Фирма Lenovo провела аудит кода операционной системе ENOS (Enterprise Network Operating System), поставляемой с некоторыми моделями коммутаторов Lenovo и IBM. И обнаружила в этой операционной системе бэкдор, внесенный в код еще в 2004 г. Справедливости ради, активировать его не так то просто и не факт, что хакеры его нашли. Но сама история показательна.
В 2004 г разработкой ENOS занималась компания Nortel Blade Server Switch Business Unit (BSSBU). Она внесла код бэкдора (скорее всего рассматриваемый как способ удаленного инженерного обслуживания) по просьбе неназванного OEM клиента. В 2006 г подразделение занимавшееся ENOS было выделено в компанию BLADE Network Technologies (BNT). Эта компания была приобретена IBM в 2010 г, а в 2014 куплена у IBM компанией Lenovo.
И это всё, что вам надо знать об информационной безопасности — её нет. 4 компании 13 лет использовали операционку с предустановленной уязвимостью и нашлась она случайно. Сколько ПО продается менее щепетильными, чем Lenovo продавцами, лучше не думать. Ведь аудит кода абсолютно бесприбылен для корпорации и далеко не все производители ПО тщательно его проводят. Бесконечная цепочка субподрядчиков, куски кода, постоянно продаваемые и покупаемые в виде софтверных фирм и их активов, плохое документирование кода, юридическая безответственность производителей программного обеспечения — все это создает питательную среду для хакерства и гарантирует, что эпидемии вирусов будут продолжаться и дальше.
Англоязычная новость https://support.lenovo.com/ru/ru/product_security/len-16095
Русскоязычная новость и обсуждение http://www.opennet.ru/opennews/art.shtml?num=47897