A Microsoft a hírszerző hivatalokat (is) felelőssé teszi a WannaCry helyzet kialakulásáért

A Microsoft elnöke, Brad Smith tegnap megszólalt WannaCry ügyben a cég hivatalos blogján. Mondandójának lényege egyebek mellett, hogy kiszivárgott NSA exploitok vezettek a kialakult WannaCry helyzethez. Ahhoz, hogy a "zsarolóvírus" nagyvállalatoknál okozott katasztrófahelyzetet világszerte. Smith szerint az NSA, a CIA és egyéb hírszerző szervezetek sérülékenységeket gyűjtögetnek, halmoznak fel (téééényleg? - a szerk.), ahelyett, hogy azok létezését felelősen közölnék. Ráadásul emelkedő tendenciát mutat az ezen exploitok kiszivárgását követő széleskörű károkozás. Smith oly messzire ment, hogy ezeket fizikai fegyverek eltűnéséhez hasonlította - szerinte ez olyan, mintha az amerikai hadseregtől elloptak volna néhány Tomahawk rakétát.

A blogbejegyzés itt olvasható.

Hozzászólások

Továbbá felelősek a programozást erkölcsi alapok mellőzésével oktató iskolák is! :D
Lásd az orvosoknál a hippokratészi esküt!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Mindeközben pedig esetenként honapokig nem képesek befoltozni a már bizonyított és bejelentett sérülékenységeket...

hogy a "zsarolóvírus" nagyvállalatoknál okozott katasztrófahelyzetet világszerte.

Ezért szerintem kizárólag az érintett "nagyvállalatok" felelősek.
1. Ők választották a "terméket".
2. Ezesetben már jóideje a ajvítás is elérhető.
Ha ennyi idő alatt nem sikerül befoltozni ezt a k nagy lyukat, azért csak magukat okolhatják.

szerintem.

--
zrubi.hu

"honapokig nem képesek befoltozni a már bizonyított és bejelentett sérülékenységeket"

gondolom erre írta

>> 1. Ők választották a "terméket".

Mit kellene választani, amelyre nincs az ilyen hárombetűs szervezeteknek exploitjuk? A korábbi kiszivárgásokból már jól látszott, hogy BSD-ktől a Linuxon át a Solarisokig mindenre vannak kész cuccaik...

Nyilván bármihez lehet exploit, nem is ez a lényeg.
A beidézett mondatom arra vonatkozott, hogy az MS szerint a NSA/CIA/akárki a hibás, mert felhalomzza a sérülékenységeket, ahelyett, hogy bejelentené...

De közben van/volt jópár bejelentett sérülékenység is hosszú ideig javítás nélkül.

Sérülékenységek szempontjából meg mindegy mit választanak, de ha már választottak, akkor alkalmazkodjanak a termék(ek) életciklusához, a patch managementjéhez, és avele járó rizikó faktorokhoz. Egy oprendszert nem csak megvenni kell, hanem folyamatosan üzemeltetni. Tehát az üzemeltetés felelős (természetesen az érintett döntéshozókkal együtt) az ilyen "katasztrófa" helyzetekért. Ebben a specifikus esetben pedig ez különösen igaz.

Szerintem.

--
zrubi.hu

Az persze nem téma, hogy az NSA hány éve használta büntetlenül a titkos kommunikációs csatornáit? Amit akartak, már rég megszerezték.

Ez az egész olyan, mint amikor valakinek kipakolják a házát, utána meg felszereli mindenféle biztonsági kütyüvel, hogy ne pakolják ki. Esö után köpönyeg.

Aztán majd jön a következö, amit már most aktívan használnak kémkedésre, csak még nem tudjuk.

--
robyboy

Neeem, azért kell akár utólag is jobb zárat feltenni, hogy az átlag suttyó tolvaj ne hozzád akarjon majd legközelebb bemenni. A skilles továbbra is bárhová be fog menni, ahová csak akar.

Ez viszont egy nem célzott támadás. Ez tényleg csak azokat érinti akik képtelenek voltak feltenni a javításokat.

Az hogy az NSA/KGB/CIA/stb ki tud használni egy sérülékenységet az egy dolog. Ez ellen nem sokat tehetünk.

Az viszont egészen más, ha ezt - publikálás után - bármelyik hülyegyerek is ki tudja használni. Ez ellen tehetünk. Aki nem tesz, magára vessen.

(Természetesen, ettől még minden ártó szándékú cselekedet elítélendő és megvetendő)

Szerintem.

--
zrubi.hu

Azért szerintem ebből leginkább az jön le h. nem üzemeltettél még 500+ gépes hálózatokat azoknak usereivel együtt.
Nem annyira egyszerű a frissítés sem h. csettintek egyet és kész is van, ráadásul lehetnek olyan tényezők h. amit nem kalkuláltál bele ebbe az okfejtésbe.

Persze nem flamelni akarok, de azért nagyon könnyelmű kijelentések ezek, persze van abban is igazság amit mondasz, de 2 oldala van az érmének.

Én nem vagyok rendszergazda, fogalmam sincs, hogy mivel jár 500+ gépes hálózatok üzemeltetése.

Annyit tudok, hogy szombaton jött a munkahelyem IT-jától egy email, amiben azt írták, hogy a cégnél levő Windows-ok túlnyomó része (az összes laptop és munkaállomás) 7-es és 10-es, és a javítás már korábban felkerült, így ezek nem értintettek. Mac és Linux gépek nem érintettek.
Van nagyon kevés XP, speciális felhasználásra (nem részletezték, de feltételezem pl. teszt környezetek lehetnek vagy ilyesmik) amik érintettek valószínűleg. Az ezekre kiadott javítást az IT elkezdte tesztelni és várhatóan pár nap múlva kitolják az összes gépre.
Addig is, ha az ember XP-s gépet felügyel, az emailben megadott URL-ről letöltheti és kézzel telepítheti a frissítést.

A cégnél 500-nál jóval több gép van.

Szóval úgy tűnik, azért nem lehetetlen ezt megoldani.

En az egeszsegugyben dolgozom. Nalunk minden egyes patchet alaposan tesztelni kell, mivel kulonbozo egeszsegugyi szoftverek, kulonbozoen reagalnak az egyes patchekre. Nem lehet csak hipp-hopp patchelni. Orulj neki, hogy nalatok nincs kulon ilyen gond.
______________________
Arnold Schwarzenegger movie quote of the day

Ahogy írtam, nálunk is minden patch-et alaposan tesztelnek, mielőtt kitolnák a népeknek. Most pl. éppen az XP-re kiadott javítást tesztelik erősen.

A frissítéseim nem a Microsofttól jönnek direktben, és nem mindent kapunk meg, amit az MS kirakott.

Elfogadom, hogy nálatok tovább tart a tesztelés, lehet, simán lehet, hogy több a rendszer, stb.

De mégis, mennyi idő egy új patch tesztelése? Nálunk napokig tart. Nálatok hetekig? Hónapokig?

"mivel kulonbozo egeszsegugyi szoftverek, kulonbozoen reagalnak az egyes patchekre"

Ilyen egyébként miért van? Kritikus biztonsági javítások hogy a fenébe befolyásolják egy program működését? Mi olyan funkciót használ egy egészségügyi szoftver, ami elromolhat?

Itt egy példa, amit anno mi is beszoptunk:

"We to had this issue but after following the information in https://support.microsoft.com/en-us/kb/3161949 and applying the correct registry change the issue was resolved.

After you install this security update, the following changes are applied: •NETBIOS communication outside of the local subnet is hardened. Therefore, by default, some features that depend on NETBIOS (such as SMB over NETBIOS) will not work outside the local subnet. To change this new default behavior, create the following registry entry:
SUBKEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Value Name: AllowNBToInternet
Type: Dword
Value: 1
Default value of the flag: 0"

--
robyboy

Ez történt a mostani javítással? Így érthető. De feltételezem nem minden biztonsági frissítés tör el valamilyen kompatibilitást. Azokban az esetekben továbbra is áll a kérdés. Valahol olvastam, hogy helyenként fél évvel vannak lemaradva a frissítésekkel, mert át kell mindegyiket alaposan tesztelni, kábé úgy hangzott, mint ha semmi rangsorolás vagy ilyesmi nem létezne.

Szerk, most látom, hogy azóta átírtad a kommented, ez az előző verzióra hozzászólás :)

win2k3-ra ha felrakod a mostani patchet,
akkor mehetsz a helyszinre halokartyat ujratelepiteni,
meg a Microsoft Ügyfélklienst, vagy hogy a fenebe hivjak magyarul.

Sztem az MS-nel mar nem tesztelik ezeket a hotfixeket olyan alaposan (ertsd: sehogyse:).

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Nekem ujrainditas utan borult kb. minden: dhcp, dns, active directory, stb.

Nem egyeduli a problema egyebkent: https://social.technet.microsoft.com/Forums/windowsserver/en-US/4d73bd1…

A tavoli asztalnal egyebkent valami a munkaallomas interfesz nincs telepitve hibauzenet fogadott.

Szerencsefuggo...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Hát az, hogy nem értintett az úgy igaz, hogy Maximum a terjedésben nem az. De ha adott gépen gizike megnyitja az E-Mail csatolmányt, és mondjuk nincs vírusvédelem, ami megfogná, akkor adott gépet attól még szépel leöl.

Szóval ez a peccselve van, kész vagyunk nem egészen 100%-os hozzáállás.

A következö poén az lenne pl. ha valaki Windows XP patch-nek álcázna egy trójait...

--
robyboy

Azt felejted el, hogy a _túlnyomó rész_ != _minden gép_.
Ha beleásod magad ebbe a cryptolockeres okosságba, akkor pont kiderül h. ha pont a vezérigazgató gépe fertőződött meg és pl. mindenhez hozzáfér, de az IT nem fér hozzá a gépéhez, meg amúgyis csak 2 havonta 1x jön be és akkor is a gyereke laptopjával, akkor már kész a baj.
Minden rendszer annyira biztonságos amennyire a leggyengébb pontja. És ezen a ponton tedd a szívedre a kezed és mondd h. a ti cégetekben nincs legalább egy kivétel, akinek persze lehet ilyet.
Máris nem vagytok rendben, akármennyire is úgy hangzik az IT-tól.

Szerk.: Persze tudom, minden itthoni cégnek van BYOD policy-ja, meg compliance ellenőrzés minden egyes csatlakozásnál, sőt, mindig minden a legújabb és véletlen sem üzemeltet senki sem 1000 éves szoftvert, ami miatt pl. meg kellett tartsa az XP-t.
Ezzel nem a szakmánkat akarom védeni, pusztán ezek a jelenlegi tények itthon (meg még sok helyen nyugatabbra is, csak nézzük meg h. mennyi ATM-en van még a mai napig embedded xp, azt ki foltozza?)

Ebben a thread-ben a javító patch-ek telepítésének nehézségéről van szó 500+ gépes környezetben.

Minden olyan gépen, ahol a patch kijött korábban (jól emlékszem, hogy valamikor márciusban?), ott már fent van régóta.
Van kevés, speciális célra használt XP, amikhez eddig a patch nem volt elérhető. Ezekhez most tesztelik, és várhatóan pár nap alatt kész a teszt és megy a telepítés.

Nem dolgozom a cégünk IT osztályán, nincs rálátásom ilyenekre, de csodálkoznék, ha a vezérigazgató nem céges gépet használna, vagy ha nem lenne a gépe ugyanúgy friss, mint a többi.

Tegyem hozzá, hogy a mostani hétvégén - (szonbat és vasárnap is,) - három Windows 10-es géppel is szívtam nagyon, mert a WU egyszerűen nem tudta befejezni a megkezdett frissítést, 1 nap ráment többszöri újrázásokkal, WU-adatbázis hibajavítással, stb. - Mindhárom 10 Pro, és friss telepítés volt!

Eddig WU frissítést, - ilyen időigénnyel, - csak a nem megfelelő patch-szintre hozott W7-eseknél tapasztaltam.
Már elkezdődött a W10-eseknél is. (Konkrétan, nálam a KB4019472 okozott súlyos "telepíthetetlenséget".)

> Get-WindowsUpdateLog
1601. 01. 01 01:00:00.0000000 1100 1496 Unknown( 119): GUID=44e91a30-0234-37f0-d2f9-777240b02428 (No Format Information found).
1601. 01. 01 01:00:00.0000000 1100 1496 Unknown( 123): GUID=44e91a30-0234-37f0-d2f9-777240b02428 (No Format Information found).
1601. 01. 01 01:00:00.0000000 3968 6448 Unknown( 12): GUID=eb73583d-5481-33b4-202d-9bb270eddffa (No Format Information found).

> [environment]::OSVersion.Version

Major Minor Build Revision
----- ----- ----- --------
10 0 14393 0

És mi van az Eseménynaplóban, na mi?
"A Windows Update nem tudott letölteni egy frissítést." (EventID: 31)

Informatív. :D

Hát izé... valóban nem 500+, inkább 5000+ az amit jelenleg üzemeltetünk.
De tényleg nem én csinálom a kis kezemmel... És a usereket sem nekem kell pátyolgatni.
Viszont igen közelről látom/tapasztalom amit és ahogy csinálnak.
És attól hogy egyik mamutcégnek sem sikerül, attól még lehetne ám ezt jól is csinálni. De minimum jobban ;)

És nyilván látom az "érem" másik oldalát is. Ilyenkor mondjuk legalább már az a bizonyos másik oldal is érti, hogy eddig miről pofáztam :)

--
zrubi.hu

Fegyverek ellen fegyverekkel szoktak védekezni, és nem fehér zászlóval.

--
robyboy

Lehet naivat kerdezek, de miert tudott igy terjedni ez a malware? A Wikipedia szerint ket modszert hasznal: email melleklet (nincs kozponti virusellenorzes a cegnel?) illetve egy SMB exploit (minek engedni az SMB kommunikaciot ket Windows desktop gep kozott?)

Őszintén szólva nem értem azokat a cégeket, akik 2017-ben még mindig használnak SMB shareket.. Azon kívül, hogy legacy appoknak kellhet illetve domainből könnyű konfigurálni, van értelmes ok a használatára? Annyi webes dokumentum menedzsment rendszer, WIKI, cloud storage, stb. van, ami nem egy régi, sebezhető, zárt forráskódú implementációra épül, de legalábbis egy központi helyen van, ahol könnyebb védeni, a desktop gépek (akár BYOD) pedig csak egy standard böngészővel érik el.

Sokkal több a spéci fájl mint gondolnád, nem véletlen, hogy az kórházak közül sokan érintettek. Konkrétan simán használnak dosbólt portolt programot (!) aminek lenne sokkal újabb verziója, ami támogat rendes wines guit, de nem váltanak, mert az öreg orvosok (~vezető, mert ott így megy) azt szeretik. (Sajnos múlt éven sokszor jártam egy magyar kórházba és egy jófej fiatal orvos volt, rákérdeztem már mi a francért gépelik text módban a beteg kartont).
De pl. szüleim földmérők és az ő szoftvereik fájlait se lehet csak úgy weben tárolni még, de szerintem ez sok speciális (nem office, vagy program kód) fájlra igaz lehet.

Ok, és hol a bizonyíték, hogy ipari titkaikat pakolják oda?
Mert lehet ám, hogy csak kommersz, lokal storage zabáló felesleges szarokat.

Láttam komoly Cloud-os ipari céges prezit, ott le volt írva, hogy secret cuccok nem kerülhetnek cloud-ba.
Intern mehet. Szóval az, hogy van egy cégnek cloud-os felhasználása, nem jelenti azt, hogy MINDENT ott tárolnak.

--
robyboy

Beleolvasol néhányba, és ott le van írva, hogy ki mire használja a cloudot. :)

Azt nem sikerül megértenie itt néhány embernek, hogy léteznek törvények, léteznek felek közti szerződések, stb. Miért bízol meg kevésbé a Microsoftban, mint a Renszergazda Munkaerőkölcsönző Bt.-ben? Miért bízol meg kevésbé a Microsoftban, mint egy konkrét személyben, akit munkavállalóként kevesebb jogi és technikai akadály tart vissza a károkozástól, mint egy cloud szolgáltatót?

Az a cég, aki telemetriát küld magának a felhasználói gépekről ne jöjjön nekem a felhővel, adatbiztonsággal stb... az, hogy pár idiótát meggyőztek, az nem bizonyít semmit. Van a világnak egy olyan szeglete, ahol nem játszanak a biztonsággal, és pont ezek nincsenek a kirakatban, vajon miért?

--
robyboy

"Ipari titkokat nem teszünk cloud-ba. Ennyi."

Néhány szempont a szálhoz:
-valóban, minden cég szíve-joga meghatározni, hogy az egyes adatosztályozási kategóriába eső adatok hol, hogyan tárolhatók vagy továbbíthatók.
-cloud != public cloud
-volt szerencsém néhány céggel public cloud szolgáltatás kiértékelésében részt venni. A mellette döntők többek közt az adatvédelemmel kapcsolatos jellemzők miatt és nem azok dacára döntöttek. Ugyanis egyértelművé vált számukra, hogy amit a Microsoft nyújt e téren, azt saját környezetükben nem tudnák biztosítani drasztikus ráfordítások nélkül.

Üdv,
Marci

Nem.

De a kereslet-kinalat erosen meghatarozo tenyezoje lesz, hogy lesz-e valamire egyszeru, konnyen kezelheto cloudmentes megoldas.

Es itt egy 15 millio magyarbol allo piacot hasonlitunk egy 7 milliard emberbol 4-5 milliard piacahoz, amibol csak igen elenyeszo szazaleknak vannak a magyarokehoz hasonlo (de hozzateszem teljesen egeszseges) bizalmi es adatvedelmi aggalyai

> Őszintén szólva nem értem azokat a cégeket,
> akik 2017-ben még mindig használnak SMB shareket..

Akkor erre az alábbi egyszerű problémára, hogyan nyújtasz megoldást?:

Minden gépen a rajta lévő adatokat egy központi helyre mentse.

A legkézenfekvőbb és legegyszerűbb megoldás, hogy mindenkinek van egy H: meghajtója, ami mindenkinek a saját home-ja egy hálón lévő SMB share-en.
Oda ment mindent, a gépe kvázi bármikor újrahúzható adatvesztés nélkül.

Azt nem tartom jobb megoldásnak, hogyha mindenkinek lenne egy saját dropboxa, és azon belül mentene mindent. És ez szinkronizálgatna a "felhőbe".
Persze lehet, hogy én vagyok a maradi.

De aki elolvasta már egy-egy ilyen szolgáltatás EULA-ját,
az tudomásul veszi, hogy nem tehet rá minden, a cégnél előforduló adatot, fájlt.

Vagy te tudsz egy mostani best practice-t, amit el is lehet olvasni?
Linket átdobhatnád.
Engem egy olyan 100-150TB-nyi megoldás érdekelne.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Jó, engem meggyőztél. 120USD/felhasználó/év az nem is sok, egy szorzóval több, mint a jelenlegi megoldás, dehát miért ne.

A cégnél lévő linuxos gépeket is menteném erre a onedrive for business-re.
Van 20 linuxos gép (virtuális, fizikai), a rajta lévő adatokat menteném a felhőre. Tudsz egy linket dobni, ahol a klienst le lehet tölteni, és supported?

Ha jól számolgatom, akkor a 100TB-hoz kell 20 accountot venni, egy kicsit szervezni, hogy sehol ne lógjak ki az 5TB-ból, talán érdemes lenne 20%-kal többet venni, az 24 account.

Ez 5 évre (általában 5 évre számolok, esetleg 10), akkor 5*12*24*10, 14400 USD,
ami kb. 4 millió forint. Vajon garantálható, hogy az 5TB megmarad, valamint az ár se fog változni évről évre?
A saját megoldás olyan 2 MFt-ból jön ki, plusz üzemeltetés. De a onedrive for business-szel is lesz meló frissítésről frissítésre.

Olyan marketing szaga van.

Mindegy linuxos backupnak kipróbálnám. Egy linket dobsz?

Már csak kellene egy Gbites uplink/downlink... Ami megoldhatatlan sajna.

Mondjuk látom, hogy az ilyen ransomware-ekre ez a microsoft megoldása (ms felhős tárolás), és még jól is jár. Ha rosszmájú lennék, ... de nem vagyok az.

Szerk: Olvasgatom a microsoftos leírásokat:

De ez túlmutat rajtam. Erre kellene egy hét, árajánlatot bekérni, kellene találni ténylegesen egy esettanulmányt, hogy valaki a céges központi tárhelyét kitette a onedrive-ra. A leírásokban röpködnek a GB-ok, TB ígéretek, nincs összhang.

De technikailag egy dropbox klienst látok meg egy weboldalt office integrációval. Az nem egészen központi storage a felhőben.
A linuxos kliens is eléggé érdekes:
https://github.com/skilion/onedrive/blob/master/src/onedrive.d

Én egyelőre itt marketinget látok és unsupported utakat. Majd 5 év múlva visszatérek erre. A jelenlegi megoldás végülis működik, 5 évig lazán elketyeg.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Másrészről viszont van egy hatalmas piaci rés a kisvállalatoknál, akik egy rendszergazdát nem tudnak fenntartani, viszont kellően kis létszámúak ahhoz, hogy megérje egy ilyen online storage-ba belevágniuk.

A szenzitív adat a felhőben, meg igazából egy generációváltás a cégvezetők körében, és már nem is lesz központi kérdés. Kb. úgy, ahogy ismerősi körben magyarázni kell, hogy FB-ra ne posztolják a nyaralási képeket, csak miután hazajöttek.
És nem értik, hogy miért, meg a betörők úgyse olvasnak FB-ot...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Válasz ide:
https://hup.hu/cikkek/20170515/a_microsoft_a_hirszerzo_hivatalokat_is_f…

Nem dolgoztál még multinál, nem érted, hogy miért használnak storage-ot. De hidd el, használnak. Ès van indoka is, hogy miért.
EMC, Netapp, Cisco, stb... csupa szar cég, akik storage-okat fejlesztenek, mert van rá igény. Ja, persze nem Garázs Bt.-knek annyi szent.

A Cloud meg kb. csak arra jó, hogy a szemét adatokat pakolják oda, amiknek az elvesztése senkit sem zavar.
Ès a Share-eknek mindig is volt, van és lesz jelentöségük. Nem az a probléma, hogy a cégek share-eket használnak. A probléma ott kezdödik, ha sebezhetö egy rendszer. Ennyi.

--
robyboy

A Mikorfosott csak ne tegyen felelőssé senkit, szar, szemét, képmutató banda. Kezdjen a saját háza táján söprögetni, kezdve azzal, hogy megcsinálja, hogy 2 darab aznapi frissítést (egyik a Flashplayer) ne 1 órán át (!) keressen és telepítsen a legális Win10 x64 Pro egy 3rd gen i5 procis 8GB RAM-os gépre, amiben igaz, hogy még egyelőre laptop HDD van, de azért nem annyira lassú. Ennyi idő alatt egy komplett Linux rendszer felfrissül 2-3-szor, frissítve az összes fentlévő csomagot. Plusz eleve minden boot után vagy 10 percig tekeri a HDD-t és a procit, a Windows Modules Installer Worker meg valami másik Service Host: Local System (Network Restricted) kezdetű nyomorékság (egyszerűbb nevén svchost), akkor is, ha semmilyen frissítés nem volt előtte, meg új frissítést sem talált.

A másik, hogy csak most láttam, hogy a Creators Update (1703) nincs fent a gépen, csak az Anniversary (1607). Utánaolvasva kiderült, hogy már kijött április 11-én, de a gépem nem fért bele az első terjesztési hullámba, mert nem tartják elég jónak, majd szeptemberben várhatnám. Ja, frissítsen a user, kivéve, ha eldöntik helyette, hogy nem méltó még rá. Még szerencse, hogy kézzel is lehet update-elni, igaz utána kell olvasni, meg kell látogatni ezt az oldalt, és itt lehet az Update Now-ra kattintva elindítani a folyamatot:
https://www.microsoft.com/en-us/software-download/windows10

Az egészben meg az a legmorbidabb, hogy a Creators Updater meg jól lecseszett az első párbeszédablakban, hogy nem a legbiztonságosabb Win10 verziót használom, a 14393-at közben meg a 15063-as build a legbiztonságosabb. Persze b+, mert nem terjesztitek felém a Windows Update-en! Közben meg a WU hazudozik, hogy nincs újabb frissítés, a legfrissebb a 1607-es verzió, mikor van frissebb.

és? igaza van a microsoftnak, ez nem bloat.

>3rd gen i5 procis 8GB RAM

nem igaz hogy ilyen ósdi szarokkal vadítotok az egyetemen [CURRENT YEAR]-ben, ennyi erővel Win95-öt is használhatnál 386-on LOL, OMFI

el kell fogadni hogy a win10 már nem megy az ilyen özönvíz előtti őskövületeken!

olyan ez mint trabanttal autópályán menni

benzin nélkül

Ja, valóban nem bloat :D Tudom, 4 éves gép, ki kéne dobni, hajbi hagy örüljön. SSD azért lesz bele, de még nem döntöttem el milyen. Valószínű 256 gigás Intel 535, de mindig találok valamit, ami megingat, már majdnem megrendeltem egy Samsung 850 Prot is, de Linux alatt queued TRIM (discard mount) nem megy vele, csak az fstrim.

Felment végül a Norbi Update, a hajam kihullott, vagy 3-4 órán át tartott, közben vagy 5× újraindult. Legalább a rendszert nem cseszte szét, csak a fastbootot kapcsolta vissza. Hú de nagy különbségeket eddig nem látok az AnyWorse-ary Update-hez képest, pedig beígérték, hogy a világot váltja meg. Az utolsó dialogban viszont kaptam Satnyáéktól vállveregetést, amiért olyan rendes voltam, hogy a legújabb főverzióra frissítettem.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988 @ Prohardver Fórum

Nem tudom ki ő. Valaki a MS-tól? Ráadásul ez a Win10 csak egy tesztrendszer, fent van 4 kisebb játék, Total és Double Commander, mpv, Netflix Store app, Firefox, egy portable eMule és kész, lényegében szűz rendszer, nincs is belakva, nem volt gányolva, agyontelepítgetve, vírusozva, egyáltalán használva is alig van. Ilyenkor áldom az eget, hogy még évekkel ezelőtt átálltam Linuxra, néhány hónappal ezelőttig Windows sem volt a gépemen. Így is idegtépő, pedig hétvégenként max. egyszer használom, ha ezt napi szinten kéne elviselni, kínomban kivágnám a gépet a csukott ablakon. SSD az lesz, mert a Linux is meghálálja, de azért durva, hogy anélkül a Win10 ilyen használhatatlan. Így is a szerencsések között vagyok, hogy bugjába nem futottam bele, mások minden frissítés után panaszkodnak újabb bugokra és driverproblémákra.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988 @ Prohardver Fórum

Gépfüggő a dolog, meg driver-függő. Nálunk egy VivoPC-n (Celeron 1007U) szépen futkos a Win10, mezei HDD-vel. Igaz, az eszközkezelőben egy csomó -felismert- drivert lehetett -érdemes volt- frissíteni manuálisan, utána fényévekkel gyorsabb lett a rendszer. Jellemzően a "rendszer" szekcióban a PCI-bus-okat, meg memóriavezérlőt, stb... ilyeneket.

--
robyboy

Vissza kanyarodva a cikkhez a M$-nak igaza van, hogy szemétség volt a hírszerzéstől a sebezhetőségi infót maguknak megtartani, de ez sose fog változni. Ebből élnek.

Egyre több sebezhetőséget találnak mostanában, amióta sláger ez a RansomW. támadás. Valakinek megint megéri.

Miért nem tud az MS egy letisztult sallangmentes vállalati Windows Operációs rendszert tervezni? Ami nincs tele mindenféle szir - szarral. Használhatatlan ócska funkciók tömkelege. Brutálisan lassú és sok hibával járó frissítési procedúra. Az egész Windows magában hordozza a hasonló támadások lehetőségének a tömkelegét. Most is ezeket az idióta kockákat még a szerverekbe is benyomták könyörgöm oda minek? Ha az MS ember lenne azt hinném hogy egy identitás és hormonzavaros lény aki azt se tudja fiú vagy lány eszik vagy isszák. Most is azzal cseszem el az időmet, hogy keresem azokat a gépeket amik nem védettek és foltozom őket. Fuck you MS!!

--
honlapom http://dyra.eu/

Látott már valaki minta E-Mail-t, hogy hogyan is néz ki az, amikor valaki megkapja a Wannacry-t?
Nekem úgy tűnik, mintha ez a rész most hiányozna... felettébb gyanús, vagy csak lemaradtam valamiről?

--
robyboy

Erről azért nem írnak, mert kevésbé releváns, mint a többi ransomware esetében. A WannaCry-nak pont az adja a specialitását, hogy nem kell hozzá e-mailt megnyitni, elég ha van a hálózaton fertőzött gép, onnan a fertőzés féregként továbbterjed a többi nem foltozott gépre is, SMBv1 protokoll biztonsági hibáját kihasználva. Még tényleges megosztás sem kell hozzá, elég az, ha az SMBv1 engedélyezve van, vagyis hogy nincs letiltva.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988 @ Prohardver Fórum

végtelenféleképpen, pl:
- netre néző 445 port,
- hazavitt, megfertőződött, majd a cégbe visszahozott gépről,
- cicás képernyővédővel,
- egyéb varezzal,
- böngésző hibával,
- tudatlan - bármire kattintgató - felhasználóval
- kivételként kezelt "főnök gépével"
- vagy tulajdonképpen bárhogy, mert ez irreleváns.

--
zrubi.hu

Nem éppen irreveláns, mert ebben a helyzetben kb. nem lehet konkrétan felkészíteni a felhasználókat arra, hogy mire kattinthatnak, illetve mire nem. A klasszikus vírusfertözések esetén adottak voltak pl. Screenshot-ok, hogy hahó, ha ezt kapod, töröld egyböl.

A legszebb meg az, hogy nem csinálsz semmit, és egyszer csak fertözött lettél. Erre jó igen a patch, meg a vírusvédelem aktualizálás, 445-ös port letiltása és a többi.

De az elsö pont éppenhogy a legkritikusabb, mert ott tartunk, hogy gyakorlatilag bármikor szétcseszhetik a géped úgy, hogy kvázi nem is tehetsz róla. Ilyen volt a múltkori Microsoft Defender-es szörnyüség is, amikor pont a vírusvédelem okozhatott preparált fájl vizsgálatakor problemát.

Fejlödik a Dark Internet :)

--
robyboy

Ha valaki nagyon is felelős a jelenlegi helyzetért, az a Microsoft, ugyanis magára hagyott 400 millió embert (ennyien használtak XP-t a támogatás kivezetésekor 2014 áprilisában). Ma ez a létszám még mindig 100 millió ember. A Microsoft az extraprofitja érdekében nem hajlandó a saját hibáit sem kijavítani, azaz alapesetben nem szállít már biztonsági frissítéseket a régi rendszerekhez. Pedig ez az egész mizéria az NHS-nél megelőzhető lett volna, ha márciusban az XP-s és a Windows 2003 Server-es gépek is tudnak frissülni.

Képzeljük el azt, hogy egy maffia befoglalja a házunkat és kizár belőle. Ha fizetünk nekik 1 000 000 Ft-ot, akkor visszaengednek. Egy hét van fizetni. Ha mégse kapják meg a lóvét, felgyújtják a házat és minden, benne lévő érték megsemmisül. Amint belépnek a házba, a bent lévő háztartási eszközökből lombik bébi labort csinálnak, egy speciális, gyorsított eljárással leklónozzák magukat, majd a klónbanda tovább megy, egy másik házat befoglalni.

Vannak házak, amelyekben gazdagabb emberek laknak és van rajtuk biztonsági ajtó, kamerarendszer stb. Oda esélyük nincs bejutni. Ugyanakkor van több százezer olyan háztartás, amelyekbe simán bejutnak, mert az ajtók is gyengék, a zárak is régiek, ez pedig a klónbandáknak nem okoz különösebb nehézséget.

Mind az elavultabb, mind az újabb, biztonsági ajtós és kamerarendszerrel felszerelt házakat ugyanaz a nagyvállalat építette. Ez a nagyvállalat azonban már nem vállal garanciát a régi házakra. Bár a régi házakban lakók nem tehetik meg, hogy új házat építsenek, a nagyvállalat mossa kezeit, hogy ők előre megmondták, hogy nem fogják tovább ingyen kijavítani a régi házak konstrukciós/biztonsági hibáit, mert ez már nem éri meg nekik.

Tehát a klónbandák csak szaporodnak és szaporodnak, a közbiztonság meg egyre romlik és romlik. Egy ilyen esetben egy normális helyen rögtön a hadsereget vetnék be és azonnal köteleznék nagyvállalatékat a korrekcióra, nem pedig azokra mutogatnának, akik nem tehetik meg, hogy új házat építenek.

Én úgy fogalmaznám meg a dolgot, hogy rohadtul nem volt a világnak szüksége a Windows XP után Vista-ra, 7-re, 10-re sem. Inkább fejlesztették volna az XP-t tovább, főleg biztonság terén. Akkor most nem kellene egy csomó mindennek visszafelé kompatibilisnek lennie, csak azért, hogy a legújabb rendszerek is simán támadhatók legyenek.

--
robyboy

Én nem állítom azt, hogy XP óta nem történt biztonsági továbbfejlesztés. Azonban mást jelent egy biztonsági feature megléte, illetve mást jelent egy programhibából adódó biztonsági rés. A WannaCry esetén az utóbbiról beszélünk. Egy dolog, hogy sem a Windows 7, sem a Windows 10 nem tart ott biztonsági szinten, hogy egy ilyen támadást, még programhiba esetén is, elhárítson. Ez jól mutatja azt, hogy az egyes Vistában, 7-ben, 10-ben bekerült biztonsági feature-öknek inkább több a marketing értéke, mint a valós haszna. Pláne, hogy a legtöbb bevitt dolog konkurenciáéknál (Linux, BSD) már évtizedek óta megvolt. Kíváncsi lennék, mondjuk egy grsecurity-vel erősített, normálisan össze ACL-ezett rendszeren, remote root-tal hogyan jutna be egy WannaCry, ha feltesszük, hogy az ott futó samba sebezhető. Pedig az is csak egy kernel, meg egy operációs rendszer.

S akkor jöjjön a lényeg. Lehet, hogy XP óta történtek biztonsági továbbfejlesztések, ugyanakkor nem azzal van a baj, hogy az XP-ben alapon nem működő UAC-ot hiányolná bárki. Arról van szó, hogy a Microsoft nem hajlandó a saját hibáit sem kijavítani egy, még mindig 100 millió ember által használt platformon, amit korábban ő fejlesztett és igen, a hibákat is ő "fejlesztette" bele. Ahhoz, hogy megkapjuk ezen javítások nagy részét, extra pénzért kell vásárolni új Windows-t, hozzá új gépet, hozzá új szkennert, új nyomtatót, új mindent. A Microsoft-nak kutya kötelessége lenne a programhibákból eredő biztonsági réseket befoltozni a régi, de még használt rendszereken is. Ahogy tette most a WannaCry esetében. Más kérdés, ha az XP-k tudnak frissülni márciusban, akkor jóval kevesebb gépnek kellett volna befertőződnie.

>> A WannaCry esetén az utóbbiról beszélünk. Egy dolog, hogy sem a Windows 7, sem a Windows 10 nem tart ott biztonsági szinten, hogy egy ilyen támadást, még programhiba esetén is, elhárítson. Ez jól mutatja azt, hogy az egyes Vistában, 7-ben, 10-ben bekerült biztonsági feature-öknek inkább több a marketing értéke, mint a valós haszna.

Jelenleg pont az a helyzet, hogy a WannaCry ransomware által felhasznált ETERNALBLUE exploit nem működik Windows 10 ellen. Ráadásul épp azoknak az előremutató biztonsági fejlesztéseknek köszönhetően, amelyek alapgondolata ('nem a hibákat javítgatjuk egyesével, hanem a kihasználásukat nehezítjük meg vagy lehetetlenítjük el') a grsecurity/PaX védelmekből származik.

Tehát működik a koncepció és Windows 10-el kezd beérni igazán. az MS-nél pedig heti szinten találnak ki újabb hardening megoldásokat, amelyekkel tovább nehezítik ezeknek a memóriakorrupciós hibáknak a kihasználását.

Úgyhogy pont a WannaCry és az ETERNALBLUE exploit bizonyítja leginkább, hogy ezek a biztonsági fejlesztések előremutatóak és sokat számítanak.

„Jelenleg pont az a helyzet, hogy a WannaCry ransomware által felhasznált ETERNALBLUE exploit nem működik Windows 10 ellen.”

Őőő, izé, azért adták ki Win10-re is a patcht hozzá 2017 márciusában, mert nem működött volna amúgy sem rajta. Értjük.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Rájöttem, hogy igazad van a központilag mondja meg mindenki ki mit tehet-ben.
Én például komolyan büntetném azokat, akik már nem támogatott xp-vel mennek a netre, ezzel is másokat veszélyeztetve. Tudod mint (#automatikus_vitavesztés) a kocsiknál a forgalmi hiányánál. Közveszély okozása, vagy ilyesmi. 100millio emberből lenne egy kis bevétel. :3

Hajbazer!

Alapvetően sok témában egyetértek veled, a tervezett elavulás, a szoftverek elbloatosodása, és a környezetkímélés, de ez a kényszeres "a Microsoft, ugyanis magára hagyott 400 millió embert" szövegedtől már én is hülyét kapok. Nem szeretem a Microsoft-ot, mint céget, nem tetszenek az irányelvei, utálom a vezetőit, az inkompetens fejlesztőit, a hozzáállásukat és az operációs rendszerüket, de amit írsz az egyszerűen marhaság. A 2001-2002 körül kiadott Windows XP élettartama jól láthatóan ki volt plakátolva, cikkek ezrei, hirdetések milliói szóltak arról, meddig lesz támogatva. Aki akart, összeszedett annyi pénzt addig, hogy vegyen újabb Windows-t, aki nem akart, nem vett, az így járt. A Dacia 1310-et sem viszed vissza a gyárba, garanciáról meg kötelességről szónokolva, mert tudtad mennyi garancia van rá, megvetted, ennyi.
Akinek nem volt pénze frissebb Windows-t venni, az átállhatott linux-ra, a saját anyám is Xubuntu-t használ évek óta, mert nem akart megvásárolni egy Windows 7-et.

Aki akart, tudott váltani, akár Windows-ra, akár más termékre, HA akart. Aki nem akart, az pedig tisztában volt a veszélyekkel, vagy ha nem, akkor hülye, aki megérdemli amit kap, az interneten minden információ elérhető, csak olvasni kell tudni. Aki meg nem akar, nem tud, nem érdekli, az magára vessen.

---
A Linux nem ingyenes. Meg kell fizetni a tanulópénzt.
Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!!
Mindenki jó valamire. Ha másra nem, hát elrettentő példának.

Azt elfelejtetted, hogy nem csak az XP volt érintett, hanem XP-től felfelé az összes Windows.

Másrészt még mindig csúsztatsz, azt írod, hogy aki nem váltott XP-ről, az azért nem váltott, mert nincs pénze rá. Már leírtam sokszor, hogy a Linux bloat (vagyis összességében semmivel nem bloatabb, egyes részei legfeljebb), de használható, és nincs pénzkérdés. Plusz sok XP usernek van olyan gépe, amin a Win7 is elmenne. Aztán ott vagy te, aki azt mondod, hogy nem a pénzen múlik, azért nem váltasz, mert ahhoz új gép kéne, és a környezetet akarod védeni, máskor meg azt írod, hogy azért nem váltasz, mert az XP az egyetlen, ami nem bloat. Valami nagyon nem áll össze.

A gépet rendszeres időközönként meg akkor is érdemes beújítani, ha nem jelenik meg új OS. Plusz ha az XP-t fejlesztették volna a végtelenségig, és most SP5, SP6-nál járna, meg minden funkciót implementálnak bele, amely kihasználja az újabb gépek, procik, videókártyák képességeit, akkor mára az XP SP6 is ugyanolyan bloat lenne, mint a Win7, Win10. GDI-vel ugyan, de semmivel nem lenne erőforrás-kímélőbb. Az a baj, hogy nem gondolkozol, csak egy politikai mantrát hajtogatsz.

Az egész közben nagyon egyszerű. Váltani mindenképpen kell XP-ről. Nem csak az MS támogatás lejárta és a ransomware-ek miatt, hanem sokkal inkább mert a szoftverfejlesztők sem támogatják, lásd a böngészők esete, SSL, stb.. Nem lehet megúszni a váltást, aminek két fő vonala lehet. Az egyik, ha nem akarsz bloatabb rendszert, ilyenkor csak a Linux jön szóba. A másik, ha a bloatság nem érdekel, akkor pedig a Win10 is alternatíva, a Vista nem támogatott, a Win7-nek meg ugyanott van a hardverigénye és nincs hosszú távon jövője, 3 év múlva annak is lejár a támogatása. Esetleg MacOS, de ahhoz Mac kell, vagy olyan inteles PC, aminek a hardvere kifejezetten MacOS-hez van véve. A gépparkodat, valószínűsíthető anyagi helyzetedet, szoftverbeli igényeidet ismerve a Linux lenne a legjobb választás, akkor nem kéne kidobnod a meglévő gépeid, csak az elveidet kéne feladnod. Igazából a Linux még a politikai nézeteidnek is megfelelne, mert azzal támogatnád legkevésbé a szoftvermultikat, meg a kínai rabszolgagyárakat (amelyek valójában már nem léteznek, de legyen), és Wine alatt akár az MS Office 2003-at és a Total Commandert sem kéne feladnod, és nem csak a ransomware-ektől vagy védve, hanem az összes kártevőtől, ráadásul nem vagy kiszolgáltatva a MS döntéseinek sem. Sőt, a Linux mellett szólna, hogy kinyithatná a informatikai szemléleted, és észrevennéd, hogy van élet a Windowson túl, mindig is volt, mindig is lesz, nem is akármilyen, nem vagy az MS termékeinek a használatára kényszerítve.

Tőlem fetrenghetsz rajta még pár kört, de előbb-utóbb nem úszod meg, hogy belásd a tényeket, és feladd ezeket a kitekert elveidet. Igazából te nem az MS szorításában vagy, hanem a saját téveszméid csapdájában.

Szerk.: pénzkérdéshez egy kis adalék. Úgy néz ki sikerül lecsapnom két várossal odébb egy Lenovo x220-ra (2. gen. i5 + 4 giga RAM), 37 ezer forintnak megfelelő Erzsébet utalványért. Ez éves szinten napi kb. 104 forint, már pedig egy ilyen gép nem csak egy évig használható, hanem 2-3 évig legalább, akkor kb. napi vécépapír árában van, ahogy írták neked egy másik topikban. Ennyit akárki rá tud szánni, persze ki kell fogni ennyiért, nézelődni kell. Nem nagy szám gép, meg a 12 colos, alacsonyabb felbontású kijelző miatt második gépnek való (netbook-pótléknak használom majd), de még évekig elmegy rajta minden (majd azért bővíteni fogom, amivel lehet olcsón), akármelyik OS-t viszi, BSD-től/Linuxtól kezdve a Win10-en át a MacOS-ig. Ezért a pénzért max. olcsó androidos tabletet ha kapsz, esetleg egy belépő szintű okostelefont.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988 @ Prohardver Fórum

Nem felejtem el, hogy nem csak az XP volt érintett, ugyanakkor más, a ransomware által ki nem használt sebezhetőségekre az XP már nem kap frissítést.

400 millió ember használta a Windows XP-t, amikor a Microsoft kihúzta a lábuk alól a talajt. Ekkor 300 millió ember váltott át magasabb verziójú Windows-ra, vagy a Linuxodra. Tehát nagyjából az érintett felhasználók háromnegyede, ami elég erős, döntő többségnek tekinthető. Aki megtehette az upgrade-elgetést, a Linuxozgatást, az megtette az elmúlt három évben. Nem gondolom, hogy csúsztatás azt kijelenteni, hogy aki eddig nem frissített, annak jó oka volt nem frissíteni. Hogy ez az ok a nyomtatóval, a szkennerrel, a hardverrel, vagy a ragaszkodással kapcsolatos, teljesen mindegy. Van igény a Windows XP rendszerek futtatására, jelenleg háromszor nagyobb igény van rá, mint a Linuxod desktop célú használatára (2% vs 7%).

OpenSSL még elég sokáig támogatva lesz Windows XP-re is, sőt, még Windows 98-on is futnak a régi binárisok, ha megfelelő compilerrel forgatod őket. Nem érv az, hogy szoftverfejlesztőék szarnak a kompítbilitásra, mert mindenféle hipster csili bloat framework-ökben akarnak fejleszteni. Erről viszont már hadd ne azok tehessenek, akik nem upgrade-eltek. Ettől függetlenül, vannak (és lehetnének) natív alkalmazások, amiket C-ben vagy C++-ban írnak és csak minimálisan használják a WinAPI-t, tehát futnak Windows 95-ön is vagy Windows 3.11-en Win32s-sel. Elszántság kérdése.

A nagyvállalat akkor hozta ki a patch-et, amikor már késő volt. A hiba márciusban javult, de az XP-s gépek akkor még nem kaptak javítást. Csak most, mikor már megtörtént a baj. Köszönjük meg szépen nagyvállalatéknak, hogy legalább a tűzoltásban besegítettek. Ámde a kötelességüket nem teljesítették.

Picit olyan ez a fizetős supporttal való dobálózás, mintha a rendőrséget nyugdíjaznád, minden falu oldja meg maga a közbiztonságot, aztán meg azokra mutogatnál az elszabaduló bűnözés miatt, akik nem fizetnek maguknak őrző-védő céget. Még mindig rohadtul nem értitek az alapproblémát.

Tényleg nem értjük.
Megvettél valamit amire nem volt ráírva, hogy "garancia Jézus visszajöveteléig" sőt, inkább az, hogy minőséget megőrzi 2014. És tényleg szétrohadt pár éven belül. Minek vetted meg, ha tudtad, hogy ez lesz?
Az hogy azt gondolod, vagy azt hitted az egy dolog. Tudni kellett volna.

Annyiban igaza van, hogy amikor egy cég monopol helyzetben van és globálisan ennyire elterjedt akkor az már kicsit túl mutat azon, hogy mondjuk egy sajtnak lejárt a szavatossági ideje. Itt már azért nemzetek biztonságát érintő dolgokról van szó nem arról hogy joska pista fosni fog egy napig mert romlott tejet ivott, hanem hogy ezen rendszerek biztonsági réseit kihasználva komoly galibákat tudnak okozni bűnűzők vagy titkosszolgálatok. Egy ilyen OS-t egyszerűen nem lehet elengedni más módon kell a váltásra "kényszeríteni" a usereket.

--
honlapom http://dyra.eu/

Viszonylag egyszerű pedig ez a magyarázat.

a) Itt ez a termék, X ideig vállaljuk, hogy kapni fogja a támogatást.
b) Itt ez a másik termék, a community a belátható jövőben best effort alapon támogatni fogja.

Félreértés ne essék, a kereskedelmi Linuxok masszívan (a) kategóriásak.

btw, semennyire nem meggyőző :) Ahol rendes support kell ott rendes support kell. És az ilyen helyeken többnyire már régen rossz az, ha neked kell széthekkelni a rendszert ahhoz, hogy egy XY helyzetet megoldj.

Ahogy Redhat, Novell, Oracle esetében van rendes support, úgy Ubuntu téren nem tudom mi a helyzet. LTS LTS rendben, de csak a communityre vagy bízva. Míg egy Redhat / Novellnél amennyiben van aktív subscriptionod, akkor bizony egy adott problémával személyesen fognak veled foglalkozni és nem az lesz, hogy esetleg bekerül valamelyik XY distro bugreportjába és ott ül X hónapig. Novell esetén ezt sikerült megtapasztalni. BUG XY rendszernél, reportok összeszedése, support, kontakt, levelezés, ~1 hét és küldtek a patchet. Tádám. Megjavult. Bár tény, nem kevés pénzbe kerül egy ilyen fajta support :) Elképzelném én ezt egy besteffort community verzióban meddig tartott volna ... :/ (Ráadásul elég speciális problem volt, bizonyos feltételek mellett + a csillagok együttállása kellett hozzá, hogy előjöjjön a bug)

Az hogy mellette vagy ellene volt az egy jó kérdés :)

ps.: btw ahogy a Microsoft termékekhez is van EOL, meglepetés, van az a Linux Distrokhoz is. :)

Tudtommal van az a pénz amiért a Red Hat pl. foltozgatja még neked az EOL disztrót egy ideig. És ha már ők se hajlandóak de te mégsem nem tudsz átállni akkor még mindig elérhető a forrás és fizethetsz valakinek, hogy backport-olja a security fix-eket vagy hibákat javítson. Windows esetén ez az utolsó lehetőség nem áll fent.
--
:wq

Igen EOL után is van az a pénz amiért foltozgat. Ez tény. És valóban, RH esetén fennáll az a történet, hogy ha mégsem akar a Redhat veled (vagy novell, vagy oracle, stb) foglalkozni, akkor még mindig ott van, hogy te oldod meg (vagy más team) a problémát.

Windows esetén ez a lehetőség nincs meg. Ez tény. Kérdés, hogy hány %-ot fed le ez a fenti eset. Nekem is fut még egy két Redhat ES3-4 szerverem itt-ott, de ott még soha nem kellet redhat supporttal találkoznom :)

Nagyjából ugyanannyi hozzáértőt találsz, aki a Linux kernel CIFS kódjában megkeresi és javítani tud egy felmerült biztonsági hibát, mint amennyi a Windows megfelelő alrendszerében fixálja akár binárisan a problémát...

Utóbbi esetben konkrétan lehet tudni, hogy az Eternalblue exploit az srv.sys SrvOs2FeaListSizeToNt() függvényében rosszul kalkulált buffer mérete miatt az SrvOs2FeaToNt() memmove műveleténél okoz túlcsordulást, amelynek köszönhetően az srvnet.sys SrvNetWskReceiveComplete() függvényében már a felülírt memóriaterületről szedett pointerrel hívja meg az _imp__IoFreeIrp kódot, így eltérítve a vezérlést.

Ha az MS nem javítaná, akkor is lehetne patchelni az érintett területet. Ez ilyen hupos dogma, hogy Windowsnál erre nincs lehetőség, mert nincs forráskód...

Igen, bevallom a lehetőség eléggé elvi, de abban megegyezhetünk, hogy forráskódban könnyebb bármit javítani mint egy binárisban.
És az is igaz, hogy habár a forrás elérhető és módosítható az emberek túlnyomó része sohase fog belenézni és még kevesebb fogja módosítani, de azért szeretem azt az érzést, hogy a lehetőség fennáll.
--
:wq

Ilyen jellegű hibáknál teljesen mindegy, hogy van forráskód van nincs. Linux esetén is a disassembly kimenetet nézi meg az ember és a regiszterek/memóriahivatkozások állását, hogy lássa mi történt a kernel oops/panic alkalmával.

De egyébként itt már megint csúsztatás van, mert én nem arra reflektáltam, hogy könyebb, vagy nehezebb, hanem hogy "Windows esetén ez a lehetőség nincs meg", amely nyilvánvalóan nem igaz.

Az egy dolog, hogy hibakeresésnél binárisokkal dolgozol, és dissasembly-t nézel de a hibákat a forráskódban javítod normálisan. Szerintem meg az csúsztatás, hogy windows esetén is megvan a lehetőség, hogy hibákat javíts saját hatáskörben. A binárisok foltozása szerintem csak vészmegoldás lehet arra az esetre ha nincs elérhető forrás és különben is tudtommal binárisokban csak triviális dolgokat lehet foltozni, nem hinném (nem tudok róla), hogy egy komolyabb hibát kézzel kijavíthatsz a gépi kódban.
--
:wq

szerinted hogy készül a hibajavítás a bináris kernel patcheléshez? forráskódban javítják, aztán majd az újrafordított kernel 1000 helyen különböző byte szekvenciáit egyesével felülirogatják? :)

próbáltál már egyáltalán kernelt fordítani? mennyire vagy távol te ettől az egésztől?

forráskódban javítják, aztán majd az újrafordított kernel 1000 helyen különböző byte szekvenciáit egyesével felülirogatják? :)

Majdnem. Forráskódban javítják és a patch-ben levő hívásokra cserélik a futó kernel módosított függvényeit.

kpatch-build: a collection of tools which convert a source diff patch to a patch module.

(kiemelés tőlem)

The primary steps in kpatch-build are:

Build the unstripped vmlinux for the kernel
Patch the source tree
Rebuild vmlinux and monitor which objects are being rebuilt. These are the "changed objects".
Recompile each changed object with -ffunction-sections -fdata-sections, resulting in the changed patched objects
Unpatch the source tree
Recompile each changed object with -ffunction-sections -fdata-sections, resulting in the changed original objects
For every changed object, use create-diff-object to do the following:
Analyze each original/patched object pair for patchability
Add .kpatch.funcs and .rela.kpatch.funcs sections to the output object. The kpatch core module uses this to determine the list of functions that need to be redirected using ftrace.
Add .kpatch.dynrelas and .rela.kpatch.dynrelas sections to the output object. This will be used to resolve references to non-included local and non-exported global symbols. These relocations will be resolved by the kpatch core module.
Generate the resulting output object containing the new and modified sections
Link all the output objects into a cumulative object
Generate the patch module

https://github.com/dynup/kpatch

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ez a rakás patchelési módszerek közül az egyik.

De már megint megy a félremaszatolás egyébként. Továbbra is várom a "Windows esetén ez a lehetőség nincs meg"
témára az bizonyítékot.

Addig meg lehet próbálkozni gondolkozni a klasszikus másolásvédett programokat törő crackerek témán. Biztos denesb szerint annál is elérhető a forráskód a crackerek számára...

A kpatch-et pont te hoztad fel, csak azért postoltam. Egyébként persze, lehet disassemblerkedni, lehet debuggert rákötni és figyelni a viselkedést, akár lehet op kódokat cserélgetni is. Néhány probléma van ezzel:
1) nem skálázódik túl jól (egy implementációs [EternalBlue] hibát még tudsz javítani, de ha tervezési hibáról van szó*, már bajban vagy - és persze non-Win rendszereken ezt minden támogatott arch-ra add elő)
2) nem túl hatékony (tök jó, megpatchelted a disassemblelt forrást, ha a forrásba nem tolod vissza, a kövi patchnél kezdheted előlről) és
3) Kőkemény jogi vonatkozásai lehetnek. Olvasd át a https://en.wikipedia.org/wiki/ReactOS#Internal_audit szakaszt, ahol ennek a jogi következményeit írogatják, külön kiemelve az USA vonatkozó követelményeit.

A crackeknél ugye a harmadik kiesik, mert nem foglalkoznak vele. Viszont a crack készítője és minden használója törvényt szeg vele...

*: pl. protokoll hiba, mint a BadLocknál, ahol Samba verziótól függően ~320-440 patch kellett, összesen 227 forrásfájlban ~17.000 beszúrás és ~7500 törlés - https://www.samba.org/~metze/presentations/2016/SambaXP/metze_sambaxp20… - egy Windowson valamivel kisebb, mert több CVE azt nem érintette, de úgy se kevés mókolás lehetett

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

de ha tervezési hibáról van szó

egy jó másolásvédelem eléggé komoly "tervezési hiba", akár hardveres dongle mellett, valahogy mégis sikerül megpatchelni... ;)

ha a forrásba nem tolod vissza, a kövi patchnél kezdheted előlről

gondoltál már arra, hogy nem ismered részleteiben a témát? szerinted a többszázmillió vírust/férget és egyéb kártékony kódot, valamint azok többszáz különböző variánsait hogyan kategorizálják manapság? Egyesével nézegetik disassemblerrel, hogy mizu és valaki észben tartja, hogy látott-e már ilyet?

Hát nem... Nagyon jó bindiff algoritmusok vannak arra már sok éve, hogy akár más fordítói beállításokkal készített binárisokat is felismerjen és csak a valódi változásokat jelenítse meg, vagy elhelyezze egy olyan evolúciós fa struktúrában, amely egy nagy bináris big data adatbázisban van felépítve és mutatja az összefüggéseket és a pontos különbségeket a különböző program verziók és malware variánsok között.

Nem véletlenül találtak összefüggést elég gyorsan a Wannacry egyes részei és az észak-koreai Lazarus hackercsoport korábbi cuccai között...

Kőkemény jogi vonatkozásai lehetnek.

ja hát ha valaki egy az egyben másol komplett részleteket, akkor igen... de ez a forráskód esetén sincs másképp

meg a zenei dallamoknál...

meg a smithelt diplomamunkáknál...

egy jó másolásvédelem eléggé komoly "tervezési hiba", akár hardveres dongle mellett, valahogy mégis sikerül megpatchelni... ;)

Na ja, csak volt, hogy több évig tartott... ;)

gondoltál már arra, hogy nem ismered részleteiben a témát?

gondoltál már arra, hogy össze-vissza beszélsz? Most éppen valahogy a vírusok/férgek kategorizálásánál tartasz, holott az egész onnan indult, hogy egyszerűbb egy (secu) bugot forráskódban javítani és újra buildelni, mint a dissasemblált binárist patchelni.

Nagyon jó bindiff algoritmusok vannak arra már sok éve, hogy akár más fordítói beállításokkal készített binárisokat is felismerjen és csak a valódi változásokat jelenítse meg, vagy elhelyezze egy olyan evolúciós fa struktúrában, amely egy nagy bináris big data adatbázisban van felépítve és mutatja az összefüggéseket és a pontos különbségeket a különböző program verziók és malware variánsok között.

És ez hogy jön ahhoz, hogy amikor van egy (biztonsági) hiba, akkor egyszerűbb fogni a forráskódot és kijavítani, mint fogni egy random lefordított binárist, és op kód szinten javítgatni?

ja hát ha valaki egy az egyben másol komplett részleteket, akkor igen...

Látom sikerült nem megnyitni a linkelt szócikket: az USA törvényei szerint a clean room újraimplementáláshoz két külön csapat csinálhat csak dissasembly-t és újraimplementálást. Egyébként az hogy nem egy az egyben részletek másolása, ha fogod a srvnet.sys-t, ráeresztesz egy dissassemblert, megpatcheled a SrvNetWskReceiveComplete() függvényt és újrafordítod?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Na ja, csak volt, hogy több évig tartott... ;)

Valamikor meg napokig, valamikor órákig, valamikor meg csak percekig. Ilyen ez. A forráskódban való hibafeltárás és javítás sem feltétlenül két másodperces művelet. Minden az adott hibától függ...

gondoltál már arra, hogy össze-vissza beszélsz? Most éppen valahogy a vírusok/férgek kategorizálásánál tartasz

Mivel azt a kijelentést tetted, hogy "ha a forrásba nem tolod vissza [a javítást], a kövi patchnél kezdheted előlről", amely nyilvánvalóan nincs így, hiszen bináris formában is nagyon jól lehet változásokat kezelni és remek eszközök állnak rendelkezésre hozzá. Ezt támassza alá az a példám, hogy többszáz millió vírust és férget tudnak kategorizálni és nyomonkövetni a binárisaikban lévő változásaik révén úgy, hogy nem áll rendelkezésre a forráskód. További példát hoztam ráadásul a cikk eredeti témájával kapcsolatban, hogy a wannacry kódjában is így találtak összefüggést a Lazarus csoport korábbi kódjaival.

holott az egész onnan indult, hogy egyszerűbb egy (secu) bugot forráskódban javítani és újra buildelni

Nem, nem onnan indult, hanem onnan, hogy egyesek szerint máshogy nem is lehet, amely nyilvánvalóan tévedés. És ez a "forráskód nélkül nem lehet javítani a hibát" téma már nem először és nem másodszor jött itt elő. Amikor pedig valaki rávilágít, hogy nem így van, akkor jönnek a maszatolások, hogy de könnyebb, meg jogilag csak úgy lehet, stb.

És ez hogy jön ahhoz, hogy amikor van egy (biztonsági) hiba, akkor egyszerűbb fogni a forráskódot és kijavítani, mint fogni egy random lefordított binárist, és op kód szinten javítgatni?

Én nem mondtam, hogy egyszerűbb vagy nehezebb. Azt mondtam, hogy binárisban javítani sem lehetetlen. Szalmabáb érveléseitek kezdenek nagyon unalmasak lenni.

Látom sikerült nem megnyitni a linkelt szócikket

Ismerem a szócikket és a történetet, és már itt a hupon is volt erről a témáról korábban szó.

"Birr argued that the BadStack function was simply copy-pasted from Windows XP, given that they were identical."

Erre írtam, ha komplett részleteket másolnak, akkor nyilván jogi vonzatai lehetnek, de nincs itt semmi különbség a forráskód másolásához képest. Ahogy a grsecurity forrás ripoff Intel copyright mellett is ugyanannyira aggályos.

Egyébként az hogy nem egy az egyben részletek másolása, ha fogod a srvnet.sys-t, ráeresztesz egy dissassemblert, megpatcheled a SrvNetWskReceiveComplete() függvényt és újrafordítod?

Egyrészt nem fordítasz újra semmit, nem így működik tipikusan a módszer. Másrészt nem egy új kód létrehozása történik nem csak technikai, hanem jogi szempontból sem, hanem egy korábbinak a módosítása. Ráadásul nem egy másolásvédelem kijátszása a cél, hanem az eredeti kódban elkövetett programozási hibának a javítása. Ezt azért nehéz lenne megtámadni egy bíróságon olyan címszó alatt, hogy megakartad károsítani az eredeti kód gyártóját azzal, hogy javítottad egy olyan szoftverhibáját, amelyet ő már nem kívánt fixálni...

Szóval túl van ez már megint okoskodva a részetekről, de én itt befejeztem, mert kurvára unalmas már a téma. Főleg, hogy láthatólag el se olvassátok és meg se értitek, amiket írok.

Főleg, hogy láthatólag el se olvassátok és meg se értitek, amiket írok.

Hát, kettőnk közül én legalább megnézem, hogy mikor kinek válaszolok és nem adok a másik fél szájába olyan dolgokat, amiket soha nem mondott (gyk. folyamatosan T/2-ben írsz, pedig ha megnézed, hogy én hol szálltam be a szálba és miket írtam, látnád, hogy egy pillanatig nem állítottam, hogy lehetetlen...)

amely nyilvánvalóan nincs így, hiszen bináris formában is nagyon jól lehet változásokat kezelni és remek eszközök állnak rendelkezésre hozzá

Viszont továbbra is ezt a kényszermegoldást a release processed részévé kéne tenned: leforgatod a forrást (vagy a számodra 3rd party gyártó leforgatja), megkapod az új binárist. Mielőtt azt használnád, meg kell patchelned. Ha meg találsz egy másik hibát, és azt is binárisan patcheled, akkor minden új binárisnál két patchet kell alkalmaznod. Aztán hármat...
Lehet erre bármilyen hatékony algoritmusod, ha egy jól tervezett rendszernél (lásd: hozzáférsz a forrásfájlokhoz vagy még támogatott rendszert használsz) felesleges lépésről van szó, akkor az felesleges.

Másrészt nem egy új kód létrehozása történik nem csak technikai, hanem jogi szempontból sem, hanem egy korábbinak a módosítása.

For example, this license does not give you any right to, and you may not:
...
(vi) reverse engineer, decompile, or disassemble the software, or attempt to do so, except and only to the extent that the foregoing restriction is permitted by applicable law or by licensing terms governing the use of open-source components that may be included with the software; and

https://www.microsoft.com/en-us/Useterms/OEM/Windows/10/UseTerms_OEM_Wi…
Expliciten kiemelik.

És egyébként fenntartják a jogot, hogy ha engedély nélkül módosítod a rendszert, azt a kövi update-nél visszavonhatják:

During activation (or reactivation that may be triggered by changes to your device’s components), the software may determine that the installed instance of the software is counterfeit, improperly licensed or includes unauthorized changes. If activation fails the software will attempt to repair itself by replacing any tampered Microsoft software with genuine Microsoft software.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nem feltétlenül könnyű (lásd a *-os részt ;) ), de pár nagyságrenddel könnyebb, mint lefordított binárisban ;) (vagy futó rendszer memóriájában a pillangó-hatást használva...)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Gentoo :) akkor ezért vagy ennyire belebuzulva a forráskód témába, hogy azt hiszed anélkül meg se lehet mozdulni... ha nem csattogós lepkét tologattál volna akkoriban, írhattál volna opkódokkal programokat Commodore, Sinclair és Atari gépekre, meg akár még PC-re is, amikor még nem volt ennyi Linux fogyi.

lehetne patcheli, csak előtte olvasd el a licence szerződést, és máris kiderül, hogy nem lehet.

még otthonra sem. visszafejteni a kódot, - különbem honnan tudnád mit is kell javítani, - csak végszükség esetén, és ha már kimerítettél minden egyéb lehetőséget lehet.

szóval mindent lehet, csak tilos.

sz'al nagyon szép, nagyon ügyes, csak vigyázz mert itt m$ vamzerek is vannak fedésben :)

egyszer már volt erről szó itt a huppon. ha van kedved keress vissza.

olvasni, és 'szövegértelmezni' tudni kell, még az olyan szándékosan nyakatekert, és gumiszabályokat tartalmazó szöveget is, mint az m$ licence szerződés.

+ többszörösen védett, mivel a szerzői jog is védi,
és mielőtt megint kiakadsz, a tárgykódra fordított forrás, az egyenértékű a forráskóddal, csak egy másik nyelven, azt (vissza)fordítani csak a szerző beleegyezésével lehet.

más kérdés hogy amiről nem tud az m$, az nem fáj neki :))))

Reverse Engineerek, IT security expertek, antivirus fejlesztők tucatjai foglalkoznak azzal napi szinten, hogy ezeket a kódokat (és sok más zárt és proprietary kódot) visszafejtsék, megértsék, adott esetben módosítsák, akár futásidőben patcheljék. Mindezt hivatásszerűen csinálják, a munkájuk részeként, publikusan, nem fű alatt.

Többekközt a Google Project Zer0 csapat jópár tagja is, ahogy a példa mutatja.

Szóval próbálj meg a saját kis világodtól elvonatkoztatni, ahol szerinted a bináris kód valami misztikus dolog és amihez földi halandó nem nyúlhat, sőt, kifejezetten tilos...

a vírusírtós cégek leginkább csak vírusokat fejtenek vissza, nem adnak ki windows pacheket, amelyik meg igen - bár nem tudok róla, hogy lenne ilyen - annak tutira kell hogy legyen m$-el valami megegyezése erre.

akik meg hibákat találnak a windowsban, és mindenféle programocskákat, meg exploitokat, meg ilyesmiket adnak ki, azoknak meg eszük ágában sincs kijelenteni, vagy csak célozni rá, hogy esetleg visszafejtettek volna egyetlen bitet is a windowsból, sőt adott esetben azt is tagadnák, hogy láttak windwost valaha belülről :)

különben a nadrágjukat is leperelik róluk :)

a vírusírtós cégek leginkább csak vírusokat fejtenek vissza

persze, és hogy a vírusok mit mókolnak a windowsban azt meg csak úgy megtippelik hasraütésszerűen

nem adnak ki windows pacheket

dehát nem is kell, hisz azt mondtad hogy még a visszafejtés is tilos!

amelyik meg igen - bár nem tudok róla, hogy lenne ilyen - annak tutira kell hogy legyen m$-el valami megegyezése erre

tehát az "m$" elhatározza, hogy nem engedi a visszafejtést, ezért beleírja az EULA-ba, hogy tilos, de ha valaki mégis visszafejti, akkor az m$ annak mégis megengedi, csak "meg kell egyezni"

logikus

Bold Strategy Cotton

értem én, hogy egyszerűbb a hülyét tetetned, de amit írtam, az nem ez

ellenben már a thread elején példát is hoztam arra, hogy a Wannacryban használt Eternalblue exploit működését is az érintett Windows driverek visszafejtésével kellett kideríteni.

és ez nem valami nagyon ritka dolog

nem is a virusírtó cégek adták ki a patchet, hanem az m$.
az m$ derítette ki, - hivatalosan, mert egyébként az nsa :) - hogy mit csinál az etherblue a windowsban.

mindenki az m$-re várt, hogy ne pöcsöljön, hanem patcheljen.

és még a - nem támogatott - windowsxp-hez sem mert senki javítást kiadni, ott is az m$-t cseszegették, hogy legyen olyan jó, és ne legyen már ennyire paraszt.

nem is a virusírtó cégek adták ki a patchet, hanem az m$.

megint mellébeszélsz... a *visszafejtésről* volt szó, nem a patch kiadásról

az m$ derítette ki, - hivatalosan, mert egyébként az nsa :) - hogy mit csinál az etherblue a windowsban.

és az "m$" publikálta részleteiben azt amit leírtam, vagy független reverse engineerek hozták nyilvánosságra a hibát?

mindenki az m$-re várt, hogy ne pöcsöljön, hanem patcheljen.

megint fogalom nélkül okoskodsz... az "m$" már az shadow brokers publikálása előtt kiadta a javítást

legalább néznél utána mielőtt okoskodsz ész nélkül