Kako napisati RFP za penetration testing</h1> <article> <h1>Kako napisati RFP za penetration testing</h1> <p>levaja — Tue, 07 Feb 2012 13:32:00 GMT</p> <p>Kako napisati RFP za penetration testing</p> <p>Prirodom posla kojim se bavim, relativno često sam u prilici da dobijem ili čitam zahteve za dostavljanje ponuda za penetration testing usluge. U 10% slučajeva, RFP (request for proposal) je napisan smisleno, u ostalih 90% nije, što je uglavnom posledica nedovoljnog poznavanja ovog tipa usluga na našem tržištu. Ovaj post ima za cilj da bar malo razveje maglu koja obavija datu temu i da omogući donosiocima odluka u kompanijama/institucijama/bankama/štagod da lakše napišu RFP, kao i da bolje odaberu izvođača (OK, bilo bi idealno da je to uvek moja firma, ali nažalost to nije moguće :) ). Cela priča ide u 6 tačaka i to:</p> <blockquote> <p>1. Potreban nam je penetration testing/vulnerability assessment</p> <p>2. Šta se testira i kako?</p> <p>3. Pošto penetration testing (Daj 5)?</p> <p>4. Ko treba da radi PT?</p> <p>5. Nastup</p> <p>6. Primer</p> </blockquote> <p>Vežite se, krećemo:</p> <blockquote> <p>1. Potreban nam je penetration testing/vulnerability assessment.</p> </blockquote> <p>Čekajte...da li vam je potreban penetration testing ili vulnerability assessment? To nije isto.</p> <p>Da ne bih pisao nešto što je već X puta napisano, evo jednostavnog objašnjenja:</p> <p><a href="http://www.darknet.org.uk/2006/04/penetration-testing-vs-vulnerability-assessment/">http://www.darknet.org.uk/2006/04/penetration-testing-vs-vulnerability-assessment/</a></p> <blockquote> <p>2. Šta se testira i kako?</p> </blockquote> <p>PT može da se izvede na dva osnovna načina: </p> <blockquote> <p>· bez prethodnog poznavanja ciljeva </p> <p>· sa poznavanjem ciljeva.</p> </blockquote> <p>Ukoliko želite najrealniju sliku bezbednosti vaše mreže, onda je testiranje bez prethodnog poznavanja ciljeva, baš ono što vi želite, posebno kada se radi o testiranju iznutra (internal PT). Zašto? Zato što ovakav pristup ima i realan napadač na vašoj mreži. Da li ćete vašeg zaposlenog koji je, eto malo rešio da neautorizovano eskalira svoje privilegije, zamoliti da ne dira ona dva domen kontrolera koji su još uvek pod Windowsom 2000 i ažurirani su poslednji put dok je još postojala SFRJ ili tako nekako? Ne naravno. Nećete najverovatnije ni znati da je neko počeo napad, a samim tim ni šta napadač napada. Pred njim je široko polje i ima mogućnost da zloupotrebi bilo koji sistem ili deo sistema za svoje potrebe. Takva su pravila igre. Ako želite realan uvid u stanje bezbednosti, konsultant treba da poštuje isto pravilo igre. Izuzeci naravno postoje. Možete se dogovoriti koji sistemi ne treba da se testiraju npr. u radno vreme, jer testiranje može da proizvede „štucanje“ u radu produkcije, te je iz tog razloga pametno da se npr. produkciona Oracle baza zaobiđe u radno vreme ili da se preslika na neko virtuelno okruženje (što efikasno onemogućava deo testova, ali bar aplikativni nivo može da se proveri). Drugi razlog za ovakav pristup je što je on u isto vreme i kontrola vašeg IT odeljenja. Gotovo redovno nam se događa da kada IT unapred zna šta će biti testirano, ti sistemi budu „specijalno“ podešeni za testove (bivaju ažurirani dan pre testiranja iako nisu ažurirani proteklih 6 meseci, razna ometanja komunikacije, nerealni ACLovi na mrežnoj opremi itd..). Nama je takav setup dodatni izazov sa kojim se rado (i uspešno) nosimo, ali vi ne dobijate realnu sliku bezbednosti, a to je ono zašta nas plaćate! Ovakvo ponašanje nije samo greška ljudi iz IT odeljenja, već i menadžmenta koji rezultate koristi da „nabije na nos“ administratorima, iako pre toga naravno nisu slali ljude na security kurseve a smatraju ih odgovornima za sve, pa se oni prirodno brane na ovaj način. U krajnjem skoru, ispašta kompanija. Dakle, testovi širokog opsega daju realniju sliku (još ako su nenajvaljeni IT-ju, tim bolje). Ne dozvolite da se rezultati koriste za „prepucavanje“. Rezultati su tu da bi kompanija bezbednije, a samim tim i bolje poslovala.</p> <blockquote> <p>3. Pošto penetration testing (Daj 5)?</p> </blockquote> <p><a href="http://msforge.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/levaja/clip_5F00_image0021_5F00_63EEC090.jpg"></a></p> <p>Ukoliko ovako postavite pitanje, odgovori koje ćete dobiti se kreću u cenovnom rangu od par stotina evra do par desetina hiljada evra. </p> <p>Penetration testing (PT) nije burek. Pa čak i bureka ima različitih i na osnovu toga ima i različitih cena. Takođe, nisu svi pekari, kao ni sve pekare, isti, tako da cena zavisi i od toga.</p> <p>Cena zavisi od tačke 2 (šta se testira i kako). Ukoliko se testira bez prethodnog poznavanja ciljeva, <b><u>onda ste vi ti koji određujete koliko će testovi trajati, a ne konsultanti!!!</u></b></p> <p>Dužina trajanja testova zavisi od toga kako ste uradili analizu. Ukoliko vaša analiza kaže da prosečan napadač provede toliko i toliko sati pokušavajući da vam hakne sajt, onda je to odlična polazna osnova. Za testiranje iznutra stvari su malo komplikovanije, jer najverovatnije nemate logove koje bi ste analizirali kao u slučaju extraneta i doneli neki zaključak o potrebnom vremenu (nemate logove? :) ovo je tema za sasvim drugi post). U zavisnosti od veličine i kompleksnosti mreže, kao i od sprovedenih zaštitnih mehanizama, varira i vreme. Ukoliko ne možete nekom internom matematikom doći do toga koliko bi napadač posvetio vremena pokušajima upada, pitajte nekoga. </p> <p>Ukoliko ste odabrali drugi pristup, odnosno testiranje sa prethodnim poznavanjem opsega ciljeva, onda možete dobiti od ponuđača <b><u>njihovu</u></b> procenu vremena potrebnog za testiranje. Međutim:</p> <p><b><u>Poznavanje ciljeva nije nabrajanje opsega IP adresa!!!</u></b> Ukoliko tražite da vam dostave ponudu na osnovu broja IP adresa, opet ćete dobiti uglavnom netačne procene vremena. Možda u ovom trenutku pomislite da vas baš briga ako se konsultantska firma prevarila pa dala pogrešnu procenu na svoju štetu. E pa razmislite ponovo na čiju je štetu. Da li više volite da automehaničar odvoji vreme da vam detaljno pregleda auto pred put na more ili da pošalje momka koji uči zanat da otalja posao jer je majstor loše pogodio posao? Sve ima svoju cenu. Nema besplatnog ručka (sada vam nisam rekao ništa novo, ali bolje da naglasim).</p> <p>Jedna IP adresa može imati samo jedan otvoren port/servis, a može ih imati XY (reverse proxy, anyone?). <b><u>Na osnovu IP adrese ne možete dobiti dobru ponudu</u></b>. Poznavanje ciljeva znači da ste u svom RFP-u tačno naveli šta treba da se testira i koliko čega ima. U slučaju eksternog testiranja koje često obuhvata i web sajt/web aplikacije, podrazumeva se da ponuđač unapred zna kolika je web aplikacija - nije isto testirati sajt moje firme koji je 10 stranica statičkog HTMLa i testirati neku online prodavnicu sa milion interaktivnih formi. Ovakav način naručivanja posla, posebno kroz tendere koji su javno dostupni nosi u sebi rizik da celom svetu opišete šta od opreme imate i koliko i gde mislite da ste „tanki“ pa zato to želite i da testirate. Hakeri prate ovakve RFP-ove, ne pomažite im da vam ugroze sistem. Ukoliko odaberete ovaj pristup RFP-u, napravite tender po pozivu ili tako nekako. <br />I tako stižemo i do sledećeg:</p> <blockquote> <p>4. Ko treba da radi PT?</p> </blockquote> <p>I ovde postoje dva pristupa:</p> <blockquote> <p>· Sertifikati</p> <p>· Reference</p> </blockquote> <p>Neke firme preferiraju ljude sa sertifikatima. Sertifikati dokazuju da je neko prošao neku obuku. Kao što i diploma fakulteta pokazuje da je neko završio fakultet. Svi znamo na koje sve načine može da se stigne do diplome/sertifikata, tako da oslanjanje na papir ovog tipa, kada je PT u pitanju, nije dobar izbor. Postoji još jedan problem, opet u vezi sa nepoznavanjem ove problematike od strane naručilaca posla, a to je <b><u>zahtevanje pogrešnih sertifikata u RFP-u</u></b>. Ljudi, hajde da jednom za svagda definišemo ovu stvar: <b><u>CISSP je menadžment sertifikat, a ne tehnički sertifikat!!!</u></b><u></u></p> <p>To je kao da vam treba centarfor za tim, ali stalno raspisujete konkurs za trenera. U ovom slučaju, CISSP je veoma, veoma cenjen sertifikat i nimalo ga nije lako dobiti, čak šta više, nemoguće je „namestiti“ ispit, to znaju svi koji su u struci. Međutim, poznavanje procedura za rukovanje incidentima, svakako nije ono što ste vi tražili...vama ljudi treba neko ko ume da prepozna tehničku anomaliju i da je zloupotrebi. Ima CISSP sertifikovanih koji poseduju i ovaj skill set, ali to definitivno nema nikakve veze sa time što su CISSP sertifikovani. </p> <p>Dalje, sertifikati iz security struke koji se stiču tako što se na ispitu odgovara na na a,b,c,d pitalice su blago rečeno smešni kada je PT u pitanju. Odgovorno ovo tvrdim jer sam i sam ponosni vlasnik nekih od njih. Isti su mi potrebni samo da bih odgovorio na RFP koji je pogrešno napisan :).</p> <p>Mali je broj sertifikata koji zaista zahtevaju demonstraciju praktičnog znanja. Pogledajte npr. Offsec sertifikate <a href="http://www.offensive-security.com/">http://www.offensive-security.com/</a> . Ispiti traju 24 do 48 sati i polažu se hands on. Nema pitalica, nema drag-and-drop pitanja. Samo vi, metasploit i debugger :).</p> <p><b><u>Reference.</u></b> E to je ono što vama treba. I to ne reference firme. Trebaju vam lične reference konsultanata koji će eventualno raditi posao, jer firme ostaju a ljudi odlaze i drugi dolaze. Pogledajte FK CZ danas i FK CZ 1991. god.. Isto ime, a današnji rezultati – drama J (BTW, navijam za Partizan).</p> <p>Pogledajte za koga su ti ljudi radili, šta su radili (do onog stepena do kojeg to mogu da vam kažu, sigurno su obavezani mnogim NDA ugovorima). Pogledajte da li su objavljivali radove, pisali alate, koliko su zero-day ranjivosti pronašli. To su bitni parametri. Svako (ili skoro svako) ume da pokrene Nessus i da vam da izveštaj. To nije ono što vi plaćate!</p> <p>Firmu pitajte da li zapošljava ljude sa krimogenom prošlošću. Poslednje u životu što vam treba je da angažujete konsultante sa dosijeom u MUP-u. Posle njih možete lepo „format C:\“ cele mreže, pa lagano ispočetka. Proverite imena na internetu, Google (skoro) sve zna i pamti kao slon.</p> <blockquote> <p>5. Nastup</p> </blockquote> <p><b><u>Nastup: Vi ste u velikom problemu, samo vam mi možemo pomoći!</u></b> Postoji određen etički kodeks u našem poslu koji zabranjuje FUD (<a href="http://en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt">http://en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt</a> ) marketing prema klijentima. Ukoliko primetite da konsultanti primenjuju ove metode, tražite odmah druge. Neiskrenost prema klijentu je loša u svakom poslu, a u pitanjima bezbednosti može imati vrlo poražavajuće implikacije po naručioca.</p> <p><b><u>Nastup: Poznajemo sve tehnologije.</u></b> Ukoliko konsultanti sve znaju, onda mi javite njihove telefone ili email adrese. Mnogo bih voleo da upoznam nekoga ko sve zna. Evo ja se bavim ovim poslom skoro deceniju, pa svaki dan učim nešto novo. Šta ću, verovatno sam glup :).</p> <p><b><u>Nastup: Sada ste garantovano bezbedni. </u></b>Ukoliko vam konsultanti garantuju da ste bezbedni nakon njihovih testova, razmislite ponovo. To niko ne može da vam garantuje. Ko tvrdi suprotno, ili nema pojma o čemu priča ili srpski rečeno - laže. <b><u>Penetration testing ne dokazuje da ste bezbedni. Penetration testing može samo da dokaže da niste bezbedni! </u></b>Zapamtite ovo. To što mi nismo uspeli u određenom roku da vam upadnemo u sistem, ne znači da ste bezbedni. To samo znači da mi nismo pod datim uslovima i u tom vremenu uspeli. Možda bi neko drugi uspeo. Uvek ima neko jači. Možda je jutros neko pronašao zero-day ranjivost za koju mi ne znamo a odnosi se na sistem koji vi koristite. Penetration testing je „best effort“ pristup. Lažni osećaj sigurnosti je mnogo gori od svesti o tome da možda nešto nije u redu. Komunicirajte sa konsultantima. </p> <p><b><u>Nastup: Naši testovi su 100% bezbedni po produkciju.</u></b> Ma ‘hajte molim vas J. Možda ako se ne izvode na toj produkciji. Prilikom testiranja koriste se pored manuelnih tehnika i alata i automatizovani alati koji vrše i po nekoliko desetina hiljada testova. Iako postoje kategorije testova koji su opasniji po produkciju od nekih drugih, niko ne može da garantuje da neće imati uticaja. Potpisnik ovih redova je jednom vrlo uspešno „ubio“ bankarsku aplikaciju najobičnijim port skenom. Naravno, na konsultantima je da primene sve mere opreza da do takvih događaja ne dođe, već sam pominjao prebacivanje produkcionih osetljivih servera u virtuelno okruženje i slično, međutim napadač neće imati takvih skrupula. Možda je bolje da utvrdite nestabilnost sistema u kontrolisanom okruženju i uslovima kada možete ispratiti kako je došlo do incidenta nego da otkrijete na teži način. Pentesteri su probni vozači vaše mreže, bolje da sada ispadne menjač, nego na autoputu :).</p> <blockquote> <p>6. Primer zahteva za dostavljanje ponuda</p> </blockquote> <p>Primer kratkog i preciznog zahteva za PT :</p> <p> <table cellspacing="0" cellpadding="0"> <tr> <td> <p><b><i>Ciljevi i vremenski okvir</i></b></p> <p><b><i></i></b></p> <p>· <i>Externi graybox penetration testing, na mrežnom i aplikativnom nivou, 5 dana van radnog vremena.</i></p> <p>· <i>Interni Blackbox penetration testing, na mrežnom i aplikativnom nivou, 10 dana u toku radnog vremena.</i></p> <p>· <i>Interni Blackbox penetration testing, na mrežnom i aplikativnom nivou, 2 dana van radnog vremena.</i></p> <p><i></i></p> <p><b><i>Lokacije:</i></b></p> <p><i></i></p> <p>· <i>Externi penetration testing se radi sa lokacije konsultanta</i></p> <p>· <i>Interni penetration testing se radi sa naše lokacije i sa naše opreme.</i></p> <p><i></i></p> <p><b><i>Izveštaj</i></b></p> <p><i></i></p> <p>· <i>Executive i tehnički izveštaj sa rangiranjem ranjivosti po CVSS sistemu i preporukama za ublažavanje rizika, rok 10 radnih dana.</i></p> </td> </tr> </table> </p> <p>Detalji se dalje definišu ugovorom, ali već ste naveli sve što treba da bi ste dobili kvalitetne ponude.</p> <p>Nadam se da sam bar malo pomogao!</p><div style="clear:both;"></div> </article> <article> <h1>Februarski sastanak IT PRO korisničke grupe u Beogradu</h1> <p>aleksandar — Wed, 01 Feb 2012 12:11:00 GMT</p> <p>Sutra, 2. februara 2012. godine, <strong>od 18 časova, </strong>u prostorijama Microsofta (Makedonska 30, VI sprat, Beograd) održaće se prvi sastanak IT PRO korisničke grupe u ovoj godini. Naziv predavanja je <strong>PowerShell v3 Remoting: Nove mogućnosti.</strong><span id="ctl00_ctl00_ctl00_ContentPlaceHolderAll_ContentPlaceHolderContent_ContentPlaceHolderContent_FormViewNews_ctl00_LabelBody"></span></p> <p>Apstrakt predavanja: <em>Remoting je osnovna odlika Windows PowerShell-a. Mada uveden u prethodnoj verziji Windows PowerShell-a, dolazi do punog značaja u v3 kao osnovni način za upravljanje Windows Server-om 8. Iako to ne bi rekli na prvi pogled, novi Server Manager se zasniva na PowerShell Remoting-u. Pridružite nam se da se upoznate sa promenama koje je donela nova verzija, kao i potpuno novim mogućnostima koje PowerShell Remoting čine mnogo robusnijim, pouzdanijim, fleksibilnijim i efikasnijim.</em></p> <div>Dođite da se družimo i da saznate nešto novo. Vidimo se.</div><div style="clear:both;"></div> </article> <article> <h1>Javna rasprava o Nacrtu zakona o informacionoj bezbednosti</h1> <p>levaja — Tue, 31 Jan 2012 13:01:25 GMT</p> <p>Uključite se!</p> <p><a title="http://www.digitalnaagenda.gov.rs/vesti/javna-rasprava-povodom-nacrta-zakona-o-informacionoj-bezbednosti/" href="http://www.digitalnaagenda.gov.rs/vesti/javna-rasprava-povodom-nacrta-zakona-o-informacionoj-bezbednosti/">http://www.digitalnaagenda.gov.rs/vesti/javna-rasprava-povodom-nacrta-zakona-o-informacionoj-bezbednosti/</a></p><div style="clear:both;"></div> </article> <article> <h1>Software Developer’s Journal - Demystifying Lazy Load Pattern</h1> <p>vukoje — Tue, 17 Jan 2012 21:33:00 GMT</p> I have written an article for Software Developer’s Journal 1/2012 titled “Demystifying Lazy Load Pattern”. READ MORE>>...(<a href="http://msforge.net/blogs/vukoje/archive/2012/01/17/software-developer-s-journal-demystifying-lazy-load-pattern.aspx">read more</a>) </article> <article> <h1>SCOM - monitorisanje Office 365</h1> <p>oparnica — Fri, 06 Jan 2012 10:37:00 GMT</p> Iako još od 28. Juna 2011. postoji Office 365, monitorisanje istog je mesec dana mladje.. 27. Jul 2011. Evo kako se podešava SCOM da monitoriše Office 365 http://www.systemcentercentral.com/BlogDetails/tabid/143/IndexID/90983/Default.aspx...(<a href="http://msforge.net/blogs/oparnica/archive/2012/01/06/scom-monitorisanje-office-365.aspx">read more</a>) </article> <article> <h1>Срећна Нова година и Божић уз нови MS epic fail :)</h1> <p>levaja — Thu, 29 Dec 2011 10:18:11 GMT</p> <p><a href="http://msforge.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/levaja/SrecnaNG_5F00_76EB24A8.png"></a> </p> <p><a title="http://pastebin.com/wur40B8X" href="http://pastebin.com/wur40B8X">http://pastebin.com/wur40B8X</a></p> <p><a href="http://seclists.org/fulldisclosure/2011/Dec/477">http://seclists.org/fulldisclosure/2011/Dec/477</a></p><div style="clear:both;"></div> </article> <article> <h1>Otkud moj SCOM zna da je kafe ponestalo?</h1> <p>oparnica — Sat, 24 Dec 2011 08:48:00 GMT</p> SCOM je ekstremno ozbiljan proizvod. Može bre kuću da sruši ! Kad predstavljam SCOM i njegove mogućnosti vezane za monitorisanje i upravljanje IT entitetima (IT servisima, aplikacijama, procesima, kodom, šasijama, itd.. itd..) prva reakcija je uvek poštovanje. Kad napomenem da SCOM može da nadzire i klima uredjaje, proizvodne mašine, automatiku, .. tu su već klijenti očarani proizvodom... Ali kad im pokažem da SCOM može da kontroliše i nivo kafe u kafe automatu...(<a href="http://msforge.net/blogs/oparnica/archive/2011/12/24/otkud-moj-scom-zna-da-je-kafe-ponestalo.aspx">read more</a>) </article> <article> <h1>System Center Operations Manager 2007 / R2 Pregled</h1> <p>oparnica — Wed, 21 Dec 2011 11:23:00 GMT</p> Pozdrav, SCOM i ja. Susret sa SCOM-om je proizašao iz potrebe da se pronadje adekvatan MSP (Managed Service Provider) alat, koji zadovoljava visoke zahteve tržišta. Dobili smo zadatak (moj kolega Nicklas Westerberg i ja) da izgradimo MSP sistem centar koji će raditi kao "Inteligence surveillance" centar i vršiti nadzor svih IT servisa tadašnjih SLA (Service Level Agreement) klijenata.... da ne dužim mnogo..proslo je tu mnogo proizvoda, Sysorb, WhatsUp Gold, itd...(<a href="http://msforge.net/blogs/oparnica/archive/2011/12/21/system-center-operations-manager-2007-r2-pregled.aspx">read more</a>) </article> <article> <h1>Najava sastanaka NS IT i BG IT Pro korisničkih grupa</h1> <p>aleksandar — Sun, 20 Nov 2011 20:00:00 GMT</p> <p><span style="font-family:arial, sans-serif;font-size:13px;border-collapse:collapse;"> </span></p> <div style="color:#222222;">Sastanak NS IT UG će se održati 23. novembra 2011. sa početkom u 17:30h.</div> <div style="color:#222222;">Lokacija: <a title="Vega IT Sourcing" href="http://www.vegaitsourcing.rs/contact.aspx" target="_blank" style="color:#1155cc;"><span style="color:#3366cc;">Vega IT Sourcing</span></a> (<a href="http://www.vegaitsourcing.rs/contact.aspx" target="_blank" style="color:#1155cc;">http://www.vegaitsourcing.rs/contact.aspx</a>)</div> <p> </p> <div style="color:#222222;">Sastanak BG IT Pro UG će se održati 1. decembra 2011. sa početkom u 18:00h.</div> <div style="color:#222222;">Lokacija: Makedonska 30, VI sprat - Microsoft Srbija</div> <p> </p> <div><span style="color:#222222;">Tema oba sastanka će biti</span><span style="color:#500050;"> Windows PowerShell Remoting.</span></div> <div></div> <div class="im" style="color:#500050;"> <div> <div>Apstrakt: PowerShell v2 je doneo dugo priželjkivanu funkcionalnost—PowerShell remoting—i omogućio nam da izvršavamo PowerShell komande na udaljenim računarima. Tokom ove prezentacije videćete kako se omogućava PowerShell remoting, kako izvršavamo udaljene komande, šta je PowerShell sesija, kako uspostavljamo interaktivnu sesiju, na koji način istovremeno izvršavamo komandu na većem broju računara...</div> <p> </p> <div>Očekujte veliki broj praktičnih primera.</div> <p> </p> <div>Dođite da se družimo i da saznate nešto novo. Poželjno je da postavite što veći broj pitanja. Vidimo se.</div> <p> </p> </div> </div><div style="clear:both;"></div> </article> <article> <h1>mergeness, a tool to merge .nessus report files</h1> <p>levaja — Fri, 11 Nov 2011 21:34:00 GMT</p> <p>If you need to merge .nessus report files from time to time, here is a tool to help you out. </p> <p> </p> <p></p> <p> </p> <p><a href="http://msforge.net/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/levaja/mergeness.zip">Download mergeness!</a></p><div style="clear:both;"></div> </article> <article> <h1>Šta želite da saznate o PowerShell-u?</h1> <p>aleksandar — Thu, 03 Nov 2011 22:03:00 GMT</p> <p>Planiramo za kraj novembra sastanke IT Pro korisničkih grupa u Beogradu i Novom Sadu. Koje teme vezane za Windows PowerShell vas zanimaju? Šta bi želeli da čujete? Evo par predloga:</p> <ul> <li>PowerShell za početnike</li> <li>PowerShell i WMI</li> <li>PowerShell Remoting</li> <li>Interactive PowerShell Scripting</li> </ul> <p>Ostavite komentar- glasajte za neki od predloga ili predložite novu temu. Vidimo se krajem novembra.</p> <p> </p><div style="clear:both;"></div> </article> <article> <h1>Sinergija 11: Automating Windows Server 2008 R2 Administration with Windows PowerShell</h1> <p>aleksandar — Thu, 03 Nov 2011 18:11:00 GMT</p> <p> Na Microsoft <a href="http://www.mssinergija.net" title="Microsoft Sinergija" class="null">Sinergiji 11</a> imali ste priliku da čujete par prezentacija koje su za temu imale <a href="http://www.microsoft.com/powershell" title="Scripting with Windows PowerShell" class="null">Windows PowerShell</a>. Jedna od njih, <em>Automating Windows Server 2008 R2 Administration with Windows PowerShell</em>, je bila izuzetno posećena i sala nije bila dovoljno velika da primi sve zainteresovane. Ako ste i vi bili među njima, evo prilike da pogledate prezentaciju.</p> <div id="__ss_10005900" style="width:425px;"><strong style="display:block;margin:12px 0 4px;"><a target="_blank" href="http://www.slideshare.net/alexandair/automating-windows-server-2008-r2-administration-with-windows-powershell" title="Automating Windows Server 2008 R2 Administration with Windows PowerShell">Automating Windows Server 2008 R2 Administration with Windows PowerShell</a></strong> <div style="padding:5px 0 12px;">View more <a target="_blank" href="http://www.slideshare.net/">presentations</a> from <a target="_blank" href="http://www.slideshare.net/alexandair">alexandair</a> </div> </div> <p><a href="https://skydrive.live.com/?cid=5DEC3B62D9308943&sc=documents#!/?cid=ae5f13a01302c385&sc=documents&id=AE5F13A01302C385%21195!cid=AE5F13A01302C385&id=AE5F13A01302C385%21195&sc=documents" title="Preuzmite demo kod" class="null">Demo kod</a> je takođe dostupan za preuzimanje.</p> <p> </p> <p>Svima koji su izdržali tropsku temperaturu u sali i sačekali kraj predavanja, još jednom hvala. Nadam se da se isplatilo.</p><div style="clear:both;"></div> </article> <article> <h1>Sinergija 11 presentation material</h1> <p>vukoje — Sun, 23 Oct 2011 01:10:00 GMT</p> Here is the presentation material [ download ] [ view online ]. Also I have a some interesting resources for you. READ MORE>>...(<a href="http://msforge.net/blogs/vukoje/archive/2011/10/23/sinergija-11-presentation-material.aspx">read more</a>) </article> <article> <h1>Sinergija11 Announcement</h1> <p>vukoje — Sat, 15 Oct 2011 19:55:00 GMT</p> I will be giving a talk on 19th October at this year Sinergija titled “ Soprex framework on .NET in action ”. The target of this session is to cover leading ideas and basic principles behind Soprex Core Application (SCA) framework for building enterprise applications. I will cover some of the most important design decisions we made while building it. Some of them are: How we implemented Domain objects (entities) and why. What are we using for Data Access and why it is awesome! How Model...(<a href="http://msforge.net/blogs/vukoje/archive/2011/10/15/sinergija11-announcement.aspx">read more</a>) </article> <article> <h1>Microsoft Sinergija (Synergy) 2011</h1> <p>Bojan Jovičić — Sat, 08 Oct 2011 09:01:00 GMT</p> This year I will be speaking at the annual Microsoft conference Sinergija 2011 (Sinergy) . As a CIO I am very proud that this year there are even two speakers from our company's IT team, beside myself. This is a significant acknowledgement both to the whole company as well as to my work in inspiring and motivating others to grow and learn, but also to join the community and share the knowledge (starting with 2009 when one of my associates held one track, to 2010 and this with two of my associates...(<a href="http://msforge.net/blogs/bojan/archive/2011/10/08/microsoft-sinergija-synergy-2011.aspx">read more</a>) </article> <article> <h1>Zbogom TMG!</h1> <p>levaja — Tue, 26 Jul 2011 21:07:02 GMT</p> <p>Microsoft je izgleda odlučio da prestane sa izbacivanjem novih verzija ISA/TMG. Nisam uspeo da nađem zvaničnu MS potvrdu u vezi ovoga ali čini se da je TMG 2010 poslednji džedaj :(</p> <p>Malo više detalja na: <a title="http://blogs.isaserver.org/shinder/2011/05/27/death-of-tmg/" href="http://blogs.isaserver.org/shinder/2011/05/27/death-of-tmg/">http://blogs.isaserver.org/shinder/2011/05/27/death-of-tmg/</a></p> <p>Da li je vreme da se okrenemo alternativama? I kojim? Šta mislite?</p> <p>Što se mene lično tiče, moram da priznam da se osećam pomalo kao magarac jer sam preporučivao ljudima da pređu na TMG i sad ispade da sam ih dovukao čamcem na sred mora i ostavio ih bez jedra, vesla ili bilo čega sličnog. Možda naučim nešto pametno iz svega ovoga…</p> <p>Ako naiđem na neki update, baciću ga ovde.</p> <p>Pozz!</p><div style="clear:both;"></div> </article> <article> <h1>TechEd 2011 recommended sessions</h1> <p>vukoje — Sun, 12 Jun 2011 19:18:00 GMT</p> Thanks to Sorpex I had a great pleasure to visit this year TechEd held in Atlanta. I got a chance to attend many interesting talks and also meet the people from Microsoft that build the tools I have been using for years. In the focus of the conference were the Cloud, Windows Phone and Application Lifecycle Management. Here are the most interesting sessions available online that I recommend READ MORE >>...(<a href="http://msforge.net/blogs/vukoje/archive/2011/06/12/teched-2011.aspx">read more</a>) </article> <article> <h1>BUILD konferencija, osmica i ostalo…</h1> <p>kune_do — Wed, 08 Jun 2011 08:53:00 GMT</p> <p>Možda ste već čuli, možda ne, svakako još jednom…BUILD konferencija će se desiti ove godine u Anaheim-u od 13-16 septembra. </p> <p>Ko može da ode bilo bi super…mislim samo prisustvo deliću istorije će biti dovoljno samo za sebe…</p> <p>Zvaničan sajt je <a href="http://www.buildwindows.com/" title="http://www.buildwindows.com/">http://www.buildwindows.com/</a>, par dodatnih korisnih linkova <a href="http://twitter.com/bldwin">Twitter</a> / <a href="https://www.facebook.com/pages/Build/156095381124816?ref=ts#!/pages/Build/156095381124816">Facebook</a><b> / </b><a href="https://register.buildwindows.com/">Registration</a></p> <p>Sve ovo zbog skorašnjeg video materijala oko ‘Windows 8’ - A First Look at ‘Windows 8’ <a href="http://www.microsoft.com/presspass/presskits/windows7/" title="http://www.microsoft.com/presspass/presskits/windows7/">http://www.microsoft.com/presspass/presskits/windows7/</a></p> <p>rgds,</p> <p>s.</p><div style="clear:both;"></div> </article> <article> <h1>WebFu video materijali</h1> <p>kune_do — Tue, 07 Jun 2011 07:25:00 GMT</p> <p>Postovali smo sve video materijale na webfu.rs.</p> <p>Puni snimci svih sesija sa ovogodišnjeg WebFu-a održanog 30. marta 2011. godine, nalaze se na zvaničnom sajtu na adresi <a href="http://www.webfu.rs/agenda">http://www.webfu.rs/agenda</a> (link sa naziva svakog predavanja vodi do snimka tog predavanja. <em>Silverlight </em>će vam biti potreban). </p> <p>Po prvi put od kada se slični događaji održavaju u našoj organizaciji, možemo da se pohvalimo mogućnošću da celokupni sadržaji Konferencije postanu potpuno dostupni i našim korisnicima koji su toga dana bili sprečeni da prisustvuju WebFU! događaju. </p> <p>Nadam se da će vam koristiti!</p> <p> </p> <p>rgds</p> <p>s.</p><div style="clear:both;"></div> </article> <article> <h1>Lean Architecture: for Agile Software Development</h1> <p>Bojan Jovičić — Sat, 04 Jun 2011 06:07:00 GMT</p> I recently got my hands on hard copy of an excellent book of James Coplien - Lean Architecture: for Agile Software Development . I was one of the reviewers for the book and have only the words of praise for it. This book brings the world of the architecture right in the context of agile. If you are using Lean, Scrum, XP or any of the other agile approaches in any of the roles in the process, this is the book for you. If focuses on the collaborative approach as one of the key success factors of the...(<a href="http://msforge.net/blogs/bojan/archive/2011/06/04/lean-architecture-for-agile-software-development.aspx">read more</a>) </article> <article> <h1>Azure Blob Storage .vs µTorrent</h1> <p>zmajcek — Sun, 29 May 2011 14:47:51 GMT</p> <p>Jedan moj poznanik je jednog dana pokušao da pokrene Windows Azure Storage Emulator, ali je Blob Storage uporno odbijao da se pokrene sa mističnom porukom “The process cannot access the file because it is used by another process”.</p> <p>Ispostavilo se da je problem u µTorrent aplikaciji koja je zauzela port 10000. Naravoučenije …</p> <p>poz,</p> <p>ZBL</p><div style="clear:both;"></div> </article> <article> <h1>Microsoft Dynamics AX - Remedy for slow Microsoft Excel import</h1> <p>Bojan Jovičić — Sun, 29 May 2011 11:58:00 GMT</p> Recently I have been asked to help with solving an issue that involved reading data from Microsoft Excel (xls format) into Microsoft Dynamics AX . Original approach was used with default set of classes for Microsoft Excel (SysExcelApplication, SysExcelWorksheets, SysExcelWorksheet, etc.). The excel file in question was very small but with a rather large number of columns (~150). About 200 reads were made per row. What made us investigate this further was the fact that import was quite slow. After...(<a href="http://msforge.net/blogs/bojan/archive/2011/05/29/microsoft-dynamics-ax-remedy-for-slow-microsoft-excel-import.aspx">read more</a>) </article> <article> <h1>FP#TEST</h1> <p>zmajcek — Sat, 28 May 2011 13:39:02 GMT</p> <p>U subotu 28.05.2011 održan je završni test kursa “Funkcionalno programiranje”.</p> <p><a href="http://cid-83b116bd7be418b8.office.live.com/browse.aspx/Public/Blog/FP%5ENTEST">Ovde možete naći postavke i rešenja zadataka</a>.</p> <p>O rezultatima će polaznici biti obavešteni naknadno putem mail-a.</p> <p>pozz <br />ZBL</p><div style="clear:both;"></div> </article> <article> <h1>FP#9</h1> <p>zmajcek — Sat, 28 May 2011 13:35:35 GMT</p> <p>U subotu 28.05.2011 održano je deveto predavanje na temu “Funkcionalno programiranje”.</p> <p>Prikazan je I objašnjen primer izrade Windows Forms aplikacije u programskom jeziku F#. Na kraju je rađen završni test.</p> <p><a href="http://cid-83b116bd7be418b8.office.live.com/browse.aspx/Public/Blog/FP%5EN9">Ovde možete naći kod</a>.</p> <p>pozz <br />ZBL</p><div style="clear:both;"></div> </article> <article> <h1>FP#8</h1> <p>zmajcek — Mon, 23 May 2011 06:15:36 GMT</p> <p>U subotu 21.05.2011 održano je osmo predavanje na temu “Funkcionalno programiranje”.</p> <p>Obrađene su sledeće teme:</p> <ul> <li>Reaktivno programiranje u F#-u </li> <li>Reactive Extensions (Rx)</li> </ul> <p><a href="http://cid-83b116bd7be418b8.office.live.com/browse.aspx/Public/Blog/FP%5EN8">Ovde možete naći PPTX i kod</a>.</p> <p>pozz <br />ZBL</p><div style="clear:both;"></div> </article> </main></body></html>