Tysiące haseł użytkowników serwisu Filmweb.pl krąży w Sieci

Tadziu, bardzo ładnie bełkoczesz. To teraz mi wytłumacz, dlaczego firmowe serwery Microsoftu chronione są serwerami linuksowymi firmy Akamai. Czyżby w MS nie znali tych twoich "poprawnych konfiguracji"? "To, czy na Windows są obecnie skuteczne ataki, to można się przekonać od wielu lat " ...czytając o botnetach, trojanach, keyloggerach, imprezach PWN2OWN... "dowolne instalacje systemu mogą zachowywać się praktycznie dowolnie." A niedowolne instalacje nie mogą zachowywać się niedowolnie.

Zeke: czyżbyś znowu nie zrozumiał, np. tego co podałem w nawiasach. To, czy na Windows są obecnie skuteczne ataki, to można się przekonać od wielu lat analizując poprawne konfiguracje np. z olimpiad sportowych, gdzie wyznawcy open szaleli tabunami nad serwerami Windows aby coś sobie udowodnić i przegrali, podobnie na ogłaszanych wyzwaniach przez MS. Ale gdy mamy do czynienia z sabotażem albo głupotą to dowolne instalacje systemu mogą zachowywać się praktycznie dowolnie.

Tadziu, nie widziałem Twoich wypowiedzi, jak były artykuły o dziurach w Windowsach i o botnetach. Takich wiadomości nie zauważasz, nie? :)

re 79.184.209.241: aktualizacje byłyby wrzodem na d..., gdyby nie automatyczna dystrybucja poprawek poprzez repozytoria. Oczywiście, jeśli ktoś korzysta z patchy na źródła, to ma trochę dodatkowej roboty. Mi osobiście wystarczają poprawki z repozytoriów.

niekoniecznie, chyba jednak dostali się bezpośrednio do bazy mysql-oewj a to jest martwiące. Sposoby na ataki są coraz bardziej wyrafinowane. Oczywiście sposoby obrony także istnieją ale są kosztowne a nie wszystkich na to stać. Nie mówię tu o filmwebie bo u nich to zapewne zaniedbanie ale mniejsze serwisy przez dziurawe oprogramowanie mogą mieć naprawdę kłopoty. Oczywiście nie jestem przeciwnikiem oprogramowanie o otwartym kodzie ale jest pewien szczegół który mi się osobiście w nim nie podoba - a jest to wypuszczanie co kilka dni nowej wersji łatającej dziury zamiast dystrybuować takowe z małą częstotliwością ale już przetestowane. Jak pisałem wcześniej małe serwisy nie stać po prostu na to żeby co chwilę "łatać" oprogramowanie. Sam ma kilka serwisów pod opieką i aktualizacje są (kolokwialnym językiem mówiąc) "wrzodem na dupie". Zamiast zajmować się rozwojem to "kleje" łatki na łatkach a i tak nie mam żadnej pewności co do skuteczności tych działań. Podsumowując, bezpieczne systemy nie istnieją ale największym problemem są zaniedbania tych którzy powinni przynajmniej teoretycznie się nimi zajmować (twórcy i administratorzy) i sprawa tyczy się tak Linuksów jak i Windowsów.

to czy to był Linux czy inny system to rzecz drugorzędna bo dostęp do bazy czy uprawnienia do niej uzyskali poprzez dziurawy kod serwisu.

@tad Linux był, jest i będzie atakowany, ponieważ jest najpopularniejszym systemem operacyjnym. Zauważ jednak, że udanych ataków na maszyny z Linuksem jest malutko w porównaniu z konkurencją.

Wiadomo, użyli Apache pod Linuxem - i to instalacje z czerwca br. w firmie Artegence sp zoo. Takie spektakularne włamy są już po parę na miesiąc i to z aktualnym open-softem i robione przez profesjonalistów (a nie softem sprzed 10 lat w domyślnej konfiguracji - jak kiedyś bywało u konkurencji).