Tja, krytyczne dziury to wina użytkownika - udowodnij.
Są takie dziury gdzie wina leży po stronie usera a są takie gdzie ta wina leży po stronie OS-a.
wina usera i mam to udowodnic ? heh najprostszy przyklad to olewanie aktualizacji.Tyle ze to nie luka a brak chęci do zalatania takowej. No ale okreslony przyklad do glowy mi nie przychodzi. Nie wiem np otworzenie portu 23.
wspomniane ukrywanie rozszerzenia.
Korzystanie z dziurawego oprogramowania.
inny przyklad posredni w winieniu usera:
Robak sieciowy Spida, wykryty prawie rok po pojawieniu się robaka CodeRed, wykorzystuje do rozprzestrzeniania podatność na atak w pakiecie oprogramowania serwera MS-SQL. Niektóre domyślne instalacje serwera MS-SQL nie posiadały hasła na koncie systemowym 'SA'. Pozwalało to na wykonywanie losowo wybranych poleceń każdemu, kto posiadał sieciowy dostęp do systemu. Wykorzystując tę lukę, robak konfiguruje konto 'Gość', aby umożliwić współdzielenie plików oraz "wrzuca się" się na atakowany komputer. Następnie wykorzystuje ten sam niezabezpieczony hasłem dostęp do konta 'SA' i uruchamia swoją zdalną kopię, rozprzestrzeniając tym samym infekcję.
ps: okreslenie terminu luka fajne znalazlem a raczej nie okreslenie ale opis :
Termin 'luka' (ang. vulnerability) często pojawia się w związku z tematem bezpieczeństwa komputerowego i występuje w wielu różnych kontekstach.
Termin 'luka', w swym najszerszym znaczeniu, odnosi się do naruszenia polityki bezpieczeństwa. Przyczyną mogą być słabe uregulowania dotyczące bezpieczeństwa lub też samo oprogramowanie. Teoretycznie wszystkie systemy komputerowe obarczone są lukami. Czy są to poważne luki, zależy od ewentualnego wykorzystania ich do uszkodzenia systemu.
Podejmowano wiele prób jednoznacznego zdefiniowania terminu 'luka' oraz rozróżnienia jego dwóch znaczeń. MITRE, amerykańska grupa naukowo-rozwojowa finansowana przez rząd federalny, skoncentrowała się na analizie i rozwiązaniu krytycznych zagadnień bezpieczeństwa. Grupa ta stworzyła następujące definicje:
A tu dobra stronka :
http://www.microsoft.com/technet/security/bulletin/ms01-033.mspx
oraz
http://www.viruslist.pl/hackers.html?chapter=articles&id=29