Hola. A ver, el hilo va sobre un error sobre un sistema de contraseñas en un chipset de Intel. No pasa nada, grub tuvo el suyo XDD A partir de ahí, pasamos a hablar de la función de ese chip concreto. Carlos R (creo) introdujo el ejempo de telefónica para resetear el router como ejemplo de aplicación chachipiruli de este tipo de gil"·$%&&/ ejem aplicaciones modernas. Como he dicho más de una vez, yo desconozco el sistema empleado por Telefónica y otros en sus routers. O mércores 24 maio 2017 03:53:13 CEST Carlos E. R. escribiu:
On 2017-05-23 22:21, Rafa Griman wrote:
Wenas :)
2017-05-23 20:16 GMT+03:00 karl
: O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu: (...)
BTW, en AMT e IPMI se puede asignar usuario y contraseña ... luego, si asignamos usuario y contraseña ... no estaríamos "bypassing normal authentication" ... ¿o sí?
Yo lo entiendo como "puerta lateral de servicio". El sistema operativo no tiene control sobre el asunto, pero una vez que se establece la conexión se puede hablar con el sistema. Puede que esto no esté muy hecho en Linux, no se.
Bien, el problema es que o hablamos de lo mismo o se hace complicado. Un coche tiene al menos 4 ruedas, un sistema de tracción y carrocería. Ah, y de cambio de dirección. Puedes excluir a los que en lugar de volante lleven manillar, pero es que los coches de caballos tampoco tenían volante. Entonces, yo he afirmado que un sistema cualquiera de puerta trasera es una solemne estupidez en los tiempos que corren, y he afirmado que si el sistema de telefóncia se basa en una es, entonces, una estupidez, y si no lo es, pues depende de lo bien hecho que esté. Tengo en mente el sistema de Apple y su llave maestra para la (casualidades) NSA. Y en realidad hemos hablado mucho más del caso de Telefónica que el del propio chip de Intel. Y sí, es casi un OT.
En todo caso, yo preguntaba por lo de Telefónica. En el caso de Telefonica se puede asignar contraseña, otra cosa es que esté mal desarrollado/configurado y acepte claves en blanco (como comenta Carlos). Luego lo de Telefónica no sería puerta trasera, según esta definición, ya que no hay "bypassing normal authentication".
Um, un sistema con cuentas con contraseña en blanco podría considerarse alguna forma de puerta trasera -véase el artículo de la wikipedia- al menos hasta que se le asigne una clave. Pero no es el asunto. Se trata de cómo accede el técnico: si tiene su usuario/clave o si se conecta de forma diferente (con o sin autentificación). Si Telefónica guarda un usuario/clave para cada router, es razonable. si usa una cuenta para todos, es un riesgo de seguridad. Y si no se conecta al mismo sistema de autentificación, es una puerta trasera.
No, es un acceso "normal", es un servicio más con su sección de configuración. Y con un nombre de usuario largo (tipo numero de serie, 20 letras quizás, no las conté), y una contraseña que no se puede ver, pero por el número de asteriscos parece también larga. No parece una "llave maestra", sino específica.
Entonces eso no está mal.
Ahora, eso sí, da la impresión que su activación abre el puerto automáticamente en el cortafuegos. Pero eso lo he visto en varios routers, es por sencillez, no tener que configurar dos páginas.
La vagancia es la madre de la mayoría de problemas de la red.
Haciendo un nmap sobre mi IP veo abiertos:
PORT STATE SERVICE 22/tcp open ssh 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds
lo cual tiene coña, porque yo no he abierto esos puertos (no, el ssh no está en el 22). Y que tenga abierto puertos del netbios a Internet tiene narices de las gordas. Voy a hacer otro nmap más intenso (nmap -sV -A -p1-65535 --open -oN file.txt host.name)
Sorpresa!! (o no). xddd
(Lleva veinte minutos sin decirme nada)
Ugh. A la hora lo que ha petado es mi conexión local de ONO, he tenido que dar el botonazo al router y al punto de acceso wifi.
Ya lo volveré a intentar mañana.
Suerte!!
Siguiendo la definición que has copiado, dice: "These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Luego un USB con una imagen de openSUSE es una puerta trasera. Luego una puerta trasera no es necesariamente algo malo.
No. El sistema en el USB No te permite conectarte directamente al sistema, y requiere tu intervención local como mínimo para conectar el USB. Incluso que tú puedas arrancar el equipo desde un USB -pregúntale a muchos novatos qué tal les va instalar Linux xddd-. Es un asunto de naturaleza diferente del que se ha escrito mucho ... hace más de 20 años. En general, es mala idea dejar que un sistema sea arrancable desde cualquier dispositivo, pero repito, eso requiere intervención humana "manual".
"providing the manufacturer with a way to restore user passwords" significa en mi opinión, lo que parece. Tú llamas a la empresa que mantiene tu sistema que has caducado/equivocado/olvidado tus contraseñas, y ellos se conectan remotamente y te reponen la contraseña _de tu sistema_.
Y no parecen muy preocupados por lo que tú dices.
Me he perdido. ¿Qué es lo que no les preocupa de todo lo que he dicho?
La definición de puerta trasera no tiene que ver con su oportunidad o quién sepa de su existencia.
Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás.
Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)
En este hilo se están tratando 2 temas: AMT de Intel y el sistema de gestión remoto de Telefónica. Yo preguntaba por el de Telefónica ... acabo de revisar mi correo anterior y puse: "En el caso de Telefonica y los routers que te instala en casa [...]" ;)
No pasa nada, podemos hablar de ambos si estáis todos de acuerdo 0:) Intentaré aclarar cuando hablo de uno u otro ;)
Si, conviene decirlo.
Vale. La mayoría era referido al supuesto de que Telefónica usase un acceso por otro sistema diferente al del usuario. En realidad podemos resumir los últimos correos en algo así: - una puerta de atrás es siempre un problema grave a largo plazo. - pero si el administrador sabe que está ahí no lo es, incluso puede ser un sistema útil. _ saber que está o su utilidad no cambia que sea una puerta de atrás. Y por definición es un problema de seguridad de los gordos. - pero si es útil no es una puerta de atrás.... En algún punto he dicho que uno puede conectarse al rotuer desde afuera si establece una buena regla de excepción en el firewall, que es como se debería de hacer. Igual es lo que hizo que resultase confuso. (para nota lo de "lateral de servicio". Eso fue gracioso XD )
[...]
[...]
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)
Creo que este chipset no es el primero en tener "issues" con Linux ... ;)
No, pero para ser un chipset que no requiere la intervención del so es extraño, no?
En la bios se configura el acceso, nada más. Tiene su propio procesador, es un ordenador pequeño e independiente que puede hablar y ordenar cosas en el ordenador principal.
Ni siquiera es una puerta de atrás: es una casa dentro de tu casa!!! XDD Es igual, es un invento que parecía una buena idea hace 20 años pero que hoy es un problema más que otra cosa.
Y si tiene que hablar con el sistema operativo, este tiene que tener API y hooks. Es posible que Linux no los tenga.
Lo que quieras. Insisto, ¿no habíamos quedado que no tiene que ver con el SO?
El que tenga un ordenador con esto es que lo ha pagado y lo sabe. O debe saberlo, porque cuesta extra.
¿Mande? y? La gente compra los dispositivos que necesita en función de lo que le ofrece el mercado. Rara vez pensamos en su naturaleza... hasta que hay problemas.
(...)
Lo mismo que AMT.
Los que usamos IPMI no la consideramos una puerta trasera, la consideramos una herramienta de gestión remota. ¿La puedes usar como puerta trasera? Sí. Igual que nmap (e infinidad más de las herramientas que se usan a diario por los sysadmins): son armas de doble filo. Las puedes usar para "hacer el bien" o para "hacer el mal".
No es el "uso" lo que define a una puerta trasera, sino su naturaleza. Es sencillo de entender. Olvida cómo ha llegado la puerta trasera ahí, si es útil o no. Piensa en su naturaleza.
¿Cómo era el error de Bash que tanta gente aprovechaba en sus scripts... hasta que hubo que parchearlo porque era un problema de seguridad del quince?
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)
Los gusanitos pueden venir incluso sin usar AMT, IPMI o la gestión remota de Telefónica ;)
Lo de las pajas sobra (MHO,), esto es una lista de tecnología no de prácticas sexuales ;)
Primera noticia que el fin de un dispositivo informático altere su naturaleza. Que lo usen para prácticas sexuales o para fabricar pan debería ser indiferente para la lista ;)
Pero no "nos comprometen el sistema", porque el sistema es de ellos, no nuestro ;-)
Ehm,, esto, en realidad no es así y lo sabes.
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.
En cuanto a qué hace un equipo allí: molinos de viento, paneles solares, sismógrafos, ... hay muchos casos en los que un equipo allí hace mucho ;)
todos ellos pueden equipar un botón de encendido y puedes mandar a un lugareño a encenderlo. ¿Cuál es el problema real? ¿que queremos gastarnos un dineral en dispositivos chorras y luego ahorrar cuatro euros en su mantenimiento? Insisto, ponle un botón de encendido.
Camaras, radares y medidores varios de la DGT ;-)
Tambień pueden llevar botón de encendido. ¿O tienen miedo de que alguien se baje en medio de la autovía y lo apague para no salir en el radar?
Aunque esos están en las carreteras, aunque no necesariamente asequibles. Pararse en una autovía a pulsar un botoncito debe tener plus de peligrosidad. Y más si hay que subirse al pórtico ;-P
Es una maniobra trivial. Paras ordenadamente señalizando la maniobra; colocas los triángulos (vas por el arcen). Subes si tienes que subir... Oye, yo he trabajado en obras en carreteras y autovías y nadie nos mimaba tanto :P Y sí, hay gente que se dedica al mantenimiento de infraestructuras. Una sorpresa: si lo que falla es el cable, no enciende, ¿no? XDDD
Respecto a por qué tienen Internet ... de alguna manera hay que llegar al equipo para monitorizarlo, y de alguna manera el equipo tiene que ser capaz de enviar los datos que recoge/analiza ;)
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo?
Respuesta real aunque simple: se apaga por error Humano, por ejemplo. Otras respuestas: fallo de disco, fallo de memoria, parches con bugs (Intel sacó microcódigo que te tiraba los RHEL), ... hay muchas razones por las que se puede apagar un equipo.
Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?
Bueno, yo tengo acceso remoto a mi servidor casero. Se me puede colgar el router o el PC. Le tengo pánico a hacerle actualizaciones, estoy a 500 KM.
Si es tan imprescindible, hay otras formas de garantizar el acceso: fuentes redundantes, líneas de corriente redundantes... etc. También como he dicho no debería ser difícil posibilitar que una BIOS se reinicie al cabo de un tiempo apagada, hace décadas que puedes usar un pc de despertador.
Claro que es un servidor casero, no uno profesional, pero hay problemas similares.
No. Si proporciona suficiente beneficio, puedes solventar los problemas de otra manera. Si no lo proporciona, igual no lo necesitas tanto.
Eso me recuerda: ¿sabéis de algún chisme que pueda comandar por red o algo para apagar/encender remotamente un chisme? El servidor podría monitorizar pings al router. Si el router deja de responder, podría ordenar un botonazo desde el servidor (suponiendo que la función "network switch" del router siga trabajando. Sería algo de domótica, me supongo.
Utilidad real tiene mucha: gestión remota OOB (Out Of Bound), incluso con el equipo apagado, acceso remoto a la BIOS, ruta alternativa en caso de pérdida de acceso por red "normal", monitorización, ... Un caso que puedes tener es que has apagado tu cluster de 1000 nodos (algunos CPDs apagan 1 vez al año para hacer comprobaciones, simulacros de DR, ... ), no vas a ir hasta el CPD a encender uno a uno (a menos que quieras darte un paseo y pulsar 1000 botones de encendido). Otro ejemplo es que la has liado con el autoyast o kickstart o PXE o BIOS y el equipo se reinicia constantemente o no llega a arrancar (las liado con el GRUB, el particionado, opciones de arranque de la BIOS, ...) ... tienes la opción de darte el paseo al CPD o de meter mano remotamente mediante IPMI.
Si yo hago un cluster, posiblemente un solo botón encendería todos los equipos :P
Ejemplos de AMT: lo mismo, pero con PCs distribuidos geográficamente ... (incluso a nivel mundial). Un comercial en el aeropuerto de pronto llama a IT porque "su PC no arranca", te viene bien tener AMT para poder acceder al equipo y arreglarlo. Robo de portátiles, tablets, ... accedes remotamente y lo borras todo o lo cifras o lo que se te ocurra.
Un destornillador, dos minutos y te pongo el disco con un adaptador USB en otro equipo. De paso, si no está cifrado no me pedirá ni clave de usuario ni nada.
Le estáis buscando aplicaciones que realmente no solucionan los problemas. Por ejemplo, asumes que si yo te robo el portátil en mi red está abierto el puerto que necesita el ATM. Incluso que hay puertos abiertos.
Ahora bien, eso no significa que "estén libres de pecado" (tanto IPMI como AMT, u otros). Tampoco digo que Intel lo haga "por nuestro bien".
No, seguro que te venden el sistema subiendo el precio de la maquina.
Problemas de seguridad hay. ¿Posibles puertas traseras que no sepamos? Posiblemente. Que hay que implementar nuevas medidas de seguridad, claro que sí. ¿Es un nuevo posible coladero para "los malos"? Claro que sí. Pero para eos nos pagan ;)
A ver. En la "onda" de considerar útil una puerta de atrás, ahora nos las meten hasta en las orejas. No son buenas y deben de rechazarse como problemas potenciales de seguridad. Incluso si tenemos que convivir con ellas hay que llamarlas por su nombre y tratarlas como se merecen (desactivándolas en la medida de lo posible).
(....) No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).
Estoy de acuerdo, una "llave maestra" es muy peligrosa, especialmente si no la gestiona el usuario ... quizás es más peligrosa si la gestiona el usuario ... ;)
No creo que sea por llave maestra, porque esas contraseñas se acaban aprendiendo y salen. Sí, esta gente necesita que el equipo no esté sólo alimentado sino también encendido - pero no tienen necesidad. Si no está encendido no hay nada que resolver. Si el usuario llama diciendo que no ve la tele se le dice que encienda el equipo :-)
Deben tener un listado de clientes y login/pass. Posiblemente el router llame a casa para decir en qué IP están, no veo otra forma práctica ya que no nos dan IP fijas a los clientes. Ya puestos, podrían darnos un equivalente al dyndns gratis. Gratis no lo verán tus ojos XD
Lo del usuario/clave tiene sus riesgos de seguridad, evidentemente, pero es como debe hacerse. Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org