Ma to su oni programeri što kažu da ne treba gubiti vreme na optimizacijama.. isto tako verovatno misle da ni o sigurnosti koda ne treba mnogo misliti, taman da ima šta da se ubaci u servisne pakove ono SP1, SP2... SP6. Pa opet sve ispočetka sa novom verzijom.

Još jedan mirror potvrda: http://arstechnica.com/wankerdesk/03q2/ms-hack-image.html

Prebacite ovo u advocacy da bude zanimljivije :)
Deface forum je mnogima na ignore listi.

Uzivajte :)

HAL: "It can only be attributable to human error." :)

Pa niko nije još rekao da mašine greše niti da su one krive za ovo - majkrosoft srećom još uvek ne pravi kompletne pc računare i pc hardver osim one konfekcije - tastature kamere i slične stvari.

Dobro de, ajd ovako: "It can only be attributable to human-adiministrator error." :)))

Ali zar njihove masine nisu iza nekih linux masina? Zar ne bi te linux masine trebalo da ih zastite? :)) hi hi hi.

Pa i nisu.. hotmail frontend su bili freebsdovi i to je savršeno radilo dok ih ms nije kupio i počeo redom da menja. Doduše kasnije su kružile priče da se u pozadini i dalje vrte neki bsd boxovi sa glavnim bazama i to, ali mislim da su do sada definitivno uklonjeni. Zamisli neko hakuje prvu liniju odbrane i sazna da je unutra sve unix like i da koriste mukotrpan rad opensors programera u komercijalne svrhe (ovo nije ideja hakerima šta bi trebalo da urade hehe). Zato hotmail i radi tako kako radi. Tj. ne radi.

Ali to nije tema, pardon. :) Tema je koliko iskustva treba da ima microsoft programer da bi pisao bullet proof code?

Odgovor je nemoguće dati ili bi glasio: beskonačno mnogo, pošto oni ne rade na sigurnosti svojih proizvoda već im je lakše da se vade na "loše administratore", tako da sigurnost nije u funkciji sa iskustvom u programiranju na ms platformama.

Ih, bre Gojko, previse si ozbiljan. Ipak je ovo advocacy.
Ja sam ono pomenuo (da malo provociram) zbog ove stvari:
http://news.netcraft.com/archi...runs_linux_up_to_a_point_.html

Tu si ti nešto pobrkao. Niko nije lud da tera db servere na BSD-u. Hotmail je nekad bio BSD front end, a Solaris back end, a danas je front end Windows, a back end mislim da je još uvek Solaris, ali ne bih smeo da se zakunem.

Otkud znaš da se ovde ne radi o serveru koji nije zakrpljen? Da se radi o nečem novom zar ne bi bilo logičnije da je deface-ovana naslovna stranica na npr. mircrosoft.com ili tako nekom serveru?

Nego, hajde baš da malo popričamo na tu temu.. Šta ti misliš ko to dobiva (ili ima) posao programera u Microsoftu i kako? Onako prosek - iskustvo, znanje i slično? Čitajući neke komentare ovde na Advocacy ispade ništa lakše nego dobiti posao u MS kao programer.

Hm? Čovek treba da živi na Marsu pa da ovakvo nešto izjavi i ostane živ.

Evo malo statistike za danas:

http://www.zone-h.org/en/index

ZONE-H TODAYS VERIFIED ATTACKS

78 single IP
57 mass defacements

Linux (69.6%)
Win 2000 (11.1%)
FreeBSD (8.9%)
Win NT9x (3.7%)
Unknown (3.0%)
MacOSX (1.5%)
IRIX (0.7%)
... (1.5%)

Mada.. šta to govori? Ajd znaj ko je tu kriv - administrator ili sam sistem? Kao da sad kažemo da je FreeBSD kriv što je neko pronašao način da postavi poruku u es-mods nedavno..

Gojko, pogledaj statistiku..

http://www.zone-h.org/en/winvslinux2


a onda obrati pažnju na zaključke:
..
YOU SHOULD SEND ALL THIS ANALYSIS AND THESE GRAPHS IN /DEV/NULL
..
EVEN THEN, EVERYTHING SHOULD STILL GO TO /DEV/NULL
In fact, nowadays many of the intrusions are performed at database or application level.
Regardless the OS.
Regardless the web server.
...
The moral is, in this historical period of the Internet, don't trust anybody who is "lecturing" about the inherent vulnerability of a particular Operating System.

Pa sad da li se vade ili ne..


Two months ago 2 Microsoft Korea web sites were defaced, but this time the main and *supposed* secure Microsoft.com web site is defaced by using a common and well known vulnerability!

The Microsoft Mexico (microsoft.com.mx) web site has also been defaced last week, the Turkish defacer named Iskorpitx put his usual page in the cgi-bin folder. He probably took advantage of a recent vulnerability in the Windows operating system (MS04-011), so now the question is: why don't they apply their own patches?

degojs: s' kim se ti grudvaš?

;)

Xe xe xe .. pa odgovor je jednostavan One iste skretarice koje administriraju sve MS proizvode su bile zauzete lakiranjem noktiju pa su "critical update" zamenile sa "Max Factor"

Sto su linuxi vise hakovani nego windowsi ?
Evo, ja mislim da je iz nekoliko razloga ...

1. Silni oni server koji dolaze sa cpanelima i slicnim sranjima u ev1serversu.. bas je nekidan izasao cpanel bug (Severity: High, Arbitrary Execution, Local Privilege Escalation).

2. Silni oni serveri koji se kupuju po tim housing firmama za 50 dolara, gdje svaki majmun moze da kupi i da 'administrira' preko cpanela ... a u stvari mu je box rupetina jer to nista ne valja.

3. Zbog loseg admina koji je instalirao linux prije 5 mjeseci i misli da sve zna, a u stvari nema pojma.

I da se zna, ja ne blatim windows ni na koji nacin, windows je dobar za neke stvari, ali moje misljenje i izbor je Linux ili BSD, i nisam imao problema sa ... khm .. "hakerima" nikad.

mislim da je ovde kljucna stvar na koju treba ukazati jeste: deface microsoft.com sajta, a ne sta se vrtelo na njemu, koji os, web server, sta quracgod.

mislim, ako si kompanija koja je teska na bilione dolara sebi moze dozvoliti ovako nesto i na taj nacin steci podsmehe ljudi sirom sveta, onda se definitivno isplati ulagati u security consulting ;)



=bc

Pusti ih Degojs. Treba im samo dati link sa statistikama, i onda nek' sami izvlace zakljucke.

Sad ne mogu da nadjem post, ali sam bio ostavio broj critical vulnerabilitiesa za Win2K3, IIS6, i Linux (Red Hat) u godinu dana od izlaska zadnje verzije. IIS6 ih je imao 0, a Win2K3 je bio daleko manji od Linuxa i mnogo bolji od Win2K.

Plan je otprilike da se broj crit. vuln.-ova u prvih godinu dana proizvoda smanji za faktor 2 u odnosu na prethodnu verziju. Na divno cudo, ide se po planu - sada mnogo vise vremena odlazi na security tests.

Uostalom, ko hoce nek pogleda BUGTRAQ, pa neka javi cega tu ima najvise. :)

Hehe, danas je situacija na Zone-h još lepša:



Namnožile se ove Linux - sekretarice...

Evo jos jedan confirmation link: Google-ov cache
http://66.102.11.104/search?q=...oft.com/mspress/uk/+&hl=en

Na zalost.

Degojs....booo, pazi blaster....:)

Ma axez bre, blaster je malo dete za ono što si nam pre otvorio oči: špijuniraju me MS, NSA i ko zna ko sve još.. To me brine.

Ej Gojko, koja je ono beše poslednja vest vezana za tvoju omiljenu firmu?

Evo ako ne možeš da se setiš, vidi ovde: http://www.elitesecurity.org/tema/53880

Pa ovo se ne poboljsava vremenom, u cemu je problem? I danas je 82% upada bilo na Linux sisteme. Mora da nesto nije tu u redu.

55 single IP
112 mass defacements

Linux (82.0%)
Win 2000 (7.2%)
FreeBSD (6.0%)
Unknown (1.8%)
Win NT9x (1.2%)
SolarisSunOS (0.6%)
Win 2003 (0.6%)
... (0.6%)

http://www.zone-h.org/en/index

Samo se danas pojavio i Win2003 sa celih 0.6%, hehehe.

Dobar ovaj Zone-h. Dođe mi da iskoristim njihov RSS feed, pa da rezultate objavljujem u svom potpisu, nešto kao što Zombie radi sa svojim blogom.

Da se ne ponavljam:

http://www.elitesecurity.org/poruka/288456