Archief
- De topics van lang geleden
Lek in Vista
07-05-2008, 15:43 door MoreSecure, 32 reacties
Lek in Vista is bijna zoiets als het groene gras?
Nou ik heb een lek gevonden en ik weet niet of nog meer mensen hem gezien
hebben.
Als je in Word een bestand aan het wijzigen bent en je sluit Windows Vista af
dan wordt eerst gevraagd of je het document wilt bewaren. So far so good.
Als je je energiebeheer hebt ingesteld dat als er op de aan/uit konop wordt
gedrukt, de PC moet worden afgesloten, dan wordt in het geval van een
opstaand Worddocument wat niet bewaard is, eerst hetzelfde gevraagd. Als je
dan kiest voor annuleren wordt de shutdown-procedure afgebroken en blijf je
netjes in Windows.
Wat zal er nu gebeuren als je een Word document (of ander document) open
hebt staan, als het nog niet bewaard is en je hebt schermbeveiliging ingesteld
op 10 minuten en dat het wachtwoord nodig is om uit de schermbeveiliging te
komen, en de schermbeveiliging is actief? (lijkt me dat deze situatie vaak
voorkomt). Als je dan op de aan/uit knop drukt dan wordt je netjes in windows
gebracht, kun je voor annuleren kiezen en zit je gewoon in Windows!!!
Superlek!!!
Ik kan dit simuleren op mijn HP Compaq 6820s met Vista Business NL en
SP1 geinstalleerd. De laastste HP drivers en al geinstalleerd.
Graag meer ervaringen!
P.S.: je moet eens proberen te zoeken waar je dit bij Microsoft kunt melden.
Nergens dus.
Daarom maar zo.
Gevonden door Hans van der Pluijm. hpluijmOPgmailPUNTcom
Nou ik heb een lek gevonden en ik weet niet of nog meer mensen hem gezien
hebben.
Als je in Word een bestand aan het wijzigen bent en je sluit Windows Vista af
dan wordt eerst gevraagd of je het document wilt bewaren. So far so good.
Als je je energiebeheer hebt ingesteld dat als er op de aan/uit konop wordt
gedrukt, de PC moet worden afgesloten, dan wordt in het geval van een
opstaand Worddocument wat niet bewaard is, eerst hetzelfde gevraagd. Als je
dan kiest voor annuleren wordt de shutdown-procedure afgebroken en blijf je
netjes in Windows.
Wat zal er nu gebeuren als je een Word document (of ander document) open
hebt staan, als het nog niet bewaard is en je hebt schermbeveiliging ingesteld
op 10 minuten en dat het wachtwoord nodig is om uit de schermbeveiliging te
komen, en de schermbeveiliging is actief? (lijkt me dat deze situatie vaak
voorkomt). Als je dan op de aan/uit knop drukt dan wordt je netjes in windows
gebracht, kun je voor annuleren kiezen en zit je gewoon in Windows!!!
Superlek!!!
Ik kan dit simuleren op mijn HP Compaq 6820s met Vista Business NL en
SP1 geinstalleerd. De laastste HP drivers en al geinstalleerd.
Graag meer ervaringen!
P.S.: je moet eens proberen te zoeken waar je dit bij Microsoft kunt melden.
Nergens dus.
Daarom maar zo.
Gevonden door Hans van der Pluijm. hpluijmOPgmailPUNTcom
Reacties (32)
Correct,
Zo zijn er nog wel meer lekken en is Vista een geweldige ramp.
Die schermbeveiliging is mij ook opgevallen, start op zonder wachtwoord !
Met meerdere mensen zijn wij bezig dmv screendumps en andere errors een
enorm zwartboek te maken over dit rampen-os.
Mensen/bedrijven adviseer ik ook om absoluut geen computerproduct aan te
schaffen met Vista.
Enkele bugs, ook na SP1,
Nog steeds verkeerde tijds-inschattingen bij kopieeropdrachten.
Dubbele directories, die vervolgens niet of moeilijk te verwijderen zijn.
Vastlopers,
Eigenschappen van files die niet te wijzigen zijn,
Opdrachten die niet begrepen worden,
Bij opstarten meer dan 50 windows-toepassingen die een open verbinding
met internet hebben ! Check dit dubbel en goed !
Zo zijn er nog wel meer lekken en is Vista een geweldige ramp.
Die schermbeveiliging is mij ook opgevallen, start op zonder wachtwoord !
Met meerdere mensen zijn wij bezig dmv screendumps en andere errors een
enorm zwartboek te maken over dit rampen-os.
Mensen/bedrijven adviseer ik ook om absoluut geen computerproduct aan te
schaffen met Vista.
Enkele bugs, ook na SP1,
Nog steeds verkeerde tijds-inschattingen bij kopieeropdrachten.
Dubbele directories, die vervolgens niet of moeilijk te verwijderen zijn.
Vastlopers,
Eigenschappen van files die niet te wijzigen zijn,
Opdrachten die niet begrepen worden,
Bij opstarten meer dan 50 windows-toepassingen die een open verbinding
met internet hebben ! Check dit dubbel en goed !
08-05-2008, 00:46 door
Bitwiper
Dat lijkt me inderdaad een stevige bug. Op mijn XPSP2 notebook is het de default instelling dat indrukken van de powerknop een shutdown tot gevolg heeft. Als de password-beveiligde screensaver actief is doet deze knop helemaal niks (ook niet als er een unsaved Word document open staat). De knop werkt zoals verwacht wel als ik gewoon in windows zit.
Gebeurt dit bij alle screensavers, inclusief blank screen?
Bovenaan:
[url=https://www.microsoft.com/technet/security/bulletin/alertus.aspx]Report a Security Vulnerability[/url]. Onder de regel: 'I need to report a possible security vulnerability to Microsoft' vind je het email adres.
Gebeurt dit bij alle screensavers, inclusief blank screen?
Door MoreSecure
P.S.: je moet eens proberen te zoeken waar je dit bij Microsoft kunt melden. Nergens dus.
Google: [url=http://www.google.com/search?hl=en&q=site%3Amicrosoft.com+report+security+vulnerability&btnG=Google+Search]site:microsoft.com report security vulnerability[/url]P.S.: je moet eens proberen te zoeken waar je dit bij Microsoft kunt melden. Nergens dus.
Bovenaan:
[url=https://www.microsoft.com/technet/security/bulletin/alertus.aspx]Report a Security Vulnerability[/url]. Onder de regel: 'I need to report a possible security vulnerability to Microsoft' vind je het email adres.
08-05-2008, 01:48 door
SirDice
Ja, zeker proberen met de standaard screensavers! Als het daarmee lukt is er inderdaad iets niet helemaal snor. Als het een "custom" screensaver is zou het probleem ook in die screensaver kunnen zitten als die niet goed de events afvangt. In dat geval ligt het probleem niet bij Vista.
08-05-2008, 10:23 door
MoreSecure
Standaard screensaver van Vista mensen! Hier de instellingen:
Instelling Screensaver:
http://bp3.blogger.com/_NtPym-bA1Xg/SCK2n1aoxsI/AAAAAAAAA8c/dCbbqqUvWHw/s1600-h/scrsvrinst.jpg
Instellingen energiebeheer
http://bp0.blogger.com/_NtPym-bA1Xg/SCK4QFaoxuI/AAAAAAAAA8s/sKRo0MBL0YY/s1600-h/pwrinstellingen.jpg
Instelling Screensaver:
http://bp3.blogger.com/_NtPym-bA1Xg/SCK2n1aoxsI/AAAAAAAAA8c/dCbbqqUvWHw/s1600-h/scrsvrinst.jpg
Instellingen energiebeheer
http://bp0.blogger.com/_NtPym-bA1Xg/SCK4QFaoxuI/AAAAAAAAA8s/sKRo0MBL0YY/s1600-h/pwrinstellingen.jpg
09-05-2008, 09:40 door
MoreSecure
Antwoord van Microsoft:
.................
Thank you for your message. In reviewing the information you have provided this does not meet the bar
to be tracked as a security vulnerability by the MSRC. To trigger this a person requires unrestricted
physical access to the system which is covered in Law #3 of the 10 Immutable Laws of Security
available at
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx .
Best Regards,
Nate
.......................
De aangehaalde passage:
-------------------
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
Oh, the things a bad guy can do if he can lay his hands on your computer! Here's a sampling, going
from Stone Age to Space Age:
• He could mount the ultimate low-tech denial of service attack, and smash your computer with a
sledgehammer.
• He could unplug the computer, haul it out of your building, and hold it for ransom.
• He could boot the computer from a floppy disk, and reformat your hard drive. But wait, you say, I've
configured the BIOS on my computer to prompt for a password when I turn the power on. No problem –
if he can open the case and get his hands on the system hardware, he could just replace the BIOS
chips. (Actually, there are even easier ways).
• He could remove the hard drive from your computer, install it into his computer, and read it.
• He could make a duplicate of your hard drive and take it back his lair. Once there, he'd have all the time
in the world to conduct brute-force attacks, such as trying every possible logon password. Programs are
available to automate this and, given enough time, it's almost certain that he would succeed. Once that
happens, Laws #1 and #2 above apply.
• He could replace your keyboard with one that contains a radio transmitter. He could then monitor
everything you type, including your password.
Always make sure that a computer is physically protected in a way that's consistent with its value—and
remember that the value of a computer includes not only the value of the hardware itself, but the value of
the data on it, and the value of the access to your network that a bad guy could gain. At a minimum,
business-critical computers like domain controllers, database servers, and print/file servers should
always be in a locked room that only people charged with administration and maintenance can access.
But you may want to consider protecting other computers as well, and potentially using additional
protective measures.
If you travel with a laptop, it's absolutely critical that you protect it. The same features that make laptops
great to travel with – small size, light weight, and so forth—also make them easy to steal. There are a
variety of locks and alarms available for laptops, and some models let you remove the hard drive and
carry it with you. You also can use features like the Encrypting File System in Microsoft Windows® 2000
to mitigate the damage if someone succeeded in stealing the computer. But the only way you can know
with 100% certainty that your data is safe and the hardware hasn't been tampered with is to keep the
laptop on your person at all times while traveling.
-----------------------------
Met andere woorden: als iemand fysiek bij je systeem kan dan is het niet meer de verantwoordelijkheid
van MS om het systeem veiliger te maken. Mijn hemel.....
Op basis van deze derde wet, ziet Microsodft zich niet genoodzaakt actie te ondernemen!!!
.................
Thank you for your message. In reviewing the information you have provided this does not meet the bar
to be tracked as a security vulnerability by the MSRC. To trigger this a person requires unrestricted
physical access to the system which is covered in Law #3 of the 10 Immutable Laws of Security
available at
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx .
Best Regards,
Nate
.......................
De aangehaalde passage:
-------------------
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
Oh, the things a bad guy can do if he can lay his hands on your computer! Here's a sampling, going
from Stone Age to Space Age:
• He could mount the ultimate low-tech denial of service attack, and smash your computer with a
sledgehammer.
• He could unplug the computer, haul it out of your building, and hold it for ransom.
• He could boot the computer from a floppy disk, and reformat your hard drive. But wait, you say, I've
configured the BIOS on my computer to prompt for a password when I turn the power on. No problem –
if he can open the case and get his hands on the system hardware, he could just replace the BIOS
chips. (Actually, there are even easier ways).
• He could remove the hard drive from your computer, install it into his computer, and read it.
• He could make a duplicate of your hard drive and take it back his lair. Once there, he'd have all the time
in the world to conduct brute-force attacks, such as trying every possible logon password. Programs are
available to automate this and, given enough time, it's almost certain that he would succeed. Once that
happens, Laws #1 and #2 above apply.
• He could replace your keyboard with one that contains a radio transmitter. He could then monitor
everything you type, including your password.
Always make sure that a computer is physically protected in a way that's consistent with its value—and
remember that the value of a computer includes not only the value of the hardware itself, but the value of
the data on it, and the value of the access to your network that a bad guy could gain. At a minimum,
business-critical computers like domain controllers, database servers, and print/file servers should
always be in a locked room that only people charged with administration and maintenance can access.
But you may want to consider protecting other computers as well, and potentially using additional
protective measures.
If you travel with a laptop, it's absolutely critical that you protect it. The same features that make laptops
great to travel with – small size, light weight, and so forth—also make them easy to steal. There are a
variety of locks and alarms available for laptops, and some models let you remove the hard drive and
carry it with you. You also can use features like the Encrypting File System in Microsoft Windows® 2000
to mitigate the damage if someone succeeded in stealing the computer. But the only way you can know
with 100% certainty that your data is safe and the hardware hasn't been tampered with is to keep the
laptop on your person at all times while traveling.
-----------------------------
Met andere woorden: als iemand fysiek bij je systeem kan dan is het niet meer de verantwoordelijkheid
van MS om het systeem veiliger te maken. Mijn hemel.....
Op basis van deze derde wet, ziet Microsodft zich niet genoodzaakt actie te ondernemen!!!
09-05-2008, 10:08 door
Lodewijk_XL
hahahaha, de 1e regel van Law #3... Dus als iemand met kwade
bedoelingen achter mijn PC gaat zitten i shet mijn PC niet
meer ?!
Hmm, zo kun je ook met problemen omgaan...
/edit:
Zou dit iets te maken hebben met de cultuur in de US om iedereen een rechtszaak aan te naaien?
bedoelingen achter mijn PC gaat zitten i shet mijn PC niet
meer ?!
Hmm, zo kun je ook met problemen omgaan...
/edit:
Zou dit iets te maken hebben met de cultuur in de US om iedereen een rechtszaak aan te naaien?
09-05-2008, 10:27 door
Bitwiper
Door MoreSecure
Antwoord van Microsoft:
To trigger this a person requires unrestricted physical access to the system which is covered in Law #3 of the 10 Immutable aws of Security available at http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx.
Schandalig. Als ik even naar het toilet loop wil ik niet dat iemand een quick peek in m'n mail kan werpen of zo. Tuurlijk kunnen ze de hele laptop stelen, rebooten met knoppix e.d. maar dat valt veel meer op.Antwoord van Microsoft:
To trigger this a person requires unrestricted physical access to the system which is covered in Law #3 of the 10 Immutable aws of Security available at http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx.
Waarom zou je anders überhaupt wachtwoorden op je PC gebruiken? Dit is minstens net zo erg als een privilege escalation vulnerability.
Aanvulling 11:00: bovendien kan de attacker dan bij alle bestanden op de server(s) waar ik bij kan, iets dat veel minder eenvoudig is als hij/zij reboot met Knoppix en/of m'n laptop steelt.
09-05-2008, 10:49 door
[Account Verwijderd]
[Verwijderd]
09-05-2008, 14:01 door
MoreSecure
opzich hebben ze wel een punt, net zo als die firewire exploit van een tijdje
terug. als iemand toch al fysiek bij je systeem kan dan is er zoveel mogelijk
dat dit er ook nog wel bij kan.
ik vind de reactie opzich best netjes.
terug. als iemand toch al fysiek bij je systeem kan dan is er zoveel mogelijk
dat dit er ook nog wel bij kan.
ik vind de reactie opzich best netjes.
10-05-2008, 23:23 door
MoreSecure
Wederom een reactie van Microsoft:
Thank you for your reply. I have spent some additional time on this issue and
with members of my team and we would like to pass this on as a stability bug
directly to the product team on your behalf. The screensaver password is not
considered a security boundary like the locking feature is, the scenario that
you have presented is a non-default scenario (Changing Power Options), and
this does require physical access. We do think that the product team should
take a look at this for inclusion in an update as a stability bug though.
Certain actions of the screensaver regarding password protection are
documented at http://support.microsoft.com/kb/328000 . Also we do
recommend using the locking feature in Windows XP when leaving the system
rather than the password protected screensaver.
---------------------------------------
Duh!!! Wakker worden!! We hebben het over Vista!!
Thank you for your reply. I have spent some additional time on this issue and
with members of my team and we would like to pass this on as a stability bug
directly to the product team on your behalf. The screensaver password is not
considered a security boundary like the locking feature is, the scenario that
you have presented is a non-default scenario (Changing Power Options), and
this does require physical access. We do think that the product team should
take a look at this for inclusion in an update as a stability bug though.
Certain actions of the screensaver regarding password protection are
documented at http://support.microsoft.com/kb/328000 . Also we do
recommend using the locking feature in Windows XP when leaving the system
rather than the password protected screensaver.
---------------------------------------
Duh!!! Wakker worden!! We hebben het over Vista!!
10-05-2008, 23:34 door
MoreSecure
Antwoord aan Microsoft teruggestuurd:
(prop. Rcpt to Nate?)
Hi,
First,
Let me remind you that the problem was with Vista instead of XP!!
Second,
The same problem can be achieved by Locking the computer (Ctrl-Alt-Del and
then Lock). Then, again, wait for the screensaver and repeat the procedure to
gain access.
This bug is quite serious. Network Administators have to 1) Shut down their
computers or 2) take the computers with them when they go to the toilet!
(prop. Rcpt to Nate?)
Hi,
First,
Let me remind you that the problem was with Vista instead of XP!!
Second,
The same problem can be achieved by Locking the computer (Ctrl-Alt-Del and
then Lock). Then, again, wait for the screensaver and repeat the procedure to
gain access.
This bug is quite serious. Network Administators have to 1) Shut down their
computers or 2) take the computers with them when they go to the toilet!
11-05-2008, 02:59 door
Bitwiper
Door MoreSecure
The same problem can be achieved by Locking the computer (Ctrl-Alt-Del and then Lock). Then, again, wait for the screensaver and repeat the procedure to gain access.
Da's veel erger dan alleen die screensaver, want die heb ik (meestal) aanstaan voor het geval ik een keer vergeet te Ctrl-Alt-Dellen. M'n complimenten dat je bij MS blijft aandringen.The same problem can be achieved by Locking the computer (Ctrl-Alt-Del and then Lock). Then, again, wait for the screensaver and repeat the procedure to gain access.
Wat gebeurt er trouwens als je helemaal uitlogt, vervolgens wacht op de screensaver, en dan de aan/uit knop indrukt?
Onder XP duurt het na uitloggen standaard 10 min voordat de screensaver actief wordt, je kunt waarschijnlijk ook onder Vista die tijd verkorten door in de registry te wijzigen:
key: HKEY_USERS.DEFAULTControl PanelDesktop
(let op hierboven staat punt DEFAULT)
value: ScreenSaveTimeOut = 600 (type: REG_SZ)
Evt. kun je onder diezelfde key de feitelijke screensaver wijzigen:
value: SCRNSAVE.EXE = C:WINDOWSSystem32logon.scr (type: REG_SZ).
PS een bekende truuk is logon.scr vervangen door cmd.exe om user SYSTEM te worden. Onder XP werkten beide wijzigingen direct na uitloggen als admin (een reboot was niet nodig).
wat een slap GELUL ...
De allereerste security begint bij de fysieke beveiliging.
Dus eindconclusie: LET OP JE SPULLEN
Ennuh de omschreven handeling voert men ook dagelijks uit ... YEAH RIGHT !!
De allereerste security begint bij de fysieke beveiliging.
Dus eindconclusie: LET OP JE SPULLEN
Ennuh de omschreven handeling voert men ook dagelijks uit ... YEAH RIGHT !!
11-05-2008, 16:05 door
P2
Wat zal er nu gebeuren als je een Word document (of ander
document) open
hebt staan, als het nog niet bewaard is en je hebt schermbeveiliging
ingesteld
op 10 minuten en dat het wachtwoord nodig is om uit de schermbeveiliging
te
komen, en de schermbeveiliging is actief? (lijkt me dat deze situatie vaak
voorkomt). Als je dan op de aan/uit knop drukt dan wordt je netjes in
windows
gebracht, kun je voor annuleren kiezen en zit je gewoon in Windows!!!
Ik heb dit geprobeerd alleen ik kom dan terecht bij het aanmeldingsscherm document) open
hebt staan, als het nog niet bewaard is en je hebt schermbeveiliging
ingesteld
op 10 minuten en dat het wachtwoord nodig is om uit de schermbeveiliging
te
komen, en de schermbeveiliging is actief? (lijkt me dat deze situatie vaak
voorkomt). Als je dan op de aan/uit knop drukt dan wordt je netjes in
windows
gebracht, kun je voor annuleren kiezen en zit je gewoon in Windows!!!
om de computer te unlocken.
12-05-2008, 10:15 door
MoreSecure
Wederom een reactie van Microsoft maar dan van iemand anders
(waarschijnlijk een stapje hoger in de hierarchie). En ze komen weer op die
Regel 3 terug:
As Nate has stated to you earlier given our un we do do not regard this as a
vulnerability. To reinterate why the Microsoft Security Response Center does
not regard as one:
1. Physical Access is required to accomplish what you have outlined either by
pressing the Power Button, CTRL-ALT-DEL combo as your have outlined. As
need has mentioned earlier, our stance on this is clearly articulated in the 10
Immutable Laws. Please review immutable law #3 at
http://www.microsoft.com/technet/archive/community/columns/security/essays/
10imlaws.mspx?mfr=true as to why this is not considered a security
vulnerability.
2. The Screen Saver Password is not considered a security boundry.
When you combine #1 and #2 you result in an issue that is not considered a
security vulnerability by the MSRC.
Additionally one follow-up question regarding your system configuration, can
you confirm what is the state is within the Screen Saver Settings menu for
the "On resume, display logon screen" option?
Adrian Stone
Sr. Lead Security Program Manager
Microsoft Security Response Center
Overigens heet Nate nu ineens need.....
Ze bliven maar hameren op Physical access en dat dat dan geen security
vulerablility zou zijn. Maar goed..... ik zal ze wel weer een antwoord terugsturen.
P2 zei:
Er zijn een aantal voorwaarden waarbij het fout gaat. Maar die voorwaarden
zijn niet vreemd en zullen bij veel mensen identiek zijn. Een van die
voorwaarden is dat er een bestand geedit moet worden en waarbij dan de
vraag komt om het bestand te bewaren.
Ik ga e.e.a. nogmaals testen want waarschijnlijk hebben ze bij Microsoft meer
duidelijkheid nodig ;-)
To be continued....
(waarschijnlijk een stapje hoger in de hierarchie). En ze komen weer op die
Regel 3 terug:
As Nate has stated to you earlier given our un we do do not regard this as a
vulnerability. To reinterate why the Microsoft Security Response Center does
not regard as one:
1. Physical Access is required to accomplish what you have outlined either by
pressing the Power Button, CTRL-ALT-DEL combo as your have outlined. As
need has mentioned earlier, our stance on this is clearly articulated in the 10
Immutable Laws. Please review immutable law #3 at
http://www.microsoft.com/technet/archive/community/columns/security/essays/
10imlaws.mspx?mfr=true as to why this is not considered a security
vulnerability.
2. The Screen Saver Password is not considered a security boundry.
When you combine #1 and #2 you result in an issue that is not considered a
security vulnerability by the MSRC.
Additionally one follow-up question regarding your system configuration, can
you confirm what is the state is within the Screen Saver Settings menu for
the "On resume, display logon screen" option?
Adrian Stone
Sr. Lead Security Program Manager
Microsoft Security Response Center
Overigens heet Nate nu ineens need.....
...have outlined. As need has mentioned earlier, our ......
Ze bliven maar hameren op Physical access en dat dat dan geen security
vulerablility zou zijn. Maar goed..... ik zal ze wel weer een antwoord terugsturen.
P2 zei:
Ik heb dit geprobeerd alleen ik kom dan terecht bij het
aanmeldingsscherm
om de computer te unlocken.
aanmeldingsscherm
om de computer te unlocken.
Er zijn een aantal voorwaarden waarbij het fout gaat. Maar die voorwaarden
zijn niet vreemd en zullen bij veel mensen identiek zijn. Een van die
voorwaarden is dat er een bestand geedit moet worden en waarbij dan de
vraag komt om het bestand te bewaren.
Ik ga e.e.a. nogmaals testen want waarschijnlijk hebben ze bij Microsoft meer
duidelijkheid nodig ;-)
To be continued....
12-05-2008, 11:16 door
MoreSecure
Inmiddels ben ik er achter dat het alleen maar werkt met de
schermbeveiliging. Microsoft zit dat dus nog steeds niet als beveiligingslek. In
antwoord een bericht gezonden aan Microsoft:
Hello Adrian,
In my opinion, you are fixated on the physical approach. (Pardon my English)
The conditions met to report this (shall I call it bug) "vulnerability" are common:
- Default windows screensaver (i.e. Windows-logo)
- Default activation time of 10 minutes
- "On resume, display logon screen" checked (active)
- On the powerschema the "Powerbutton" is set to shutdown.
- An unsaved edit in notepad
I yet discovered that pressing Ctrl-Alt-Del combo and locking the computer,
really locks the computer and does not react on the power button. So in that
case there is no problem.
Indeed, one should not walk away from his computer without pressing Ctrl-Alt-
Del combo and locking it!
But here is an all-day scenario in the Netherlands:
A lot of companies are small (1 - 50 users). In fact 80% of all companies in the
Netherlands are in this category (the definition of SMB / SME in US is different
than the definition in the Benelux). Often these companies do not have an
dedicated IT department. Mostly the financial manager is the one who has
unlimited access to the network. Monthly revenues are too small to employ a
full system engineer. Again, this is very common in the Netherlands! This
financial manager has limited knowledge of security, hence his primary task is
controlling finance. To make the company's network as secure as possible,
external IT companies often set some security settings. One of them is
passwordprotecting the screensaver. Also the Financial manager's computer
is protected in this way. And indeed, he should press Ctrl-Alt-Delete and lock
his computer every time he walks away. But that is not the real life situation.
Unfortunate, the last resort of securing the customers network is not secure!
Now to the physical aspect: If physical access is needed, then why can't this
be a "Security Vulnerability"? I overlooked the 10 Immutable Laws but I still am
not convinced this issue is NOT an Security Vulnerability.
Please, I still found this to be a big issue. At least this is a "security BUG". Can
you please report this to the responsible/correct development department if
you insist on claiming this not to be a "Security Vulnerability"?
Please let me know.
schermbeveiliging. Microsoft zit dat dus nog steeds niet als beveiligingslek. In
antwoord een bericht gezonden aan Microsoft:
Hello Adrian,
In my opinion, you are fixated on the physical approach. (Pardon my English)
The conditions met to report this (shall I call it bug) "vulnerability" are common:
- Default windows screensaver (i.e. Windows-logo)
- Default activation time of 10 minutes
- "On resume, display logon screen" checked (active)
- On the powerschema the "Powerbutton" is set to shutdown.
- An unsaved edit in notepad
I yet discovered that pressing Ctrl-Alt-Del combo and locking the computer,
really locks the computer and does not react on the power button. So in that
case there is no problem.
Indeed, one should not walk away from his computer without pressing Ctrl-Alt-
Del combo and locking it!
But here is an all-day scenario in the Netherlands:
A lot of companies are small (1 - 50 users). In fact 80% of all companies in the
Netherlands are in this category (the definition of SMB / SME in US is different
than the definition in the Benelux). Often these companies do not have an
dedicated IT department. Mostly the financial manager is the one who has
unlimited access to the network. Monthly revenues are too small to employ a
full system engineer. Again, this is very common in the Netherlands! This
financial manager has limited knowledge of security, hence his primary task is
controlling finance. To make the company's network as secure as possible,
external IT companies often set some security settings. One of them is
passwordprotecting the screensaver. Also the Financial manager's computer
is protected in this way. And indeed, he should press Ctrl-Alt-Delete and lock
his computer every time he walks away. But that is not the real life situation.
Unfortunate, the last resort of securing the customers network is not secure!
Now to the physical aspect: If physical access is needed, then why can't this
be a "Security Vulnerability"? I overlooked the 10 Immutable Laws but I still am
not convinced this issue is NOT an Security Vulnerability.
Please, I still found this to be a big issue. At least this is a "security BUG". Can
you please report this to the responsible/correct development department if
you insist on claiming this not to be a "Security Vulnerability"?
Please let me know.
Ohhww.......Firts rule is: do not attempt to ask
something from Microsoft!
something from Microsoft!
Door Monochroom
Ohhww.......Firts rule is: do not attempt to ask
something from Microsoft!
doe niet zo flauw zeg, ik vind dat microsoft hier erg netjes en uitgebreid Ohhww.......Firts rule is: do not attempt to ask
something from Microsoft!
reageert. ik denk dat moresecure niet tevreden zal worden met het antwoord,
maar de microsoft medewerkers reageren absoluut goed.
13-05-2008, 12:24 door
MoreSecure
Door Anoniem
reageert. ik denk dat moresecure niet tevreden zal worden met het antwoord,
maar de microsoft medewerkers reageren absoluut goed.
Door Monochroom
Ohhww.......Firts rule is: do not attempt to ask
something from Microsoft!
doe niet zo flauw zeg, ik vind dat microsoft hier erg netjes en uitgebreid Ohhww.......Firts rule is: do not attempt to ask
something from Microsoft!
reageert. ik denk dat moresecure niet tevreden zal worden met het antwoord,
maar de microsoft medewerkers reageren absoluut goed.
Vind ik zelf ook. Ze nemen de moeite om het probleem in zoverre uit te diepen
dat ze in ieder geval antwoorden. En inderdaad het antwoord staat me
misschien niet aan maar ik weet zeker dat er werk van gemaakt gaat worden.
M.a.w. het is onder de aandacht.
Ikzelf heb met het "lek" niet zo'n groot probleem. Ik lock m'n PC altijd. Maar in
het laatste bericht wat ik verzonden heb heb ik ook MS erop gewezen dat we
hier in nederland in 80% van de gevallen met de zogenaamde "in het land der
blinden...." systeembeheerder te maken hebben. Ikzelf ben automatiseerder
en probeer klanten zo veilig mogelijk te krijgen. En uitgerekend de financiele
man, die vaak de "systeembeheerder" is, heeft de meeste toegang op het
interne netwerk. Hij zal vaak van z'n plek af lopen en daardoor z'n PC
onbeheerd achterlaten. Inderdaad...heel dom, maar zo werkt het wel hier in
Nederland. Opvoeden? Werkt voor een tijdje. Maar uiteindelijk dient het gemak
de mens. "Oh, de screensaver springt dadelijk aan en dan is de PC ook wel
veilig."
Dus Monochroom, leuke opmerking, maar inderdaad niet helemaal terecht.
toch vind ik wel dat microsoft gelijk heeft. je kan gewoon niet voor elk probleem
met mensen een technische oplossing zoeken / maken. er is altijd wel weer
wat, opvoeden is de enige juiste manier. het feit dat iemand lui is is geen
excuus.
met mensen een technische oplossing zoeken / maken. er is altijd wel weer
wat, opvoeden is de enige juiste manier. het feit dat iemand lui is is geen
excuus.
13-05-2008, 15:03 door
MoreSecure
Door Anoniem
toch vind ik wel dat microsoft gelijk heeft. je kan gewoon niet voor elk probleem
met mensen een technische oplossing zoeken / maken. er is altijd wel weer
wat, opvoeden is de enige juiste manier. het feit dat iemand lui is is geen
excuus.
toch vind ik wel dat microsoft gelijk heeft. je kan gewoon niet voor elk probleem
met mensen een technische oplossing zoeken / maken. er is altijd wel weer
wat, opvoeden is de enige juiste manier. het feit dat iemand lui is is geen
excuus.
Is inderdaad geen excuus maar als daarbij iemand die kwaad wil, een handig
lek heeft om te misbruiken?
Bladeren op internet is ook onveilig. En bladeren naar sites die spyware
bevatten is ook onveilig. Als een gebruiker dus met spyware besmet raakt
omdat een lek in IE of FF het mogelijk maakt dan is het nog steeds de
verantwoording van de gebruiker?
Heb het uitgetest om mijn eigen geassembleerde Vista Ultimate Box en
die "exploit" werkt alleszins niet. Er gebeurt niks als ik op de
aan/uit knop duw.
Als ik blijf duwen wordt de pc natuurlijk uitgeschakelde. Met een open
opensoffice document en met de win logo screensaver.
die "exploit" werkt alleszins niet. Er gebeurt niks als ik op de
aan/uit knop duw.
Als ik blijf duwen wordt de pc natuurlijk uitgeschakelde. Met een open
opensoffice document en met de win logo screensaver.
13-05-2008, 23:44 door
MoreSecure
Waarschijnlijk de laatste reactie van Microsoft gehad:
Thank you for the additional comments however our stance has not changed.
I have forwarded this to the appropriate product group for consideration as a
bug, but the MSRC will not be tracking this as a security vulnerability. As
Adrian reiterated in his message, with physical access being required and the
fact that a screensaver password is not considered a security boundary this
really does not meet the definition of a security vulnerability. Additionally, we
do recommend locking your computer as a security precaution, this is very
important as an attacker could easily compromise a system prior to the
screensaver becoming active.
I have included links to several articles published by Microsoft that discuss
locking your system.
http://www.microsoft.com/canada/home/internetandsecurity/2.4.34_secureyourcomputerwithsimpletips.aspx#3
http://www.microsoft.com/protect/family/guidelines/students.mspx
http://www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx?mfr=true
http://technet2.microsoft.com/WindowsServerSolutions/SBS/en/library/cbf80c9a-870b-47ec-ba16-a8a2960523211033.mspx?mfr=true
http://www.microsoft.com/windowsxp/using/security/data/default.mspx
Best Regards,
Nate
Goed, ze zien het niet als een security vulnerability. Ik kan het op meerdere PC's reproduceren. Belangrijk is om de verschillende voorwaarden (Screensave, Powerbutton en gewijzigde tekst in bijvoorbeeld Word) actief te hebben om de "bug" te zien.
Thank you for the additional comments however our stance has not changed.
I have forwarded this to the appropriate product group for consideration as a
bug, but the MSRC will not be tracking this as a security vulnerability. As
Adrian reiterated in his message, with physical access being required and the
fact that a screensaver password is not considered a security boundary this
really does not meet the definition of a security vulnerability. Additionally, we
do recommend locking your computer as a security precaution, this is very
important as an attacker could easily compromise a system prior to the
screensaver becoming active.
I have included links to several articles published by Microsoft that discuss
locking your system.
http://www.microsoft.com/canada/home/internetandsecurity/2.4.34_secureyourcomputerwithsimpletips.aspx#3
http://www.microsoft.com/protect/family/guidelines/students.mspx
http://www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx?mfr=true
http://technet2.microsoft.com/WindowsServerSolutions/SBS/en/library/cbf80c9a-870b-47ec-ba16-a8a2960523211033.mspx?mfr=true
http://www.microsoft.com/windowsxp/using/security/data/default.mspx
Best Regards,
Nate
Goed, ze zien het niet als een security vulnerability. Ik kan het op meerdere PC's reproduceren. Belangrijk is om de verschillende voorwaarden (Screensave, Powerbutton en gewijzigde tekst in bijvoorbeeld Word) actief te hebben om de "bug" te zien.
Door MoreSecure
Bladeren op internet is ook onveilig. En bladeren naar sites
die spyware
bevatten is ook onveilig. Als een gebruiker dus met spyware
besmet raakt
omdat een lek in IE of FF het mogelijk maakt dan is het nog
steeds de
verantwoording van de gebruiker?
ook daar adviseer je mensen toch om hun browser te updaten,Bladeren op internet is ook onveilig. En bladeren naar sites
die spyware
bevatten is ook onveilig. Als een gebruiker dus met spyware
besmet raakt
omdat een lek in IE of FF het mogelijk maakt dan is het nog
steeds de
verantwoording van de gebruiker?
een virus scanner te gebruiken en bij voorkeur niet daar
twijfelachtige sites te gaan?
niks werkt perfect, en je kan wel van alles en nog wat
proberen dicht te zetten maar als je dan met een simpele
handeling alles weer verstoord dan heeft al die moeite geen
zin. zodra iemand fysiek toegang tot een systeem heeft dan
heb je al zo'n beetje verloren, het is gewoon de moeite niet
waard om dit soort zaken dan met hoge prioriteit op te lossen.
Hoop heisa om een klein probleempje.
MS gelijk, als iemand fysieke toegang heeft tot je systeem en daadwerkelijk
vervelende dingen wil doen dan maakt het erg weinig uit of je toevallig net
een Word document open hebt dat je nog aan het editten bent en je je
screensaver aan hebt.
Mocht je een echt beveiligins probleem vinden in Vista dan kan ik je
verzekeren dat MS daar zeer correct op zal reageren, hoewel ik je zou
aanraden om dat te verkopen via iDefense of ZDI :)
Zou me er niet zo druk om maken
MS gelijk, als iemand fysieke toegang heeft tot je systeem en daadwerkelijk
vervelende dingen wil doen dan maakt het erg weinig uit of je toevallig net
een Word document open hebt dat je nog aan het editten bent en je je
screensaver aan hebt.
Mocht je een echt beveiligins probleem vinden in Vista dan kan ik je
verzekeren dat MS daar zeer correct op zal reageren, hoewel ik je zou
aanraden om dat te verkopen via iDefense of ZDI :)
Zou me er niet zo druk om maken
14-05-2008, 12:02 door
SirDice
Ok... Stel je laptop gebruikt full disk encryption (safe boot bijv.).. Je hebt netjes je firewire poort dicht gekit. BIOS (met wachtwoord in eeprom) ingesteld zodat alleen van de interne harddisk geboot kan worden.. Loopt even weg om te plassen, screensaver springt vanzelf aan.. Hartstikke veilig, ook fysiek... toch?!?
Met dit 'trucje'' kun je toch mooi toegang krijgen op een machine die normaal gesproken niet toegankelijk is.. Beetje jammer dat dit gebaggetaliseerd wordt.
Wat ik ook niet helemaal begrijp is dat er klaarblijkelijk 2 verschillende executie paden zijn voor de screensaver. De eeste gaat via de ctrl-alt-del, lock en de andere als de screensaver automatisch aanspringt. Waarom is daar een verschil in?
Met dit 'trucje'' kun je toch mooi toegang krijgen op een machine die normaal gesproken niet toegankelijk is.. Beetje jammer dat dit gebaggetaliseerd wordt.
Wat ik ook niet helemaal begrijp is dat er klaarblijkelijk 2 verschillende executie paden zijn voor de screensaver. De eeste gaat via de ctrl-alt-del, lock en de andere als de screensaver automatisch aanspringt. Waarom is daar een verschil in?
15-05-2008, 11:00 door
MoreSecure
Natuurlijk moet je er voor zorgen dat je je PC veilig achterlaat. En daarom staat
heel nederland 's ochtends het oliepeil van de eigen auto te controleren....
toch....? of niet dan....? Dat moet toch ook elke dag?
Het gemak dient de mens! En als op de bovenbeschreven manier op zo'n
eenvoudige wijze toegang te krijgen is op een systeem bij
de "systeembeheerder" van een klein bedrijf (meestal de Boekhouder), dan
vind ik het een megagroot probleem.
Maar daarover zullen uiteraard de meningen verdeeld zijn (en blijven) het heeft
dus geen zin om hier daarover discussies te voeren denk ik.
Het tekent maar weer eens dat 80% van het bedrijfsleven in nederland
gewoon niet bekend is. Ik bedoel dat bedrijven van het formaat Microsoft
helemaal geen idee hebben hoe het er bij MKB (80% van de nederlandse
bedrijven) aan toe gaat. Uiteraard hebben de grote bedrijven
toegangssystemen en beveiligingsregels enz enz enz. Maar ook die grote
bedrijven zijn vatbaar voor de (aangeboren?) nalatigheid van de mens. Sterker
nog: iedereen ligt dubbel van het lachen als er weer een PC of USB stick
wordt gevonden met de meest kritische gegevens. En dan hebben we het over
defensie en andere overheden. Je zou zeggen dat het veiligheids niveau van
die instellingen immens zou zijn. Niet dus!!
Ik zie het hele verhaal als volgt: je kunt een deur met 20 sloten afsluiten,
sleutelhouders instrueren steeds de deur af te sluiten enz enz. Maar als de
timmerman bijvoorbeeld de scharnieren aan de buitenkant van de deur
plaatst, dan is een inbreker heel snel binnen! (hij moet dan ook de
dievenklauwen vergeten zijn natuurlijk).
Zo zie je maar weer dat we hier in nederland zo verschrikkelijk liberaal zijn dat
er bij een groot probleem (en dan heb ik het niet alleen over software) nooit een echt verantwoordelijke aan te wijzen valt. Zo bang zijn we met z'n allen in deze groeiende claimcultuur geworden. En om af te sluiten, in dit geval heeft
Microsoft haar sporen met claimen al wel verdient!
heel nederland 's ochtends het oliepeil van de eigen auto te controleren....
toch....? of niet dan....? Dat moet toch ook elke dag?
Het gemak dient de mens! En als op de bovenbeschreven manier op zo'n
eenvoudige wijze toegang te krijgen is op een systeem bij
de "systeembeheerder" van een klein bedrijf (meestal de Boekhouder), dan
vind ik het een megagroot probleem.
Maar daarover zullen uiteraard de meningen verdeeld zijn (en blijven) het heeft
dus geen zin om hier daarover discussies te voeren denk ik.
Het tekent maar weer eens dat 80% van het bedrijfsleven in nederland
gewoon niet bekend is. Ik bedoel dat bedrijven van het formaat Microsoft
helemaal geen idee hebben hoe het er bij MKB (80% van de nederlandse
bedrijven) aan toe gaat. Uiteraard hebben de grote bedrijven
toegangssystemen en beveiligingsregels enz enz enz. Maar ook die grote
bedrijven zijn vatbaar voor de (aangeboren?) nalatigheid van de mens. Sterker
nog: iedereen ligt dubbel van het lachen als er weer een PC of USB stick
wordt gevonden met de meest kritische gegevens. En dan hebben we het over
defensie en andere overheden. Je zou zeggen dat het veiligheids niveau van
die instellingen immens zou zijn. Niet dus!!
Ik zie het hele verhaal als volgt: je kunt een deur met 20 sloten afsluiten,
sleutelhouders instrueren steeds de deur af te sluiten enz enz. Maar als de
timmerman bijvoorbeeld de scharnieren aan de buitenkant van de deur
plaatst, dan is een inbreker heel snel binnen! (hij moet dan ook de
dievenklauwen vergeten zijn natuurlijk).
Zo zie je maar weer dat we hier in nederland zo verschrikkelijk liberaal zijn dat
er bij een groot probleem (en dan heb ik het niet alleen over software) nooit een echt verantwoordelijke aan te wijzen valt. Zo bang zijn we met z'n allen in deze groeiende claimcultuur geworden. En om af te sluiten, in dit geval heeft
Microsoft haar sporen met claimen al wel verdient!
15-05-2008, 11:48 door
MoreSecure
Door SirDice
Ok... Stel je laptop gebruikt full disk encryption (safe
boot bijv.).. Je hebt netjes je firewire poort dicht gekit.
BIOS (met wachtwoord in eeprom) ingesteld zodat alleen van
de interne harddisk geboot kan worden.. Loopt even weg om te
plassen, screensaver springt vanzelf aan.. Hartstikke
veilig, ook fysiek... toch?!?
als je dat allemaal doet dan lock je je pc ook wel zelfOk... Stel je laptop gebruikt full disk encryption (safe
boot bijv.).. Je hebt netjes je firewire poort dicht gekit.
BIOS (met wachtwoord in eeprom) ingesteld zodat alleen van
de interne harddisk geboot kan worden.. Loopt even weg om te
plassen, screensaver springt vanzelf aan.. Hartstikke
veilig, ook fysiek... toch?!?
zodra je op staat en
wacht je niet op een screensaver om actief te worden. deze
handeling wordt volgens mij al jaren aangeraden.
Door SirDice
Wat ik ook niet helemaal begrijp is dat er klaarblijkelijk 2
verschillende executie paden zijn voor de screensaver. De
eeste gaat via de ctrl-alt-del, lock en de andere als de
screensaver automatisch aanspringt. Waarom is daar een
verschil in?
via crtl-alt-del en dan locken of via windows toets + l lockWat ik ook niet helemaal begrijp is dat er klaarblijkelijk 2
verschillende executie paden zijn voor de screensaver. De
eeste gaat via de ctrl-alt-del, lock en de andere als de
screensaver automatisch aanspringt. Waarom is daar een
verschil in?
je een system en activeer je niet de screen saver. door te
wachten doe je dat wel. het is gewoon iets anders.
Door MoreSecure
Ik zie het hele verhaal als volgt: je kunt een deur met 20
sloten afsluiten,
sleutelhouders instrueren steeds de deur af te sluiten enz
enz. Maar als de
timmerman bijvoorbeeld de scharnieren aan de buitenkant van
de deur
plaatst, dan is een inbreker heel snel binnen! (hij moet dan
ook de
dievenklauwen vergeten zijn natuurlijk).
dieIk zie het hele verhaal als volgt: je kunt een deur met 20
sloten afsluiten,
sleutelhouders instrueren steeds de deur af te sluiten enz
enz. Maar als de
timmerman bijvoorbeeld de scharnieren aan de buitenkant van
de deur
plaatst, dan is een inbreker heel snel binnen! (hij moet dan
ook de
dievenklauwen vergeten zijn natuurlijk).
vergelijking gaat gewoon niet op, die screensaver is dan
meer een dranger die de deur in een automatisch slot drukt
en soms niet werkt. als iemand toch in de buurt is kan ie
ook een stokje tussen de deur duwen, of de sleutel een keer
kopiëren.
wat je niet in wilt zien is dat dit niet een beveiliging
is, maar een makkelijk hulpje dat ook als het wel goed werkt
zo makkelijk te omzeilen is.
16-05-2008, 15:45 door
SirDice
Door Anoniem
Waarom is het anders? Het netto effect lijkt hetzelfde te doen en daar schuilt dus een gevaar. Ik zeker weet dat de meeste mensen hier niet van op de hoogte zijn (tot dit bericht was ik dat in ieder geval niet).Door SirDice
Wat ik ook niet helemaal begrijp is dat er klaarblijkelijk 2 verschillende executie paden zijn voor de screensaver. De eeste gaat via de ctrl-alt-del, lock en de andere als de screensaver automatisch aanspringt. Waarom is daar een verschil in?
via crtl-alt-del en dan locken of via windows toets + l lock je een system en activeer je niet de screen saver. door te wachten doe je dat wel. het is gewoon iets anders.Wat ik ook niet helemaal begrijp is dat er klaarblijkelijk 2 verschillende executie paden zijn voor de screensaver. De eeste gaat via de ctrl-alt-del, lock en de andere als de screensaver automatisch aanspringt. Waarom is daar een verschil in?
Door SirDice
hetzelfde te doen en daar schuilt dus een gevaar. Ik zeker
weet dat de meeste mensen hier niet van op de hoogte zijn
(tot dit bericht was ik dat in ieder geval niet).
het netto effect van een screensaver is dat je scherm zwartDoor Anoniem
je een system en activeer je niet de screen saver. door te
wachten doe je dat wel. het is gewoon iets anders.
Waarom is het anders? Het netto effect lijktDoor SirDice
Wat ik ook niet helemaal begrijp is dat er klaarblijkelijk 2
verschillende executie paden zijn voor de screensaver. De
eeste gaat via de ctrl-alt-del, lock en de andere als de
screensaver automatisch aanspringt. Waarom is daar een
verschil in?
via crtl-alt-del en dan locken of via windows toets + l lockWat ik ook niet helemaal begrijp is dat er klaarblijkelijk 2
verschillende executie paden zijn voor de screensaver. De
eeste gaat via de ctrl-alt-del, lock en de andere als de
screensaver automatisch aanspringt. Waarom is daar een
verschil in?
je een system en activeer je niet de screen saver. door te
wachten doe je dat wel. het is gewoon iets anders.
hetzelfde te doen en daar schuilt dus een gevaar. Ik zeker
weet dat de meeste mensen hier niet van op de hoogte zijn
(tot dit bericht was ik dat in ieder geval niet).
wordt of dat er leuke dingetjes op verschijnen. het netto
effect van je computer locken is dat je direct in een inlog
scherm komt. ik vind dat toch wel zeker iets anders. er
wordt niet al jaren geadviseerd om je computer te locken
als je weg gaat. ze adviseren niet te wachten tot je
screensaver aangaat. sowieso staat daar niet altijd die
wachtwoord functie niet altijd aan.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
