On Sun, 4 Jan 2009 09:43:13 -0800 (PST), D...@g...com wrote:

> Zacznę o wyjaśnienia. TP teraz chroni przed atakami z zablokowanych IP
> ale, co ciekawe można mając dostęp do innego operatora tak
> przekierować pakiety że mimo iż atak idzie z zablokowanego IP, lub ale
> tutaj raczej już nie przejdzie że poprzez przekierowanie dalej atak
> będzie uważany jako z zablokowanego IP (tutaj tylko teoria i dobrze
> skonfigurowany firewall powinien nie pozwolić).

Jakbyś to napisał po polsku, to może udałoby się zrozumieć, co właściwie
chciałeś wyjaśnić.

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry

Bry!

On Jan 4, 8:13 pm, r...@g...com wrote:
(ciach)
> Witam rootnode.
Nie wiem, czy zrozumiałem aluzję (tzn. czy jakowaś była), ale na
wszelki wypadek śpieszę z wyjaśnieniem, iż ja z rootnode wspólnego nie
mam nic. ;-)

(ciach - o tym, jak pierwsza odpowiedź od TPCERT niewiele wniosła)
> To ja pojadę klasyką: bardzo mnie zraniłeś Shrek :(. No chyba, że
> więcej was te maile pisało, ale szczerze mówiąc nie podejrzewam.
Sztuk jeden mnie te maile pisało. Maili sztuk dwa. Odpowiedzi
otrzymałem sztuk jeden.

(ciach - o tym, jak nie dostałem odpowiedzi na odpowiedź na odpowiedź
otrzymaną od TPCERT)
> Hmmm, ja rzeczywiście dostałem takiego jednego maila, na którego
> jeszcze nie odpowiedziałem. Przyczyna jest taka, że tak nie do końca
> miejscami rozumiem, co autor miał na myśli, a miejscami też nawet przy
> najwyższym poświęceniu za dużo musiałbym tłumaczyć. Nie mam aż tak
> altruistycznej natury.
Hm, śmiem twierdzić, że nie o mnie chodzi, ale na wszelki wypadek -
adres, z którego pisałem różni się tylko domeną od tego, z którego
postuję na usenecie (z racji tego, iż tu postuję z gugli, bo tak mi
wygodnie).
Na wszelki podaję jeszcze: [TP CERT #2008121610039197]
Choć mail już trochę nieaktualny (bo powód mniej-więcej znam, chyba że
akurat w tym przypadku nie o botnety chodzi), byłbym wdzięczny za
jakieś namiary, tj. jakie hosty się z serwerem kontaktowały, porty,
daty, itp. - cokolwiek co spowodowało, iż uznano mnie za SIEWCĘ ZŁA
(R).
... ale to niekoniecznie na forum publicznym.

>> Byłbym naprawdę wdzięczny za jakieś informacje, co począć dalej (czy
>> też sprawę olać i korzystać już dożywotnio z dodatkowego IPka za
>> (bodajże) 4zł miesięcznie).
> Proste to jest jak konstrukcja cepa - jeżeli pod nowym adresem
> pozostalo ZŁO, zostanie on zablokowany. I nawet po zaprzestaniu zabawy
> będzie musiał odczekać pewien czas, aż według zastosowanej polityki
> zostanie automatycznie uznany za zagrożenie historyczne. Oryginalnie
> zablokowany adres podlega dokładnie tej samej procedurze - w tym
> tygodniu bodajże sprawdzałem, scoring obniżył mu się w porównaniu z
> poprzednim tygodniem, więc wygląda na to, że niedługo będzie
> dostępny.
Ależ ja od samego początku twierdzę, że ZŁA tam nie ma. Zdaję sobie
sprawę, że "twierdzić to ja sobie mogę", niemniej lista procesów
pracujących na hoście sugeruje, iż moje twierdzenie ma pewne poparcie
w praktyce. Do tego dochodzi jeszcze fakt, iż za czasów początkowych
prób usługi (czyli jakoś ~28 października ubiegłego roku) również
odpięto mi tego hosta, zatem znajduje się on w bazie już czas jakiś. I
tu - być może mylnie - podejrzewam, że albo wpis jest dodany "na
stałe" (o ile istnieje taka możliwość, a pewnie istnieje) jeszcze za
czasów mojego poprzednika (tj. gdy ktoś inny w OVH miał tego IPka/
serwer dedykowany).

Na wszelki wypadek zacząłem logować to, co mi wypluwa tcpdump,
zobaczymy co mi wyjdzie.

>> A teraz z troszeczkę innej beczki, gdyż od właściwie początku
>> informowania o wszelkich honeypotach (i podobnych) zbierających dane o
>> potencjalnych adresach do wycięcia chodzi mi to po głowie - czy nie
>> istnieje niebezpieczeństwo, iż powstanie nowy rodzaj ataku, tj.
>> spoofowanie "komunikatów kontrolnych botnetów" w taki sposób, by w
>> efekcie ofiara samego ataku została wycięta (bo uznana za kontroler)?
>> Szczerze mówiąc - nie wiem, po jakim gruncie stąpam (brak info o
>> BLach, firmach, więc mogę tylko sobie wyobrażać różne czarne
>> scenariusze), ale skoro odpowiednie dane gromadzone są przez automaty,
>> a automaty da się często oszukać, w efekcie tworzymy podstawy dla
>> paskudnego ataku, dzięki któremu łatwo (lub nieco trudniej - od
>> automatów zależy) możemy wysłać w routerowy kosmos "niewygodne" hosty.
> Ktoś już o tym pisał. No więc tak - hostom niewygodnym i dobrze
> zabezpieczonym zasadniczo nic nie grozi. Hostom niewygodnym i cienko
> zabezpieczonym grozi już teraz parę rzeczy skutkujących na przykład
> ich, jakby to powiedzieć, mniejszą dostępnością. Można w dodatku
> postawić tezę, że przejęty host jest sam w sobie zagrożeniem dla
> Internetu...więc skoro atakujący sam stara się za nas zrobić "incident
> containment" to nie jest to może wcale taki głupi pomysł ;). Jako DoS
> taki atak mógłby mieć sens o tyle, że mógłby być teoretycznie mniej
> zauważalny dla ofiary (nie jest dostępna i nawet o tym nie wie), ale
> jak widać na przykładzie naszej skromnej inicjatywy - jakoś, skubani,
> dowiadują się raczej wcześniej, niż później ;).

Hmm, nie do końca o to mi chodziło. Pytałem nie tyle o możliwość
"udawania kontrolera botnetu" z samego hosta (po jego przejęciu), bo
to jest dość oczywiste i proste (pod warunkiem, że hosta przejmiemy).
Problem łatwiej mi będzie wyjaśnić na przykładzie - załóżmy, że BLe (o
których nic nie wiadomo, więc zakładać sobie mogę ;-P) zbierają te
dane jednak analizując payload pakietów (czego TPSA nie robi, ale BLe
- kto wie?) TCP/IP. Większość pakietów przesyłanych do serwerów IRC
kontrolujących botnety będzie dość łatwo rozpoznawalna (:nick!
user@host PRIVMSG #mójwspaniałybotnet :.wywalcienoproszę <jakiś ip>
<jakieś inne parametry>). Jeśli BL widząc pakiet o podobnej treści
uznaje, iż pod adresem docelowym pakietu znajduje się IRCd
kontrolujący botnet... BINGO! Dalej to już tylko kwestia przesyłania
pakietów o odpowiedniej treści, udających "legalne" połączenie TCP/IP
z docelowym hostem (choć ten wcale nie musi nic wiedzieć o żadnym
połączeniu - ba, pewnie nawet nie ma nic otwartego na dst porcie).
Jeśli wymagane jest więcej takich połączeń (pakietów - symulujących
łączące się zombiaki), to jeżeli mamy jakiś botnet (albo odpowiednią
ilość kumpli, którzy mogą jeden pakiecik przesłać co jakiś czas) - nie
stanowi to problemu.
Wniosek - przy niewielkim nakładzie pracy (pakietów) to ISP wycina
hosta. I to - jak widać - na dość długi okres.

Pozdrawiam,
--
ru

do góry

Michal Jankowski wrote:

> A swoją drogą ciekawe, że osoba występujaca w swojej oficjalnej
> postaci dyrektora pisze z adresu @gmail.com 8-)

pewnie nie tylko ja zauważyłem, że jedynie poczty na gmailu da się
używać podając adres na news-ach, martwi mnie natomiast, ze posty Kolegi
Rafala Jaczynskiego do mnie nie docieraja w oryginalnej postaci, tylko w
postaci cytatów u innych :(






--
http://net.czarne.net/ <- łącze w świat pilnie potrzebne !!!
Dach elektrowni w Czernobylu mial byc zbudowany z materialow
ognioodpornych ale tych nie bylo,a dach byc musial,wiec
zostal zbudowany z materialow palnych

do góry

Na wstępie dziękuje za bardzo dobre odpowiedzi. Na niektóre nawet się
zgadzam,
ale niektóre mam jeszcze wątpliwości. Krócej będzie o wątpliwościach.
On 4 Sty, 20:27, r...@g...com wrote:
> Jeszcze jedno mi się przypomniało - my tu gadu gadu, a ja przecież
> potrafię zrobić tak, żeby neostrada była bezpieczna, zabezpieczenie
> było zdejmowalne per klient, proste w obsłudze i bardzo skuteczne,
> nieporównywalnie bardziej "user friendly" do czegokolwiek aktualnie
> dostępnego na rynku, bajka po prostu. Takie moje skromne marzenie, o
> którym już wspomniałem.
>
> No to może Szanowni Klienci wykorzystają swoją aktywność, zdolność
> zrzeszania się i organizowania akcji mailingowych i zadeklarują
> naszemu rzecznikowi, że są skłonni płacić za takie cudo drobną
> miesięczną opłatę (piweczko, 5 złociszy powiedzmy) i przekonają go, że
> może nawet nie wszyscy, ale co drugi to na bank...?
>
> I had a dream...;)
>
> Pzdr,
> RJ
Tutaj przypomina mi się pewna historyjka z życia wzięta. Pewna firma
udostępniała internet. Klientowi za przekierowanie portu kazała płacić
co miesiąc abonament, ale wpis do systemu robi się raz. Pytanie czy
nie powinno być tak że za zmianę powinno się płacić? TP lubi wyciągać
pieniądze. Za zmianę polityki jestem skory zapłacić ale miesięcznie
nie.

> Podam przykład - wyobraźmy sobie, że otrzymjemy informację o szybko
> propagującym się robaku, będącym zagrożeniem dla sieci i klientów, lub
> też skierowanym na naszych klientów dużym ddosie. Podejmujemy
> działania zmierzające do ochrony. Gdzie drwa rąbią tam wióry lecą -
> niektóre hosty zostają odcięte, gdzieniegdzie zmniejsza się pasmo,
> zrywane są sesje, komuś nie ściagnął się najnowszy Bond etc. Wrażenie
> mam takie, że w tak spektakularnej sytuacji nikt by nie mówił o
> cenzurze, raczej pojawiłyby sie pretensje, gdybysmy czekali z
> założonymi rękami.
Pięknie Pan napisał jestem pełen podziwu. Teoria na piątkę. A teraz
rzeczywistość. Zawsze co złego to musi się mi przydarzyć. Według tej
reguły kiedyś na początku mojej przygody z informatyką i internetem
załapałem robaka. Co nasz kochana TP powiedziała przykro mi musi Pan
sam sobie poradzić. A co się dzieje jak zgłaszacie rozłączenia linii?
Konsultant stara się wam wmówić że to wina robaka. A nieraz wystarczy
tylko prze krosować linie jeszcze raz. Hmmm... dalej się Pan upiera
przy swoim to proszę podać jak mam zgłaszać usterki linii gdy linia
sama z siebie przerywa a nie z winy robaka? Dla innych ja robię tak.
Na początku rozmowy zapisuje z kim rozmawiam zawsze jak tylko się
zmienia osoba. Pierwszą osobę proszę od razu o przełożonego do
telefonu. Tutaj jeśli dalej się upiera że sama da radę pomóc to każę
wpisać że klient żąda prze krosowania linii i przepięcia na nowo
linii. Jak dalej ma opory przed wpisanie chcę rozmawiać z przełożonym.
Nie wiem co TP robi z takimi zgłoszeniami ale na razie zawsze w 24
godziny usługa zaczęła działać jak należy.

Co do spamu to sam administruje serwerami pocztowymi i wiem że jest
trudno zadowolić klientów ale wątpię że wasza akcja coś poprawi.

> Za całym szacunkiem - gdybym chciał zachować proporcje, to byłbym
> zmuszony powiedzież, że nie. Mam wrażenie, że ludzie, którzy
> rzeczywiście w tym kraju walczyli o zniesienie cenzury mieli na myśli
> coś innego, niż dwa serwisy. Ja wtedy co najwyżej mogłem narzekać, że
> nie było teleranka, ale prze szacunek do nich proponuję nie strzelać
> jednak z armaty do muchy ;).
Dla ludzi którzy walczyli o wolność słowa i myśli cały szacunek. A Pan
niech nie kłamie 2 serwisy hmm, a kto napisał o 6000 zablokowanych IP?
Ja cały czas powtarzam że zauważyłem 2 dla mnie ważniejsze serwisy. A
co z 5988 nie wiem. A może tak nie 6000 blokujecie tylko więcej?
Przydała by się gdzieś lista tego czego blokujecie, żeby klient mógł
sam sprawdzić. Co to jest za trudne dla was?
Wracając do cenzury nie zapomina Pan że na serwisach są dane, słowa,
myśli (nawet na gimp.org), a kryteria udowodni Pan że to nie jest
właśnie dlatego. Gdzieś przeczytałem tylko nie pamiętam na którym
serwisie "Rząd Chiński blokuje dostęp do serwisów które są
niebezpieczne" większość uważa to także za cenzurę.

> Święte słowa. Na razie jeszcze TP nie jest na etapie kierowania się
> słowami Pisma, ale kto wie, co nam przyniesie przyszłość. Póki co,
> ktokolwiek z szanownej konkurencji stosuje powyższą zasadę, niech
> pierwszy rzuci kamieniem ;)
Bez urazy cieszę się że nie jest na etapie kierowania słowami Pisma, a
chodziło mi tu o to iż jeśli w 100% nie jesteście sprawić iż spam,
bootnet zniknie, to poszanujcie wybór innych i dajcie wybierać, nawet
jednostki.

> Bożesz, bardzo lubi, ale chyba myśli, że bez wzajemności ;)). Zresztą
> nie musi przecież dzielnie stawać sam naprzeciw loży szyderców, jak w
> dobrym botnecie u nas dynamicznie wyskakujemy spod jednej domeny, żeby
> pokazać, że siła nas :). BTW, mail poszedł, na urlopie mam po prostu
> większe "latency".
Ja nie szydzę z pracy. Wykonał kawał dobrej roboty. Żebym był dobrze
poinformowany co jak gdzie kiedy dlaczego - inaczej bym podszedł do
sprawy a tak to tylko widzę w kółko tłumaczenia co to za nie wspaniały
system. Może i tak jest. Ale dalej uważam że staracie się
uszczęśliwiać ludzi na siłę. Dajcie wybór, nawet jeśli zmiana wyboru
będzie kosztowała (tylko nie wyskakujcie z cenami miesięcznymi albo
zaporowymi cenami jednorazowymi).

> A ta definicja, to też z Wiki? Fajna. Nie miałem do tej pory pojęcia o
> honeypotach, dobrze się w końcu dowiedzieć ;)
Nie to nie jest żadna definicja to moje rozpoznanie. Jestem w trakcie
wdrażania takiej technologi w jednej firmie, a dwa bardzo lubię sieci.

Podsumowując:
1) dalej nie widzę powiązania tego co TP wprowadziło a regulamin. Na
dzień dzisiejszy mam limitowy internet a jak podpisywałem umowę to był
w regulaminie nie limitowy.
2) co planujecie na przyszłość tylko blokada z listy czy może dacie
możliwość dania użytkownikom decydowania (za rozsądna opłatą). temat
zabezpieczeń sieci jest obszerny i według moich danych macie szansę na
zmniejszenie około 10% incydentów jakie planowaliście takim
posunięciem. Jak można sprawdzić jakie IP jest zablokowane? - lista
zablokowanych IP
3) Nawiązując iż nie jesteście pierwszymi i nie będziecie ostatnimi
nie wiem jak to rozwiązały inni operatorzy ( dali możliwość bez
filtracji czy nie) to wyjdźcie na przeciw potrzebom i dajcie taką
możliwość
4) Skoro w grudniu zablokowaliście 6000 IP to skąd mamy mieć pewność
że niedługo innych nie zablokujecie? Cracker będzie szukał innych
serwerów.
5) Pomyślcie jak uprzykrzyć życie złym osobom? Może jednak warto było
by zacząć ścigać winnych? Nieraz atak jest lepszy niż obrona.
6) Z miłą chęcią porozmawiał bym sobie z Panem i osobą

Z poważaniem
Daniel Janicki

do góry

On Sun, 04 Jan 2009 21:00:53 +0100, Michal Jankowski wrote:

>> tygodniu powinno się ustabilizować, będą wnioski. Na razie wychodzi to
>> trochę tak, jak z fast fluxem - ogólnie się przyjęło, że fajnie jest
>> się tak maskować i kto tak się z C&C i contentem nie kryje ten łoś i
>> lamer. Ergo, na pewno większość botnetów tego używa. Dżentelmeni z
>
> Można prosić o wytłumaczenie? Na przykład co to jest C&C? I reszta?
> Nic nie rozumiem...

Zajrzyjmy na <http://en.wikipedia.org/wiki/Botnet> - o, drugi akapit:

While the term "botnet" can be used to refer to any group of bots, such as
IRC bots, this word is generally used to refer to a collection of
compromised computers (called Zombie computers) running software, usually
installed via worms, Trojan horses, or backdoors, under a common
command-and-control infrastructure.

linkuje do <http://en.wikipedia.org/wiki/Command-and-control>. A w trzecim
jest nawet zdanie:

This server is known as the command-and-control server ("C&C").

No to jak tak dobrze idzie, to jeszcze sprawdźmy:
<http://en.wikipedia.org/wiki/Fast_flux> - i teraz już wszystko jasne, bo
"łoś i lamer" chyba nie wymaga tłumaczenia.

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry

On 4 Sty, 21:29, Szymon Sokół <s...@b...operator.from.hell.pl>
wrote:
> On Sun, 4 Jan 2009 09:43:13 -0800 (PST), D...@g...com wrote:
> > Zacznę o wyjaśnienia. TP teraz chroni przed atakami z zablokowanych IP
> > ale, co ciekawe można mając dostęp do innego operatora tak
> > przekierować pakiety że mimo iż atak idzie z zablokowanego IP, lub ale
> > tutaj raczej już nie przejdzie że poprzez przekierowanie dalej atak
> > będzie uważany jako z zablokowanego IP (tutaj tylko teoria i dobrze
> > skonfigurowany firewall powinien nie pozwolić).
>
> Jakbyś to napisał po polsku, to może udałoby się zrozumieć, co właściwie
> chciałeś wyjaśnić.
>
> --
> Szymon Sokół (SS316-RIPE) -- Network Manager                                 B
> Computer Center, AGH - University of Science and Technology, Cracow, Poland
 Ohttp://home.agh.edu.pl/szymon/PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982  F
> Free speech includes the right not to listen, if not interested -- Heinlein  H

Przykładowo masz ciocie w Warszawie a ty mieszkasz w Olsztynie, a
chcesz wysłać list do Krakowa.
Poczta w Krakowie nie przyjmuje listów z Olsztyna, więc wysyłasz list
do Warszawy ciocia przeadresowywuję i wysyła do Krakowa. Kraków w
odpowiedzi wysyła do warszawy a Ciocia Do Ciebie do Olsztyna i jest
komunikacja.
Lagenda:
Kraków - TP
Olsztyn - sieć zablokowana
Warszawa - inny operator

Jak można przejąc komputer i zrobić z niego zombi, to można i zrobić
aby robił takie cuda.

do góry

r...@g...com napisał(a):

> No to może Szanowni Klienci wykorzystają swoją aktywność, zdolność
> zrzeszania się i organizowania akcji mailingowych i zadeklarują
> naszemu rzecznikowi, że są skłonni płacić za takie cudo drobną
> miesięczną opłatę (piweczko, 5 złociszy powiedzmy) i przekonają go, że
> może nawet nie wszyscy, ale co drugi to na bank...?

A w tym snie placic mamy za zdarzenie czy miesiecznie za gotowosc do
swiadczenia zdarzenia? ;) Po za tym czym usluga polegac ma na dostepie
do Internetu czy tylko do TP Intranetu, cachujacego w ograniczonym
zakresie Internet? ;P

j.

--
Orle pióra, kaczy chód,
i Cesarza zwalą z nóg.
http://ussburaque.org

do góry

futszaK <f...@g...com> writes:

> używać podając adres na news-ach, martwi mnie natomiast, ze posty Kolegi
> Rafala Jaczynskiego do mnie nie docieraja w oryginalnej postaci, tylko w
> postaci cytatów u innych :(

Chyba nie tylko jego. Coś mi się wydaje, że news.neostrada.pl (jaka
firma to prowadzi, co? 8-) nie przyjmuje newsów nadawanych z googla.

MJ

do góry

On Sun, 4 Jan 2009 12:52:31 -0800 (PST), D...@g...com wrote:

> On 4 Sty, 21:29, Szymon Sokół <s...@b...operator.from.hell.pl>
> wrote:
>> On Sun, 4 Jan 2009 09:43:13 -0800 (PST), D...@g...com wrote:
>>> Zacznę o wyjaśnienia. TP teraz chroni przed atakami z zablokowanych IP
>>> ale, co ciekawe można mając dostęp do innego operatora tak
>>> przekierować pakiety że mimo iż atak idzie z zablokowanego IP, lub ale
>>> tutaj raczej już nie przejdzie że poprzez przekierowanie dalej atak
>>> będzie uważany jako z zablokowanego IP (tutaj tylko teoria i dobrze
>>> skonfigurowany firewall powinien nie pozwolić).
>>
>> Jakbyś to napisał po polsku, to może udałoby się zrozumieć, co właściwie
>> chciałeś wyjaśnić.
>
> Przykładowo masz ciocie w Warszawie a ty mieszkasz w Olsztynie, a
> chcesz wysłać list do Krakowa.
> Poczta w Krakowie nie przyjmuje listów z Olsztyna, więc wysyłasz list
> do Warszawy ciocia przeadresowywuję i wysyła do Krakowa. Kraków w
> odpowiedzi wysyła do warszawy a Ciocia Do Ciebie do Olsztyna i jest
> komunikacja.
> Lagenda:
> Kraków - TP
> Olsztyn - sieć zablokowana
> Warszawa - inny operator
>
> Jak można przejąc komputer i zrobić z niego zombi, to można i zrobić
> aby robił takie cuda.

Zasadniczo to prosiłem o napisanie po polsku, a nie o wersję dla opornych,
ale niech już będzie. A teraz pytanie: jak chciałbyś, żeby firewall (czyj?)
zabezpieczał przed takim scenariuszem? Oraz pytanie dodatkowe: jaka niby
jest różnica między takim scenariuszem, a scenariuszem, w którym "ciocia z
Warszawy" zamiast proxy utrzymuje drugi C&C bezpośrednio u siebie? Z punktu
widzenia RBL, z którego korzysta TP, nie ma przecież różnicy między
rzeczywistym C&C a takim proxy.

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry

Michal Jankowski napisał(a):

> Chyba nie tylko jego. Coś mi się wydaje, że news.neostrada.pl (jaka
> firma to prowadzi, co? 8-) nie przyjmuje newsów nadawanych z googla.

Jeśli tak jest to wypisz-wymaluj Wszechświat bardzo ładnie nam się tu
wtrącił w wątek ;PPP

j.

--
Orle pióra, kaczy chód,
i Cesarza zwalą z nóg.
http://ussburaque.org

do góry