A Microsoft elismerte, hogy 0day Internet Explorer sebezhetőséget kihasználva támadtak a Google-re

 ( trey | 2010. január 15., péntek - 9:16 )

A Google a napokban jelentette be, hogy kifinomult és célzott támadást indítottak ellene, illetve körülbelül két tucat amerikai nagyvállalat ellen Kínából. Ezért a keresőóriás átértékelte Kínával kapcsolatos hozzáállását és bejelentette, hogy kész kivonulni az országból. A bejelentés nagy port kavart fel, még az Egyesült Államok külügyminisztere is megszólalt az ügyben, választ várva a kínai kormányzattól.

A bejelentés után megindult a találgatás arról, hogy milyen hibákat használhattak ki a támadók. Felröppent a hír, hogy 0day Internet Explorer sebezhetőség lehetett a támadás egyik segítője. A Microsoft tegnap elismerte, hogy ez így van.

Mike Reavey a Microsoft Security Response Center (MSRC) blogon a következőket írta:

"Vizsgálataink alapján megállapítottuk, hogy az Internet Explorer volt az egyik vektor, amelyet felhasználtak a Google és feltehetően más vállalati hálózatok ellen indított célzott és kifinomult támadásokban. A Microsoft ma útmutatót adott ki, hogy segítse az ügyfeleket az Internet Explorer távoli kódfuttatásos sebezhetősége hatásának enyhítésében. Továbbá együttműködünk a Google-lel és más cégekkel, ahogy a hatóságokkal és más iparági partnerekkel is."

Reavey megjegyzi, hogy a Microsoft nem látja, hogy a sebezhetőség széles körben érintené az ügyfeleket, inkább korlátozott és célzott támadások történnek az IE6 sebezhetőségét kihasználva. A fejlesztők dolgoznak a javításon és ha az átmegy a minőségellenőrzésen, akkor azt terjesztésre bocsátják.

A helyzet komolyságát jelzi, hogy a blogbejegyzésben a megszokottaktól eltérően a Microsoft képviselője javasolja, hogy azok, akik érintettnek érzik magukat a támadásban, tegyék meg a megfelelő lépéseket a hatóságoknál. Az érintett, Egyesült Államok-beli ügyfeleknek javasolják a kapcsolatfelvételt az FBI helyi irodáival.

A Microsoft tegnap kiadott egy biztonsági figyelmeztetőt is, amelyben látszólag az összes Windows operációs rendszer érintett a Windows 2000-ről a Windows 7-ig bezárólag. A nem érintett szoftverek közt egyedül a "Internet Explorer 5.01 Service Pack 4 for Microsoft Windows 2000 Service Pack 4" szerepelt.

A blogbejegyzés itt olvasható.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Komolynak tűnik. Akkor most használjunk IE 5.01-et Windows 2000-en SP 4-el? Bár én a Firefoxal is jól elvagyok :)

továbbra is a mosaic ( http://en.wikipedia.org/wiki/Mosaic_%28web_browser%29 ) mellett szavazok. Fogja a flash alapú támadásokat, és a javascripttel sem törhető ;)

ennél lejjebb lehet süllyedni kéremszépen?
nem telik el hét, hogy ne derülne ki valami már kihasznált sebezhetőség a kedvenc cégünktől.
még hagyján, hogy biztonságilag alulmúlhatatlan szoftverről van szó, de mégcsak teljesítményben sem értékelhető. fejleszteni meg mindenki tudja milyen rá.
kíváncsi volnék kedveltebb f/oss szoftverek mennyi sebezhetőséget mutatnának fel hasonló népszerűség esetén.

*ásít*

----------------
Lvl86 Troll

Pont ez vezetett ide. :-) Redmond-ban is csak ásítottak, még Kínában keményen dolgoztak a crackerek.

Vagy jo melyen a penztarcajaba nyult a kinai titkosszolgalat.

az már hazaárulás kategoria szvsz. :(

Nem feltetlen amerikai eladora gondoltam. Nagy kincs lehet egy ie6/7/8 kihasznalhato bug. Sokan fizetnenek egy ilyenert.

és csak ásít és csak ást, míg egyszer csak a fejéhez kap.
--
unix -- több, mint kód. filozófia.
Life is feudal

jujjde odamondtad, ez igy megvolt?

http://kubikcz.net/ie_vs_ff/

--
NetBSD - Simplicity is prerequisite for reliability

"Komoly". Ajánlom helyette inkább:

Microsoft Internet Explorer 8.x:
http://secunia.com/advisories/product/21625/

Unpatched 50% (4 of 8 Secunia advisories)

Most Critical Unpatched
The most severe unpatched Secunia advisory affecting Microsoft Internet Explorer 8.x, with all vendor patches applied, is rated Extremely critical

Mozilla Firefox 3.0.x
http://secunia.com/advisories/product/19089/

Unpatched 0% (0 of 22 Secunia advisories)

Most Critical Unpatched
There are no unpatched Secunia advisories affecting this product, when all vendor patches are applied..

Mozilla Firefox 3.5.x
http://secunia.com/advisories/product/25800/

Unpatched 0% (0 of 6 Secunia advisories)

Most Critical Unpatched
There are no unpatched Secunia advisories affecting this product, when all vendor patches are applied..

Egyéb megjegyzés: jó lett volna, ha az illető az IE8-cal nem a Firefox 3.x-et hasonlította volna össze. Apróság:

IE8 megjelent: 2009. március
FF 3.0 megjelent: 2008. június
FF 3.5 megjelent: 2009. június

Azaz az IE8-at a Firefox 3.5.x sorozattal kellett volna praktikusan összehasonlítani.

Firefox 3.5.x-nek van 6 Secunia figyelmeztetője, az IE8-nak pedig 8. Az előbbinek 0 javítatlan hibája, az utóbbinak 4. Ebből a legsúlyosabb extrém kritikus.

--
trey @ gépház

megelőztél :]

"...és ha az átmegy a minőségellenőrzésen, akkor azt terjesztésre bocsátják..."
Nem ártott volna az egész W* gányhalmazt átküldeni valamiféle minőségellenőrzésen mielőtt letolják az emberek torkán. Persze a folt azért késik pár hetet mert azt áthajtják rajta (persze-persze), akkor az egész katyvasz ki se jött volna ha mindent megvizsgálnak. Felháborító.
(Csak zárójelbe jegyzem meg, ha valami OS SW-ben van hiba még aznap, ha mást nem, pár órán belül javítani szokták, nem ülnek rajta hetekig.)
cryp

ez a patch-kedd eleve egy rossz vicc...

az egy nagyon jó dolog btw... kiszámíthatóan érkeznek a frissítések, nem úgy mint a többi gyártónál. Fel lehet készülni rá időben. Szerintem az MS korrekten csinálni a security frissítéseket.

B10

főleg, ha az utána lévő szerdán publikálnak egy sechole-t

Akár azon az áron is, hogy a rendszered rossz esetben egy hónapig átjáróház. De végül is igazad van, mert a "Patch Tuesday" nélkül nem születhetett volna meg az "Exploit Wednesday" fogalom :D

--
trey @ gépház

ez mind rendben van olyan biztonsági hibák vagy egyéb hibák javításakor aminek nincsen komolyabb kockázata. de mint tudjuk ugye a volt kritikus hiba aminek javítására éveket kellett várni. egyszerűen felfogni nem tudom, hogy egy ekkora cég hogyan engedheti ezt meg magának? a cég értékével egyenes arányban nőtt a pofájuk?

és ahogy látom a megtalált, és kihasznált hibák száma is...

igen, valamelyik kedden biztos megérkezik. vagy máskor, a közfelháborodás súlyától függően.

_____________
烏邦土 - 乾屎橛

Az amatőrök javítják, a profik nem engedhetik meg maguknak, hogy mást elszúrjanak.

Lehet flame-elni, de nem hiába használnak sokan MS szoftvert. Ezt is Win7 alól írom.

leginkább azért, mert csak abban találják meg az intErnet gombot. és ezért tudatosan választják az MS termékeket, sőt, direkt ezért warezolják, a hozzá való biztonsági sw-ket meg mellé.
_____________
烏邦土 - 乾屎橛

+1

Ejnye, ne beszélj ilyen csúnyákat a Google dolgozókról!

Hát persze. Mérd meg a lázad.

gondolom, a te windowsos pályafutásod is azzal kezdődött, hogy w. pistike a szomszédból áthozott egy ingyen kapott win telepítőt, amin mindenféle okosság volt. később egy csetlájnon szpáj robival kötöttél barátságot, aki szuper ingyenes játékprogramokkal ajándékozott meg. pár évvel később már póverjúzer lettél, és saját magad ellenőrizted a géped a szintén ingyenes antivirus2010-zel (aktuális kiadás, érdemes frissíteni), amelyik annyi vírust talál minden héten a gépeden (köcsög MS), hogy inkább újrahúzod hetente. bár már a frissítésre is találtál jópofa programot (nesze nektek, hülye Linux-fanok), a downadup nevűt, amely folyamatosan frissíti a rendszert a háttérben.

_____________
烏邦土 - 乾屎橛

Szerintem te még nem vettél részt komoly szoftverfejlesztésben így nem tudod miről beszélsz. Minden szoftverben van hiba, és van ami elég sokáig rejtőzik. De ha te tudsz olyan módszert amivel MINDEN hiba kitesztelhető és ráadásul a használata megfizethető a cégeknek akkor szólj...

Üdv: Tamaas

ha te tudsz olyan módszert amivel MINDEN hiba kitesztelhető

Turing annak idején bebizonyította, hogy nem létezhet ilyen módszer.

formális módszerek?

az a nagybetűs szó elkerülhette a figyelmedet :)

Hmmm?

Igen. Fontos adatok zárt hálózatban történő tárolása.

*** Snowman ***

konkrétan szoftvertesztelésről volt szó

"Szerintem te még nem vettél részt komoly szoftverfejlesztésben" +1

mi a fontos adat? kinek mi a fontos adat? mi a zárt hálózat?

ha van egymillió ügyfeled, hogy adod ki nekik a fontos adatokat? elküldöd pendrive-on? Persze lehet mondani, hogy vpn, de az sem skálázható a végtelenségig (+ r=1 usereknek ki állítja be).

"Igen. Fontos adatok zárt hálózatban történő tárolása. " - a hálózati biztonság nem abból áll, hogy kihúzunk néhány ethernet kábelt. Habár kétségtelenül a leggyorsabb megoldás.

IE6 ???!?! mi a f@sz? 2009-ben még volt aki IE6-ot használt? Megérdemlik...

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

nálam erre a by default szöveg: http://www.wondeer.com/ - nézd meg ie6-tal :]

Affected software szekció

- IE6
- IE7
- IE8

Egyébként nem értem, hogy mi a gondod az IE6-tal. A Microsoft által támogatott böngészőről van szó. A Microsoft megmondta, hogy a hőbörgés ellenére marad az IE6.

--
trey @ gépház

De ha jól értem, (az MS fent linkelt doksija szerint) a sebezhetőség gyak az összes IE-ben megvan, éppcsak az MS tudtával az IE6-ban használják ki aktívan. Vagy rosszul értem?

Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4, and Internet Explorer 6, Internet Explorer 7 and Internet Explorer 8 on supported editions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 are affected
Csaba

Jól érted. _Jelenleg_ az IE6 támadásáról van _tudomásuk_. Azért húzom alá a _tudomásuk_ szót, mert tegnapelőtt még a sebezhetőségről _sem volt tudomásuk_, így az marhán semmit sem jelent, hogy ők miről tudnak. A Google, MANDIANT, McAffe és az Adobe által adott infókat csipegetik össze.

--
trey @ gépház

Vannak még cégek, ahol az IE6 a céges szoftverportfólió egyedüli támogatott webböngészője.

:wq

Sajna a cegnel nalunk is az IE6 az egyeduli temogatott bongeszo, es vannak olyan jol megirt belso oldalak amik nem is mennek massal.

Nekem is ez jutott eszembe. Gondolom a rendszert se frissítik, antivírust se használnak, tehát azért a saját tudatlanságuknak is koszonhetik a dolgot, meg persze a microsoftnak.

ahem, nalunk.
1500 fo dolgozik itt (ok, ff-t is lehet hasznalni, de az intras alkalmazasok ie6ra vannak optimalizalva, ami tudom, h baromsag, de ez van).
DE: ez azert van, mert amikor egy ekkora volumenu ceg azt mondja az egykori fejlesztonek, hogy 'ugyan csinald mar meg ie8/ff3.5 akarmire (ami normalis lenne, h browserfuggetlen, de akarmilyen vicces nem mindenkinek az), akkor nem azt mondja, hogy okezsoke, hanem hogy (most hasrautok) 3 milla. ezt felszorozva alkalmazasszammal nem igazan erdemes verziobuzulniuk cegeknek.

talan ezert van enterprise classban meglepo "lemaradas".
ezt tessek azert figyelembe venni.

--
B+ - http://pozor.hu

Win2000-es gepeken nehez ennel nagyobb verzioszamu IE-t hasznalni. FF persze megy, csak azzal picit nehezkes a Windows update...

Szegény google, nincs pénze a régi win 2000-es gépeket lecserélni, szervezzünk gyűjtést nekik, nehogy a WINDOWS UPDATE használata közben megint feltörjék őket :))))

webprogramozónak tanulok, és hidd el még ma is 15-20%-között mozog az xp + ie6 tábora. Nem vicc. és az ie6-ra is fel kell készíteni a weboldalakat. pedig milyen egyszerű is lenne az élet, ha csak olyan böngészők lennének amik szabbványosak. pl opera, chrome... mindegyiknek vannak hibái, de azért ezek a legjobbak.

kéne már valami kínai Nagy (Tűz)Fal vagy hasonló... ami a holdról is látszik :)
nálam már van ilyen. nem túl kifinomult a működése... :)

létezik Kínai Nagy Tűzfal...

Kinai Nagy Tuzfal
--
1 leszel vagy 0 élő vagy hulla!

A Google-nak milyen oka lehet, hogy olyan helyeken használ (ez alatt nem a tesztlabort értem, ahol azt ellenőrzik, hogy jól jelenik-e meg a weblapjuk minden böngészőn) IE-t, ahol támadható a rendszerük ezáltal, holott közismerten lyukas a MS böngészőcsalád mint egy sörétes puskával leterített ementáli sajt... Sőt, egyáltalán az internetre felkapcsolódott gépeiken mi a fenének használnak Windowst???

mert titokban embereket is foglalkoztatnak ott, nem csak kreatúrákat. tudod, szeretnének jól bánni velük, hiszen a google errős híres, hogy kedvez az alkalmazottnak.

---------------
mpu.buzz.hu

Mivan, még a Google se a saját Chrome böngészőjét használja, hanem az Internet Explorer-t? :))

Én úgy vettem ki a szövegből, hogy nem konkrét Google alkalmazottak ellen irányult a támadás, hanem emberjogi aktivisták ellen, akik a Google szolgáltatását használták. Náluk pedig kliensoldalon ténykedtek. Tehát ebből nem következne, hogy a Google-nél használnak IE-t.

Rosszul vetted ki, két külön ügyről van szó. A Google belső hálózatába is bejutottak és onnan forráskódokat loptak.

>> forráskódokat loptak

az lehetetlen, mert a google a nyílt forrás elkötelezett híve

Értem az iróniát, de a blogbejegyzésben nem forráskód szerepelt, hanem intellectual property. Az lehet akármi. Technológiai, szabadalmi leírás, akármi.

--
trey @ gépház

Ugyaninnen:

First, this attack was not just on Google. As part of our investigation we have discovered that at least twenty other large companies from a wide range of businesses--including the Internet, finance, technology, media and chemical sectors--have been similarly targeted. We are currently in the process of notifying those companies, and we are also working with the relevant U.S. authorities."

Jót mulatnánk, ha kiderülne, hogy ezekre az információkra nem a biztonsági események, hanem a google-logok elemzése során találtak rá. :)


suckIT szopás minden nap! IMAP szerver benchmark

Igen, és a gmail fiókkal rendelkező end userek ie-jét feltörve loptak a google-től forráskódot/egyéb szellemi terméket. Na az legalább olyan vicces volna, mint maga az egész ügy, hogy IE-t - ráadásul 6-ost? - használ a google, nemhogy egy elázárt virtuális tesztkörnyezetben, de olyan helyeken is ahonnan utána a szervereiről lehet kritikus dolgokat lopni...

Nem először fordul elő, hogy ezt a virtuális környezetet te valami varázseszköznek tekinted. A dolgozó gépét feltörve, bebackdoorozva, billentyűzet-leütés és képlopó programokkal ellátva gyakorlatilag hozzáférhetnek azokhoz amihez az adott dolgozó hozzáfér. A cégeknél általában a dolgozók hozzáférnek az adatokhoz: a bérszámfejtő a béradatokhoz, a mérnök a tervekhez, a szoftverfejlesztő a repository-khoz, a DBA az adatbázisokhoz. Az adatokat nem páncélszekrényben tárolják. Ha az illető gépét megtörték az elég nagy szívás.

Lehet a biztonságot a végtelenségig fokozni, de 100%-os biztonságban ne ringasd magad.

--
trey @ gépház

Szerintem ugorj neki mégegyszer mit irtam, egy szóval nem mondtam, hogy a virtuális környezet varázseszköz. Azt mondtam, hogy röhejes, hogy a googlenél egy IE 6 (de valójában akármelyik IE) egyáltalán előfordulhat egy zárt virtuális TESZTKÖRNYEZETEN kivül. Márpedig az ilyen környezetekből nem tud kilépni egy megtört böngésző és fontos vállalati adatokat lopni. Ha forráskódokhoz, tervekhez, béradatokhoz hozzáférő dolgozók a napi munkához win-t és ie 6-ot használnak a googlenél, az szintén elég vicces képet fest.

Tudsz nekem mutatni olyan hivatalos ajánlást a Microsoft-tól, hogy az IE6 terméke nem biztonságos, csak virtuális TESZTKÖRNYZETBEN ajánlott a használata, mert különben ez egy biztonsági rés a hálózaton?

"Márpedig az ilyen környezetekből nem tud kilépni egy megtört böngésző és fontos vállalati adatokat lopni."

Melyik is ez a környezet, amiből lehetetlen kitörni? Amikor ma már a BIOS-t is be tudják backdoorozni?

"Ha forráskódokhoz, tervekhez, béradatokhoz hozzáférő dolgozók a napi munkához win-t és ie 6-ot használnak a googlenél, az szintén elég vicces képet fest."

Ezt felírom. Majd alkalomadtán elsütöm olyan helyeken, ahol a mai napig IE-t és Windows-t használnak ilyen feladatokra. Az IE6-ot pedig ne szajkózd, az összes IE érintett. Hogy a Microsoft szerint ők csak IE6 elleni támadásról tudnak, az semmit sem jelent.

--
trey @ gépház

"Tudsz nekem mutatni olyan hivatalos ajánlást a Microsoft-tól, hogy az IE6 terméke nem biztonságos..."

Dehogy tudok, az egy supportált ms termék, azért is csinálják hozzá a patch-et most. A vicc nem az, hogy "valahol" van még ie 6, inkább az a tragikomédia, hogy pont a nagy nyilt-forrás, linux, foss "nagy barátjánál" a google-nél használnak egy durván elavult, köztudomásúan nem túl biztonságos böngészőt, ráadásul vállalati információ szempontjából kritikus helyen, ráadásul úgy, hogy a cégnek saját böngészője van. Azért ezt az öngólt nem észrevenni, méretes szemellenzővel lehet csak. :)

"Melyik is ez a környezet, amiből lehetetlen kitörni?"

Bármelyik olyan környezet (még virtuálisnak sem kell legyen, az inkább a kényelmet szolgálja tesztkörnyezetek esetén) amely fizikailag szeparált hálózatot használ az üzletileg kritikus adatokat tároló hálózattól. Kemény dolog, kell hozzá +1 switch, durva esetben egy külön szoba, saját struktúrált hálóval, patch panellel stb. Nem tudom ez kinek "űrtechnika" 2010-ben, én jópár ilyennel találkoztam már, még közepes méretű cégeknél is.

"Az IE6-ot pedig ne szajkózd, az összes IE érintett. Hogy a Microsoft szerint ők csak IE6 elleni támadásról tudnak, az semmit sem jelent."

idézlek: "_Jelenleg_ az IE6 támadásáról van _tudomásuk_. Azért húzom alá a _tudomásuk_ szót, mert tegnapelőtt még a sebezhetőségről _sem volt tudomásuk_, így az marhán semmit sem jelent, hogy ők miről tudnak. A Google, MANDIANT, McAffe és az Adobe által adott infókat csipegetik össze."

Ha ms csak a google és társai által adott infokról tud - mert ugye köztudomásúan hülye szegény - és ezután azt állitja, hogy jelenleg csak az ie6-ot támadják, abból én - igen merészen - le merem vonni a fenti következtetést. De fent részletezett okokból, teljesen mindegy melyik ie-t használják a googlenél üzleti titkokhoz hozzáférő éles rendszereken, önmagában röhejes.

Nem csak a Google-nél használnak IE6-ot (ott használnak? honnan lehet ezt tudni?), hanem cégek ezreinél. A Microsoft ezért nem vonja ki az IE6-ot. Emberek üvöltözve tiltakoznak ellene, de nem. A Microsoft keményen sáros abban, hogy az IE6 még él.

"Bármelyik olyan környezet (még virtuálisnak sem kell legyen, az inkább a kényelmet szolgálja tesztkörnyezetek esetén) amely fizikailag szeparált hálózatot használ az üzletileg kritikus adatokat tároló hálózattól. Kemény dolog, kell hozzá +1 switch, durva esetben egy külön szoba, saját struktúrált hálóval, patch panellel stb. Nem tudom ez kinek "űrtechnika" 2010-ben, én jópár ilyennel találkoztam már, még közepes méretű cégeknél is."

Te is érzed, hogy ez csak egy vicc lehet.

"Ha ms csak a google és társai által adott infokról tud - mert ugye köztudomásúan hülye szegény - és ezután azt állitja, hogy jelenleg csak az ie6-ot támadják, abból még - igen merészen - le merem vonni a fenti következtetést. De fent részletezett okokból, teljesen mindegy melyik ie-t használják a googlenél üzleti titkokhoz hozzáférő éles rendszereken, önmagában röhejes."

Nem azért mert hülye, hanem azért, mert a figyelmeztetőben ezt írta le. Lásd a megfelelő szekciót. Ha nem szólnak neki, talán még a mai napig sem tudja, hogy szar a böngészője.

"De fent részletezett okokból, teljesen mindegy melyik ie-t használják a googlenél üzleti titkokhoz hozzáférő éles rendszereken, önmagában röhejes"

Senki sem állította, hogy az adatokhoz használják az IE6-ot. Elég ha gépen IE böngésző van és azt használják. Azon keresztül megtörik a gépet, bebackdoorozzák, local exploittal megtörik, majd azt csinálnak vele amit nem akarnak. Most már kezdünk ott tartani, hogy IE-t szerinted csak elszeparált gépen lehet használni...

--
trey @ gépház

"Nem csak a Google-nél használnak IE6-ot "

Komolyan? Ez elképesztő.

"A Microsoft ezért nem vonja ki az IE6-ot."

Kivonja? Azt úgy mégis hogy? Kihasználja a 0 day exploit-ot és elinditja az ie 8 telepitőt? :))
A ms nem forgalmaz ie 6-al oprendszert már elég régóta, az újabb verziókat pedig mindegyik támogatott oprendszerhez ingyen adja. Az, hogy supportot ad egy majd évtizedes termékhez nem hiszem, hogy túl nagy szemétség volna.

"Te is érzed, hogy ez csak egy vicc lehet."

Könyörgök ezt fejtsd ki azonnal, mert lehet, hogy kapnom kell a telefont és több cégnél - és egy nemzetbiztonság által védett banknál is - elképesztő változtatások lesznek szükségesek a teszt környezetek és az egész software life cycle-ben :)))

"Ha nem szólnak neki, talán még a mai napig sem tudja, hogy szar a böngészője. "

Most akkor döntsd már el, hogy a ms csak a megtámadott cégek információiból tájékozódik és ezért mondja, hogy jelenleg csak ie 6 ellen volt támadás vagy még onnan se, csak a hasára ütött.

"Elég ha gépen IE böngésző van és azt használják. "

Köszönöm, erről beszéltem... :)

"Kivonja? Azt úgy mégis hogy?"

Úgy, hogy nem jelent be a szarjaira 10 csillió éves támogatási ciklust, aminek az a vége, hogy a szoftverjét csak "virtuális TESZTKÖRNYEZETBEN" (rotfl) <- innen indultunk, vagy elszeparált fizikai hálózaton (rotfl) lehet használni.

"Te is érzed, hogy ez csak egy vicc lehet."

A Google nem nemzetbiztonsági hivatal, hanem egy vállalat, ahol emberek dolgoznak. Te most azt a képet próbálod itt festeni, hogy ez a szeparálósdi egy mindennapos dolog, holott a cégek 99%-a nem így működik és nem is így kellene működnie. Értem én, hogy a tanfolyamok szerint mi az amit kellene, de amikor Amerikában a felhasználók nagy része otthonról (ne adj isten másik földrészről) dolgozik, akkor ne akard már másik szobába sétáltatni a felhasználókat mert az egy vicc. Az adatokat meg floppy-n mozgatják, mert azon már nem "él meg" semmilyen kártevő sem. Nem?

"Most akkor döntsd már el, hogy a ms csak a megtámadott cégek információiból tájékozódik és ezért mondja, hogy jelenleg csak ie 6 ellen volt támadás vagy még onnan se, csak a hasára ütött."

Sehol nincs leírva explicite, hogy a Google-nél IE6 van. De ha az is van, az egy támogatott termék. Ennélfogva, akkor sem nem lehet őket hibáztatni, ha azt használják. Bármennyire is fáj ez neked. Illetve azzal sincsenek előbbre, ha 7-8-at futtatnak, mert az is szar. Tudom, most az jön, hogy XP-t sem kéne már sehol se használni, én meg azt mondom, hogy álmodj királylány.

--
trey @ gépház

"Ennélfogva, akkor sem nem lehet őket hibáztatni, ha azt használják"

Hibáztatni? Itt maximum a körberöhögés jöhet szóba...

Mivel látom tényleg nem láttál még szeparált tesztkörnyezetet és azt hiszed csak az NBH-nál van, megsúgom, hogy nem. Középvállalatoknál is gyakran van, ahol fontos a biztonság és biztos lehetsz benne, hogy egy akkora multinál mint a google tucatjával van.

A többi badarság szóra sem érdemes...

De láttam elszeparált környezetet, meg olyanról is hallottam, hogy aktív eszköz menedzsmentjébe, printszerverbe és hasonlókba telepített alkalmazásokkal kémkedtek, illetve a Pentagon rendszerében oroszok tanyáztak hosszú hónapokig. Erre itt Imo, a szuper rendszergazda itthonról megoldja a problémát egy huszáros vágással: csak egy switch kell!!!!

--
trey @ gépház

Ejha, nemsemmi. Ahhoz azért már tényleg tudni kell valamit, hogy egy fizikailag szétválasztott teszt hálózatról, akár printer firmwareből, akár aktiv eszköz firmware-ből kémkedjenek az aktiv hálón. Be kell lássam, én ilyet még nem tudok, de majd okulok, igérem...

Bár én nyilván nem értek az egészhez, de mégis az a furcsa gondolat motoszkál az agyamban, hogy nem-e lehet, hogy a pentagonnál, meg a printszerver firmwarebe ágyazott támadások esetén, esetleg mégsem a szeparált teszt környezetetből jutottak át az élesbe, hanem valakinek a hibájából az éles rendszeren futtattak valamit, amit nem kellett volna?

Azt kéne felfogni, hogy a szeparált tesztkörnyezet nem old meg mindent, de pl a sokak által felvetett "a google biztos csak tesztelt ie-vel" cimű elméletet tökéletesen cáfolja, az ezzel kapcsolatos összes problémát megoldja. Ha egy megbizhatatlan 3rd party alkalmazáson tesztelnem kell valamit, amiről a hülye is tudja, hogy lyukas mint az ementáli, akkor azt én biztos, hogy teszt környezetben futtatom és nem az éles hálózaton. És igen, csak egy switch kell hozzá, jóreggelt! :))

"Ha egy megbizhatatlan 3rd party alkalmazáson tesztelnem kell valamit, amiről a hülye is tudja, hogy lyukas mint az ementáli, akkor azt én biztos, hogy teszt környezetben futtatom és nem az éles hálózaton."

Ez lenne az IE termékcsalád, jól értem? Ahahahahaah.

--
trey @ gépház

ha ez neked valami komoly bizsergést okoz, akkor legyen az egész ie termékcsalád... :)))
Tudod, hogy mit használok, nem ie...

>> Ennélfogva, akkor sem nem lehet őket hibáztatni, ha azt használják.

így van.
és ők sem hibáztathatnak senki mást magukon kívül, hogy kikerült a Szellemi Tulajdonuk, mert ehhez nem volt elég önmagában hogy "szar" az ie, "szar" az adobe reader, és "szar" a jami.egze

Hát én nem tudom mennyire hibáztatható egy cég például egy 3rd party vendor termékében levő ___0day___ sebezhetőség miatt. Ez nem ritka sem az Adobe termékekben, sem a Microsoft termékekben, illetve a Microsoft protokoll implementációkban sem. Sőt vannak rendszeren visszatérők is.

Lehet, hogy a Google-nél is hibáztak, miért ne tehették volna. Emberek dolgoznak ott is. De hogy egy vendor csak havonta patchel, vagy megengedheti magának, hogy ismert hibák hónapokon keresztül javítás nélkül vannak, az is egyfajta gáz. Illetve megengedheti magának, hogy egy szupportált OS-ben levő, általa szállított összetevő remote system access-t biztosíthat, de nem javítja, hanem bejelenti, hogy az userek töltsék le az Adobe-tól a javítást. Ezt mégis hogy? Minden user Microsoft bulletin-eket olvas? Vagy mi?

--
trey @ gépház

Hát, akkor mese nincs, nem a csúnyarossz Microsoft és Adobe silány minőségű termékét kell használni, hanem a manyeyeballs által auditált saját ChromeOS operációs rendszerüket, a saját Chrome böngészőjükkel, azokban biztos nem lesz 0day... :P

Én nem mondtam, hogy nem lehet benne 0day, csak azt, hogy ne hogy már az __fizető__ ügyfélen kérjük számon a saját programunk szarját.

--
trey @ gépház

loop

Állítólag a Microsoft-nál is használhatnak az emberek Google keresőt, iPhone-t :))

--
trey @ gépház

de azokat megverik a többiek, nem? ;)

:)

á, fejront után ff tortát dobnak az arcába

"... Reavey megjegyzi, hogy a Microsoft nem látja, hogy a sebezhetőség széles körben érintené az ügyfeleket, inkább korlátozott és célzott támadások történnek az IE6 sebezhetőségét kihasználva. ..."

Aha, mert nem ez a veszélyesebb hiba...

az ms-nél most anyáznak, hogy be kell patchelniük a google-nél tartott backdoorjukat :)
*csak viccelek*

de legalább sikerült a kínai kormányra kenni az egészet ;)

:) Azert nem olyan vicces, semmi sem zarja ki, hogy a dragak egymas ellen kemkedjenek. Ezutan persze az se lenne furcsa, ha a Ford autokban olyan lehallgato lenne, ami csak a "Microsoft" szora kapcsol be, hiszen azok is kemkedhetnek az MS ellen :)

:)

Szerintem, annyi látszik, hogy nem vesszük kellően komolyan, hogy milyen szoftvereket használunk fontos adataink, és szolgáltatásaink kezelésére.

### ()__))____________)~~~ ################
#"Ha én veletek, ki ellenetek?"#1000H/UbuFb

LOL!

Mikor látja be vajon az MS, hogy az IE egy fos, és a Google-höz hasonlóan már rég el kellett volna kezdeni fejleszteni egy webkit-alapú böngészőt a nulláról?

Illetve pontosítok: belátták ők már ezt, de van ez a "szabad szoftver semmire nem jó, zárt szoftver a király" álláspontjuk, amit soha nem fognak feladni (hiszen ez a fő bevételi forrásuk).

Hisz látható, hogy a Google is IE-t használ, nem a saját webkit-alapú böngészőjét :))

mint webes cég, kb. mindenféle böngészővel tesztelnie kell

és a kínai kormány haxorainak weblapját is tesztelni kellett vele ;)

Aha és a google.com meg a gmail.com tesztelése közben nyomták fel őket és lopták el a vállalati adatokat... :)))

arra reagáltam, hogy persze, hogy használnak IE-t is

tesztkörnyezetben

De ha az internetről van szó, akkor a tesztkörnyezet az kb. a Föld nevű bolygó, nem?
Szerintem egy Google esetében nem elég a laborban tesztelni.

Egy teszt környezetnek nyugodtan lehet internet hozzáférése egy, az éles hálózattól szeparált routeren keresztül.

Nehezen tudom elhinni, hogy bárki komolyan gondolja, hogy normális, hogy egy google szintű pénzzel és infrastruktúrával rendelkező cég munkatársainak, kritikus vállalati adatokhoz hozzáférő gépen, évtizedes, lyukas ie 6-ot kelljen használnia bármihez is.

Vagy ha mégis, akkor ideje lesz jobban átgondolni a google bármelyik szolgáltatásának használatát bármire, ami fontosabb mint egy képeslap.

Hidd el, attól kezdve, hogy a két szuperhatalom kormánya benne van, sosem fogjuk megtudni, mi történt igazából. Én sem, te sem, mindez csak találgatás.

Még csak annyit áruljatok el, hogy ebből a hírből Jason, Hunger meg Imo hogy a bánatba vonta le azt a konklúziót, hogy a Google IE-t használ? A cikkben lévő linkeken csak annyi van, hogy IE6-ot használtak vektornak (ami nem tudom egész pontosan, hogy mit jelent), de az sehol se szerepel, hogy az az IE6 vajon a google gépein futott, vagy az emberjogi aktivisták gépein, akiknek feltörték az accountjait, esetleg a hekkerek gépein, ahonnan végrehajtották a feltörést (:-)).
Persze a cikkből az se következik, hogy a google egyes vagy akár összes gépein _nem_ fut az IE6, vagy más IE változat. Egyszerűen a cikkben és a benne lévő linkekes _semmilyen_ erre vonatkozó utalás nincs. Szerintem. De javítsatok ki, ha tévedek.
Csaba

ha elmondod, úgy nagy vonalakban, hogy a gmail end userek gépeinek feltörésével hogyan lehet google vállalati titkokat megszerezni, esetleg sikerül a fetrengős röhögésen kivül bármilyen összefüggésbe hozni gmail end userek jelszavának megszerzését a google kivonulásával a világ legnagyobb internetes piacáról, akkor én isten bizony átgondolom ezt az egészet :)))

Macika, azért ugye érzed, hogy amit ide rángatózol, az tökéletesen irreleváns a feltett kérdés szempontjából? Ha nem, akkor sajnos nem tudunk segíteni....
Csaba

OMG :))))

:-) A vidámság fontos dolog. Te rajtam röhögsz, én meg rajtad. Így mindenki csak jól járt.
Csaba

Jó, de a kérdés nem ez volt. Annyit tudunk, hogy valahogy bejutottak a belső hálóra, IE6 sebezhetőséget kihasználva. Ebből ti levontátok az a következtetést, hogy a krekkelt IE6 a google belső hálóján futott, holott ez se a hírben nem szerepel (szerintem), se logikailag nem következik a közzétett információkból (szerintem). A kérdésem arra vonatkozott, hogy mutassatok rá arra, hogy a hírekben közölt információkból hogyan lehet következtetni arra, hogy a krekkelt IE6 a google belső gépein futott. Szerintem sehogy, szerintetek meg valahogy, de nem vagytok hajlandóak elárulni, hogy miért. Akkor?
Csaba

ja, a másik cikkben az volt, hogy

"Emellett a vizsgálat során fény derült arra is, hogy illetéktelenek egy rakás olyan Gmail fiókhoz férnek hozzá rendszeresen, amelyeknek amerikai, európai, kínai tulajdonosai az emberi jogokat hirdetik Kínában. Ezen fiókokhoz nem a Google infrastruktúrájának gyengeségeit, biztonsági hibáit kihasználva férnek hozzá, hanem valószínűbb, hogy adathalász eszközöket és malware-eket felhasználva."

krekkel ie6 -ot hasznalva jutottak be

ez egy szakkifejezes 'x-et hasznalva' ami azt jelenti, hogy a bejutas lenyeges resze pont ez a hasznalat volt. Pl a 'dzsippel jutottak be a pancelterembe' azt jelenti, hogy a dzsipp attorte a falat, nem azt, hogy odaig azzal mentek es utana mondjuk kiflexeltek.
Igy aztan a 'krekkelt ie6-tal jutottak be' az azt jelenti, hogy ez (a krekkelt ie6) volt a biztonsagi hiany.

Ha a google halozatan kivul van egy biztonsagi hianyossag, az a googlet nem erinti. Ezekbol kovetkezik, hogy legalabb 1 ie6 volt a google halozatan valahol, olyan szinten, ami 'beljebb' van az internettol. Ami azt is jelenti, hogy legalabb 1 google alkalmazott legalabb 1 google gepen legalabb 1-szer hasznalt egy ie6 -ot.

Ilyen alapon azt is betipelhetjuk, hogy IE6-os gepkbol allo botnet intezte a tamadast.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

na mar csak ez hianyzott, muhahaha.

ugy latszik sokan nincsenek tisztaban azzal, hogy mi a halal az a tamadasi vektor egy celhalozaton. google biztos segit. ;-)

Valóban nem tudom, mi az a támadási vektor, mea culpa. Nem szakterületem a számítógép biztonság.
Tavaly vagy tavalyelőtt úgy törték fel az intézeti szerverünket, hogy a cracker az egyik hallgató gépére ment be, keyloggert telepített, és ellopta a hallgató felhasználónevét és jelszavát. Bejött vele a szerverre, és mindenféle disznóságot csinált ott. Ebből bátorkodtam arra következtetni, hogy elég lehetett itt is egy megfelelő alkalmazott otthoni gépét megtörni, tehát nekem igenis életszerű, hogy az az IE6 nem belső gépen futott. De ezek szerint tévedtem, és a cikkből és a linkelt oldalakból (legalábbis a szakembereknek) egyértelműen kiderül, hogy a megtört IE6-ok a belső gépeken futottak.
Csaba