BindView Corporation przeprowadziło badanie dotyczące tego w jaki, i czy w bezpieczny, sposób najwięksi producenci systemów operacyjnych udostępniają “łaty systemowe” (patches) do tych systemów, czy robią to w sposób bezpieczny dla klienta?
Badanie jakie przeprowadziło BindView skupiało się głównie na tematyce autentyczności i integralności dostępnych patchy. Główne zagrożenie jakie wzięto pod uwagę to to polegające na możliwości dołączenia, lub wręcz zastąpienia patcha koniem trojańskim. Użytkownik w takim wypadku pobiera z serwera producenta zainfekowany plik. Zagrożenie nie jest iluzoryczne, o czym świadczy chociażby nie tak dawne włamanie na serwer takiego giganta jak Microsoft. Dodatkowo, zaawansowane narzędzia pozwalają również na “przekazanie” do klienta zainfekowanego patcha nawet wtedy gdy jego serwer został nienaruszony. Odbywa się poprzez ogólnie znane słabości protokołów komunikacyjnych. Badaniu poddano 27 producentów. Okazało się, że zwyczajowo już przyjętym rozwiązaniem jest to, że producenci udostępniają patche za darmo, poprzez Internet, i są to zasoby udostępniane dla wszystkich, niezależnie czy osoba z nich korzystająca jest klientem firmy czy nie. Po przebadaniu wszystkich dostawców wyróżniono 3 metody uwierzytelnienia i kontroli autentyczności patchy: PGP, https, ssh. Jednak niektórzy z producentów w ogóle nie korzystają z tego typu metod. Dlatego warto spojrzeć na wyniki badań, jak to się ma w przypadku naszego dostawcy.Może się też okazać, że nasz dostawca udostępnia mechanizm bezpieczeństwa tylko, że my z niego nie korzystamy, co w największym stopniu może dotyczyć użytkowników Microsofta.

http://www.theregister.co.uk/content/4/15618.html
http://razor.bindview.com/publish/papers/os-patch.html

Jeden z lokalnych sądów w Stanach Zjednoczonych uznał, że skanowanie portów komputerowych nie jest niezgodne z prawem, pod warunkiem oczywiście że nie wyrządza szkody.
Sąd przychylił się do głosu obrony i uznał, że czas spędzony na rozpatrywaniu przypadku skanowania sieci, czy komputera, nie może być wzięty pod uwagę przy określeniu poniesionych strat finansowych. Strata może być uznana tylko wtedy jeśli następuje naruszenie integralności i dostępności sieci. “Jest to dobra decyzja dla naukowców związanych z bezpieczeństwem teleinformatycznym” – stwierdził obrońca oskarżonego. Decyzja wydaje się być kontrowersyjna. Wszelkie klasyfikacje przypadków naruszenie bezpieczeństwa teleinformatycznego zawierają przypadek skanowania sieci, czy pojedynczego komputera. Oczywiście, rzadko kiedy dochodzi w wyniku samego skanowania do naruszenia bezpieczeństwa (chociaż nie jest to niewykluczone), w sposób określony przez sąd amerykański (integralność, dostępność), ale jest sposób na zebranie wystarczającej porcji informacji, która w rezultacie może posłużych do dokonania zasadnaiczego włamania. Co więcej – to właśnie włamanie może nie zostać wykryte przez właśnie dzięki wcześniejszemu skanowaniu. Wątpliwe jest również określenie tej decyzji jako korzystnej dla naukowców. Poważni naukowcy tego typu eksperymenty dokonują w laboratoriach.

http://www.securityfocus.com/frames/?content=/templates/article.html%3Fid%3D126

Mija rok, a od koniec roku wszyscy czekają na prezenty od Świętego Mikołaja. Co chciałby dostać od niego Security Manager?
Czarodziejską różdżkę, za dotknięciem której użytkownicy zrozumieją wreszcie co to jest szyfrowanie, do czego mogą go używać i to że jak ktoś zgubi swój klucz to nie można mu poprostu dać następnego, niezależnie od tego jak głośno będzie na nas krzyczał. Kierowników działów, którzy będą przychodzili do niego i mówili “Cześć, właśnie rozpoczynamy nowy projekt i chcielibyśmy cię poprosić o twój wkład, tak aby przyszły system od samego początku był bezpieczny” Powołania na konsultanta w sprawie włamania, ale w innej firmie tak aby mógł się nacieszyć dochodzeniem a nie cierpieć z powodu włamania do siebie. Telefonu, który by automatycznie rozpoznawał handlowca na lini i przekierowywał go “poczekalnię” gdzie będzie słuchał fusion jazz do czasu aż się … rozłączy. Systemu detekcji zagrożeń, który nie będzie generował zbyt wielu fałszywych alarmów. Te i inne życzenia wysłał do ŚM Jude Thaddeus z Computerwordu.

http://www.computerworld.com/cwi/Printer_Friendly_Version/frame/0,1212,NAV65-663_STO55267-,00.html