A megbízunk-e a víruskeresőben, hogy nincs benne backdoor témakör... hát ja. Csak ez akkor tényleg messzire vezet, mert akkor miért bízol meg az OS-ben, a HW firmware-ben (lásd ME), ... Nem auditálhatsz minden egyes kódsort, meg ha auditálsz is, pl. egy Spectre szintű sebezhetőséget (amiről nem feltételezheted, hogy nem backdoor volt eredetileg ;) ) hány évtizedig nem szúrtak ki?
A snapshot kényelmesen lehet külső eszközön, amit a futó rendszer nem ismer (mivel úgyis kell hálózati eszköz, triviálisan PXE boot, az imagelő rendszer átbillenti, hogy local vinyót bootoljon, a local vinyón levő rendszer meg átböki, hogy legközelebb netről indítsa az image-előt). Innentől kezdve automatizáltad az image visszatételét és (ha az image update-jekor [amit air gapben intézel, víruskeresővel átnézett pendriveról] meg kell adnod a jelszót [image telepítéshez elég egy ro hozzáférés, a módosításához rw kell], akkor sehogy sem tudja piszkálni még egy célzott támadás sem az image-t)
És persze, hogy marha kevesen használják így [*] (és lássuk be: ők virtualizálnak és a virt gépet snapshotolják), de működhet.
[*]: ad abszurdum, anno csináltam egy egy gigás pendrive-ra egy bootolható Linuxot, ami egy nagyon csúnyán kiherélt (gyakorlatilag minden összetevő kuka, tömörített rendszerpartció, ...] XP virtuális gépet indított VirtualBoxban, aztán kilépés után visszaállította a snapshotot. Már csak annyi kellett volna hozzá, hogy hálózatra pakolja a user adatokat [nem tette, mert nem arra kellett].
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)