On 2017-05-23 22:21, Rafa Griman wrote:
Wenas :)
2017-05-23 20:16 GMT+03:00 karl
: O martes 23 maio 2017 11:16:50 CEST Rafa Griman escribiu:
En la wiki inglesa dicen:
"A backdoor is a method, often secret, of bypassing normal authentication in a computer system, a product, or an embedded device (e.g. a home router), or its embodiment, e.g. as part of a cryptosystem, an algorithm, a chipset, or a "homunculus computer"[1] (such as that as found in Intel's AMT technology). Backdoors are often used for securing remote access to a computer, or obtaining access to plaintext in cryptographic systems.
A backdoor may take the form of a hidden part of a program,[2] a separate program (e.g. Back Orifice may subvert the system through a rootkit), or may be a hardware feature.[3] Although normally surreptitiously installed, in some cases backdoors are deliberate and widely known. These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords."
¿Qué significa "normal authentication"? Si no lo definen ... mal vamos ... ;) Lo pregunto porque ambos (AMT e IPMI) funcionan a muy bajo nivel, incluso sin sistema operativo "principal" (como Windows o Linux). Tanto AMT como IPMI se pueden usar _SIN_ sistema operativo (Windows, Linux, ...) luego si usamos IPMI o AMT en un equipo _SIN_ sistema operativo ... ¿estaríamos "bypassing normal authentication"? Si alguien se pregunta por qué tenemos un equipo sin sistema operativo: lo acabamos de comprar, lo hemos dejado en la habitación de al lado porque hace mucho ruido y queremos hacer una instalación remota.
BTW, tanto AMT como IPMI/iLO (como lo quieras llamar) funciona incluso antes que la BIOS, es más, (como decía en un correo anterior), funciona aunque el equipo esté apagado. Lo único que necesitan es que el cable de corriente esté conectado.
He estado leyendo la entrada de AMT en la Wikipedia (la página de Intel tiene demasiado marketing y como has mencionado la Wikipedia también, pues vamos a estandarizar ;) y te dicen que AMT es como IPMI, pero para PCs, tablets, portátiles, ...
BTW, en AMT e IPMI se puede asignar usuario y contraseña ... luego, si asignamos usuario y contraseña ... no estaríamos "bypassing normal authentication" ... ¿o sí?
Yo lo entiendo como "puerta lateral de servicio". El sistema operativo no tiene control sobre el asunto, pero una vez que se establece la conexión se puede hablar con el sistema. Puede que esto no esté muy hecho en Linux, no se.
En todo caso, yo preguntaba por lo de Telefónica. En el caso de Telefonica se puede asignar contraseña, otra cosa es que esté mal desarrollado/configurado y acepte claves en blanco (como comenta Carlos). Luego lo de Telefónica no sería puerta trasera, según esta definición, ya que no hay "bypassing normal authentication".
No, es un acceso "normal", es un servicio más con su sección de configuración. Y con un nombre de usuario largo (tipo numero de serie, 20 letras quizás, no las conté), y una contraseña que no se puede ver, pero por el número de asteriscos parece también larga. No parece una "llave maestra", sino específica. Ahora, eso sí, da la impresión que su activación abre el puerto automáticamente en el cortafuegos. Pero eso lo he visto en varios routers, es por sencillez, no tener que configurar dos páginas. Haciendo un nmap sobre mi IP veo abiertos: PORT STATE SERVICE 22/tcp open ssh 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds lo cual tiene coña, porque yo no he abierto esos puertos (no, el ssh no está en el 22). Y que tenga abierto puertos del netbios a Internet tiene narices de las gordas. Voy a hacer otro nmap más intenso (nmap -sV -A -p1-65535 --open -oN file.txt host.name) (Lleva veinte minutos sin decirme nada) Ugh. A la hora lo que ha petado es mi conexión local de ONO, he tenido que dar el botonazo al router y al punto de acceso wifi. Ya lo volveré a intentar mañana.
Siguiendo la definición que has copiado, dice: "These kinds of backdoors might have "legitimate" uses such as providing the manufacturer with a way to restore user passwords." Luego un USB con una imagen de openSUSE es una puerta trasera. Luego una puerta trasera no es necesariamente algo malo.
Y no parecen muy preocupados por lo que tú dices.
Me he perdido. ¿Qué es lo que no les preocupa de todo lo que he dicho?
Si el software tiene un sistema de entrada fuera del sistema de verificación de acceso general, tiene una puerta de atrás. Fácil. Y en lo que estamos tratando, es precisamente la idea. Nótese que el origen del hilo, la "tecnología AMT de Intel", es citada como ejemplo expresamente ;)
En este hilo se están tratando 2 temas: AMT de Intel y el sistema de gestión remoto de Telefónica. Yo preguntaba por el de Telefónica ... acabo de revisar mi correo anterior y puse: "En el caso de Telefonica y los routers que te instala en casa [...]" ;)
No pasa nada, podemos hablar de ambos si estáis todos de acuerdo 0:) Intentaré aclarar cuando hablo de uno u otro ;)
Si, conviene decirlo.
[...]
Todo software adicional o superfluo requiere mantenimiento. En realidad, todo el software lo requiere. Si existe una puerta trasera, antes o después alguien la explotará, lo que obligará al desarrollador a proporcionar parches o actualizaciones que pueden afectar a configuraciones generales necesarias o incluso provocar otros errores (o peor, no llegar a tiempo). El código que no da problemas es el que no ha sido escrito.
Creo que estamos todos de acuerdo con eso ;)
Claro! No dará problemas, pero tampoco soluciona nada :-)
[...]
MHO, si esta en la BIOS, no es puerta de atras ya que no esta oculto. Lo mismo sucede con iLO, iDRAC, BMC, ... en la BIOS configuras la IP de ese puerto (entre otras cosas).
En el caso del chipset de Intel, no funciona así, o al menos tal como yo entiendo el artículo de la wiki ya que advierten de algunas "issues" con Linux. Si tiene "issues" con LInux, es que va más allá de la BIOS ;)
Creo que este chipset no es el primero en tener "issues" con Linux ... ;)
En la bios se configura el acceso, nada más. Tiene su propio procesador, es un ordenador pequeño e independiente que puede hablar y ordenar cosas en el ordenador principal. Y si tiene que hablar con el sistema operativo, este tiene que tener API y hooks. Es posible que Linux no los tenga. El que tenga un ordenador con esto es que lo ha pagado y lo sabe. O debe saberlo, porque cuesta extra.
Leyendo lo que pone en la Wikipedia ... funciona igual que iLO, de hecho, pone (copio y pego): "AMT provides similar functionality to IPMI, although AMT is designed for client computing systems as compared with the typically server-based IPMI." Para evitar malentendidos: iLO, iDRAC, BMC, ... usan IPMI o se pueden acceder mediante IPMI. Vamos que AMT es el IPMI de portátiles, tablets, ...
Según la Wikipedia, AMT es una tecnología similar a iLO ... para equipos sin iLO (como portátiles, tablets y PCs). Tiene un componente hardware y uno software (firmware) ... igual que iLO. Es más, si vamos a la Wikipedia y buscamos IPMI:
Tablets!
"The Intelligent Platform Management Interface (IPMI) is a set of computer interface specifications for an autonomous computer subsystem that provides management and monitoring capabilities independently of the host system's CPU, firmware (BIOS or UEFI) and operating system. IPMI defines a set of interfaces used by system administrators for out-of-band management of computer systems and monitoring of their operation. For example, IPMI provides a way to manage a computer that may be powered off or otherwise unresponsive by using a network connection to the hardware rather than to an operating system or login shell."
Lo mismo que AMT.
Los que usamos IPMI no la consideramos una puerta trasera, la consideramos una herramienta de gestión remota. ¿La puedes usar como puerta trasera? Sí. Igual que nmap (e infinidad más de las herramientas que se usan a diario por los sysadmins): son armas de doble filo. Las puedes usar para "hacer el bien" o para "hacer el mal".
Está hecho a propósito para que el departamento de IT pueda hacer el mantenimiento desde su sala sin levantarse, y sí, tienen derecho a hacerlo e incluso a encender el ordenador si lo necesitan (para eso compraron ordenadores con ese sistema de acceso remoto).
Por mí como si lo utilizan para hacerse pajas. Luego vienen gusanitos, nos compromenten el sistema y lloramos. Lo malo es que no compromenten el suyo (recuerda, por mí si lo usan para hacerse pajas -el hardware-), sino el de otros ;)
Los gusanitos pueden venir incluso sin usar AMT, IPMI o la gestión remota de Telefónica ;)
Lo de las pajas sobra (MHO,), esto es una lista de tecnología no de prácticas sexuales ;)
Pero no "nos comprometen el sistema", porque el sistema es de ellos, no nuestro ;-)
Luego es algo similar a iLO, ...
Donde no hay este sistema pues tienen que coger el teléfono y ordenarle a alguien que vuelva a encender el equipo apagado y que se aparte.
Pues sí, llamas a un fulano le dices que se acerque, que le de al botón de encendido y se vaya. Y le das 50 euros. No es difícil.
Y si eso es un problema, deberías repensar qué hace ese equipo ahí.
Yo he tenido clientes con servidores en medio del monte a los que no accedes fisicamente tan facil. No es un "paseo por el campo" ni un picnic por el que pagas 50 Euros, son lugares bastante inaccesibles y, por tanto, lo del iLO te viene de miedo para, incluso, acceder a la BIOS o a un sistema que no arranca.
En mis tiempos un abuelo te preguntaría qué narices hace un equipo ahí para empezar y por qué tiene conexión a internet.
En cuanto a qué hace un equipo allí: molinos de viento, paneles solares, sismógrafos, ... hay muchos casos en los que un equipo allí hace mucho ;)
Camaras, radares y medidores varios de la DGT ;-) Aunque esos están en las carreteras, aunque no necesariamente asequibles. Pararse en una autovía a pulsar un botoncito debe tener plus de peligrosidad. Y más si hay que subirse al pórtico ;-P
Respecto a por qué tienen Internet ... de alguna manera hay que llegar al equipo para monitorizarlo, y de alguna manera el equipo tiene que ser capaz de enviar los datos que recoge/analiza ;)
Nótese que el equipo tiene que tener corriente, porque sin ella ni Intel Management ni ostias en vinagre.
Al iLO y similares le ocurre lo mismo. Necesita corriente, pero no necsita que el servidor este arrancado.
Sí, y ahora debes de reflexionar en qué tipos de problemas puedes solucionar con el sistema ése específicamente. ¿Por qué se apaga el equipo?
Respuesta real aunque simple: se apaga por error Humano, por ejemplo. Otras respuestas: fallo de disco, fallo de memoria, parches con bugs (Intel sacó microcódigo que te tiraba los RHEL), ... hay muchas razones por las que se puede apagar un equipo.
Porque si se reinicia, esto, ejem, se reinicia. Tampoco debería ser tan dífícil "despertar" a un equipo si está un tiempo determinado apagado (puede programarse por horas desde hace décadas), así que otra vez, ¿cuál es la utilizad "real" de esto?
Bueno, yo tengo acceso remoto a mi servidor casero. Se me puede colgar el router o el PC. Le tengo pánico a hacerle actualizaciones, estoy a 500 KM. Claro que es un servidor casero, no uno profesional, pero hay problemas similares. Eso me recuerda: ¿sabéis de algún chisme que pueda comandar por red o algo para apagar/encender remotamente un chisme? El servidor podría monitorizar pings al router. Si el router deja de responder, podría ordenar un botonazo desde el servidor (suponiendo que la función "network switch" del router siga trabajando. Sería algo de domótica, me supongo.
Utilidad real tiene mucha: gestión remota OOB (Out Of Bound), incluso con el equipo apagado, acceso remoto a la BIOS, ruta alternativa en caso de pérdida de acceso por red "normal", monitorización, ... Un caso que puedes tener es que has apagado tu cluster de 1000 nodos (algunos CPDs apagan 1 vez al año para hacer comprobaciones, simulacros de DR, ... ), no vas a ir hasta el CPD a encender uno a uno (a menos que quieras darte un paseo y pulsar 1000 botones de encendido). Otro ejemplo es que la has liado con el autoyast o kickstart o PXE o BIOS y el equipo se reinicia constantemente o no llega a arrancar (las liado con el GRUB, el particionado, opciones de arranque de la BIOS, ...) ... tienes la opción de darte el paseo al CPD o de meter mano remotamente mediante IPMI.
Ejemplos de AMT: lo mismo, pero con PCs distribuidos geográficamente ... (incluso a nivel mundial). Un comercial en el aeropuerto de pronto llama a IT porque "su PC no arranca", te viene bien tener AMT para poder acceder al equipo y arreglarlo. Robo de portátiles, tablets, ... accedes remotamente y lo borras todo o lo cifras o lo que se te ocurra.
Ahora bien, eso no significa que "estén libres de pecado" (tanto IPMI como AMT, u otros). Tampoco digo que Intel lo haga "por nuestro bien".
No, seguro que te venden el sistema subiendo el precio de la maquina.
Problemas de seguridad hay. ¿Posibles puertas traseras que no sepamos? Posiblemente. Que hay que implementar nuevas medidas de seguridad, claro que sí. ¿Es un nuevo posible coladero para "los malos"? Claro que sí. Pero para eos nos pagan ;)
Y en el caso de telefónica, que era un ejemplo, pues también puedes cerrarles el acceso. Está a la vista la configuración de la contraseña de acceso remoto. Y si no recuerdo mal (no tengo acceso ahora para verlo hay una regla en el cortafuegos.
Entonces si usa el cortafuegos, que es lo que he dicho antes, está bien hecho; si usa una puerta de atrás, es una basura.
Luego lo de Telefonica no esta oculto, es algo configurable por el usuario (si sabe hacerlo). Si es asi y lo he entendido correctamente, MHO es que lo de Telefonica no es una puerta trasera es un acceso remoto similar a iLO en concepto.
No he dicho que lo de Telefónica lo sea o no, cosa que desconozco. De hecho, que yo sepa ellos sí que requieren que esté encendido y no pueden hacer determinadas cosas en él. No sé si para disimular, pero esp sería algo retorcido. Probablemente simplemente tengan un acceso privado (y ojo, un sistema de acceso "maestro" es la basura que usaba Apple hasta que alguien empezó a subir fotos de famosas a la red).
Estoy de acuerdo, una "llave maestra" es muy peligrosa, especialmente si no la gestiona el usuario ... quizás es más peligrosa si la gestiona el usuario ... ;)
No creo que sea por llave maestra, porque esas contraseñas se acaban aprendiendo y salen. Sí, esta gente necesita que el equipo no esté sólo alimentado sino también encendido - pero no tienen necesidad. Si no está encendido no hay nada que resolver. Si el usuario llama diciendo que no ve la tele se le dice que encienda el equipo :-) Deben tener un listado de clientes y login/pass. Posiblemente el router llame a casa para decir en qué IP están, no veo otra forma práctica ya que no nos dan IP fijas a los clientes. Ya puestos, podrían darnos un equivalente al dyndns gratis. -- Cheers / Saludos, Carlos E. R. (from 42.2 x86_64 "Malachite" (Minas Tirith))