Il seguente bollettino è stato tratto da un post di una Mail Listing.
---------------------

Ecco cosa è capitato a questo tipo che ha scritto un libro sulla sicurezza
Microsoft.

I wrote an information security book last year under contract with
Microsoft Press. The book was never published -- among other things it
explains truthfully the poor security condition of Windows and offers
detailed instructions and advice for defending against Microsoft's bad
business practices and incorrect security decisions. URLs for the free
electronic book are:

(PDF)
http://www.forensics.org/IIS_Security_and_Programming_Countermeasures.pdf

(Raw Text/PNG Graphics --> safer!)
http://www.forensics.org/jasonc/iisforensics.zip

The security awareness for Windows communicated by my book would have
enabled people to avoid intrusions, infections, damage, and down time
from MS Blaster, SQL Slammer/Sapphire, and many of this year's other
threats. It would also have helped to educate developers of Web
applications so that fewer new vulnerabilities would have been created.

A few of the specific warnings provided by my book include:

* FrontPage Server Extensions are badly flawed from a security
perspective and should never be used.

* Ports open by default (RPC/DCOM/SMB/Messenger/Workstation Service/etc)
will be found to expose remote exploitable buffer overflow
vulnerabilities and therefore must be protected and closed at all costs.

* Don't use/rely on Microsoft Baseline Security Analyzer because it
intentionally ignores known vulnerabilities in order to more often
report a happy "you're all patched" message to the admin.

* Internet Information Services cannot be trusted out of the box but
instead must be carefully security hardened beyond anything that
Microsoft normally recommends, and many IIS features must be disabled in
order to achieve a trustworthy subset of Microsoft software.

* ... more ...

If Microsoft intends to launch a PR/advertising campaign against Linux,
perhaps it would take a moment out of its busy schedule to explain why
it won't publish a book that tells the truth and provides warnings in
advance that the only way to safely operate a Windows computer is to
subscribe to infosec mailing lists such as bugtraq and full-disclosure
in order to remain constantly aware of the real-world condition and
capabilities of attackers?

Microsoft suppresses awareness of vulnerabilities in order to profit.

The only way to achieve security in computing is through awareness.

Therefore, Microsoft's profits cause additional insecurity. Go figure.

Sincerely,

Jason Coombs
jasonc@science.org

Mò te la piji pure contro la Microsoft. Ma non riesci a vivere in santa pace senza avere per forza qualcuno con cui prendertela? a proposito la denuncia a las3r come procede? :D

Regola generale:
evitate i flame, se avete problemi personali potete discuterli direttamente in query senza trasformare argomenti di discussione in campi di battaglia.
Se sul menomato informatico entro certi limiti vi si lascia liberi di litigare, questo non è vero per le altre sezioni del forum.
Grazie anticipatamente.

Tornando in topic:
Se il contenuto del libro è realmente quello anticipato in alcuni punti, non mi stupisce affatto che Microsoft non voglia pubblicare un libro simile proprio attraverso Microsoft Press (cioè la propria casa editrice).
E nel caso specifico non perchè sia Microsoft, ma perchè nessuna azienda del mondo pubblicherebbe attraverso i propri canali d'informazione un libro che finisca per screditarla.

Tornando in topic:
Se il contenuto del libro è realmente quello anticipato in alcuni punti, non mi stupisce affatto che Microsoft non voglia pubblicare un libro simile proprio attraverso Microsoft Press (cioè la propria casa editrice).
E nel caso specifico non perchè sia Microsoft, ma perchè nessuna azienda del mondo pubblicherebbe attraverso i propri canali d'informazione un libro che finisca per screditarla.


Beh, IMHO, direi che il tutto avrebbe potuto servire alla Microsoft per risolvere i problemi alla sorgente, prima di pubblicare, ma da quanto risulta dal mio Firewall, le macchine colpite dal Blaster (ad esempio), sono moltissime e continuano ancora ad esserlo. Pertanto, se non ho capito male, avrebbero potuto benissimo risolvere quei problemi con una mega patch, magari smussando la fama della microsoft come fornitrice di OS insicuri.
Se adesso, però, qualcuno verrà a dirmi "ma ci stanno già pensando con il trustworthing (spero si scriva così), portato avanti da M$", il sugo della situazione è il seguente.
Con il progetto PALLADIUM, la M$ vuole solo EVITARE la divulgazione di virus, qualora, secondo gli schemi logici di tale sistema, tali programmi non sarebbero più certificati e quindi non funzionerebbero più. Ma questo mi pare un metodo alquanto inusuale e sibillino nel risolvere i problemi di virus/backdoors, vietando a tutti i programmi non certificati di essere eseguiti, specie perchè, tra questi, non vi sarebbero solo malware di vario genere, ma anche concorrenti di M$ stessa, ossia Linux.

Regola generale:
evitate i flame, se avete problemi personali potete discuterli direttamente in query senza trasformare argomenti di discussione in campi di battaglia.
Se sul menomato informatico entro certi limiti vi si lascia liberi di litigare, questo non è vero per le altre sezioni del forum.
Grazie anticipatamente.





Osservazione esatta.Chiedo scusa.