2017-05-10 16:23 GMT-05:00 Carlos Ayala :

2017-05-10 16:10 GMT-05:00 Carlos E. R. :

...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Hola:

Atención a los que tengais maquinas con ATM

https://en.wikipedia.org/wiki/Intel_Active_Management_Technology (no hay artículo en español)

Es un sistema hardware que permite desde otro ordenador acceder a este ordenador y hacer cosas SIN el concurso del sistema operativo. Posiblemente aunque esté colgado, y quizás estando apagado pero enchufado. Hace falta software de pago y muy caro para usarlo.

Pues bien, parece ser que si intentas entrar y al pedirte la contraseña la dejas en blanco, entras. Es un bug horroroso.

http://www.zdnet.com/article/intel-chip-vulnerability-lets-hackers-easily-re...

El cortafuegos de la propia máquina no puede hacer nada, ni ve los paquetes. Hay que cortarlo en un cortafuegos externo.

- -- Saludos Carlos E.R.

-----BEGIN PGP SIGNATURE----- Version: GnuPG v2

iEYEARECAAYFAlkTgdAACgkQtTMYHG2NR9Wg/ACglvs+Ius2KvKXFL6PzhO7Kqx7 HKMAoIA1YDVbYm/s7bagfPJz2fBnwqD/ =8qAS -----END PGP SIGNATURE-----

Saludos.

¿Ese bug no lo habían parchado ya? Vi unos titulares de problemas graves con chips intel en /. pero nada más. =| Hmm Aquí la nota de /. https://hardware.slashdot.org/story/17/05/01/228211/intel-patches-remote-exe...

=)

-- Carlos A.

¡¡Diantres!! Me olvidé de editar el destino del mensaje. =( En este comentario dan algunos datos curiosos: https://hardware.slashdot.org/comments.pl?sid=10557875&cid=54339489 -- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

El día 15 de mayo de 2017, 18:39, Carlos E. R. escribió:

On 2017-05-15 23:18, Pinguino Patagonico wrote:

...

El día 10 de mayo de 2017, 18:10, Carlos E. R. <> escribió:

...

No era que esos chips de intel eran "para hacer los sistemas mas seguros"?

No se nada de eso.

Son muy útiles, porque permiten hacer actualizaciones remotas de los ordenadores de una empresa sin necesidad de ir maquina por máquina. Cosas como instalar el sistema operativo desde un disco en red sin moverte de la oficina de control. Posiblemente descolgar una maquina que se ha colgado sin ir allí.

No lo se, el software de acceso es de los caros. No he trabajado nunca con esas cosas.

Algo así como los backdoors de windows? Salu2 -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

El día 15 de mayo de 2017, 19:00, Carlos E. R. escribió:

On 2017-05-15 23:47, Juan Erbes wrote:

...

El día 15 de mayo de 2017, 18:39, Carlos E. R. escribió:

...

On 2017-05-15 23:18, Pinguino Patagonico wrote:

...

El día 10 de mayo de 2017, 18:10, Carlos E. R. <> escribió:

...

No era que esos chips de intel eran "para hacer los sistemas mas seguros"?

No se nada de eso.

Son muy útiles, porque permiten hacer actualizaciones remotas de los ordenadores de una empresa sin necesidad de ir maquina por máquina. Cosas como instalar el sistema operativo desde un disco en red sin moverte de la oficina de control. Posiblemente descolgar una maquina que se ha colgado sin ir allí.

No lo se, el software de acceso es de los caros. No he trabajado nunca con esas cosas.

Algo así como los backdoors de windows?

No es un backdoor, tiene su propia contraseña y tienes que habilitarlo en la bios. Además, usa su propio procesador y supongo que su propia memoria. O sea, es un supervisor.

Es como si tuvieras otro ordenador supervisando a uno o varios ordenadores. Parecido a la consola de supervisión que tienes en los sistemas alquilados virtuales, pero en hardware real.

Cosas de esas son necesarias.

Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse.

La idea es buena. Pero el problema es el de siempre, fallos en la seguridad.

En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan.

El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe. Salu2 -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Hola. O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:

On 2017-05-16 00:07, Juan Erbes wrote:

...

El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió:

...

Cosas de esas son necesarias.

Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse.

Nada que no pueda implementar un firewall bien hecho.

Esto que sigue:

...

...

La idea es buena. Pero el problema es el de siempre, fallos en la seguridad. Es una contradicción con: En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan. Y más si le añades: El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.

Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.

No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.

Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.

Ummm podían probar a no tener tantos problemas y algún técnico más.

También lo usan, creo, para actualizar el propio router. Cierto. Y para dar por $%&#

Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

O xoves 18 maio 2017 13:04:01 CEST Carlos E. R. escribiu:

On 2017-05-18 12:31, karl wrote:

...

Hola.

O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:

...

On 2017-05-16 00:07, Juan Erbes wrote:

...

El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió:

...

Cosas de esas son necesarias.

Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse.

Nada que no pueda implementar un firewall bien hecho.

¿Y para que voy a querer impedirlo?

Lo has entendido al revés :) Para hacer lo que dices solo necesitas un buen firewall, que puede que haga Telefónica.

...

Esto que sigue:

...

...

...

La idea es buena. Pero el problema es el de siempre, fallos en la seguridad.

Es una contradicción con:

...

...

...

En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan.

Y más si le añades:

...

...

El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.

¿Pero porqué? Estás mezclando uvas con merinas.

Estás mezclando el sistema de soporte remoto de Telefonica, con el problema de los puertos 16992/16993 en los PCs.

El ejemplo que recuerde es tuyo, no mío.

Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo.

Si es un firewall está bien y si es lo que describías es una chapuza, sin necesidad de más pruebas que el primer tema de cualquier libro sobre seguridad informática.

El sistema de los puertos 16992/16993 es inseguro porque tiene un bug, admite contraseña en blanco. Es un fallo de Intel.

...

Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.

Sería una puerta trasera si fuera contraseña única para todos. Si no, es simplemente un acceso remoto del operario de mantenimiento, igual que si accedo yo por ssh desde otra población (que lo hago, por cierto).

Una puerta trasera es una puerta trasera. Es un acceso fuera de la interfaz de conexión regular. Da igual quien tenga las contraseñas, precisamente porque es el desarrollador quien las asigna. Las contraseñas han de ser responsabilidad del administrador, no del desarrollador. Así pasa lo que pasa, se le llama "bug" a un error que no debería ser posible para empezar.

Y si hablas del sistema de Intel, la contraseña es tan segura como tu quieras. Tú la defines. O tu administrador de sistemas, mejor dicho.

...

...

No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.

Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.

Ummm podían probar a no tener tantos problemas y algún técnico más.

Ya. Tu no has estado en un centro de clientes, los problemas son miles. Empezando por el gato que pulsa teclas. Oiga, que no veo el canal 3. Oiga, que no puedo jugar al doom con mi vecino.

Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor.

A ver, Telefónica concretamente tiene deslocalizado el servicio de soporte y lo mezcla con el soporte web. En cualquier medida de calidad, de 0 a 10 estarían en el 2 con mucha generosidad. Por otra parte sus routers tienen problemas incluso para resetearse; en lugar de confiar en un reinicio remoto, podrían funcionar mejor para empezar, poder resetearse en el propio aparato, etc.

...

...

También lo usan, creo, para actualizar el propio router.

Cierto. Y para dar por $%&#

A mi no me han dado por eso.

Yo vi más de un caso.

Francamente, prefiero que se tomen en serio el tema de parchear el software cuando haga falta, y hasta donde yo se, han habido parches. Sí, pero como he dicho, una sencilla regla de firewall haría bien el trabajo. Espero que sea como lo están haciendo. Una puerta de atrás es explotable por cualquiera, el que piense otra cosa es que vive en otro mundo o no ha aprendido nada los últimos 30 años.

Salud!! -- Carlos García Gestido @tendaPC -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

Hola. No hace falta ponerse a la defensiva :P XDDD Veamos. Empieza el hilo hablando de una "puerta de atrás". Sí, en cualquier definición que quieras usar. No, no sé ese caso concreto pero la mayoría de veces están fuera de control del administrador. Porque viene con el código. Es interesante que proveas un artículo de la wikipedia para documentarlo y no hayas visto capítulos como el concerniente a "seguridad" ;) Dicho esto.... O xoves 18 maio 2017 16:12:32 CEST Carlos E. R. escribiu:

On 2017-05-18 13:38, Carlos García Gestido wrote:

...

O xoves 18 maio 2017 13:04:01 CEST Carlos E. R. escribiu:

...

On 2017-05-18 12:31, karl wrote:

...

Hola.

O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:

...

On 2017-05-16 00:07, Juan Erbes wrote:

...

El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió: > Cosas de esas son necesarias. > > Por ejemplo Telefónica puede ahora, cuando llamas para un problema, > acceder a mi router y mi decodificador de televisión y hacer cosas, > como > resetearlos o actualizarlos. De esa manera pueden arreglar problemas > de > los clientes sin desplazarse.

Nada que no pueda implementar un firewall bien hecho.

¿Y para que voy a querer impedirlo?

Lo has entendido al revés :) Para hacer lo que dices solo necesitas un buen firewall, que puede que haga Telefónica.

¿Para hacer qué? ¿Que es lo que he dicho?

Ehm, es que yo no digo nada de impedir. La forma tradicional de proveer acceso remoto a un sistema protegido es añadir una excepción. Tienes tu firewall, añades permiso para que se acceda desde un equipo concreto y ya está, tampoco es muy misterioso xdd Me entiendes al revés y es interesante XD

...

...

...

Esto que sigue:

...

...

> La idea es buena. Pero el problema es el de siempre, fallos en la > seguridad.

Es una contradicción con:

...

...

> En el caso que nos ocupa, parchear el problema puede ser imposible, > porque necesitas una actualización del firmware, y pasado poco tiempo > los fabricantes se lavan las manos y no lo sacan.

Y más si le añades:

...

...

El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.

¿Pero porqué? Estás mezclando uvas con merinas.

Estás mezclando el sistema de soporte remoto de Telefonica, con el problema de los puertos 16992/16993 en los PCs.

El ejemplo que recuerde es tuyo, no mío.

Pero estás hablando de dos cosas y no aclaras de cual de las dos hablas en cada frase.

Al texto que va justo antes ;) igual que en esta frase.

...

...

Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo.

Si es un firewall está bien y si es lo que describías es una chapuza, sin necesidad de más pruebas que el primer tema de cualquier libro sobre seguridad informática.

¿De qué estás hablando exactamente?

Pongo otra vez lo que has dicho: "Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo." Bien, en mi opinión como en la de cualquiera, si lo hace con buenas herramientas está bien hecho, si añade un acceso particular para que sea explotado por terceros -porque eso _siempre_ sucede al final- es una basura. Con sencillez y humildad te lo digo.

...

...

El sistema de los puertos 16992/16993 es inseguro porque tiene un bug, admite contraseña en blanco. Es un fallo de Intel.

...

Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.

Sería una puerta trasera si fuera contraseña única para todos. Si no, es simplemente un acceso remoto del operario de mantenimiento, igual que si accedo yo por ssh desde otra población (que lo hago, por cierto).

Una puerta trasera es una puerta trasera. Es un acceso fuera de la interfaz de conexión regular. Da igual quien tenga las contraseñas, precisamente porque es el desarrollador quien las asigna. Las contraseñas han de ser responsabilidad del administrador, no del desarrollador. Así pasa lo que pasa, se le llama "bug" a un error que no debería ser posible para empezar.

No está fuera de la interfaz, está dentro y es configurable por el administrador, no por el desarrollador.

Fuera del SO y de la BIOS. ya muy mal empezamos. Despertar un equipo de forma remota es muy interesante para ahorrarse un rato y unos euros al desplazar a un técnico para darle al botón de encendido. Pero me da, y la referencia de la wiki para esta herramienta de Intel me apoya en mi idea, que su implementación es una muy mala idea. A ver, lo que hace 15 o 20 años podía parecer una gran idea, puede que no lo sea realmente en absoluto. Incluso pueden ser muy malas ideas. Ahora, 15 o 20 años después, deberíamos haber aprendido algo. Un poquito al menos. Se ve que no.

...

...

Y si hablas del sistema de Intel, la contraseña es tan segura como tu quieras. Tú la defines. O tu administrador de sistemas, mejor dicho.

...

...

No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.

Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.

Ummm podían probar a no tener tantos problemas y algún técnico más.

Ya. Tu no has estado en un centro de clientes, los problemas son miles. Empezando por el gato que pulsa teclas. Oiga, que no veo el canal 3. Oiga, que no puedo jugar al doom con mi vecino.

Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor.

A ver, Telefónica concretamente tiene deslocalizado el servicio de soporte y lo mezcla con el soporte web. En cualquier medida de calidad, de 0 a 10 estarían en el 2 con mucha generosidad.

Por otra parte sus routers tienen problemas incluso para resetearse; en lugar de confiar en un reinicio remoto, podrían funcionar mejor para empezar, poder resetearse en el propio aparato, etc.

Eso es un tema distinto.

...

...

...

También lo usan, creo, para actualizar el propio router.

Cierto. Y para dar por $%&#

A mi no me han dado por eso.

Yo vi más de un caso.

...

Francamente, prefiero que se tomen en serio el tema de parchear el software cuando haga falta, y hasta donde yo se, han habido parches.

Sí, pero como he dicho, una sencilla regla de firewall haría bien el trabajo. Espero que sea como lo están haciendo. Una puerta de atrás es explotable por cualquiera, el que piense otra cosa es que vive en otro mundo o no ha aprendido nada los últimos 30 años.

¿Qué trabajo? ¿El acceso de telfonica al router lo quieres cortar con un cortafuegos? ¿Para qué? Yo quiero que accedan.

¿O quieres cortar el acceso a los puertos 16992/3 que usa Intel (y AMD tb)? Porque es el segundo el único que puedes cortar en el cortafuegos externo.

No se puede cortar en el cortafuegos del propio ordenador afectado. La idea general es si vale la pena proporcionar acceso a un equipo apagado. Puedes decir que sí o que no. Yo afirmo que un acceso no controlado por el

Tú has dicho: "Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor." Yo te digo que podrían probar para empezar. Pero cuando digo "A ver, Telefónica concretamente tiene deslocalizado el servicio de soporte y lo mezcla con el soporte web. En cualquier medida de calidad, de 0 a 10 estarían en el 2 con mucha generosidad. Por otra parte sus routers tienen problemas incluso para resetearse; en lugar de confiar en un reinicio remoto, podrían funcionar mejor para empezar, poder resetearse en el propio aparato, etc." Estoy argumentando que no están haciendo eso en absoluto. propio equipo y por ende por el propio administrador es un problema grave a la larga. Y que si un equipo está apagado.. igual es mejor dejarlo así y encenderlo manualmente para empezar. Es una putada tener que darle al botón de encendido. Un domingo, en un equipo a no sé cuánta distancia... pero la vida real es como es. Salud! -- Carlos García Gestido @tendaPC -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:

On 2017-05-22 12:39, Carlos García Gestido wrote:

...

Hola.

No hace falta ponerse a la defensiva :P XDDD

Veamos.

Empieza el hilo hablando de una "puerta de atrás". Sí, en cualquier definición que quieras usar. No, no sé ese caso concreto pero la mayoría de veces están fuera de control del administrador. Porque viene con el código.

Es interesante que proveas un artículo de la wikipedia para documentarlo y no hayas visto capítulos como el concerniente a "seguridad" ;)

Dicho esto....

A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.

Perdón por el otro correo. He hecho algunos cambios en la configuración del cliente y del servidor y a veces se manda con la cuenta que no es, curiosamente se suponía -y he recibido varios de vuelta- se supone que la lista los rechaza, pero supongo que alguno de los cambios ha hecho que sí los acepte... ¿a veces?. Ya lo revisaré cuando tenga un hueco. Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera. Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas. Porque oye, como le pasó a Apple y a otros tantos y seguirá pasando porque la informática moderna tiene mucho de timo de la estampita, si no puede fallar y ocasionar una brecha de seguridad, antes o después fallará.

En ambos casos.

En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS.

Una puerta de atrás, desactivable o no, es una puerta de atrás como un piano. No tiene mucho misterio. Administración perezosa. Meter equipos donde no tienes gente. Informática de así vamos. Lo cual viendo tantas otras cosas no es extraño, pero.. así vamos. Después pasan cosas y "jo, quien lo iba a pensar". Eso hace 20 años podía ser una gran idea. Hoy es una estupidez. Sin más. Y que a algún departamento de IT le mole no quiere decir gran cosa. Yo lo llamo "administración perezosa". Por cierto, en las notas de la wikipedia no es tan claro. Al parecer puede no ser fácil deshabilitarlo bajo Linux sin actualizar el firmware. O sea, que como mínimo tiene más meollo del que cuentas, porque si fuese una cuestión trivial de la BIOS el SO no pintaría nada.

Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).

Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.

Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil. Y si eso es un problema, deberías repensar qué hace ese equipo ahí. Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.

Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.

Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura. Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

On 2017-05-23 11:16, Rafa Griman wrote:

Wenas

2017-05-22 19:38 GMT+03:00 karl :

...

O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:

...

On 2017-05-22 12:39, Carlos García Gestido wrote:

[...]

...

...

A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.

[...]

...

Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera.

Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI?

Estoy en Madrid, así que no se si te lo puedo mirar. Espera, configuro un tunel para llegar al router. [...] Vale, es TR-069. La pagina de configuración es esta: ........... TR-069 client - Configuration WAN Management Protocol (TR-069) allows a Auto-Configuration Server (ACS) to perform auto-configuration, provision, collection, and diagnostics to this device. Select the desired values and click "Apply/Save" to configure the TR-069 client options. Inform Disable Enable Inform Interval: 604800 ACS URL: https://main.acs.telefonica.net:7004/cwmpWeb/WGCPEMgt ACS User Name: nombre largo posiblemente único ACS Password: ************** WAN Interface used by TR-069 client: Display SOAP messages on serial console (Disable) Enable Connection Request Authentication Connection Request User Name: nombre largo posiblemente único Connection Request Password: ******* Connection Request URL: http://83.53.57.148:7547/ ...........

Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ...

No lo oculta, puesto que lo puedes ver en el router, y puedes ver los efectos cuando el del call center hace cosas y ves que la tele se resetea de repente, por ejemplo, que es como yo me di cuenta. Había visto la página del router, pero no sabía si lo usaban realmente. No lo documenta, como tampoco documenta nada de lo que está en ese router, y hay cosas complicadas que si las tocas te puedes quedar sin servicio: hay una vpn para la tele y otra para el VoIp, me parece. Y opciones raras por ahí. No es trivial reemplazar el router por uno tuyo. El mio es un sistema antiguo: está compuesto de un ONT, que digamos convierte de fibra a cable (y da servicio al telefono), de router y de desco para la tele. Ahora lo instalan todo en un solo aparato: te puedes imaginar que teniendo tres el lio de cables es gordo, detrás de la tele.

En ese caso, (MHO), no es una puerta trasera al igual que iLO, iDRAC, BMC, ... no son puertas traseras ya que no esta oculto. Para mi, una puerta trasera es algo que esta oculto y alguien se conecta sin tu saberlo.

Claro. Es un acceso remoto para el administrador.

...

Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas.

Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro).

Claro. Pero si lo dejas cerrado pierdes también las actualizaciones, y sé que las hacen, automáticamente. Y no me apetece perder el servicio por haberles cerrado el paso.

[...]

...

...

En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS.

Una puerta de atrás, desactivable o no, es una puerta de atrás como un piano. No tiene mucho misterio. Administración perezosa. Meter equipos donde no tienes gente. Informática de así vamos. Lo cual viendo tantas otras cosas no es extraño, pero.. así vamos. Después pasan cosas y "jo, quien lo iba a pensar". Eso hace 20 años podía ser una gran idea. Hoy es una estupidez. Sin más. Y que a algún departamento de IT le mole no quiere decir gran cosa. Yo lo llamo "administración perezosa".

MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).

No sé exactamente qué se puede configurar, salvo que se puede desactivar, y poner la contraseña. Habrá variaciones según fabricantes, pero imagino que se puede definir la IP de acceso.

[...]

...

...

Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).

Luego es algo similar a iLO, ...

...

...

Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.

Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.

Y si eso es un problema, deberías repensar qué hace ese equipo ahí.

Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.

Exacto. Es lo mismo que te ponen en los servidores virtuales que se alquilan, te dan una consola de acceso para poder botarlo. Yo he estado en sitios con muchos edificios desperdigados. Cuando iban a instalar actualizaciones gordas te llamaban (salíamos a las tres) para que al irnos dejáramos los equipos encendidos. Y luego ellos en remoto (Windows) instalaban las cosas que necesitaban. El arranque usaba una imagen especial por red que hacía cosas - no era trabajo mio saber qué, así que no se más, pero autorizaba a las máquinas para funcionar. Si se encontraban con un equipo apagado el problema para encenderlo era serio, porque hubieran necesitado llamar a seguridad para encontrar a alguien con la llave del edificio y de la sala. Y luego la bronca al que se había dejado el equipo apagado, con arresto consiguiente. Allí les arrestaban, no se quedaban en simples broncas. No, los accesos remotos para administración remota hacen falta. Y no son puertas traseras porque ellos son los propietarios y los responsables de esos equipos, no yo. Si yo compro e instalo un ordenador de esos veo el acceso perfectamente en la BIOS y lo quito si no he comprado el servicio.

...

Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.

Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.

Claro. El problema por el que yo avisaba es que hay un bug que permite entrar con contraseña en blanco, y que la gente puede tener un ordenador de estos sin ser conscientes de ello. Y efectivamente, la actualización es una actualización de BIOS, del firmware. Y puede no existir, y no se puede cerrar en el cortafuegos de la propia máquina. Es gordo, pero supuestamente sólo se accede desde la intranet.

...

...

Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos. Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.

Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.

Claro. Otra cosa es que los de Telefónica sean unos manazas. Se han cargado los departamentos de desarrollo propio, y los que quedan tienen pocos recursos. Se dedican al marketing y los negocios. Este equipo no lo han desarrollado ellos, lo han comprado a Comtrend, creo. En este caso creo que está bien hecho. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))

On 2017-05-23 20:35, Rafa Griman wrote:

...

...

Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro).

Claro. Pero si lo dejas cerrado pierdes también las actualizaciones, y sé que las hacen, automáticamente. Y no me apetece perder el servicio por haberles cerrado el paso.

Estoy de acuerdo :) Lo que no sé es si legalmente pueden hacer modificaciones sin que tú las apruebes y/o sin tu consentimiento. Claro que denunciar eso es como clamar en el desierto ... :(

Hum. Técnicos no tienen a nadie, los despidieron a todos, y el resto los subcontratan. Pero abogados me creo que tienen a cientos :-P Seguro que lo han pensado. El router es propiedad de Telefonica, no nuestra. Al pasar de cobre a fibra me pidieron el router antiguo.

...

El problema por el que yo avisaba es que hay un bug que permite entrar con contraseña en blanco, y que la gente puede tener un ordenador de estos sin ser conscientes de ello.

Eso de entrar sin clave es un problema de seguridad (muy grave), pero no una puerta trasera (MHO).

Es un hackeo, un agujero en la puerta lateral de servicio ;-)

...

Este equipo no lo han desarrollado ellos, lo han comprado a Comtrend, creo.

Me imagino, hoy en día nadie hace nada ... bueno, hay 4 que lo hacen y todos los demás lo OEMizan: le ponen pegatinan y punto.

...

En este caso creo que está bien hecho.

Excepto lo de entrar sin clave ;)

Ah, pero eso son los de Intel en los PCs gordos :-) Son otros, es que andamos hablando de dos grupos distintos. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))

O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu:

Wenas

2017-05-22 19:38 GMT+03:00 karl :

...

O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:

...

On 2017-05-22 12:39, Carlos García Gestido wrote: [...]

...

...

A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.

[...]

...

Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera.

Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI?

Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ...

En ese caso, (MHO), no es una puerta trasera al igual que iLO, iDRAC, BMC, ... no son puertas traseras ya que no esta oculto. Para mi, una puerta trasera es algo que esta oculto y alguien se conecta sin tu saberlo.

Me parece bien. Pero si cada uno define las cosas a su conveniencia, mal vamos. En la wiki inglesa dicen: "A backdoor is a method, often secret, of bypassing normal authentication in a computer system, a product, or an embedded device (e.g. a home router), or its embodiment, e.g. as part of a cryptosystem, an algorithm, a chipset, or a "homunculus computer"[1] (such as that as found in Intel's AMT technology). Backdoors are often used for securing remote access to a computer, or obtaining access to plaintext in cryptographic systems. A backdoor may take the form of a hidden part of a program,[2] a separate program (e.g. Back Orifice may subvert the system through a rootkit), or may be a hardware feature.[3] Although normally surreptitiously installed, in some cases backdoors are deliberate and widely known. These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Y no parecen muy preocupados por lo que tú dices. Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás. Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)

...

Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas.

Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro).

Todo software adicional o superfluo requiere mantenimiento. En realidad, todo el software lo requiere. Si existe una puerta trasera, antes o después alguien la explotará, lo que obligará al desarrollador a proporcionar parches o actualizaciones que pueden afectar a configuraciones generales necesarias o incluso provocar otros errores (o peor, no llegar a tiempo). El código que no da problemas es el que no ha sido escrito.

...

...

En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS.

Una puerta de atrás, desactivable o no, es una puerta de atrás como un piano. No tiene mucho misterio. Administración perezosa. Meter equipos donde no tienes gente. Informática de así vamos. Lo cual viendo tantas otras cosas no es extraño, pero.. así vamos. Después pasan cosas y "jo, quien lo iba a pensar". Eso hace 20 años podía ser una gran idea. Hoy es una estupidez. Sin más. Y que a algún departamento de IT le mole no quiere decir gran cosa. Yo lo llamo "administración perezosa".

MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).

En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)

...

...

Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).

Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)

Luego es algo similar a iLO, ...

...

...

Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.

Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.

Y si eso es un problema, deberías repensar qué hace ese equipo ahí.

Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.

En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.

...

Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.

Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.

Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo? Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?

...

...

Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.

Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.

Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.

No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).

Gracias,

Rafa Salud!

-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org

On 2017-05-23 22:21, Rafa Griman wrote:

Wenas :)

2017-05-23 20:16 GMT+03:00 karl :

...

O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu:

...

En la wiki inglesa dicen:

"A backdoor is a method, often secret, of bypassing normal authentication in a computer system, a product, or an embedded device (e.g. a home router), or its embodiment, e.g. as part of a cryptosystem, an algorithm, a chipset, or a "homunculus computer"[1] (such as that as found in Intel's AMT technology). Backdoors are often used for securing remote access to a computer, or obtaining access to plaintext in cryptographic systems.

A backdoor may take the form of a hidden part of a program,[2] a separate program (e.g. Back Orifice may subvert the system through a rootkit), or may be a hardware feature.[3] Although normally surreptitiously installed, in some cases backdoors are deliberate and widely known. These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords."

¿Qué significa "normal authentication"? Si no lo definen ... mal vamos ... ;) Lo pregunto porque ambos (AMT e IPMI) funcionan a muy bajo nivel, incluso sin sistema operativo "principal" (como Windows o Linux). Tanto AMT como IPMI se pueden usar _SIN_ sistema operativo (Windows, Linux, ...) luego si usamos IPMI o AMT en un equipo _SIN_ sistema operativo ... ¿estaríamos "bypassing normal authentication"? Si alguien se pregunta por qué tenemos un equipo sin sistema operativo: lo acabamos de comprar, lo hemos dejado en la habitación de al lado porque hace mucho ruido y queremos hacer una instalación remota.

BTW, tanto AMT como IPMI/iLO (como lo quieras llamar) funciona incluso antes que la BIOS, es más, (como decía en un correo anterior), funciona aunque el equipo esté apagado. Lo único que necesitan es que el cable de corriente esté conectado.

He estado leyendo la entrada de AMT en la Wikipedia (la página de Intel tiene demasiado marketing y como has mencionado la Wikipedia también, pues vamos a estandarizar ;) y te dicen que AMT es como IPMI, pero para PCs, tablets, portátiles, ...

BTW, en AMT e IPMI se puede asignar usuario y contraseña ... luego, si asignamos usuario y contraseña ... no estaríamos "bypassing normal authentication" ... ¿o sí?

Yo lo entiendo como "puerta lateral de servicio". El sistema operativo no tiene control sobre el asunto, pero una vez que se establece la conexión se puede hablar con el sistema. Puede que esto no esté muy hecho en Linux, no se.

En todo caso, yo preguntaba por lo de Telefónica. En el caso de Telefonica se puede asignar contraseña, otra cosa es que esté mal desarrollado/configurado y acepte claves en blanco (como comenta Carlos). Luego lo de Telefónica no sería puerta trasera, según esta definición, ya que no hay "bypassing normal authentication".

No, es un acceso "normal", es un servicio más con su sección de configuración. Y con un nombre de usuario largo (tipo numero de serie, 20 letras quizás, no las conté), y una contraseña que no se puede ver, pero por el número de asteriscos parece también larga. No parece una "llave maestra", sino específica. Ahora, eso sí, da la impresión que su activación abre el puerto automáticamente en el cortafuegos. Pero eso lo he visto en varios routers, es por sencillez, no tener que configurar dos páginas. Haciendo un nmap sobre mi IP veo abiertos: PORT STATE SERVICE 22/tcp open ssh 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds lo cual tiene coña, porque yo no he abierto esos puertos (no, el ssh no está en el 22). Y que tenga abierto puertos del netbios a Internet tiene narices de las gordas. Voy a hacer otro nmap más intenso (nmap -sV -A -p1-65535 --open -oN file.txt host.name) (Lleva veinte minutos sin decirme nada) Ugh. A la hora lo que ha petado es mi conexión local de ONO, he tenido que dar el botonazo al router y al punto de acceso wifi. Ya lo volveré a intentar mañana.

Siguiendo la definición que has copiado, dice: "These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Luego un USB con una imagen de openSUSE es una puerta trasera. Luego una puerta trasera no es necesariamente algo malo.

...

Y no parecen muy preocupados por lo que tú dices.

Me he perdido. ¿Qué es lo que no les preocupa de todo lo que he dicho?

...

Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás. Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)

En este hilo se están tratando 2 temas: AMT de Intel y el sistema de gestión remoto de Telefónica. Yo preguntaba por el de Telefónica ... acabo de revisar mi correo anterior y puse: "En el caso de Telefonica y los routers que te instala en casa [...]" ;)

No pasa nada, podemos hablar de ambos si estáis todos de acuerdo 0:) Intentaré aclarar cuando hablo de uno u otro ;)

Si, conviene decirlo.

[...]

...

Todo software adicional o superfluo requiere mantenimiento. En realidad, todo el software lo requiere. Si existe una puerta trasera, antes o después alguien la explotará, lo que obligará al desarrollador a proporcionar parches o actualizaciones que pueden afectar a configuraciones generales necesarias o incluso provocar otros errores (o peor, no llegar a tiempo). El código que no da problemas es el que no ha sido escrito.

Creo que estamos todos de acuerdo con eso ;)

Claro! No dará problemas, pero tampoco soluciona nada :-)

[...]

...

...

MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).

En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)

Creo que este chipset no es el primero en tener "issues" con Linux ... ;)

En la bios se configura el acceso, nada más. Tiene su propio procesador, es un ordenador pequeño e independiente que puede hablar y ordenar cosas en el ordenador principal. Y si tiene que hablar con el sistema operativo, este tiene que tener API y hooks. Es posible que Linux no los tenga. El que tenga un ordenador con esto es que lo ha pagado y lo sabe. O debe saberlo, porque cuesta extra.

Leyendo lo que pone en la Wikipedia ... funciona igual que iLO, de hecho, pone (copio y pego): "AMT provides similar functionality to IPMI, although AMT is designed for client computing systems as compared with the typically server-based IPMI." Para evitar malentendidos: iLO, iDRAC, BMC, ... usan IPMI o se pueden acceder mediante IPMI. Vamos que AMT es el IPMI de portátiles, tablets, ...

Según la Wikipedia, AMT es una tecnología similar a iLO ... para equipos sin iLO (como portátiles, tablets y PCs). Tiene un componente hardware y uno software (firmware) ... igual que iLO. Es más, si vamos a la Wikipedia y buscamos IPMI:

Tablets!

"The Intelligent Platform Management Interface (IPMI) is a set of computer interface specifications for an autonomous computer subsystem that provides management and monitoring capabilities independently of the host system's CPU, firmware (BIOS or UEFI) and operating system. IPMI defines a set of interfaces used by system administrators for out-of-band management of computer systems and monitoring of their operation. For example, IPMI provides a way to manage a computer that may be powered off or otherwise unresponsive by using a network connection to the hardware rather than to an operating system or login shell."

Lo mismo que AMT.

Los que usamos IPMI no la consideramos una puerta trasera, la consideramos una herramienta de gestión remota. ¿La puedes usar como puerta trasera? Sí. Igual que nmap (e infinidad más de las herramientas que se usan a diario por los sysadmins): son armas de doble filo. Las puedes usar para "hacer el bien" o para "hacer el mal".

...

...

...

...

Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).

Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)

Los gusanitos pueden venir incluso sin usar AMT, IPMI o la gestión remota de Telefónica ;)

Lo de las pajas sobra (MHO,), esto es una lista de tecnología no de prácticas sexuales ;)

Pero no "nos comprometen el sistema", porque el sistema es de ellos, no nuestro ;-)

...

...

Luego es algo similar a iLO, ...

...

...

Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.

Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.

Y si eso es un problema, deberías repensar qué hace ese equipo ahí.

Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.

En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.

En cuanto a qué hace un equipo allí: molinos de viento, paneles solares, sismógrafos, ... hay muchos casos en los que un equipo allí hace mucho ;)

Camaras, radares y medidores varios de la DGT ;-) Aunque esos están en las carreteras, aunque no necesariamente asequibles. Pararse en una autovía a pulsar un botoncito debe tener plus de peligrosidad. Y más si hay que subirse al pórtico ;-P

Respecto a por qué tienen Internet ... de alguna manera hay que llegar al equipo para monitorizarlo, y de alguna manera el equipo tiene que ser capaz de enviar los datos que recoge/analiza ;)

...

...

...

Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.

Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.

Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo?

Respuesta real aunque simple: se apaga por error Humano, por ejemplo. Otras respuestas: fallo de disco, fallo de memoria, parches con bugs (Intel sacó microcódigo que te tiraba los RHEL), ... hay muchas razones por las que se puede apagar un equipo.

...

Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?

Bueno, yo tengo acceso remoto a mi servidor casero. Se me puede colgar el router o el PC. Le tengo pánico a hacerle actualizaciones, estoy a 500 KM. Claro que es un servidor casero, no uno profesional, pero hay problemas similares. Eso me recuerda: ¿sabéis de algún chisme que pueda comandar por red o algo para apagar/encender remotamente un chisme? El servidor podría monitorizar pings al router. Si el router deja de responder, podría ordenar un botonazo desde el servidor (suponiendo que la función "network switch" del router siga trabajando. Sería algo de domótica, me supongo.

Utilidad real tiene mucha: gestión remota OOB (Out Of Bound), incluso con el equipo apagado, acceso remoto a la BIOS, ruta alternativa en caso de pérdida de acceso por red "normal", monitorización, ... Un caso que puedes tener es que has apagado tu cluster de 1000 nodos (algunos CPDs apagan 1 vez al año para hacer comprobaciones, simulacros de DR, ... ), no vas a ir hasta el CPD a encender uno a uno (a menos que quieras darte un paseo y pulsar 1000 botones de encendido). Otro ejemplo es que la has liado con el autoyast o kickstart o PXE o BIOS y el equipo se reinicia constantemente o no llega a arrancar (las liado con el GRUB, el particionado, opciones de arranque de la BIOS, ...) ... tienes la opción de darte el paseo al CPD o de meter mano remotamente mediante IPMI.

Ejemplos de AMT: lo mismo, pero con PCs distribuidos geográficamente ... (incluso a nivel mundial). Un comercial en el aeropuerto de pronto llama a IT porque "su PC no arranca", te viene bien tener AMT para poder acceder al equipo y arreglarlo. Robo de portátiles, tablets, ... accedes remotamente y lo borras todo o lo cifras o lo que se te ocurra.

Ahora bien, eso no significa que "estén libres de pecado" (tanto IPMI como AMT, u otros). Tampoco digo que Intel lo haga "por nuestro bien".

No, seguro que te venden el sistema subiendo el precio de la maquina.

Problemas de seguridad hay. ¿Posibles puertas traseras que no sepamos? Posiblemente. Que hay que implementar nuevas medidas de seguridad, claro que sí. ¿Es un nuevo posible coladero para "los malos"? Claro que sí. Pero para eos nos pagan ;)

...

...

...

...

Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.

Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.

Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.

No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).

Estoy de acuerdo, una "llave maestra" es muy peligrosa, especialmente si no la gestiona el usuario ... quizás es más peligrosa si la gestiona el usuario ... ;)

No creo que sea por llave maestra, porque esas contraseñas se acaban aprendiendo y salen. Sí, esta gente necesita que el equipo no esté sólo alimentado sino también encendido - pero no tienen necesidad. Si no está encendido no hay nada que resolver. Si el usuario llama diciendo que no ve la tele se le dice que encienda el equipo :-) Deben tener un listado de clientes y login/pass. Posiblemente el router llame a casa para decir en qué IP están, no veo otra forma práctica ya que no nos dan IP fijas a los clientes. Ya puestos, podrían darnos un equivalente al dyndns gratis. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))

O xoves 18 maio 2017 16:12:32 CEST Carlos E. R. escribiu:

On 2017-05-18 13:38, Carlos García Gestido wrote:

...

O xoves 18 maio 2017 13:04:01 CEST Carlos E. R. escribiu:

...

On 2017-05-18 12:31, karl wrote:

...

Hola.

O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:

...

On 2017-05-16 00:07, Juan Erbes wrote:

...

El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió: > Cosas de esas son necesarias. > > Por ejemplo Telefónica puede ahora, cuando llamas para un problema, > acceder a mi router y mi decodificador de televisión y hacer cosas, > como > resetearlos o actualizarlos. De esa manera pueden arreglar problemas > de > los clientes sin desplazarse.

Nada que no pueda implementar un firewall bien hecho.

¿Y para que voy a querer impedirlo?

Lo has entendido al revés :) Para hacer lo que dices solo necesitas un buen firewall, que puede que haga Telefónica.

¿Para hacer qué? ¿Que es lo que he dicho?

...

...

...

Esto que sigue:

...

...

> La idea es buena. Pero el problema es el de siempre, fallos en la > seguridad.

Es una contradicción con:

...

...

> En el caso que nos ocupa, parchear el problema puede ser imposible, > porque necesitas una actualización del firmware, y pasado poco tiempo > los fabricantes se lavan las manos y no lo sacan.

Y más si le añades:

...

...

El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.

¿Pero porqué? Estás mezclando uvas con merinas.

Estás mezclando el sistema de soporte remoto de Telefonica, con el problema de los puertos 16992/16993 en los PCs.

El ejemplo que recuerde es tuyo, no mío.

Pero estás hablando de dos cosas y no aclaras de cual de las dos hablas en cada frase.

...

...

Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo.

Si es un firewall está bien y si es lo que describías es una chapuza, sin necesidad de más pruebas que el primer tema de cualquier libro sobre seguridad informática.

¿De qué estás hablando exactamente?

...

...

El sistema de los puertos 16992/16993 es inseguro porque tiene un bug, admite contraseña en blanco. Es un fallo de Intel.

...

Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.

Sería una puerta trasera si fuera contraseña única para todos. Si no, es simplemente un acceso remoto del operario de mantenimiento, igual que si accedo yo por ssh desde otra población (que lo hago, por cierto).

Una puerta trasera es una puerta trasera. Es un acceso fuera de la interfaz de conexión regular. Da igual quien tenga las contraseñas, precisamente porque es el desarrollador quien las asigna. Las contraseñas han de ser responsabilidad del administrador, no del desarrollador. Así pasa lo que pasa, se le llama "bug" a un error que no debería ser posible para empezar.

No está fuera de la interfaz, está dentro y es configurable por el administrador, no por el desarrollador.

...

...

Y si hablas del sistema de Intel, la contraseña es tan segura como tu quieras. Tú la defines. O tu administrador de sistemas, mejor dicho.

...

...

No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.

Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.

Ummm podían probar a no tener tantos problemas y algún técnico más.

Ya. Tu no has estado en un centro de clientes, los problemas son miles. Empezando por el gato que pulsa teclas. Oiga, que no veo el canal 3. Oiga, que no puedo jugar al doom con mi vecino.

Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor.

A ver, Telefónica concretamente tiene deslocalizado el servicio de soporte y lo mezcla con el soporte web. En cualquier medida de calidad, de 0 a 10 estarían en el 2 con mucha generosidad.

Por otra parte sus routers tienen problemas incluso para resetearse; en lugar de confiar en un reinicio remoto, podrían funcionar mejor para empezar, poder resetearse en el propio aparato, etc.

Eso es un tema distinto.

...

...

...

...

También lo usan, creo, para actualizar el propio router.

Cierto. Y para dar por $%&#

A mi no me han dado por eso.

Yo vi más de un caso.

...

Francamente, prefiero que se tomen en serio el tema de parchear el software cuando haga falta, y hasta donde yo se, han habido parches.

Sí, pero como he dicho, una sencilla regla de firewall haría bien el trabajo. Espero que sea como lo están haciendo. Una puerta de atrás es explotable por cualquiera, el que piense otra cosa es que vive en otro mundo o no ha aprendido nada los últimos 30 años.

¿Qué trabajo? ¿El acceso de telfonica al router lo quieres cortar con un cortafuegos? ¿Para qué? Yo quiero que accedan.

¿O quieres cortar el acceso a los puertos 16992/3 que usa Intel (y AMD tb)? Porque es el segundo el único que puedes cortar en el cortafuegos externo.

No se puede cortar en el cortafuegos del propio ordenador afectado.

-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org