Wenas :)
2017-05-23 20:16 GMT+03:00 karl
O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu:
Wenas
2017-05-22 19:38 GMT+03:00 karl
: O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:
On 2017-05-22 12:39, Carlos García Gestido wrote: [...]
A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.
[...]
Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera.
Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI?
Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ...
En ese caso, (MHO), no es una puerta trasera al igual que iLO, iDRAC, BMC, ... no son puertas traseras ya que no esta oculto. Para mi, una puerta trasera es algo que esta oculto y alguien se conecta sin tu saberlo.
Me parece bien. Pero si cada uno define las cosas a su conveniencia, mal vamos.
No he definido nada, sólo he expuesto MHO ;) No creo que vayamos tan mal ... ;)
En la wiki inglesa dicen:
"A backdoor is a method, often secret, of bypassing normal authentication in a computer system, a product, or an embedded device (e.g. a home router), or its embodiment, e.g. as part of a cryptosystem, an algorithm, a chipset, or a "homunculus computer"[1] (such as that as found in Intel's AMT technology). Backdoors are often used for securing remote access to a computer, or obtaining access to plaintext in cryptographic systems.
A backdoor may take the form of a hidden part of a program,[2] a separate program (e.g. Back Orifice may subvert the system through a rootkit), or may be a hardware feature.[3] Although normally surreptitiously installed, in some cases backdoors are deliberate and widely known. These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords."
¿Qué significa "normal authentication"? Si no lo definen ... mal vamos ... ;) Lo pregunto porque ambos (AMT e IPMI) funcionan a muy bajo nivel, incluso sin sistema operativo "principal" (como Windows o Linux). Tanto AMT como IPMI se pueden usar _SIN_ sistema operativo (Windows, Linux, ...) luego si usamos IPMI o AMT en un equipo _SIN_ sistema operativo ... ¿estaríamos "bypassing normal authentication"? Si alguien se pregunta por qué tenemos un equipo sin sistema operativo: lo acabamos de comprar, lo hemos dejado en la habitación de al lado porque hace mucho ruido y queremos hacer una instalación remota. BTW, tanto AMT como IPMI/iLO (como lo quieras llamar) funciona incluso antes que la BIOS, es más, (como decía en un correo anterior), funciona aunque el equipo esté apagado. Lo único que necesitan es que el cable de corriente esté conectado. He estado leyendo la entrada de AMT en la Wikipedia (la página de Intel tiene demasiado marketing y como has mencionado la Wikipedia también, pues vamos a estandarizar ;) y te dicen que AMT es como IPMI, pero para PCs, tablets, portátiles, ... BTW, en AMT e IPMI se puede asignar usuario y contraseña ... luego, si asignamos usuario y contraseña ... no estaríamos "bypassing normal authentication" ... ¿o sí? En todo caso, yo preguntaba por lo de Telefónica. En el caso de Telefonica se puede asignar contraseña, otra cosa es que esté mal desarrollado/configurado y acepte claves en blanco (como comenta Carlos). Luego lo de Telefónica no sería puerta trasera, según esta definición, ya que no hay "bypassing normal authentication". Siguiendo la definición que has copiado, dice: "These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Luego un USB con una imagen de openSUSE es una puerta trasera. Luego una puerta trasera no es necesariamente algo malo.
Y no parecen muy preocupados por lo que tú dices.
Me he perdido. ¿Qué es lo que no les preocupa de todo lo que he dicho?
Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás. Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)
En este hilo se están tratando 2 temas: AMT de Intel y el sistema de gestión remoto de Telefónica. Yo preguntaba por el de Telefónica ... acabo de revisar mi correo anterior y puse: "En el caso de Telefonica y los routers que te instala en casa [...]" ;) No pasa nada, podemos hablar de ambos si estáis todos de acuerdo 0:) Intentaré aclarar cuando hablo de uno u otro ;) [...]
Todo software adicional o superfluo requiere mantenimiento. En realidad, todo el software lo requiere. Si existe una puerta trasera, antes o después alguien la explotará, lo que obligará al desarrollador a proporcionar parches o actualizaciones que pueden afectar a configuraciones generales necesarias o incluso provocar otros errores (o peor, no llegar a tiempo). El código que no da problemas es el que no ha sido escrito.
Creo que estamos todos de acuerdo con eso ;) [...]
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)
Creo que este chipset no es el primero en tener "issues" con Linux ... ;) Leyendo lo que pone en la Wikipedia ... funciona igual que iLO, de hecho, pone (copio y pego): "AMT provides similar functionality to IPMI, although AMT is designed for client computing systems as compared with the typically server-based IPMI." Para evitar malentendidos: iLO, iDRAC, BMC, ... usan IPMI o se pueden acceder mediante IPMI. Vamos que AMT es el IPMI de portátiles, tablets, ... Según la Wikipedia, AMT es una tecnología similar a iLO ... para equipos sin iLO (como portátiles, tablets y PCs). Tiene un componente hardware y uno software (firmware) ... igual que iLO. Es más, si vamos a la Wikipedia y buscamos IPMI: "The Intelligent Platform Management Interface (IPMI) is a set of computer interface specifications for an autonomous computer subsystem that provides management and monitoring capabilities independently of the host system's CPU, firmware (BIOS or UEFI) and operating system. IPMI defines a set of interfaces used by system administrators for out-of-band management of computer systems and monitoring of their operation. For example, IPMI provides a way to manage a computer that may be powered off or otherwise unresponsive by using a network connection to the hardware rather than to an operating system or login shell." Lo mismo que AMT. Los que usamos IPMI no la consideramos una puerta trasera, la consideramos una herramienta de gestión remota. ¿La puedes usar como puerta trasera? Sí. Igual que nmap (e infinidad más de las herramientas que se usan a diario por los sysadmins): son armas de doble filo. Las puedes usar para "hacer el bien" o para "hacer el mal".
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)
Los gusanitos pueden venir incluso sin usar AMT, IPMI o la gestión remota de Telefónica ;) Lo de las pajas sobra (MHO,), esto es una lista de tecnología no de prácticas sexuales ;)
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.
En cuanto a qué hace un equipo allí: molinos de viento, paneles solares, sismógrafos, ... hay muchos casos en los que un equipo allí hace mucho ;) Respecto a por qué tienen Internet ... de alguna manera hay que llegar al equipo para monitorizarlo, y de alguna manera el equipo tiene que ser capaz de enviar los datos que recoge/analiza ;)
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo?
Respuesta real aunque simple: se apaga por error Humano, por ejemplo. Otras respuestas: fallo de disco, fallo de memoria, parches con bugs (Intel sacó microcódigo que te tiraba los RHEL), ... hay muchas razones por las que se puede apagar un equipo.
Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?
Utilidad real tiene mucha: gestión remota OOB (Out Of Bound), incluso con el equipo apagado, acceso remoto a la BIOS, ruta alternativa en caso de pérdida de acceso por red "normal", monitorización, ... Un caso que puedes tener es que has apagado tu cluster de 1000 nodos (algunos CPDs apagan 1 vez al año para hacer comprobaciones, simulacros de DR, ... ), no vas a ir hasta el CPD a encender uno a uno (a menos que quieras darte un paseo y pulsar 1000 botones de encendido). Otro ejemplo es que la has liado con el autoyast o kickstart o PXE o BIOS y el equipo se reinicia constantemente o no llega a arrancar (las liado con el GRUB, el particionado, opciones de arranque de la BIOS, ...) ... tienes la opción de darte el paseo al CPD o de meter mano remotamente mediante IPMI. Ejemplos de AMT: lo mismo, pero con PCs distribuidos geográficamente ... (incluso a nivel mundial). Un comercial en el aeropuerto de pronto llama a IT porque "su PC no arranca", te viene bien tener AMT para poder acceder al equipo y arreglarlo. Robo de portátiles, tablets, ... accedes remotamente y lo borras todo o lo cifras o lo que se te ocurra. Ahora bien, eso no significa que "estén libres de pecado" (tanto IPMI como AMT, u otros). Tampoco digo que Intel lo haga "por nuestro bien". Problemas de seguridad hay. ¿Posibles puertas traseras que no sepamos? Posiblemente. Que hay que implementar nuevas medidas de seguridad, claro que sí. ¿Es un nuevo posible coladero para "los malos"? Claro que sí. Pero para eos nos pagan ;)
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.
Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.
No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).
Estoy de acuerdo, una "llave maestra" es muy peligrosa, especialmente si no la gestiona el usuario ... quizás es más peligrosa si la gestiona el usuario ... ;) Rafa -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org