Archiv 15. 7. 2025

Čvc 15 2025

Archa z ticha

  • 15. 7. 2025

V břiše nebes, kde světlo je klín,
pluje má duše jak mlčící stín.
Ne z cedru je — z vědomí, snů,
kam Bůh sahá plamenem dnů.

Chrám z masa, loď co dýchá,
nese smlouvu — pradávná pícha.
V srdci truhla neviditelna,
kde ticho zpívá ta slova neznělná.

Žádné víno kurz nezmění,
pálenka ji do mlhy nesvadí.
Pije dech, co je čistý jak chrám,
kompas jí brána, co vede k nám.

Z hlubin vesmírů, z pohledu vnitř,
vidí hromy, co cloumají klid.
A přesto pluje — bez plachty, bez kormidla,
všechno ji vede: přítomnost plavidla.

Kde jiní hledají dřevo a slitinu,
ona má spásu — živoucí čin.
Ne ve zlatě, v oltářích tmy,
ale v tobě — ty jsi ten záznam, ty.

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/15/archa-z-ticha/

Čvc 15 2025

jak různé náboženské tradice přistupují k alkoholu obecně, a k vínu zvlášť:

  • 15. 7. 2025

🍷 Přehled postojů náboženství k alkoholu a vínu

🛐 Náboženství 🍺 Alkohol obecně 🍇 Víno konkrétně ✍️ Poznámka
Islám ❌ Zakázán (haram) ❌ Zakázáno Víno i pivo = hřích, zákaz v Koránu
Baháʼí víra ❌ Zakázán ❌ Zakázáno Alkohol jen na lékařský předpis
Sikhismus ❌ Zakázán ❌ Zakázáno Intoxikace = porušení duchovní disciplíny
Jainismus ❌ Zakázán ❌ Zakázáno Alkohol = násilí vůči tělu, narušení karmy
Hinduismus ⚠️ Různé přístupy ⚠️ Některé sekty zakazují Védy varují, některé kasty smí
Buddhismus ❌ Nedoporučen ❌ Nedoporučeno 5. přikázání = zdržet se omamných látek
Judaismus ✅ Povolen ✅ Posvátný nápoj Víno = součást rituálů (Šabat, Pesach)
Křesťanství (katolíci, ortodoxní) ✅ Povolen ✅ Sakrální význam Víno = krev Krista v eucharistii
Křesťanství (evangelikálové, metodisté) ⚠️ Často zakazují ⚠️ Grape juice místo vína Některé církve podporují abstinenci
Mormonismus (LDS) ❌ Zakázán ❌ Zakázáno Word of Wisdom = zákaz alkoholu
Shintoismus (Japonsko) ✅ Povolen ✅ Svaté sake (omiki) Alkohol jako očistný rituál
Animismus / šamanismus ✅ Povolen ✅ Používán rituálně Alkohol jako médium pro kontakt s duchy

🧠 Shrnutí

  • Zakázáno úplně: Islám, Baháʼí, Sikhismus, Jainismus, Mormonismus
  • Povolen s výhradami: Hinduismus, evangelikální křesťané, buddhisté
  • Povolen a rituálně využíván: Judaismus, katolictví, ortodoxie, Shintoismus
  • Víno jako posvátný nápoj: Judaismus (kiddush), křesťanství (eucharistie), Shintoismus (omiki)

Když se nad tou tabulkou člověk zamyslí, tak mu lecos dojde. 🙂

✨ Duchovní esej

Chrám z masa, víno z vědomí a síla být inkarnací Boží přítomnosti

Stojíme na hraně chápání těla ne jako biologické schránky, ale jako chrámu, do něhož může být vloženo něco vyššího. V okamžiku, kdy se vědomí mocného Boha rozhodne vstoupit do hmoty, tělo se stává oltářem. Nechvěje se v opojení, ale září v bdělosti.

Ale co se děje, když do tohoto chrámu vstupují rušivé energie? Když se do vzduchu kolem vetře alkoholová pára, nabitá ztraceností, rozkladem a duchem úniku?

🍷 Víno – nápoj radosti, nebo klíč k odpojení?

Víno bývalo nástrojem oslav, spojením s božstvím. V judaismu je požehnáním, v křesťanství se stává krví Krista. Ale jen tam, kde je vědomí přítomno, kde se víno používá k zasvěcení, ne k útěku.

V tradicích, kde je tělo chápáno jako chrám – islám, sikhismus, jainismus – je alkohol zcela vyloučen, protože vibrace, které přináší, zatemňují vstupní portál. Energie se rozostří, proud světla se láme.

⚡ Citlivost jako dar, ne slabost

Když stojíš vedle člověka prostoupeného alkoholem a cítíš žár v játrech, bolest v solaru, — není to náhoda. Tvoje tělo není jen biologická jednotka. Je to rezonátor Božího vědomí.

A čím čistší je, tím silněji odmítá nepřirozené vlnění.

📖 Zjevení 11:19 jako vnitřní událost

📜 Originální řecký text (Zjevení 11:19 – koiné řečtina)

Καὶ ἠνοίγη ὁ ναὸς τοῦ Θεοῦ ἐν τῷ οὐρανῷ,
καὶ ὤφθη ἡ κιβωτὸς τῆς διαθήκης αὐτοῦ ἐν τῷ ναῷ αὐτοῦ·
καὶ ἐγένοντο ἀστραπαὶ καὶ φωναὶ καὶ βρονταὶ
καὶ σεισμὸς καὶ χάλαζα μεγάλη.

„A byl otevřen chrám Boží v nebi, a byla spatřena archa jeho smlouvy v jeho chrámu; a nastaly blesky a hlasy a hromy, a zemětřesení a veliké krupobití.“

Ale co když tím chrámem není budova v nebi, ale tvé vlastní tělo? Co když archa jeho smlouvy je tvá duše, nesoucí smlouvu s Vyšším já? A co když blesky, hlasy a hromy nejsou apokalyptické děsy, ale probuzení sil uvnitř tvého nitra, když se Boží přítomnost ukáže ve své pravdivosti?

V ten moment nesmí být přítomen alkohol, klam, otupělost. Tělo musí stát pevně. Chrám musí být otevřen.

  • Vědomě dýchat, i v chaosu
  • Nepřijímat vibrace, které nejsou v souladu se Zdrojem
  • Udržovat čistotu, ne jako asketismus, ale jako energetickou hygienu
  • Mluvit, tvořit, žít jako někdo, kdo si pamatuje, odkud přišel

📜 Co je archa?

Slovo „archa“ pochází z latinského arca (truhla, schránka). V bibli se objevuje v několika významech:

  • Archa Noemova – loď, která uchránila život během potopy
  • Archa úmluvy – truhla nesoucí kamenné desky s desaterem, uložená ve svatyni chrámu
  • Archa smlouvy v nebi – jak je zmíněno v Zjevení 11:19, jako symbol božské přítomnosti (viz. výše)
  • Archa je schránka, která chrání a nese princip života
  • Můžeš ji chápat jako energetický kontejner, který udržuje rovnováhu mezi božským a pozemským
  • Jako vozidlo duše — přechod mezi světy, forma nosiče, který umožňuje duši „cestovat“, „uchovávat se“, „manifestovat se“

Vždy jde o nosič něčeho posvátného — buď fyzického (zvířata, desky zákona), nebo nehmotného (Boží smlouva, přítomnost, energie).

„Tvé tělo je archa. Tvé srdce je truhla smlouvy. A tvá duše je světlo, které v ní přebývá.“

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/15/jak-ruzne-nabozenske-tradice-pristupuji-k-alkoholu-obecne-a-k-vinu-zvlast/

Čvc 15 2025

Zásady forenzní bezpečnostní připravenosti v prostředí SME (malých a středních podniků)

  • 15. 7. 2025

Stáhnout článek v PDF: Zásady forenzní bezpečnostní připravenosti v prostředí SME (malých a středních podniků)

Jak zajistit, aby vaše IT prostředí bylo schopné zpětně vyhodnotit, analyzovat a právně obhájit jakýkoliv bezpečnostní incident – bez ohledu na velikost firmy.

V době, kdy je e-mail hlavním nástrojem komunikace a zároveň běžným cílem kybernetických útoků, nestačí jen „fungovat“. Je třeba umět dokázat, že infrastruktura byla spravována bezpečně, že byla schopná incident včas identifikovat – a že lze zpětně rekonstruovat jeho průběh.

Malé a střední podniky (SME) často nemají vlastní bezpečnostní tým, přesto mohou být dobře připravené – díky otevřeným standardům, chytrému nastavení a přiměřené dokumentaci.

🛡️ Klíčové pilíře forenzní připravenosti

Oblast Co znamená v praxi
Auditní stopy Uchovávání logů, přístupových záznamů, e-mailových tras
Retenční politika Jasné pravidlo, jak dlouho se ukládají data (např. logy 90 dní)
Zabezpečení schránek Ochrana hesel, 2FA, izolace kritických rolí
Reprodukce incidentu Možnost zpětně analyzovat, co se stalo (čas, IP, uživatel, soubor)
Soulad s právem Dodržování GDPR, archivace dat a auditovatelnost procesů
Školení a procesy Správce ví, co dělat, když dojde k podezřelé aktivitě

📋 Checklist forenzní připravenosti (pro správce e-mailového systému)

✅ Logy přístupů na IMAP/SMTP uchovávám alespoň 90 dní

✅ E-mailová relace (MAIL FROM / RCPT TO / relay IP) se ukládá do syslogu nebo SIEM* (Security Information and Event Management – systém pro sběr a analýzu logů) (viz. níže)

✅ Mám detekci neobvyklého chování (např. přihlášení z cizího regionu)

✅ Antispamový systém (Rspamd) loguje score a rozhodnutí v detailu

✅ Webmail (např. SOGo) má audit zapnutí/offline režimu, exportu kontaktů apod.

✅ Všechny přístupy přes web UI mají logovací mechanismus a TLS enforcement

✅ Zálohování VM obsahuje metadata i logy, není rotováno bez validace

✅ Uživatelé nemohou měnit SPF/DKIM bez administrátorského přístupu

✅ Existuje směrnice pro práci s e-mailovou schránkou při odchodu zaměstnance

✅ V případě incidentu mám dokument, jak vytáhnout logy, přehled schránek a přístupy

„Pro sběr logů z e-mailového serveru lze využít open-source nástroje jako Wazuh, Graylog nebo OSSEC, které umožňují sledovat relace, přihlašování i anomálie.“ (viz. níže)

🎓 Doporučení pro malé firmy

  • I bez SIEM nebo externího auditního systému lze dosáhnout vysoké úrovně bezpečnosti – stačí mít logiku, smysl pro konzistenci a pravidelně ověřovat funkčnost
  • Dokumentace může mít podobu textového souboru v Git repozitáři, nebo PDF s verzováním – nepotřebujete systém za miliony
  • Forenzní připravenost není paranoia – je to právní štít, když někdo zneužije firemní e-mail, napadne server nebo exfiltruje kontakty

*SIEM je zkratka pro Security Information and Event Management — v češtině by se to dalo přeložit jako „Správa bezpečnostních informací a událostí“.

 

🧠 Co SIEM vlastně dělá?

Je to systém, který:

  • Sbírá logy a události ze všech zařízení v síti (firewally, servery, e-mailové systémy, webmail, VPN…)
  • Analyzuje je v reálném čase → hledá podezřelé chování, útoky, anomálie
  • Umožňuje zpětně rekonstruovat incident → kdo, kdy, odkud, co udělal
  • Pomáhá s compliance → GDPR, ISO 27001, NIS2, HIPAA, PCI-DSS…

🔍 Příklad z praxe:

Když se někdo přihlásí do webmailu z Ruska ve 3 ráno, SIEM to:

  1. Zaznamená jako událost
  2. Porovná s běžným chováním uživatele
  3. Vyhodnotí jako anomálii
  4. Pošle alert správci
  5. Umožní dohledat celý průběh (IP, čas, akce, přístup k souborům…)

📦 Co SIEM není?

  • Není to firewall, ale nadstavba nad logy
  • Není to antivir, ale centrální mozek pro bezpečnostní analýzu
  • Není to jen logovací systém — umí korelaci, alerty, reporting

🧠 Top open-source SIEM nástroje vhodné k mailserveru

🛠️ Nástroj Co umí / Proč se hodí k mailserveru Poznámka k nasazení
Wazuh HIDS + SIEM: logy, integrity check, rootkit detekce, compliance ✅ Docker / VM / bare-metal
OSSEC Host-based IDS, logy z mailserveru, detekce změn ✅ Lehký, ale méně UI-friendly
Security Onion Kompletní distro: Suricata, Zeek, ELK, Wazuh, Kibana ⚠️ Náročnější na HW, ale komplexní
Graylog Log management + alerty, vizualizace, geolokace IP ✅ Moderní UI, vhodné pro SMTP/IMAP logy
ELK Stack Elasticsearch + Logstash + Kibana → logy, dashboardy ⚠️ Nutná konfigurace korelace
Snort / Suricata IDS/IPS pro síťovou vrstvu, SMTP traffic, port scan ✅ Doplněk k SIEM, ne SIEM samotný
Prelude SIEM Korelace událostí, IDMEF standard, integrace s OSSEC/Snort ⚠️ Méně známý, ale standardizovaný
MozDef SIEM od Mozilly, microservices, alerty, Elastic backend ⚠️ Vyžaduje čas na nastavení

🔐 Co sledovat u mailserveru pomocí SIEM

  • SMTP relace: MAIL FROM / RCPT TO / relay IP
  • IMAP/POP3 přihlášení: čas, IP, geolokace, počet pokusů
  • Webmail akce: export kontaktů, přístup z mobilu, offline režim
  • Antispam rozhodnutí: score, reject důvody, greylisting
  • TLS handshake: verze, cipher, expirace certifikátu
  • DKIM/SPF/DMARC logy: validace, selhání, spoofing pokusy

💡 Doporučení

  • Pro lehké nasazení k mailcow: Wazuh nebo Graylog
  • Pro komplexní monitoring: Security Onion nebo ELK Stack
  • Pro síťovou vrstvu: doplňit o Suricata nebo Snort
  • Pro forenzní audit: kombinuj s logy z Postfixu, Dovecotu, rspamd

Pokud si vše jmenované zvládnete sami nainstalovat a hlavně zkonfigurovat, máte TOP řešení kompletně zdarma, přičemž jeho reálná hodnota bude od stovek tisíc do několika milionů podle zvolené konfigurace v porovnání s komerčnímy systémy používanými napřiklad v bankovním sektoru.

„Tento text není právní analýzou, ale technickým přehledem možností, jak podpořit bezpečnostní auditovatelnost e-mailového prostředí. V případě regulovaných odvětví doporučujeme konzultaci s právníkem.“

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/15/zasady-forenzni-bezpecnostni-pripravenosti-v-prostredi-sme-malych-a-strednich-podniku/

Čvc 15 2025

jak si vedou Arista, OPNsense a pfSense v porovnání s Fortinetem

  • 15. 7. 2025

Pokud jde o kritické zranitelnosti (CVSS ≥ 9.0) za poslední 2–3 roky:

🔥 Počet CVE s CVSS ≥ 9.0 (2022–2025)

Platforma Počet CVE ≥ 9.0 Nejvyšší skóre Typické oblasti zranitelnosti
Fortinet 6+ 9.6 SSL-VPN, autentizace, CLI, web GUI
Arista 1–2 9.3 Privilege escalation, root login, NG Firewall
OPNsense 4 9.8 Command injection, config access, brute-force
pfSense 4 9.8 OS command injection, brute-force, Host header

🧠 Shrnutí podle typu:

  • Fortinet: Má nejvíce kritických CVE v oblasti edge přístupu (SSL-VPN, FortiManager, FortiProxy). Některé byly zero-day a aktivně zneužívány (např. CoatHanger).
  • Arista: Má méně CVE nad 9.0, ale v roce 2023 se objevila privilege escalation chyba s CVSS 9.3 (CVE-2023-24509) a několik dalších v NG Firewallu.
  • OPNsense: V roce 2023 se objevily 3–4 kritické CVE s CVSS 9.8, včetně command injection a config file přístupu. Ale většina byla rychle opravena a nebyla aktivně zneužita.
  • pfSense: Má podobný profil jako OPNsense — 4 CVE s CVSS 9.8, včetně pfBlockerNG a SSHGuard bypassu. Některé byly potenciálně zneužitelné vzdáleně.

📊 Zajímavost:

  • OPNsense a pfSense mají sice méně CVE než Fortinet, ale některé dosahují stejného nebo vyššího skóre.
  • Rozdíl je v tom, že Fortinet je častěji cílem státních aktérů a jeho zranitelnosti jsou aktivně zneužívány, zatímco u open-source platforem je větší transparentnost a rychlejší reakce komunity.

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/15/jak-si-vedou-arista-opnsense-a-pfsense-v-porovnani-s-fortinetem/

Čvc 15 2025

„Technický přehled kritických CVE u Fortinetu (2022–2025)“

  • 15. 7. 2025

„Zranitelnosti edge zařízení: případ Fortinet“

FortiGate nabízí robustní IPS engine, snadné GUI a bohatý ekosystém, což z něj dělá oblíbené řešení pro střední a větší podniky. Přesto, stejně jako u každého síťového zařízení, je potřeba sledovat zranitelnosti a záplatování.

Vzhledem k rozšířenosti Fortinet zařízení u českých poskytovatelů je důležité sledovat právě jejich zranitelnosti — nejen kvůli technickému dopadu, ale i kvůli reputaci celé sítě.

Fortinet má za sebou celou řadu zranitelností s CVSS skóre vyšším než 9, nejen ten slavný CoatHanger (CVE-2022-42475, 9.3). Tady je výběr těch nejzásadnějších:

CVE ID Skóre Popis zranitelnosti Produkty / Verze
CVE-2024-55591 9.6 Bypass autentizace přes websocket → získání super-admin práv FortiOS 7.0.0–7.0.16, FortiProxy 7.0.0–7.2.12
CVE-2025-24472 9.6 Stejný typ jako výše, novější varianta FortiOS / FortiProxy
CVE-2023-34990 9.6 Path traversal v FortiWLM → umožňuje spuštění neautorizovaného kódu FortiWLM 8.5.x–8.6.x
CVE-2023-37936 9.4 Zranitelnost v FortiOS Security Fabric → umožňuje přístup k citlivým datům FortiOS 7.4.x
CVE-2023-42788 9.3 OS command injection přes CLI v FortiManager / FortiAnalyzer FortiManager 7.4.0, FortiAnalyzer 7.4.0
CVE-2022-40684 9.6 Bypass autentizace přes HTTP hlavičky → přímý přístup k administraci zařízení FortiOS 7.0.x, FortiProxy 7.0.x

🧠 Co z toho plyne?

  • Fortinet má více než 5 zranitelností s kritickým skóre nad 9.0 jen za poslední 2 roky
  • Většina se týká SSL-VPN, autentizace, nebo správy přes webové rozhraní
  • Některé byly aktivně zneužívány jako zero-day (např. CVE-2022-40684, CVE-2024-55591)

Z pohledu čísel, tak některý novější CVE u Fortinetu (např. CVE-2024-55591 nebo CVE-2022-40684) mají skóre 9.6, což je o 0.3 bodu vyšší než slavný CoatHanger (CVE-2022-42475, 9.3). A přitom se o nich tolik nemluví, protože:

  • Nemusely být tak masivně zneužity (ale technicky byly stejně kritické)
  • Neinstalovaly rootkit, ale třeba umožnily admin přístup přes HTTP hlavičku
  • Běžely na novějších FortiOS verzích, což se dotklo méně legacy zařízení

🔐 Ale co to reálně znamená?

  • V systému jako FortiGate, kde je klíčem admin panel, je každá chyba v autentizaci nebo CLI fatální, a ta +0.3 tě může smazat z mapy stejně jako malware
  • Zero-day v SSL-VPN nebo bypass přes websocket = neautorizovaný přístup k celé síti
  • CVSS 9.6 není jen „vysoké číslo“ — to je oficiální pečeť, že bez patche můžeš ztratit kontrolu nad infrastrukturou

💬 Takže jo — CoatHanger si odnesl věhlas, protože to byla sofistikovaná infiltrace, ale některé novější zranitelnosti s vyšším skóre jsou možná jednodušší na zneužití, zato stejně destruktivní.

Zveřejnění technických rizik má smysl nejen pro konkurenci, ale pro všechny provozovatele sítí. Cílem článku není kritizovat konkrétní značku, ale upozornit na bezpečnostní výzvy, které se mohou dotknout každého zařízení u hranice s internetem.

„Článek vznikl jako přehled pro správce, kteří hledají přehled o aktuálních rizicích na síťové hraně. Budeme rádi za zpětnou vazbu a další tipy na bezpečnostní incidenty, které by komunita měla znát.“

„Pokud má výrobce k obsahu připomínky nebo doplnění, rádi prostor upravíme a aktualizujeme.“

Fortiguard PSIRT

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/15/%f0%9f%94%a5-fortinet-cve-s-cvss-9-0/