> Jakie masz kryteria?

Sam do końca nie jestem pewien, ale chciał bym, aby system operacyjny
nie szpiegował mnie i aby nie robił rzeczy, o które go nie proszę.
Nie mam nic przeciwko aktualizacjom, ale niech są przeze mnie
kontrolowane chociaż na poziomie zgody na instalację.

> To niedobrze. Założenie updates windwosa jest takie, że przeciętny
> suweren nie będzie zastanawiał się czy błąd przepełnienia stosu w
> protokole RDP go dotyczy czy nie a łatanie ma się odbyć jak najszybciej
> bo wiele dziur jest *aktywnie* exploitowanych w internecie. Ogólnie, nie
> mam czasu na to aby analizować każdą poprawkę, wszak to nie dosc że
> closed source, to jeszcze *ekstremalnie* trudne i wykracza poza moje
> mozliwości.

Ja też tego nie skontroluję, bo niby jak. Ale, chciał bym zainstalować
aktualizację na jednym z kompów, popracować na nim dzień, może dwa i
przekonać się, że jest OK, wtedy niech się instalują.

> Albo więc ufasz producentowi OSa że robią to ludzie mający
> kompetencje, albo żyjesz z dziurawym systemem w środku agresywnego
> internetu.

Akurat M$ nie ufam wcale a wcale. Skoro są tacy dobrze, to dlaczego
system wciąż ma tyle dziur? Myślę, że po prostu nie ogarniają tematu i
robiąc poprawki tworzą nowe dziury. Poza tym sam fakt, że nie dają mi
wyboru, a na dodatek nie mam możliwości wyłączenia raportowania budzi
podejrzliwość. Zaufał byś korporacji, gdyby powiedziała Ci "podaj dostęp
do swoich zasobów, obiecujemy że nie będziemy Ci tam zaglądać".
Zresztą, wczoraj rozmawiałem z klientem o WhatsUp-ie. Nie widzi żadnego
problemu, że aplikacja ma dostęp 500% większy do zasobów niż potrzebuje.
Zresztą, tej samej korporacji chyba Telegram? Ma dostęp kompletnie do
wszystkiego. Pytam grzecznie po co?
Jak kilka lat temu instalując latarkę na androidzie zostałem poproszony
o zgodę na dostęp do kontaktów, to przerwałem instalację. Minął rok i
wybucha afera, że latarka szpieguje. No takie to dziwne... pytała o
rzecz kompletnie niepotrzebną, więc skąd zaskoczenie że tak działa?
Wyobraź też sobie, że M$ ktoś zhakował, albo jakiś wkurzony programista
od nich (spokojnie mogę podać kilka przykładów dlaczego tak i dlaczego
się nie obawiał konsekwencji) wyłącza wszystkie komputery na świecie
pobierające automatycznie aktualizację. Technicznie banalne przecież.

> Ogólnie dzisiaj nie łatanie systemu wydaje się raczej
> skrajnie kiepskim rozwiązaniem i nadaje się co najwyżej do 100%
> izolowanych systemów. A jak rozumiem Twój taki nie jest, a jak pokazał
> stuxnet, nawet pozornie izolowane on internetu systemy da się infekować.

Stuxnet, na szczęście nie znoszę ściemensa. :) Wszystko się da, ale
prawdopodobnieństwo spada, jak izolacja się umacnia. Są firewall-e,
antywirusy, lokalne zapory. U mnie nawet pendrive w firmie nie chodzą, a
komputery nie współdzielą zasobów pomiędzy sobą bezpośrednio.*

> Obecnie ludzie od bezpieczeństwa raczej twierdzą, że jeśli już musisz
> wychodzić do internetu z windowsa, to raczej z połatanego, inaczej
> jesteś łatwą ofiarą. Izolujesz swój windows od internetu?

Domowy jest na starym XP, dawno nie aktualizowanym. Za to jest antywir
(też nie aktualizowany) i firewall brzegowy "z bazą niegodziwości
wszelkiej miary" (aktualizowany na bieżąco). Mam wrażenie, że system
jest już tak stary, że wirusy o nim zapomniały ;) Szykuje się właśnie
nowy, na próbę nie windowsiany.

W pracy, tam jest W7, reszta podobna, choć aktualizowana.

> Pamietaj że ransomware, które obecnie stało się bardzo dochodowym
> biznesem, zwyczajowo zaczyna od exploitowania dziur w systemach w
> których ktoś czegoś nie załatał. To nie kwestia czy, tylko kiedy stukną
> Ci w firmę. Łatanie Windowsa nie chroni przed tym, ale redukuje szanse
> na łatwe pieniądze, szczególnie jak masz centralnego NASa w trybie R/W :P.

Tak, mogę stracić jeden dzień pracy.

> Programy bounty powstały właśnie po to aby producenci systemów mieli
> jakaś przewagę czasu nad przestępcami. Nie dziw się, że poprawka ma być
> na *teraz* a nie za tydzień. Za tydzień możesz zostać stuknięty
> ransomware i to nie są jakieś bajeczki z innej galaktyki.

Znam taki przypadek, gdzie aktualizacja softu korporacyjnego wyłączyła
dużą firmę na długo. Podobnie może być, gdy ktoś załaduje robaka,
normalka. Przed tym są tylko dwa zabezpieczenia. Albo kompletnie
odcinasz sieć zewnętrzną (niewykonalne na dłuższą metę), albo robisz na
tyle często i skutecznie kopie, że masz to w dupie.

Kiedyś pytałem na grupie (nie jestem pewien czy tej, bardzo dawno). Kto
robiąc backup wynosi dane z siedziby gdzieś na zewnątrz. Nikt prawie
tego nie robi!

Miłego.
Irek.N.
* w 2008 chyba złapałem jakiegoś bakcyla. Jedyne co mi znalazł w sieci,
to frezarkę CNC i na jej udostępnionym zasobie umieścił swoją kopię.
Skasowałem z poziomu panela frezarki, a co będę g.. trzymał. :)