[06:57] <dodobas> yutro
[08:35] <dodobas> okvirna potrosnja plina/struje u zadnjih 6 dana ... 59m3 plina, 42kwh VT struje i 15kwh NT struje
[09:16] <jelly> Mmike, a meni google misli da sam u zg, kaj sad
[09:19] <Kozlic> pozdrav, naime zanima me jedna IT teorija, imamo 2 računala spojena na home ruter. Jedno računalo ima VPN i spaja na mrežu od firme, dali je moguće da drugo računalo koje nema VPN vidi printere od firme koje vidi računalo koje je spojeno na VPN ?
[09:26] <dodobas> i mene to zanima 
[09:28] <obrut> ako vpn interface nije (ne znam jel to ima ikakvog smisla) bridgean na ethernet i ako racunalo spojeno na vpn nema neki daemon koji bi radilo takve pizdarije, ne bi trebao biti vidljiv
[09:29] <obrut> moguce je sloziti neki daemon koji u lokalnoj mrezi broadcasta printere koji su njemu dostupi i tako provajdat printere onima kojima nisu direktno dostupni
[09:30] <obrut> ne znam jel cups ima takav feature
[09:31] <dodobas> obrut, al ako drugo racunalo moze do VPNa preko prvog racunala, onda moze dodati printer po IP adresi
[09:31] <obrut> naravno, ak je tako mreza slozena
[09:31] <dodobas> moje laicko shvacanje toga je da treba manualno poslozit rutu s drugog razunala na prvo 
[09:32] <dodobas> za taj VPN mrezni segment
[09:32] <obrut> ovo pitanje gore meni zvuci "da li je moguce", a ne "kako to slozit" :)
[09:32] <dodobas> i naravno slozit neku magiju na prvom da se ponasa kao router
[09:35] <dodobas> o tome ovisi moj masterplan da slozim windows u virtualku s kojim bi se spojao na VPN od klijenta pa onda preko te vrtualke usmjerio promet sa svih ostali racunala koja trebaju
[09:35] <Kozlic> dok se racunalo spoji na VPN, dali se onda on iskljuci sa lokalne mreze?
[09:36] <Kozlic> i esksluzivno komunicira samo preko VPN mreze?
[09:36] <obrut> pa ne bi se trebao iskljucit
[09:36] <obrut> njemu se kreira virtualni interface gdje dobije nekakav range ip adresa za koji zna da ako treba slati prema tamo da to ide preko tog virtualnog interfacea
[09:36] <obrut> za sve ostalo i dalje koristi lokalnu mrezu
[09:36] <dodobas> jedan od problema koji bi mogao biti je da se ne moze bridgat taj virtualni interface 
[09:36] <obrut> naravno, ako je vpn slozen da posalje i defaultnu rutu, onda ce sve slati preko vpna
[09:37] <Kozlic> znaci on moze komunicirati preko VPN-a do firme, ali i moze komunicirati po lokalnoj mrezu sa racunalima koja su u ruteru?
[09:37] <obrut> a onda u slucaju defaultne rute preko vpn-a, preko lokalne mreze ce moci samo do racunala koje su u istom subnetu
[09:38] <obrut> Kozlic: po nekakvom defaultu mora moci komunicirati s racunalima u lokalnoj mrezi
[09:38] <Kozlic> kuzim
[09:39] <obrut> jer da bi ti uopce preko vpn-a poslao paket na internet, taj enkapsulirani paket ide po tvojoj lokalnoj mrezi do routera
[09:39] <obrut> odnosno switcha u ruteru bi za kucne uredjaje bila konkretnija terminologija
[09:40] <dodobas> s obzirom da su svi portovi na rotueru u default bridgu :) (naucio sam nesto) :)
[09:40] <obrut> pa tako se obicno slaze da.. znaci u istom l2 segmentu
[09:40] <Kozlic> cisto da ne pricam u rukavicama, dogodio se ovaj konkretni problem
[09:40] <Kozlic> naime dobili smo DMCA notice o ilegalnom programu :/
[09:41] <Kozlic> e sad, na sluzbenom laptopu nije instaliran
[09:41] <Kozlic> ali razmisljam da je mozda netko doma na personal kompu imao nesto ilegalno
[09:41] <Kozlic> a onda kad se spojio sluzbeni laptop
[09:41] <Kozlic> su to povezali sa firmom posto sluzbeni laptop se sa vpn-nom vezan na domenu firme
[09:43] <obrut> ako mislis da je necije lokalno racunalo u istoj lokalnoj mrezi kao sluzbeni laptop preko tog laptopa izaslo na mrezu firme, to se nije smjelo dogodit osim ako sluzbeni laptop nema nesto jako lose iskonfigurirano
[09:45] <obrut> dodobas: ja imam jedan RPi koji mi je "router" za vpn-ove, tamo dizem vpn-ove tako da se racunala u mojoj lokalnoj mrezi (samo iz jednog strogo kontroliranog segmenta) mogu spajati na te vpn-ove
[09:45] <obrut> i uredno mi rade svi vpn klijenti koje trebam i na linuxu
[09:46] <Kozlic> a neznam ni sam, mozda da ovako preformuliram, dali je moguce da recimo privatni komp koji ima ilegalan software napravi spijunazu lokalne mreze i onda vidi sluzbeno racunalo, ali da vidi usput na koju se domenu to racunala spaja i tako dojde do traga firme?
[09:46] <Kozlic> pod domenu, mislim na onaj active directory od windowsa
[09:47] <obrut> sluzbeno racunalo moze broadcastati podatke o domeni i tako lokalni komp moze saznati to
[09:47] <Kozlic> uff
[09:47] <obrut> to mislim da windowsi rade po defaultu, ja vatam od zeninog laptopa :)
[09:47] <Kozlic> ufffff
[09:47] <jelly> Kozlic, službeno računalo može biti nedovoljno zašarafljeno.  Možda zaposlenik smije dizati virtualku unutar njega i bridge.  Možda ovo što je rekao obrut.
[09:48] <jelly> složiti dobar hardened GPO na windowsima nije baš jednostavno koliko znam, samo se npr. banke brinu o tome dovoljno
[09:49] <Kozlic> ako recimo sluzbena racunala broadcastaju podatke o domeni onda je to sigurno to
[09:49] <Kozlic> jer znam da je za taj software jeben spijun gore
[09:49] <jelly> to i dalje ne pušta promet kroz službeno računalo, samo daje neke podatke o istome
[09:50] <Kozlic> jasno
[09:50] <Kozlic> ali to je njima dovoljno
[09:50] <Kozlic> znaci oni su vidjeli da je u istoj mrezu racunalo koje se spaja na domenu firme
[09:50] <Kozlic> imaju proklete spijune tom programu
[09:51] <dodobas> obrut, ovo je neki sonicWall Global VPN client koji ne postoji za linux, https://www.sonicwall.com/products/remote-access/vpn-clients/ ... tu i tamo sam naletio da se spominje openswan kao alternativa ... ali nekako mislim da je jednostavnije dignut windows virtualku i tamo slozit VPN
[09:52] <obrut> ako je swan, onda je vjerojatno ipsec u pitanju
[09:52] <jelly> https://www.spinics.net/lists/openconnect/msg05321.html sonicwall je _navodno_ SSL/DTLS VPN
[10:01] <jelly> Kozlic, ako se radi o komercijalnom softveru koji ima call-home funkciju, i identificirali su vaše IP adrese of tvrtke kao polaznu točku, src ip, znači da je bar dio prometa, da li dns, da li nešto više, morao ići kroz VPN
[10:02] <jelly> provjeriti da li su službena računala zaključana barem toliko da zaposlenik nema local admina i da ne može napraviti "share internet connection"
[10:03] <jelly> ako zaposlenik ima local admin prava onda ništa nije sigurno, možda je softver stvarno bio gore pa je deinstaliran i pobrisani logovi, registry itd
[10:04] <jelly> sad bi mogao biti zločest pa pitati jeste li razmišljali o linux radnim stanicama :-D
[10:05] <jelly> u prošloj firmi smo imali problem da uprava i slični hoće imati admin prava, i onda su instalirali svakakve gluposti
[10:07] <dodobas> jelly, pa ne mozes upravi zabranit da instalira official onlyfans client na desktop ... cccc
[10:09] <jelly> tad nije bilo OF, samo neke vrlo čudne za burze 
[10:09] <jelly> nisam znao da ima official client!
[10:16] <dodobas> sjecam se tamo negdje 2005/2006 pocela je brija s FOREX burzama, ... bio je jedan lik ... ajmo sad all-in, godinu dana kasnije je dizao kredite da vrati dugove ...
[10:41] <jelly> sva sreća da 2007 nisam imao para za ulaganje :-)
[10:43] <obrut> glede discoverija na lokalnoj mreze
[10:44] <obrut> upravo mi je linux laptop broadcastao cijeloj mrezi da sam usteko scanner u njega (preko usb-a)
[10:49] <jamesmartinez> volim kavu
[10:51] <jelly> obrut, ako netko uspije preko scannera doći u vpn, svaka mu čast
[10:52] <obrut> pa da je neki kineski scanner, vjerojatno bi mogo :)
[11:37] <Kozlic> jelly, budemo bas vidli sto ce javiti. Zatrazili smo IP i MAC adresu racunala koje je vrtilo taj softver pa da vidimo u kojem grmu lezi zec...
[11:37] <Kozlic> znam da neki CADCAM softveri imaju brutala spijun
[11:37] <Kozlic> gleda ti sta imas po disku instalirano i ako imas neke tragove koji vode do firme, alarmiraju
[11:37] <Kozlic> neznam ako je uopce to legalno
[11:38] <Kozlic> recimo kolko je legalno da ti softvare švrlja po email pregledniku i iz toga provjerava tvoj identitet...
[11:58] <dodobas> ako je tako u ugovoru s tvrtkom za koju radis ... onda je sve legalno, jer koristis laptop od tvrtke za poslove tvrtke, tvrtka zeli to provjeriti, koristis li email za poslove tvrtke ili saljes privatne emailove s laptopta od tvrtke ... i tako :)
[12:16] <jelly> da ja prodajem proizvod od 10-50k EUR koji je lako piratizirat isto bi stavljao u ugovor i u softver zaštitu
[12:17] <jelly> nemaš para?  Koristi freecad ili kajgod
[12:44] <silly> pa bilo bi lipo da se spijunaza i prisluskivanje kaznjava
[12:44] <silly> neka to bude i mnogo vise nego samo "osjetno"
[12:46] <silly> zastita ima da bude defenzivna, a ne da sama vrsi napad
[12:49] <silly> zamisli da hns zastiti prijenos hnl lige na ovi nacin https://www.bbc.com/news/technology-44453382
[12:49] <silly> i da svako pocme raditi sta oce
[12:49] <silly> ...po tvom racunalu
[12:50] <jelly> <silly> zastita ima da bude defenzivna, a ne da sama vrsi napad # ovo je uglavnom krivo
[12:50] <jelly> tj. ne smijes imati samo reaktivnu zastitu
[12:56] <obrut> treba procitat eulu sto nitko ne radi
[12:57] <obrut> ja sam recimo procito za vscode i reko da to nema šanse da instaliram kod sebe :)
[12:57] <obrut> pa sam platio jetbrains koji kad odes na njihov web ti se spaja na localhost na odredjene portove i provjerava dal imas pokrenut njihov softver :P
[12:57] <jelly> možeš instalirati build iz distre koji nema EULU, teoretski
[12:59] <jelly> https://github.com/microsoft/vscode/issues/17996
[12:59] <silly> pa ni eula ne vazi ako je protuustavno ili krsi neke zakone
[13:00] <silly> ...vscodium
[13:00] <jelly> ako "ne vazi" moras dokazati na sudu uz hrpu troskova na svoj racun onda imas problem
[13:01] <silly> da
[13:01] <silly> a mislim, ne mos tek tako sve i svasta pa misliti da ce ti to proci
[13:51] <dodobas> `Russia Won’t Ban Cryptocurrencies, Will Regulate Them Instead`, ...  Russia’s government and the nation’s central bank have decided to draft a bill on recognizing them as an analog of currencies. ... https://cryptopotato.com/russia-wont-ban-cryptocurrencies-will-regulate-them-instead/
[14:33] <jelly> mmm, potato
[15:06] <ivoks> nice, a1, nice...
[15:06] <ivoks> "do sada računalnom forenzikom utvrđeno da su potencijalno kompromitirani podaci manje od 10 posto A1 korisnika"
[15:09] <jelly> s obzirom koliko se tipično ulaže u stvarni security po telekomima (a ne proforma), čudno je da nisu svi razvaljeni 100%
[15:11] <obrut> meni je zanimljivo da su ukradeni podaci samo 10% korisnika... ili su lopovi nesposobni ili imaju to razbucano u milione baza :)
[15:12] <jelly> vjerojatno enumeracija preko nekog javnog API-ja
[15:13] <jelly> a da je u milionima baza, pa naravno da je
[15:20] <dodobas> `security through obscurity` :)
[15:47] <jelly> naš cyber security, kojima je primarni zadatak da se bave korporativnim IT securityjem, nam je neki dan rekao da "riješimo" security issue koji je skener našao tako da sakrijemo verzije
[15:48] <jelly> jer odgovor "od ovih 20 CVE koje ste naveli 19 je zakrpano a zadnji Debian misli da je nebitan, pa mislim i ja.  Molim popravite skener da ne reagira na prvih 19" im nije bio po volji
[15:49] <jelly> security by obscurity se dakle aktivno koristi :-)
[15:49] <jelly> :-(
[20:23] <Mmike> jelly, kad VPN koristis!