A Windóz lemeztelenítése
17 perc olvasásSzatíra a perverz informatikusról.
Szatíra a perverz informatikusról.
Prológus
A Microsoft szeretheti a pingvinrendszer felhasználóit. Dél-Afrika és India (meg sokak) példája alapján, ha azt szeretnénk hogy az MS hozzánk vágjon néhány ezer ingyen Windóz licencet, akkor ezt úgy lehet a legkönnyebben elérni ha teljesen átállunk Linuxra. Lássuk be, mostanában szegénynek nincs könnyû élete. Állandóan bizonygatnia kell azt, ami a bölcs strucc számára évezredek óta nyilvánvaló:
Amit nem látunk, az biztonságos
– pláne ha a lehelete csak kicsit büdös. Hogy a strucc nem csak szebb, de akár lehet is olyan okos mint a pingvin, álljon itt saját személyes tapasztalatom.
Neked nincs víruskeresõd?!
Átlagosan havonta egyszer, többnyire valamelyik Windows felhasználó ismerõsömtõl a szokásos stílusútól eltérõ levelet kapok rövid szöveggel, melyben csatolva van egy GIF kép. A szokásostól való eltérõség konkrétan például abban nyilvánul meg, hogy habár mindketten magyar anyanyelvûek volnánk, a levél mégis angolul van írva, ami azért még a legsúlyosabb juppitársaságokban sem dívik. Aztán van egy olyan hülye szokásom hogy megnyitás elõtt a csatolmányt lemezre mentem, majd a Total Commander (eredetileg Windows Commander csak valami rejtélyes okból fakadóilag át kellett keresztelkednie) nézõkéjével beletekintek a bináris tartalomba. A beépített Windows Explorerrel ellentétben a TC egy olyan program, melynek tervezésekor még nem a design volt a mindenek feletti szempont, hanem hogy a valóságot a maga csúf põreségében mutassa. Hosszú állománynevek esetében a létfontosságú rész lenyesése helyett megpróbálja az állománylista-oszlop szélességét akkorára nyitni hogy a leghosszabb nevû is szépen kiférjen. Egy ilyen alkalommal látom hogy a csatolt kép kiterjesztésében a GIF szócska után van vagy kétszáz szóköz, egy pont és végül a tényleges PIF kiterjesztés! Ha nem tévedek ez bizony a kamukiterjesztés tipikus esete, melyet a vírusfejlesztõk alkalmaznak elõszeretettel. Gyanúmat tovább fokozza amikor a bináris header úgy kezdõdik hogy: "MZ" ami annak a fazonnak a monogramja aki kidolgozta az EXE állományok formátumát (ha nem tévedek) valamint olyan félreérthetetlen szöveges utalások mint pl. "This program cannot be run in DOS mode". A Windows annyira okos, hogy ha véletlenül egy EXE program kiterjesztését PIF-re módosítjuk, akkor rájön a turpisságra de nem reklamál -még megzavarná a júzert a nyugodt önkiherélésben- hanem -mintha mi sem történt volna- szépen elindítja eredeti EXE mivoltában. Ez egy rendkívül fontos képessége a Windóznak, hisz oly sokszor elõfordul hogy a felhasználó egy óvatlan mozdulattal véletlenül PIF kiterjesztést ad egy eredetileg EXE állománynak. (A buta Linux és társai nem a kiterjesztésbõl zsonglõrködi össze hogy a fájl futtatható-e, hanem ez egy különálló attribútum, ami ha be van kapcsolva, akkor az ilyen fájlok szinte világítanak annyira elüt a színük a többitõl. Arról nem is beszélve hogy ennek megállapításához csak egy bitet kell vizsgálnia, nem egy összetett sztringet) Egy ilyen esemény után néhány nappal sörözés közben teszem szóvá ismerõsömnek hogy nézze már meg a gépét, mert olybá tûnik vírusos. Ilyenkor mindig kérdéssel válaszolnak, és lényegében a következõ párbeszéd szokott elcsattanni:
– Mi a vírus neve?
– Nem tudom. A csatolt fájl kiterjesztése (meg a fentiek) alapján gondolom.
– Miért, milyen víruskeresõd van? (Gondolja: Hogyhogy nem azon akadt fenn?)
– Semmilyen.
– Neked nincs víruskeresõd?!
– Nincs.
És ezen a ponton szokott a beszélgetés teológiai vitába torkollni vagy csak abbahagyjuk egymás gyõzködését mert mindketten meg vagyunk gyõzõdve arról hogy a másik egy fasz. Nekije a legújabb víruskeresõje van telepítve és az tuti, ott hiba nem lehet. Mint valami kõbe vésett igazságok, mellesleg pont egy olyan láma adjon tanácsot aki még víruskeresõt sem használ? Nahát, még ilyet!
Második ilyen történettípus amikor a céges ámítógépem fizikai tulajdonságai amúgy vastartalomban teljesen megegyeznek a kollégák jószágival, mégis egy éjszakába nyúló közös bugvadászatot követõen az õszintébbek -célozván cégvezetõvel feltételezhetõen jó kapcsolatomra- irigyen megjegyzik milyen gyors gépem van. Terjed a szóbeszéd, majd érdeklõdõileg megjelenik a rendszergizda, vajon a szokásos munkavállalói mentalitással ellentétben a dolgozó miért nem szétlopja a drága fémet és miért inkább építi a vállalatot?
Miután megnézi, a következõ párbeszéd szokott elhangozni:
– Hogyhogy nincs víruskeresõd?! Ez különben is izé.. céges poliszi.
Erre mondom oké, akkor most telepíthetsz rá egyet, de elõtte ötven rongyban fogadunk hogy egy szál vírust nem fogsz rajta találni.
Ebbe már nem megy bele, viszont innentõl kezdve mindig lefuttatja a saját víruskeresõjét valahányszor TXT, CPP vagy H fájlokat tartalmazó adathordozó médiát kap tõlem. (Az külön harc mire elérem hogy lepusztuljon az ofisszal a gépemrõl.) A lényeg hogy egy Windows rendszergazda mindig legyen éber, akár a kivont kardú internetrendõrség.
Az évek során kialakult valamiféle téves nézet arról hogy a hackerek és a vírusok azok valamiféle olyan szörnyek amelyek a gazdaszámítógép teljes passzivitása mellett is önállóan bemennek egy levéllel, (a hacker levél nélkül) és megfertõzik a szegény ámítógépet (Windowst). Mintha ehhez semmiféle segítségre, operatív tevékenységre nem lenne szüksége a gazdagép részérõl. A populáris felfogás szerint ha nincs külön védelem telepítve, akkor a károkozó csak úgy bemegy. Ez a felfogás a vegyél biztonságot marketingdumán felül valószínûleg azért van elterjedve, mert a valós életben a behatolási alapszituáció az informatika világához képest pont fordított. Egy betörõ vagy tolvaj leginkább a sértett passzivitása mellett képes kifejteni tevékenységét, míg az informatikában eleve a nagyszámú szolgáltatás teszi lehetõvé a behatolást.
Telepítsünk windózt!
Egy frissen telepített XP legalább negyven szolgáltatást futtat, és két tucat TCP/IP port van nyitva. Minek vannak ezek? Egy átlag felhasználó gyepálta munkaállomáson – ha a valós igényeket felmérjük- a szolgáltatások zöme teljesen felesleges. Egy olyan desktop gépen melyen a napi céges levelezést, böngészést, fejlesztést és minden egyéb ilyen tevékenységet elvégezzük, gyakorlatilag csak néhány- vagy nulla darab nyitott TCP/IP – portra volna szükség. Külön service fut annak érdekében hogy a helyi hálózatra kapcsolt gépeket szép pántlikázottan mutassa a Nethood (Hálózati helyek). Nekem nincs rá szükségem mert tudom a gépek neveit, a titkárnõ pedig csak azon a meghajtón matasson amit beállítottam neki, meg különben is csak a szerveren van osztott erõforrás. A többi alapértelmezett szolgáltatás hasonló szempontok alapján felülbírálható. A Microsoft és kereskedelmi cégek filozófiája persze megérthetõ, az egyszerû felhasználó igényeinek kielégítésére kérnek pénzt. Minden funkciót beépítenek, hogy az elsõ lépések egyszerûek legyenek. A hálózati biztonság legnagyobb ellensége ez a típusú kényelem.
A Linuxok vagy BSD rendszerek telepítésekor az install CD csak a legalapvetõbbeket helyezi fel a számítógépre vagy ha valami extra funkció felkerült, azt jellemzõen utólagosan kell beizzítani, mely tevékenységnek mára jelentõs "HOWTO" irodalma keletkezett. Az Open Source és linuxos rendszereknél szakértelem kell ahhoz hogy sebezhetõvé tegyük a rendszert, míg a Windows esetében ahhoz kell szaktudás hogy megszüntessük a veszélyhelyzetet. A biztonságosabbá tételhez tehát tanácsos elsõ lépésben nem felrakni, hanem leszedni a használaton kívüli programokat és rendszerelemeket.
Nagytakarítás a nulladik napon
A lekopasztás kemény feladat, sokévi tapasztalatot igényel, mivel a Windows mintha direkt úgy lenne tervezve hogy a dolgok kiemelése totális rendszerösszeomlást eredményezzen. Látszólag egyszerû feladatot ellátó programok meglepõen sokféle szolgáltatást igényelnek – valahogy úgy mint amikor egy kerékpárszerviz berendezési tárgyai csak egy hangárban férnek el. Néhány éve egy MS elleni trösztellenes perben a szakértõk hónapokig vitatkoztak azon hogy el lehet-e távolítani az Internet Explorert a Windowsból?
Ha úgy tervezek egy házat hogy a konyhaasztal tartja az egész födémet, akkor a válasz egyértelmû nem. Itt a helyes kérdés az, vajon miért kellett így tervezni? Egyébként simán elõfordulhat hogy a Notepad letakarításakor ugat az SQL szerver vagy fordítva, de leginkább csak csendben meghal. Ennek elkerülése érdekében már telepítéskor legalább két partíciót készítünk: a C meghajtó ad otthont a rendszernek, a D pedig saját adatainkat, valamint a C meghajtóról készített biztonsági másolatot tartalmazza, amíg az nincs felírva külsõ eszközre.
A D meghajtóra másoljuk az összes, utólag telepítendõ szoftver lemezét is két okból: 1. a rendszer visszaállítására még nagyon sokszor lesz szükségünk és ilyenkor kényelmesebb nem végigbogarászni az összes telepítõlemezt, másrészt itt derül ki mely lemezeinkrõl nem lehet biztonsági másolatot készíteni. A rendszer másolat készítéséhez és visszaállításához egy DOS boot floppy és az arra telepített pl. Norton Ghost segedelmével célszerû valami kényelmes megoldást készítenünk. Saját házi lemezemen már a config.sys menüjében (DOS guruk elõre!) rákérdez hogy Backup vagy Restore funkciót akarok-e, a többit pedig a megfelelõ parancssoros paraméterekkel magától intézi. Profik csinálhatnak boot CD lemezt is – ha már leszoktak a floppy meghajtóról vagy valami USB-s eszközt. Persze ez még mindig nem olyan fejlett megoldás mint a linuxoknál alkalmazható harmincéves TAR/Z/GZIP technika, mivel a ghost készítette egzotikus formátumú állományokban nem lehet utólag módosítani, ellenben nagyon dizájnos amikor fut. A lényeg hogy egy ilyen lemezzel és a mentéssel máris megszûnik az a tipikus idegbaj, ami céges rendszergazdák hátán futtatja a libabõrt, valahányszor hozzányúlunk a kín keservesen összeállított konfigurációhoz.
Mivel az XP telepítés után nyomban aktiválni kívánja önmagát és ez a telefonos diszpécseren keresztül horror, (feltört verzióval kevesebb probléma lenne) még a telepítés elõtt vásároljunk egy tízezer forint körüli router-t ami a NAT használat miatt egyirányúvá teszi kapcsolatunkat az internet felé. A router log-jában már néhány nap alatt gyülekeznek az olyan bejegyzések mint
"Unrecognized attempt blocked from X.Y.V.Z:2210 to X.Y.V.Z TCP:9898" meg hasonlóak, és a router nélkül ezeknek szegény vindózunk lenne kitéve.
Miután frissen telepített XP-nket a Ghost segedelmével lementettük, nekikezdhetünk kalandos takarítómunkálatainknak. Elsõ lépésben a "Control Panel" "Add or Remove Programs" alatt szépen lerámoljuk mindazon alkalmazásokat melyekre nincs szükségünk. Lerugdossuk az "Internet Publishing Wizzard"-ot mert majd ha webszervert akarok, akkor az Apache lesz. Az elsõ akna ha a "Windows Components" varázsló alatt az "Accessories and Utilities" checkbox alatti részeket feleslegesnek ítéljük és egy az egyben kikapcsoljuk a pipát, ezzel ugyanis ledózeroljuk a hangerõ-szabályozót, holott a "Details" alatt nincs külön feltüntetve. Ha a details alatt egyenként kapcsoljuk ki az összes pipát, akkor a hangerõ-szabályozó csodálatos módon megmarad, a logika diadalára.
A Windows használata során alapszabály hogy amire van Open Source megoldás ott a Microsoft programot azonnal cseréljük le. Ha nincs telepítve valami Foxpro vagy Access alapú adatbázis-kezelõ buherátum, akkor az MS Office különösebb macera nélkül dobható mert van OpenOffice, az Internet Explorer helyett pedig alkalmazzunk FireFox böngészõt vagy bármi kevésbé ismertet. Tapasztalataim szerint semmilyen használható információt vagy szolgáltatást nem képesek nyújtani az olyan animált extrákkal telebaszott flash oldalak melyek kizárólag IExplorer alatt mûködnek. Egyszerûbb a következõ oldalra klikkelni abból a négyszázezerbõl amit a Google talált kulcsszavunkra.
Talán mondanom sem kell, hogy a vírusbánya Outlook helyett a Thunderbird egyértelmû válasz -legalábbis ha nincs arra szükség hogy a júzer gépén tiltakozása ellenére is rendszeresen lefuttassunk valamit. Már pusztán az hogy minden programunk más mint ami a gyári alap, képtelen helyzetbe hozza a vírusokat: ha be is szopnánk egyet és netalántán el is indul, már ott kezdõdik a gubanc hogy a nyomorult semmit sem talál az Outlook címlistában, így legfeljebb saját készítõjének küldhet sajnálkozó levelet ahelyett hogy leblamálna az ismerõseink elõtt.
Külön szeretném hangsúlyozni hogy Open Source és ne Freeware programokat használjunk! Ez utóbbiak fejlesztését elõszeretettel finanszírozzák a BSA, NSA, RIAA és hasonló á-ra végzõdõ jó fej szervezetek, valamint természetesen a Microsoft, akiknek jól felfogott gazdasági érdeke hogy minél több spam, vírus és hacker tenyésztõdjön az interneten.
Ha már megállapodtunk abban hogy a gyári MS termékek használata kerülendõ, sokkal könnyebb feladatunk lesz a további aprításban:
Indítsuk el a "Control Panel"-t majd ezalatt "Administrative Tools" és "Component Services" alatt az RPC szolgáltatást kapcsoljuk ki, mivel ha nem tudjuk mi ez, akkor nem is nagyon van rá szükségünk. A "Computer Management" alatt a fixen beépített CD/DVD meghajtónak adjunk valami magasabb betûjelzést hogy majdan egy USB drive felcsatlakoztatásakor ne játsszon "itt a piros hol a pirost" a meghajtóink betûjelzéseivel. Ezt problémát az összes többi oprendszer már megoldotta vagy negyven éve de a "korszerû microsoft technológiába" ez mindmáig nem fért bele. Az "Event Viewer" segítségével rendszeresen ellenõrizzük hogy módosításaink nem okoznak-e hasfájást valakinek – ami persze amiatt is lehet mert mondjuk akinek a hasa fáj az is felesleges szolgáltatás (mindig). Az "Event Viewer" -ami nagyjából egy logfile kilistázása bonyolultságú feladatot lát el- persze igényli a COM+ szolgáltatást. Na a COM+ szolgáltatásról a "Description" -alatt megtudhatjuk hogy ez azért kell, mert nélküle nem futnának a COM+ szolgáltatást használó szolgáltatások, úgyhogy ezt csak a legvégén nyomjuk le, azért hogy az "Event Viewer" sokáig éljen.
A "Date and Time" beállításainál van egy "Automatically synchronize with an Internet time server" funkció, ami helyett célszerûbb valami más beállítót a minden gépindításkor lefutó "Startup" könyvtárba rakni. Ez a service-s megoldás akkor kell(ene), ha a gép legalább fél évig folyamatosan be van(lenne) kapcsolva, és ez egy XP esetében -pláne ha desktop- a fejlesztõk részérõl túlzott optimizmusra vall.
A "Display" opciói között célszerû tiltani minden csicsázást és grafikus effektust, bár ez a mai grafikus kártyáknak semmiség, viszont annyi haszna marad hogy ami egérrel nyomható, az kidomborodik a képernyõ síkjából hogy ne kelljen végigtapogatni a dialógusablakok teljes felületét. A "Network Connections" alatt a TCP/IP szolgáltatást kivéve célszerû mindent lekapcsolni – persze ez megint igényfüggõ. A "Power Options" alatt van egy forradalmi újítás "Hibernate" néven. Ez arra való hogy böszme nagy állományt hozzon létre a C meghajtón, aminek archiválgatása feleslegesen rabolja a Ghost idejét és a háttértár kapacitását (azért kell minden évben újabb és újabb ghost-ot venni mert azok már tudják mit nem kell lementeni). Valójában laptopok esetében van szerepe, ill. arra jó, hogy ki-be kapcsoláskor (pontosabban hibernáláskor ha nem fagyna magától;) nem kell újraindulnia a rendszernek mert a memória állapotát lementi az állományba, majd egyszerûen visszatölti és minden megy a régiben. Az XP bootolása azért olyan lassú mint amilyen, mert az ilyen "Hibernate" típusú teljesen felesleges funkciókkal van teletömve. Ha takarításunk sikerrel végzõdik semmi szükség nem lesz rá, mert sima indulása is gyorsabb lesz mintha ezzel a hibernálós mókával.
A "System" beállítások pontban nagyot kaszálhatunk. Már az elsõ pillanatban találkozhatunk a Microsoft briliáns logikáját megvillantó egyik funkcióval nevezetesen a "System Restore" szolgáltatással. Egyrészt a rendszer mentést már valóságosan megoldottuk a Ghost alkalmazásával, másrészt a Microsoft hosszú évek negatív tapasztalatai ellenére sem hajlandó szakítani azzal a gyakorlattal amikor az ács maga alatt fûrészeli a gerendát. Például a Windows 3.0 idejében a grafikus képernyõ beállításait a grafikus képernyõt használó programmal kellett beállítani, hátha sikerül véglegesen vagy a mai legfrissebb: az ActiveSync kapcsolat paramétereit csak azután engedi beállítani miután a kapcsolat sikeresen létrejött. Ezt a funkciót is nyugodtan kapcsoljuk le.
Ha nem akarjuk hogy a windóz visszatelepítsen mindent amit levakartunk vagy hogy a titkárnõ a legjobb pillanatunkban ugrasszon, akkor az "Automatic Updates" funkciót és a "Remote Assistance" és "Remote Desktop" -ot szintén lekapcsoljuk. Ezen funkciók megjelenését pezsgõ hangos pukkantásával ünnepelhették a hekkelõ és vírusfejlesztõ klubokban.
A "User Accounts" alatt van egy kellemes szolgáltatás miszerint logout/login nélkül ugrálhatunk a felhasználók között. Ez a funkció a Linuxban úgy tizenöt-, a Unixban pedig vagy harminc éve létezik de most már a "korszerû microsoft technológia" fogalmába is belefér, persze drasztikusan lebarmolva. Ez a funkció a gép kezdeti beállításainak megtörténte után felesleges, másrészt a Windows a policy betartatása szempontjából úgy van elbaszva hogy még egy szövegszerkesztõ sem hajlandó telepedni admin jogosultságok híján, márpedig a váltogatásnak éppen ott lenne értelme hogy a magasabb jogú admin és a juzer között kapcsolhatunk.
Ha a kézi gyalulással végeztünk és a rendszerünk még mindig nem dõlt össze, akkor újabb ghost mentés (újabb állományba, mert még hónapok múlva is lehetek meglepetések) és nekieshetünk a "Services" alatt futó elemeknek, ami egy kemény barkóba játék. Hogy pontosan milyen szolgáltatásokat lehet letiltani, vagy a regedit programmal véglegesen eltávolítani az nagyban függ a környezettõl. Példának legyen itt a saját XP-s fejlesztõgépem amire semmilyen Service Pack nincs telepítve, tartalmaz böngészõt, levelezõt, chat programot, office alkalmazást, valamint Visual C++ fejlesztõrendszert (EVC4.0 és ActiveSync 3.7 bizony ám! Fölmegy SP nélkül is ha szépen kérem!) PDA programok készítéséhez és debug-olásához, mindezt bluetooth kapcsolaton keresztül. A gépet sikerült ledarálnom arra a szintre hogy csak 7 "Services" fusson: "Bluetooth Service", "DHCP Client", "DNS Client", "Logical Disk Manager", "Plug and Play", "Remote Procedure Call (RPC)", "Windows Audio". (Hja a printert eddig csak arra használtam hogy a Demokrata online verzióját a metróra is nyomhassam.) A gépen a következõ -rendszerkomponens által- nyitott portok vannak: 135, 137, 138, 139, 445, 1041. A jövõ nagy kihívása lesz megfejteni vajon a D-Link Bluetooth meghajtóprogramja miért tartja nyitva az 1027 – 1039 -es portokat mindet? Ez nyilván még sokáig rejtély marad mivel ez egy zárt kódú eszköz és a használatára sajnos rá vagyok kényszerítve. Ha valaki azt mondaná hogy ez a gép abszolút célpont egy hacker vagy vírus számára, akkor most álljon itt pl. a Languard 5.0-ás verziójának riportja ami szerint van egy, azaz egy darab "High security vulnerabilities" szövege pedig az hogy "No protection against portable storage detected". Hja kérem, ha a gépemet odaadom a hacker kezébe!-). Természetesen ez minden, se Low sem pedig Medium "vulnerabilities" nincs.
Na, ha már minden alkalmazást feltelepítettünk és jó két hét használat után sincs semmi kivetnivaló az új redukált windózunkban, akkor ráadásnak legyakhatjuk az alábbi két könyvtár tartalmát: "WINDOWSDriver Cachei386" valamint "WINDOWSsystem32dllcache" amivel mintegy 460 mega helyet szabadítunk fel merevlemezünkön és ez nem elhanyagolandó szempont ha a Ghost állományait 650 megás CD lemezre szeretnénk archiválni. (Ha most itt beszólnál hogy 2005-ben a DVD dívik, akkor csinálj már nekem olyan DOS boot lemezt ami képes egy 4,7 gigás DVD meghajtót kezelni. Hja igen, a jó tizenöt éves DOS-t még mindig elõ kell venni a "korszerû microsoft technológia" felrugdosásához.) Ezeknek a könyvtáraknak az volna a szerepe hogy ha pl. az Internet Explorert fizikailag le merjük törölni, akkor innen -kis idõ elteltével hátha nem veszem észre- visszamásolja a fájlokat az eredeti helyére. Igen, a Windows így védi a szerinte fontos állományokat. (Tippelj mekkorát anyáztam ennek felismerésekor.) Ha tehát elõbb letöröljük ezeknek a pót-könyvtáraknak a tartalmát, akkor nem tudja visszacsinálni amit letakarítottunk.
Nos, ha esetleg a kedves olvasó eljutott idáig, akkor most már elárulhatom: az a gép amit ily módon átalakított, az lényegében már majdnem Linux vagy BSD. Ha ezeket a lépéseket szeretné mellõzni, kérem használjon eredeti Linux telepítõlemezt!
(Repost az elveszett Euroastra adatbázisból: az eredeti 2005. január 15-én a Szatíra rovatban jelent meg.)