzar en décadas. ¿Que no es algo que tendremos para 2020? Ya, bueno, pero para 2030 sí podemos ver cosas. Sobre todo si ayudamos como buenamente podamos (crowdfunding, comprando hardware libre existente, ayudando con drivers y aplicaciones software ad-hoc,...).
#45 pues no sé, yo aquí si soy muy cenizo, en software la diferencia entre soft propietario y libre del 2000 hasta ahora se hizo trizas hasta tener entornos libres bastante más majos que su alternativa, sin embargo en hard veo justo la evolución contraria, si en el 2000 tenías cosas que bueno no eran la leche pero para el estado del arte de la época podían competir al menos a nivel usuario, a día de hoy la diferencia entre libre y propietario es tan grande que el primero se reduce a juguetes para entusiastas del cachareo... Y es un tema muy grave
#30 Ya las tiene para la lucha contra el terrorismo y los yihadistas (lo comentaban en un documental frances de como funcionaba las redes de captación yihadistas de jovenes). Y si no derivadas a traves del dispositivo, que lo dijo Snowden sobre los manifestantes iranies de la ultima rebelión organizada.
#26 O pataleta espartaquiana. Todo depende de la perspectiva de si eres el amo, el esclavo, el burgues, el explotador, un intermediario de la explotación trabajando para los amos, ...
#8 Nortel es(era) un fabricante de electrónica de red que se integra (integró) con AVAYA y con Alcatel (no recuerdo el orden...) y fabricaba productos para terceros (algo habitual...)
El el baile de compras de empresas dedicadas a hardware, la división de switching concreta de Nortel acabó en manos de IBM, que ensambló productos Nortel con su marca, y al final, acabó vendiendo esa división a Lenovo, que hizo lo mismo...
Y mira tu por donde, a fecha 2018, deciden revisar el firmware de los switches y descubren, oh sorpresa, que alguien ha metido una puerta trasera a propósito que se llama "HP Backdoor"...porque Nortel fabricaba a terceros, no lo olvidemos.
Lo que quiere decir es que un tercero pidió a Nortel insertar una puerta trasera a sus productos para poder monitorizar, acceder y registrar el tráfico de red (desde tu correo electrónico a tu dirección postal y todo aquello que pasa por allí) de forma remota. Y olvidaron (o no) el código allí hasta ahora.
Si una empresa dispone de ese tipo de dispositivos, todo el tráfico de red ha sido vulnerable durante todo este tiempo, pudiendo un atacante haber obtenido información que, se supone, no es visible fuera de la red...vamos, un marrón en toda regla, ya que son equipos profesionales que usan empresas grandes.
¿El propio fabricante para uso interno?
¿Un desarrollador durmiente infiltrado?
¿Un desarrollador corrupto al que le pagaba una mafia?
¿Un desarrollador corrupto que debia una pasta ingente por apuestas y le hicieron una propuesta que no pudo rechazar?
#17 De medios basura igual si.
Desde la teoria del "time well spent" hasta las "noticias" incompletas de mierda para que rellenes los huecos con mierdas del buffer de cada uno.
Te lo ahorras y vuelcas directamente tu buffer y tus sesgos. El que quiera informar de verdad sin infoxicar proporcionará la información de otra forma mediante una interface diferente.
Pero como si es gratis, el producto eres tu, pues a tomar por culo.
Si era una información crítica por qué no estaba en la entradilla.
#21#17 De todas formas yo sufro un derivado de la estafa de la obsolescencia programada junto con un efecto o sesgo guevon o tambien llamado de los gordos de wall-e. Y entonces cada click me cuesta mas.
Claro que algunos tienen acceso a información a traves de servicios que cuestan una pasta (tipo a world check de reuters pero para periodistas y medios) que pagan monetizando usuarios/producto.
Es un poco la rebelión espartaquiana de los esclavos monetizados, los productos.
#12 La gente de Telegram estuvo en USA hace un tiempo y dicen que los contactaron varias veces para intentar sobornarlos para que metieran una puerta trasera de Telegram.
Venga, que salgan los bocachanclas que decian que el intel IME no pone backdoors a traicion y alevosia, que esta todo auditado, etc, etc...
Las CPUs estan llenas de backdoors para hacer lo que se les cante. El hardware aunque lo paguemos, es suyo, continuan haciendo con el lo que les sale de los cojones
Comentarios
Siendo Lenovo en realidad fueron a poner ellos una puerta trasera y se encontraron con que ya habían puesto una.
"(...) El mecanismo fue habilitado a petición de uno de los clientes OEM de la empresa, y para tales efectos fue denominado ‘HP Backdoor’”.
Me pregunto quién habrá pedido eso...
#2 Tiene pinta que fue un tal M. Rajoy
#2 HidePuta Backdoor, claramente.
#2 Secret Corp. (wink, wink)
La conclusión que saco es que TODO es vulnerable. A propósito o no.
#3 Y que hay que concienciar a la gente de lo importante que es la seguridad y la privacidad; y por tanto, de lo peligroso que resulta el software privativo.
#15 Y el hardware privativo, que tambien tiene lo suyo
#15 y de lo inútil de toda lucha sobre este tema. visto lo visto.
#3 En algun momento lo dudaste ?
#3 No. Mi reloj no es vulnerable. Y mi microondas tampoco.
#28 ... tu tele si es vugnerable, y tu reloj depende.. es de esos con “pantallica”?
#34 Pero dijiste que todo. Y mi reloj y mi microondas no lo son.
#35 Hmmm... por la calle tu reloj le puedd dar la hora a alguien que te caiga mal, y tu no quieras que sepa la hora por tu reloj: al dar la información de forma pública basta con echar un vistazo de reojo... pueden saber hasta si se te ha olvidado adelantarlo (o retrasarlo) segun el cambio de hora. Un fallo imperdonable.
Tu microhondas es vugnerable a cubiertos de plástico con trazas de metales.
#36 Ah, si llamas vulnerabilidad a cualquier cosa entonces sí, hasta los árboles son "vulnerables".
#37 Siento quitarte la ilusión pero sí, tu reloj y tu microondas son vulnerables, al igual que los árboles. Es más, los pobres arbolicos son super vulnerables en los tiempos que corren, deberíamos protegerlos más... http://dle.rae.es/?id=c5dW2by
#40 Ah, entonces me quedo más tranquilo porque es algo con lo que hemos convivido desde siempre. Nada de qué preocuparse.
#46 Así es!
2018, el año de la (in)seguridad informática.
Vaya ritmo que lleva el asunto...
#4 Bueno, esto no esta al mismo nivel, al menos no tan sorprendente, Lenovo lleva años con problemas de seguridad.
#5 hace años que se lleva reportando puertas traseras en los ordenadores de lenovo:
https://www.techworm.net/2015/08/lenovo-pcs-and-laptops-seem-to-have-a-bios-level-backdoor.html
https://www.elitetrader.com/et/threads/backdoor-in-all-lenovo-thinkpads.301057/
https://www.geek.com/chips/spy-agencies-shun-lenovo-finding-backdoors-built-into-the-hardware-1563801/
y es una pena porque los portatiles thinkpad (marca que pertenecía a IBM) son robustos y bien soportados en linux, pero por culpa de las puertas traseras se ha convertido en una marca a evitar a toda costa
#16 Este fallo no afecta a ordenadores, sino a switches. Lo cual no se que es más preocupante, ya que esos switches los utilizarán empresas por donde pasan datos personales de todo el mundo.
Estoy de acuerdo contigo, soy usuario de Thinkpads y es una pena que ya no sean de IBM, el próximo portátil que tenga ya dudo que sea Lenovo. Pasa igual que con Apple, hace años entendería que quien se comprase un Apple porque tenía hardware concreto, hoy en día no solo usa hardware que tiene cualquier PC, sino que encima usa hardware algo desfasado. La ventaja que tenían los Thinkpads de robustos y seguros se esfumó.
Yo sigo pensando lo mismo que llevo pensando hace un tiempo, aqui esta todo montado para espiar a quien sea necesario, y no hay que darle mas vueltas al asunto. Vulnerabilidad es mas bien una cagada digamos, todo lo que sale ahora no son cagadas, son funcionalidades ocultas.
#9 Desde que el software libre se ha generalizado (en servidores y equipos de redes, me refiero), han tenido que bajar al nivel de hardware. Por eso es tan importante empezar a impulsar el hardware libre. Podrán engañarnos y vendernos un diseño mientras nos dicen que es otro, pero estaremos un paso más cerca de la privacidad real (al menos, de router para dentro).
Cuando el hardware libre esté generalizado, habrá que dar el paso de las impresoras 3D o similar, que nos permita imprimir nuestros propios componentes.
#14 #9 De lo poco que entiendo:
El nivel de complejidad de desarrollar Hard libre Vs soft es varios ordenes de magnitud por encima, no me preguntes por que pero todos los proyectos que he seguido a lo largo de los años sobre temas que me interesaban al respecto o se quedaron en nada o tuvieron retrasos importantes (del orden de uno o dos años) que hicieron que cuando finalmente salia el cacharro ya estaba tan desfasado que poco menos que era una curiosidad.
http://neo900.org/
https://pyra-handheld.com/boards/pages/pyra/
http://wiki.openmoko.org/wiki/Main_Page
Por poner 3 ejemplos intentaban/intentan generar una base medianamente libre para un dispositivo, los costes de produccion se disparan y se acabaron (menos la pyra-openpandora) en agua de borrrajas.
No se si es conspiranoia o realmente es tan jodido involucrar a una compañia de semiconductores en dar servicio a placas abiertas, pero el caso es que al menos yo lo que llevo viendo a lo largo de los años son proyectos mas o menos prometedores estrellandose una y otra vez (con la unica extepcion de openpandora que para cuando salio a la luz ya era un cacharro bastante desfasado)
#38 ¿Arduino? Sí, es más complejo porque la gente que puede entenderlo y mejorarlo son muchos menos que los que pueden entender el software. Pero en cualquier caso, es cuestión de tiempo. Estamos mucho más cerca que hace una década, desde luego.
#42 Hablamos de hardware libre, circuiteria para hacer labores medio serias, no, adruino apenas pasa de curiosidad para entusiastas, te falta potencia (y elementos dedicados) por todas las esquinas, No es solo el diseño de circuitos, que tiene su intringulis, si no que la fabricacion/distribucion/comercializacion entran en juego, no es tan facil como desarrollo soft lo libero en un repositorio público y ale a generar comunidad, aqui la comunidad tiene que rascarse el bolsillo y meter pasta, los prototipos no son baratos y no todo el mundo tiene quinientos pavetes para quemar en un hobbie.
#43 Claro, obviamente arduino no vale como base para un servidor. Era un ejemplo de hardware libre que funciona comercialmente.
El software libre tampoco empezó con un SO completo. Lo primero que se hacía eran aplicaciones sueltas. Todo empezó con un driver de impresora... y lo de tener un sistema completo tardó bastante más. Con el hardware libre hay que tener paciencia también. Sobre todo teniendo en cuenta eso, que "cualquiera" no puede entrar a colaborar así fácilmente. Hay que tener unos conocimientos de varios años de carrera para empezar a poder entenderlo.
No sé, yo soy bastante más optimista en este aspecto. He visto avanzar al hardware libre estos últimos años lo que no creí que pudiera avanzar en décadas. ¿Que no es algo que tendremos para 2020? Ya, bueno, pero para 2030 sí podemos ver cosas. Sobre todo si ayudamos como buenamente podamos (crowdfunding, comprando hardware libre existente, ayudando con drivers y aplicaciones software ad-hoc,...).
#45 pues no sé, yo aquí si soy muy cenizo, en software la diferencia entre soft propietario y libre del 2000 hasta ahora se hizo trizas hasta tener entornos libres bastante más majos que su alternativa, sin embargo en hard veo justo la evolución contraria, si en el 2000 tenías cosas que bueno no eran la leche pero para el estado del arte de la época podían competir al menos a nivel usuario, a día de hoy la diferencia entre libre y propietario es tan grande que el primero se reduce a juguetes para entusiastas del cachareo... Y es un tema muy grave
¿Otra vez Lenovo? Aun me acuerdo del Superfish. A mí me tocó y anda que no me dio guerra hasta que se detectó el problema general y se dio solución.
https://es.gizmodo.com/estos-son-los-ordenadores-lenovo-con-el-adware-superfis-1686943728
Lenovo never again.
Si empezaran a sancionar duramente ya veríamos como se acabaran estas gilipolleces:
- Los que han intervenido a la cárcel unos 4-8 años dependiendo de la gravedad y la complicidad o ayuda con el tema.
- A la empresa se le prohibe la actividad comercial durante 1-5 años dependiendo de la gravedad.
- Una multa de 1.000 $/1.000 € por cada día que pasara sin haber dicho nada sobre el fallo, una vez que lo hubiesen descubierto.
Salu2
#30 Ya las tiene para la lucha contra el terrorismo y los yihadistas (lo comentaban en un documental frances de como funcionaba las redes de captación yihadistas de jovenes). Y si no derivadas a traves del dispositivo, que lo dijo Snowden sobre los manifestantes iranies de la ultima rebelión organizada.
CVE-2017-3765 Detail
Awaiting Analysis
This vulnerability is currently awaiting analysis.
https://nvd.nist.gov/vuln/detail/CVE-2017-3765
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3765
#26 O pataleta espartaquiana. Todo depende de la perspectiva de si eres el amo, el esclavo, el burgues, el explotador, un intermediario de la explotación trabajando para los amos, ...
¿Alguien lo explica para que gente como yo lo entienda? Porque, después de leerlo, me quedo igual que antes.
#8 Nortel es(era) un fabricante de electrónica de red que se integra (integró) con AVAYA y con Alcatel (no recuerdo el orden...) y fabricaba productos para terceros (algo habitual...)
El el baile de compras de empresas dedicadas a hardware, la división de switching concreta de Nortel acabó en manos de IBM, que ensambló productos Nortel con su marca, y al final, acabó vendiendo esa división a Lenovo, que hizo lo mismo...
Y mira tu por donde, a fecha 2018, deciden revisar el firmware de los switches y descubren, oh sorpresa, que alguien ha metido una puerta trasera a propósito que se llama "HP Backdoor"...porque Nortel fabricaba a terceros, no lo olvidemos.
Lo que quiere decir es que un tercero pidió a Nortel insertar una puerta trasera a sus productos para poder monitorizar, acceder y registrar el tráfico de red (desde tu correo electrónico a tu dirección postal y todo aquello que pasa por allí) de forma remota. Y olvidaron (o no) el código allí hasta ahora.
Si una empresa dispone de ese tipo de dispositivos, todo el tráfico de red ha sido vulnerable durante todo este tiempo, pudiendo un atacante haber obtenido información que, se supone, no es visible fuera de la red...vamos, un marrón en toda regla, ya que son equipos profesionales que usan empresas grandes.
#8 resumen de la noticia: lenovo = 💩
#18 No seas simplista. A ver si te crees que no hay puertas traseras en productos como, por ejemplo, Cisco.
#22 nunca he afirmado eso. cisco tampoco es de fiar. ni nada de lo que venga de EEUU es de fiar
¿Puera traera introducida por quién?
¿Nsa o equivalente unidad 61398?
https://arstechnica.com/information-technology/2016/01/juniper-drops-nsa-developed-code-following-new-backdoor-revelations/
¿El propio fabricante para uso interno?
¿Un desarrollador durmiente infiltrado?
¿Un desarrollador corrupto al que le pagaba una mafia?
¿Un desarrollador corrupto que debia una pasta ingente por apuestas y le hicieron una propuesta que no pudo rechazar?
#12 Leer no da cáncer, explican claramente que fue pedida por un tercero, goto 2
#17 De medios basura igual si.
Desde la teoria del "time well spent" hasta las "noticias" incompletas de mierda para que rellenes los huecos con mierdas del buffer de cada uno.
Te lo ahorras y vuelcas directamente tu buffer y tus sesgos. El que quiera informar de verdad sin infoxicar proporcionará la información de otra forma mediante una interface diferente.
Pero como si es gratis, el producto eres tu, pues a tomar por culo.
Si era una información crítica por qué no estaba en la entradilla.
#21 #17 De todas formas yo sufro un derivado de la estafa de la obsolescencia programada junto con un efecto o sesgo guevon o tambien llamado de los gordos de wall-e. Y entonces cada click me cuesta mas.
Claro que algunos tienen acceso a información a traves de servicios que cuestan una pasta (tipo a world check de reuters pero para periodistas y medios) que pagan monetizando usuarios/producto.
Es un poco la rebelión espartaquiana de los esclavos monetizados, los productos.
#12 ¿Uno del cual tenian secretos (la mafia, las triadas, o los servicios de inteligencia y espionaje locales o extranjeros) que no queria que su familia conociese?
Destapan mails de empleados de Amazon y Microsoft a burdeles
Destapan mails de empleados de Amazon y Microsoft ...
adslzone.netLas vulnerabilidades humanas.
#12 La gente de Telegram estuvo en USA hace un tiempo y dicen que los contactaron varias veces para intentar sobornarlos para que metieran una puerta trasera de Telegram.
Ya están los chinos de nuevo metiendo puertas traseras a los productos occiden...oh wait
Como les gusta una puerta trasera a estos de Lenovo, da igual que les pillen 20 veces que siguen haciéndolo.
Venga, que salgan los bocachanclas que decian que el intel IME no pone backdoors a traicion y alevosia, que esta todo auditado, etc, etc...
Las CPUs estan llenas de backdoors para hacer lo que se les cante. El hardware aunque lo paguemos, es suyo, continuan haciendo con el lo que les sale de los cojones