Én nem jelentettem ki, hogy nincsenek frissítésekben közölt hibákra vadászó hackerek. Annyit állítottam, hogy a 0-day exploitok esetében nem úgy működik, ahogy a frissítés-idealisták elképzelik és amivel birkáékat terelgetik ezügyben tech-lakájmédiáék.
Ráadásul, a frissítések alapján megírt exploitok definíció szerint nem is 0-day exploitok.
"A nulladik napi támadás (zero-day vagy zero-hour támadás) egy biztonsági fenyegetés, ami valamely számítógépes alkalmazás olyan sebezhetőségét használja ki, ami még nem került publikálásra, a szoftver fejlesztője nem tud róla, vagy nem érhető még el azt foltozó biztonsági javítás." - Wikipédia
Azt sem jelentettem ki, hogy egyszerű dolog lenne 0-day exploitot írni, azonban annyira bonyolult sem lehet, amennyiben az évente megrendezett hackerversenyeken (Pwn2Own, CTF stb.) 1-3 nap alatt képesek gyakorlatilag bármi közéjük odavetett, frissített™ hardvert és szoftvert darabokra szedni, az esetek többségében sikeresen. A fekete kalapos hacker ugyanezt megcsinálja otthon a sufnijában, amit vagy rögtön elad a feketepiacon, vagy előtte azért épít egy bitcoin-bányász vagy DDoS-ra bérbe adható botnetet, amiből megszedi magát. Amint kikerül a piacra, természetesen előbb-utóbb ismert lesz a cucc. Sőt, az is elég, ha egy lokálisan futó vírusirtó beküldi a gyanúsan viselkedő, kártékony kódot elemzésre. Ekkor elindul az a folyamat, ami a hiba feltárásához és javításához vezet. Amíg viszont ez nem indul el, ugyanúgy sebezhető vagy a frissített rendszereden. A 0-day fogalommal tehát azért nem célravezető dobálózni, mert pont hogy a frissített rendszereket is ugyanúgy támadhatod vele, mint a nem frissítetteket. Ha pedig ez nem igaz, az már nem 0-day.
Ehhez szerencse is kell, elég nagy.
Ahogy ahhoz is elég nagy szerencse kell, hogy a lejárt támogatású Chrome 49-em lejárt támogatású Windows XP-n futva pont az egyik megbízható oldalon botoljon bele injektált kártékony JavaScript kódba, amit még se malware listára nem tettek se nem fedezett fel senki. Pláne, hogy magát az injektált kódot se biztos, hogy az oldalt feltörő hacker írja, lehet hogy csak másolja valahonnan, ami jelentősen megnöveli az esélyét, hogy valamely víruskereső már ismeri. Ha pedig a megbízható oldalt valaki már megnézte egy víruskeresővel, akkor valamelyik malware-listán már ott csücsül a megbízható oldal címe, tehát Hájblézernél már nem fog betöltődni az általa használt uBlock-nak köszönhetően, ami malware listák alapján is blokkol.
Megjegyzem, én nem vagyok mindenáron a frissítések ellen. Még azt sem állítom, hogy frissítés nélkül azonos, vagy nagyobb biztonságban vagy, mint frissítéssel. Ebben még akár egyet is érthetünk. Viszont messze nem gondolom annyira veszélyesnek frissítés nélküli rendszert használni, mint ahogy a tech-lakájmédia és az azonos véleményen lévő, helyi hivatásos rettegők és fősodratú mérnök urak azt beállítják. Pláne, ha mellette sokkal lényegesebb dolgokat megteszel a biztonságod érdekében - utóbbiakat már említettem.
Ugye nem valami turbo streamert használsz a backaup pillanatok alatti visszaállítására (irónia) hanem snapshotot. Vagy esetleg virtuális géppel kombinált snapshotot?
Túlbonyolítod. Van egy 40 GB-os Windows XP boot és egy 460 GB-os adat partícióm, amit egy Macrium Reflect-tel differenciálisan hetente leimidzselek egy külső adathordozóra. Ez csak a különbségeket menti le és szükség esetén csak azokat állítja vissza, fájrendszerszinten. Utóbbi akkor járható út, ha észreveszek egy vírust a gépen és inkább szeretném visszaállítani korábbi állapotra, mintsem disinfect-elni a fertőzött fájlokat. Tíz perc alatt megvan a mentés. A visszaállítás se lehet sokkal több, bár még nem kellett élesben. Persze, ha jön a ransomware™, akkor vissza kell állítani az egészet, nulláról, az sokáig fog tartani. Erre viszont a fent ismertetett metodika miatt igen kicsi az esély. Az elmúlt évek nagy ransomware-viharait is rendre sikerült megúsznom, és nem gondolom, hogy ennek okai között a szerencse dominált volna.