Hirdetés

2021. április 11., vasárnap

Gyorskeresés

Hozzászólások

(#1) anulu


anulu
nagyúr

na ácsi. valóban volt egy olyan RCE, ami OWA-n keresztül, preparált attachmenttel tudott a serverre olyan backdoort telepíteni, ami NT AUTH nevében futott. csakhogy, ezt az MS már legalább 1-1,5 éve foltozta. (az meg a securitynak erős kukoricára térdepeltetés, ha ez be tudott jutni.)

a mostani esetnél az, hogy van a serveren egy help.aspx, amiből indul, annak valahogy oda kellett jutnia. ha pedig file szinten képes valaki odamásolni, és utána az owa.config-ot módosítani, az
1) nem az Exchange hibája
2) ott vannak sokkal súlyosabb problémák is

valszeg az Exchange Online azért nem érintett(?), mert nincs olyan együttállás, hogy user NTFS szinten hozzáférhessen a mail serverhez.

amúgy meg ja, a backdoor-t nem szedi le. vállalati környezetben egy mail server újrahúzása nem több 2-3 óránál, cakk und puder. mondjuk ehhez nem 2 tál rizsért alkalmazott "mérnökök" kellenek, hanem valaki, aki tudja mit csinál.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#2) sztanozs válasza anulu (#1) üzenetére


sztanozs
addikt

egy mail server újrahúzása nem több 2-3 óránál - szerintem legfeljebb ideális esetben, a mailboxok törlésével és újra létrehozásával... Egy megtermettebb restore nem fut le ennyi idő alatt, nemhogy egy szerver full rebuildje... Nem beszélve arról, ha szervert úgy húzzuk újra, hogy kimigráljuk belőle a felhasználókat, utána meg vissza - hogy közben a munka se álljon le "2 - 3 órára".
És akkor képzeljünk el emellé egy szervezetet, ahol van mondjuk nem 2, hanem 10 (vagy 100 vagy 1000) Exchange szerver.

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

(#3) pzstm


pzstm
titán

az Outlook webes verzióját saját gépeken használják, nem pedig felhős szolgáltatókon keresztül.

Ez akarna lenni az a mondat, hogy az on-premise rendszerek érintettek csak és az Online nem? Vagy csak nekem nem lett érthető? :U

iPhone 12 Pro Max 256GB Black |Surface Pro4 256GB Type Cover |Xbox One X Project Scorpio|Írhatsz nyugodtan, de x64 alatt nem barátkozom :)| I'm not special...I'm just limited edition!

(#4) anulu válasza sztanozs (#2) üzenetére


anulu
nagyúr

minek mailboxot törölni meg restore-olni? DAG átbillent, mehet a rebuild, setup /m:recover. nagyvállalatnál azért erősen illik, hogy legyen helyreállító script, ami minimál interakció mellett a base exchange felhúzása után helyrepofozza. ha meg nincs, akkor amíg a DAG member újratelepül, addig a többiről ki lehet szedni a namespace infokat, és simán meg lehet írni azt a 8-10 PS parancsot, ami gatyába rázza.
ha meg 1 server van, akkor licensz nélkül felhúzni még1et mellé, dag, átsync, prod server rebuild, visszasync. ahol 1 vas van, ott nem szokott nagy mennyiségű és méretű mailbox sem lenni.

ha az alapok rendben vannak, és van vészforgatókönyv, akkor tökmindegy, hogy 4, 8 vagy 256 Exchange server van.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#5) Tigerclaw válasza pzstm (#3) üzenetére


Tigerclaw
nagyúr

Ezen a mondaton en is elakadtam. Talan ahol van sajat exchange szerver, ott lehet problema, ha meg a ceg szolgaltataskent veszi igenybe, gondolom az Azure-on keresztul, ott nincs baj.

Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.

(#6) anulu válasza sztanozs (#2) üzenetére


anulu
nagyúr

még1 dolog. mailboxot nem törlünk :D akkor mennek a lecsóba nem csak a proxy addressek, hanem az X.500 is, azt meg nem akarod hajreállítani userenként. mivel elsődlegesen ezt használja az Outlook reply-to addressnek, ha nem találja a címzett ezen attribútumát AD-ban, akkor akkora felhasználói sírás lesz, amit nem akarsz kezelni.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#7) anulu válasza pzstm (#3) üzenetére


anulu
nagyúr

szerintem itt arra gondolt a kültő, hogy az Exchange Online nem érintett

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#8) gabor7th válasza Tigerclaw (#5) üzenetére


gabor7th
addikt

Az akcióban az Azure forráskódját is ellopták; ha valaki még nagyobb katasztrófa része akar lenni akkor bizzon abban.

Kiderült milyen forráskódokat loptak el a Microsofttól a SolarWinds hackerek

"A vizsgálat során a redmondi konszern kiderítette, hogy a kiberbűnözők a cég több kulcsfontosságú szoftverének forráskódját is ellopták, köztük az Azure felhőszolgáltatással, az Exchange levelezőrendszerrel, valamint az Intune menedzsmentplatformmal kapcsolatos kódokat is."

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#9) vicze1 válasza gabor7th (#8) üzenetére


vicze1
nagyúr

Legalább a forrást olvasd el mielőtt full hülyeségeket írsz. Egyre szánalmasabb ez az IT bulvár ami folyamatosan megy.

- a small subset of Azure components (subsets of service, security, identity)
- a small subset of Intune components
- a small subset of Exchange components

Akkor azt mondod, hogy a Chrome egy katasztrófa mert ott van a neten a forráskódja? De képzeld a teljes PowerShell forráskódját is megtalálod a neten.

[ Szerkesztve ]

(#10) gabor7th válasza vicze1 (#9) üzenetére


gabor7th
addikt

Vajon hogy írhattam "full hülyeséget" amikor idéztem egy cikkből. Elloptak "apróságokat" amik a felhő biztonságával kapcsolatos többek között... most megnyugtattál, hogy idézted a forrást. Az is megnyugtató, hogy Microsoft a saját termékeit sem tudta megvédeni.

"Akkor azt mondod, hogy a Chrome egy katasztrófa mert ott van a neten a forráskódja?"

Hát tudod így még könnyebben találnak majd sebezhető pontokat a jövőben, vagy mostmár a Microsoftnál is ez egyfajta előny lett?

Úgy látom vannak akiket nem igazán izgat, hogy szinte kirabolják az egész nyugati világ üzleti titkait mennének tovább ebbe az irányba... a felhő nagy segítség lesz a még ennél is nagyobb katasztrofa okozásához.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#11) vicze1 válasza gabor7th (#10) üzenetére


vicze1
nagyúr

Idézném:
"Azure forráskódját is ellopták"
"még nagyobb katasztrófa része"
Mind a két állítás hülyeség. Egyik konkrét hazugság, a másik meg csak költői túlzás.

"Hát tudod így még könnyebben találnak majd sebezhető pontokat a jövőbe"
Tehát akkor minden opensource termékben könnyen találnak majd sebezhetőséget? Jól értelmezem?

Szerintem rakj még rá két katasztrófát egy apokalipszist és egy összeomlást, úgy más sokkal jobb lesz. ;)

[ Szerkesztve ]

(#12) gabor7th válasza vicze1 (#11) üzenetére


gabor7th
addikt

"Szerintem rakj még rá két katasztrófát egy apokalipszist és egy összeomlást, úgy más sokkal jobb lesz. ;)"

Azt nem tudom, hogy hol van az a szint ahol már aggódni kéne szerinted a biztonság miatt.

Amikor elkezdődött a Solarwinds ismertetése a nyilvánossággal, tehát épphogycsak kiderült, azt mondták, hogy a feltörés olyan mintha az USA-ban találtahó összes zár felét feltörték volna. (Igen tudom, hogy nem teljesen szószerint van így írva... a lényeg ez.)

"‘The Largest Espionage Attack in History’: Bush Cyber Czar Richard Clarke Sounds Alarm on Suspected Russian Attack"

“This is the largest espionage attack in history,” Clarke flatly opened to host Jake Tapper. “This is as though the Russians got a passkey, a skeleton key for about half the locks in the country. Think about it that way. It’s 18,000 companies and government institutions scattered around the U.S. And the world. This is an espionage attack.”

Több szakértő szerint az egész USA digitális államát az alapjaitól kell újraépíteni, ha biztosak akarnak lenni benne, hogy minden otthagyott hátsókaputól megszabadultak.

Ezen tényleg csak mosolyogni kell, nincs semmi látnivaló, ugyebár...

Aztán persze ezek csak az első közlések voltak, ahogy haladt az idő és amikor már nem figyeltek annyian, adagolták, hogy még rosszabb a helyzet.

A mai cikkben meg ez van:

"Az eset úgy tűnik, nagyon elfajul, már most sokkal súlyosabb, mint a SolarWinds-támadás."

Szóval a szinte már fokozhatalan kompromitációnál nagyobb baj is még mindig olyan dolog, hogy nem ér többet mint egy mosolygós emoji... szerited.

A Solarwinds esetében is és most is kiderült, hogy hónapok óta megy a "buli":

"A napokban számoltunk be arról, hogy gyakorlatilag kártevők és nagyobb trükkök nélkül, hónapok óta használják ki hackerek a Microsoft Exchange hibáit,"

Szóval itt vannak ezek a profik akiket nem vesz észre hónapokon át senki, még ugye a "legjobb" nemzetbiztonságiak, meg magáncégek se, de szerinted nincs ok félni attól, hogy a Microsoft felhőjét érheti baj, hisz mint idézted a forrást... "csak" többek között a felhő biztonságát érintő forráskód részeket lopták el, nem az egész felhő forráskódját ( bár lehet, hogy majd egy hónap múlva "kiderül" azt is"). Szóval legyünk nyugodtak, mert ezek a profik biztos valahol nagyon hülyék is, és bár hónapok óta azt lophatnak el amit csak akarnak, a felhőt illetően biztos, csak lényegtelen dolgokat loptak amikkel nem lehet kezdeni semmit... bár te magad idézett forrás szerint épp a felhő biztonságával kapcsolatos részeket loptak el.

Egyesek imádnak vakok lenni, de közben meg cégek tízezreit lopják meg, az állami titkokról nem is beszélve.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#13) gabor7th válasza vicze1 (#11) üzenetére


gabor7th
addikt

"még nagyobb katasztrófa része"

Bár nagyobb katasztrofát összehozni nehéz feladat a számok alapján, de a felhő ereje limit nélküli, akkora katasztofát okoz amennyien benne tartják fontos üzleti titkaikat. Ha csak egy-két cég teszi akkor őket éri baj... ha egy kontinensnyi akkor, a kontinenset rabolják ki egyetlen hackeléssel.

Ez a felhő ereje.

A felhő nélkül se okos dolog az üzleti titkokat neten lógó gépre tenni és az se, hogy emelett mindeki ugyaonlyan rendszereket használ... mint láthatjuk.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

(#14) vicze1 válasza gabor7th (#12) üzenetére


vicze1
nagyúr

Túlozni azt mindenki nagyon jól az már tuti, de a hasra ütés is több mint jól megy.
Ugye érted, hogy nem megbízható túlzó forrásokat linkelsz, amik önmagukat múlják felül és egyre jobban eltávolodnak a valóságtól.
Esetleg nézd meg, hogy kitől is idézel. Egy állami tanácsadó a szakértő, kb. mondott valamit minél nagyobb megfélemlítés érdekében.

Tök jó, hogy épp pont a felhő nem volt érintett, de azért még egy kicsit fikázd.

(#15) bambano válasza vicze1 (#14) üzenetére


bambano
titán

mit lehet túlozni azon a tényen, hogy amcsiban 30 ezer céget, eu-ban többtízezer céget megborítottak?
meg azon, hogy egyesek szerint komoly helyi segítség kell ehhez a töréshez, mégis soktízezresével megtörténik. tehát vagy az van, hogy mégse kell komoly helyi segítség (esetleg van még a betörők birtokában olyan bug, amiről az ms nem tud), vagy az exchange rendszergazdák között többtízezer idióta van, aki segített a betörés feltételeit végrehajtani?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#16) Lami66


Lami66
senior tag

Solarwinds analógia alapján rákérdezhetek?
Master password: exchangeserver123
? ;]

(#17) anulu válasza bambano (#15) üzenetére


anulu
nagyúr

alap dolog: exchange-et nem teszünk ki magában a netre.

tudok sok és nagy, globális cégről, ahol
a) rohadt elavult technológia "védi" az exchange-et
vagy
b) az ég világon semmi nem védi.

ettől függetlenül nem tartom kizártnak, hogy az ellopott kódokban találtak valamit, de tudok sok olyan cégről, ahol ugyan külön van elevated és non-elevated user-e egy adminnak, viszont az előbbinek is van OWA joga. onnantól meg social enginnering, és máris megnyitja az admin a levél csatolmányát, oszt' szevasz.
és amúgy ja, a legnagyobb cégek is viszik a "mérnöki" gárdát közel és távol keletre (meg a (khmmm) kettő közé), ahol bármilyen háttérismeret és ellenállási faktor nélkül (akár csak annyi, hogy írásban jelzi, hogy valamit nem kéne), szolgaian végrehajtják azt, amit valaki kitalál. igen, akár azt is, hogy bármi nélkül ki legyen b***va egy FBA-s OWA a netre (ahol ráadásul még domaint sem kell bepötyögni, csak user name és password.

mert aki ért hozzá, az drága.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#18) anulu válasza Lami66 (#16) üzenetére


anulu
nagyúr

nincs ilyen jellegű service user/password Exchange-en :)

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#19) anulu válasza vicze1 (#14) üzenetére


anulu
nagyúr

2 dolgot tudok feltételezni, miért nem volt az EXO érintett:
a) a tenantodból nem tudsz kilépni, így nem tudod elérni SMB-n az EXO alatt futó servereket, így nem tudsz file-t írni/módosítani sem
b) attól, hogy tenant admin vagy, attól még nem vagy benne abban a groupban, amelyik local admin az Exchange servereken, ergó nem tudod módosítani a file rendszert. nincs jogod hozzá, az alatta futó Windows meg elhajt.

rendesen szeparált jogkörökkel on-prem sem kellett volna, hogy ekkora problémát okozzon. szigurúan szerintem.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#20) bambano válasza anulu (#17) üzenetére


bambano
titán

mi az a nagy különlegesség, ami miatt egy exchange-t nem lehet kirakni a netre?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#21) Lami66 válasza anulu (#18) üzenetére


Lami66
senior tag

Lehetséges. Csak amikor sorba jönnek a világrengető hekkertámadásokról a hírek,
Hogy ellopták sokmillió amerikai tb adatait. Hamar kiderült, hogy 1.0-ás jelszóval volt védve az egész rendszerük.
Aztán nem kellett sokat várni, jött a Solarwinds hekkerbalhé. Azt is kemény munka lehetett feltörni: solarwinds123.
Aztán most ez a exchange sztori. Majd kiderül, hogy valahol nem kisajtó volt nyitva, hanem kétszárnyas kapu, amin az nem ment be aki nem akart.

(#22) vicze1 válasza anulu (#19) üzenetére


vicze1
nagyúr

Ennyi: "vulnerable Exchange Server would need to be able to accept untrusted connections over port 443" - Tenable analízis elég érthető, az MS-é kicsit terjedelmes lett.
Innentől nem érintett EXO.
On-prem oldalon is ugye bármilyen értelmes biztonsági szabványt betartva a mail szervered nincs neten, így a fenti eset fent sem állhat.

Továbbra is ott tartunk, hogy alapvető biztonsági szabályok nincsenek betartva, vagy pénz vagy tudatlanság miatt.

(#23) bambano válasza vicze1 (#22) üzenetére


bambano
titán

"bármilyen értelmes biztonsági szabványt betartva a mail szervered nincs neten": ha nincs a neten mail szervered, akkor nem tudsz levelezni.

továbbra is ott tartunk, hogy az ms termékekből ömlő hiba mennyisége alapján azt kell feltételeznünk, hogy az ms-nél nem szempont a minőségi programozás. kevésbé pc megfogalmazásban: az ms egy kupleráj.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#24) anulu válasza bambano (#23) üzenetére


anulu
nagyúr

"bármilyen értelmes biztonsági szabványt betartva a mail szervered nincs neten"

nem kell a belső Exchange-et kirakni. erre van az Edge server. best practice alapján nem is rakod domainbe, szeparált VLAN, a belső Exchange-nek meg EdgeSync-el hitelesítve küldi a levelet. nem kell neki sem a 25 sem a 443-as port. ha meg megtörik (monjuk eljutnak odáig tűzfalon keresztül), akkor sem tudnak a VLAN-ból kijönni. megnézik a hosts-ban, hogy mik a belső serverek. ok. és? amúgymeg ezer és egy megoldás van arra, hogy ha történik egy serverre interaktív logon, akkor riportoljon, lelője a service-eket, mintegy védve a rendszert, akármi. valamint Edge-et ugye core serverre telepítünk, tovább csökkentve a támadási vektort.

ha meg nagyon ki kell tenni a client access-t, arra is van valag megoldás.

MS-ék az EXO-ra fókuszolnak, ez meg is látszik az on-prem cuccaik minőségén az elmúlt 2-3 évben. sima CU upgrade-nál lehet akkorákat szívni, hogy ihaj. akkor szoktam rá, hogy inkább server rebuild és új verzióval recover. minimálisan hosszabb idő, cserébe a régi hulladék local config beállítások nem maradnak ott aknamezőként.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#25) anulu válasza anulu (#24) üzenetére


anulu
nagyúr

kieg: a 25-ös portodat meg mondjuk levéded egy MessageLabs-szel

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#26) bambano válasza anulu (#24) üzenetére


bambano
titán

ez a szokásos ms filozófia: van egy bughalom termék, akkor vegyél mellé még ezer másikat, amik valamit segítenek a bugok ellen. szemben a normális megoldással, hogy tudunk programozni, nem a profit az első és a termék nem bughalom.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#27) ysengrin válasza bambano (#26) üzenetére


ysengrin
senior tag

Ez nem MS filozofia, hanem defense-in-depth vagy ahogy a koznep mondja ne-tedd-az-osszes-tojast-egy-kosarba. Amugy gondolom nem lattal fejlesztoi/appsec oldalrol enterprise szoftvert, kulonben nem lennenek olyan irrealis elvarasaid mint bugmentes szoftver.

do you like hurting other people?

(#28) anulu válasza bambano (#26) üzenetére


anulu
nagyúr

mondj olyan enterprise software-t, ami nem hemzseg az RCE-ktől.

nem kell ezer másikat mellé venni. csak végig kell gondolnia a cégnek (továbbra is enterprise-ról beszélünk, nem garázs cégekről), hogy mit is akar. általában előre gondolkodni olcsóbb, mint utólag tűzet oltani.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#29) bambano válasza ysengrin (#27) üzenetére


bambano
titán

csináljuk már azt, hogy ti nem találgattok folyamatosan arról, hogy én mit láttam vagy mit nem.

másrészt az irreális elvárás, hogy az ms féle biliből ne lögyböljék ki folyton a córeszt?

egyébként nekem nincsenek irreális elvárásaim. az persze más kérdés, hogy a felhasználóknak lehet elvárása... kinek mi az irreális.

egyébként pedig de: ms filozófia. ők úgy járnak jól, ha ótvar szoftvert csinálnak, mert akkor egy csomó mindent is el lehet mellé adni. kevesebb költség a tesztelés, a programozó, cserébe el lehet adni az ilyenolyan védelmi cuccokat, teret hagynak más cégeknek is jelentős bevétel termelésére olyan szoftverekkel, amire semmi szükség, stb. plusz el lehet adni rakás oktatást, oktatási licenszet, certet, vizsgáztatási lehetőséget és mindenki, aki ki bírja mondani az exchange szót úgy, hogy a nyálát nem köpi rá a monitorra, már gurunak érezheti magát.

miközben az ms 2021-ben még mindig ott tart (lásd ebben a threadben is leírtak), hogy gyorsan és biztonságosan úgy lehet szoftvert telepíteni, hogy gyalu, nulláról, backup visszatölt.

egy tisztességes világban, ahol a lobbierők megfelelő korlátozások közé vannak szorítva, az ms-t már régen beszántotta volna a bíróság azért, amit csinál. nonszensz. horror.

de nyilván én nem láttam semmit, én nem ismerek semmit, hiszen harminc éve üzemeltetek kisebb-nagyobb szervezeteknek levelező rendszert (is).

különben meg komolyan hiszek benne, hogy az a 30 ezer usa meg többtízezer eu-s vállalat, akiket most felborítottak, valami eszement rohadt módon nem érdeklődik afelől, hogy én láttam-e már enterspájz vállalati specifikációt. ha találgatnom kellene, akkor azokban a cégekben most afelől érdeklődik pár fejes az it-tól, hogy mi van és mi az, amitől nem lesz megint ugyanez jövő héten is és valami félelmetes módon nem érdekli őket bambano@mucsajpuszta.isp.co.hu ...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#30) bambano válasza anulu (#28) üzenetére


bambano
titán

"mondj olyan enterprise software-t, ami nem hemzseg az RCE-ktől.": és az normális, hogy neked az a véleményed, hogy az enterprise szoftverek hemzsegnek az rce-k től???

és az normális, hogy neked ebben igazad van? :P :P :P

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#31) anulu válasza bambano (#29) üzenetére


anulu
nagyúr

tudom, hogy láttál már sokmindent, ezt senki nem vonja kétségbe.

szerintem a felhasználót az érdekli, hogy ha elküld egy levelet, akkor az megérkezzen, és ha kap egyet, azt el tudja oldasni. ennyi és nem több. az, hogy csak a corp eszközéről, az max akkor lehet érdekes, ha máshonnan is akarja érni, az nem fog menni (ideális esetben).

nagy szervezetek a Win licenszeket fillérekért kapják. amit leírtam, abból jelentősebb költség max a MessageLabs (vagy bármi más ilyen portfoliójú cég) előfizetése lehet. cserébe a 25-ös portod előtt a FW-t úgy confolod fel, hogy csak az ő IP range-üktől fogad, minden mást eldob.

belül:
Win 2019 Standard: pár dollár/év
Edge: nem kell licenszelni
ADFS + WAP: OS része role-ként.

wao, rohadt nagy költség mondjuk egy cégnek, amelyik évi sok-sok millió dollárt termel. cserébe a másik oldalon ha valami gond van, akkor MS pattan és addig melóznak rajta amíg megoldás nincs.

senki nem mondta, hogy tökéletesek az MS cuccok, személy szerint én is ipari hulladéknak tartok nagyon sok mindent (vagy legalábbis 1-1 server cucc bizonyos részeit).

arra kívántam rámutatni, hogy lett volna megoldás a kivédésre, első körben az, hogy levéded a rendszered. igen, valahogy ki és be kell, hogy menjen a levél, meg a userek el kell, hogy érjék.

nagyjából 10 éve foglalkozom kifejezetten Exchange-el. és tartom, hogy a sok hulladék között még mindig ez a leginkább enterprise-oknak való levelezési rendszer.
a nagy cégeknél azt látom amúgy fő problémának, hogy
a) aki hajlandó lenne vele úgy foglalkozni, ahogy kell, azt vagy nem fizetik meg és lelép vagy olyan dolgokat akarnak vele csináltatni, amihez nem hajlandó a nevét adni (és lelép), vagy a belét kidolgoztatják (és lelép)
b) kiviszik Indiába a L2/L3-at, merthogy "az ócsó", aztán vagy tudnak vele kezdeni valamit, vagy nem; az, hogy alul dől az egész, mert nem képesek rendben tartani az addig senkit a vezetésből nem érdekel amíg a levelek mennek és el tudják olvasni. a mérnöki gárdának meg rohadtul nincs rá ideje meg energiája, ergó azoknak kéne odafigyelni, akik bólogatni tudnak, ellentmondani ill saját véleményt megfogalmazni nem.
c) kifejezetten Exchange mérnököt már nagyon kevés helyen alkalmaznak, az meg méginkább fehér holló, aki tényleg szívvel-lélekkel csinálja. ez most meg is látszott.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#32) anulu válasza bambano (#30) üzenetére


anulu
nagyúr

:R

másik oldalról meg :W ( sajnos :( )

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#33) ysengrin válasza bambano (#29) üzenetére


ysengrin
senior tag

Kar barmifele osszeeskuvest vagy hanyagsagot latni a dolgok moge, egyszeruen arrol van szo, hogy az ugyfelek nem lennenek hajlandoak kifizetni a normalis securityvel jaro koltsegeket. Gyakorlatban ez ugy nez ki, hogy ha egy szoftvergyarto leszurkolja a tanacsadocegnek a SOC2-re valot, evente atvergodik valahogy a pentesten, onnantol mar csak az ugyfelek toredeket erdekli, hogy ki milyen kreativan tud hazudni arrol, hogy hogyan figyelnek a fejlesztes soran a biztonsagra. Ugyanigy barmilyen akvizicio vagy IPO elotti startupnal egy threat modelling session alatt annyi csontvaz potyog ki a szekrenybol, hogy utana par honapig csak serulekenysegeket kellene foltozni. Ha ilyenek az elvarasok, akkor gazdasagi ongyilkossag a minimalisnal tobb security engineer-t alkalmazni es komolyabb biztonsagi kovetelmenyeket tamasztani, mint a konkurencia.

do you like hurting other people?

(#34) ANOka


ANOka
őstag

Ilyenkor üt vissza, hogy céges környezetben "mindenki" az Exchange -ot használja levelező szerverként.
Pedig létezik még 1-2 jól működő/olcsóbb azonos tudású alternatíva!

(#35) bambano válasza ysengrin (#33) üzenetére


bambano
titán

az, hogy profitmaximalizálók, az nem összeesküvés, ne keverj ilyeneket abba, amit nem is mondtam.

jelenleg úgy néz ki, hogy mivel az ms monopol helyzetben van, desktop területen irányítja a piacot, és lehet, hogy nem tévedés ugyanezt kijelenteni a szerverpiac egyes szegmenseire sem. következésképp a cégeknek, akik ms terméket vesznek, nem nagyon van választási lehetőségük, csak az az egy, hogy kifizetik a vételárat.

ráadásul az sem világos, hogy milyen "security költségekről" beszélsz akkor, amikor a cég, ahol melózom 114 rugóért vette (tréfálkozás előtt) a ws 2012r2 essentialst, itt meg évi pár dodóról ír annulu. szerinted van olyan cég, amelyik sírva tépné össze az ms site licenszét, ha az évi 5 dodó felmenne évi 7 dodóra attól, hogy rendes security van? ha az ms hajlandó 90-95%-os árengedményt is adni, akkor a security költségek/szerver 5%-a enterspájz szinten mennyi? megmondom neked: NULLA. egy NAGY BÜDÖS NULLA! excel kerekítési hiba.

tehát az az állítás, hogy a cégek nem fizetnék ki, pontosan ugyanennyi: nulla. nem igaz.

másik oldal: az ms-nek mennyibe kerül (lerombolt hírnév, goodwill vesztés, belefeccölt marketing költségvetés) visszamászni onnan, hogy az idén a média folyton attól volt hangos, hogy az ms egy átjáróház? ja, nem tudjuk, mert nem csak az idén dőltek a csontvázak az ms-ből.

"Ha ilyenek az elvarasok, akkor gazdasagi ongyilkossag a minimalisnal tobb security engineer-t alkalmazni es komolyabb biztonsagi kovetelmenyeket tamasztani, mint a konkurencia.": egyrészt szerintem nem. másrészt nincs konkurencia. pontosan ezért szemtelenedett el az ms egyes piacokon. viszont ha egyszer véletlenül lesz, akkor abban a piaci szegmensben csúnyán felmossák velük a padlót, mert az user nem felejt. lást: win mobile. Visszatérve: miután monopol és miután irányítja a piacot, nem követi, akkor azt is ő szabja meg, hogy mennyi security engineer kell. pont. nem más, az ms.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#36) ysengrin válasza bambano (#35) üzenetére


ysengrin
senior tag

A discount a licenszbol szinte nem kerul semmibe, maximum extra support koltsegkent merul fel, de cserebe egy jo cross-selling opportunity es -ebben egyetertunk- gyakorlatilag piaci helyzettel valo visszeles. Ha tenylegesen az altalad vizionalt allapot a cel, akkor az az elobbivel szemben minden esetben tenylegesen felmerulo koltseg lenne: extra emberek bere es egyeb koltsegei, normalis secure coding training minden engineernek, dedikalt ido securityre a fejlesztocsapatoknak, komolyan vett bug barok miatt meghiusult releasek, tooling koltsegek, visszaesett szallitokapacitas, stb.

A masik oldalon meg a te MS utalatodbol probalsz altalanos konkluziokat levonni. Az iCloud password bruteforce utan elhasalt az Apple a mobil piacon? Az Adobe breach(ek) ota mindenki attert valamelyik konkurens gyarto termekeire? A LastPass security incidensek kivegeztek a termeket? Gondolom LinkedInen is csak botokat latok, hiszen a userek nem felejtenek.

do you like hurting other people?

(#37) hcl válasza bambano (#20) üzenetére


hcl
félisten
LOGOUT blog

Okos ember nem teszi direktben, az tuti. AKkor sem, ha nem tudottan sebezhető.
Amikor megjelent full publicban az előző melóhelyeken (kettőnél is ment) a net felől elérhető OWA, akkor néztem, hogy az admin jelszavakat is kiírhatták volna :D (Mondjuk hasznos volt, az tuti, mert én is nézegettem rajta a levelezésem... :D )

@Anulu : "nagy szervezetek a Win licenszeket fillérekért kapják"
Aztamocsok :D Akkor nálunk miért pár ezer EUR az ilyesmi? :D (Globális cég ez is.) Vagy én nem vagyok elég gazdag.

@ysengrin : Azért ez elég beteg dolog, hogy ja, úgysem éri meg biztonságosabbnak lenni. Akárhogyan is.

[ Szerkesztve ]

Veszek _hibás_ LCD monitort,fényképezőgépet, objektívet, routert ---- Mutogatni való hater díszpinty

(#38) anulu válasza hcl (#37) üzenetére


anulu
nagyúr

sorry, de azt kell mondjam, hogy akkor nem tárgyaltok elég jól. amúgy az is kérdés, hogy milyen supportot vesztek mellé. ha mittomén vesztek x server meg y client OS-t, az egy dolog, de sok egyébbel ez a költség csökkenthető.
persze, ennek csak és kizárólag akkor van értelme, ha a plusz-t valóban ki is használjátok, egyébként csak pénzkidobás.

Exchange 2007 + ISA 2006 éra óta foglalkozom Exchange net felé publikálással. <kopp-kopp-kopp> soha nem volt ezen a layeren biztonsági incidensem. cserébe nem keveset anyáztam ha valami baromságot akartak megcsináltatni.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#39) anulu válasza ANOka (#34) üzenetére


anulu
nagyúr

tudnál mondani példákat légyszi?

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#40) hcl válasza anulu (#38) üzenetére


hcl
félisten
LOGOUT blog

Nemtom, hogyan tárgyalnak, de azt tudom, hogy van szándék költségfaragásra, szóval tuti megpróbálták. Persze, maga a Windows olcsó, de az AD account (gépnek / usernek) nem. Onnantól meg fújhatod a Windowst.
Meg nem hiszem, hogy csak nálunk tárgyalnának rosszul, bár az előző helyeken sem láttam ebbe bele, de ott sem szórták nyakló nélkül az asztali usereket.
Kezedenek is már rájönni, hogy ahol nem kell a domain user, oda jó ingyenes OS is :D

Ha soha nem volt incidensed, az nem jelenti, hogy az tutibiztonságos is :)

[ Szerkesztve ]

Veszek _hibás_ LCD monitort,fényképezőgépet, objektívet, routert ---- Mutogatni való hater díszpinty

(#41) anulu válasza hcl (#40) üzenetére


anulu
nagyúr

ez egész addig működhet, amíg a user nagy ívben elkerül minden Win based cuccot (AD, file share, akármi). ha meg nem tudja elkerülni, onnantól kell CAL és csak magatokat szívatjátok.

nem tudom, hol van a szerződésetek, de ahogy írod, hogy globális cég vagytok, lehet érdemes átrakni egy másik országba, és ott tárgyalni.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 11Pro 256GB | iPad Pro 2017 64GB | XBOX ONE X

(#42) vicze1 válasza hcl (#40) üzenetére


vicze1
nagyúr

Én személy szerint holnap kidobnám a Windows-t ha mutatsz egy olyan megoldást(komplett rendszer egyben), amivel tudok 1000 usert gond nélkül távolról kontrollálni, lezárni és átmegyünk vele minden auditon és certen.
Domain aka kontrollált user nélkül, hogy felelsz meg az előírásoknak?

Eddig ChromeOS az egyetlen alternatíva, de sajnos túl korlátozott. Mac megoldható, de rohadt drága HW és MDM oldalon is, +nincs értelmesen managed AppleID, ami borzasztó tökön szúrás.

Pár napja szembesítettek azzal, hogy azért nem lesz egyik cégnél a felhőre való átállás megcsinálva, mert a HW költségét és elavulását is leírják az adóból, így jobbak az év végi mutatók, mint HW nélkül, így maradnak. Az hogy a személyzet maintenance költségét nem számolják, azon fenn se akadtam, hisz egy szerver csak úgy megy magától... És még biztonsági kockázata sincs szerencsére...

[ Szerkesztve ]

(#43) Kopi31415


Kopi31415
félisten

"Az eddigi megállapítások szerint azokat érintik a támadások, akik az Outlook webes verzióját saját gépeken használják, nem pedig felhős szolgáltatókon keresztül."

Ezt hogy kell érteni? A cégnek saját exchange szervere van, vagy hogy a delikvens nem a kitekintő 365 nyitja meg, hanem bepötyögi böngészőbe a webmail.lófaszbt.kúvanyádat?

Part to Part | Status:122% completed | Estimated time remaining:1193hr 2min 30sec ----- Converting Data | Status: 425% completed | Estimated time remaining: 1193hr46sec

(#44) Kopi31415 válasza bambano (#15) üzenetére


Kopi31415
félisten

Ezen feltételezések közül melyik olyan hihetetlen neked?

Part to Part | Status:122% completed | Estimated time remaining:1193hr 2min 30sec ----- Converting Data | Status: 425% completed | Estimated time remaining: 1193hr46sec

(#45) pzstm válasza hcl (#37) üzenetére


pzstm
titán

megfelelő csomagban, leginkább cloudosban eurocentekre jön ki nagyjából a Win10 Enterprise (ami tudjuk nyilván licensz doksi szerint upgrade jogosultság alapvetően)

CAL meg mindn M365 csomagban benne van

[ Szerkesztve ]

iPhone 12 Pro Max 256GB Black |Surface Pro4 256GB Type Cover |Xbox One X Project Scorpio|Írhatsz nyugodtan, de x64 alatt nem barátkozom :)| I'm not special...I'm just limited edition!

(#46) azbest válasza anulu (#41) üzenetére


azbest
félisten

Szerintem félreértés is lehet a licensz mértéke körül. Te végpontonként, userenként felszámítandó összegekről beszélsz, ők meg egy-egy standalon árazásról vagy már a felhasználószámmal felszorzott összegről beszélnek.

A nagy és globális cég is viszonylagos, mert van aki szerint már nagy egy cég, hogy van pár száz vagy pár ezer alkalmazott. Máshol meg százezres vagy még nagyobb alkalmazottszám is lehet. Egészen más tárgyalási prozíció.

Ugyanez a nézőpontkülönbség meglehet abban is, amikor valaki manuálisan összerakott, saját maguk által supportált megoldásokat üzemeltet pár ezer ügyfélnek, meg van hogy egy országban 100 millió ügyfél még kicsinek számít adott piacon.

Egészen más kihívások és egészen más tárgyalási pozíciók ezek. Nameg nagy cégeknél fontos, hogy legyen kire mutogatni, ha felelősséget kell számonkérni. Ahogy te is írtad a security szakembereketet, nem érdekük, hogy maguk akarjanak bármit megoldani, hanem külső cégre lehessen hárítani a felelősséget némi díjért cserében.

(#47) hcl válasza anulu (#41) üzenetére


hcl
félisten
LOGOUT blog

Elég jó architectek vannak (amennyiben létezik ez a fogalom ;] ) , szóval ha csak ennyi lenne :D

@Vicze1 : OpenLDAP? Az is domain.
BTW ez pár tízezer user, sok országban. Nehézipar, szóval kevés telephely, kevés user, de a cég attól még marha nagy.
Azt mondjuk nem tudom, hogy elég-e, ha van valamilyen automatikus (központosított) user management, ami nem domain, de arra van több megoldás is.

@pzstm : +domain account a gépnek +user

Veszek _hibás_ LCD monitort,fényképezőgépet, objektívet, routert ---- Mutogatni való hater díszpinty

(#48) bambano válasza vicze1 (#42) üzenetére


bambano
titán

jelezném, hogy központosított user management előbb volt unixban, mint windowsban. sőt, központosított user management előbb volt unixban, mint a windows.

azért lehet azt hinni, hogy csak windows-zal tudsz átmenni egy auditon, mert az auditok is ócskák, windows only "szakértők" rakták össze. a többségüknek lövése sincs róla, hogy más is van.

másik probléma, hogy az auditban szoktak szerepelni olyan elvárások, amik arról szólnak, hogy a windows ócska hibáit tudod-e korrigálni. így egy rendes rendszer esetén elbukhatod az auditot amiatt, hogy olyan hibák javítását várják el tőled, amik fel sem merülnek.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

(#49) ANOka válasza anulu (#39) üzenetére


ANOka
őstag

A Kerio Connect-et annak idején én használtam.

(#50) vicze1 válasza hcl (#47) üzenetére


vicze1
nagyúr

Szerintem nem igazán érted amit kontroll alatt értek, nem a random directory rendszer a lényeg, hanem az arra épülő kontroll rendszer. Nem user manamgentről van szó, lényegtelen hogy domain nem domain.

Copyright © 2000-2021 PROHARDVER Informatikai Kft.