[opensuse-es] Ojo, peligro con los puertos 16992/16993
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hola: Atención a los que tengais maquinas con ATM https://en.wikipedia.org/wiki/Intel_Active_Management_Technology (no hay artículo en español) Es un sistema hardware que permite desde otro ordenador acceder a este ordenador y hacer cosas SIN el concurso del sistema operativo. Posiblemente aunque esté colgado, y quizás estando apagado pero enchufado. Hace falta software de pago y muy caro para usarlo. Pues bien, parece ser que si intentas entrar y al pedirte la contraseña la dejas en blanco, entras. Es un bug horroroso. http://www.zdnet.com/article/intel-chip-vulnerability-lets-hackers-easily-re... El cortafuegos de la propia máquina no puede hacer nada, ni ve los paquetes. Hay que cortarlo en un cortafuegos externo. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iEYEARECAAYFAlkTgdAACgkQtTMYHG2NR9Wg/ACglvs+Ius2KvKXFL6PzhO7Kqx7 HKMAoIA1YDVbYm/s7bagfPJz2fBnwqD/ =8qAS -----END PGP SIGNATURE-----
2017-05-10 16:10 GMT-05:00 Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hola:
Atención a los que tengais maquinas con ATM
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology (no hay artículo en español)
Es un sistema hardware que permite desde otro ordenador acceder a este ordenador y hacer cosas SIN el concurso del sistema operativo. Posiblemente aunque esté colgado, y quizás estando apagado pero enchufado. Hace falta software de pago y muy caro para usarlo.
Pues bien, parece ser que si intentas entrar y al pedirte la contraseña la dejas en blanco, entras. Es un bug horroroso.
http://www.zdnet.com/article/intel-chip-vulnerability-lets-hackers-easily-re...
El cortafuegos de la propia máquina no puede hacer nada, ni ve los paquetes. Hay que cortarlo en un cortafuegos externo.
- -- Saludos Carlos E.R.
-----BEGIN PGP SIGNATURE----- Version: GnuPG v2
iEYEARECAAYFAlkTgdAACgkQtTMYHG2NR9Wg/ACglvs+Ius2KvKXFL6PzhO7Kqx7 HKMAoIA1YDVbYm/s7bagfPJz2fBnwqD/ =8qAS -----END PGP SIGNATURE-----
Saludos. ¿Ese bug no lo habían parchado ya? Vi unos titulares de problemas graves con chips intel en /. pero nada más. =| Hmm Aquí la nota de /. https://hardware.slashdot.org/story/17/05/01/228211/intel-patches-remote-exe... =) -- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
2017-05-10 16:23 GMT-05:00 Carlos Ayala
2017-05-10 16:10 GMT-05:00 Carlos E. R.
: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hola:
Atención a los que tengais maquinas con ATM
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology (no hay artículo en español)
Es un sistema hardware que permite desde otro ordenador acceder a este ordenador y hacer cosas SIN el concurso del sistema operativo. Posiblemente aunque esté colgado, y quizás estando apagado pero enchufado. Hace falta software de pago y muy caro para usarlo.
Pues bien, parece ser que si intentas entrar y al pedirte la contraseña la dejas en blanco, entras. Es un bug horroroso.
http://www.zdnet.com/article/intel-chip-vulnerability-lets-hackers-easily-re...
El cortafuegos de la propia máquina no puede hacer nada, ni ve los paquetes. Hay que cortarlo en un cortafuegos externo.
- -- Saludos Carlos E.R.
-----BEGIN PGP SIGNATURE----- Version: GnuPG v2
iEYEARECAAYFAlkTgdAACgkQtTMYHG2NR9Wg/ACglvs+Ius2KvKXFL6PzhO7Kqx7 HKMAoIA1YDVbYm/s7bagfPJz2fBnwqD/ =8qAS -----END PGP SIGNATURE-----
Saludos.
¿Ese bug no lo habían parchado ya? Vi unos titulares de problemas graves con chips intel en /. pero nada más. =| Hmm Aquí la nota de /. https://hardware.slashdot.org/story/17/05/01/228211/intel-patches-remote-exe...
=)
-- Carlos A.
¡¡Diantres!! Me olvidé de editar el destino del mensaje. =( En este comentario dan algunos datos curiosos: https://hardware.slashdot.org/comments.pl?sid=10557875&cid=54339489 -- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-10 23:27, Carlos Ayala wrote:
2017-05-10 16:23 GMT-05:00 Carlos Ayala <>:
2017-05-10 16:10 GMT-05:00 Carlos E. R. <>:
¿Ese bug no lo habían parchado ya? Vi unos titulares de problemas graves con chips intel en /. pero nada más. =| Hmm Aquí la nota de /. https://hardware.slashdot.org/story/17/05/01/228211/intel-patches-remote-exe...
According to Intel today, this critical security vulnerability, labeled CVE-2017-5689, was found and reported in March by Maksim Malyutin at Embedi. To get the patch to close the hole, you'll have to pester your machine's manufacturer for a firmware update, or try the mitigations here. These updates are hoped to arrive within the next few weeks. O sea, que dependes de que el fabricante de tu máquina publique una actualización del firmware, y de que te enteres. No tengo muy claro de que clases de máquinas se trata. Si todos los i7 lo llevan, hay un montón de afectados, salvo que necesiten más cosas en la placa que pueden llevar o no.
¡¡Diantres!! Me olvidé de editar el destino del mensaje. =( En este comentario dan algunos datos curiosos: https://hardware.slashdot.org/comments.pl?sid=10557875&cid=54339489
As for not running Windows, that won't help. Further down the page linked above, it has instructions for Linux on how to see whether you are vulnerable. It also says:
However, an attacker who enables emulated serial support may be able to use that to configure grub to enable serial console. Remote graphical console seems to be problematic under Linux but some people claim to have it working, so an attacker would be able to interact with your graphical console as if you were physically present. Yes, this is terrifying.
Mencionan este otro enlace: http://mjg59.dreamwidth.org/48429.html Ese explican mejor de que va la cosa. How bad is this **************** That depends. Unless you've explicitly enabled AMT at any point, you're probably fine. The drivers that allow local users to provision the system would require administrative rights to install, so as long as you don't have them installed then the only local users who can do anything are the ones who are admins anyway. If you do have it enabled, though… How do I know if I have it enabled? *********************************** Yeah this is way more annoying than it should be. First of all, does your system even support AMT? AMT requires a few things: 1) A supported CPU 2) A supported chipset 3) Supported network hardware 4) The ME firmware to contain the AMT firmware Merely having a "vPRO" CPU and chipset isn't sufficient - your system vendor also needs to have licensed the AMT code. Under Linux, if lspci doesn't show a communication controller with "MEI" or "HECI" in the description, AMT isn't running and you're safe. If it does show an MEI controller, that still doesn't mean you're vulnerable - AMT may still not be provisioned. If you reboot you should see a brief firmware splash mentioning the ME. Hitting ctrl+p at this point should get you into a menu which should let you disable AMT. Does this mean every Intel system built since 2008 can be taken over by hackers? ********************************************************************** No. Most Intel systems don't ship with AMT. Most Intel systems with AMT don't have it turned on. Is this a big deal anyway? ************************** Yes. Fixing this requires a system firmware update in order to provide new ME firmware (including an updated copy of the AMT code). Many of the affected machines are no longer receiving firmware updates from their manufacturers, and so will probably never get a fix. Anyone who ever enables AMT on one of these devices will be vulnerable. That's ignoring the fact that firmware updates are rarely flagged as security critical (they don't generally come via Windows update), so even when updates are made available, users probably won't know about them or install them.
-- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" at Telcontar)
El día 10 de mayo de 2017, 18:10, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hola:
Atención a los que tengais maquinas con ATM
https://en.wikipedia.org/wiki/Intel_Active_Management_Technology (no hay artículo en español)
Es un sistema hardware que permite desde otro ordenador acceder a este ordenador y hacer cosas SIN el concurso del sistema operativo. Posiblemente aunque esté colgado, y quizás estando apagado pero enchufado. Hace falta software de pago y muy caro para usarlo.
Pues bien, parece ser que si intentas entrar y al pedirte la contraseña la dejas en blanco, entras. Es un bug horroroso.
http://www.zdnet.com/article/intel-chip-vulnerability-lets-hackers-easily-re...
El cortafuegos de la propia máquina no puede hacer nada, ni ve los paquetes. Hay que cortarlo en un cortafuegos externo.
No era que esos chips de intel eran "para hacer los sistemas mas seguros"? Saludos -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-15 23:18, Pinguino Patagonico wrote:
El día 10 de mayo de 2017, 18:10, Carlos E. R. <> escribió:
No era que esos chips de intel eran "para hacer los sistemas mas seguros"?
No se nada de eso. Son muy útiles, porque permiten hacer actualizaciones remotas de los ordenadores de una empresa sin necesidad de ir maquina por máquina. Cosas como instalar el sistema operativo desde un disco en red sin moverte de la oficina de control. Posiblemente descolgar una maquina que se ha colgado sin ir allí. No lo se, el software de acceso es de los caros. No he trabajado nunca con esas cosas. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))
El día 15 de mayo de 2017, 18:39, Carlos E. R.
On 2017-05-15 23:18, Pinguino Patagonico wrote:
El día 10 de mayo de 2017, 18:10, Carlos E. R. <> escribió:
No era que esos chips de intel eran "para hacer los sistemas mas seguros"?
No se nada de eso.
Son muy útiles, porque permiten hacer actualizaciones remotas de los ordenadores de una empresa sin necesidad de ir maquina por máquina. Cosas como instalar el sistema operativo desde un disco en red sin moverte de la oficina de control. Posiblemente descolgar una maquina que se ha colgado sin ir allí.
No lo se, el software de acceso es de los caros. No he trabajado nunca con esas cosas.
Algo así como los backdoors de windows? Salu2 -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-15 23:47, Juan Erbes wrote:
El día 15 de mayo de 2017, 18:39, Carlos E. R.
escribió: On 2017-05-15 23:18, Pinguino Patagonico wrote:
El día 10 de mayo de 2017, 18:10, Carlos E. R. <> escribió:
No era que esos chips de intel eran "para hacer los sistemas mas seguros"?
No se nada de eso.
Son muy útiles, porque permiten hacer actualizaciones remotas de los ordenadores de una empresa sin necesidad de ir maquina por máquina. Cosas como instalar el sistema operativo desde un disco en red sin moverte de la oficina de control. Posiblemente descolgar una maquina que se ha colgado sin ir allí.
No lo se, el software de acceso es de los caros. No he trabajado nunca con esas cosas.
Algo así como los backdoors de windows?
No es un backdoor, tiene su propia contraseña y tienes que habilitarlo en la bios. Además, usa su propio procesador y supongo que su propia memoria. O sea, es un supervisor. Es como si tuvieras otro ordenador supervisando a uno o varios ordenadores. Parecido a la consola de supervisión que tienes en los sistemas alquilados virtuales, pero en hardware real. Cosas de esas son necesarias. Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse. La idea es buena. Pero el problema es el de siempre, fallos en la seguridad. En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))
El día 15 de mayo de 2017, 19:00, Carlos E. R.
On 2017-05-15 23:47, Juan Erbes wrote:
El día 15 de mayo de 2017, 18:39, Carlos E. R.
escribió: On 2017-05-15 23:18, Pinguino Patagonico wrote:
El día 10 de mayo de 2017, 18:10, Carlos E. R. <> escribió:
No era que esos chips de intel eran "para hacer los sistemas mas seguros"?
No se nada de eso.
Son muy útiles, porque permiten hacer actualizaciones remotas de los ordenadores de una empresa sin necesidad de ir maquina por máquina. Cosas como instalar el sistema operativo desde un disco en red sin moverte de la oficina de control. Posiblemente descolgar una maquina que se ha colgado sin ir allí.
No lo se, el software de acceso es de los caros. No he trabajado nunca con esas cosas.
Algo así como los backdoors de windows?
No es un backdoor, tiene su propia contraseña y tienes que habilitarlo en la bios. Además, usa su propio procesador y supongo que su propia memoria. O sea, es un supervisor.
Es como si tuvieras otro ordenador supervisando a uno o varios ordenadores. Parecido a la consola de supervisión que tienes en los sistemas alquilados virtuales, pero en hardware real.
Cosas de esas son necesarias.
Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse.
La idea es buena. Pero el problema es el de siempre, fallos en la seguridad.
En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan.
El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe. Salu2 -- USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-16 00:07, Juan Erbes wrote:
El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió:
Cosas de esas son necesarias.
Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse.
La idea es buena. Pero el problema es el de siempre, fallos en la seguridad.
En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan.
El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.
No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá. Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay. También lo usan, creo, para actualizar el propio router. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))
Hola. O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:
On 2017-05-16 00:07, Juan Erbes wrote:
El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió:
Cosas de esas son necesarias.
Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse.
Nada que no pueda implementar un firewall bien hecho.
Esto que sigue:
La idea es buena. Pero el problema es el de siempre, fallos en la seguridad. Es una contradicción con: En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan. Y más si le añades: El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.
Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.
No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.
Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.
Ummm podían probar a no tener tantos problemas y algún técnico más.
También lo usan, creo, para actualizar el propio router. Cierto. Y para dar por $%
Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-18 12:31, karl wrote:
Hola. O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:
On 2017-05-16 00:07, Juan Erbes wrote:
El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió:
Cosas de esas son necesarias.
Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse.
Nada que no pueda implementar un firewall bien hecho.
¿Y para que voy a querer impedirlo?
Esto que sigue:
La idea es buena. Pero el problema es el de siempre, fallos en la seguridad. Es una contradicción con: En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan. Y más si le añades: El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.
¿Pero porqué? Estás mezclando uvas con merinas. Estás mezclando el sistema de soporte remoto de Telefonica, con el problema de los puertos 16992/16993 en los PCs. Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo. El sistema de los puertos 16992/16993 es inseguro porque tiene un bug, admite contraseña en blanco. Es un fallo de Intel.
Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.
Sería una puerta trasera si fuera contraseña única para todos. Si no, es simplemente un acceso remoto del operario de mantenimiento, igual que si accedo yo por ssh desde otra población (que lo hago, por cierto). Y si hablas del sistema de Intel, la contraseña es tan segura como tu quieras. Tú la defines. O tu administrador de sistemas, mejor dicho.
No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.
Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.
Ummm podían probar a no tener tantos problemas y algún técnico más.
Ya. Tu no has estado en un centro de clientes, los problemas son miles. Empezando por el gato que pulsa teclas. Oiga, que no veo el canal 3. Oiga, que no puedo jugar al doom con mi vecino. Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor.
También lo usan, creo, para actualizar el propio router. Cierto. Y para dar por $%
A mi no me han dado por eso. Francamente, prefiero que se tomen en serio el tema de parchear el software cuando haga falta, y hasta donde yo se, han habido parches. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))
O xoves 18 maio 2017 13:04:01 CEST Carlos E. R. escribiu:
On 2017-05-18 12:31, karl wrote:
Hola.
O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:
On 2017-05-16 00:07, Juan Erbes wrote:
El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió:
Cosas de esas son necesarias.
Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse.
Nada que no pueda implementar un firewall bien hecho.
¿Y para que voy a querer impedirlo?
Lo has entendido al revés :) Para hacer lo que dices solo necesitas un buen firewall, que puede que haga Telefónica.
Esto que sigue:
La idea es buena. Pero el problema es el de siempre, fallos en la seguridad.
Es una contradicción con:
En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan.
Y más si le añades:
El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.
¿Pero porqué? Estás mezclando uvas con merinas.
Estás mezclando el sistema de soporte remoto de Telefonica, con el problema de los puertos 16992/16993 en los PCs.
El ejemplo que recuerde es tuyo, no mío.
Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo.
Si es un firewall está bien y si es lo que describías es una chapuza, sin necesidad de más pruebas que el primer tema de cualquier libro sobre seguridad informática.
El sistema de los puertos 16992/16993 es inseguro porque tiene un bug, admite contraseña en blanco. Es un fallo de Intel.
Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.
Sería una puerta trasera si fuera contraseña única para todos. Si no, es simplemente un acceso remoto del operario de mantenimiento, igual que si accedo yo por ssh desde otra población (que lo hago, por cierto).
Una puerta trasera es una puerta trasera. Es un acceso fuera de la interfaz de conexión regular. Da igual quien tenga las contraseñas, precisamente porque es el desarrollador quien las asigna. Las contraseñas han de ser responsabilidad del administrador, no del desarrollador. Así pasa lo que pasa, se le llama "bug" a un error que no debería ser posible para empezar.
Y si hablas del sistema de Intel, la contraseña es tan segura como tu quieras. Tú la defines. O tu administrador de sistemas, mejor dicho.
No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.
Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.
Ummm podían probar a no tener tantos problemas y algún técnico más.
Ya. Tu no has estado en un centro de clientes, los problemas son miles. Empezando por el gato que pulsa teclas. Oiga, que no veo el canal 3. Oiga, que no puedo jugar al doom con mi vecino.
Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor.
A ver, Telefónica concretamente tiene deslocalizado el servicio de soporte y lo mezcla con el soporte web. En cualquier medida de calidad, de 0 a 10 estarían en el 2 con mucha generosidad. Por otra parte sus routers tienen problemas incluso para resetearse; en lugar de confiar en un reinicio remoto, podrían funcionar mejor para empezar, poder resetearse en el propio aparato, etc.
También lo usan, creo, para actualizar el propio router.
Cierto. Y para dar por $%
A mi no me han dado por eso.
Yo vi más de un caso.
Francamente, prefiero que se tomen en serio el tema de parchear el software cuando haga falta, y hasta donde yo se, han habido parches. Sí, pero como he dicho, una sencilla regla de firewall haría bien el trabajo. Espero que sea como lo están haciendo. Una puerta de atrás es explotable por cualquiera, el que piense otra cosa es que vive en otro mundo o no ha aprendido nada los últimos 30 años.
Salud!! -- Carlos García Gestido @tendaPC -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-18 13:38, Carlos García Gestido wrote:
O xoves 18 maio 2017 13:04:01 CEST Carlos E. R. escribiu:
On 2017-05-18 12:31, karl wrote:
Hola.
O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:
On 2017-05-16 00:07, Juan Erbes wrote:
El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió:
Cosas de esas son necesarias.
Por ejemplo Telefónica puede ahora, cuando llamas para un problema, acceder a mi router y mi decodificador de televisión y hacer cosas, como resetearlos o actualizarlos. De esa manera pueden arreglar problemas de los clientes sin desplazarse.
Nada que no pueda implementar un firewall bien hecho.
¿Y para que voy a querer impedirlo?
Lo has entendido al revés :) Para hacer lo que dices solo necesitas un buen firewall, que puede que haga Telefónica.
¿Para hacer qué? ¿Que es lo que he dicho?
Esto que sigue:
La idea es buena. Pero el problema es el de siempre, fallos en la seguridad.
Es una contradicción con:
En el caso que nos ocupa, parchear el problema puede ser imposible, porque necesitas una actualización del firmware, y pasado poco tiempo los fabricantes se lavan las manos y no lo sacan.
Y más si le añades:
El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.
¿Pero porqué? Estás mezclando uvas con merinas.
Estás mezclando el sistema de soporte remoto de Telefonica, con el problema de los puertos 16992/16993 en los PCs.
El ejemplo que recuerde es tuyo, no mío.
Pero estás hablando de dos cosas y no aclaras de cual de las dos hablas en cada frase.
Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo.
Si es un firewall está bien y si es lo que describías es una chapuza, sin necesidad de más pruebas que el primer tema de cualquier libro sobre seguridad informática.
¿De qué estás hablando exactamente?
El sistema de los puertos 16992/16993 es inseguro porque tiene un bug, admite contraseña en blanco. Es un fallo de Intel.
Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.
Sería una puerta trasera si fuera contraseña única para todos. Si no, es simplemente un acceso remoto del operario de mantenimiento, igual que si accedo yo por ssh desde otra población (que lo hago, por cierto).
Una puerta trasera es una puerta trasera. Es un acceso fuera de la interfaz de conexión regular. Da igual quien tenga las contraseñas, precisamente porque es el desarrollador quien las asigna. Las contraseñas han de ser responsabilidad del administrador, no del desarrollador. Así pasa lo que pasa, se le llama "bug" a un error que no debería ser posible para empezar.
No está fuera de la interfaz, está dentro y es configurable por el administrador, no por el desarrollador.
Y si hablas del sistema de Intel, la contraseña es tan segura como tu quieras. Tú la defines. O tu administrador de sistemas, mejor dicho.
No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.
Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.
Ummm podían probar a no tener tantos problemas y algún técnico más.
Ya. Tu no has estado en un centro de clientes, los problemas son miles. Empezando por el gato que pulsa teclas. Oiga, que no veo el canal 3. Oiga, que no puedo jugar al doom con mi vecino.
Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor.
A ver, Telefónica concretamente tiene deslocalizado el servicio de soporte y lo mezcla con el soporte web. En cualquier medida de calidad, de 0 a 10 estarían en el 2 con mucha generosidad.
Por otra parte sus routers tienen problemas incluso para resetearse; en lugar de confiar en un reinicio remoto, podrían funcionar mejor para empezar, poder resetearse en el propio aparato, etc.
Eso es un tema distinto.
También lo usan, creo, para actualizar el propio router.
Cierto. Y para dar por $%
A mi no me han dado por eso.
Yo vi más de un caso.
Francamente, prefiero que se tomen en serio el tema de parchear el software cuando haga falta, y hasta donde yo se, han habido parches. Sí, pero como he dicho, una sencilla regla de firewall haría bien el trabajo. Espero que sea como lo están haciendo. Una puerta de atrás es explotable por cualquiera, el que piense otra cosa es que vive en otro mundo o no ha aprendido nada los últimos 30 años.
¿Qué trabajo? ¿El acceso de telfonica al router lo quieres cortar con un cortafuegos? ¿Para qué? Yo quiero que accedan. ¿O quieres cortar el acceso a los puertos 16992/3 que usa Intel (y AMD tb)? Porque es el segundo el único que puedes cortar en el cortafuegos externo. No se puede cortar en el cortafuegos del propio ordenador afectado. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))
Hola. No hace falta ponerse a la defensiva :P XDDD Veamos. Empieza el hilo hablando de una "puerta de atrás". Sí, en cualquier definición que quieras usar. No, no sé ese caso concreto pero la mayoría de veces están fuera de control del administrador. Porque viene con el código. Es interesante que proveas un artículo de la wikipedia para documentarlo y no hayas visto capítulos como el concerniente a "seguridad" ;) Dicho esto.... O xoves 18 maio 2017 16:12:32 CEST Carlos E. R. escribiu:
On 2017-05-18 13:38, Carlos García Gestido wrote:
O xoves 18 maio 2017 13:04:01 CEST Carlos E. R. escribiu:
On 2017-05-18 12:31, karl wrote:
Hola.
O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:
On 2017-05-16 00:07, Juan Erbes wrote:
El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió: > Cosas de esas son necesarias. > > Por ejemplo Telefónica puede ahora, cuando llamas para un problema, > acceder a mi router y mi decodificador de televisión y hacer cosas, > como > resetearlos o actualizarlos. De esa manera pueden arreglar problemas > de > los clientes sin desplazarse.
Nada que no pueda implementar un firewall bien hecho.
¿Y para que voy a querer impedirlo?
Lo has entendido al revés :) Para hacer lo que dices solo necesitas un buen firewall, que puede que haga Telefónica.
¿Para hacer qué? ¿Que es lo que he dicho?
Ehm, es que yo no digo nada de impedir. La forma tradicional de proveer acceso remoto a un sistema protegido es añadir una excepción. Tienes tu firewall, añades permiso para que se acceda desde un equipo concreto y ya está, tampoco es muy misterioso xdd Me entiendes al revés y es interesante XD
Esto que sigue:
> La idea es buena. Pero el problema es el de siempre, fallos en la > seguridad.
Es una contradicción con:
> En el caso que nos ocupa, parchear el problema puede ser imposible, > porque necesitas una actualización del firmware, y pasado poco tiempo > los fabricantes se lavan las manos y no lo sacan.
Y más si le añades:
El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.
¿Pero porqué? Estás mezclando uvas con merinas.
Estás mezclando el sistema de soporte remoto de Telefonica, con el problema de los puertos 16992/16993 en los PCs.
El ejemplo que recuerde es tuyo, no mío.
Pero estás hablando de dos cosas y no aclaras de cual de las dos hablas en cada frase.
Al texto que va justo antes ;) igual que en esta frase.
Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo.
Si es un firewall está bien y si es lo que describías es una chapuza, sin necesidad de más pruebas que el primer tema de cualquier libro sobre seguridad informática.
¿De qué estás hablando exactamente?
Pongo otra vez lo que has dicho: "Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo." Bien, en mi opinión como en la de cualquiera, si lo hace con buenas herramientas está bien hecho, si añade un acceso particular para que sea explotado por terceros -porque eso _siempre_ sucede al final- es una basura. Con sencillez y humildad te lo digo.
El sistema de los puertos 16992/16993 es inseguro porque tiene un bug, admite contraseña en blanco. Es un fallo de Intel.
Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.
Sería una puerta trasera si fuera contraseña única para todos. Si no, es simplemente un acceso remoto del operario de mantenimiento, igual que si accedo yo por ssh desde otra población (que lo hago, por cierto).
Una puerta trasera es una puerta trasera. Es un acceso fuera de la interfaz de conexión regular. Da igual quien tenga las contraseñas, precisamente porque es el desarrollador quien las asigna. Las contraseñas han de ser responsabilidad del administrador, no del desarrollador. Así pasa lo que pasa, se le llama "bug" a un error que no debería ser posible para empezar.
No está fuera de la interfaz, está dentro y es configurable por el administrador, no por el desarrollador.
Fuera del SO y de la BIOS. ya muy mal empezamos. Despertar un equipo de forma remota es muy interesante para ahorrarse un rato y unos euros al desplazar a un técnico para darle al botón de encendido. Pero me da, y la referencia de la wiki para esta herramienta de Intel me apoya en mi idea, que su implementación es una muy mala idea. A ver, lo que hace 15 o 20 años podía parecer una gran idea, puede que no lo sea realmente en absoluto. Incluso pueden ser muy malas ideas. Ahora, 15 o 20 años después, deberíamos haber aprendido algo. Un poquito al menos. Se ve que no.
Y si hablas del sistema de Intel, la contraseña es tan segura como tu quieras. Tú la defines. O tu administrador de sistemas, mejor dicho.
No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.
Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.
Ummm podían probar a no tener tantos problemas y algún técnico más.
Ya. Tu no has estado en un centro de clientes, los problemas son miles. Empezando por el gato que pulsa teclas. Oiga, que no veo el canal 3. Oiga, que no puedo jugar al doom con mi vecino.
Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor.
A ver, Telefónica concretamente tiene deslocalizado el servicio de soporte y lo mezcla con el soporte web. En cualquier medida de calidad, de 0 a 10 estarían en el 2 con mucha generosidad.
Por otra parte sus routers tienen problemas incluso para resetearse; en lugar de confiar en un reinicio remoto, podrían funcionar mejor para empezar, poder resetearse en el propio aparato, etc.
Eso es un tema distinto.
También lo usan, creo, para actualizar el propio router.
Cierto. Y para dar por $%
A mi no me han dado por eso.
Yo vi más de un caso.
Francamente, prefiero que se tomen en serio el tema de parchear el software cuando haga falta, y hasta donde yo se, han habido parches.
Sí, pero como he dicho, una sencilla regla de firewall haría bien el trabajo. Espero que sea como lo están haciendo. Una puerta de atrás es explotable por cualquiera, el que piense otra cosa es que vive en otro mundo o no ha aprendido nada los últimos 30 años.
¿Qué trabajo? ¿El acceso de telfonica al router lo quieres cortar con un cortafuegos? ¿Para qué? Yo quiero que accedan.
¿O quieres cortar el acceso a los puertos 16992/3 que usa Intel (y AMD tb)? Porque es el segundo el único que puedes cortar en el cortafuegos externo.
No se puede cortar en el cortafuegos del propio ordenador afectado. La idea general es si vale la pena proporcionar acceso a un equipo apagado. Puedes decir que sí o que no. Yo afirmo que un acceso no controlado por el
Tú has dicho: "Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor." Yo te digo que podrían probar para empezar. Pero cuando digo "A ver, Telefónica concretamente tiene deslocalizado el servicio de soporte y lo mezcla con el soporte web. En cualquier medida de calidad, de 0 a 10 estarían en el 2 con mucha generosidad. Por otra parte sus routers tienen problemas incluso para resetearse; en lugar de confiar en un reinicio remoto, podrían funcionar mejor para empezar, poder resetearse en el propio aparato, etc." Estoy argumentando que no están haciendo eso en absoluto. propio equipo y por ende por el propio administrador es un problema grave a la larga. Y que si un equipo está apagado.. igual es mejor dejarlo así y encenderlo manualmente para empezar. Es una putada tener que darle al botón de encendido. Un domingo, en un equipo a no sé cuánta distancia... pero la vida real es como es. Salud! -- Carlos García Gestido @tendaPC -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-22 12:39, Carlos García Gestido wrote:
Hola.
No hace falta ponerse a la defensiva :P XDDD
Veamos.
Empieza el hilo hablando de una "puerta de atrás". Sí, en cualquier definición que quieras usar. No, no sé ese caso concreto pero la mayoría de veces están fuera de control del administrador. Porque viene con el código.
Es interesante que proveas un artículo de la wikipedia para documentarlo y no hayas visto capítulos como el concerniente a "seguridad" ;)
Dicho esto....
A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente. En ambos casos. En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS. Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto). Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte. Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))
O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:
On 2017-05-22 12:39, Carlos García Gestido wrote:
Hola.
No hace falta ponerse a la defensiva :P XDDD
Veamos.
Empieza el hilo hablando de una "puerta de atrás". Sí, en cualquier definición que quieras usar. No, no sé ese caso concreto pero la mayoría de veces están fuera de control del administrador. Porque viene con el código.
Es interesante que proveas un artículo de la wikipedia para documentarlo y no hayas visto capítulos como el concerniente a "seguridad" ;)
Dicho esto....
A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.
Perdón por el otro correo. He hecho algunos cambios en la configuración del cliente y del servidor y a veces se manda con la cuenta que no es, curiosamente se suponía -y he recibido varios de vuelta- se supone que la lista los rechaza, pero supongo que alguno de los cambios ha hecho que sí los acepte... ¿a veces?. Ya lo revisaré cuando tenga un hueco. Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera. Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas. Porque oye, como le pasó a Apple y a otros tantos y seguirá pasando porque la informática moderna tiene mucho de timo de la estampita, si no puede fallar y ocasionar una brecha de seguridad, antes o después fallará.
En ambos casos.
En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS.
Una puerta de atrás, desactivable o no, es una puerta de atrás como un piano. No tiene mucho misterio. Administración perezosa. Meter equipos donde no tienes gente. Informática de así vamos. Lo cual viendo tantas otras cosas no es extraño, pero.. así vamos. Después pasan cosas y "jo, quien lo iba a pensar". Eso hace 20 años podía ser una gran idea. Hoy es una estupidez. Sin más. Y que a algún departamento de IT le mole no quiere decir gran cosa. Yo lo llamo "administración perezosa". Por cierto, en las notas de la wikipedia no es tan claro. Al parecer puede no ser fácil deshabilitarlo bajo Linux sin actualizar el firmware. O sea, que como mínimo tiene más meollo del que cuentas, porque si fuese una cuestión trivial de la BIOS el SO no pintaría nada.
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil. Y si eso es un problema, deberías repensar qué hace ese equipo ahí. Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.
Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura. Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Wenas
2017-05-22 19:38 GMT+03:00 karl
O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:
On 2017-05-22 12:39, Carlos García Gestido wrote:
[...]
A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.
[...]
Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera.
Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI? Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ... En ese caso, (MHO), no es una puerta trasera al igual que iLO, iDRAC, BMC, ... no son puertas traseras ya que no esta oculto. Para mi, una puerta trasera es algo que esta oculto y alguien se conecta sin tu saberlo.
Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas.
Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro). [...]
En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS.
Una puerta de atrás, desactivable o no, es una puerta de atrás como un piano. No tiene mucho misterio. Administración perezosa. Meter equipos donde no tienes gente. Informática de así vamos. Lo cual viendo tantas otras cosas no es extraño, pero.. así vamos. Después pasan cosas y "jo, quien lo iba a pensar". Eso hace 20 años podía ser una gran idea. Hoy es una estupidez. Sin más. Y que a algún departamento de IT le mole no quiere decir gran cosa. Yo lo llamo "administración perezosa".
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas). [...]
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos. Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto. Gracias, Rafa -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-23 11:16, Rafa Griman wrote:
Wenas
2017-05-22 19:38 GMT+03:00 karl
: O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:
On 2017-05-22 12:39, Carlos García Gestido wrote:
[...]
A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.
[...]
Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera.
Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI?
Estoy en Madrid, así que no se si te lo puedo mirar. Espera, configuro un tunel para llegar al router. [...] Vale, es TR-069. La pagina de configuración es esta: ........... TR-069 client - Configuration WAN Management Protocol (TR-069) allows a Auto-Configuration Server (ACS) to perform auto-configuration, provision, collection, and diagnostics to this device. Select the desired values and click "Apply/Save" to configure the TR-069 client options. Inform Disable Enable Inform Interval: 604800 ACS URL: https://main.acs.telefonica.net:7004/cwmpWeb/WGCPEMgt ACS User Name: nombre largo posiblemente único ACS Password: ************** WAN Interface used by TR-069 client: Display SOAP messages on serial console (Disable) Enable Connection Request Authentication Connection Request User Name: nombre largo posiblemente único Connection Request Password: ******* Connection Request URL: http://83.53.57.148:7547/ ...........
Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ...
No lo oculta, puesto que lo puedes ver en el router, y puedes ver los efectos cuando el del call center hace cosas y ves que la tele se resetea de repente, por ejemplo, que es como yo me di cuenta. Había visto la página del router, pero no sabía si lo usaban realmente. No lo documenta, como tampoco documenta nada de lo que está en ese router, y hay cosas complicadas que si las tocas te puedes quedar sin servicio: hay una vpn para la tele y otra para el VoIp, me parece. Y opciones raras por ahí. No es trivial reemplazar el router por uno tuyo. El mio es un sistema antiguo: está compuesto de un ONT, que digamos convierte de fibra a cable (y da servicio al telefono), de router y de desco para la tele. Ahora lo instalan todo en un solo aparato: te puedes imaginar que teniendo tres el lio de cables es gordo, detrás de la tele.
En ese caso, (MHO), no es una puerta trasera al igual que iLO, iDRAC, BMC, ... no son puertas traseras ya que no esta oculto. Para mi, una puerta trasera es algo que esta oculto y alguien se conecta sin tu saberlo.
Claro. Es un acceso remoto para el administrador.
Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas.
Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro).
Claro. Pero si lo dejas cerrado pierdes también las actualizaciones, y sé que las hacen, automáticamente. Y no me apetece perder el servicio por haberles cerrado el paso.
[...]
En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS.
Una puerta de atrás, desactivable o no, es una puerta de atrás como un piano. No tiene mucho misterio. Administración perezosa. Meter equipos donde no tienes gente. Informática de así vamos. Lo cual viendo tantas otras cosas no es extraño, pero.. así vamos. Después pasan cosas y "jo, quien lo iba a pensar". Eso hace 20 años podía ser una gran idea. Hoy es una estupidez. Sin más. Y que a algún departamento de IT le mole no quiere decir gran cosa. Yo lo llamo "administración perezosa".
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
No sé exactamente qué se puede configurar, salvo que se puede desactivar, y poner la contraseña. Habrá variaciones según fabricantes, pero imagino que se puede definir la IP de acceso.
[...]
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
Exacto. Es lo mismo que te ponen en los servidores virtuales que se alquilan, te dan una consola de acceso para poder botarlo. Yo he estado en sitios con muchos edificios desperdigados. Cuando iban a instalar actualizaciones gordas te llamaban (salíamos a las tres) para que al irnos dejáramos los equipos encendidos. Y luego ellos en remoto (Windows) instalaban las cosas que necesitaban. El arranque usaba una imagen especial por red que hacía cosas - no era trabajo mio saber qué, así que no se más, pero autorizaba a las máquinas para funcionar. Si se encontraban con un equipo apagado el problema para encenderlo era serio, porque hubieran necesitado llamar a seguridad para encontrar a alguien con la llave del edificio y de la sala. Y luego la bronca al que se había dejado el equipo apagado, con arresto consiguiente. Allí les arrestaban, no se quedaban en simples broncas. No, los accesos remotos para administración remota hacen falta. Y no son puertas traseras porque ellos son los propietarios y los responsables de esos equipos, no yo. Si yo compro e instalo un ordenador de esos veo el acceso perfectamente en la BIOS y lo quito si no he comprado el servicio.
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Claro. El problema por el que yo avisaba es que hay un bug que permite entrar con contraseña en blanco, y que la gente puede tener un ordenador de estos sin ser conscientes de ello. Y efectivamente, la actualización es una actualización de BIOS, del firmware. Y puede no existir, y no se puede cerrar en el cortafuegos de la propia máquina. Es gordo, pero supuestamente sólo se accede desde la intranet.
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos. Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.
Claro. Otra cosa es que los de Telefónica sean unos manazas. Se han cargado los departamentos de desarrollo propio, y los que quedan tienen pocos recursos. Se dedican al marketing y los negocios. Este equipo no lo han desarrollado ellos, lo han comprado a Comtrend, creo. En este caso creo que está bien hecho. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))
Hola :)
2017-05-23 14:45 GMT+03:00 Carlos E. R.
On 2017-05-23 11:16, Rafa Griman wrote:
Wenas
2017-05-22 19:38 GMT+03:00 karl
: O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:
On 2017-05-22 12:39, Carlos García Gestido wrote:
[...]
Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI?
Estoy en Madrid, así que no se si te lo puedo mirar. Espera, configuro un tunel para llegar al router. [...]
OK, gracias :)
Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ...
No lo oculta, puesto que lo puedes ver en el router, y puedes ver los efectos cuando el del call center hace cosas y ves que la tele se resetea de repente, por ejemplo, que es como yo me di cuenta. Había visto la página del router, pero no sabía si lo usaban realmente.
Alto y claro :)
No lo documenta, como tampoco documenta nada de lo que está en ese router, y hay cosas complicadas que si las tocas te puedes quedar sin servicio: hay una vpn para la tele y otra para el VoIp, me parece. Y opciones raras por ahí. No es trivial reemplazar el router por uno tuyo.
[...] Claro, hablamos de Telefónica :)
Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas.
Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro).
Claro. Pero si lo dejas cerrado pierdes también las actualizaciones, y sé que las hacen, automáticamente. Y no me apetece perder el servicio por haberles cerrado el paso.
Estoy de acuerdo :) Lo que no sé es si legalmente pueden hacer modificaciones sin que tú las apruebes y/o sin tu consentimiento. Claro que denunciar eso es como clamar en el desierto ... :( [...]
Si se encontraban con un equipo apagado el problema para encenderlo era serio, porque hubieran necesitado llamar a seguridad para encontrar a alguien con la llave del edificio y de la sala. Y luego la bronca al que se había dejado el equipo apagado, con arresto consiguiente. Allí les arrestaban, no se quedaban en simples broncas.
xD xD xD Hay sitios que no se andan con tonterías. [...]
El problema por el que yo avisaba es que hay un bug que permite entrar con contraseña en blanco, y que la gente puede tener un ordenador de estos sin ser conscientes de ello.
Eso de entrar sin clave es un problema de seguridad (muy grave), pero no una puerta trasera (MHO).
Y efectivamente, la actualización es una actualización de BIOS, del firmware. Y puede no existir, y no se puede cerrar en el cortafuegos de la propia máquina. Es gordo, pero supuestamente sólo se accede desde la intranet.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.
Claro.
Otra cosa es que los de Telefónica sean unos manazas. Se han cargado los departamentos de desarrollo propio, y los que quedan tienen pocos recursos. Se dedican al marketing y los negocios.
Eso, por desgracia, está muy extendido :(
Este equipo no lo han desarrollado ellos, lo han comprado a Comtrend, creo.
Me imagino, hoy en día nadie hace nada ... bueno, hay 4 que lo hacen y todos los demás lo OEMizan: le ponen pegatinan y punto.
En este caso creo que está bien hecho.
Excepto lo de entrar sin clave ;) Rafa -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-23 20:35, Rafa Griman wrote:
Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro).
Claro. Pero si lo dejas cerrado pierdes también las actualizaciones, y sé que las hacen, automáticamente. Y no me apetece perder el servicio por haberles cerrado el paso.
Estoy de acuerdo :) Lo que no sé es si legalmente pueden hacer modificaciones sin que tú las apruebes y/o sin tu consentimiento. Claro que denunciar eso es como clamar en el desierto ... :(
Hum. Técnicos no tienen a nadie, los despidieron a todos, y el resto los subcontratan. Pero abogados me creo que tienen a cientos :-P Seguro que lo han pensado. El router es propiedad de Telefonica, no nuestra. Al pasar de cobre a fibra me pidieron el router antiguo.
El problema por el que yo avisaba es que hay un bug que permite entrar con contraseña en blanco, y que la gente puede tener un ordenador de estos sin ser conscientes de ello.
Eso de entrar sin clave es un problema de seguridad (muy grave), pero no una puerta trasera (MHO).
Es un hackeo, un agujero en la puerta lateral de servicio ;-)
Este equipo no lo han desarrollado ellos, lo han comprado a Comtrend, creo.
Me imagino, hoy en día nadie hace nada ... bueno, hay 4 que lo hacen y todos los demás lo OEMizan: le ponen pegatinan y punto.
En este caso creo que está bien hecho.
Excepto lo de entrar sin clave ;)
Ah, pero eso son los de Intel en los PCs gordos :-) Son otros, es que andamos hablando de dos grupos distintos. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))
Hola. O mércores 24 maio 2017 02:10:24 CEST Carlos E. R. escribiu:
On 2017-05-23 20:35, Rafa Griman wrote:
(...)
Eso de entrar sin clave es un problema de seguridad (muy grave), pero no una puerta trasera (MHO).
Es un hackeo, un agujero en la puerta lateral de servicio ;-)
Si tienes que entrar a robar, ¿por qué puerta entras? Por la de servicio, más conocida como puerta de atrás -pero solo en los puticlubs conserva el nombre.
Características de cualquier entrada de servicio: -peor estado general -menos vigilancia XDD Y no es un hackeo. En cualquier definición de hacking, entrar por una entrada es un mero acceso normal. Es un bug, consistente en que no necesites una contraseña. Un problema común a las puertas traseras, que si el software ya es es complicado librarlo de bugs, añadir funcionalidades innecesarias solo lo complica y lo hace más propenso a ellos.. y además en este caso de más difícil tratamiento. Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu:
Wenas
2017-05-22 19:38 GMT+03:00 karl
: O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:
On 2017-05-22 12:39, Carlos García Gestido wrote: [...]
A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.
[...]
Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera.
Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI?
Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ...
En ese caso, (MHO), no es una puerta trasera al igual que iLO, iDRAC, BMC, ... no son puertas traseras ya que no esta oculto. Para mi, una puerta trasera es algo que esta oculto y alguien se conecta sin tu saberlo.
Me parece bien. Pero si cada uno define las cosas a su conveniencia, mal vamos. En la wiki inglesa dicen: "A backdoor is a method, often secret, of bypassing normal authentication in a computer system, a product, or an embedded device (e.g. a home router), or its embodiment, e.g. as part of a cryptosystem, an algorithm, a chipset, or a "homunculus computer"[1] (such as that as found in Intel's AMT technology). Backdoors are often used for securing remote access to a computer, or obtaining access to plaintext in cryptographic systems. A backdoor may take the form of a hidden part of a program,[2] a separate program (e.g. Back Orifice may subvert the system through a rootkit), or may be a hardware feature.[3] Although normally surreptitiously installed, in some cases backdoors are deliberate and widely known. These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Y no parecen muy preocupados por lo que tú dices. Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás. Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)
Y aunque pueda desactivarse, el software está ahí. Y alguien encontrará la forma de usarla. Si bastante problema es asegurar sistemas con una sola entrada, como para ponerse a asegurar sistemas con dos o a saber cuántas entradas.
Obviamente, (oculto o no), si algo esta mal configurado ... alguien acabara colandose. Coincido contigo en que puedes "cortafueguear" ese puerto (o lo que sea que usa Telefonica) y abrirlo cuando el de soporte te dice que tiene que conectar (si te fias de el, claro).
Todo software adicional o superfluo requiere mantenimiento. En realidad, todo el software lo requiere. Si existe una puerta trasera, antes o después alguien la explotará, lo que obligará al desarrollador a proporcionar parches o actualizaciones que pueden afectar a configuraciones generales necesarias o incluso provocar otros errores (o peor, no llegar a tiempo). El código que no da problemas es el que no ha sido escrito.
En el caso del título del hilo son equipos caros donde el que manda es la empresa y el departamento de IT, no el que usa el equipo. La configuración está en la BIOS. No está escondido en absoluto, y ahí se define la contraseña de acceso; lógicamente el administrador puede prohibir el acceso a la BIOS.
Una puerta de atrás, desactivable o no, es una puerta de atrás como un piano. No tiene mucho misterio. Administración perezosa. Meter equipos donde no tienes gente. Informática de así vamos. Lo cual viendo tantas otras cosas no es extraño, pero.. así vamos. Después pasan cosas y "jo, quien lo iba a pensar". Eso hace 20 años podía ser una gran idea. Hoy es una estupidez. Sin más. Y que a algún departamento de IT le mole no quiere decir gran cosa. Yo lo llamo "administración perezosa".
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo? Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.
Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.
No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).
Gracias,
Rafa Salud!
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Wenas :)
2017-05-23 20:16 GMT+03:00 karl
O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu:
Wenas
2017-05-22 19:38 GMT+03:00 karl
: O luns 22 maio 2017 13:50:19 CEST Carlos E. R. escribiu:
On 2017-05-22 12:39, Carlos García Gestido wrote: [...]
A ver, yo nunca he dicho que sea una puerta de atrás, eso lo habéis dicho Karl y tú. Yo niego que sea una puerta trasera, porque está a la vista del administrador local. La persona que instala el equipo puede activarla o desactivarla perfectamente.
[...]
Que una puerta de atrás esté o no a la vista del administrador local no es relevante. Es un tipo de acceso diferente al del sistema y por ende, una puerta trasera.
Hace mucho que no soy cliente de Telefonica asi que pregunto para poder entender como funciona esto. En el caso de Telefonica y los routers que te instala en casa, tengo dos preguntas. Ese acceso, es similar en concepto a iLO, iDRAC, IPMI, BMC, ... <como lo llame cada fabricante> que al final acabas usando IPMI?
Segunda pregunta: Telefonica te lo dice? Me refiero a que no es algo que oculta sino que aparece en la documentacion o te lo dice el de soporte cuando llamas, ...
En ese caso, (MHO), no es una puerta trasera al igual que iLO, iDRAC, BMC, ... no son puertas traseras ya que no esta oculto. Para mi, una puerta trasera es algo que esta oculto y alguien se conecta sin tu saberlo.
Me parece bien. Pero si cada uno define las cosas a su conveniencia, mal vamos.
No he definido nada, sólo he expuesto MHO ;) No creo que vayamos tan mal ... ;)
En la wiki inglesa dicen:
"A backdoor is a method, often secret, of bypassing normal authentication in a computer system, a product, or an embedded device (e.g. a home router), or its embodiment, e.g. as part of a cryptosystem, an algorithm, a chipset, or a "homunculus computer"[1] (such as that as found in Intel's AMT technology). Backdoors are often used for securing remote access to a computer, or obtaining access to plaintext in cryptographic systems.
A backdoor may take the form of a hidden part of a program,[2] a separate program (e.g. Back Orifice may subvert the system through a rootkit), or may be a hardware feature.[3] Although normally surreptitiously installed, in some cases backdoors are deliberate and widely known. These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords."
¿Qué significa "normal authentication"? Si no lo definen ... mal vamos ... ;) Lo pregunto porque ambos (AMT e IPMI) funcionan a muy bajo nivel, incluso sin sistema operativo "principal" (como Windows o Linux). Tanto AMT como IPMI se pueden usar _SIN_ sistema operativo (Windows, Linux, ...) luego si usamos IPMI o AMT en un equipo _SIN_ sistema operativo ... ¿estaríamos "bypassing normal authentication"? Si alguien se pregunta por qué tenemos un equipo sin sistema operativo: lo acabamos de comprar, lo hemos dejado en la habitación de al lado porque hace mucho ruido y queremos hacer una instalación remota. BTW, tanto AMT como IPMI/iLO (como lo quieras llamar) funciona incluso antes que la BIOS, es más, (como decía en un correo anterior), funciona aunque el equipo esté apagado. Lo único que necesitan es que el cable de corriente esté conectado. He estado leyendo la entrada de AMT en la Wikipedia (la página de Intel tiene demasiado marketing y como has mencionado la Wikipedia también, pues vamos a estandarizar ;) y te dicen que AMT es como IPMI, pero para PCs, tablets, portátiles, ... BTW, en AMT e IPMI se puede asignar usuario y contraseña ... luego, si asignamos usuario y contraseña ... no estaríamos "bypassing normal authentication" ... ¿o sí? En todo caso, yo preguntaba por lo de Telefónica. En el caso de Telefonica se puede asignar contraseña, otra cosa es que esté mal desarrollado/configurado y acepte claves en blanco (como comenta Carlos). Luego lo de Telefónica no sería puerta trasera, según esta definición, ya que no hay "bypassing normal authentication". Siguiendo la definición que has copiado, dice: "These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Luego un USB con una imagen de openSUSE es una puerta trasera. Luego una puerta trasera no es necesariamente algo malo.
Y no parecen muy preocupados por lo que tú dices.
Me he perdido. ¿Qué es lo que no les preocupa de todo lo que he dicho?
Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás. Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)
En este hilo se están tratando 2 temas: AMT de Intel y el sistema de gestión remoto de Telefónica. Yo preguntaba por el de Telefónica ... acabo de revisar mi correo anterior y puse: "En el caso de Telefonica y los routers que te instala en casa [...]" ;) No pasa nada, podemos hablar de ambos si estáis todos de acuerdo 0:) Intentaré aclarar cuando hablo de uno u otro ;) [...]
Todo software adicional o superfluo requiere mantenimiento. En realidad, todo el software lo requiere. Si existe una puerta trasera, antes o después alguien la explotará, lo que obligará al desarrollador a proporcionar parches o actualizaciones que pueden afectar a configuraciones generales necesarias o incluso provocar otros errores (o peor, no llegar a tiempo). El código que no da problemas es el que no ha sido escrito.
Creo que estamos todos de acuerdo con eso ;) [...]
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)
Creo que este chipset no es el primero en tener "issues" con Linux ... ;) Leyendo lo que pone en la Wikipedia ... funciona igual que iLO, de hecho, pone (copio y pego): "AMT provides similar functionality to IPMI, although AMT is designed for client computing systems as compared with the typically server-based IPMI." Para evitar malentendidos: iLO, iDRAC, BMC, ... usan IPMI o se pueden acceder mediante IPMI. Vamos que AMT es el IPMI de portátiles, tablets, ... Según la Wikipedia, AMT es una tecnología similar a iLO ... para equipos sin iLO (como portátiles, tablets y PCs). Tiene un componente hardware y uno software (firmware) ... igual que iLO. Es más, si vamos a la Wikipedia y buscamos IPMI: "The Intelligent Platform Management Interface (IPMI) is a set of computer interface specifications for an autonomous computer subsystem that provides management and monitoring capabilities independently of the host system's CPU, firmware (BIOS or UEFI) and operating system. IPMI defines a set of interfaces used by system administrators for out-of-band management of computer systems and monitoring of their operation. For example, IPMI provides a way to manage a computer that may be powered off or otherwise unresponsive by using a network connection to the hardware rather than to an operating system or login shell." Lo mismo que AMT. Los que usamos IPMI no la consideramos una puerta trasera, la consideramos una herramienta de gestión remota. ¿La puedes usar como puerta trasera? Sí. Igual que nmap (e infinidad más de las herramientas que se usan a diario por los sysadmins): son armas de doble filo. Las puedes usar para "hacer el bien" o para "hacer el mal".
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)
Los gusanitos pueden venir incluso sin usar AMT, IPMI o la gestión remota de Telefónica ;) Lo de las pajas sobra (MHO,), esto es una lista de tecnología no de prácticas sexuales ;)
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.
En cuanto a qué hace un equipo allí: molinos de viento, paneles solares, sismógrafos, ... hay muchos casos en los que un equipo allí hace mucho ;) Respecto a por qué tienen Internet ... de alguna manera hay que llegar al equipo para monitorizarlo, y de alguna manera el equipo tiene que ser capaz de enviar los datos que recoge/analiza ;)
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo?
Respuesta real aunque simple: se apaga por error Humano, por ejemplo. Otras respuestas: fallo de disco, fallo de memoria, parches con bugs (Intel sacó microcódigo que te tiraba los RHEL), ... hay muchas razones por las que se puede apagar un equipo.
Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?
Utilidad real tiene mucha: gestión remota OOB (Out Of Bound), incluso con el equipo apagado, acceso remoto a la BIOS, ruta alternativa en caso de pérdida de acceso por red "normal", monitorización, ... Un caso que puedes tener es que has apagado tu cluster de 1000 nodos (algunos CPDs apagan 1 vez al año para hacer comprobaciones, simulacros de DR, ... ), no vas a ir hasta el CPD a encender uno a uno (a menos que quieras darte un paseo y pulsar 1000 botones de encendido). Otro ejemplo es que la has liado con el autoyast o kickstart o PXE o BIOS y el equipo se reinicia constantemente o no llega a arrancar (las liado con el GRUB, el particionado, opciones de arranque de la BIOS, ...) ... tienes la opción de darte el paseo al CPD o de meter mano remotamente mediante IPMI. Ejemplos de AMT: lo mismo, pero con PCs distribuidos geográficamente ... (incluso a nivel mundial). Un comercial en el aeropuerto de pronto llama a IT porque "su PC no arranca", te viene bien tener AMT para poder acceder al equipo y arreglarlo. Robo de portátiles, tablets, ... accedes remotamente y lo borras todo o lo cifras o lo que se te ocurra. Ahora bien, eso no significa que "estén libres de pecado" (tanto IPMI como AMT, u otros). Tampoco digo que Intel lo haga "por nuestro bien". Problemas de seguridad hay. ¿Posibles puertas traseras que no sepamos? Posiblemente. Que hay que implementar nuevas medidas de seguridad, claro que sí. ¿Es un nuevo posible coladero para "los malos"? Claro que sí. Pero para eos nos pagan ;)
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.
Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.
No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).
Estoy de acuerdo, una "llave maestra" es muy peligrosa, especialmente si no la gestiona el usuario ... quizás es más peligrosa si la gestiona el usuario ... ;) Rafa -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2017-05-23 22:21, Rafa Griman wrote:
Wenas :)
2017-05-23 20:16 GMT+03:00 karl
: O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu:
En la wiki inglesa dicen:
"A backdoor is a method, often secret, of bypassing normal authentication in a computer system, a product, or an embedded device (e.g. a home router), or its embodiment, e.g. as part of a cryptosystem, an algorithm, a chipset, or a "homunculus computer"[1] (such as that as found in Intel's AMT technology). Backdoors are often used for securing remote access to a computer, or obtaining access to plaintext in cryptographic systems.
A backdoor may take the form of a hidden part of a program,[2] a separate program (e.g. Back Orifice may subvert the system through a rootkit), or may be a hardware feature.[3] Although normally surreptitiously installed, in some cases backdoors are deliberate and widely known. These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords."
¿Qué significa "normal authentication"? Si no lo definen ... mal vamos ... ;) Lo pregunto porque ambos (AMT e IPMI) funcionan a muy bajo nivel, incluso sin sistema operativo "principal" (como Windows o Linux). Tanto AMT como IPMI se pueden usar _SIN_ sistema operativo (Windows, Linux, ...) luego si usamos IPMI o AMT en un equipo _SIN_ sistema operativo ... ¿estaríamos "bypassing normal authentication"? Si alguien se pregunta por qué tenemos un equipo sin sistema operativo: lo acabamos de comprar, lo hemos dejado en la habitación de al lado porque hace mucho ruido y queremos hacer una instalación remota.
BTW, tanto AMT como IPMI/iLO (como lo quieras llamar) funciona incluso antes que la BIOS, es más, (como decía en un correo anterior), funciona aunque el equipo esté apagado. Lo único que necesitan es que el cable de corriente esté conectado.
He estado leyendo la entrada de AMT en la Wikipedia (la página de Intel tiene demasiado marketing y como has mencionado la Wikipedia también, pues vamos a estandarizar ;) y te dicen que AMT es como IPMI, pero para PCs, tablets, portátiles, ...
BTW, en AMT e IPMI se puede asignar usuario y contraseña ... luego, si asignamos usuario y contraseña ... no estaríamos "bypassing normal authentication" ... ¿o sí?
Yo lo entiendo como "puerta lateral de servicio". El sistema operativo no tiene control sobre el asunto, pero una vez que se establece la conexión se puede hablar con el sistema. Puede que esto no esté muy hecho en Linux, no se.
En todo caso, yo preguntaba por lo de Telefónica. En el caso de Telefonica se puede asignar contraseña, otra cosa es que esté mal desarrollado/configurado y acepte claves en blanco (como comenta Carlos). Luego lo de Telefónica no sería puerta trasera, según esta definición, ya que no hay "bypassing normal authentication".
No, es un acceso "normal", es un servicio más con su sección de configuración. Y con un nombre de usuario largo (tipo numero de serie, 20 letras quizás, no las conté), y una contraseña que no se puede ver, pero por el número de asteriscos parece también larga. No parece una "llave maestra", sino específica. Ahora, eso sí, da la impresión que su activación abre el puerto automáticamente en el cortafuegos. Pero eso lo he visto en varios routers, es por sencillez, no tener que configurar dos páginas. Haciendo un nmap sobre mi IP veo abiertos: PORT STATE SERVICE 22/tcp open ssh 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds lo cual tiene coña, porque yo no he abierto esos puertos (no, el ssh no está en el 22). Y que tenga abierto puertos del netbios a Internet tiene narices de las gordas. Voy a hacer otro nmap más intenso (nmap -sV -A -p1-65535 --open -oN file.txt host.name) (Lleva veinte minutos sin decirme nada) Ugh. A la hora lo que ha petado es mi conexión local de ONO, he tenido que dar el botonazo al router y al punto de acceso wifi. Ya lo volveré a intentar mañana.
Siguiendo la definición que has copiado, dice: "These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Luego un USB con una imagen de openSUSE es una puerta trasera. Luego una puerta trasera no es necesariamente algo malo.
Y no parecen muy preocupados por lo que tú dices.
Me he perdido. ¿Qué es lo que no les preocupa de todo lo que he dicho?
Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás. Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)
En este hilo se están tratando 2 temas: AMT de Intel y el sistema de gestión remoto de Telefónica. Yo preguntaba por el de Telefónica ... acabo de revisar mi correo anterior y puse: "En el caso de Telefonica y los routers que te instala en casa [...]" ;)
No pasa nada, podemos hablar de ambos si estáis todos de acuerdo 0:) Intentaré aclarar cuando hablo de uno u otro ;)
Si, conviene decirlo.
[...]
Todo software adicional o superfluo requiere mantenimiento. En realidad, todo el software lo requiere. Si existe una puerta trasera, antes o después alguien la explotará, lo que obligará al desarrollador a proporcionar parches o actualizaciones que pueden afectar a configuraciones generales necesarias o incluso provocar otros errores (o peor, no llegar a tiempo). El código que no da problemas es el que no ha sido escrito.
Creo que estamos todos de acuerdo con eso ;)
Claro! No dará problemas, pero tampoco soluciona nada :-)
[...]
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)
Creo que este chipset no es el primero en tener "issues" con Linux ... ;)
En la bios se configura el acceso, nada más. Tiene su propio procesador, es un ordenador pequeño e independiente que puede hablar y ordenar cosas en el ordenador principal. Y si tiene que hablar con el sistema operativo, este tiene que tener API y hooks. Es posible que Linux no los tenga. El que tenga un ordenador con esto es que lo ha pagado y lo sabe. O debe saberlo, porque cuesta extra.
Leyendo lo que pone en la Wikipedia ... funciona igual que iLO, de hecho, pone (copio y pego): "AMT provides similar functionality to IPMI, although AMT is designed for client computing systems as compared with the typically server-based IPMI." Para evitar malentendidos: iLO, iDRAC, BMC, ... usan IPMI o se pueden acceder mediante IPMI. Vamos que AMT es el IPMI de portátiles, tablets, ...
Según la Wikipedia, AMT es una tecnología similar a iLO ... para equipos sin iLO (como portátiles, tablets y PCs). Tiene un componente hardware y uno software (firmware) ... igual que iLO. Es más, si vamos a la Wikipedia y buscamos IPMI:
Tablets!
"The Intelligent Platform Management Interface (IPMI) is a set of computer interface specifications for an autonomous computer subsystem that provides management and monitoring capabilities independently of the host system's CPU, firmware (BIOS or UEFI) and operating system. IPMI defines a set of interfaces used by system administrators for out-of-band management of computer systems and monitoring of their operation. For example, IPMI provides a way to manage a computer that may be powered off or otherwise unresponsive by using a network connection to the hardware rather than to an operating system or login shell."
Lo mismo que AMT.
Los que usamos IPMI no la consideramos una puerta trasera, la consideramos una herramienta de gestión remota. ¿La puedes usar como puerta trasera? Sí. Igual que nmap (e infinidad más de las herramientas que se usan a diario por los sysadmins): son armas de doble filo. Las puedes usar para "hacer el bien" o para "hacer el mal".
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)
Los gusanitos pueden venir incluso sin usar AMT, IPMI o la gestión remota de Telefónica ;)
Lo de las pajas sobra (MHO,), esto es una lista de tecnología no de prácticas sexuales ;)
Pero no "nos comprometen el sistema", porque el sistema es de ellos, no nuestro ;-)
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.
En cuanto a qué hace un equipo allí: molinos de viento, paneles solares, sismógrafos, ... hay muchos casos en los que un equipo allí hace mucho ;)
Camaras, radares y medidores varios de la DGT ;-) Aunque esos están en las carreteras, aunque no necesariamente asequibles. Pararse en una autovía a pulsar un botoncito debe tener plus de peligrosidad. Y más si hay que subirse al pórtico ;-P
Respecto a por qué tienen Internet ... de alguna manera hay que llegar al equipo para monitorizarlo, y de alguna manera el equipo tiene que ser capaz de enviar los datos que recoge/analiza ;)
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo?
Respuesta real aunque simple: se apaga por error Humano, por ejemplo. Otras respuestas: fallo de disco, fallo de memoria, parches con bugs (Intel sacó microcódigo que te tiraba los RHEL), ... hay muchas razones por las que se puede apagar un equipo.
Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?
Bueno, yo tengo acceso remoto a mi servidor casero. Se me puede colgar el router o el PC. Le tengo pánico a hacerle actualizaciones, estoy a 500 KM. Claro que es un servidor casero, no uno profesional, pero hay problemas similares. Eso me recuerda: ¿sabéis de algún chisme que pueda comandar por red o algo para apagar/encender remotamente un chisme? El servidor podría monitorizar pings al router. Si el router deja de responder, podría ordenar un botonazo desde el servidor (suponiendo que la función "network switch" del router siga trabajando. Sería algo de domótica, me supongo.
Utilidad real tiene mucha: gestión remota OOB (Out Of Bound), incluso con el equipo apagado, acceso remoto a la BIOS, ruta alternativa en caso de pérdida de acceso por red "normal", monitorización, ... Un caso que puedes tener es que has apagado tu cluster de 1000 nodos (algunos CPDs apagan 1 vez al año para hacer comprobaciones, simulacros de DR, ... ), no vas a ir hasta el CPD a encender uno a uno (a menos que quieras darte un paseo y pulsar 1000 botones de encendido). Otro ejemplo es que la has liado con el autoyast o kickstart o PXE o BIOS y el equipo se reinicia constantemente o no llega a arrancar (las liado con el GRUB, el particionado, opciones de arranque de la BIOS, ...) ... tienes la opción de darte el paseo al CPD o de meter mano remotamente mediante IPMI.
Ejemplos de AMT: lo mismo, pero con PCs distribuidos geográficamente ... (incluso a nivel mundial). Un comercial en el aeropuerto de pronto llama a IT porque "su PC no arranca", te viene bien tener AMT para poder acceder al equipo y arreglarlo. Robo de portátiles, tablets, ... accedes remotamente y lo borras todo o lo cifras o lo que se te ocurra.
Ahora bien, eso no significa que "estén libres de pecado" (tanto IPMI como AMT, u otros). Tampoco digo que Intel lo haga "por nuestro bien".
No, seguro que te venden el sistema subiendo el precio de la maquina.
Problemas de seguridad hay. ¿Posibles puertas traseras que no sepamos? Posiblemente. Que hay que implementar nuevas medidas de seguridad, claro que sí. ¿Es un nuevo posible coladero para "los malos"? Claro que sí. Pero para eos nos pagan ;)
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.
Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.
No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).
Estoy de acuerdo, una "llave maestra" es muy peligrosa, especialmente si no la gestiona el usuario ... quizás es más peligrosa si la gestiona el usuario ... ;)
No creo que sea por llave maestra, porque esas contraseñas se acaban aprendiendo y salen. Sí, esta gente necesita que el equipo no esté sólo alimentado sino también encendido - pero no tienen necesidad. Si no está encendido no hay nada que resolver. Si el usuario llama diciendo que no ve la tele se le dice que encienda el equipo :-) Deben tener un listado de clientes y login/pass. Posiblemente el router llame a casa para decir en qué IP están, no veo otra forma práctica ya que no nos dan IP fijas a los clientes. Ya puestos, podrían darnos un equivalente al dyndns gratis. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))
Hola. A ver, el hilo va sobre un error sobre un sistema de contraseñas en un chipset de Intel. No pasa nada, grub tuvo el suyo XDD A partir de ahí, pasamos a hablar de la función de ese chip concreto. Carlos R (creo) introdujo el ejempo de telefónica para resetear el router como ejemplo de aplicación chachipiruli de este tipo de gil"·$%&&/ ejem aplicaciones modernas. Como he dicho más de una vez, yo desconozco el sistema empleado por Telefónica y otros en sus routers. O mércores 24 maio 2017 03:53:13 CEST Carlos E. R. escribiu:
On 2017-05-23 22:21, Rafa Griman wrote:
Wenas :)
2017-05-23 20:16 GMT+03:00 karl
: O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu: (...)
BTW, en AMT e IPMI se puede asignar usuario y contraseña ... luego, si asignamos usuario y contraseña ... no estaríamos "bypassing normal authentication" ... ¿o sí?
Yo lo entiendo como "puerta lateral de servicio". El sistema operativo no tiene control sobre el asunto, pero una vez que se establece la conexión se puede hablar con el sistema. Puede que esto no esté muy hecho en Linux, no se.
Bien, el problema es que o hablamos de lo mismo o se hace complicado. Un coche tiene al menos 4 ruedas, un sistema de tracción y carrocería. Ah, y de cambio de dirección. Puedes excluir a los que en lugar de volante lleven manillar, pero es que los coches de caballos tampoco tenían volante. Entonces, yo he afirmado que un sistema cualquiera de puerta trasera es una solemne estupidez en los tiempos que corren, y he afirmado que si el sistema de telefóncia se basa en una es, entonces, una estupidez, y si no lo es, pues depende de lo bien hecho que esté. Tengo en mente el sistema de Apple y su llave maestra para la (casualidades) NSA. Y en realidad hemos hablado mucho más del caso de Telefónica que el del propio chip de Intel. Y sí, es casi un OT.
En todo caso, yo preguntaba por lo de Telefónica. En el caso de Telefonica se puede asignar contraseña, otra cosa es que esté mal desarrollado/configurado y acepte claves en blanco (como comenta Carlos). Luego lo de Telefónica no sería puerta trasera, según esta definición, ya que no hay "bypassing normal authentication".
Um, un sistema con cuentas con contraseña en blanco podría considerarse alguna forma de puerta trasera -véase el artículo de la wikipedia- al menos hasta que se le asigne una clave. Pero no es el asunto. Se trata de cómo accede el técnico: si tiene su usuario/clave o si se conecta de forma diferente (con o sin autentificación). Si Telefónica guarda un usuario/clave para cada router, es razonable. si usa una cuenta para todos, es un riesgo de seguridad. Y si no se conecta al mismo sistema de autentificación, es una puerta trasera.
No, es un acceso "normal", es un servicio más con su sección de configuración. Y con un nombre de usuario largo (tipo numero de serie, 20 letras quizás, no las conté), y una contraseña que no se puede ver, pero por el número de asteriscos parece también larga. No parece una "llave maestra", sino específica.
Entonces eso no está mal.
Ahora, eso sí, da la impresión que su activación abre el puerto automáticamente en el cortafuegos. Pero eso lo he visto en varios routers, es por sencillez, no tener que configurar dos páginas.
La vagancia es la madre de la mayoría de problemas de la red.
Haciendo un nmap sobre mi IP veo abiertos:
PORT STATE SERVICE 22/tcp open ssh 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds
lo cual tiene coña, porque yo no he abierto esos puertos (no, el ssh no está en el 22). Y que tenga abierto puertos del netbios a Internet tiene narices de las gordas. Voy a hacer otro nmap más intenso (nmap -sV -A -p1-65535 --open -oN file.txt host.name)
Sorpresa!! (o no). xddd
(Lleva veinte minutos sin decirme nada)
Ugh. A la hora lo que ha petado es mi conexión local de ONO, he tenido que dar el botonazo al router y al punto de acceso wifi.
Ya lo volveré a intentar mañana.
Suerte!!
Siguiendo la definición que has copiado, dice: "These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Luego un USB con una imagen de openSUSE es una puerta trasera. Luego una puerta trasera no es necesariamente algo malo.
No. El sistema en el USB No te permite conectarte directamente al sistema, y requiere tu intervención local como mínimo para conectar el USB. Incluso que tú puedas arrancar el equipo desde un USB -pregúntale a muchos novatos qué tal les va instalar Linux xddd-. Es un asunto de naturaleza diferente del que se ha escrito mucho ... hace más de 20 años. En general, es mala idea dejar que un sistema sea arrancable desde cualquier dispositivo, pero repito, eso requiere intervención humana "manual".
"providing the manufacturer with a way to restore user passwords" significa en mi opinión, lo que parece. Tú llamas a la empresa que mantiene tu sistema que has caducado/equivocado/olvidado tus contraseñas, y ellos se conectan remotamente y te reponen la contraseña _de tu sistema_.
Y no parecen muy preocupados por lo que tú dices.
Me he perdido. ¿Qué es lo que no les preocupa de todo lo que he dicho?
La definición de puerta trasera no tiene que ver con su oportunidad o quién sepa de su existencia.
Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás.
Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)
En este hilo se están tratando 2 temas: AMT de Intel y el sistema de gestión remoto de Telefónica. Yo preguntaba por el de Telefónica ... acabo de revisar mi correo anterior y puse: "En el caso de Telefonica y los routers que te instala en casa [...]" ;)
No pasa nada, podemos hablar de ambos si estáis todos de acuerdo 0:) Intentaré aclarar cuando hablo de uno u otro ;)
Si, conviene decirlo.
Vale. La mayoría era referido al supuesto de que Telefónica usase un acceso por otro sistema diferente al del usuario. En realidad podemos resumir los últimos correos en algo así: - una puerta de atrás es siempre un problema grave a largo plazo. - pero si el administrador sabe que está ahí no lo es, incluso puede ser un sistema útil. _ saber que está o su utilidad no cambia que sea una puerta de atrás. Y por definición es un problema de seguridad de los gordos. - pero si es útil no es una puerta de atrás.... En algún punto he dicho que uno puede conectarse al rotuer desde afuera si establece una buena regla de excepción en el firewall, que es como se debería de hacer. Igual es lo que hizo que resultase confuso. (para nota lo de "lateral de servicio". Eso fue gracioso XD )
[...]
[...]
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)
Creo que este chipset no es el primero en tener "issues" con Linux ... ;)
No, pero para ser un chipset que no requiere la intervención del so es extraño, no?
En la bios se configura el acceso, nada más. Tiene su propio procesador, es un ordenador pequeño e independiente que puede hablar y ordenar cosas en el ordenador principal.
Ni siquiera es una puerta de atrás: es una casa dentro de tu casa!!! XDD Es igual, es un invento que parecía una buena idea hace 20 años pero que hoy es un problema más que otra cosa.
Y si tiene que hablar con el sistema operativo, este tiene que tener API y hooks. Es posible que Linux no los tenga.
Lo que quieras. Insisto, ¿no habíamos quedado que no tiene que ver con el SO?
El que tenga un ordenador con esto es que lo ha pagado y lo sabe. O debe saberlo, porque cuesta extra.
¿Mande? y? La gente compra los dispositivos que necesita en función de lo que le ofrece el mercado. Rara vez pensamos en su naturaleza... hasta que hay problemas.
(...)
Lo mismo que AMT.
Los que usamos IPMI no la consideramos una puerta trasera, la consideramos una herramienta de gestión remota. ¿La puedes usar como puerta trasera? Sí. Igual que nmap (e infinidad más de las herramientas que se usan a diario por los sysadmins): son armas de doble filo. Las puedes usar para "hacer el bien" o para "hacer el mal".
No es el "uso" lo que define a una puerta trasera, sino su naturaleza. Es sencillo de entender. Olvida cómo ha llegado la puerta trasera ahí, si es útil o no. Piensa en su naturaleza.
¿Cómo era el error de Bash que tanta gente aprovechaba en sus scripts... hasta que hubo que parchearlo porque era un problema de seguridad del quince?
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)
Los gusanitos pueden venir incluso sin usar AMT, IPMI o la gestión remota de Telefónica ;)
Lo de las pajas sobra (MHO,), esto es una lista de tecnología no de prácticas sexuales ;)
Primera noticia que el fin de un dispositivo informático altere su naturaleza. Que lo usen para prácticas sexuales o para fabricar pan debería ser indiferente para la lista ;)
Pero no "nos comprometen el sistema", porque el sistema es de ellos, no nuestro ;-)
Ehm,, esto, en realidad no es así y lo sabes.
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.
En cuanto a qué hace un equipo allí: molinos de viento, paneles solares, sismógrafos, ... hay muchos casos en los que un equipo allí hace mucho ;)
todos ellos pueden equipar un botón de encendido y puedes mandar a un lugareño a encenderlo. ¿Cuál es el problema real? ¿que queremos gastarnos un dineral en dispositivos chorras y luego ahorrar cuatro euros en su mantenimiento? Insisto, ponle un botón de encendido.
Camaras, radares y medidores varios de la DGT ;-)
Tambień pueden llevar botón de encendido. ¿O tienen miedo de que alguien se baje en medio de la autovía y lo apague para no salir en el radar?
Aunque esos están en las carreteras, aunque no necesariamente asequibles. Pararse en una autovía a pulsar un botoncito debe tener plus de peligrosidad. Y más si hay que subirse al pórtico ;-P
Es una maniobra trivial. Paras ordenadamente señalizando la maniobra; colocas los triángulos (vas por el arcen). Subes si tienes que subir... Oye, yo he trabajado en obras en carreteras y autovías y nadie nos mimaba tanto :P Y sí, hay gente que se dedica al mantenimiento de infraestructuras. Una sorpresa: si lo que falla es el cable, no enciende, ¿no? XDDD
Respecto a por qué tienen Internet ... de alguna manera hay que llegar al equipo para monitorizarlo, y de alguna manera el equipo tiene que ser capaz de enviar los datos que recoge/analiza ;)
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo?
Respuesta real aunque simple: se apaga por error Humano, por ejemplo. Otras respuestas: fallo de disco, fallo de memoria, parches con bugs (Intel sacó microcódigo que te tiraba los RHEL), ... hay muchas razones por las que se puede apagar un equipo.
Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?
Bueno, yo tengo acceso remoto a mi servidor casero. Se me puede colgar el router o el PC. Le tengo pánico a hacerle actualizaciones, estoy a 500 KM.
Si es tan imprescindible, hay otras formas de garantizar el acceso: fuentes redundantes, líneas de corriente redundantes... etc. También como he dicho no debería ser difícil posibilitar que una BIOS se reinicie al cabo de un tiempo apagada, hace décadas que puedes usar un pc de despertador.
Claro que es un servidor casero, no uno profesional, pero hay problemas similares.
No. Si proporciona suficiente beneficio, puedes solventar los problemas de otra manera. Si no lo proporciona, igual no lo necesitas tanto.
Eso me recuerda: ¿sabéis de algún chisme que pueda comandar por red o algo para apagar/encender remotamente un chisme? El servidor podría monitorizar pings al router. Si el router deja de responder, podría ordenar un botonazo desde el servidor (suponiendo que la función "network switch" del router siga trabajando. Sería algo de domótica, me supongo.
Utilidad real tiene mucha: gestión remota OOB (Out Of Bound), incluso con el equipo apagado, acceso remoto a la BIOS, ruta alternativa en caso de pérdida de acceso por red "normal", monitorización, ... Un caso que puedes tener es que has apagado tu cluster de 1000 nodos (algunos CPDs apagan 1 vez al año para hacer comprobaciones, simulacros de DR, ... ), no vas a ir hasta el CPD a encender uno a uno (a menos que quieras darte un paseo y pulsar 1000 botones de encendido). Otro ejemplo es que la has liado con el autoyast o kickstart o PXE o BIOS y el equipo se reinicia constantemente o no llega a arrancar (las liado con el GRUB, el particionado, opciones de arranque de la BIOS, ...) ... tienes la opción de darte el paseo al CPD o de meter mano remotamente mediante IPMI.
Si yo hago un cluster, posiblemente un solo botón encendería todos los equipos :P
Ejemplos de AMT: lo mismo, pero con PCs distribuidos geográficamente ... (incluso a nivel mundial). Un comercial en el aeropuerto de pronto llama a IT porque "su PC no arranca", te viene bien tener AMT para poder acceder al equipo y arreglarlo. Robo de portátiles, tablets, ... accedes remotamente y lo borras todo o lo cifras o lo que se te ocurra.
Un destornillador, dos minutos y te pongo el disco con un adaptador USB en otro equipo. De paso, si no está cifrado no me pedirá ni clave de usuario ni nada.
Le estáis buscando aplicaciones que realmente no solucionan los problemas. Por ejemplo, asumes que si yo te robo el portátil en mi red está abierto el puerto que necesita el ATM. Incluso que hay puertos abiertos.
Ahora bien, eso no significa que "estén libres de pecado" (tanto IPMI como AMT, u otros). Tampoco digo que Intel lo haga "por nuestro bien".
No, seguro que te venden el sistema subiendo el precio de la maquina.
Problemas de seguridad hay. ¿Posibles puertas traseras que no sepamos? Posiblemente. Que hay que implementar nuevas medidas de seguridad, claro que sí. ¿Es un nuevo posible coladero para "los malos"? Claro que sí. Pero para eos nos pagan ;)
A ver. En la "onda" de considerar útil una puerta de atrás, ahora nos las meten hasta en las orejas. No son buenas y deben de rechazarse como problemas potenciales de seguridad. Incluso si tenemos que convivir con ellas hay que llamarlas por su nombre y tratarlas como se merecen (desactivándolas en la medida de lo posible).
(....) No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).
Estoy de acuerdo, una "llave maestra" es muy peligrosa, especialmente si no la gestiona el usuario ... quizás es más peligrosa si la gestiona el usuario ... ;)
No creo que sea por llave maestra, porque esas contraseñas se acaban aprendiendo y salen. Sí, esta gente necesita que el equipo no esté sólo alimentado sino también encendido - pero no tienen necesidad. Si no está encendido no hay nada que resolver. Si el usuario llama diciendo que no ve la tele se le dice que encienda el equipo :-)
Deben tener un listado de clientes y login/pass. Posiblemente el router llame a casa para decir en qué IP están, no veo otra forma práctica ya que no nos dan IP fijas a los clientes. Ya puestos, podrían darnos un equivalente al dyndns gratis. Gratis no lo verán tus ojos XD
Lo del usuario/clave tiene sus riesgos de seguridad, evidentemente, pero es como debe hacerse. Salud!! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
O xoves 18 maio 2017 16:12:32 CEST Carlos E. R. escribiu:
On 2017-05-18 13:38, Carlos García Gestido wrote:
O xoves 18 maio 2017 13:04:01 CEST Carlos E. R. escribiu:
On 2017-05-18 12:31, karl wrote:
Hola.
O martes 16 maio 2017 00:13:09 CEST Carlos E. R. escribiu:
On 2017-05-16 00:07, Juan Erbes wrote:
El día 15 de mayo de 2017, 19:00, Carlos E. R. <> escribió: > Cosas de esas son necesarias. > > Por ejemplo Telefónica puede ahora, cuando llamas para un problema, > acceder a mi router y mi decodificador de televisión y hacer cosas, > como > resetearlos o actualizarlos. De esa manera pueden arreglar problemas > de > los clientes sin desplazarse.
Nada que no pueda implementar un firewall bien hecho.
¿Y para que voy a querer impedirlo?
Lo has entendido al revés :) Para hacer lo que dices solo necesitas un buen firewall, que puede que haga Telefónica.
¿Para hacer qué? ¿Que es lo que he dicho?
Esto que sigue:
> La idea es buena. Pero el problema es el de siempre, fallos en la > seguridad.
Es una contradicción con:
> En el caso que nos ocupa, parchear el problema puede ser imposible, > porque necesitas una actualización del firmware, y pasado poco tiempo > los fabricantes se lavan las manos y no lo sacan.
Y más si le añades:
El problema, es que para hacer eso usan contraseñas poco seguras, que medio mundo sabe.
¿Pero porqué? Estás mezclando uvas con merinas.
Estás mezclando el sistema de soporte remoto de Telefonica, con el problema de los puertos 16992/16993 en los PCs.
El ejemplo que recuerde es tuyo, no mío.
Pero estás hablando de dos cosas y no aclaras de cual de las dos hablas en cada frase.
Telefonica, hasta donde sabemos, está empleando un sistema de acceso seguro. Y si sabes que no es cierto, pon un enlace con un análisis del sistema para que podamos leerlo.
Si es un firewall está bien y si es lo que describías es una chapuza, sin necesidad de más pruebas que el primer tema de cualquier libro sobre seguridad informática.
¿De qué estás hablando exactamente?
El sistema de los puertos 16992/16993 es inseguro porque tiene un bug, admite contraseña en blanco. Es un fallo de Intel.
Es decir, es inseguro y por ello debería de descartarse de inmediato. Que a estas alturas estemos considerando una puerta trasera -porque es lo que es- como una buena idea dice mucho de la mierda de informática que se está haciendo.
Sería una puerta trasera si fuera contraseña única para todos. Si no, es simplemente un acceso remoto del operario de mantenimiento, igual que si accedo yo por ssh desde otra población (que lo hago, por cierto).
Una puerta trasera es una puerta trasera. Es un acceso fuera de la interfaz de conexión regular. Da igual quien tenga las contraseñas, precisamente porque es el desarrollador quien las asigna. Las contraseñas han de ser responsabilidad del administrador, no del desarrollador. Así pasa lo que pasa, se le llama "bug" a un error que no debería ser posible para empezar.
No está fuera de la interfaz, está dentro y es configurable por el administrador, no por el desarrollador.
Y si hablas del sistema de Intel, la contraseña es tan segura como tu quieras. Tú la defines. O tu administrador de sistemas, mejor dicho.
No, no es el caso. No he oído que haya problemas en ese sentido en la plataforma de telefónica por acá.
Se puede cerrar en el router, pero entonces te expones a problemas cuando haya un problema con la tele, y los hay.
Ummm podían probar a no tener tantos problemas y algún técnico más.
Ya. Tu no has estado en un centro de clientes, los problemas son miles. Empezando por el gato que pulsa teclas. Oiga, que no veo el canal 3. Oiga, que no puedo jugar al doom con mi vecino.
Por mucho que aumentes la calidad, siempre habrá algún problema, y si te lo pueden solucionar, pues mejor.
A ver, Telefónica concretamente tiene deslocalizado el servicio de soporte y lo mezcla con el soporte web. En cualquier medida de calidad, de 0 a 10 estarían en el 2 con mucha generosidad.
Por otra parte sus routers tienen problemas incluso para resetearse; en lugar de confiar en un reinicio remoto, podrían funcionar mejor para empezar, poder resetearse en el propio aparato, etc.
Eso es un tema distinto.
También lo usan, creo, para actualizar el propio router.
Cierto. Y para dar por $%
A mi no me han dado por eso.
Yo vi más de un caso.
Francamente, prefiero que se tomen en serio el tema de parchear el software cuando haga falta, y hasta donde yo se, han habido parches.
Sí, pero como he dicho, una sencilla regla de firewall haría bien el trabajo. Espero que sea como lo están haciendo. Una puerta de atrás es explotable por cualquiera, el que piense otra cosa es que vive en otro mundo o no ha aprendido nada los últimos 30 años.
¿Qué trabajo? ¿El acceso de telfonica al router lo quieres cortar con un cortafuegos? ¿Para qué? Yo quiero que accedan.
¿O quieres cortar el acceso a los puertos 16992/3 que usa Intel (y AMD tb)? Porque es el segundo el único que puedes cortar en el cortafuegos externo.
No se puede cortar en el cortafuegos del propio ordenador afectado.
-- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (7)
-
Carlos Ayala
-
Carlos E. R.
-
Carlos García Gestido
-
Juan Erbes
-
karl
-
Pinguino Patagonico
-
Rafa Griman