Vlákno názorů k článku Vyděrači v počítači: jaká je nejlepší obrana proti ransomwaru? od Petr M - "Velmi důležitý je také aktualizovaný operační systém, kancelářský...

"Velmi důležitý je také aktualizovaný operační systém, kancelářský balík a prohlížeč – záplatování známých chyb ztěžuje útočníkům infikování počítače. K tomu účelu výborně slouží zapnuté automatické aktualizace."

Tím se (teoreticky, rozbíjení konfigurace a funkčních věcí na W10 je obehraná písnička) nic nepokazí, ale taky nic nezachrání. Aktualizovat je potřeba všechno, a pokud to nejde, tak minimálně všechno, co komunikuje ven nebo spouští programy.

Třeba takový JRE. Co kdyby spouštěl uživatel nějaký terminál, psaný v Javě, co leze ven, a JRE mělo zrovna chybu, skrz kterou se dá modifikovat a spustit ta aplikace? Automatickou aktualizaci JRE jsem teda ještě neviděl, přes W update už vůbec ne :( No a další prů... je to, že si aplikace s sebou tahají i věci, jako .NET runtime, protože často visí na nějaké neopravené, zastaralé verzi a nikdo to nikdy nefixne. Schválně, kolik verzní .NETu máte aktuálně na disku???

Nebo takovýnejběžnější program na prohlížení PDF, který se snaží zuby nehty vecpat všechno do čmoudu a řeší si aktualizace (nevím jestli bezpečnostní, ale rozhodně zhoršující UX) po vlastní ose? Kolik uživatelů ví, co takový online PDFko dokáže napáchat a kolik děr je u něho v komunikaci?

Taky je fakt, že řada prográmků si řeší aktualizaci po vlastní ose. Po spuštění se mrknou na server a pokud najdou novou verzi, zobrazí se info na stažení SW. No a teď si představte, že autor řešil aplikaci, ne její update, takže to pere na nešifrovaný FTP server a ptá se nešifrovaně.Stačí podvrhnout DNS odpověď při startu na útočníkovo FTP, kde je u instalátoru přibalen appstart.exe, který dělá kdoví co a jen tak mimochodem, aby se neřeklo, spustí aplikaci...

Ruční aktualizace? I když mám ten program na kompu, i když by tam byl podpis autora a šlo by ověřit, že nově stažená verze je nezměněná a od autora podepsaná, Widle to neumí. Total fail.

A co přehrávače médií, ty není potřeba aktualizovat? Přece už tady taková zranitelnost při streamování médií byla minulý rok...

Zlatý Linux, repozitáře a balíčky podepsaný GPG. Tam se to aspoň bere jedním příkazem komplet a bez restartu.

To, co má většina uživatelů za aktualizace, je hradba kolem města, ale vzadu u řeky přerušená, protože nepřítel v brnění přece nemůže plavat. Co na tom, že je v řece jenom metr vody...

A nyní ještě jednu o Červené Karkulce.

Petr M (neregistrovaný) ---.145.broadban­d16.iol.cz
"Velmi důležitý je také aktualizovaný operační systém, kancelářský balík a prohlížeč – záplatování známých chyb ztěžuje útočníkům

Nic z toho by nebylo potřeba kdyby si policie dělala svoji práci.