- http://www.jacksonms.gov/ - ASP.NET;
- http://cityofstuart.us/ - Joomla (...);
- http://www.greenvillenc.gov/ - ASP.NET.

PHP en Windows als onderliggende technologie dus. Daarmee heb je al twee van de vier ruiters van de Apocalyps in het zicht.

Lees het artikel nog eens. Het gaat om e-mailservers.

Jij bent weer lekker bezig. Het is algemeen bekend, dat kwaadwillenden zich hoofdzakelijk op Windows richten, omdat dit systeem het meest verspreid is. Wanneer ik bij telefoons kijk, dan gaat het meestal om Android, om precies dezelfde reden. Dus die ruiters van de Apocalyps zitten allemaal op hetzelfde paard: de grote massa.

Kom bij commentaar eens met iets constructiefs, nl. hoe we dit zouden kunnen aanpakken, i.p.v. iets destructiefs, door het afkraken van een systeem. De grootste ellende wordt in alle drie de situaties in mijn ogen gevormd door onvoldoende veiligheidsdenken. Misschien was educatie van de gebruikers een betere oplossing. Vergelijk met de acties van de banken om hun klanten bewuster te laten handelen m.b.t. pogingen om geld van accounts te stelen.

En natuurlijk het stokpaardje van de IT-er, zorg voor regelmatige, goede, geteste backups, zodat je schade kunt minimaliseren. Verder de juiste firewall instellingen, anti virus, anti spam, anti phishing.

Je bedoelt ASP.net op Windows en Joomla op Linux? Dan heb je inderdaad alle ellende al te pakken.
Wil natuurlijk niet zeggen dat dit ook maar iets met het probleem te maken heeft.

Je weet dat Linux ook de meeste malware host? En de meeste gehackte website? En de grootste data lekken afkomstig zijn van Linux?

Welke twee? Er zijn namelijk 4 ruiters van de Apocalyps.

Wat heeft een fucking website te maken met een geïnfecteerd e-mailsysteem?
Troll.

Het zal misschien een verrassing voor je zijn maar de keuze in technologie voor de website is meestal dezelfde als die voor het e-mailsysteem.
Sukkel.

Alleen in de eerste twee gevallen. Bij deze titel had men de 3e stad weg moeten laten uit het verhaal.

Systemen worden uitbesteed, die van jackson Mississippi (ms) jacksonms bij https://www.civicplus.com/
De staat https://www.its.ms.gov/Procurement/Pages/MSP.aspx Als dat met Micrososftspullen of andere gebeurt maakt niet veel uit, het moet technologieonafhankelijk zijn. Dat het een lappendeken wordt etc. is wat anders.

Je moet wel weten hoe er tegen ICT in organisaties aangekeken wordt. Dat is heel anders dan een nerd daarin in zit.
Welk emailsysteem zou beter zijn dan Exchange? Je mag het Lotus Notes (IBM) proberen of iets als Kolab.
Gaarne in termen van monitoring logging configureerbaarheid etc.

Heb je geen Google? (Of Bing in jouw geval?) Er zijn genoeg goede alternatieven:

https://alternativeto.net/software/microsoft-exchange-server/

Ik dacht ik schrijf het even van me af.


Maar daar kan dat arme paard niets aan doen. De ruiter dirigeert.


Dat zal toch moeilijk zijn (het aanpakken) want - je schrijft het hierboven ook al - het gaat vaak om verouderde systemen die zijn ontwikkeld in de tijd dat er nog niet zoveel security awareness was omdat het allemaal wel los liep. Die tijd is voorbij maar die systemen staan. Ze draaien al lange tijd, er is veel geld ingestoken en we zijn er allemaal afhankelijk van geworden. Educatie van gebruikers zou niet nodig moeten zijn want je houdt toch niet tegen dat er een keer eentje op iets verkeerds klikt. Systemen moeten zo ingericht zijn dat de veiligheid ervan niet afhankelijk is van wat gebruikers al dan niet doen.


+1

Ik kan denk beter googlen dan jij. De vraag was niet oppervlakkige alternatieven, die zijn er genoeg.

De kwalitatieve beoordeling op functionaliteit moet er nog bij.
Probeer Lotus Notes en je krijgt een java VM onder motorkap er bij op het endpoint, server side behoorlijk chaotisch maar zal lukken. Je moet echt niet aankomen met andere gangbare pakketten. Met Limux had je met email OSS een van de debacles. Geen bedrijfsapparatuur aan de nieuwe baas kunnen leveren en ook nog eens geheel plat gaan omdat de email header te lang was. Kolab werd als een opvolger genoemd

De vraag is: kwaliteit en betrouwbaarheid.
Je blijft dat soort functionele bedrijfseisen gewoon missen, dat is jammer

Maar summa summarum komt het allemaal neer op, veiligheidsdenken en veiligheidsmaatregelen sluitpost op de begroting.
Het grote menselijke probleem, korte termijn denken en pas actie nemen als het IT-kalf reeds verdronken is en dan nog in dit geval dempt men de put niet, want te weinig mensen zien er de noodzaak van in.

Men gaat het hen ook niet in extenso uitleggen, want dan zou het grenzeloze vertrouwen in de Interwebs en in dit geval de mail-technologie een knauw krijgen en dat wil men ten faveure van de voortgezette profijt optimalisatie ten allen tijde verhinderen.

Hoeveel slachtoffers het maakt aan de kant van het totaal product = de eindgebruikers van diensten maakt niet uit, als het graaien maar door kan gaan. En waar mensen voor een dubbeltje op de eerste rang willen zitten, is de onveiligheid niet ver weg.

Denk aan diensten als afraid dort org, waar opeens jouw sub-domein jouw sub-domein niet blijkt te zijn.

In het geval van de server zie voor hieronder:
https://www.security-database.com/cpe.php?detail=cpe:/a:microsoft:iis:8.5&type=product

Zie op https://toolbar.netcraft.com/site_report?url=http://www.jacksonms.gov/

In het geval van de mail server, die draait via civicplus government web design:

Af te voeren JQuery bibliotheek gevonden:
jquery 1.11.2 Found in https://www.civicplus.com/hs/hsstatic/jquery-libs/static-1.4/jquery/jquery-1.11.2.js
Vulnerability info:
Medium 2432 3rd party CORS request may execute CVE-2015-9251
Medium CVE-2015-9251 11974 parseHTML() executes scripts in event handlers

JavaScript error notificatie bericht:
TypeError: Cannot read property 'create' of undefined
/:2045

Verder nog een onveilige connectie -
Insecure Identifiers
Unique IDs about your web browsing habits have been insecurely sent to third parties.

2d3e76ad4a03933fXXXXXXXXXXXXc929ab6b9bab-1555532050 www.civicplus.com __cfruid

luntrus

Ik heb de vraag al afdoende beantwoord. Dat je het antwoord niet begrijpt of niet kan duiden ligt toch echt bij jezelf. Sterkte daarmee.

Helemaal niets. Maar dat heeft nog niet iedereen door.


Wow... Dat is echt voor het eerst dat ik dit hoor. Zal waarschijnlijk ook een redenen zijn waarom dit zulke onzin posts zijn.
Het staat zo ver van de werkelijkheid dat dit eigenlijk lacht wekkend is, of triest. Ik ben er nog niet helemaal uit.

De meeste on-premises mail systemen zijn Exchange en dat draait inderdaad op Windows. Maar de meeste websites draaien op Linux. Je constatering klopt dus al niet.
ASP.net kan inderdaad ook gebruikt worden voor zakelijke websites, maar dit staat echt helemaal los van een eventuele mail omgeving.

Wat een sukkel post....

Dit noem jij alternatieven voor de zakelijke omgeving? Er zitten er 2 of 3 bij die redelijk enterprise ready zijn (gmail, Zarafa, Zimbra). Maar ik ben ze nog nooit tegen komen bij enig bedrijf of bij aanvragen voor resources. Waarschijnlijk vanwege een redenen.
Ik zou uitgelachen worden met als ik deze producten zou adviseren bij bedrijven.

@ 08:35 door Anoniem (alias Tha Cleaner of zijn al die beheerders 'language challenged'?)

Sorry maar ik ben bij dat 'een redenen' gestopt met lezen. Ik kan iemand die dat intikt (meerdere keren zelfs zie ik) echt niet serieus nemen...

Pardon?

Don't make your problem my problem..... And don't mix up please....

In de Taal ben ik zeker niet de beste. Kom ik zonder enige moeite vooruit hoor. Ik weet mijn zwakke punt hierin. En schaam mij er ook niet voor. Weet je zwakke punten…..

Maar in beheer/ implementatie of troubleshooten ben ik zeker geen slechte.

Maar je raakt een goed punt, sommige voelen zich superieur aan de rest. En zie hier, een prachtig voorbeeld.
Maar geeft niet hoor. Ieder zijn zwakte, toch? Blijkbaar voel jij je beter dan iemand die de Nederlandse taal minder beheerst. Dat zegt echter niets over andere kwaliteiten van deze persoon.

Maar met deze uiteenzettingen is het hoofdprobleem,
waar we steeds tegenaan lopen nog niet verdwenen.

Dat is dus steeds weer een slechte inschatting van de risico's die men loopt.
Het ging al zo lang goed en het zal nu ook wel weer goed gaan.

Meer geluk vaak dan wijsheid vaak en zachte heelmeesters maken stinkende wonden.

Zijn de fouten in de implementatie te wijten aan lamlendigheid, aan incompetentie of zoals ik bevroed,
de zuinigheid van de man of vrouw, die de beslissingen neemt, maar de reikwijdte er niet van in kan schatten.

Tot het moment dat het fout gaat en men een schuldige moet gaan aanwijzen.
Vaak ook verzoeken gehad om berichten weg te halen,
omdat de IT-er in kwestie niet wilde dat zijn misser de chef onder ogen kwam.

Maar hoe wordt die algemene toestand getackled, kijk maar eens op een shodan IP overzicht
met een hele reeks processen en bijbehorende kwetsbaarheden, exploits en bugs met CVE's,
vaak "gefundenes Fressen"voor de eerste de beste l33t cybercrimineel.
Samen met een IP dazzlepodje komt ie al een eind
en hij heeft nog veel specifieker spul in zijn kwaadaardigheids-toolbox klaarkiggen
en de pakkans is daarbij gering.

En zo veranderde er voorlopig weer niets. Ik zie het alleen maar meer problematisch worden.

Daar kun je je dus beter op richten, dan hier spelletjes IT verplassen te willen doen,
en vooral niet tegen de wind in, want dan krijg je een natte broek.

luntrus

https://youtu.be/_VrFV5r8cs0


Dunning-krüger...