Ben, even serieus. Ik weet uiteraard niet wanneer deze column geschreven is, maar op 20 januari een column plaatsen met dit onderwerp, is dat niet een beetje laat? Microsoft deed rond [URL=http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-059.asp]20 december afgelopen jaar[/URL] de waarschuwingen de deur uit. De halve wereld heeft het probleem reeds geanalyseerd, schuldigen gezocht, met vingers staan te wijzen, en is vervolgens weer op de oude vertrouwde wijze verder gegaan.
Hmmm. Consul levert uiteraard die diensten. Dat hadden we al begrepen. Zouden ze die ook gebruiken?? ff aankloppen... Ik hoor het wel.

Misschien tijd voor een uitdaging. Probeer in de volgende column niet je dienst te verkopen maar jezelf, met in je achterhoofd de gouden regels: Sell yourself, sell your company, sell your product.

En als dat niet lukt laat dan advertorial boven je column zetten. Kan ik hem overslaan.

Succes!

Te LATEN monitoren...jaja.


nogmaals..

WAAR ZIT DE UN-REGISTER BUTTON? !!!!

De pret is er wel af nu..

Oh... was dat al niet bekend voordat XP überhaupt – legaal - te verkrijgen was?

Posted: 31/05/2001
Windows XP will make Internet unstable - top security expert
http://www.theregister.co.uk/content/4/19332.html

Verder zijn onderstaande bugs op dit moment al bekend. (OS related! ipv eventuele applicaties die draaien onder dit OS!)
2001-12-20: Microsoft UPnP NOTIFY Buffer Overflow Vulnerability
2001-12-20: Microsoft Universal Plug and Play Simple Service Discovery Protocol Denial of Service Vulnerability
2001-12-20: Microsoft Windows C Runtime Library Format String Vulnerability
2001-12-19: Microsoft Windows XP Fast User Switching Account Lockout Vulnerability
2001-12-19: Microsoft Windows XP Remote Desktop Plaintext Username Vulnerability
2001-12-17: Microsoft Windows XP Unauthorized Hotkey Program Execution Vulnerability
2001-11-15: Microsoft Windows Terminal Services False IP Address Vulnerability
2001-11-01: Microsoft UPnP Denial of Service Vulnerability
2001-10-29: Microsoft Windows 2000/XP GDI Denial of Service Vulnerability
Ten eerste is het in Amerika een 'felony' om proberen in te bellen bij een organisatie zoals de NSA.
Als tweede is er geen objectieve waarneming geweest van schrijver. (die telefoonnummers zal je wellicht niet onder de N vinden in een telefoonboek)

Verder vergeet auteur te vermelden dat Mark Maiffret werkzaam is voor Eeye die ook security oplossingen verkoopt, en zo nu en dan -geniaal- met veel herrie een exploit -en soms een oplossing- in de markt los laat.
Maar aangezien ze bij Consult -kennelijk- niet verder kijkt dan hun neus lang is, weten ze niet, dat Eeye over het algemeen 'hun' gevonden bugs, en producten kopen. (toch algemeen bekend als je enigzins geïnformeerd bent over de bugs&exploit wereldje)
En alle rechten op die manier verwerven, om vervolgens als eigen R&D effort te verkopen.
Dit doen ze aardig slim, zie ook url's hieronder.

http://www.attrition.org/mirror/attrition/2000/12/15/www.eeye.com/
http://vnunet.com/News/1115570


Ik betwijfel het dat er al organisaties te vinden zijn waarop op alle werkstations XP is geïnstalleerd.
Verder vraag ik me af welke afwegingen zijn gemaakt om te constateren dat windows XP als stabiele OS te kwalificeren valt.

Immers een OS -of welk product dan ook- heeft een begin of life cycle en een eind.
Ergens daar tussen in -hopelijk- zal hij als stabiel te kwalificeren kunnen zijn.
(bij risico analyses houdt je daar dus rekening mee!)

Via het XP lek?
Dus uPNP is het enige manier om op een XP machine te misbruiken?

Ik denk eerder dat het inherent is aan internet infrastructuur en daar overheen gebruikte protocollen en functionaliteit dat er ongewenste handelingen gedaan kunnen worden, ongeacht het gebruikte besturing systeem.

Iemand die hieraan twijfelt moet maar een man netcat doen, om het te begrijpen wat hier mee wordt bedoelt. (of je moet een OS zonder applicaties willen gaan gebruiken ;-))