актуальны.
но лучше не с WM_TIMER.
См. сцылки

Согласно CVSS

Access Vector LOCAL (локальный пользователь должен запустить)
Access Complexity HIGH (надо заслать и заставить распаковать)
Authentication NOT-REQUIRED (учтено в локальном доступе)
Confidentiality Impact NONE (информация не раскрывается)
Integrity Impact PARTIAL (затрем один файл, если у пользователя есть права!)
Availability Impact PARTIAL (сделаем затертый файл недоступным)
Impact Bias NORMAL (распределение - нормальное)
BASE SCORE   2,6

Exploitability PROOF-OF-CONCEPT (я бы даже poc не высталял)
Remediation Level UNAVAILABLE (путей закрытия нет)
Report Confidence CORROBORATED (пока особо не подтверждена бага)
TEMPORAL SCORE 2,3

Итого - 2,3 из 10. Не низкий?

< которую не обнаружит ни один существующий на данный момент сканер проверки уязвимостей и уровня "запатченности">

За то на неё заоорет благим матом любая нормальная WIDS.
А вообще - идея хорошая. Чтобы сканер в режиме аудита парсил настройки Wi-Fi. У Шму набор скриптиков WMI'ных был, надо бы поковырять.

<и даже статический IP адрес может быть неустановлен >

Дарю идею:
На многих пингвинах по умолчанию на интерфейсе висит IPv6 который анонсится через RouterDiscovery и прочий ipv6-flame
Насколько часто и в каких условиях его пингвин ищет роутер - не проверял, но по идее при поднятии интерфейса он должен роутер искать. И мы можем страшные дела натворить - сконфигурировать глобальный ipv6 адрес, сказать что мы dns, роутер и все что есть в этом мире по умолчанию. Со всеми вытекающими.
На практике - не проверял, если не будет лень - стукни в аську расскажу подробней.

Угу. Только не объекту, а субъекту (т.е. активной сущности системы). Объекту присваивается ACL.

+
-

А вообще - сидят две лягушки перед стогом сена. Одна другой говорит - вот так и люди - живут, живут и умирают.

Читаю.
Но эта статья не моя.

Клик

Наиболее приемлемый (имхо) 1.0.6

Можно. Например так:
net localgroup users interactive /add


Эти группы "не на компах".
Это well-known sid S-1-5-11 и S-1-5-4.
Содержимое групп формируется динамически на основе того, учеток интерактивно вошедших в систему или прошедших аутентификацию.

Коммерческие:

WebInspect
AppDetective
WatchFire Appscan
Acunetix.

Сервер може выставлять httponly (для IE). У мозилки тоже что-то есть - secure кажись.
см тут

В Windows NTLM _всегда_ используется как резерв для Kerberos и используется при его сбое.
Даже если аутентификация на smartcard. Единственное что можно сделать - перевести на ntlmv2+kerberos.

Это проблему не решит. Достаточно будет поднимать не adhoc а точку доступа с dhcp.

Полная глупость. Ну не будет он к adhoc цеплятся и через apipa адреса назанчать - так будет цепляться к точке доступа и получать адреса через dhcp. а поднять точку достпуа на пингвине - задача не сложная.
Кроме того, если netbios на интерфейсе отключен - пойди узнай какой там адрес из apipa был назначен - а сканировать сеть /16 - не очень благодарное занятие.

Давайте посмотрим на пингвина :
Двайвера hostap - по умолчанию после загрузки - iwconfig wlan0 mode master essid  test (adhoc или infrastructure точка доступа с ssid test)
Драйверы madwifi и ipw2200 (2100 вро тоже) при отсутсувии профиля вообще _цепляются к любой точке доступа_. В ядре 2.6 у них есть IPv6 адрес. В чем проблема?

Стоит задача не потратить деньги (все, конец года прошел, бюджеты закрыты). Обнаружение атак на сетевом и системном уровне и т.д. в сети реализовано.  Просто парсить я могу и grep'ом. Вопрос - что?

А без танков - никак?

Жестко.
Debug мне пожалуй не нужен. Так же как и netflow. Больше интересуют события, связанные с безопасностью, их набор, значения, парсинг, обнаружение атак, best-practice.
Скажем так - лью события на syslog - надо парсить (что?), надо анализировать (на предмет чего?) и т.д.

Рядовой пользователь не в состоянии настроить _любое_ средство защиты, на каком бы языке оно не выдавало сообщения.

Wanted:
Хорошие мануалы по сбору и анализу событий Cisco.

Ну знаете-ли. Если отсутсвие русификации - главный недостаток средства защиты - то это средство защиты - мой выбор


От этого ничего не защищает. Из того что стоит на этой же машине. Если средство защиты работает с одним уровнем привелегий что и злоумышлениик, то...

ЗЫ. Когда-то,  для защиты от безопасного режима я делал так: заменял шелл в безопасном режиме на скрипт, который проверял учетку, и если это юзерь - делал logoff, а если админ - пускал.
но от локального админа это не поможет, потому как этот злой человек может вернуть шелл обратно

Если совсем отрубить (для всех), то
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot­\(Minimal)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot­\(Network)

То что в скобках - переименовать (или удалить). Но тогда лучше дежать под рукой бака этих ключей что бы в случае чего, бутануться с лайвсиди и восстановить.