Názory k článku Postřehy z bezpečnosti: dvacet let stará zranitelnost ohrožuje všechny verze Windows od XP

> Skutečné, pravé emaily České pošty s informacemi o zásilkách jsou odesílány ze schránky ceskaposta[za­vináč]cpost.cz.

Pozorování:

1) zprávy od nich nejsou podepsané (ani v těle/SMIME, ani DKIM)

2) SFP politika pro cpost.cz končí ?all

3) jejich maily chodí z 92.62.233.210|rou­teer.krypton.cz, což minimálně na první pohled nijak s poštou nesouvisí, navíc s obálkovou adresou, která nesouhlasí s From adresou uvnitř mailu:

Received: from routeer.krypton.cz (routeer.krypton.cz [92.62.233.210])
by smtp1.ms.mff.cu­ni.cz (8.15.2/8.15.2) with ESMTPS id x6V8Ps7o033312
(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
for <XXX@XXX.mff.cu­ni.cz>; Wed, 31 Jul 2019 10:25:55 +0200 (CEST)
(envelope-from noreply@zasil­kovna.cz)
[...]
From: ceskaposta@cpost.cz


Jak si tedy můžu ověřit, že to opravdu přišlo z „ceskaposta[za­vináč]cpost.cz“, místo toho, aby tu adresu někdo zfalšoval?

Možná za ty 4 měsíce změnili konfiguraci, ale dovoluji si s tebou nesouhlasit.
Nejnovější mail, který jsem obdržel od ceskaposta@cpost.cz je z 2. 4. 2019, 11:23.
Nicméne z hlaviček a nslookup lze vydedukovat, že ceska posta odesílá maily z smtp01.cpost.cz s IP: 193.150.24.228 a MX a PTR mají v pořádku. Jako chyba lze hodnoti pouze záznam v SPF kde mají uveden neutrální znak "?ALL" a SPAM filtry tak mají těžší práci s zahozemí SPAMu, na který upozorňují.


Received: from smtp01.cpost.cz (smtp01.cpost.cz [193.150.24.228])
by email-smtpd-v8.ng.seznam.cz (Seznam SMTPD 1.3.103) with ESMTP;
Tue, 02 Apr 2019 13:23:41 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=cpost.cz; i=@cpost.cz; l=15665; q=dns/txt;
s=150521-smtp1; t=1554204221;
h=date:from:reply-to:to:message-id:subject:mime-version;
bh=BylCAvILgil­XmFp+/cZJpT0MkuX­nrlxXyShRGN6O­OL0=;
b=VqOgQdLx2HOJ­QNsc2OXj6Wfpil­xBFmeiMFbHvS48u2NPt­Ej/IbZmC+I1
TsEkC1uqZklRQ+a1VO­I8bqbXeWFty9+tTT9cbed­PsRdYfnBhwqhN8Hc9H
PcPgqKfgjGfQN­6STXqJVRqx7sld+pVqZO5dDu­eluYMDceU3//wJtqI­EBS
c=;
X-IronPort-AV: E=Sophos;i="5­.60,300,1549926000";
d="png'150?sc­an'150,208,217,150";a="1­74924116"
Received: from unknown (HELO smtp1.centrum­.cpost.cz) ([10.1.32.238])
by smtp01.cpost.cz with ESMTP; 02 Apr 2019 13:23:41 +0200
Received: from vak54-03-l2-z32e0 (vak54-03-l2-z32e0.centrum­.cpost.cz [10.164.11.52])
by smtp1.centrum­.cpost.cz (Postfix) with ESMTP id 795E43803F
for <xxxxxx@seznam.cz>; Tue, 2 Apr 2019 13:23:41 +0200 (CEST)
Date: Tue, 2 Apr 2019 13:23:41 +0200 (CEST)
From: =?UTF-8?Q?=C4=8Cesk=C3=A1_po=C­5=A1ta?= <ceskaposta@cpos­t.cz>
Reply-To: noreply@cpost.cz
To: xxxxxx@seznam.cz
Message-ID: <783948655.73289­.1554204221499­.JavaMail.esb1_as1@vak54-03-l2-z32e0>
Subject: =?UTF-8?Q?Informace_o_Va=C5=A­1=C3=AD_z=C3=A1sil­ce_NP8767903857M?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_73288_1364­548663.15542042214­95"
------=_Part_73288_1364­548663.15542042214­95
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
------=_Part_73288_1364­548663.15542042214­95
Content-Type: application/octet-stream; name=barcode.png
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=barco­de.png
------=_Part_73288_1364­548663.15542042214­95--


[root@xxxx ~]# nslookup -query=mx cpost.cz
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
cpost.cz mail exchanger = 10 smtp01.cpost.cz.
cpost.cz mail exchanger = 20 smtp02.cpost.cz.
Authoritative answers can be found from:
cpost.cz nameserver = dns1.cpost.cz.
cpost.cz nameserver = dns2.cpost.cz.
smtp01.cpost.cz internet address = 193.150.24.228
smtp02.cpost.cz internet address = 193.150.25.228
dns1.cpost.cz internet address = 193.150.24.97
dns2.cpost.cz internet address = 193.150.25.97


[root@xxxx ~]# nslookup -query=A smtp01.cpost.cz
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
Name: smtp01.cpost.cz
Address: 193.150.24.228


[root@xxxx ~]# nslookup -query=PTR 193.150.24.228
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
228.24.150.193.in-addr.arpa name = smtp01.cpost.cz.
Authoritative answers can be found from:
24.150.193.in-addr.arpa nameserver = dns1.cpost.cz.
24.150.193.in-addr.arpa nameserver = dns2.cpost.cz.
dns1.cpost.cz internet address = 193.150.24.97
dns2.cpost.cz internet address = 193.150.25.97


[root@xxxx ~]# nslookup -query=A smtp02.cpost.cz
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
Name: smtp02.cpost.cz
Address: 193.150.25.228


[root@xxxx ~]# nslookup -query=PTR 193.150.25.228
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
228.25.150.193.in-addr.arpa name = smtp02.cpost.cz.
Authoritative answers can be found from:
25.150.193.in-addr.arpa nameserver = dns2.cpost.cz.
25.150.193.in-addr.arpa nameserver = dns1.cpost.cz.
dns1.cpost.cz internet address = 193.150.24.97
dns2.cpost.cz internet address = 193.150.25.97


[root@xxxx ~]# nslookup -query=TXT cpost.cz
Server: 46.28.108.2
Address: 46.28.108.2#53
Non-authoritative answer:
cpost.cz text = "ciscocidomain­verification=384559530­dbe362a6e311153173c92d63­5211a035ef306785114fde­aef34f13a"
cpost.cz text = "MS=ms45437866"
cpost.cz text = "MS=ms75703731"
cpost.cz text = "v=spf1 mx include:spf.pro­tection.outlo­ok.com ?all"
cpost.cz text = "my96qNg/QHZh­6MLmNv8CbPzR/DKA2QNk6N+3­b/SebQX9R/iQqzM388O­idMpDdgcdPm915­XqVZAo5ZrDkqhDZDA­=="
Authoritative answers can be found from:
cpost.cz nameserver = dns1.cpost.cz.
cpost.cz nameserver = dns2.cpost.cz.
dns1.cpost.cz internet address = 193.150.24.97
dns2.cpost.cz internet address = 193.150.25.97


Mám od nich dva maily, jeden z 31.7. z uvedeného routeer.krypton.cz a jeden z 1.7. který je správně. Ten z krypton.cz začíná "Vážený zákazníku, dne 30.7.2019 jsme převzali do přepravy zásilku Balík Do ruky od odesílatele Zásilkovna s.r.o.", ten z 1.7. začíná "Vážený zákazníku, dne 28.6.2019 jsme převzali do přepravy zásilku Balík Do ruky od odesílatele Václav Vitouš", jinak jsou stejné.

Je možné že Zásilkovna si řeší maily nějak sama?

19. 8. 2019, 20:30 editováno autorem komentáře

Nasvědčuje to tomu, soudě podle obálkové adresy (tím spíš, že Zásilkovna nedávno začala generovat i štítky ČP a dalších dopravců, přes které doručuje). Ale pokud to tak je, je to chybný přístup, který může vést k zahazování zpráv antispamovými filtry. Zvlášť pokud by se ČP rozsvítilo a začala používat DKIM, případně pokud by přiostřila to SPF pravidlo.

Zjevně se od dob pana Petra "Klidně to odklikněte, nic se vám nestane" Stieglera (http://www.podnikatel.cz/clanky/on-line-chat-s-petrem-stieglerem/) nic podstatného nezměnilo. Stále dostáváme informace, nad kterými zůstává rozum stát. Hlavně, že většinu textu zpráv posílaných ČP tvoří "disclaimer" v češtině a angličtině.

Rozumným očekáváním by bylo, že si ČP vyřeší aspoň základní věci. A třeba používání elektronické pečeti založené na kvalifikovaném certifikátu by pro automaticky generované zprávy bylo takovým hezkým bonusem. Ale to bychom asi chtěli moc, že...

Podívejte se na zranitelnosti v procesorech. Dlouhá léta nikdo nenašel žádnou, najednou jich máme celý zástup.

Spíš je moc lidí nehledalo. Hyperthreading, nebo i spekulativní vykonávání čehokoli, budilo obavy už při vzniku těchto technologií. Jen se to nějak moc neřešilo, protože "HyPeTrAin!". Stejně to bylo s IoT nebo s čmoudem. Kdo si dovolil poznámku ohledně bezpečnosti nebo dokázal vymyslet jedinou nevýhodu, byl za zpátečníka, který nesnáší pokrok. A dnes? Průměrný botnet útočí z více zařízení, než je počítačů a smartfounů dohromady a výpadky MS outlooku 365 zastavily poštu firem po celém světě.

Ale ono to ve skutečnosti zpátečnické je. HT i spekulativní vykonávání ušetřilo spoustu času i kilowatthodin energie. Rizika zde existují, ale v mnohých případech jsou zanedbatelně malá a přínos velký.

Stejně tak se jednou bude historie dívat na spalovací motory, ale i na elektromobily s lithiovými akumulátory jako na jasně zbytečnou cestu, co nemohla vydržet. Na rozvoj automobilismu a nepodporu (kvality) veřejné dopravy taky - zvýšený provoz (díky autům s jedním jezdcem) stál už mnoho životů a zbytečně.

Přesto to vše nás jaksi posouvá. Rizika se řeší tak, jak ve skutečnosti vzrostou a tak, jak stupeň vývoje umožňuje. Právě i protože rizika procesorů nejsou moc velká, je umožněno jejich opravy vypnout. Vypnutím oprav se získá zpět výkon a úspora energie.

Poďte medzi nás na https://forum.root.cz/index.php?topic=21741.150 diskutovať o "elektromobiloch s lithiovými akumulátory" ako o jasne zbytočnej ceste vývoja tak, ako boli aj NiCd a NiMh akumulátory zbytočná cesta vývoja a nikdy sme ích nemali dopustiť a mali sme byť radšej bez ních! Pretože radšej nič, ako niečo, čo bude raz prekonané!!! :D

Ale teraz vazne. Ten spekulativny vypocet na volnych jadrach nie je problem, ale problem je, ze k jeho vysledkom sa dostal hociaky proces. Toto ked sa vyriesi v HW navrhu procesora, respektive systemu procesora, bude to dufam uz ok.