|
 |
dilluns, 11 / desembre / 2006 |
|
|
[The Risks Digest] Rebooting airplanes
The first trip where this happened, as we were scheduled to leave the gate, there was a delay, and then the pilot said over the intercom: "We're having trouble with some of the cockpit instruments, so I'm going to force a hard reboot by switching off all the power for a bit." The lights and all other power on the plane then went off, and after a fifteen second pause, on again. A minute later, the pilot said: "That seems to have fixed the problem," and we were off.
|
  | 23:24 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
 Secunia ofereix, des de fa pocs dies, un servei anomenat Software Inspector que ajuda a determinar la possible existència de software vulnerable al sistema. La definició que dóna Secunia és:
The Secunia Software Inspector will inspect your operating system and software for insecure versions and missing security updates. A normal inspection lasts 5-40 seconds, while a thorough inspection may take several minutes.
Feature Overview - The Secunia Software Inspector:
- Detects insecure versions of applications installed
- Verifies that all Microsoft patches are applied
- Assists you in updating your system and applications
- Runs through your browser. No installation or download is required.
The Secunia Software Inspector works by inspecting version information on your system and therefore it does not take into account if you e.g. applied a workaround to address a vulnerability.
El funcionament és ben simple: un applet Java que, prèvia autorització de l'usuari, fa una cerca dels programes instal·lats (o, si s'escull l'opció d'anàlisi en profunditat, en totes les unitats de disc) i en determina la versió i el nivell d'actualització. A continuació compara la versió amb la última publicada pel fabricant i, en cas de que tinguem una versió antiga ens avisa i ens diu que hem de fer per actualitzar-la.
L'he provat en una de les meves màquines virtuals i em mostra això:
Si marco la vulnerabilitat detectada al reproductor Flash, la informació és aquesta:
És bàsicament el que diu la descripció de Secunia: només mira la versió instal·lada i no verifica si la vulnerabilitat realment hi és... Tampoc no fa cap comprovació de la configuració del sistema operatiu (per exemple, aquesta màquina virtual no té cap antivirus instal·lat).
La revisió que fa, d'altra banda, és molt superficial. Per exemple, en aquesta màquina virtual tinc instal·lat software mooooolt antic (com el Netscape Communicator 4.8, que el necessito per emmagatzemar els certificats de seguretat en format cert7, i tots els components addicionals que inclou com ara el Real Player 8). Aquest software antic, altament insegur, no és detectat.
Però el més sorprenent és això de que el Windows està OK. Tinc instal·lat un Windows XP amb SP2, però no l'actualitzo pas i tampoc el tinc configurat per que instal·li ell sol les actualitzacions de forma automàtica; és una màquina que faig servir per provar coses i per generar els certificats el format cert7 amb el Communicator, que és la única forma que he trobat de fer-ho) així que tampoc no em preocupa massa que no estigui actualitzada.
Però una cosa es que no em preocupi el seu nivell d'actualització i l'altra que me digui que no té cap problema de seguretat. Des de la publicació del SP2 s'han descobert alguns problemes de seguretat; no molts, certament, però sí alguns... Al tauler de control d'aquesta màquina només es mostra una actualització instal·lada:
Ens trobem doncs amb un producte que ofereix el pitjor que es pot oferir: una falsa sensació de seguretat. Els usuaris que l'executin creuran que el seu sistema és segur quan en realitat té nombrosos problemes de seguretat.
Només aquells que marquin l'opció de verificació en profunditat (Enable thorough system inspection) veuran els molts i nombrosos problemes. A la mateixa màquina virtual, el que amb la verificació normal era gairebé tot verd passa a ser tot vermell:
Certament això s'acosta molt més a la realitat que no pas el primer exàmen. Aquest hauria de ser el valor per omissió de la prova per tal que l'eina fos realment útil. Però ara per ara l'únic que aconsegueix és que, amb l'exàmen per defecte, em pensi que el meu sistema és pràcticament una fortalesa.
|
| 00:35 (# Enllaç permanent) | Comentaris: | Trackback:
|
|
© Copyright 1996-2007 Xavier Caballe.  . Si no s'indica expressament el contrari, el material publicat en aquest weblog es distribueix d'acord amb la llicència Creative Commons. El contingut és responsabilitat única i exclusivament del seu autor i no té cap relació amb les seves activitats professionals.
|
 |
 |
 |
 |
Contingut actualitzat
Categories
Darrers comentaris
Arxiu
Contingut antic
(ja no s'actualitza)
Versions anteriors
d'aquesta pàgina
|
 |
 |
 |
 |
|
