Příspěvky

196

Sítě / Re:Bezpečnost a soukromí v domácí síti

« kdy: 25. 04. 2022, 03:15:19 »

By ma zaujimalo, co to konkretne bolo. Mozete sa podelit? Ja som v primabanke nasiel peknu vec, ze ked platbu musi potvrdit druha osoba (dvaja majitelia spolocnosti s pravon nakladat s majetkom spolocne), tak pri trvalych platbach sa potvrdenie druhou osobou nepozadovalo... Fixli to asi do mesiaca. A tiez nieco podobne mali vo fiobanke. Teda kategoria aplikacna chyba.

Bylo to u České Spořitelny, tehdy nebylo HTTPS vynucováno, takže když člověk šel na www.servis24.cz, tak ho to z HTTP přesměrovalo na HTTPS. Ovšem pokud si člověk otevřel jiný web HTTPS a vzal si session id, tak ho mohl aplikaci podstrčit při HTTP a jak se to přesměrovalo na HTTPS tak se pak použilo to samé session id, které bylo získáno přes HTTP. Člověk tak mohl nadhárně dělat MITM. Prostě na HTTP podstrčil session id a pak na jiném počítači v pohodě mohl chodit internetovým bankovnictvím. Přičemž taková blbost, u Cookie byl špatně nastavený flag.

A na takových věcí jsem přišel i u jiných velkých firem.

197

Sítě / Re:Bezpečnost a soukromí v domácí síti

« kdy: 23. 04. 2022, 11:54:32 »

asi takhle 

198

Sítě / Re:Bezpečnost a soukromí v domácí síti

« kdy: 23. 04. 2022, 11:41:11 »

Aha, praktik, co hackl banku, aby to někomu ukázal.

Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.

TOS asi úplně nepochopil kontext. Nejde o to z ty banky ukrást miliardy; potenciálně velmi nebezpečným incidentem je už to,že se ti do sítě klidně i jen administrativy dostane zařízení, který tam nemá co dělat.
Už to samo o sobě je bezpečnostní incident,který máš povinnost hlásit,a může mít personální důsledky. Dál je to GDPR incident, který v případě,že se prokáže nějaká nedbalost na straně firmy,může mít za následek mnohamilionový flastr.
A co by se dělo, kdyby se útočník dostal k něčemu cennějšímu, např osobním údajům a přes ně se povedl nějaký spearfishing útok,si radši ani nepředstavuj.

To je to o čem píšu, nicméně síťová bezpečnost je přeceňována, můj "hack banky" byl na aplikační úrovni. Pokud chci narušit bezpečnost, tak si síťovou vrstvu skoro nikdy nevybírám, všichni se na ní strašně soustředí a bývá to většinou nejsilnější článek řetězu, na aplikační úrovni je mnohem více možností a je to často jednoduší.

Kdysi jsem přišel na pohovor bezpečáka do CCS (dělají platební karty k tankování) a ukázal jim chyby v bezpečnosti, kterým taky nevěřili, a nakonec mě nevzali, protože personalista byl silně proti právě kvůli tomu, že jsem jim to naboural i ukázal.

Dneska už se tím nezabývám, jako ne že by to nešlo, jako spíš že číst někomu maily s milenkou pro mě opravdu není věc, co by mě naplňovala.

V dnešní době hackuji čistě bankovní systém legálně, prostě zabývám se financemi, a pak dělám finanční operace, co mi vynesou peníze, něco mezi spekulantem a investorem. Když začal Covid, tak jsem obešel pár bank, napůjčoval si peníze a v krizi investoval. To je to o čem mluvím, proč někomu vykrádat kreditku, když to jde o tolik snadněji a legálněji ve větším množství?

Proč bych nabourával lidem účty, když oni vyděšení ze zpráv mi všechno sami prodají pod cenou a pak vyděšení z inflace to ode mě koupí o miliony dráž? Nemusím ty lidi ani vidět, oni je obslouží na pobočkách bank.

To je ten můj praktický úhel pohledu. Možná proto měl se mnou ten personalista problém mě přijmout. Já totiž nekradu ne kvůli morálce, ale jednoduše řečeno proto, že je to hodně práce s malým ziskem a fungovat legálně je snadnější a finančně výhodnější.

A tady představa týpka, jak mu někdo nabourává domácí kamery, aby mu vykradl barák je více než úsměvná, žije úplně mimo realitu. Člověk co by to zvládl mu nepůjde asi ukrást televizi, půlka těch zlodějů jsou lidi na perníku co prokopnou dveře, jen aby měli na další dávku, toď všední realita.

199

Sítě / Re:Bezpečnost a soukromí v domácí síti

« kdy: 22. 04. 2022, 16:23:28 »

To, že na to většina lidí dlabe, mají děravé routery, výchozí hesla ... to už je druhá věc.

To jsou z 99% ti lidi, co jsou hacknuti, tihle co na to totálně dlabou, k tomu určitě nenavádím, jen si myslím, že když člověk nastaví rozumná hesla a rozumě záplatuje a nepouští "sr*čky" z pochybných webů, že je v pohodě.

Já za 20 let nemám jediný incident, dokonce skoro všude platím na internetu kartou, a ani jedno zneužití. Prostě nedělám totální ptákoviny, používám základní inteligenci a nemusím být paranoidní, aby mě někdo nehackl.

200

Sítě / Re:Bezpečnost a soukromí v domácí síti

« kdy: 22. 04. 2022, 16:19:09 »

NAT jako firewall? NAT rozhodně nesupluje funkci firewallu. Navíc zvláště v době kdy spoustu lidí má IPV6 a každé zařízení má public ip mě to přijde poněkud úsměvné. Krom toho si představte, že dneska máme spoustu smart zařízení. Televize, pračky, vypínače, světla, žárovky... Které se připojují do internetu. Každé takovéhle zařízení v případě hacknutí lze použít jako proxy pro další hacky na síti.

- VLAN pro kamery (úplně odríznutá od internetu)
- VLAN pro hosty (internet)...

Jj, to jsou ti teoretici, kteří někde mají certifikaci od Cisco, už jsem jim párkrát ukázal, že zabezpečení na síťové vrstvě není ani náhodou všechno.

Kdysi jsem známému ukázal, jak se nabourat do banky, kde zrovna dělal audit, nevěřil mi to, dokud to neviděl, jak jsem to jednoduše udělal.

Systém je, že zabezpečení je tak silné, jako nejslabší článek, to je udělání nějakého totálně silného článku (vlastní VLAN pro kamery), nic nemění na tom, že až pojedete do města do divadla, že si na vás někdo v podchodu nepočká s kudlou.

Takže ano, je to paranoia. Je to stejné jako snažit se vysvětlit preperrům, že jejich plechovky s jídlem ve sklepě jim jsou na nic, když nebudou mít vodu

Možná, kdybyste místo toho ladění VPN strávil čas nad přípravem kvalitní stravy, uděláte pro své přežití a bezpečí víc.

Mimo jiné co bych v té vaší síti dělal, sledoval kamery nebo snížil teplotu o stupeň v ledničce? Nezlobte se na mě, zloději jsou dneska profesionálové, jim nejde o čas, kdy chodíte na zahradu, ale o peníze, které vám vytáhnou s účtu třeba prostřednictvím inflace nebo podvedeného dluhopisu.

Hackerům jde primárně o prachy, u života jde o nějakou vyváženost, rozumě si zabezpečit síť, rozumě pečovat o zdraví, rozumě pečovat o majetek a vztahy.

Ten váš styl super zabezpečení je jak člověk, který se soustředí jen na prachy, skončí milionář, ale nakonec je sám, protože mu ušlo dalších 50 věcí.

201

Hardware / Re:Chytrý telefon malých rozměrů

« kdy: 22. 04. 2022, 12:30:23 »

Jenom taková technická, novější telefony jsou při větším displeji stejně velké, ne-li menší než starší při menším, tj. nový 5 palců displej je menší než 4 palce u zastaralého telefonu kvůli rámečku.

202

Sítě / Re:Bezpečnost a soukromí v domácí síti

« kdy: 22. 04. 2022, 12:21:46 »

Myslím, že dnes už je to skoro jedno, většina routerů a providerů blokuje příchozí porty díky NAT, WiFi už běhá na WPA, a pokud člověk nedělá vysloveně blbosti (sdílení C: bez hesla do celé sítě apod.), tak podle mě nebezpečí moc nehrozí. Navíc když si člověk ukládá třeba hesla do prohlížeče, tak Chrome automaticky čekuje databázi uniklých hesel a hlásí taková, která jsou slabá.

Lidi jsou občas až moc paranoidní s tím, že znají případy totálně lehkovážných jedinců, kteří si na warez a porno webech stáhnou EXE soubor a nemají na počítači ani antivirus, pak jo. Ale pokud je člověk normální a nedělá vysloveně rizikové věci, je větší šance, že ho srazí auto na přechodu před barákem.

Znáte ten vtip, kdy dva misionáři zahlédnou lva, a ten jeden si začne obouvat boty a ten druhý na něj: "proč si je obouváš, stejně mu neutečeš?", a on na toho druhého: "to ne, ale mě stačí utíkat jen rychleji než ty".

Pointa je, že na světě je tolik totálně laxních lidí, že hackeři se snadněji zaměří na ně než na mě.

Pamatuji se ještě na dobu, kdy všechny modemy u O2 měli stejné uživatelské jméno a heslo: "admin:admin", a web rozhraní bylo na bráně do internetu blokováno, ale mohli jste se připojit k libovolnému routeru ve svém segmentu a nasdílet si tam třeba C: do internetu, ano toto je fakt laxnost.

203

Software / Re:Propojení dvou PC

« kdy: 17. 04. 2022, 23:45:40 »

Promiň, ale to je trochu podpásovka. @greenlinuxguru ti jen trochu květnatě napsal, že někdy je lepší  zaplatit směšný peníz, než bastlit. A upřímně - tvoje důvody, proč nemůžeš mít teamviewer nebo veřejnou IP jsou , ehm, tvoje důvody, ale pro nás respondenty jsou trochu záhadné.
Jo  a nechápu tazatele, kteří rejí do těch, kdo věnují čas na to jim odpovídat.

Děkuji ti za podporu, vážně si toho cením!

204

Software / Re:Propojení dvou PC

« kdy: 17. 04. 2022, 22:52:11 »

Sakra, jednou mám nějaký přínos pro společnost a dostávám za to zaplaceno, tak zároveň platím i ostatním, že dělají něco pro mě, mě to přijde normální.

V tomhle případě je to trochu smutné v tom, že podstata problému je „ajťákům došly čísla a nedokázali se dohodnout na použitelné opravě, ten problém je úplně absurdní a v normálním světě by se vůbec neměl řešit“.

Že tunelovat přes někoho data bude stát prachy, to se dá očekávat, ale čekal bych běžnou cenu provozu (1-2€/TB) + režii za to že to někdo adminuje a ne o 1-2 řády víc.

Martina6: Potřebuješ spustit Wireshark nebo tcpdump ("tcpdump -ni tun6 port 2022") a podívat se co se děje na prvním a druhém počítači.

Hele počet IPv4 adres byl opravdu více než dostatečný v době návrhu internetu. Představ si, že bys nyní vynalezl novou internetovou službu, a někdo by ti za 50 let řekl, že je smutné, že jsi v počátku nemyslel na to, že bude mít 3 mld. uživatelů.

IPv6 se zavádí, a je řešením. Tady alespoň je progress, minimálně rychlejší než u zrušení nesmyslného institutu trvalého bydliště z dob komunismu, který za 30 let nikdo nebyl schopen překopat - třeba v británii máš prostě korespondenční adresu, žádné trvalé bydliště.

Někdy mě samotného děsí, kolik pozůstatků postkomunistické transformační ekonomiky u nás stále je, jen to lidi nevidí, protože neví, jak to funguje na západě. A změna stále v nedohlednu. Zlaté IPv6, to už hodně operátorů začíná implementovat a během desetiletí si myslím, že už to bude standard.

205

Software / Re:Propojení dvou PC

« kdy: 17. 04. 2022, 22:41:54 »

@greenlinuxguru Do teď jsem platila za službu kterou jsem minimálně používala, tak nechápu proč píšeš o nějaké posedlosti zdarma.

Ano, máš poskytoatele který ti umožňuje koupit si veřejnou IP adresu já tu možnost nemám. (A z mnoha jiných důvodu bych to ani nechtěla). Kup si ještě Windows, MS office, nebo rovnou předplatné Office 365. A hlavně k tomu každý den basu piv. Podle toho jak se vyjadřuješ bych se ani nedivila, kdyby si své přítelkyni (jestli nějakou vůbec máš) taky každý měsíc nevyplácel za to pohodlí jak píšeš.

Můžu se zeptat, jakou s daným tématem má souvislost, jestli mám přítelkyni a jestli za ní také platím?

No ono to možná souvislost má. Kdysi než jsem si vedl evidenci výdajů jsem měl takové pomýlené představy, že když pozvu někoho na oběd nebo na kafe, nebo že když si zaplatím Netflix, že mě to zruinuje.

Až když jsem začal evidovat výdaje, tak jsem si všiml, že to opravdu neteče do kafe ve Starbucks nebo do předplatného Netflixu, ale velmi jednoduše moje finance visí na úplně jiných nákladech (rekonstrukce bydlení, provoz auta).

Problém většiny lidí je v tom, že vůbec neřeší svoje osobní finance, často vyhazují desítky tisíc úplně oknem, a pak se tetelí, když ušetří na mléku v Albertu 3 Kč, nebo na tom, že zhasínají žárovky po bytě ušetří 5 Kč měsíčně.

Mezitím vůbec neřeší to třeba každý rok si nechat pravidelně přidat v práci, nebo správné investování, případně zvyšování si kvalifikace, a na tom tratí stovky tisíc ročně.

Když jsem se o tom s kamarádkou bavil, proč lidé šetří na kravinách kde nic neušetří, vypadlo s ní, protože to je jednoduché. Ono to je pravda, ušetřit 3 Kč na mléku nebo 100 Kč na software či 5 Kč na zhasínání žárovek je jednoduché, prozkoumat nabídky 3 bank a ušetřit 100.000 Kč na půjčce už vyžaduje jistý intelekt a sofistikovanost.

206

Software / Re:Propojení dvou PC

« kdy: 17. 04. 2022, 18:42:05 »

Osobně nechápu tu posedlost tím "zdarma", čtu to tady i třeba u aplikací na Google Play, recenze typu "aplikace je placená, dávám mínus".

To je jako nějaká nemoc nebo jak? To je jak zavést diskuzi "kde dávají párek v rohlíku zdarma", a na to, že je nejlepší jít před volbami ke stánku politické strany a vzít si i polévku zdarma.

Sakra, jednou mám nějaký přínos pro společnost a dostávám za to zaplaceno, tak zároveň platím i ostatním, že dělají něco pro mě, mě to přijde normální.

Osobně mám T-Mobile, tam IPv4 adresu zlevnili, teď dávají statickou za 99 Kč měsíčně, to jsou 2 piva v hospodě. Já teda nevím jak tazatelka (asi je na sociálních dávkách nebo nevím), ale než abych si chodil pro polévku do bezdomovecké organizace zdarma, tak si jí dám tam, kde na ní mám chuť a kde je to hezké, klidně za to kilčo. Stejně tak se softwarem, prostě zaplatím si službu a pohodlí, místo toho abych měsíc laboroval nad něčím "zdarma", kdy jsem ušetřil 100 Kč tím, že jsem se to 20 hodin snažil rozchodit.

207

Nabízím zakázku / Hledám lektora Javascript / React

« kdy: 11. 04. 2022, 22:13:01 »

Ahoj,

byl by schopný mě někdo pomáhat s učením se Javascriptu a React, vzdáleně přes Skype/Teams, na komerční bázi, kolem cca. 700 Kč / 1 hodina 1x týdně.

Klidně piště do PM či nabídněte veřejně.

Děkuji

208

Odkladiště / Re:Hledám parťáka síťaře na laborování

« kdy: 30. 03. 2022, 20:48:23 »

Tak jsem provedl výzkum:
Dal jsem na autofórum dotaz, že mám auto a chtěl bych někoho, kdo mi zdarma vymění rozvody a zároveň mě naučí, jak se to dělá. Bohužel se mi ozvala jen hromada blbců, kteří za to chtěli dostat zaplaceno a druhá hromada blbců, která MĚ!!! označovala za blbce. To je hrozný, jak jsou ty lidi nenažraní.

Zítra zkusím to stejné se zedníky!
Že bych potřeboval postavit barák, že pozemek a cihly mám, dokonce i vlastní míchačku, že to budu dělat s ním, že pokecáme, že se oba zlepšíme a něco naučíme. I to, že umím do míchačky házet písek a práce se nebojím. Dám vědět, jak jsem dopadl!!!

dokonalé Když slyším slovo nadšenec, tak je to zpravidla člověk, co se tomu denno denně nevěnuje, tudíž hluchý se učí od slepého. To je jak hledat sparing partnera do fitka, než člověk přijde na to, že si holt musí zaplatit trenéra.

Prostě normálně chodím do práce, tak rád pustím nějakou tu kačku za to, že se mi zase někdo věnuje, na tom není nic divného.

209

Studium a uplatnění / Re:Práce IT Admina

« kdy: 30. 03. 2022, 17:21:20 »

IT máš primárně dva směry, support a R/D (vývoj). Support má většinou 3 stupně (first level atd.), a ten 3 level je správce systémů. Ten admin co myslíš ty, to je taková spíše děvka pro všechno, v komerční sféře tito lidé už moc nejsou (zaniká to), ale ve státní správě je takových adminů stále spousta (správce ve škole, nemocnici apod.).

Primárně operations je o tom být dostupný (pohotovosti apod.), často někdo na úrovni hasiče co řeší problémy co přijdou. Co se týká nudy, to bych řekl, že je stav mysli víc než by to souviselo s profesí.

Taková ta podpora uživatelů, "end user support" tam se člověk nenudí a poměrně je to zábavná činnost, jen mizerně placená.

Podle mě je do jisté míry lepší kariéra vývoje, je v tom víc peněz, a člověku nikdo nevolá v 1 hodinu ráno, člověk je víc pánem svého času.

Support je dnes tendence outsourcovat to. Jde o to, co člověk očekává za finanční ohodnocení, pokud 100k+ tak v supportu se na to člověk dostaně těžko, ale i tam jsou takové pozice. Uživatelská podpora je třeba 30k v menších firmách a 40-60k v těch větších s menším adminováním (třeba AD).

Dneska každý druhý tak trošku dělá do IT, včetně lidí co nacvakávají konektory na optiku, ale kolikrát je to jak srovnávat sestřičku co píchá injekci a neurochirurga. Všechno má svoje.

210

Studium a uplatnění / Re:Obsese algoritmických otázek na pohovoru

« kdy: 24. 03. 2022, 16:36:04 »

samozřejmě se to můžu našprtat

nemuzete vedet, dokud se to nenaucite.

jste jen tlučhuba, napiš te mi do PM, dávám sázku 100.000 Kč, že se to naučím, když jo, zaplatíte, sepíšeme to u notáře. Už mám něco za sebou v IT, naučil jsem se už dost technologií.

Dost mě dostává, kolik tu píše lidí, co v reálu makaj za 40k hrubého, ale tady za monitorem jsou to bohové. Každý může mít názor, jenomže já mám reálné výsledky.