na ácsi. valóban volt egy olyan RCE, ami OWA-n keresztül, preparált attachmenttel tudott a serverre olyan backdoort telepíteni, ami NT AUTH nevében futott. csakhogy, ezt az MS már legalább 1-1,5 éve foltozta. (az meg a securitynak erős kukoricára térdepeltetés, ha ez be tudott jutni.)

a mostani esetnél az, hogy van a serveren egy help.aspx, amiből indul, annak valahogy oda kellett jutnia. ha pedig file szinten képes valaki odamásolni, és utána az owa.config-ot módosítani, az
1) nem az Exchange hibája
2) ott vannak sokkal súlyosabb problémák is

valszeg az Exchange Online azért nem érintett(?), mert nincs olyan együttállás, hogy user NTFS szinten hozzáférhessen a mail serverhez.

amúgy meg ja, a backdoor-t nem szedi le. vállalati környezetben egy mail server újrahúzása nem több 2-3 óránál, cakk und puder. mondjuk ehhez nem 2 tál rizsért alkalmazott "mérnökök" kellenek, hanem valaki, aki tudja mit csinál.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

egy mail server újrahúzása nem több 2-3 óránál - szerintem legfeljebb ideális esetben, a mailboxok törlésével és újra létrehozásával... Egy megtermettebb restore nem fut le ennyi idő alatt, nemhogy egy szerver full rebuildje... Nem beszélve arról, ha szervert úgy húzzuk újra, hogy kimigráljuk belőle a felhasználókat, utána meg vissza - hogy közben a munka se álljon le "2 - 3 órára".
És akkor képzeljünk el emellé egy szervezetet, ahol van mondjuk nem 2, hanem 10 (vagy 100 vagy 1000) Exchange szerver.

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

az Outlook webes verzióját saját gépeken használják, nem pedig felhős szolgáltatókon keresztül.

Ez akarna lenni az a mondat, hogy az on-premise rendszerek érintettek csak és az Online nem? Vagy csak nekem nem lett érthető?

iPhone 15 Pro Max 256GB Black |Macbook Air M1|Xbox Series X|Írhatsz nyugodtan, de x64 alatt nem barátkozom :)| I'm not special...I'm just limited edition!

minek mailboxot törölni meg restore-olni? DAG átbillent, mehet a rebuild, setup /m:recover. nagyvállalatnál azért erősen illik, hogy legyen helyreállító script, ami minimál interakció mellett a base exchange felhúzása után helyrepofozza. ha meg nincs, akkor amíg a DAG member újratelepül, addig a többiről ki lehet szedni a namespace infokat, és simán meg lehet írni azt a 8-10 PS parancsot, ami gatyába rázza.
ha meg 1 server van, akkor licensz nélkül felhúzni még1et mellé, dag, átsync, prod server rebuild, visszasync. ahol 1 vas van, ott nem szokott nagy mennyiségű és méretű mailbox sem lenni.

ha az alapok rendben vannak, és van vészforgatókönyv, akkor tökmindegy, hogy 4, 8 vagy 256 Exchange server van.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

Ezen a mondaton en is elakadtam. Talan ahol van sajat exchange szerver, ott lehet problema, ha meg a ceg szolgaltataskent veszi igenybe, gondolom az Azure-on keresztul, ott nincs baj.

Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.

még1 dolog. mailboxot nem törlünk akkor mennek a lecsóba nem csak a proxy addressek, hanem az X.500 is, azt meg nem akarod hajreállítani userenként. mivel elsődlegesen ezt használja az Outlook reply-to addressnek, ha nem találja a címzett ezen attribútumát AD-ban, akkor akkora felhasználói sírás lesz, amit nem akarsz kezelni.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

szerintem itt arra gondolt a kültő, hogy az Exchange Online nem érintett

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

Az akcióban az Azure forráskódját is ellopták; ha valaki még nagyobb katasztrófa része akar lenni akkor bizzon abban.

Kiderült milyen forráskódokat loptak el a Microsofttól a SolarWinds hackerek

"A vizsgálat során a redmondi konszern kiderítette, hogy a kiberbűnözők a cég több kulcsfontosságú szoftverének forráskódját is ellopták, köztük az Azure felhőszolgáltatással, az Exchange levelezőrendszerrel, valamint az Intune menedzsmentplatformmal kapcsolatos kódokat is."

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Legalább a forrást olvasd el mielőtt full hülyeségeket írsz. Egyre szánalmasabb ez az IT bulvár ami folyamatosan megy.

- a small subset of Azure components (subsets of service, security, identity)
- a small subset of Intune components
- a small subset of Exchange components

Akkor azt mondod, hogy a Chrome egy katasztrófa mert ott van a neten a forráskódja? De képzeld a teljes PowerShell forráskódját is megtalálod a neten.

[ Szerkesztve ]

Vajon hogy írhattam "full hülyeséget" amikor idéztem egy cikkből. Elloptak "apróságokat" amik a felhő biztonságával kapcsolatos többek között... most megnyugtattál, hogy idézted a forrást. Az is megnyugtató, hogy Microsoft a saját termékeit sem tudta megvédeni.

"Akkor azt mondod, hogy a Chrome egy katasztrófa mert ott van a neten a forráskódja?"

Hát tudod így még könnyebben találnak majd sebezhető pontokat a jövőben, vagy mostmár a Microsoftnál is ez egyfajta előny lett?

Úgy látom vannak akiket nem igazán izgat, hogy szinte kirabolják az egész nyugati világ üzleti titkait mennének tovább ebbe az irányba... a felhő nagy segítség lesz a még ennél is nagyobb katasztrofa okozásához.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Idézném:
"Azure forráskódját is ellopták"
"még nagyobb katasztrófa része"
Mind a két állítás hülyeség. Egyik konkrét hazugság, a másik meg csak költői túlzás.

"Hát tudod így még könnyebben találnak majd sebezhető pontokat a jövőbe"
Tehát akkor minden opensource termékben könnyen találnak majd sebezhetőséget? Jól értelmezem?

Szerintem rakj még rá két katasztrófát egy apokalipszist és egy összeomlást, úgy más sokkal jobb lesz.

[ Szerkesztve ]

"Szerintem rakj még rá két katasztrófát egy apokalipszist és egy összeomlást, úgy más sokkal jobb lesz. "

Azt nem tudom, hogy hol van az a szint ahol már aggódni kéne szerinted a biztonság miatt.

Amikor elkezdődött a Solarwinds ismertetése a nyilvánossággal, tehát épphogycsak kiderült, azt mondták, hogy a feltörés olyan mintha az USA-ban találtahó összes zár felét feltörték volna. (Igen tudom, hogy nem teljesen szószerint van így írva... a lényeg ez.)

"‘The Largest Espionage Attack in History’: Bush Cyber Czar Richard Clarke Sounds Alarm on Suspected Russian Attack"

“This is the largest espionage attack in history,” Clarke flatly opened to host Jake Tapper. “This is as though the Russians got a passkey, a skeleton key for about half the locks in the country. Think about it that way. It’s 18,000 companies and government institutions scattered around the U.S. And the world. This is an espionage attack.”

Több szakértő szerint az egész USA digitális államát az alapjaitól kell újraépíteni, ha biztosak akarnak lenni benne, hogy minden otthagyott hátsókaputól megszabadultak.

Ezen tényleg csak mosolyogni kell, nincs semmi látnivaló, ugyebár...

Aztán persze ezek csak az első közlések voltak, ahogy haladt az idő és amikor már nem figyeltek annyian, adagolták, hogy még rosszabb a helyzet.

A mai cikkben meg ez van:

"Az eset úgy tűnik, nagyon elfajul, már most sokkal súlyosabb, mint a SolarWinds-támadás."

Szóval a szinte már fokozhatalan kompromitációnál nagyobb baj is még mindig olyan dolog, hogy nem ér többet mint egy mosolygós emoji... szerited.

A Solarwinds esetében is és most is kiderült, hogy hónapok óta megy a "buli":

"A napokban számoltunk be arról, hogy gyakorlatilag kártevők és nagyobb trükkök nélkül, hónapok óta használják ki hackerek a Microsoft Exchange hibáit,"

Szóval itt vannak ezek a profik akiket nem vesz észre hónapokon át senki, még ugye a "legjobb" nemzetbiztonságiak, meg magáncégek se, de szerinted nincs ok félni attól, hogy a Microsoft felhőjét érheti baj, hisz mint idézted a forrást... "csak" többek között a felhő biztonságát érintő forráskód részeket lopták el, nem az egész felhő forráskódját ( bár lehet, hogy majd egy hónap múlva "kiderül" azt is"). Szóval legyünk nyugodtak, mert ezek a profik biztos valahol nagyon hülyék is, és bár hónapok óta azt lophatnak el amit csak akarnak, a felhőt illetően biztos, csak lényegtelen dolgokat loptak amikkel nem lehet kezdeni semmit... bár te magad idézett forrás szerint épp a felhő biztonságával kapcsolatos részeket loptak el.

Egyesek imádnak vakok lenni, de közben meg cégek tízezreit lopják meg, az állami titkokról nem is beszélve.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

"még nagyobb katasztrófa része"

Bár nagyobb katasztrofát összehozni nehéz feladat a számok alapján, de a felhő ereje limit nélküli, akkora katasztofát okoz amennyien benne tartják fontos üzleti titkaikat. Ha csak egy-két cég teszi akkor őket éri baj... ha egy kontinensnyi akkor, a kontinenset rabolják ki egyetlen hackeléssel.

Ez a felhő ereje.

A felhő nélkül se okos dolog az üzleti titkokat neten lógó gépre tenni és az se, hogy emelett mindeki ugyaonlyan rendszereket használ... mint láthatjuk.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Túlozni azt mindenki nagyon jól az már tuti, de a hasra ütés is több mint jól megy.
Ugye érted, hogy nem megbízható túlzó forrásokat linkelsz, amik önmagukat múlják felül és egyre jobban eltávolodnak a valóságtól.
Esetleg nézd meg, hogy kitől is idézel. Egy állami tanácsadó a szakértő, kb. mondott valamit minél nagyobb megfélemlítés érdekében.

Tök jó, hogy épp pont a felhő nem volt érintett, de azért még egy kicsit fikázd.

mit lehet túlozni azon a tényen, hogy amcsiban 30 ezer céget, eu-ban többtízezer céget megborítottak?
meg azon, hogy egyesek szerint komoly helyi segítség kell ehhez a töréshez, mégis soktízezresével megtörténik. tehát vagy az van, hogy mégse kell komoly helyi segítség (esetleg van még a betörők birtokában olyan bug, amiről az ms nem tud), vagy az exchange rendszergazdák között többtízezer idióta van, aki segített a betörés feltételeit végrehajtani?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Solarwinds analógia alapján rákérdezhetek?
Master password: exchangeserver123
?

alap dolog: exchange-et nem teszünk ki magában a netre.

tudok sok és nagy, globális cégről, ahol
a) rohadt elavult technológia "védi" az exchange-et
vagy
b) az ég világon semmi nem védi.

ettől függetlenül nem tartom kizártnak, hogy az ellopott kódokban találtak valamit, de tudok sok olyan cégről, ahol ugyan külön van elevated és non-elevated user-e egy adminnak, viszont az előbbinek is van OWA joga. onnantól meg social enginnering, és máris megnyitja az admin a levél csatolmányát, oszt' szevasz.
és amúgy ja, a legnagyobb cégek is viszik a "mérnöki" gárdát közel és távol keletre (meg a (khmmm) kettő közé), ahol bármilyen háttérismeret és ellenállási faktor nélkül (akár csak annyi, hogy írásban jelzi, hogy valamit nem kéne), szolgaian végrehajtják azt, amit valaki kitalál. igen, akár azt is, hogy bármi nélkül ki legyen b***va egy FBA-s OWA a netre (ahol ráadásul még domaint sem kell bepötyögni, csak user name és password.

mert aki ért hozzá, az drága.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

nincs ilyen jellegű service user/password Exchange-en

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

2 dolgot tudok feltételezni, miért nem volt az EXO érintett:
a) a tenantodból nem tudsz kilépni, így nem tudod elérni SMB-n az EXO alatt futó servereket, így nem tudsz file-t írni/módosítani sem
b) attól, hogy tenant admin vagy, attól még nem vagy benne abban a groupban, amelyik local admin az Exchange servereken, ergó nem tudod módosítani a file rendszert. nincs jogod hozzá, az alatta futó Windows meg elhajt.

rendesen szeparált jogkörökkel on-prem sem kellett volna, hogy ekkora problémát okozzon. szigurúan szerintem.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

mi az a nagy különlegesség, ami miatt egy exchange-t nem lehet kirakni a netre?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Lehetséges. Csak amikor sorba jönnek a világrengető hekkertámadásokról a hírek,
Hogy ellopták sokmillió amerikai tb adatait. Hamar kiderült, hogy 1.0-ás jelszóval volt védve az egész rendszerük.
Aztán nem kellett sokat várni, jött a Solarwinds hekkerbalhé. Azt is kemény munka lehetett feltörni: solarwinds123.
Aztán most ez a exchange sztori. Majd kiderül, hogy valahol nem kisajtó volt nyitva, hanem kétszárnyas kapu, amin az nem ment be aki nem akart.

Ennyi: "vulnerable Exchange Server would need to be able to accept untrusted connections over port 443" - Tenable analízis elég érthető, az MS-é kicsit terjedelmes lett.
Innentől nem érintett EXO.
On-prem oldalon is ugye bármilyen értelmes biztonsági szabványt betartva a mail szervered nincs neten, így a fenti eset fent sem állhat.

Továbbra is ott tartunk, hogy alapvető biztonsági szabályok nincsenek betartva, vagy pénz vagy tudatlanság miatt.

"bármilyen értelmes biztonsági szabványt betartva a mail szervered nincs neten": ha nincs a neten mail szervered, akkor nem tudsz levelezni.

továbbra is ott tartunk, hogy az ms termékekből ömlő hiba mennyisége alapján azt kell feltételeznünk, hogy az ms-nél nem szempont a minőségi programozás. kevésbé pc megfogalmazásban: az ms egy kupleráj.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"bármilyen értelmes biztonsági szabványt betartva a mail szervered nincs neten"

nem kell a belső Exchange-et kirakni. erre van az Edge server. best practice alapján nem is rakod domainbe, szeparált VLAN, a belső Exchange-nek meg EdgeSync-el hitelesítve küldi a levelet. nem kell neki sem a 25 sem a 443-as port. ha meg megtörik (monjuk eljutnak odáig tűzfalon keresztül), akkor sem tudnak a VLAN-ból kijönni. megnézik a hosts-ban, hogy mik a belső serverek. ok. és? amúgymeg ezer és egy megoldás van arra, hogy ha történik egy serverre interaktív logon, akkor riportoljon, lelője a service-eket, mintegy védve a rendszert, akármi. valamint Edge-et ugye core serverre telepítünk, tovább csökkentve a támadási vektort.

ha meg nagyon ki kell tenni a client access-t, arra is van valag megoldás.

MS-ék az EXO-ra fókuszolnak, ez meg is látszik az on-prem cuccaik minőségén az elmúlt 2-3 évben. sima CU upgrade-nál lehet akkorákat szívni, hogy ihaj. akkor szoktam rá, hogy inkább server rebuild és új verzióval recover. minimálisan hosszabb idő, cserébe a régi hulladék local config beállítások nem maradnak ott aknamezőként.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

kieg: a 25-ös portodat meg mondjuk levéded egy MessageLabs-szel

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

ez a szokásos ms filozófia: van egy bughalom termék, akkor vegyél mellé még ezer másikat, amik valamit segítenek a bugok ellen. szemben a normális megoldással, hogy tudunk programozni, nem a profit az első és a termék nem bughalom.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ez nem MS filozofia, hanem defense-in-depth vagy ahogy a koznep mondja ne-tedd-az-osszes-tojast-egy-kosarba. Amugy gondolom nem lattal fejlesztoi/appsec oldalrol enterprise szoftvert, kulonben nem lennenek olyan irrealis elvarasaid mint bugmentes szoftver.

mondj olyan enterprise software-t, ami nem hemzseg az RCE-ktől.

nem kell ezer másikat mellé venni. csak végig kell gondolnia a cégnek (továbbra is enterprise-ról beszélünk, nem garázs cégekről), hogy mit is akar. általában előre gondolkodni olcsóbb, mint utólag tűzet oltani.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

csináljuk már azt, hogy ti nem találgattok folyamatosan arról, hogy én mit láttam vagy mit nem.

másrészt az irreális elvárás, hogy az ms féle biliből ne lögyböljék ki folyton a córeszt?

egyébként nekem nincsenek irreális elvárásaim. az persze más kérdés, hogy a felhasználóknak lehet elvárása... kinek mi az irreális.

egyébként pedig de: ms filozófia. ők úgy járnak jól, ha ótvar szoftvert csinálnak, mert akkor egy csomó mindent is el lehet mellé adni. kevesebb költség a tesztelés, a programozó, cserébe el lehet adni az ilyenolyan védelmi cuccokat, teret hagynak más cégeknek is jelentős bevétel termelésére olyan szoftverekkel, amire semmi szükség, stb. plusz el lehet adni rakás oktatást, oktatási licenszet, certet, vizsgáztatási lehetőséget és mindenki, aki ki bírja mondani az exchange szót úgy, hogy a nyálát nem köpi rá a monitorra, már gurunak érezheti magát.

miközben az ms 2021-ben még mindig ott tart (lásd ebben a threadben is leírtak), hogy gyorsan és biztonságosan úgy lehet szoftvert telepíteni, hogy gyalu, nulláról, backup visszatölt.

egy tisztességes világban, ahol a lobbierők megfelelő korlátozások közé vannak szorítva, az ms-t már régen beszántotta volna a bíróság azért, amit csinál. nonszensz. horror.

de nyilván én nem láttam semmit, én nem ismerek semmit, hiszen harminc éve üzemeltetek kisebb-nagyobb szervezeteknek levelező rendszert (is).

különben meg komolyan hiszek benne, hogy az a 30 ezer usa meg többtízezer eu-s vállalat, akiket most felborítottak, valami eszement rohadt módon nem érdeklődik afelől, hogy én láttam-e már enterspájz vállalati specifikációt. ha találgatnom kellene, akkor azokban a cégekben most afelől érdeklődik pár fejes az it-tól, hogy mi van és mi az, amitől nem lesz megint ugyanez jövő héten is és valami félelmetes módon nem érdekli őket bambano@mucsajpuszta.isp.co.hu ...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"mondj olyan enterprise software-t, ami nem hemzseg az RCE-ktől.": és az normális, hogy neked az a véleményed, hogy az enterprise szoftverek hemzsegnek az rce-k től???

és az normális, hogy neked ebben igazad van?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

tudom, hogy láttál már sokmindent, ezt senki nem vonja kétségbe.

szerintem a felhasználót az érdekli, hogy ha elküld egy levelet, akkor az megérkezzen, és ha kap egyet, azt el tudja oldasni. ennyi és nem több. az, hogy csak a corp eszközéről, az max akkor lehet érdekes, ha máshonnan is akarja érni, az nem fog menni (ideális esetben).

nagy szervezetek a Win licenszeket fillérekért kapják. amit leírtam, abból jelentősebb költség max a MessageLabs (vagy bármi más ilyen portfoliójú cég) előfizetése lehet. cserébe a 25-ös portod előtt a FW-t úgy confolod fel, hogy csak az ő IP range-üktől fogad, minden mást eldob.

belül:
Win 2019 Standard: pár dollár/év
Edge: nem kell licenszelni
ADFS + WAP: OS része role-ként.

wao, rohadt nagy költség mondjuk egy cégnek, amelyik évi sok-sok millió dollárt termel. cserébe a másik oldalon ha valami gond van, akkor MS pattan és addig melóznak rajta amíg megoldás nincs.

senki nem mondta, hogy tökéletesek az MS cuccok, személy szerint én is ipari hulladéknak tartok nagyon sok mindent (vagy legalábbis 1-1 server cucc bizonyos részeit).

arra kívántam rámutatni, hogy lett volna megoldás a kivédésre, első körben az, hogy levéded a rendszered. igen, valahogy ki és be kell, hogy menjen a levél, meg a userek el kell, hogy érjék.

nagyjából 10 éve foglalkozom kifejezetten Exchange-el. és tartom, hogy a sok hulladék között még mindig ez a leginkább enterprise-oknak való levelezési rendszer.
a nagy cégeknél azt látom amúgy fő problémának, hogy
a) aki hajlandó lenne vele úgy foglalkozni, ahogy kell, azt vagy nem fizetik meg és lelép vagy olyan dolgokat akarnak vele csináltatni, amihez nem hajlandó a nevét adni (és lelép), vagy a belét kidolgoztatják (és lelép)
b) kiviszik Indiába a L2/L3-at, merthogy "az ócsó", aztán vagy tudnak vele kezdeni valamit, vagy nem; az, hogy alul dől az egész, mert nem képesek rendben tartani az addig senkit a vezetésből nem érdekel amíg a levelek mennek és el tudják olvasni. a mérnöki gárdának meg rohadtul nincs rá ideje meg energiája, ergó azoknak kéne odafigyelni, akik bólogatni tudnak, ellentmondani ill saját véleményt megfogalmazni nem.
c) kifejezetten Exchange mérnököt már nagyon kevés helyen alkalmaznak, az meg méginkább fehér holló, aki tényleg szívvel-lélekkel csinálja. ez most meg is látszott.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

másik oldalról meg ( sajnos )

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

Kar barmifele osszeeskuvest vagy hanyagsagot latni a dolgok moge, egyszeruen arrol van szo, hogy az ugyfelek nem lennenek hajlandoak kifizetni a normalis securityvel jaro koltsegeket. Gyakorlatban ez ugy nez ki, hogy ha egy szoftvergyarto leszurkolja a tanacsadocegnek a SOC2-re valot, evente atvergodik valahogy a pentesten, onnantol mar csak az ugyfelek toredeket erdekli, hogy ki milyen kreativan tud hazudni arrol, hogy hogyan figyelnek a fejlesztes soran a biztonsagra. Ugyanigy barmilyen akvizicio vagy IPO elotti startupnal egy threat modelling session alatt annyi csontvaz potyog ki a szekrenybol, hogy utana par honapig csak serulekenysegeket kellene foltozni. Ha ilyenek az elvarasok, akkor gazdasagi ongyilkossag a minimalisnal tobb security engineer-t alkalmazni es komolyabb biztonsagi kovetelmenyeket tamasztani, mint a konkurencia.

az, hogy profitmaximalizálók, az nem összeesküvés, ne keverj ilyeneket abba, amit nem is mondtam.

jelenleg úgy néz ki, hogy mivel az ms monopol helyzetben van, desktop területen irányítja a piacot, és lehet, hogy nem tévedés ugyanezt kijelenteni a szerverpiac egyes szegmenseire sem. következésképp a cégeknek, akik ms terméket vesznek, nem nagyon van választási lehetőségük, csak az az egy, hogy kifizetik a vételárat.

ráadásul az sem világos, hogy milyen "security költségekről" beszélsz akkor, amikor a cég, ahol melózom 114 rugóért vette (tréfálkozás előtt) a ws 2012r2 essentialst, itt meg évi pár dodóról ír annulu. szerinted van olyan cég, amelyik sírva tépné össze az ms site licenszét, ha az évi 5 dodó felmenne évi 7 dodóra attól, hogy rendes security van? ha az ms hajlandó 90-95%-os árengedményt is adni, akkor a security költségek/szerver 5%-a enterspájz szinten mennyi? megmondom neked: NULLA. egy NAGY BÜDÖS NULLA! excel kerekítési hiba.

tehát az az állítás, hogy a cégek nem fizetnék ki, pontosan ugyanennyi: nulla. nem igaz.

másik oldal: az ms-nek mennyibe kerül (lerombolt hírnév, goodwill vesztés, belefeccölt marketing költségvetés) visszamászni onnan, hogy az idén a média folyton attól volt hangos, hogy az ms egy átjáróház? ja, nem tudjuk, mert nem csak az idén dőltek a csontvázak az ms-ből.

"Ha ilyenek az elvarasok, akkor gazdasagi ongyilkossag a minimalisnal tobb security engineer-t alkalmazni es komolyabb biztonsagi kovetelmenyeket tamasztani, mint a konkurencia.": egyrészt szerintem nem. másrészt nincs konkurencia. pontosan ezért szemtelenedett el az ms egyes piacokon. viszont ha egyszer véletlenül lesz, akkor abban a piaci szegmensben csúnyán felmossák velük a padlót, mert az user nem felejt. lást: win mobile. Visszatérve: miután monopol és miután irányítja a piacot, nem követi, akkor azt is ő szabja meg, hogy mennyi security engineer kell. pont. nem más, az ms.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A discount a licenszbol szinte nem kerul semmibe, maximum extra support koltsegkent merul fel, de cserebe egy jo cross-selling opportunity es -ebben egyetertunk- gyakorlatilag piaci helyzettel valo visszeles. Ha tenylegesen az altalad vizionalt allapot a cel, akkor az az elobbivel szemben minden esetben tenylegesen felmerulo koltseg lenne: extra emberek bere es egyeb koltsegei, normalis secure coding training minden engineernek, dedikalt ido securityre a fejlesztocsapatoknak, komolyan vett bug barok miatt meghiusult releasek, tooling koltsegek, visszaesett szallitokapacitas, stb.

A masik oldalon meg a te MS utalatodbol probalsz altalanos konkluziokat levonni. Az iCloud password bruteforce utan elhasalt az Apple a mobil piacon? Az Adobe breach(ek) ota mindenki attert valamelyik konkurens gyarto termekeire? A LastPass security incidensek kivegeztek a termeket? Gondolom LinkedInen is csak botokat latok, hiszen a userek nem felejtenek.

Okos ember nem teszi direktben, az tuti. AKkor sem, ha nem tudottan sebezhető.
Amikor megjelent full publicban az előző melóhelyeken (kettőnél is ment) a net felől elérhető OWA, akkor néztem, hogy az admin jelszavakat is kiírhatták volna (Mondjuk hasznos volt, az tuti, mert én is nézegettem rajta a levelezésem... )

@Anulu : "nagy szervezetek a Win licenszeket fillérekért kapják"
Aztamocsok Akkor nálunk miért pár ezer EUR az ilyesmi? (Globális cég ez is.) Vagy én nem vagyok elég gazdag.

@ysengrin : Azért ez elég beteg dolog, hogy ja, úgysem éri meg biztonságosabbnak lenni. Akárhogyan is.

[ Szerkesztve ]

Mutogatni való hater díszpinty

sorry, de azt kell mondjam, hogy akkor nem tárgyaltok elég jól. amúgy az is kérdés, hogy milyen supportot vesztek mellé. ha mittomén vesztek x server meg y client OS-t, az egy dolog, de sok egyébbel ez a költség csökkenthető.
persze, ennek csak és kizárólag akkor van értelme, ha a plusz-t valóban ki is használjátok, egyébként csak pénzkidobás.

Exchange 2007 + ISA 2006 éra óta foglalkozom Exchange net felé publikálással. <kopp-kopp-kopp> soha nem volt ezen a layeren biztonsági incidensem. cserébe nem keveset anyáztam ha valami baromságot akartak megcsináltatni.

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

Nemtom, hogyan tárgyalnak, de azt tudom, hogy van szándék költségfaragásra, szóval tuti megpróbálták. Persze, maga a Windows olcsó, de az AD account (gépnek / usernek) nem. Onnantól meg fújhatod a Windowst.
Meg nem hiszem, hogy csak nálunk tárgyalnának rosszul, bár az előző helyeken sem láttam ebbe bele, de ott sem szórták nyakló nélkül az asztali usereket.
Kezedenek is már rájönni, hogy ahol nem kell a domain user, oda jó ingyenes OS is

Ha soha nem volt incidensed, az nem jelenti, hogy az tutibiztonságos is

[ Szerkesztve ]

Mutogatni való hater díszpinty

ez egész addig működhet, amíg a user nagy ívben elkerül minden Win based cuccot (AD, file share, akármi). ha meg nem tudja elkerülni, onnantól kell CAL és csak magatokat szívatjátok.

nem tudom, hol van a szerződésetek, de ahogy írod, hogy globális cég vagytok, lehet érdemes átrakni egy másik országba, és ott tárgyalni.

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

"Az eddigi megállapítások szerint azokat érintik a támadások, akik az Outlook webes verzióját saját gépeken használják, nem pedig felhős szolgáltatókon keresztül."

Ezt hogy kell érteni? A cégnek saját exchange szervere van, vagy hogy a delikvens nem a kitekintő 365 nyitja meg, hanem bepötyögi böngészőbe a webmail.lófaszbt.kúvanyádat?

Ezen feltételezések közül melyik olyan hihetetlen neked?

megfelelő csomagban, leginkább cloudosban eurocentekre jön ki nagyjából a Win10 Enterprise (ami tudjuk nyilván licensz doksi szerint upgrade jogosultság alapvetően)

CAL meg mindn M365 csomagban benne van

[ Szerkesztve ]

iPhone 15 Pro Max 256GB Black |Macbook Air M1|Xbox Series X|Írhatsz nyugodtan, de x64 alatt nem barátkozom :)| I'm not special...I'm just limited edition!

Elég jó architectek vannak (amennyiben létezik ez a fogalom ) , szóval ha csak ennyi lenne

@Vicze1 : OpenLDAP? Az is domain.
BTW ez pár tízezer user, sok országban. Nehézipar, szóval kevés telephely, kevés user, de a cég attól még marha nagy.
Azt mondjuk nem tudom, hogy elég-e, ha van valamilyen automatikus (központosított) user management, ami nem domain, de arra van több megoldás is.

@pzstm : +domain account a gépnek +user

Mutogatni való hater díszpinty