Názory k článku
Co se stane s Windows XP připojenými přímo do internetu?
-
Spomínam si, že raz som pripojil priamo do internetu s verejnou IP, bez akéhokoľvek firewallu, AIX. Ak si dobre spomínam, jediným následkom bolo, že root mal v schránke tisíce spamových správ. Fascinujúca bola rýchlosť s akou sa objavili (rádovo minúty). Evidentne tam číhalo množstvo botov scenujúcich IP adresy a hľadajúcich otvorený sendmail.
-
BobTheBuilderStříbrný podporovatelAno, tohle se stávalo s WinXP až do SP2 nebo možná 3, který už měl FW v okamžiku instalace zapnutý. To se nedalo bez hacknutí na veřejné IP adrese nainstalovat. Jenže to je fakt hodně dávno.
Všechny další verze (Vista, 7, ...) už ten FW mají v okamžiku instalace aktivní a default je, že z venku nic není povoleno.
Do průšvihu vás v této konfiguraci ovšem může dostat třeba SMBv1 nebo cokoliv, to je ale už o něčem jiném. -
Jak jsem psal tak na Windows XP jede celá firma a když se koukám do PC u dodavatelů IT, tak tam vidím opravdu prahistorický software na bázi DOS s tiskem faktur apod. jen na jehličkovou tiskárnu. Pro jednu velkou firmu dokonce udržuji flotylu i386 a nemůžou si je vynachválit, neboť nehrozí zcizení software a nízká spotřeba el. energie. Ale bohužel výrobci software nás tlačí k přezbrojení na soudobější software - viz. můj dotaz v "PORADNĚ" FÓRA ROOT.CZ (odpovídám na otázku: FW, VPN, Antivir NORTON u Windows 7 a u Windows XP IObit hojně používaný v USA a CCCP). V poradně se dotazuji na doporučení soudobějšího OS mimo Windows 11.
-
DannyStříbrný podporovatelTak dlouho se chodi se dzbanem pro vodu, az se ucho utrhne ;-) Takovejch hrdinu uz bylo... pro priklady nemusime chodit daleko, spitaly staci.
-
Adam KaliszStříbrný podporovatelTato nastavení moc nechápu, hlavně ne pokud se nedají např. v panelu zákazníka jednotlivě vypnout.
Pokud má ISP takovou starost, mohl by uživatele notifikovat, že má otevřený ten a onen port a že to asi úplně nechce a proto je to standardně blokované. Že by si to měl ve vlastním zájmu nějak ošetřit. Pokud to chce na své nebezpečí povolit, tak si to může ve svém profilu upravit.
Třeba chce někdo dělat honeypot... -
Pamatuju v začátcích, kdy jste neměli dovoleno odesílat e-maily jinak než přes vašeho poskytovatele internetu. Měli jste často dokonce CD s "instalací internetu". Práce ajťáka, kterého jste si zavolali, byla zde nastavit v Outlooku SMTP vašeho nového poskytovatele internetu.
Připomnělo mi to částečně podobnou věc, druhá častá chyba bylo zapojení tiskárny do jiného USB portu a Windows potřeboval, abyste znovu pustil instalátor ovladačů, aby ten se zaregistroval i na nový USB port :-D
Jsem se pár měsíců živil jako ajťák na zavolání. Takže mám dost vzpomínek na BFU :-)
-
DannyStříbrný podporovatel
Nikoliv, zablokovat tcp/25 nelegalni neni, i z pohledu sitove neutrality je akceptovatelne a objektivne oduvodnitelne (prevence mozneho abuse/sireni SPAMu). Ono ani tahle "svoboda" dana mj. smernici EU neni absolutni, pocita s drobnymi omezenimi. A delaji to i nekteri relativne velci ISP... a verte, ze ti si pravniky zaplatili, driv nez se do takovych veci pustili.
A k odesilani emailu bezneho domaciho uzivatele fakt potreba tcp/25 neni... aneb to je tak, kdyz si lidi pletou MTA a MSA, ze? ;-) To bysme rovnou mohli zahajit polemiku o tom, ze nekteri "admini" jsou vlastne diletantni.
-
Jako
prevence možného abuse/šíření SPAMu
je nejefektivnější tu e-mailovou komunikaci zablokovat úplně (a pro jistotu filtrovat HTTP na freemaily.... ;oD
Oni ISP mají zvyklosti různé, ale obecně je jejich apetit nastavený spíš na omezování všeho, co omezit lze.
Už jsem se setkal s případem, kdy nešlo použít žádný jiný SMTP server, než ten od ISP, což účinně bránilo možnosti posílat maily z vlastního serveru (tak, aby byly doručeny).
Nebo omezováním některé komunikace - včetně e-mailových portů - na (placené) veřejné IP, za kterou byl domácí (firemní) mailserver, VPN koncentrátor a webserver, s odůvodněním, že jde oobčanský internet
, a pokud chce někdo takové služby, musí si je objednat jako firma (podstatně dráž), ale v dané lokalitě je tento monopolní ISP nezřizuje. (Vyřešil to jeden server od VPSFree a domluva s technikem - diskuse s obchoďákem nevedla nikam jinam, než k právníkům.) -
DannyStříbrný podporovatel
Tak znovu... snazit se pouzivat SMTP server je samo o sobe ptakovina. Maily od koncaka proste SMTP (tedy tcp/25) pouzivat nemaji... na to mame Submission (tcp/465, pripadne tcp/587). Ac zdanlive totez, neni to totez. A ano, spousta "linych" adminu ze setrvacnosti pouziva prave tcp/25... asi to bude i vas pripad, ze? ;-)
-
DannyStříbrný podporovatel
Jejda... co to mumlate? ;-) Se SPF u SMTP narazite prave s tim "domacim" internetem, ktery mnohdy mate dynamickou adresu. Zrovnatak DKIM je spise argument pro pouziti Submission... a vyreseni podpisu hlavicek az na strane serveru (pricemz je soucasne vynucena autentizace uzivatele).
Korporatni mailserver fakt nebudete provozovat na pripojce urcene pro domacnosti, kde se bezne adresa meni. Ne ze by s dynDNS neslo mit plovouci MX, ale samo o sobe je to dost ulet, protoze nestaci menit jen ten A/AAAA zaznam... ale budete u toho muset menit i to SPF. Plus samozrejme v pripade IPv4 vetsina tech pripojek je za CGNATem, kde si o verejce muzete tak akorat znat vlhke sny a tu IP budete sdilet s pulkou ulice... :-) A tam jsou snahy o komunikaci po tcp/25 vylozene projev diletantismu daneho administratora.
Uprimne, narazil jsem na hromadu ISP, co blokuji tcp/25... ale na zadneho, co by blokoval tcp/465 nebo tcp/587.... a to po svete litam pomerne dost :-) Ale klidne se muzete pochlubit konkretni referenci...
-
DannyStříbrný podporovatel
Ano, nepochopil jste. Je blbost tu petadvacitku vubec v podobnych use-case pouzivat. A ono i nakonfigurovat ten 'domaci' postfix, aby pouzival submission fakt neni zadna cerna magie. Jenom to chce... RTFM ;-)
-
Tak ještě jednou: potkal jsem několik ISP, kteří unášeli veškerý provoz na portu 25 směrem ven. Takže ve výsledku jste nemohl odeslat žádný mail z jakéhokoliv SMTP klienta jinudy, než přes jejich SMTP server. Nechápu, co je na tom tak složitého pochopit. Osobně doufám, že se to s SMTPS a celými zabanovanými rozsahy domácích ISP už neděje, ale nepřekvapilo by mě pokud někde ještě ano.
Byla to asi prevence toho, aby se váš počítač nezapojil do botnetu a nerozesílal spam.
-
msmucrBronzový podporovatel
Mě přijde, že máte svým způsobem pravdu oba.
Pokud budu provozovat jen SMTP klienty (MUA) a bude dostupný relay server (MTA) venku v internetu, tak to případné blokování portu 25 nemusí dnes vadit. Danny má pravdu v tom, že většina klientů se dá nastavit buď přímo na tu preferovanou TLS variantu na submission portu 587 a bude rovnou odesílat přes relay server venku. V případě odesílání přes lokální Postfix (nebo Sendmail, EXIM atp.), se nastaví, že nekomunikuje přímo s serverem adresáta podle MX záznamů v DNS, ale předá to zas tomu serveru venku, v Postfixu přes direktivu relayhost s případným ověřením uživatele přes SASL, a pořád to pojede přes submission port 587. Samozřejmě se zároveň s tím dá nastavit, že bude ten lokální server zpracovávat maily z LAN a klidně poslouchat třeba i na portu 25 (např. pro nějaké prehistorické klienty zabudované v zařízeních).
Vadit to bude jen v případě, že někdo, kdo je připojený přes blokujícího ISP, bude chtít rovnou u sebe nastavit MTA, který komunikuje napřímo s mail servery adresáta bez dalšího relay serveru. Tam opravdu není jiná možnost, než mít volnou komunikaci na portu 25, v tom má Martin pravdu.
Jinou otázkou pak samozřejmě je, proč to dělat (a nastavovat všechny věci okolo, DNS záznamy, řešit rejecty na jiných serverech) a jestli nejsou nějaké lepší možnosti, domluva s ISP ohledně relayování přes něj nebo třeba free tier od komerční SMTP služby s limitem, co by mohl stačit, až po téměř jakýkoliv virtuál venku za 80 korun na měsíc, atp.Tak hlavně, že to dobře dopadlo, všichni se usmířili a šťastně si četli manuálové stránky až do smrti :)
31. 7. 2024, 01:36 editováno autorem komentáře
-
DannyStříbrný podporovatel
SMTP servery u ISP s rozmachem DKIM/SPF/DMARC prakticky umreli. Blokace SMTP (tcp/25) vsak nezmizela. Furt jste nevysvetlil, proc by BeznyFrantaUzivatel na nejakem xDSL, LTE ci wifi mel pouzivat SMTP... ktere jako jedine na toto "trpi". MUA proste nema objektivni duvod s MTA, MUA ma komunikovat s MSA. Vy tu porad brecite nad tim, ze nekteri "radobyadministratori" si usnadnovali zivot tim, ze MSA proste obchazeli.
Ta technika rozesilani SPAMu z koncovych stroju taky nevymrela... zkousi se to porad, protoze vzdycky se najde nejaky lajdak, co na svem MTA implementovane SPF/DKIM/DMARC validace nema. Takze nejaka uspesnost tam je porad... a ze to "funguje" porad dokazuji blacklisty typu uceprotect, kde tam na vyssich levelech obvykle figuruji ISP, kde tcp/25 od koncaku neresi - a opet, jsou "radobyadmini" MTA, co to maji jako ultimatni zdroj pravdy a maily z tam vylistovanych IP rovnou odmitaji a ani se neobtezuji s nejakym scoringem.
-
Filip JirsákStříbrný podporovatelmartinpoljak: Místo psaní „tak ještě jednou“ si konečně přečtěte, co vám napsal Danny už někde dávno nahoře. Když odesíláte e-maily jako zaměstnanec nějaké firmy, třeba z Thunderbirdu nebo Outlooku, používáte pro odeslání port tcp/587 (případně u starších konfigurací používajících implicitní TLS port 465). Takže blokování portu 25 ze strany ISP vás nijak neovlivní.
Blokace portu 25 vás ovlivní jedině tehdy, když chcete provozovat svůj vlastní SMTP server.
-
Jo, přesně takhle si pamatuju počátky "opravdového" připojení k Internetu ve starodávných devadesátých letech, když pominu dialup:
- Orinoco WiFi karta v PCMCIA slotu v PC
- tlustý dielektrický kabel na střechu
- velká 24 dB anténa na střeše
- PC s Windows (bylo to 95 nebo 98, už nevím)
- přídavná LAN karta aby Internet fungoval i na druhém PC, pokud to první jelo
- tehdy se to tak běžně provozovalo, ale dnes by to bylo rychle zbořeno útoky z Internetu
-
msmucrBronzový podporovatel
Tu veřejnou IP rovnou na rozhraní v počítači měli takhle téměř všichni :) Pamatuju si, že až když jsem pak chtěl blbnou s více počítači a sdílet připojení, tak jsem si chvíli hrál s Winproxy, nebo jak se to jmenovalo, a pak před to slavnostně předřadil nějakou šlupku s FreeBSD a s použitím 3com síťovek po coaxu udělal první LAN. Nakonec mě s tím doma stejně vypakovali, protože to další PC pořád hučelo :)
Jinak i dnes se s tím rozhraním s veřejnou IP dá setkat, třeba na notebocích co mají LTE modem, ať už interním nebo přes USB. Akorát už ten default není tak optimistický a je tam aspoň stavový firewall, co nepovoluje příchozí komunikaci.
Na celém pokusu z článku mě vlastně nejvíc překvapilo, že ty skenovací boty pořád detekují systém Windows XP, RPC porty a zneužívají související zranitelnosti. Člověk by si řekl, že už je to víc jak 10 let mrtvý systém, a že už ta pravděpodobnost úspěchu na těchhle obskurních konfiguracích bude relativně malá.
-
msmucrBronzový podporovatel
Nooo, chcel by som vediet kolko bankomatov bezi na WinXP. Takze je to stale zaujimavy ciel.
To sice jo, ale tohle snad nikdy nebylo veřejně dostupné z internetu, ne? Tam jde fakt o peníze a v obecné rovině mi přijde, že třeba banky to zabezpečení braly vážně daleko dřív, než to přišlo i do firem v ostatních sektorech.
Já spíš přemýšlel, že to mám možná zkreslené pohledem z ČR a Evropy, a možná jsou kouty světa, kde můžou mít i po těch letech Win XP nezanedbatelný podíl. Byť celosvětově už to moc nehodí.30. 7. 2024, 10:56 editováno autorem komentáře
-
Tie notebooky s LTE nie su az taky problem.
Na LTE budete by default za CGNAT. Verejne IP su na vyziadanie.
A ked vam aj ISP prideli verejnu IP, tak mnoho LTE modemov nie je bridge, ale interne router a na interface pre pocitac prideli privatnu IP a NAT-uje. Niekedy je to az na slaktrafenie, bud prehovorit modem, nech bridguje, alebo vobec najst taky, ktory sa da takto prepnut.
No a ked uz mame verejnu IP, bridgovanu, tak zistime, ze operator aj tak ma cestou firewall, ktory prepusta zvonka len established, related. Kedze LTE linky su merane, zakaznici asi nie su nadseni nevyziadanym trafficom, ktory treba zaplatit.
-
msmucrBronzový podporovatel
Jo s tím CGNATem máte dneska samozřejmě pravdu.
Ale asi bude i dost záležet na operátorovi, případně typu smlouvy. Hodně jsem tyhle věci řešil během corony, zařizoval vzdálené přístupy z chalupy atp. a setkával se s rozličnými konfiguracemi u různých lidí. A byly tam i třeba i zmíněné LTE modemy (integrované v NTB) s veřejnou adresou, šlo např. o firemní účet a SIMky.Ale můj hlavní point v předchozím postu byl spíš v tom, že nehledě na připojení se i Windows za tu dobu od XP (naštěstí) posunuly a pokud tam necháte výchozí nastavení, tak to máte jako public network, kde je z venku zafiltrovaný i ping.
-
Žádné překvapení. Před nějakými 19 lety jsem měl notebook s dualbootem WinXP a linux. Jednou jsem na FI MU potřeboval pustit něco ve Widlích a tak jsem po nějakých 2 měsících přebootoval na školní síti do WinXP. Ani ne za 15 minut mi přišel mail, že mám teď nevím jestli na měsíc nebo na 3 měsíce zablokovaný přístup do školní sítě, protože můj stroj skenoval porty... Od té doby jsem na fakultě Widle už nikdy nenabiotoval...
-
Windows XP byl poslední operační systém Microsoftu, kde výrobce předpokládal že uživatel je kompetentní. Ve Windows Vista nastala velká změna - Microsoft si konečně uvědomil, že uživatel je velmi často zcela nekompetentní a celý systém tomu postupně začal přizpůsobovat. Proto se nelze divit, že Windows XP ( aktuálně 10 let bez podpory ) jsou takhle děravý.
-
Filip JirsákStříbrný podporovatel
Pokud by tam ta závislost byla, tak spíš opačná – kompetentní uživatel si nepořídí děravý systém.
Každopádně to, že se systém připojí do internetu (plnohodnotně, na veřejné IP adrese a bez firewallu) a bez problémů to ustojí, má být normální. Samozřejmě nemusí ustát nějaký DDoS na kapacitu sítě nebo výkon systému. Ale nemá být náchylný na to, že se někam dostane uživatel, který k tomu nemá oprávnění, nebo nějaká podvržená data způsobí nějaké spuštění kódu, získání dat, pád služby a něco takového.
-
Ten systém byl vydán v roce 2001. V tu dobu jsem měl doma 28.8kbps modem a v práci nás asi 8 sedělo na 64kbps ISDN a právě v roce 2001 se to navyšovalo na 128kbps. Dnes máme jiné potřeby a taky jiná očekávání ohledně bezpečnosti, ale je potřeba to vnímat v kontextu doby, kdy ten systém vznikl. V tu dobu nebylo běžně připojení k internetu ani ve firmách, natož v domácnostech. Bezpečnost nebylo téma …. v tu dobu se prakticky nešifrovalo - i na servery se tehdy běžně přihlašovalo telnetem a ssh byla úplná novinka
Pokud se bavíme o bezpečném systému, tak jedna věc je samozřejmě jeho architektura ( kde byl Microsoft objektivně horší ), ale klíčové jsou aktualizace. Hejtit tu víc jak 20 let starý systém z pohledu bezpečnosti je jednoduše nesmysl. Je to stejné jako vystrčit takhle ven standardní nezqbezpečenou instalaci Debianu Woody a pak být překvapen, že to někdo hacknul. Jediné co by takovou instalaci ochránilo je paradoxně stáří, nikde už taková věc nejspíš neběží a tak nikdo ani nezkouší exploity, protože je to ztráta času. Oproti tomu podíl instalací s unsupported Windows je hodně a chytráků s vypnutými aktualizacemi ještě víc.
-
Filip JirsákStříbrný podporovatel
Myslím, že to máte trochu posunuté, Windows XP byly systém, který s internetem jednoznačně musel počítat a počítal. Připojovat se tenkrát na server telnetem by mne vůbec nenapadlo, ani v lokální síti.
Ale souhlasím s tím, že tenkrát ještě nebylo tak samozřejmé, jako dnes, že každý operační systém musí být hned v základu zabezpečený, že to není žádná volitelná vrstva, která se přidá dodatečně, pokud je potřeba.
Nicméně já jsem ani tak nechtěl kritizovat mizerné výchozí zabezpečení Windows. Šlo mi spíš o to, že i dnes má spousta lidí mylnou představu (asi právě po historických zkušenostech s Windows), že použitelný operační systém je nutné po instalaci nějak zabezpečovat. Každou chvíli se někde někdo zeptá, jak má nastavit firewall. A když odpovím, že to musí vědět on jako správce, podle toho, jaké tam chce provozovat služby, a že pokud to neví, tak žádný firewall nepotřebuje – a vždycky se na mne spousta lidí dívá jako na blázna, jak by mohl fungovat počítač bez firewallu.
Chtěl jsem tedy říct to, že je normální, že po instalaci operační systém nepotřebuje žádný firewall, například i proto, že tam neběží žádné síťové služby. I nějaké SSH či RDP by se mělo automaticky startovat jenom tehdy, pokud jsem to při instalaci explicitně vybral. Samozřejmě pak pořád zůstane ještě útokům vystaven samotný síťový stack operačního systému, ale tam už těch chyb v historii nebylo tolik.
-
Nemyslím že to mám posunuté. První stable release openssh byl začátkem roku 2000. V roce 2001 rozhodně nebylo připojení na server přes ssh standard, protože kromě nejnovějších systémů tam ta podpora nebyla. Ostatně mám pocit, že do nějakých serverů se SuSE a RedHatem jsem to tenkrát dokompilovával.
Ano XP počítalo s připojením k internetu, ale určitě ne v režimu na veřejné IP bez firewallu. A ano, je chyba Microsoftu, že tam by default startovaly některé služby naslouchající ven a bez restriktivního firewallu. Ale ten problém byl z mého pohledu mnohem palčivější u Windows serveru 2003, kde se běžně stávalo, že než stihl člověk nainstalovat záplaty a trošku to zabezpečit, tak často nebyl jediným adminem systému - a u serverové edice se samozřejmě s během na veřejné IP počítat mělo. Naštěstí si tuhle chybu pánové z Microsoftu uvědomili, takže novější systémy tímhle problémem netrpí. Zkušenost prostě nelze ničím nahradit.
-
DannyStříbrný podporovatel
S tou (ne)verejkou bych se tady klidne hadal :-) NAT byl v ty dobe porad docela v plenkach - rozhodne ne tak rozlezlej jak dnes (polemiku o tom, ze NAT neni firewall preskocme, to vime oba), na spouste mist byla verejka tak nejak standard... pocinaje treba univerzitama - a to i v CR. RIPE v ty dobe rozhazoval adresy po vagonech... v ty dobe, kdy se uvadely XP byla minimum allocation /19.
-
Hned som hladal ci sa niekto k tomu vyjadril v diskusiach, pretoze vzdy ked sa pise o IPv6 a spomina sa bezpecnost, tak niekto musi zahlasit ze NAT nie je firewall. Nie je, ale ten vektor je uplne iny. Cim nechcem povedat nic, len ze sa vzdy zabavim na tom ako niekto implikuje, ze NAT nie je bezpecnejsi.
-
DannyStříbrný podporovatel
Chcete-li byt extremista, tak v te dobe neexistovalo ani dnesni SSH2, ale bavili jsme se o SSH1 - z dnesniho pohledu notne deravem.
-
Ano, v tu dobu byla ještě jedna implemenace - lsh. První release asi půl roku před openssh. Na výběr tedy moc nebylo.
V tu dobu prostě šifrování začínalo a rozhodně nebylo standardem ani pro správu zařízení. Pokud vím, tak třeba Remote desktop dostal první podporu TLS až u Windows serveru 2003. Ani velké páteřní síťové prvky v té době podporu ssh neměly. A ty malé domácí krabičky si na to musely ještě hodně let počkat.
Linux v této době už ukládal hesla v podobě MD5 hashe a ještě o pár let dříve ležela hesla v plaintextu v /etc/passwd. Obojí je z dnešního pohledu úsměvné, ale prostě to tak bylo. Stejně jako že veškeré metody zabezpečené komunikace z této doby dnes považujeme za nebezpečné.
-
Filip JirsákStříbrný podporovatel
Používám Linux cca od roku 1998 a jsem přesvědčený, že jsem se k linuxu nikdy nepřipojil telnetem. Ale je možné, že už si to nepamatuju.
Ale co si pamatuju, že v roce 2001 byly veřejné IP adresy daleko běžnější, než dnes. Někdy tou dobou jsme přečíslovávali (malinkou) síť, protože nám přidělený blok /28 veřejných adres přestal stačit a začali jsme tedy používat NAT.
-
"Windows XP byl poslední operační systém Microsoftu, kde výrobce předpokládal že uživatel je kompetentní."
To musím dost nesouhlasit.
95, 98 i XP se právě snažili dělat hromadu věcí za uživatele nebo za jeho zády. A skrývat před ním důležité věci.
Takže strategie MS mohla být cokoli jiné, ale toto tam určitě nehrálo důležitou roli.
-
Nabúral s Feliciou a čudoval sa, že mu nevystrelili airbagy...
Lebo tam žiadne neboli (obvykle! mal som kedysi jednu aj s 2 airbagmi, ale to bol dovoz z Nemecka. V ČR/SR tak drahú výbavu nikto nekupoval).
Edit: spomínam si, že takéto články o rýchlom napadnutí Win XP napriamo pripojených do Internetu som čítal už mnoho rokov dozadu. Takže toto tu je len niečo ako overovanie, že vyfukovaním cigaretového dymu do vody zlato naozaj nevzniká.
30. 7. 2024, 12:47 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
To by bylo právě zajímavé zjistit, zda jsou to útoky specifické pro Windows XP, nebo jestli jsou to nějaké zranitelnosti, které byly i v dalších verzích (třeba i Windows 10 či 11), akorát tam na něj existují záplaty.
-
XPcka maji integrovany firewall, jen ho musis rucne zapnout, kdyz to udelas, vsadim si, ze to nikdo jen tak nehackne. Ale neudela se to samo.
I u win 7 byly bydefault do site otevreny smb, rpc ... a dalsi porty. Tzn opet to snadno napadnes, pokud to nekdo rucne nezmeni.
Od w10 se sudruhovia alespon ptaji, jestli chces nebo nechces. Typickej BFU to ale povoli, a tudiz je lze napadnout uplne stejne. Jen tam pribyla pravidla na tema "jen lokalni sit" (coz je neco co win stejne nepoznaj).
Jakejkoli "utok" zacina tim, ze cuchometr ocucha co je tam za system. A pak zacne testovat co se stim pripadne da nebo neda delat. Vetsina systemu i aplikaci na sebe praskne zdaleka nejen nazev, ale i spoustu dalsich informaci vcetne verzi, takze aplikovat spravny script na spravnou diru je jen o jeho vyberu.
-
To nemusi hrat po LAN a nemusi mit winXP .... ve FAQ kazdy jedny hry kazdyho jednoho dementniho tvurce najdes na prvnich trech mistech "vypnete firewall" a "pustte to as admin".
Kazda jedna aplikace kterou do widli nainstalujes si pak typicky pridava do firewallu svoje pravidlo, povolujici prichozi porty, ackoly je ta vec uplne offline, a pokud vubec nejak komunikuje, tak smerem ven.
-
Tuhle "objevnou" zprávu jsem viděl už před několika měsíci. Okurková sezóna si vyžádala její exhumaci?
Aktivně provozuji ještě celou smečku XPček a občas, pro zajímavost některé sjedu live antivirem. Posledních 15 let jsem na nic zajímavého nenatrefil. A to uvnitř těch XPček neběží žádný runtime antivir.
Nicméně, ta XPčka jsou velmi výrazně upravena už před instalací, pomocí nLite a pak jsou tam tam stovky dalších úprav ve službách, registrech, politikách. Samozřejmostí je Admin vs (ne power) User účet.
Nemají veřejku, většina je za Turrisem, nebo jiným Linuxovým FW/GW.
Nemají zapnutou službu server, ani takové bazmeky jako "sdílenou síťovou schránku".
Většina běží jako virtuál nad Linuxem a slouží především pro spouštění výukových programů, které je problém uchodit na čemkoliv jiném.Ale kdybych chtěl dělat "senzaci", tak bych věděl jak to udělat, aby je za pár minut někdo prostřelil.
-
DannyStříbrný podporovatel
A ted ruku na srdce... kolik lidi podobne veci poctive udela? ;-) Drtiva vetsina tech chytraku se vydesi, kdyz treba regedit uz jen spusti... natoz aby v tom neco lovili.
-
Mě je vcelku jasné, že takový tunning těm XPčkům dělá málokdo. Ty úpravy se postupně skládaly spoustu let a mnohdy se při tom nástroje ze Sysinternals pěkně zapotily.
Především jsem chtěl sdělit můj pohled, že ten odkazovaný experiment je provedením hlavně PR záležitost, než něco smysluplného a že i XPčka jdou provozovat bezpečně i dnes. Samozřejmě s některými omezeními, které vás mohou, ale i nemusí, trápit.
-
DannyStříbrný podporovatel
V obecne rovine je to vzdy o nejake akceptaci rizika a prijmuti adekvatnich opatreni. Sam treba priznivcem provozu "skanzenu" moc nejsem. Ano, jde prijmout vhodna opatreni a i ten skanzen ukocirovat - ale to fakt musi delat clovek, co fakt vi co dela... a neni uplne optimalni se obecne tvarit, ze to jde "v pohode"... kdyz v realu je to pomerne slusny opruz. V mnoha lidech to muze vzbudit falesny pocit bezpeci.
ČLÁNKY DO MAILU