Názory k článku Motherfucker: virus v bezdrátových zařízeních Ubiquiti (AirOS)

No v Dial Telecomu to nestihli(resp. jejich smluvní partner). Mám firmu od soboty bez netu. Důvod jsou prý zavirované síťové prvky. Protože mám od nich na střeše ubiquity ap tak už vím odkud vítr fouká.

Lehla celá síť Eurosignal.cz ... ještě včera to všude nešlo

Dobry den,
nelehla cela sit, ale cca 1/3, v nedeli behem dne jiz byla cela infrastruktura ok. Nicmene zustalo postizeno vetsi mnozstvi klientskych stanic, na cemz usilovne pracujeme.

Mně už včera ráno Eurosignal šlapal. A nejspíš mohl šlapat už v neděli, ale nebylo se tam jak dostat, abych znova zkonfiguroval pojítko.

Nicméně znamená tohle, že Eurosignal používá rok děravý firmware?

A jak je to s hesly? V konfiguraci, kterou jsem tam nahrával, jsem našel jedno nepříliš silné…

viz. nekolik odpovedi okolo. Updaty jsou divocina, ktera plosne provozovat opravdu nelze, pokud nechci nasledne objizdet klienty, ktere to usmrti, protze zrovna si ubnt rozmysli, ze se flashne nekorektne. Mam to za nekolik let pouzivani ubnt vyzkousene, pouzivame fw, ktere jsou dlouhodobe stabilni na wifi casti, to ze v nich je dira, ubnt tise zaplaclo a zapadlo to v changelogu (ani ne celou vetou) mezi ostatnimi zmenami. Na druhou stranu - kdyz tu byl Skynet, vubec se nas to nedotklo. Btw myslim si, ze uvedeni cele napadene vysilaci infrastruktury do provozu do 12 hodin a vyleceni vsech dostupnych klientskych zarizeni do 14 hodin od utoku neni uplne spatne. Zvlaste, kdyz pozoruji okolni site (i vetsi operatory).

"Btw myslim si, ze uvedeni cele napadene vysilaci infrastruktury do provozu do 12 hodin a vyleceni vsech dostupnych klientskych zarizeni do 14 hodin od utoku neni uplne spatne. Zvlaste, kdyz pozoruji okolni site (i vetsi operatory)."

kolik je "cele napadene vysilaci infrastruktury" a "vsech dostupnych klientskych zarizeni" v realnych cislech, tedy množství jednotek? Abych si udelal predstavu...

Mam od Ubiquiti jeden Access Point ale z rady Unify, nie AirMax (kde sa pouziva AirOS).
Postihuje virus aj radu Unify ?

Super, diky za info. Pre istotu som updatol Unifi controler a nasledne aj AP.
Controler ma web rozhranie a cast kodu moze zdielat aj s webserverom z AirOS a byt tak zranitelny.

Ohledne bezpecnostni zaplaty to taky neni tak slavne, protoze verze 5.6.3 treba napadnutelna je, zatimco 5.6.2 neni. A ted babo rad, ze..

To jako že ve verzi 5.6.2 je ta zranitelnost zalátaná a do verze 5.6.3 se vrátila? Raděj se ptám, protože to zní dost neuvěřitelně.

Naopak si myslim, ze toto je predevsim velka chyba Ubiquiti.

1) Popsat naprosto fatalni bezpecnostni chybu nic nerikajici hlaskou "- airMAX: Security improvements " a cely problem se snazit zamest pod koberec - to mi neprijde vubec jako zodpovedne reseni !!!

2) https://hackerone.com/reports/73480 .. pokud se da tomuto zdroji verit, tak UBNT vyplatila 18000$ za nalezeni teto chyby .. (v listopadu 2015), slibovala vydani CVE (coz se ovsem nikdy nestalo!) .. 3 mesice zpet byla tato chyba "odtajnena" , takze zneuziti se dalo jasne ocekavat ...

3) ftipne je, ze ten exploit report byl jeste pred tydnem kompletne pristupny - vcetne veskerych informaci jak tuto bezpecnostni diru zneuzit a komunikace mezi nalelezcem a zastupcem Ubiquiti a hlasky od Ubiquiti, ze bude vydano CVE. Po masivnim rozsireni viru je vse opet skryto .. otazkou je, jestli kvuli detailnim informacim o chybe .. nebo aby nebylo videt, ze Ubiquiti moc dobre vedela jaky pru-ehm-svih to je, a ze misto oznameni teto chyby a sypani si popela na hlavu se ji snazila naopak co nejlepe zatlouct...

"pokud se da tomuto zdroji verit, tak UBNT vyplatila 18000$ za nalezeni teto chyby .. (v listopadu 2015), slibovala vydani CVE (coz se ovsem nikdy nestalo!)"

Ekonomicky nedava prilis smysl aby zaplatili netrivialni penize za nalezeni diry a pak ji dlouho neopravili. Mozna nezname vsechny souvislosti.

Ekonomicky dava zcela vzdy smysl prusery utajit. Vyda se trebas nejakej patch (s nic nerikajicim popisem ala M$) a doufa se ze si to vsichni nainstalujou driv, nez se to provali.

Jak Vam ekonomicky pomuze tajeni??

Jenže tato dira je znama už od verze 5.3.x a měla ji řešit verze 5.3.5. ta tečka za 5. je důležitá to byla ta verze která to měla opravit. Bavíme se o problému cca 4 roky zpět.

Hm, a to mi mraky Androidích nadšenců pořád tvrddí, že bezpečnostní aktualizace jsou zbytečnost. :-)

To nejsou Androidí nadšenci, ale idioti. Android má pravidelné aktualizace OS, nyní dokonce pravidelně každý měsíc. To, že na to výrobci low-end telefonů kašlou a hlupáci si tyto telefony i přesto kupují je jiný problém.

Ono se take nabizi otazka, ja je mozne, ze se takto nebezpecne vyrobky vubec muzou prodavat. Auta, ktera obcas samovolne vybuchuji se take neprodavaji.

V podstatě ve všech OS se nacházejí díry. Tak doufám, že nám je všechny nezakážou…

Takze auta jsou dneska vlastne taky na urovni padesatych let. Jasny, vzdycky je neco za neco, ale zrovna mobily s Androidem jsou pomerne velky extrem z druhe strany, byt v soucasne dobe pozoruji zlepseni.

Opravdu ne? Hodně štěstí s dobýváním trhu s výrobkem, který nevypustíš, dokud nebudou odstraněny všechny v současnosti neznámé chyby...

Protože, pokud vím, neexistuje nic, co by výrobce a prodejce zavazovalo k poskytování aktualizací, nepovolení funkce s defaultním nastavením,...

No a není potřeba se obracet na zákonodárce, stačilo by, kdyby se zodpovědní dohodli, vytvořili normu pro bezpečnost a update, protlačili na úrovni CENELECu a výrobek, který nesplní normu, by nesplnil technický požadavky na výrobek...

Jenomže prodejcům se nechce, protože by museli něco garantovat, výrobcům se nechce, protože by jim to kazilo kšefty,... Asi by bylo potřeba, aby se toho chopil někdo jiný, třeba CSIRTy...

V pripade tech wifin si ale velmi casto muzes vybrat mezi opatchuju a prestane to fungovat vs neopatchuju a bude to deravy. Zarnej priklad trebas mikrotik = po aktualizaci prestala fungovat vpn. Takze tyhle veci nikdo svepravnej radsi neaktualizuje, protoze dobre vi, jak to dopadne.

K managementu by se stejne nemelo nic dostat, takze chyba je jinde nez v patchovani.

Na Slovensku cez vikend padol RadioLan...

V článku je nepřesnost: skript po 18 hodinách napadená zařízení nerestartuje, ale vymaže jim konfiguraci (reset do továrního nastavení). Tím také sám sebe z těch napadených zařízení odstraní. Takže na ten ESSID motherfucker ani nedojde.

> Jelikož má sám na sebe firewall (iptables) sám sebe resetovat přístupem přes web nedokáže. A nedokáže resetovat "správně" infikovaná zařízení, ty mají také firewall.

Ten firewall neni uplne korektne aktivovan, takze se nahodi jen na nekterych zarizenich. Konkretne cerv pridava zaznam pres iptables, ale to muze selhat kvuli nezavedenym kernelim modulum (pokud netfilter uz zaveden neni, napr. kdyz zarizeni dela bridge, a jedna se o starsi firmware bez hotplugu). V takovem pripade se jde na nakazene zarizeni vzdalene prihlasit a cerva zlikvidovat.

Problem je, ze nekdy se do defaultu dostane uz i pri "instalaci" viru. Nektere fw se s tim nejak nesmiri a radeji se placnou do defaultu.. Chovani neni na vsech verzich fw stejne, paradoxne nonM5 zarizeni (verze 4.0.3 a nizsi) jsou tez napadnutelna, ale meli jsme v siti napadeny jeden jediny kus.

Ano článek je psaný v novinářském duchu takže s důležitými nepřesnostmi. Postižení se týká pouze zařízení s historickými verzemi firmware. Je tedy vidět, který provozovatel je/není profesionál. Platný popis viru a verzí která jsou/nejsou postižená je u výrobce: http://community.ubnt.com/t5/airMAX-Updates-Blog/Important-Security-Notice-and-airOS-5-6-5-Release/ba-p/1565949 (verze AirOS 5.6.2 má datum sestavení 15.7.2015 - to je skoro před rokem).

Pouzivat Ubiquiti na ine ako domace ucely (a kvoli podobnym chybam ani na to) je rovnake sialenstvo ako aj zvysne "domace" ap. AirOS ma mozno trosku lepsie GUI ale ked chce clovek a hlavne firma nieco profesionalne (spolahlivost, bezpecnost, podpora, management atd) tak sa musi obratit inam (Zebra(exSymbol/Mo­torola),Cisco,A­ruba,Rucus,Me­ru atd)

Fesaku presvec domaceho zakaznika nech si kupi cisco a potom to zopakuj 8000x :-) . Take tvrdenia expertov od stola mam najradsej. Ubiquity su v pohode a to je kamen urazu - poskytuju dobru sluzbu za maly peniaz a predavaju sa ako teple rozky takze ked sa v nich najde zranitelnost a zneuzije sa ... potom je to o velkych cislach. Na margo bezpecnosti Cisiek alebo Meru ... nerob si iluzie.

domacich presviedcat nebudem, nech si robi kazdy co chce (vratane firmiem). Ja len ze ak nejaky kutil/ITadmin nasadzuje u svojich zakaznikov tieto zariadenia tak si zaraba na poriadny priekak. Ano aj Cisco malo nedavno chybu ale ta bola zneuzitelna iba ked mal clovek fyzicky pristup k zariadeniu a to je velky rozdiel. Ak berie firma do uvahy iba cenu hw a hlada tu najnizsiu niet jej pomoci. V konecnom dosledku zaplati trikrat (za nekvalitne riesenie, za stratene data a za kvalitne riesenie)

Si to zjavne nepochopil. Domacemu zakaznikovy cisco nenanutis. A ak sa o to budes pokusat tak si ako ISP nezarobis na slanu vodu - pretoze naklady. Na last mile to bude VZDY o lacnych zariadeniach. Na pruser si zaraba operator ktory nerata s ich potencialnymi chybami. Tu je to o oddeleni managementu od uzivatelskych dat. Napokon nie je to kutil/admin kto rozhoduje o tom ze ake zariadenie sa nasadi. Do toho uz musi kecat aj niekto kto vidi do rozpoctu. Admin moze tak rozhodnut ktore z navrhovanych zariadeni je vhodnejsie - pokial teda ma taku poziciu.

Bezpečnost je kompromis. Vždycky existuje lepší, ale dražší řešení a každý si musí spočítat, kde je jeho optimum. Někomu stačí ISDN s HTTP, jiný požaduje tři záložní lajny a TSL.

Pokud má ISP spočítáno, že se mu vyplatí levnější zařízení pro domácnosti s tím, že při výpadku nad 24h poskytne 20% slevu a zákazník ve smlouvě souhlasí, tak levnější zařízení u zákazníka nemusí být problém.

A firma musí optimalizovat náklady. Pokud ho práce admina vyjde na třeba 300Kč/hod a tráví aktualizacema a opravama řekněme 20h měsíčně, jak dlouho trvá, než se zaplatí 5000 krabiček 0 10€ dražších, co mu uspoří polovinu práce?

Máme vo firme Cisco router (RV325) a ani po reklamácii nerobí to čo má. Z času na čas niektoré RTP prenosy (VoIP hlas) prestane preposielať a pomôže len celý router reštartovať. Takže sme na skúšku Cisco nahradili SoHo D-Linkom za desatinu ceny a od vtedy to šľape. Je to smutné, ale samotná značka "Cisco" ešte nezaručuje, že to bude fungovať.

Opravil bych to... Samotna znacka Cisco jeste neznamena kvalitu v rukou nekvalitniho spravce...

Jedno SOHO jste nahradili druhym SOHO. Cisco SMB rada (kam patri i RV325) je vysledek pokusu Cisca o ziskani casti SOHO trhu. S puvodni, nebo spise hlavni, radou Cisca ma tato SOHO vetev spolecny jen nazev a bohuzel podobne je to i se spolehlivosti a funkcionalitou. Oproti "profi" rade ma (podle mych zkusenosti) pokazde nejake problemy. Vetsinou to resi upgrade na posledni fw a nekdy vymena hw. Koreny SOHO vetve Cisca jsou v Linksysu, ktery kdysi Cisco koupilo.

... myslis ze jen soho? ... ;D

sg500 ... http://www.cisco.com/c/en/us/support/switches/sg500-52-52-port-gigabit-stackable-managed-switch/model.html (a dalsi ze stejny rady) ... to je taky linksys. Oficielne se k tomu nehlasej, ale poznas to snadno - neni v tom IOS a management to ma pres web.

Cisco (či jiný enterprise vendor) nemá díry ? Je všespásné ?

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike

vážně ? :D

Mně od Cisca a Aruby chodí tak 3-4 Security Advisory měsíčně :)

Zkuste i změnit obrázek článku. Máte tam UniFi, kterých se diskutovaná vlna viru netýká.

Toto neni potreba, po rebootu se /etc/passwd generuje vzdy znova z /tmp/system.cfg, ktery nijak infikovany neni. V zasade nejjednodussi lecba je:
rm /etc/persisten­t/mf.tar;
rm /etc/persisten­t/rc.poststar­t;
sed -i "s!httpd.port=80!httpd­.port=nejakypor­t!" /tmp/system.cfg;
sed -i "s!httpd.https­.port=443!httpd­.port=nejakyji­nyport!" /tmp/system.cfg;
save;
reboot;

a po rebootu nahrat fw 5.6.2 (vyzkouseny, nepada, ma dobre radiove vlastnosti, etc..)

V zadnem pripade nedoporucuji 5.6.3. fw 5.6.4 jsme zatim moc neodzkouseli, nicmene se zatim taky tvari rozumne.

Jeste doplnim ruzne internetove navody na odstraneni - v zadnem pripade pri lecbe nepouzivejte kill na procesy "mother, fucker, fuck a sleep", protoze tim dojde ke spusteni naplanovaneho resetu do defaultu ci finalniho prenastaveni essid na motherfucker a prikaz poweroff (ktery paradoxne funguje tak, jak ma :). V tu chvili je zasah na miste nutny.

killall na tyto procesy bez problemu funguje, akorat je treba zabit ostatni procesy pred tim, nez se zabiji sleep procesy.

V cem je fw 5.6.3 horsi proti 5.6.2?

XW 5.6.3 se mi povedlo tim exploitem prolomit. 5.6.2 a 5.6.4 ne.

Já 5.6.3 už nějaký pátek používám a zatím jsem si nevšiml, že by tam byl nějaký zásadní problém.

Ve verzi 5.6.5 mně přestala odpovídat na dotazy lokální DNS cache. Chvíli fungovala a pak stop. To samé po restartu. Deaktivoval jsem ji a DNS cache teď dělá další router po cestě. Protože je to jediný router s AirOs, kde jsem používal DNS cache, tak to víc neřeším.

...zmiňované značky výrobků jsou bohužel z kategorie dražších a to by bohužel klient nepochopil - nezaplatil. Ubiquity v žádném případě není šílenství, jen i zde platí jako u jakéhokoliv jiného zařízení, že čím více kusů je zařízení na světě používáno, tím více má smysl pro útočníky vymýšlet a hledat zranitelná místa a bavit se tím, že zařízení napadli/zničili. Až bude mít každý domácí klient zařízení Motorola nebo Cisco, pak i pro ně bude mít smysl začít tvořit viry.

Těší mě, když sítě založené na UBNT rušičkách padají jak kuřecí hlavy v masokombinátu.

Jdu si nastavit na MikroTiku virtuální AP essid „motherfucker” :-))

Bezesporu to těší i uživatele Motorol ;)

Na to se da rici jedine: OpenWRT

Ftipnej článek v mainstreamu:
http://jihlava.idnes.cz/po-utocich-hackeru-ma-jihlava-a-okoli-problemy-s-internetem-poq-/jihlava-zpravy.aspx?c=A160517_142440_jihlava-zpravy_evs

Jo, hlavně ten počet 15+15 techniků na 1500 uživatelů v síti je vtipný. To se fakt nedivím, že tam mají bordel v síti.

Nebyla to takový výzva, aby přešli na rozdávání IPv6 adres zákazníkům? Že, když se v tom musí hrabat, tak aby to spojili se zajištěním lepších služeb. Ono přesměrovávání portů jak mají na stránkách v nabídce je fakt svinstvo.

Jsou sítě, kde jsou 2 servisní technici na 2000 zákazníků po celém kraji.
M-soft má přesměrování portů v ceně tarifů, to mnozí nemají, za příplatek dává normálně routovanou veřejnou IPv4 adresu, ale 250 Kč/měsíc příplatek je dost, vzhledem k tomu, kolik mají vlastních IPv4 bloků...
Nu, třeba žádost o IPv6 vyslyší, před časem dali IPv6 do BGP, tak třeba dojde i na šíření k zákazníkům... :-)

Taky na to koukám, jeden technik na 10 zákazíků. Co tam asi normálně dělají, šlapou na rotopedech s dynamem, aby měl CGNAT šťávu?

Ani mi nemluvte:-( Firma od soboty bez telefonů, bez možnosti prodávat, (nejede internet, nejedou pokladny, nejedou sdílené účetní programy). Pán v dohledovém centru NetDataCommu mi řekne že můžu být rád že jsem se dovolal k nim a že má jen dest lidí...

No a s EET bude ještě líp... :(

Tak, presne to me napadlo ... s EET dostanes pekne flastr za neplneni zakonny povinosti a nikoho to zajimat nebude ... ;D

Apropos, uz sem videl technickou specifikaci. Vysmech ... treba se jaksi nepocita s tim, ze odesles, ale neprijde ti zadna odpoved.

Co jsme viděl v nějaké prezentaci, tak ne. Teda pokud daný využívá ISPíka, který je zařazen mezi provozovatele kritické infrastruktury a plní si z toho plynoucí poivinnosti proti státu (či-li aktuálnmě asi O2/CETIN, UPC, TMO, Vodafone). V případě selhání infrastruktury těchto, tak nebude psotižen. Pokud používá služeb někoho jiného ISP (který není na seznamu ať už rozhodnutím NKCB nebo dobrovolně nezačne plnit požadavky a NKCB mu to odkýve), tak postižen bude, pokud nedodá včas

V prezentaci muze byt lecos, podstatny je, ze ze zakona tam mas flastry automaticky po expiraci lhuty. Uz ted vim o par lidech, kteri presunujou zivnost za hranice ... budou platit dane holt u sousedu, a buresovi ukazou vztycenej prostrednik.

Na druhé straně, asi je to tak v pořádku. Kdyby pro Vás bylo připojení k síti životně důležité, měl byste nejspíš i nějaké záložní...

No to ani nemá cenu komentovat. Připojení za pětikilo pro firmu, kde se s jeho pomocí generují statisíce? S datama někde v čmoudu, místo na lokálním serveru, že se ani pokladny na pobočce nepřipojí? A ještě bez zálohy konektivity? No, vybral si to sám, že.

Když si autodopravce vystačí s jednou Avií A31 z páté ruky, která mu klekne a pak bude brečet, že dva dny nemůže vydělávat, tak s ním nebudu soucítit, ale budu se mu spíš smát, jak je naivní.

Zalozni na stejnejch dratech ... v 90% pripadu kdyz v nejaky oblasti padne net, tak vsem ISPkum najednou. A tech 10% snad ani nema smysl resit.

No vidíte, my zase kvůli tomuto problému neměli ani jeden telefon, a to těch UBNT věcí taky máme tisícovku. Proč? Protože udržujeme aktuální FW, máme dobře nastaven firewall atd.
Jako když mi páni z konkurence o víkendu volají, jestli nás to taky postihlo, a během telefonu z nich lezou informace jako "už to tam jede 4 roky aniž by na to někdo šáhl" - tedy žádné aktualizace FW apod., tak sorry, ale člověka co má na starost dohled nad sítí bych pověsil za koule.

Čekal jsem, že se ozvete, Vy chytráku...

My se známe?
Já se alespoň nestydím podepsat, co vy? :)

Neznáme. A konec konců, moje jméno znát nepotřebujete, stejně by Vám nic neříkalo. Ale vím o "tanečcích" kolem komína ve Pharma parku, tak mi to nedalo a musel jsem si do Vašeho popichování "pánů od konkurence" píchnout...

Sorry, ale má pravdu

Taky mám barák připojen přes UBQ AP, dokonce s veřejnou IPv4, tři roky jsem na to nesáhl (vzdíleně se o to stará ISP) a nebýt médií, o problému bych nevěděl. Takže když to jde, tak to chce.

Když si ale někdo představuje, že instaluje u zákazníka krabičku, nastaví ji, zahesluje a 10 let bude jenom inkasovat a místo práce koukat na redtube, tak se pak nesmí divit, že...

Tomu se říká běhání v kruhu:

"Po restartu
Znovu se rozbalí z taru, a spustí soubor mother. Tato matka si nastaví firewall na HTTP/HTTPS – tím můžete poznat infikované zařízení. "
...
"Jak se bránit?
Především aktualizovat na firmware 5.6.5! Zároveň je dobré nasadit firewall na HTTP nebo HTTPS, stačí jej nastavit ve webovém rozhraní zařízení. "

Jasně, omlouvám se za rýpnutí. Psát články a vyhnout se nechtěným paralelám je složité ;-)

"Nejlépe" jsou na tom zákazníci firmy Rudolf-net na Hronovsku. Půl města nefunguje a zákazníci neznají nastavení koncových zařízení. Kolega se ptal, proč nemá přihlašovací údaje od zakoupeného routeru Ubiquiti, který má na střeše svého domu. Pracovník firmy mu sdělil, že takové údaje zákazníkům rozhodně neprozrazují, kvůli bezpečnosti sítě.

Asi z duvodu ze na stejnym vsesmeru maj "p2p spoje" s OSPF nebo necim podobnym.

Tohle znam. Taky mam koupene (v ramci tarifu za 1kc) zarizeni na stozaru od ISP a nemam k nemu udaje. Na druhou stranu, pokud se o to ISP stara, tak je mi to jedno a za predavaci bod pak beru UTP z toho zarizeni dolu. Pokud by meli snahu tvrdit, ze predavaci bod je jejich antena kdesi, pak bych musel mit kontrolu nad danym zarizenim na me strese.

To se dobre nadava na ISP, ze neupgraduji... Nam se na upgradovanych AP antenach zmenila nastavena frekvence, coz nam odpojilo klienty a tim padem jsme resili 10 problemu najednou.

btw, doporuceni vyrobce: "Users using legitimate rc.scripts should run 5.6.4 for the time being." -- http://dopice.sk/htc

100% souhlas. Dohled sítě u mnoha ISP hooodně zaspal.

Tak už se o tom i něco dočteme... :-)
http://jihlava.idnes.cz/po-utocich-hackeru-ma-jihlava-a-okoli-problemy-s-internetem-poq-/jihlava-zpravy.aspx?c=A160517_142440_jihlava-zpravy_evs

Hnojník NET také napaden od soboty....

Lidi mám problém s M10. Jednotka se na vysílací straně po 20 až 25 hodinách provozu přepne do továru. Fimware je přehraný asi 10x. Po 10té nám došla trpělivost a vyměnili jsme jednotku za novou. Dělá totéž. Má natvrdo nasavenou frekvenci. Obě strany několikrát přehrané na nový fimware. Máme ten spoj blízko Alcom. Alcomy to podle mě nedělají. Zařízení jsou od sebe asi 50cm. Prosím nápady jako vyměň kabel a tak vynechte. To vše je asi 3 krát uděláno. Nikde jsme se s takovým problémem nesetkali. Tohle je první. Používáme M10 jen na krátké spoje do 1KM. Jestli někoho napadne nějaký rozumný nápad. Prosím o pomoc.. děkuju.