Vidis sta je genijalna stvar - ja sam u sredu ujutru ustao i na sva 3 kompjutera me je cekala informacija da je Windows patchovan - nisam ni prstom mrdnuo niti sam morao da znam za neki fakin security bulletin.

Takodje, na sva 3 racunara radim kao restricted-user, bez admin privilegija. Sva 3 racunara su pod teskim opterecenjem 24/7 - 720 sati u mesecu, i nema nikakvih blue-screenova, virusa, trojanaca i slicnih budalasitna.

Nije li to profi, a? :-) Platis jednom i vozis... ne moras biti guru za kernel ;-)

Pa po toj logici, i ja sam iza NAT-a, nemam servise dignute na mashini... Shta mi mogu tamo neki remote exploits...?

No poenta mog pisanija je kako u jednom danu mozhe da se nadje shirok dijapazon rupa u raznim servisima MS-a...

Btw, je li ti se sam restartovao windows da aplicira patcheve? Je li znash shta mozhe biti u medjuvremenu, dok ne kliknesh na "reboot" ?

Uh....stvarno je bespredmetno postavljati ovakve teme.
Ovo moze ladno na windows security pa nek znaju djecarci da treba da da se patchuju...:)

Moze svasta - kao sto moze svasta da se desi i Linuxu dok se admin ne seti da ga zakrpi, na primer.. a na primeru PHP exploita smo videli koliko je to vreme u proseku ;-)

Ovako je ipak malo krace ;-)



Da, otkrivena je rupa na vreme i odmah je izdat patch za sve komponente koje su ugrozene... nije bilo sanse da neko prvo uradi exploit, pa da se neko posle seti da krpi ;-)

Za sve ljude koji imaju legalan windows i koji imaju 2 grama mozga da ukljuce automatski update - vreme koliko su bili nesigurni se verovatno merilo satima cak i ako nisu bili za kompom.

Verovatno ce za 3-4 meseca neki "aker" da napise exploit za ovo - i ovde ce ljudi da se furaju sa pricom kako je Win, eto, nesiguran - jer postoje ljudi koji ne patchuju svoj sistem ;-)

Hm, necu da zvucim kao partybreaker ali vecina takvih propusta je poznata mnogo pre nego sto izadje u javnost a uglavnom i exploit je vec napisan ako ga je moguce napisati.

Kao MSBLAST, jel da Axez ;-)

Imas jos neki u posledje 3 godine? :-)

Cik ih ugasi!

Da, i ja patchujem Windows svakog meseca, a ponekad i češće, a Linux ne patchujem nikada.

To je zato što više i ne držim tu smejuriju na svojoj mašini. Mnogo mi je lepše bez nje.

E moj Nemanja, bolje da je i nemaš. Samo za apdejte bi morao da imaš posebno cable ili DSL.

I znaš šta.. taman misliš: "E sad sam na konju, sve je up-to-date", kad ono --- NOVA VERZIJA!!!!! I opet skidaj 3 CD-a, minimalno..

Totalno čovek da poludi, nije ni čudo onaj Stalman što je onakav.. živci.. verovatno od tolikih zakrpa, pardon, novih verzija.

I da ne bude zabune: MSBLAST je izašao nakon zakrpe.

Da .. i to sigurno na dial-upu ko vecina kompjuter usera u srbiji? :)

Neznam zasto stalno pomenjujete kernl ovo kernel ono.. update.. rekompajl ..
Linux boxi sa godinu i vise uptime-a .. jel oni rade rekompajl svaki put kad izadje novi kernel? Svaki put kadneko popravi neki driver za neku znj zvucnu karticu? :)


hehe :) opet ono "XXX mb updajta za dva dana" Ja upotrebljavam OpenOffice koliko znam 1.1.1. Probao sam i 2.0 betu ili sta vec bilo ono. za sad mi netreba nista novije.. to znaci tri verzije manje (1.1.2. do .4) sta je od prilike 3 * 80mb = 240mb nepotrebnih updejta.


Pogledajte prvo koliko ih ima local a koliko remote. I opet koliko jih je za najnoviji kernel (2.6.12 danas.. ili za 2.6.11 koji je bio do malo pre najnoviji). Koji kucni user bi exploitao svoj kompjuter? a ako je kompjuter shell provider ili nesto.. onda i onako treba admina koji proverava sve.. kao sto server resenja za windows trebaju admina bar da instalira patche i proveri dal je sve uredu.


@Sundance procitaj Pravila i ne nazivaj ljudi magarcima. isto vazi i za tebe axez. i pusti sundancea.
i onako vecinu stvari kojih Sundance nadje na internetu su ili msdn ili ' as said by XY, director of blabla at Microsoft" Mislim da si, Sundance, i sam negde rekao da svaki ciga svog konj hvali.

Drugim riječima, ukoliko mislite koristiti linux na višekorisničkim mašinama, onda je bolje da o tome ne razmišljate.



Ne zanima nas jesu li bugovi zakrpljeni (ti si se tu nalupetao u vezi MSBLAST, tako da bolje da to ni ne spominješ), već koliko ih ima. Numerički. Daleko više nego recimo bugova u win kernelu.



Znači po tebi je mkdsl taj koji lupeta, pošto je po tebi realna opasnost i od ovih bugova zanemariva i za kućne i za serverske verzije, ekvivalentno sa danim linux scenarijem. Baš super.



Evo zadnjih par mjeseci sam se trudio ne citirati bilo koga zaposlenog u [MSFT], to što vi ne prihvaćate nezavisne studije i mišljenja (bivših) linuxaša i sl. jest vaš (psihološki) problem.



Bar se trudim ne lupetat.

Mislim da gresis. Magarac nikao ne moze da napravi majmuna, moze samo drugog magarca ili mulu (u saradnji sa kobilom).

Oh my Oh my, kakav lep dan



Izvor

Pa shta je bre ovo danas, sve lepe vesti .

Pazi, uz pomoć Linuxa može od magarca da se dobije pingvin. A imamo prilike ovde da se uverimo da onda može dalje i majmun nekako. Treba pitati na Linux forumu, znaju detalje.

Dzabe se trudis - usledice odgovor tipa "A sta bi tek bilo da je TO radilo na Linuxu?"

Ma zanimljivo mi da gledam ovu dechurliju poput Sunashceta . I i shta cu, zapalo mi za oko tih 40ak miliona kreditnih kartica, pa reko' da vidim u kom grmu lezhi zec. A ono zeka drzhi sajt na windows-u .

Shta je 40 miliona kartica, pokrice to Bili sa 3 cheka



Iliti - MS sux, nisu validni ni da ispitaju sigurnost sistema

Dakle mkdsl još jednom potvrđuješ da si običan axez-style troll koji nije u stanju iznijeti nijedan inteligentan argument osim pasivnih činjenica koje ništa ne znače.

Kao prvo na tom članku piše samo da se web site vrti na win2k + IIS 5.0. Možda se back-end aplikacija za obrađivanje zahtijeva vrti baš na Linux + PHP. Ustvari gotovo sigurno jest.

Izvor

I josh jednom da se vratimo na prvi link:



Ja se stvarno izvinjavam ako zvuchim kao axez (bez uvrede, axez), nisam imao ni najmanju zhelju. No virusi haraju kompjuterskom mrezhom, to mora da je na linuxu . Ali mislim da na linuxu josh nisu pocheli da pishu tako inteligentne viruse

Mozhesh ti i bolje od toga, Sundance...

A gde je tu Linux uopšte u takvim firmama? Nigde. To govori dovoljno.

A virus na Windows ne dolazi baš sam, ako se odradi postavljanje mreže "po pravilu".

Verovatno je neki linuxovac administrator tamo. Upravo smo ovde imali primer linuxovca koji pravi file share na Win mreži i svim korisnicima daje read i write dozvole. A onda sa tog file share-a rastura kritičan exe po radnim stanicama, pa dođe ovde i priča kako se virus širi po mreži :))

Pa da, kad imaju nekog linuxovca administratora, sigurno je to onaj isti sto umalo nije poobarao gomilu putnickih aviona pre par meseci, pa ga po kazni premestilu u banku

Ti su novinari malo nepismeni, pa pod virus kategoriziraju i mrežni sniffer. Nemoj mi samo reći da takvo nešto ne postoji za linux. Ne samo da postoji, već je dio većine standardnih instalacija :)



I kakve to ima veze sa ovim incidentom??

Ajd još jednom nađi gdje piše da je pod windozama bilo što osim web servera.



Misliš? Google: I-worm.Slapper, I-worm.Santy etc.



Opet nabijanje ega nakon što si iznio hrpu ničega. ccc.

Ne, nego onaj što nije ni imao priliku da to ikad radi. Uvek sedi sa strane i broji kad god ovaj što radi nešto pogreši. A njega samog - nigde da nešto uradi.

Osim u Ujedinjenoj Aziji, Južnoj Americi.i Slobodnom Minhenu.

To nisu linux virusi, vec PHP virusi. [irony] Ali poshto PHP ide u kombinaciji sa linuxom, naravno da je linux kriv.[/irony]



Tebi je mozhda hrpa nichega, ali 40 miliona kreditnih kartica je postalo dostupno javnosti i to od 22 maja do sad, a da niko od zaposlenih nije primetio - pa ni administrator. E pa sad, ako poslushamo vashu teoriju da je back-end bio PHP + Linux, ili administrator linuxovac administrirao bushnu windows mrezhu, ili (kao shto degojs kazhe) ko to josh koristi linux u tolikim firmama, dolazimo do zakljuchka da je sve ovo jedna velika teorija zavere protiv M$...

Cenim da ce u vezi ovog sluchaja izaci josh informacija, ali jedno je sigurno: Firma koja unajmljuje third-party revizore da ispitaju sluchaj (third party od chega?) propusta u sigurnosti sistema definitivno treba da razmisli o buducoj strategiji rada, kao i kvalifikovanosti zaposlenih...

kad ste vec zapoceli sa virusima.. da ja svratim malo i kod naseg dobrog drugara zvanog malware :)
M$ i Antispyware, IE7 sa ugradjenim Anty spyware-om :)
zasto ovi is M$-a ne srede IE tako da ne prpopusta Spyware? Sigurno ce da naprave i M$ antivirus, i da spyware zapakuju pored i daju neku 'realnu' cenu od par stotina $$$. Napravis busljivu kupusaru koja propusta sve preko i onda naplacuj antivirus :)

////
1. Sad ce neko da nalepi onaj exploit za FF 1.0.3, .. .. nem,a veze.. 1.0.3 je stara verzija FF
2. jos neko ce da nalepi nesto u stilu 'linux viruses' .. i onih par virusa za linux.. i jos to od pre ne znam koliko godina
3. Samo nemojte opet o trusted/restriced conama u IE.. kazite to perici koji je juce kupio kompjuter.. u FF-u lepo mogu da se instaliraju programi samo sa nekih sajtova koju su vec namesteni po defaultu.
4. Nemojte opet sa najnovijim updejtsima.. ako bi updejti sprecili sve.. M$ bi reklamoiorao samo updejte, a ne AntiSpyware
////

Da se vratim na ono sa krditnimkarticama. gde ste videli banku da zaposljuje neke znj linuxovce. Ako je sistem na M$u onda je admin MSSE, MSWA, ... MS?? . :)

@degojs & @Sundance
fala sto pisete kontrirujuce izjave :) bas lepo izgleda :)

U pravu si. Ubuduce cu izricito traziti da mi kazu na cemu im radi "sve to", imaju li nekog linuksovca kao admin-a i slicno, jer je i moja koza u pitanu. U nekoj od tamosnjih banaka i jedan moj veoma blizak rodjak ima nesto malo para. Pa cak i da nema nista, postoji opasnost da uskoro ima i manje od toga - da mu neko napakuje zesci dug pomocu kartice. Dakle, ovo vise nije (samo) akademska rasprava. Mora biti da postoji i krivicna odgovornosti. Mogao bi i da ih tuzim, da zastitim tog mog rodjaka. Nadam se, da necete imati nista protiv da vas pozovem kao svedoke na sud, jer ste ocigledno znali da u njihovom radu ima ozbiljnih nepravilnosti (koriscenje "kupusare" za krticne stvari i "Linux OS" administrator).

Join your hands...

Ne secam se da je do sada iko pominjao Microsoft u vezi sa skorasnjim skandalom sa Mastercardom?

Ja sam mozda glup, ali to je bozji dar, to se ne moze promeniti, ali ti si neprincipijelan, sto je tvoj licni dar samom sebi - odgovaras na post coveku koga bi bannovao!

ES nece daleko dogurati uz medjusobno vrijedanje i cinjenicu da se skoro svaka diskusija pretvara u Windows>Linux bitku. Sto se tice MasterCard-a. Software je vjerojatno bio u potpunosti zakrpan - no popustila je najslabija karika - covijek.

Odgovorno to tvrdish, ili nagadjash? Od 22. maja niko nije primetio da brojevi kreditnih kartica cure? Skoro mesec dana? Pa tog administratora (ili tim administratora) treba pohapsiti i osuditi na najgore moguce kazne. Valjda im ti racunari koji koriste daju neke informacije, valjda rachunar sluzhi choveku, a ne chovek rachunaru...

Ti si taj koji lupetaš.

Gdje piše da su strojevi koji su sadržali bazu brojeva cc-a bili na win?

Gdje piše da je spomenuti trojanac bio na win?

Želiš li reći da ne postoje linux backdoorovi?

Gdje piše da nije bila ljudska greška u pitanju?

Daj bwe....

Mali info u vezi tih prokletih kartica: veliki deo krivice spada na pleća kompanije koja je radila procesiranje kartica. Oni su, naime, čuvali podatke o transakcijama iz nekog razloga, sa svim podacima koji su relevatni za transakciju, kao što su ime i prezime i broj kartice pojedinca koji izvršava transakciju preko svoje kartice. Ovako nešto je totalno nedozvoljeno, te se postalvja pitanje tužbe protiv te kompanije (ne znam tačno kako se zove, nešto Cardmaster ili tako nekako).

Znate ono, stavite čelična vrata i rešetke na prozore, ali najbolji način da sprečite provalu u kuću jeste da jednostavno nemate ništa vredno u njoj da se ukrade.

Mislim da bi neko spomenuo da je bilo na linux-u, ali nije. Nadji ti meni da su baze bile na linuxu, i ja cu odmah da se ispravim, i predochim izvinjenje... U protivnom, bilo je pod windowsom (web server IIS).



Objasni ti to ljudima koji su imali poverenje u tu banku/processsing unit/shtagod...

Neko im je sigurno već objasnio. Štaviše, mislim da sam pročitao da se korisnici neće teretiti za troškove koji su napravljeni bez njihovog znanja u periodu u kom su brojevi kartica "cureli". Ali ti si očito potpuno mašnuo da sam ja jednostavno predočio još jednu dimenziju celog slučaja koja nema nikakve veze sa tehnologijom. Da je ceo sistem bio Linux, opet bi jedan od glavnih problema bio taj što je kompanija A čuvala podatke koje nije smela da čuva. Šta ti tu nije jasno??



Mala logička omaška. Ako nije bilo pod Linux-om, ne mora odmah značiti da je bilo pod Windows-om. Šta ako je bilo pod Solarisom ili AIX-om, recimo?? Ili ako je sistem bio heterogen?? Samo malo cepidlačenje s moje strane, siguran sam da postoje podaci o tome koji je sistem bio u pitanju.

Mada...počinjem da se pitam u čemu je tačno poenta. Mislim, ako su administratori kreteni koji nisu uspeli da obezbede sistem to je njihova stvar i stvar poslodavaca koji su ih zaposlili. S druge strane, imamo čuveni (mada stariji) slučaj hakovanja Apache sajta. Opet loše postavljen sistem (mada nema veze sa FreeBSD-om na kome se sajt "vrti") u tom slučaju mislim da se radilo o permissionima MySQL-a ili tako nešto. Vezivati aljkave admine sa Windows-om je ipak malo previše slobodno i neosnovano. Aljkavi administrator je aljkavi administrator, može da radi na bilo kom OS-u koji postoji na kugli zemaljskoj.

IMHO, naravno. :)

Po toj glupoj logici je svatko kriv dok mu se ne dokaže suprotno. Blago tebi, mora da ti je lijepo u životu

http://news.com.com/Details+em..._3-5754661.html?tag=st.ref.goo



Zhivi bili pa uskoro saznali...

Linuxovci naravno zive na spekulacijama i floskulama "poznato je da", "svi znaju da" i sl ;-)

Kasnije dodju cold facts, obicno ne u njihovu korist ;-)

Pravi FUD majstori.

Ne bih bash rekao da se korisnici nece teretiti za troshkove.



Izvor

Mislim da uskoro mozhemo ochekivati i gde je tachno bio problem. Mada se o tome josh uvek cuti.

Microsoft Internet Explorer "javaprxy.dll" Command Execution Exploit



Izvor



Izvor


I MS izdaje zakrpe pre nego shto exploit procuri u javnost? A tek kakva sigurnost IE...

Kakva zabluda.

_{[Ovu poruku je menjao mkdsl dana 04.07.2005. u 13:35 GMT+1]}

Pa i onaj FF 1.0.3 exploit je bio tjedan dana dostupan svakom kidiju na dl, prije nego je izdana 1.0.4 verzija, what's your point mkdsl?



Meni nije poznat nijedan windows exploit koji je izdan prije izlaska zakrpe. S druge strane, poznato mi je da su izvjesni linux exploiti bili dostupni u "dobro poznatim krugovima" mjesecima, neki i godinama prije nego što su "otkriveni".

Zato ne pametuj previše, i sam znaš što je bilo recimo sa nedavnim uselib() bugom..



"Patch" br 1. Postaviti Kill Bit na: 03D9F3F2-B0E3-11D2-B081-006008039BF0

"Patch" br 2.

"Patch" br 3.

"Patch" br 4.

Spremi kao *.reg i importaj

"Patch" br. 5. Deinstaliraj JVM

"Patch" br. 6. Onemogući ActiveX

"Patch" br. 7. Stavi security zone na High

Meni je još i Maxthon pod reduciranim privilegijama (većina malware-a ne može normalno funkcionirat), nijedan bindshell ne radi (custom cmd.exe ;) poput onoga na frsirt-u, fw uredno prijavljuje sav promet koji nije http i nije autoriziran....mislim da je moj Maxthon i više nego dovoljno siguran :>

mkdsl, 'oš me haknit? :>

Vau... Jel svaki korisnik na Winu mora da prodje kroz sve ove korake? I sve to da bi dobio siguran sistem... Znaci priznao si da je Win* rupa bez dna.

Pominjali ste nešto protiv komandne linije, da metode instalacije na omraženom operativnom sistemu izgledaju kao molitve Manituu ... a šta je onda ovo? Svaki prosečan korisnik zna da podesi kill bit, jel'?

Ne sve, jedan od njih je dovoljan.

A navedeno ih je dovoljno mislim da razbije popularnu linuxzealotsku dogmu da su win korisnici "ovisni" o MS-ovim patchevima.

Postoje alati koji to sami rade (mislim da može SpywareBlaster i još neki anti-spyware alati), ili možeš ručno:

http://support.microsoft.com/default.aspx?scid=kb;en-us;q240797

A za ove ostale metode, neke su 100% GUI (recimo direktno ACL podešavanje, možeš preko desnog klika u Exploreru).

_{[Ovu poruku je menjao Sundance dana 04.07.2005. u 15:18 GMT+1]}

Mislim... Koliko koraka samo da bi dobio ono sto kod Linuxa imas po defaultu: sigurnost.


U, jeee... Ziveo Bili i sasava druzina (Looney Toons)...


Looney Toons is a registered trademark of WB inc.
bug is a registered trademark of Jerkoffsoft Corp.

Dovoljno je bar 1.



Nema ovo veze sa linuxom, već sa browserom. IE je jednaka hrpa govana, baš kao i FF. Svatko tko misli drugačije, krivo misli (čitaj: ideološki su mu kontaminirani dijelovi mozga zaduženi za percepiranje stvarnosti, a što se manifestira psihosomatskim poremećajem u narodu poznatom kao RDF(TM)).

<sub>RDF = Reality Distorsion Field

[Ovu poruku je menjao Sundance dana 04.07.2005. u 20:55 GMT+1]</sub>