Windows 2000´e Güvenlik Ödülü (nasıl yani?)

Microsoft Windows 2000, Information Technology Security Evaluation for Common Criteria (Bilgi Teknolojileri Güvenlik Değerlendirmesi Ortak Kriterleri) tarafından belirlenen standartlara göre, bugüne kadar bir işletim sisteminin hayata geçirdiği en geniş çaptaki gerçek yaşam senaryoları nedeniyle Common Criteria Sertifikası almaya hak kazandı.

Common Criteria Sertifikası, bilgi teknolojileri ürünlerinin güvenlik gibi özelliklerinin değerlendirildiği dünya çapında kabul gören bir standart olma özelliği taşıyor. Yazının tamamı http://www.microsoft.com/turkiye/windows/2000/server/security.asp adresinde.

Fakat bu olayda bir terslik var gibi geliyor bana , ancak ne olduğunu çözemedim. Söz konusu sertifika hakkında daha detaylı teknik bilgisi olan arkadaşlar varsa yorumlarını duymak yararlı olur.

Görüşler

realist
yaklaşık 23 yıl önce

Yamuluyorsam düzeltiniz:
Windows kullanıcıları e-mail nedir, nasıl çalışır bilmezler. Mesela HTML mail diye bir şey yoktur arkadaşlar. Kandırdılar sizi...
E-mail´ler aslında text, en fazla RTF formatındadır. (Wordpad´le yazıp .doc uzantısı ile kaydettiğiniz format.)
Bir binary dosyayı email ile göndermek isterseniz bu dosya MIME64 ile kodlanır ve text mesaja sorunsuz eklenebilecek hale getirilir. Siz de bunu attachment şeklinde görürsünüz. MS-Outlook Visual-Basic scriptlerinin e-mail içinden direkt çalıştırılmasını sağlayarak email-worm diye bir şeyin varolmasını sağlamıştır. Kısacası email standardını bozarak yeni bir virus türünü meydana getirmiştir.
Buna benzer yüzlerce MS ayıbı sayabilirim.

SHiBuMi
yaklaşık 23 yıl önce

Bu RFC'leri de Bill Gates kendi kafasına göre yazıyor zaten. Bir e-mail içersinde gerekli header alanlarına gerekli değerler verilerek, e-mailin body kısmında HTML kullanılabilir, bu HTML kodları Mime64 ile kodlanmaz, olduğu gibi gönderilir. Bunun sonucu olarak da, nurtopu gibi bir HTML mailimiz olur. Header'daki bilgiye göre, e-mail istemcisi bu HTML datasını mesajın içinde ya da attachment olarak görüntülemek durumundadır. HTML mail, Microsoft'un kendi kafasından uydurduğu MS-Outlook ile gelen bir şey değildir. Burada ancak MS-Outlook'un RFC'lerde belirtilen REQUIRED kriterlerle çizilen standartlara ne kadar saygı gösterdiğini tartışabiliriz. MS-Outlook içinde değil ama, gelen e-mailler üzerinde VB scriptleri çalıştırabiliyor olmanın ne gibi bir faydası olur, kim ne amaçla kullanır ben de merak ediyorum. Bunu feature olarak uygulamanın içinde tutuyor olmalarının kendilerine göre bir nedeni, bir kullanım alanı olmalı.

realist
yaklaşık 23 yıl önce

Çoook daha uzun yazmalıymışım ki başka yönlere çekilemesin.
E-mail standardına sonradan eklenmeye çalışılmış HTML mail anlamsızlığını değil MS´in email-worm denen ve VB´den azıcık anlayan herkesin kolayca yazabileceği yeni bir virus türünün ortaya çıkmasını sağlamasını tartışalım.
HTML mail worm`lardan ayrı bir örnekti

SHiBuMi
yaklaşık 23 yıl önce

Nasıl başka yöne çektiğimi anlamadım. Yazında yanlışlar var, bunları düzelttim. HTML mail vardır ve gayet güzel kullanılır, standartları da ilgili RFC'de tanımlanmıştır. Bunu da Outlook dışında Windows altında çalışıyor olsun, Unix altında çalışıyor olsun onlarca e-mail istemcisi kullanır. Microsoft tarafından icat edilmiş bir şey değildir. Bu RFC'lerde bütün bu istemcilerin ortak paydada buluşabilmelerini sağlamak adına REQUIRED alanlar vardır. Outlook buradaki standartlara uymayıp kendi kafasına göre takılıyorsa o zaman gidip Bill'i dövelim. Ya da bu konuda sonsuza kadar susalım.

Outlook'a gelen mailler içinde VB script çalıştırılabiliyor olması bana da anlamsız geliyor, kimin böyle bir özelliğe ihtiyacı olur ki? Mozilla da yanlış hatırlamıyorsam Javascript kodlarını aynı şekilde çalıştırabiliyordu. Canını çok sıkıyorsa, Outlook Express içersinde Read All in plain text diye bir seçenek var, kapatır kurtulursun.

anonim
yaklaşık 23 yıl önce

benim ve bir çok insanın asıl canını sıkan html e-postalar değil vb scriptleri. ondan kurtulmak için html maillerden de vazgeçmek zorunda kalıyoruz...

cayfer
yaklaşık 23 yıl önce

Micros~1'a Maryland Universitesi'nde verilen ödülden söz edildiğini duyunca aynı işletim sistemine California Universitesi-Santa Barbara tarafından verilen ödül aklıma geldi.

Bugun CNN'de de bir Micros~1 ödülü haberi var.

Bunları okuyunca aklıma eski bir fıkra geldi:

Komunist Rusya'da bir yabancı iş seyahatindeymiş. O zamanlar yabancılar Rusya'da mihmandarsız dolaşamıyormuş. İş adamının ayakkabısı Rusya'nın soğuğunda ince geldiği için mihmandarına bir bot almak istediğini söylemiş. Mihmandar 'Ooo.. dünyanın en muhteşem ayakkabı mağazası Moskova'dadır' deyip adamı çok büyük bir mağazaya götürmüş.

Girişte iki kapı varmıŞ: 'erkek ayakkabıları' ve 'kadın ayakkabıları'. Erkek böümğne girmişler. Gene iki kapı: 'yazlık', 'kışlık'. Kışlığa girmişler, gene iki kapı: 'Hakiki deri', 'Suni deri'. Hakiki deriye girmişler, gene iki kapı: 'Altı kauçuk', 'Altı kösele'. Kapılar epeyce bir süre bu şeilde devam etmiş. Artık iş adamına gelenler gelmeye başlamış. Sonunda olası tüm ayrıntıları belirleyen iki kapıya gelmişler. İş adamı 'Artık bundan sonra başka kapı yoktur' diye düşünerek son kapıyı açmş ve kendini sokakta bulmuş. Şaşkınlık içinde mihmandarına 'eee... ayakkabılar nerede?' diye sorunca mihmandarı 'ayakkabıyı boşver, sen organizasyona bak' demiş.

Nerden aklıma geldiyse...

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Parmak İzinize Güvenmeyin!

FZ
21 Mayıs 2002, 1 dakika okuma süresi

Yani teorik olarak güvenin tabii, iki kişinin aynı parmak izine sahip olması çok ama çok düşük olasılık ama konumuz şu ki Japon şifre uzmanı Tsutomu Matsumoto herhangi bir elektronik hobi dükkanında bulunabilen malzemeleri ve bilgisayarını kullanarak endüstride yaygın olarak kullanılan 11 parmak izi biyometrik güvenlik donanımını kandırmayı başarmış!

Bu vesile ile ve NEC'in geliştirdiği süperbilgisayarı da hatırlatarak "abi Japonlar yapmış" geyiğine son verilmesi, bunun bir geyik değil düpedüz gerçek olduğunun kabul edilmesi kampanyası başlatıyorum! :)

OWASP AppSecTr Buluşması - Siber Güvenlik

solarhalo
18 Mayıs 2017, 1 dakika okuma süresi

Türkiye'de, Siber Güvenlik alanında, çoğu konferans adı altındaki reklam kokan hareketlerle dolu organizasyonlara katılmam. Gidersiniz, size ürün itelemeye çalışırlar, bir nevi özgün yaklaşım yerine kutu satıcılığı anlamına gelen bu hareketler Türkiye'de Siber Güvenlik olayını doğmadan öldürmektir. Neyse ki son zamanlarda yerli üreticiler güzel alternatiflerle çıkmaya başladılar ancak...

Microsoft Yamana Yamana Ne Hale Geldi ?

sundance
27 Şubat 2001, 1 dakika okuma süresi

Outlook`da bir açık daha. Zaten Lovebug ve Anna wormlarından sonra, artık önüne gelen Vbasic`çi virüs yazmaya başladı `Nasıl olsa Outlook`da bir şekilde çalışır` diye :)

Son virüs benim hep illet olduğum (Outlook kullanmadığımdan olsa gerek) maillara eklenen VCARD dosyası sayesinde yayılmakta. Artık ne yapacağı yaratıcılığa kalmış, ekrana bir yazı çıkartabilir, harddiskinizi formatlar, sharinglerinizi full açar vs.
Allahtan MS hemen bir patch yayınlamış. Detaylı haber Wired'da

MS Windows İçin Açık Kodlu Antivirüs Yazılımı - ClamWin

ebola
28 Ağustos 2004, 1 dakika okuma süresi

Siz de benim gibi bir işyerinde istemeyerek de olsa MS Windows sistem yöneticiliği yapıyorsanız eminim virusler en önemli sorunlarınızdandır. İşyeriniz her sene "kapalı kodlu" yazılımlara dünyanın parasını saymaktadır.

Pek çok şeyin bir açık kodlu çözümü var ama bu antivirüs meselesinin yok diyorsanız yanılıyorsunuz. Eski dost ClamAV'nin MS Windows sürümü var. Adı ClamWin. Ben test amacı ile bir iki makineye kurdum ilk izlenimlerim olumlu, size de tavsiye ediyorum.

Solaris Sistemlerde Ciddi Güvenlik Açığı

FZ
13 Şubat 2007, 2 dakika okuma süresi

Dün yayınlanan ve sadece Sun Solaris 10, Solaris 11 işletim sistemlerini etkileyen güvenlik açığı telnet servisine herhangi bir sistem kullanıcısının parolasız bağlanabilmesini sağlıyor. Eğer root kullanıcısının telnet erişim yetkisi varsa bu, parolayı bilmeden sisteme tam yetkili erişilmesi manasına geliyor. Benzer bir açık 1994 yılında bazı UNIX sistemlerinde de görülmüştü.

Güvenlik açığını nasıl test edersiniz?