W dniu 12.12.2025 o 16:33, Waldek Hebisch pisze:

>> Istnieje masa innych, znacznie bardziej niebezpiecznych metod
>> infekowania smartfona, niż "przez internet". Przez sklep, przez złośliwy
>> dokument, przez złośliwą stronę, przez uszkodzone firmware w module Wifi
>> itd itp. "Skanowanie portów przez złego hackera w koszulca uwalanej
>> pizzą" to już tylko w Hollywood.
>
> "Koszulka uwalona pizzą" to Hollywood. Ale skanowanie trwa.
> Koło dwu lat temu dureń administrator podłączył LAN bezpośrednio
> do Internetu, pomijając pośredni komputer pełniący funkcję
> firewalla. W ciągu kilku godzin od tego było włamanie na główny
> serwer w LAN. Normalne sieci są zabezpieczone, ale durni jest
> wystarczająca ilość by włamywaczom opłacało się odpalać
> automaty skanujące.
>
20 lat temu odpaliłem FTP, tak testowo na Windows Serwer 2003 wpięty
przez modem do Internetu. Hasło ustawione na: Paracetamol#...zdążyłem
wrzucić parę plików, które po 10 minutach zniknęły i pojawił się txt z
treścią "Dupa nie admin" :)

--
Pixel(R)??
Albo PiS albo Polska

do góry

On Fri, 12 Dec 2025 15:33:27 -0000 (UTC), a...@f...org (Waldek
Hebisch) wrote:
> firewalla. W ciągu kilku godzin od tego było włamanie na główny
> serwer w LAN. Normalne sieci są zabezpieczone, ale durni jest
> wystarczająca ilość by włamywaczom opłacało się odpalać
> automaty skanujące.

Ale, że jak? Komputery "w środku" miały "publiczne" adresy IP? Ktoś
adminowi dał do dyspozycji adresację publiczną i powiedział "podłącz
Internet wszystkim?". No wiem że niektórzy np..Orange Światłowód daje
adresy IP publiczne jak się chce ale przecież je się terminuje na
routerze/firewallu, który dalej robi z nimi DNAT/redirect tylko do
wybranych usług (jeśli to konieczne)....
Trudno w to uwierzyć dzisiaj...
Ale kiedyś było inaczej, pamiętam w połowie lat 90 na jednej wiodącej
Polskiej uczelni technicznej chyba wszystkie komputery, które miały
wtedy dostęp do TCP/IP miały nadane IP publiczne....Ba pamiętam, że
ad hoc konfigurując ręcznie parametry IP (zapamiętane wcześniej z
innego kompa) na dowolnie przypadkowym znalezionym komputerze w
dowolnej sali dydaktycznej (po uprzednim sprawdzeniu czy ma
podłączony kabel sieciowy) można było uzyskać sobie dostęp do
internetu....

--
Marek

do góry

Marek <f...@f...com> wrote:
> On Fri, 12 Dec 2025 15:33:27 -0000 (UTC), a...@f...org (Waldek
> Hebisch) wrote:
>> firewalla. W ciągu kilku godzin od tego było włamanie na główny
>> serwer w LAN. Normalne sieci są zabezpieczone, ale durni jest
>> wystarczająca ilość by włamywaczom opłacało się odpalać
>> automaty skanujące.
>
> Ale, że jak? Komputery "w środku" miały "publiczne" adresy IP?

Serwery miały adresy publiczne, bo cześć usług (np. DNS) było
dostępne z Internetu. Część miała być tylko lokalna,
firewall pilnował by z zewnątrz można było się dostać tylko
do dozwolonych usług. Po odłączenie firewalla port NFS
był dostępny z zewnątrz.

> Ktoś
> adminowi dał do dyspozycji adresację publiczną i powiedział "podłącz
> Internet wszystkim?".

Przepraszam, więcej nie napiszę bo zbyt łatwo byłoby ustalić
o kogo chodzi.

--
Waldek Hebisch

do góry

On 2025-12-12, heby <h...@p...onet.pl> wrote:
> On 12/12/2025 08:21, Marek wrote:
>>> Bo licencje na Worda już mieli. To anegdota o złych wyborach.
>> No dobra ale wcześniej pisałeś coś a'la "chmury się nie nadają" do pracy
>> zbiorowej  z plikami (plik ma szersze znaczenie teraz). Google Doc
>
> Google doc to nie są "wszystkie aplikacje". Relatywnie dużo softu
> korzysta z file-lock. Nawet, czym byłem sam zaskoczony, niektóre bazy
> danych obsługiwane z pliku (jak bodaj Access).
>
> Chmurowe systemy działają dobrze tylko z tym co masz zaimplementowane
> przez dostawcę. Jesli masz pecha i Twoja praca nie polega na pisaniu
> skarg, ponagleń i wypełnianiu cyferek w kratkach, to jesteś w d...

Eeeee, nie polega i nie jestem. Przyznam, że też do końca nie rozumiem
gdzie leży granica, bo tak jak jestem zdecydowanym przeciwnikiem
badziewia majkrosoftu, tak muszę przyznać, że praca wielu osób nad
jednym dokumentem prezentacji czy tekstu, czy arkusza w miarę działa. Co
musiałbym takiego robić aby to nie działało?

Coś unikatowego wyszło właśnie majkrosoftowi czy jak?

>> zbiorową nad jednym dokumentem/plikiem. Uprzedzam od razu, że nie
>> przejdzie  argumentowanie, że to była mowa o klasycznym pliku jako
>> obiekcie fs. Nie myślimy w kategoriach pojęciowych pliku dla
>> sześćdziesięciolatköw.
> Kategoria pliku dla 60latków napędza przemysł IT i jeszcze długo będzie
> napędzać. Andżelika pogrubiająca nagłówki może się wydawać istotnym
> elementem krajobrazu w takim samym stopniu, jak miliony urzędników
> formujących przemysł meblaski krzeseł.

Majkrosoft zdominował środowisko prac biurowych (ca 75% udziału w rynku
wedlug AI), drugi jest Google Workspace, który jak rozumiem też nie ma
problemów z pracą zespołową. Jeśli to firma z 1-2 osobami grzebiącymi w
tabelkach, to zwykle nie będą sobie włazić w paradę. Jeśli więcej osób,
to wpółcześnie zapewne korzystają z chmurowych rozwiązań M$ lub googla,
umożliwiających taką pracę, więc problem wydaje się być może nie
niszowy, ale nie jakoś dominujący.

--
Marcin

do góry

On 2025-12-12, heby <h...@p...onet.pl> wrote:
> On 12/12/2025 10:34, io wrote:
>>> W VPN z dostępem do sieci z SMB istnieje tylko jedna kopia pliku
>>> sieciwego i jest widoczny przez wszystkich. Z wszelkimi konsekwencjami
>>> takiego działania, jak wzajemną możliwością usuwania/zmiany danych,
>>> tak samo jak na lokalnym fs.
>> No więc Ci mówię, że w DFS plik może być po obu stronach
>
> Czyli zajmuje 2x (a dzie tam, 3x) więcej miejsca, oraz, dzięki prokołowi
> synchronizacji, opisywany problem "dwóch zapisało w to samo miejsce w
> offline" jest otwarty.
>
> Z reztą nie tyle otwarty, co rozwiązany w typowy dla Microsoftu sposób:
>
> Zapisujący ostatni wygrywa (Last-Writer-Wins), a przegrany ląduje w
> katalogu "frajerzy".
>
> Czyli dokładnie to, co w opisywanej anegdotycznie fimie, gdzie prawie
> identyczny, tylko ręczny sposób wymyslił szef, tylko tam "frajerzy" to
> pulpit.

Przecież to widać gdzie inna osoba pracuje. Nie można zakładać, że
wsyzscy to skończeni debile bo inaczej też powinno brać się pod uwagę,
że ktoś może fizycznie przyjść nam do biurka i nasrać na klawiaturę.

Do czego to doszło, że bronię oprogramowanie majkrosoftu.

--
Marcin

do góry

W dniu 12.12.2025 o 18:52, Marek pisze:
> On Fri, 12 Dec 2025 15:33:27 -0000 (UTC), a...@f...org (Waldek
> Hebisch) wrote:
>> firewalla.  W ciągu kilku godzin od tego było włamanie na główny
>> serwer w LAN.  Normalne sieci są zabezpieczone, ale durni jest
>> wystarczająca ilość by włamywaczom opłacało się odpalać
>> automaty skanujące.
>
> Ale, że jak? Komputery "w środku" miały "publiczne" adresy IP? Ktoś
> adminowi dał do dyspozycji adresację publiczną i powiedział "podłącz
> Internet wszystkim?". No wiem że niektórzy np..Orange Światłowód daje
> adresy IP publiczne jak się chce ale przecież je się terminuje na
> routerze/firewallu, który dalej robi z nimi DNAT/redirect tylko do
> wybranych usług (jeśli to konieczne)....
> Trudno w to uwierzyć dzisiaj...
> Ale kiedyś było inaczej, pamiętam w połowie lat 90 na jednej wiodącej
> Polskiej uczelni technicznej chyba wszystkie komputery, które miały
> wtedy dostęp do TCP/IP miały nadane IP publiczne....Ba pamiętam, że ad
> hoc konfigurując ręcznie parametry IP (zapamiętane wcześniej z innego
> kompa)  na dowolnie przypadkowym znalezionym  komputerze w dowolnej
> sali dydaktycznej (po uprzednim sprawdzeniu czy ma podłączony kabel
> sieciowy) można było uzyskać sobie dostęp do internetu....
>

No przecież na tym polega idea powszechnego internetu by każde
urządzenie miało swój adres IP. No i tak było, że miały. Całe sieci
miały routing do wewnątrz. Do zarządzania bezpieczeństwem stosowało się
firwalle. NATy pojawiły się w związku z ograniczoną ilością adresów IP i
przy okazji zaczęły pełnić rolę zapory uniemożliwiającej dostanie się do
całych sieci. A dzisiaj są kwestią biznesową, że liczy się każdy port,
stąd CGNAT. Dostawcy nie chodzi o bezpieczeństwo użytkownika tylko co
najwyżej sieci dostawcy, przez którą ten ruch użytkownika idzie i której
adresy IP są kompromitowane. I w tym właściwie nic złego by nie było
gdyby użytkownik końcowy nie był skazany na dostęp do internetu a nie
bycie jego częścią.

Bo jakaś część użytkowników widzi wartość w tym, że może ten internet
aktywnie wspierać swoimi zasobami a nie tylko pasywnie czerpać z cudzych
usług. I np. ktoś widząc, że to biznes w którym nie ma za dużo do
gadania, szuka alternatyw np w postaci Meshtastica, gdzie jeszcze nie ma
takich problemów bezpieczeństwa.

do góry

W dniu 12.12.2025 o 19:49, Waldek Hebisch pisze:
> Marek <f...@f...com> wrote:
>> On Fri, 12 Dec 2025 15:33:27 -0000 (UTC), a...@f...org (Waldek
>> Hebisch) wrote:
>>> firewalla. W ciągu kilku godzin od tego było włamanie na główny
>>> serwer w LAN. Normalne sieci są zabezpieczone, ale durni jest
>>> wystarczająca ilość by włamywaczom opłacało się odpalać
>>> automaty skanujące.
>>
>> Ale, że jak? Komputery "w środku" miały "publiczne" adresy IP?
>
> Serwery miały adresy publiczne, bo cześć usług (np. DNS) było
> dostępne z Internetu. Część miała być tylko lokalna,
> firewall pilnował by z zewnątrz można było się dostać tylko
> do dozwolonych usług. Po odłączenie firewalla port NFS
> był dostępny z zewnątrz.

No dokładnie tak, o to przecież chodziło by się łączyć a nie dzielić :-)

do góry

W dniu 12.12.2025 o 11:10, heby pisze:
> On 12/12/2025 10:34, io wrote:
>>> W VPN z dostępem do sieci z SMB istnieje tylko jedna kopia pliku
>>> sieciwego i jest widoczny przez wszystkich. Z wszelkimi
>>> konsekwencjami takiego działania, jak wzajemną możliwością usuwania/
>>> zmiany danych, tak samo jak na lokalnym fs.
>> No więc Ci mówię, że w DFS plik może być po obu stronach
>
> Czyli zajmuje 2x (a dzie tam, 3x) więcej miejsca, oraz, dzięki prokołowi
> synchronizacji, opisywany problem "dwóch zapisało w to samo miejsce w
> offline" jest otwarty.
>
> Z reztą nie tyle otwarty, co rozwiązany w typowy dla Microsoftu sposób:
>
> Zapisujący ostatni wygrywa (Last-Writer-Wins), a przegrany ląduje w
> katalogu "frajerzy".
>
> Czyli dokładnie to, co w opisywanej anegdotycznie fimie, gdzie prawie
> identyczny, tylko ręczny sposób wymyslił szef, tylko tam "frajerzy" to
> pulpit.
>
> Jakie te rozwiązania Microsoftu są zawsze blisko myślenia prostego
> suwerena.

Co Ty p...sz ?! :-)

Ja nie piszę o DFS Microsoftu tylko ogólnych rozwiązaniach DFS w których
synchronizowana jest zawartość. Zmieni się kawałek pliku to ten kawałek
leci na drugą stronę łącza. W ogóle to wszystko zależy od konfiguracji,
może być rozpraszanie pliku po różnych lokalizacjach.

>
>> więc 'pasywności' nie muszą latać między lokalizacjami a tylko
>> 'aktywności', czyli locki o jakich braku pisałeś i zmiany.
>
> I to jest źródło problemu.

I dlatego są te rozwiązania do pracy grupowej nad dokumentami office'owymi.

>
>> Może być jeszcze inaczej, ale mnie chodzi o to, że jeśli krytykujesz
>> usługi chmurowe za to, że nie zapewniają locków między lokalizacjami
>> to jest rozwiązanie w postaci DFS.
>
> Ale ja znam te rozwiązania, tylko rozmawiamy tu o duperelowatej sieci
> LAN, a nie firmie. Problem z lockiem mam w domu, kiedy żona i ja
> edytujemy ten sam dokument, wiec to nie jest problem wydumany, ale
> jednocześnie nie wymagam rozwiązań enterprise. Zwykły lock na pliku jest
> dostatecznie dobry.

W domu nie potrzeba VPN bo ten VPN generuje problem prawdziwej
wielodostępności, że dwóch użytkowników może sobie wzajemnie nadpisywać
modyfikacje.

>
>> Wykorzystując VPN trzeba mieć świadomość, że to nie jest lokalna sieć
>
> W zależności od typu VPN dostaniesz od "prawie jak normalna" po
> "identyczna z normalną".
>
>> choć sprawia takie wrażenie a wszystko będzie od niego zależało. Więc
>> się jednak rozprasza to, co w tym VPN jest. Tu mówimy o plikach, ale
>> generalnie o wszelkich zasobach.
>
> Zgadza się. Pliki to jeden, mały, duperelowany element całości. Wszystko
> ogarniez VPN. Alternatywą są gównoappki z chmurą w Chinach, każda do
> czego innego lub rozwiązania enterprise do których trzeba się
> habilitować. Co kto lubi.
>
>

No właśnie VPN niczego oprócz połączenia wszystkiego ze sobą nie ogarnia.

do góry

W dniu 13.12.2025 o 10:51, io pisze:

> No przecież na tym polega idea powszechnego internetu by każde
> urządzenie miało swój adres IP. No i tak było, że miały. Całe sieci
> miały routing do wewnątrz. Do zarządzania bezpieczeństwem stosowało się
> firwalle. NATy pojawiły się w związku z ograniczoną ilością adresów IP i
> przy okazji zaczęły pełnić rolę zapory uniemożliwiającej dostanie się do
> całych sieci. A dzisiaj są kwestią biznesową, że liczy się każdy port,
> stąd CGNAT. Dostawcy nie chodzi o bezpieczeństwo użytkownika tylko co
> najwyżej sieci dostawcy, przez którą ten ruch użytkownika idzie i której
> adresy IP są kompromitowane. I w tym właściwie nic złego by nie było
> gdyby użytkownik końcowy nie był skazany na dostęp do internetu a nie
> bycie jego częścią.

Bardzo ładny wywód, zatem wytłumacz sytuację, gdzie kiedyś mogłeś wejść
w bloku do każdego mieszkania czy nawet na osiedle a teraz pojawiły się
domofony i bramy i ludzie mieszkają jakby za CGNAT. Zapewne zrobiono to
dla lepszej komunikacji a nie ze względów bezpieczeństwa. Wymóg
zabezpieczeń na jakieś hasła i piny, też jest wymysłem i po cholerę
zamykać auto (chyba że ktoś ma Twizdę) :)
>
> Bo jakaś część użytkowników widzi wartość w tym, że może ten internet
> aktywnie wspierać swoimi zasobami a nie tylko pasywnie czerpać z cudzych
> usług. I np. ktoś widząc, że to biznes w którym nie ma za dużo do
> gadania, szuka alternatyw np w postaci Meshtastica, gdzie jeszcze nie ma
> takich problemów bezpieczeństwa.

No to otwórz dostęp do wszystkiego u siebie i zapraszaj :)
--
Pixel(R)??
Albo PiS albo Polska

do góry

W dniu 13.12.2025 o 12:42, ??x??(R)?? pisze:
> W dniu 13.12.2025 o 10:51, io pisze:
>
>> No przecież na tym polega idea powszechnego internetu by każde
>> urządzenie miało swój adres IP. No i tak było, że miały. Całe sieci
>> miały routing do wewnątrz. Do zarządzania bezpieczeństwem stosowało
>> się firwalle. NATy pojawiły się w związku z ograniczoną ilością
>> adresów IP i przy okazji zaczęły pełnić rolę zapory uniemożliwiającej
>> dostanie się do całych sieci. A dzisiaj są kwestią biznesową, że liczy
>> się każdy port, stąd CGNAT. Dostawcy nie chodzi o bezpieczeństwo
>> użytkownika tylko co najwyżej sieci dostawcy, przez którą ten ruch
>> użytkownika idzie i której adresy IP są kompromitowane. I w tym
>> właściwie nic złego by nie było gdyby użytkownik końcowy nie był
>> skazany na dostęp do internetu a nie bycie jego częścią.
>
> Bardzo ładny wywód, zatem wytłumacz sytuację, gdzie kiedyś mogłeś wejść
> w bloku do każdego mieszkania czy nawet na osiedle a teraz pojawiły się
> domofony i bramy i ludzie mieszkają jakby za CGNAT.

'Jakby', czyli jednak nie dlatego, że ktoś zza oceanu zechce nas okraść.

> Zapewne zrobiono to
> dla lepszej komunikacji a nie ze względów bezpieczeństwa.

A chcieli się komunikować? No to pod tym pretekstem im nie wcisnęli tego
domofonu. Może i po to, by się czuli bezpiecznie, ale mojego
bezpośredniego sąsiada okradli a mnie nie. A tak samo mogli do mnie
trafić jak do niego, czyli drzwi przy wejściu głównym nie pomogły. Ponoć
dlatego, że był dla złodzieja łakomym kąskiem. Jakby drzwi w wejściu
głównym nie było to też by do niego trafili. Czyli jakby mieli otwarty
'routing do wewnątrz' to by też do niego trafili a nie do mnie. Oboje
mieliśmy zabezpieczenia, drzwi z zamkami.

> Wymóg
> zabezpieczeń na jakieś hasła i piny, też jest wymysłem

I pomyśl, może ten sąsiad miał tylko słaby zamek.

> i po cholerę
> zamykać auto (chyba że ktoś ma Twizdę) :)

No faktycznie jeszcze nigdy nie zamknąłem Twizy :-)

>>
>> Bo jakaś część użytkowników widzi wartość w tym, że może ten internet
>> aktywnie wspierać swoimi zasobami a nie tylko pasywnie czerpać z
>> cudzych usług. I np. ktoś widząc, że to biznes w którym nie ma za dużo
>> do gadania, szuka alternatyw np w postaci Meshtastica, gdzie jeszcze
>> nie ma takich problemów bezpieczeństwa.
>
> No to otwórz dostęp do wszystkiego u siebie i zapraszaj :)

Tak dokładnie działa Meshtastic dzisiaj. Szuka się pokrycia raczej niż
ukrywa urządzenia, które nie bardzo mają jaką szkodę uczynić.

do góry