O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu:
Wenas
2017-05-22 19:38 GMT+03:00 karl
: O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:
On 2017-05-22 12:39, Carlos García Gestido wrote: [...]
A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.
[...]
Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera.
Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI?
Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ...
En ese caso, (MHO), no es una puerta trasera al igual que iLO, iDRAC, BMC, ... no son puertas traseras ya que no esta oculto. Para mi, una puerta trasera es algo que esta oculto y alguien se conecta sin tu saberlo.
Me parece bien. Pero si cada uno define las cosas a su conveniencia, mal vamos. En la wiki inglesa dicen: "A backdoor is a method, often secret, of bypassing normal authentication in a computer system, a product, or an embedded device (e.g. a home router), or its embodiment, e.g. as part of a cryptosystem, an algorithm, a chipset, or a "homunculus computer"[1] (such as that as found in Intel's AMT technology). Backdoors are often used for securing remote access to a computer, or obtaining access to plaintext in cryptographic systems. A backdoor may take the form of a hidden part of a program,[2] a separate program (e.g. Back Orifice may subvert the system through a rootkit), or may be a hardware feature.[3] Although normally surreptitiously installed, in some cases backdoors are deliberate and widely known. These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Y no parecen muy preocupados por lo que tú dices. Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás. Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)
Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas.
Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro).
Todo software adicional o superfluo requiere mantenimiento. En realidad, todo el software lo requiere. Si existe una puerta trasera, antes o después alguien la explotará, lo que obligará al desarrollador a proporcionar parches o actualizaciones que pueden afectar a configuraciones generales necesarias o incluso provocar otros errores (o peor, no llegar a tiempo). El código que no da problemas es el que no ha sido escrito.
En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS.
Una puerta de atrás, desactivable o no, es una puerta de atrás como un piano. No tiene mucho misterio. Administración perezosa. Meter equipos donde no tienes gente. Informática de así vamos. Lo cual viendo tantas otras cosas no es extraño, pero.. así vamos. Después pasan cosas y "jo, quien lo iba a pensar". Eso hace 20 años podía ser una gran idea. Hoy es una estupidez. Sin más. Y que a algún departamento de IT le mole no quiere decir gran cosa. Yo lo llamo "administración perezosa".
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo? Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.
Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.
No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).
Gracias,
Rafa Salud!
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org