palacsint weblapja

Céges gépen:

• Thunderbird Portable feltelepítve titkosított lemezre (TrueCrypt)

Thunderbird-ben, céges gépen:

• Szerkesztés / Postafiók beállításai / Kiszolgáló beállításai /
  • Üzenetek megtartása a kiszolgálón: bepipálva
  • Legfeljebb X napig: nincs bepipálva
  • Letörlésükig: nincs bepipálva
• Szerkesztés / Postafiók beállításai / Kiszolgáló beállításai / Másolatok és mappák /
  • Rejtett másolatot kap (Bcc): Saját cím beírva

Otthoni gépen, szintén Thunderbird-ben:

• Szerkesztés / Postafiók beállításai / Kiszolgáló beállításai
  • Üzenetek megtartása a kiszolgálón: bepipálva
  • Legfeljebb 5 napig: bepipálva
  • Letörlésükig: nincs bepipálva

Így a leveleket csak az otthoni Thunderbird törli a szerverről, valamint az öt nap miatt a hosszú hétvégéken érkező levelek is meglesznek a céges gépen arra az esetre, ha esetleg kellene valami régebbi dolog munkaidőben.

A céges gépről küldött levelek pedig az otthoni postafiókba is megérkeznek, csak át kell őket pakolni az Elküldött elemek mappába. Túl sokat nem írok, úgyhogy ezt általában kézzel csinálom, bár biztos lehet rá automatikus szabályt is létrehozni.

A múltkori hacktivitys bejegyzésben előkerült a National Software Reference Library (NSRL) Project. Most megnéztem kicsit közelebbről a letölthető hashadatbázist.

Az összesen négy, egyenként 360 megabájtos CD képfájl egy-két txt mellett tartalmaz egy-egy, majdnem ugyanekkora zipet. A zipekben vannak az ellenőrzőösszegek, amelyek egyenként 1,7 gigabájtos fájlmérettel büszkélkedhetnek. Így összesen 7 gigabájtnyi hasht kapunk.

Pontos adatmennyiség (idézet a read_me.txt-ből):

CD "A"    14,526,967 files,  4,373,310  unique SHA-1 values
CD "B"    14,577,858 files,  4,371,962  unique SHA-1 values
CD "C"    14,511,572 files,  4,375,127  unique SHA-1 values
CD "D"    14,656,439 files,  4,369,231  unique SHA-1 values
          -------------------------------------------------
  TOTAL   58,272,836 files, 17,489,630  unique SHA-1 values

A hashfájlok tartalma valami ilyesmi:

"SHA-1","MD5","CRC32","FileName","FileSize","ProductCode","OpSystemCode","SpecialCode"
"000000206738748EDD92C4E3D2E823896700F849","392126E756571EBF112CB1C1CDEDF926","EBD105A0","I05002T2.PFB",98865,3095,"WIN",""
"0000004DA6391F7F5D2F7FCCF36CEBDA60C6EA02","0E53C14A3E48D94FF596A2824307B492","AA6A7B16","00br2026.gif",2226,228,"WIN",""
"000000A9E47BD385A0A3685AA12C2DB6FD727A20","176308F27DD52890F013A3FD80F92E51","D749B562","femvo523.wav",42748,4887,"MacOSX",""
"00000142988AFA836117B1B572FAE4713F200567","9B3702B0E788C6D62996392FE3C9786A","05E566DF","J0180794.JPG",32768,16848,"358",""
"00000142988AFA836117B1B572FAE4713F200567","9B3702B0E788C6D62996392FE3C9786A","05E566DF","J0180794.JPG",32768,18266,"358",""
"00000142988AFA836117B1B572FAE4713F200567","9B3702B0E788C6D62996392FE3C9786A","05E566DF","J0180794.JPG",32768,2322,"WIN",""
"00000142988AFA836117B1B572FAE4713F200567","9B3702B0E788C6D62996392FE3C9786A","05E566DF","J0180794.JPG",32768,2575,"WIN",""

A fenti mintánál is látszik, hogy egy hash többször is szerepel különböző OpSystemCode, ProductCode vagy SpecialCode mezővel. Ezek feloldását a cédén mellékelt NSLROS.txt és NSLRProd.txt fájlok tartalmazzák. A 358-as azonosítójú operációs rendszer például a rejtélyes TBD névre hallgat.

Az utolsó négy sor ProductCode értékei (16848, 18266, 2322, 2575) a következőket fedik:

"ProductCode","ProductName","ProductVersion","OpSystemCode","MfgCode","Language","ApplicationType"
...
16848,"Microsoft Office XP Small Business","Version 2002","189","609","English","Operating System"
18266,"Microsoft Office XP","2002","190","609","Dutch","Office Suite"
18266,"Microsoft Office XP","2002","204","609","Dutch","Office Suite"
18266,"Microsoft Office XP","2002","224","609","Dutch","Office Suite"
18266,"Microsoft Office XP","2002","264","609","Dutch","Office Suite"
2322,"Office XP","Standard2002 NL","WIN","Microsoft","Dutch","Suite"
2575,"Publisher Deluxe with Photo Editing","2002","WIN","Microsoft","English","Publishing"
2575,"Publisher Deluxe with Photo Editing","2002","WIN2000","Microsoft","English","Publishing"
2575,"Publisher Deluxe with Photo Editing","2002","WIN98","Microsoft","English","Publishing"
2575,"Publisher Deluxe with Photo Editing","2002","WINME","Microsoft","English","Publishing"
2575,"Publisher Deluxe with Photo Editing","2002","WINNT","Microsoft","English","Publishing"
2575,"Publisher Deluxe with Photo Editing","2002","WINXP","Microsoft","English","Publishing"

A teljes hashadatbázis 58 millió sorából 1,4 millióban szerepel a Linux szó, szóval nem csak windowsos fájlokról van szó. Ezen kívül van még itt Solaris, MacOS, mindenféle DOS-ok, OpenVMS, Palm OS stb. Az NSRLProd.txt majdnem 26 ezer sora 8500 különböző nevű terméket tartalmaz.

A teszteléshez első körben egy pár hónapos (XpHun#1) és egy valamivel régebben frissített magyar Windows XP mentést használtam (XpHun#2). Aztán szereztem egy md5 fájlt egy magyar Vista, valamint egy SP3-as angol XP (XpEng) C:\Windows könyvtárának tartalmáról is. Végül egy Debian Lenny-t is megnéztem (/bin, /sbin, /usr, /var).

Eredmények a következő táblázatban:

Az ugyanolyan hash értékkel rendelkező fájlok csak egyszer szerepelnek az összegekben.

A legjobb eredmények is éppen csak 50 százalék felettiek. Az angol XP magas találati arányának oka lehet, hogy régen volt frissítve (csak a két és fél éve kiadott SP3-at tartalmazta), másrészt talán az angol Windows fájljai nagyobb eséllyel kerülhetnek be a NSRL adatbázisába, mint a magyarok.

Látszik az eredményekből, hogy nem mindenható eszközről van szó (legalábbis jelenlegi állapotában semmiképp sem), a felismert fájlok eltávolítása után még bőven marad átnéznivaló, ha alaposak akarunk lenni. Ettől függetlenül mindenképp segítséget jelent, az a néhány ezer-tízezer megtalált fájl sem elhanyagolható könnyebbség egy ilyen feladatnál.

(Technikai részletek: 2010/06/01 - RDS Version 2.29)

Tünetek: pár másodpercenként kattan egyet a notiwinyó, valamint a S.M.A.R.T. Load_Cycle_Count attribútum értéke folyamatosan nő.

Megoldás: APM kikapcsolása hdparm-mal.

Eszközök:

• Smartmontools for Windows
• Hdparm for Windows

Smartmontools telepítésekor legyen bekapcsolva a menü telepítése, így egy helyi meghajtón jobb klikkel elérhető a SMART all info parancs, ami megmutatja a merevlemezhez tartozó összes SMART értéket. Ebből a 193 Load_Cycle_Count kezdetű sor az érdekes. A sor végén lévő szám megmutatja, hányszor parkolta ki a fejet eddig a winyó.

A Seagate Momentus 7200.3-as winyóm elvileg legalább 600 ezret kibír ezekből a parkolásokból, de a kattogás felettébb idegesítő – ez a leghangosabb zaja a gépnek.

Kikapcsolni a hdparm -B 255 /dev/sda paranccsal lehet az APM-et (esetleg 254 a 255 helyett). Vista alatt ehhez rendszergazdai jogok kellenek. Erre csak a parancsikonos megoldással tudtam rávenni (lásd az előző bejegyzés végén: IP beállítások parancssorból), így működik szépen. Sajnos minden újraindítás és alvó állapotból való visszatérés után futtatni kell a hdparm-ot.

Saját megfigyeléseim alapján nem tudom megerősíteni, hogy minden ilyen kattanás esetén nő az LCC értéke, azt viszont igen, hogy a hdparm hatására tényleg megszűnik a kattogó hang.

Windows (Vista) alatt a következő parancsokkal lehet fix IP címet beállítani, mondjuk egy bat fájlból:

netsh interface ipv4 set address name="Helyi kapcsolat" source=static address=10.0.0.6 mask=255.255.0.0 gateway=10.0.0.100
netsh interface ipv4 delete dnsserver "Helyi kapcsolat" all
netsh interface ipv4 add dnsserver "Helyi kapcsolat" 10.0.0.253
netsh interface ipv4 add dnsserver "Helyi kapcsolat" 10.0.0.254

Ez pedig egy DHCP-s konfig:

netsh interface ipv4 delete dnsserver "Helyi kapcsolat" all
netsh interface ipv4 set address name="Helyi kapcsolat" source=dhcp

Automatikusan rendszergazdaként futtatni pedig úgy lehet, hogy létrehozunk egy parancsikont, ami a fenti parancsokat tartalmazó bat fájlra mutat, majd a parancsikon jobb klikk, Tulajdonságok, Parancsikon fül, Speciális gomb, pipa a Futtatás rendszergazdaként elé, majd két OK.

A notebook billentyűzetéről lemaradt a hosszú í betű (angol kiosztás). Enélkül az AlgGr+J kombinációval lehet előcsalni az említett betűt. Ez azonban Eclipse alatt a Join Lines funkcióhoz egy billentyűzetkombináció is, noha a gyorsbillentyűk listájában ez nem látszik, hiába is keresünk ott az „AltGr+J”-re

A pontos ok a wikipedián az AltGr címszava alatt szerepel:

És tényleg, Windows alatt az AltGr hatása teljesen megegyezik a Ctrl+Alt kombinációéval, míg például Linux alatt ez nem így van. Ezután a Ctrl+Alt+J-re beállított billentyűkombinációt törölve Eclipse alatt is előcsalható a hosszú í betű.

További adalék, hogy Windows alatt a Shift hatástalan az AltGr+J mellé, a nagy Í betűhöz az AltGr+I-t kell használni. Nálam Linux alatt az AltGr+I és az AltGr+J mind Shift gombbal, mint Shift nélkül is működik.

Egy idegesítő bug: A WinSCP nem hajlandó 1,5MiByte/sec-os sebességnél gyorsabban másolni. A fejlesztők tudnak a dologról (Tracker Bug 164, Slow file transfers), bár nem túl biztató, hogy Enhancement-ként kezelik a problémát. Mindenesetre nálam két-háromszoros sebességnövekedést jelentett a kapcsolat elején az alapértelmezett SFTP módról az SCP-re való átkapcsolás.

Most nézem, alig írtam tavaly szeptember óta, az egész elfér az oldalsó tízes listában. Ez a bejegyzést még valamikor az őszi félévben kezdtem el, azóta sem jutottam a végére. Már nem is fogok, de később még esetleg jól jöhetnek az itt leírtak.

Az előző félévben elég sok laborom volt, többnyire Windows XP-s gépekkel, rendszergazdai jog nélkül. A gépeken persze sosem voltak fent a kedvenc programjaim, mint a Firefox, Putty, WinSCP stb. Ezeket pendrive-on hurcolásztam magammal, de jó lett volna titkosítani is a fájlokat, ki tudja mikor hagyom el az eszközt. Windowsra is létezik pár on-the-fly titkosító, de ezek telepítéséhez adminisztrátori jog szükséges, másrészt telepíteni sem lett volna kedvem minden labor előtt.

Az előbbiek miatt kezdtem el egy olyan titkosítási megoldáson dolgozni, amihez nem szükséges rendszergazdai jog. A félév végére nem fejeztem be teljesen, azóta meg már nincs is rá szükségem, a most használt gépekhez van root jogom és tudom használni a LUKS-os megoldást, amiről már korábban írtam.

Szóval laborokon tipikusan Windows XP-s gépek előtt ücsörgünk, saját pendrive-val, de jobb lenne, ha a rajta lévő adatok titkosítva lennének. További igény, hogy a titkosított adatok Linux alatt is előcsalhatóak legyenek.

Kész megoldás hiányában nekiálltam barkácsolni, amihez olyan GNU/GPL licences eszközöket használtam amelyek léteznek mind Linux, mind Windows alá.

Először jelszavas ZIP fájlokra gondoltam, amelyeket egy-egy batch fájl csomagolna ki és be, hogy lehetőleg csak egyet kelljen kattintani (illetve begépelni a jelszót). Ahogy nézegettem a man oldalakat, úgy tűnik, hogy nem minden ZIP tömörítő kezeli ugyanúgy a titkosított fájlokat, valamint az USA jogi korlátozásai is bejátszhatnak. Persze, ha én viszem a zip- és unzip.exe-t is, akkor ez nem annyira gond. Viszont ha már titkosítani kell, akkor legyen GnuPG, biztos ami biztos alapon. Tud szimmetrikusan is kódolni, alapértelmezetten CAST5 algoritmust használ, bár biztosan le lehet cserélni, ha nem tetszik. Windowsos portja természetesen van.

A GPG-vel viszont annyi baj van, hogy könyvtárat nem tud titkosítani, csak a fájlokat darabonként, így a titkosítás előtt valamivel előtte össze kell csomagolni a fájlokat. Erre a ZIP is használható. (A fájlonkét történő titkosítás az eredeti fájl- és könyvtárnevek meghagyásával egyébként sem szerencsés, ezekből is lehet információkat kinyerni.)

A tömörítés után még törölni kell az eredeti fájlokat. Ezt a ZIP is képes megtenni, de ezt nem szabad rábízni. Törlés helyett inkább felül kell írni őket. A felülírást kihagyva egy kicsit is felkészült támadó bármikor vissza tudná állítani őket, hiszen törlésnél csak a fájl bejegyzése törlődik, az adatok még ott maradnak a lemez blokkjaiban. Ugyanez a helyzet a GPG által titkosított eredeti ZIP fájllal is.

Mágneses elven működő lemezeknél a felülírást többször is érdemes megejteni, tudomásom szerint viszont a flash-nél ezt elegendő egyszer végrehajtani ahhoz, hogy ne lehessen többet kinyerni a pendrive-ról a korábbi adatainkat. (Bár azért vannak kétségeim.)

Erre a felülírásra az Unix/Linux-okon régóta megtalálható shred tökéletes, neki is van Windows portja.

Az eddigi háromlépéses titkosítási művelet összefogható egy batch fájlba. Pontosabban kettőbe. Az első a pendrive bedugása után dekódolja a ZIP fájlt, majd kitömöríti, végül törli a ZIP fájlt, illetve a titkosított változatot is. Lehúzás előtt a másik fájl pedig ugyanezt eljátssza visszafele: tömöríti a titkosítandó tartalmakat, titkosít, majd felülírja és törli a titkosítatlan fájlokat.

A folyamatból látszik, hogy (legrosszabb esetben) csak az eredeti tárterület harmadát lehet csak hasznos adat tárolására használni. Egyharmad kell az eredeti fájloknak, egyharmad az ZIP fájlnak, a harmadik harmad pedig a titkosított ZIP fájlnak. Ezen kívül még szükséges némi hely a segédprogramok számára is.

A sorrenden picit lehet optimalizálni. Ha a dekódolás után rögtön töröljük a titkosított fájlt, és csak utána kezdjük el kicsomagolni az így létrejött ZIP-et, akkor a rendelkezésre álló tárterület harmada helyett akár felét is hasznosíthatjuk. Ugyanez érvényes az eltávolítás előtti titkosításra.

Beszerzendő fájlok

A fentebb vázolt rendszer összerakásához a következő listában felsoroltam a beszerzendő programokat. Töltsd le mindet, hozz létre a pendrive-on egy \bin könyvtárat, majd másold bele az említett binárisokat. Bár mindegyik valamilyen szabad licenc alatt érhető el, mégsem akartam kész csomagot készíteni. Félek, hogy a későbbieknek nem frissíteném és elavulttá válnának az összeállításban szereplő programok. Ez egy GnuPG-ben előforduló biztonsági hiba esetén különösen nagy veszélyt jelentene.

• GnuPG 1.4.7 compiled for Microsoft Windows (vagy újabb)

  Előbb fel kell telepíteni, majd a gpg.exe -re és az iconv.dll -re lesz szükség.

• GnuWin32 csomagok: Minden esetben a Binaries utáni Zip fájlt kell letölteni.
  • Zip for Windows: bin/zip.exe
  • UnZip for Windows: bin/unzip.exe
  • CoreUtils for Windows: bin/shred.exe
  • FindUtils for Windows: bin/find.exe
  • LibIconv for Windows: bin/libiconv2.dll
  • LibIntl for Windows: bin/libintl3.dll

Ha ezek megvannak, akkor a következő két bat fájlt kell a pendrive gyökérkönyvtárába tenni.

pack.bat

Ez a batch fájl tömöríti és titkosítja a secure könyvtár tartalmát. Esetleg érdemes lehet a tömörítés mértékén állítani (-2 kapcsolóban nagyobb számot kell megadni – 9 a maximum). A -T hatására a tömörítés után még le is teszteli az elkészült archívumot.

Nyerhetünk még némi időt, ha a ZIP kimenetét rögtön átadjuk a GPG-nek (bin\zip -r - secure | gpg --output secure.zip.gpg --symmetric), de ekkor a -T kapcsoló hatástalan, így elmaradna ez az ellenőrzés.

@echo off
echo pack.bat by palacsint - 2007. 10. 27. - http://palacsint.hu/ - GNU/GPL

bin\zip -T -r -2 secure.zip secure
if errorlevel 1 goto zipError
echo "Zip OK"

bin\find.exe secure -type f -exec bin\shred --iterations=1 --zero --remove {} ;
rd secure

bin\gpg --output secure.zip.gpg --symmetric secure.zip
if errorlevel 1 goto gpgError

echo "gpg OK"

bin\shred --zero --iterations=1 --remove secure.zip

exit /b 0

:zipError
echo "ZIP error"
exit /b 1

:gpgError
echo "gpg error"
exit /b 2

unpack.bat

Végül a dekódolást és kitömörítést végző batch fájl:

@echo off
echo unpack.bat by palacsint - 2007. 10. 27. - http://palacsint.hu/ - GNU/GPL

if NOT EXIST secure.zip.gpg goto fileNotFound

bin\gpg --output secure.zip --decrypt secure.zip.gpg
if errorlevel 1 goto gpgError
bin\shred --zero --iterations=1 --remove secure.zip.gpg

echo "gpg OK"

bin\unzip secure.zip
if errorlevel 1 goto unzipError

echo "unzip OK"

bin\shred --zero --iterations=1 --remove secure.zip
exit /b 0


:unzipError
echo "unzip error"
exit /b 1

:gpgError
echo "gpg error"
exit /b 2


:fileNotFound
echo secure.zip.gpg not found.
exit /b 3

Valami hasonló összerakható Linux alatt is shell szkriptként.

A napokban vettem egy új pendrive-ot amit szerettem volna oly módon titkosítani, hogy mind Linux, mind windows alól tudjam írni és olvasni is. A titkosított részből elég lett volna egy kisebb darab, de mivel a Windows nem képes flashdrive-on több partíciót rendesen kezelni, így maradt az egy nagy titkosított partíciós megoldás. A lépések a következőek voltak:

1. Particionálás
2. Linux kernelben a Device Drivers / Multi-device support (RAID and LVM) / Device mapper support bekapcsolása. (Gondolom a Crypt target support is kellhet.)
3. cryptsetup luksFormat /dev/sdc1
4. /etc/crypttab fájlba a következő: corscrypt /dev/disk/by-uuid/abc... none luks,check=vol_id,retry=1
   Az UUID-t keressük ki a fenti könyvtárból.
5. /etc/fstab fájlba: /dev/mapper/corscrypt /mnt/corscrypt vfat rw,gid=1000,uid=1000,dmask=0227,fmask=0337,noexec,user
6. cryptsetup luksOpen /dev/sde1 sde1
7. mkfs.vfat -F 32 -n CORSAIR /dev/mapper/sde1
8. cryptsetup luksClose sde1
9. /etc/init.d/cryptdisks start Ez a parancs berakja a /dev/mapper/ -be a cryttab-ban megadott eszközfájlt, amelyen keresztül elérhetjük a titkosított tartalmakat. Ha nincs rajta fájlrendszer, akkor nem megy, ezért kell a luksOpen és luskClose az mkfs-hez.
10. mount /mnt/corscrypt

Lecsatolás:

1. umount /mnt/corscrypt
2. /etc/init.d/cryptdisks stop

Windows alól a FreeOTFE-vel használható, A File / Linux volume / Mount partition menüpontot kell választani.

Egyelőre FAT32-vel használom, az Ext2 IFS-es driverrel még nem volt kedvem próbálkozni.

További olvasnivaló:

• Titkosított fájlrendszer 1. ( pendrive )
• FreeOTFE
• Howto install Debian Linux onto a USB thumb drive with the root partition encrypted (using UUIDs, Initramfs-tools & Dm-Crypt)
• Howto use Cryptsetup with LUKS support
• Ext2 IFS driver
• Why is it not possible to partition a USB Flash Stick?
• LUKS
• FreeOFTE Linux Volumes
• Multiple Partitions on 2 GB USB Flash Drive Not Seen

Már egy ideje ugyan csak minimálisan használok Windowst, de egy Windowsos gép elé leülve hiányozni szoktak a régi programjaim. Ezeket egy részét gyűjtöttem itt össze, hátha másnak is hasznára válik a lista. A programok többsége Linux vagy más Unix alapú rendszerről lett porolva Windows alá.

mplayer: Videózáshoz elengedhetetlen. Nem kell bénázni mindenféle kodekkel, az azokat nem támogató lejátszókkal, vagy azzal, hogy a projektoron nem jelenik meg a lejátszott videó. Van hozzá grafikus felület is, bár én tökéletesen meg vagyok vele parancssoros változattal is. Korábban már írtam hozzá egy mini-hogyant.

jEdit: A legjobb szövegszerkesztő. Általában mindenfélét ebben szoktam írni, programok, blog, feljegyzések, php, c, shell szkriptek. Nagyon sokat tud, és számos plugin van hozzá. A j betű a Java-ra utal, és persze Linux alatt is futtatható.

cfv: Ellenőrzőösszegek készítéséhez tökéletes eszköz. Kezeli a sima sfv fájlokat, számtalan formátumot tud generálni, akár az alkönyvtárakra is. Leginkább dvd-írásnál használom. Néhány perc alatt generál egy ellenőrzőösszeget a kiírandó fájlokról. Pár év múlva csak ezt kell leellenőrizni, és nem hallgatás közben fog kiderült az mp3-akról, hogy pattognak a lemez hibája miatt. Rengeteg formátumot ismer (sfv, md5, md5sum, stb.).

WinSCP: Titkosított SSH kapcsolaton keresztül lehet vele fájlokat le és feltölteni távoli gépre. Kellemes alternatíva az FTP-re. A titkosítás miatt tudja zabálni az erőforrásokat, de elviselhető.

mp3directcut: Hosszabb mixekből újrakódolás (és a vele járó minőségromlás) nélkül ki lehet vele vágni részeket.

Privoxy: Reklámszűrő proxy. Ha rajta keresztül webezel, akkor egy egyszerű webes felületen keresztül beállíthatóak a kiszűrendő URL-ek. Természetesen a helyettesítőkaraktereket is kezeli, kis tanulás után egész jól testre lehet szabni, és nem fognak többet idegesíteni a nem működő toplisták miatti lassú oldalletöltések, a villogó flash reklámok, továbbá az auditorok szkriptjeitől is meg lehet szabadulni. Böngészés közben egy (systray-be letehető) konzolon lehet figyelni a letöltött (illetve a kiszűrt URL-eket), konfigolni pedig a "http://p.p/" címen lehet (persze csak ha a proxyként van beállítva). Ezen reklámok kiszűrésének etikusságáról lehetne vitázni, de a dial-up internetelérés melletti telefonszáma-növelő hatásukról is.

Egyelőre ennyi, majd még bővítem a listát.

Korábban, mikor még XP-t használtam sokaknak nem esett le, hogy miért is pont ilyen az XP felhasználóm, amely egyébként adminisztrátori jogokkal bírt:

Kapcsolódó vicc:

- Mi az: kicsi, sárga, de mégis nagy hatalma van?
- A ROOT kiskacsa…