Rádce uživatele Internetu - Díl čtvrtý - síťování a stopování

V předchozích třech dílech našeho seriálu jsme se zabývali některými
technikami, které mohou způsobit škodu, ať už šlo o falešné e-maily, spamy,

webové stránky nebo průniky do počítače. Dnes uděláme malou výjimku a podíváme

se na jiné téma, jež však s předchozími úzce souvisí, a tím bude stopování

„pachatelů“. Pojmem pachatel rozumějme osobu, která se nám snaží škodit, ať již

jde o odesílatele falešné pošty či někoho, kdo se snaží nabourat do našeho

systému. Dále se podíváme také na různé typy útoků, které mohou po síti

probíhat. Například odmítnutí služby, zachytávání paketů, směrování portů a

další.





Redirect



Tento typ útoku (většinou) předpokládá ovládnutí nějakého systému. Jde v

podstatě o to, že jakmile se někomu podaří ovládnout váš systém, může na něm

spustit program, který přijímá požadavky útočníkova systému a posílá je na

další, útočníkem specifikovaný systém, bez ohledu na to, jde-li o operační

systém Windows či UNIX.



Cílový systém se samozřejmě chová tak, jakoby požadavek přijímal od vašeho

počítače. Představte si například, že útočník pomocí vašeho počítače skenuje

porty serveru americké armády (trošku nadnesený příklad, ne však nemožný).

Server si pak samozřejmě myslí, že sken provádíte vy, a podle toho může i

reagovat. Nebo se může například jednat o server vašeho zaměstnavatele. Poté,

až dojde k nějaké krádeži dat, budete prvním podezřelým. Pokud je útočník

zkušený, jistě si dá pozor, aby na vašem počítači nezanechal žádné stopy, navíc

je docela pravděpodobné, že nebudete jediným ovládaným systémem na cestě mezi

útočníkem a jeho cílem. Jedinou účinnou obranou je nepouštět útočníka do

systému. O tomto tématu jsme se bavili v minulém dílu našeho seriálu.





DoS



Útoky typu DoS (Denial of Service odepření služby) jsou dnes bohužel velmi

rozšířené. Není divu. K útokům tohoto typu není třeba téměř žádných technických

znalostí. Stačí si z internetu stáhnout příslušnou utilitu (jsou jich stovky),

jejíž používání je stejně jednoduché jako ovládání jakéhokoliv jiného programu

a dokonce není ani třeba vědět, jak daný program pracuje. Na druhou stranu se

tyto útoky dají celkem snadno identifikovat a pachatele lze snadno vystopovat,

ale mohou nepřipravenému nebo nezkušenému uživateli přinést spoustu problémů. V

první řadě si povíme, o co vlastně při tomto druhu útoku jde. Jeho podstatou je

zahlcení systému velkým množstvím požadavků. Typů útoků je mnoho. Mezi

nejznámější a zároveň nejnebezpečnější patří (díky svému zesilovacímu efektu)

například smurf. Dalším oblíbeným útokem je obsazení přenosové kapacity linky,

distribuované DoS, SYN Flood a další. Popisem jednotlivých technik se pro

jejich obsáhlost nebudeme zabývat. Podíváme se nyní na to, jak se podobným

útokům bránit. Jelikož velké množství těchto útoků využívá protokolu ICMP, není

od věci specifikovat tento protokol na firewallu. ICMP je, jak vyplývá z jeho

názvu (Internet Control Message Protocol), informačním protokolem sítě

internet. Používá se například (kromě velké spousty dalších věcí) k získání

informace o odezvě (ping) nebo při sledování trasy (traceroute). Tento protokol

lze na většině systémů specifikovat na firewallu, podobně jako protokoly UDP

nebo TCP. Není snadné říci, jaká pravidla pro tento protokol specifikovat,

jelikož to záleží na konkrétní situaci. Pokud jste domácím uživatelem,

doporučuje se zmíněný protokol omezit co nejvíce, popřípadě úplně zakázat.

Právě uživatelé připojení modemem jsou k tomuto druhu útoku velmi náchylní. Na

závěr ještě podotkneme, že ICMP protokol používají i útočníci, snaží-li se

získat o vašem systému informace, které by později mohli použít k útoku na váš

systém.





Čmuchání



Dalším typem útoku je takzvané čmuchání paketů (anglicky sniffing). Jelikož se

tento typ útoku odehrává v naprosté většině případů v lokálních sítích (LAN),

zmíníme se o něm pouze zevrubně. Problém vychází z celé koncepce protokolu

TCP/IP, který byl navržen před mnoha lety, a bezpečnost v té době nebyla

prioritní. Počítačové sítě byly používány většinou jen v akademické sféře a v

prostředí, kde byl okruh osob, které síť využívaly, omezen. Vše tedy bylo

založeno na principu důvěry. Dnes se s počítačovými sítěmi setkáváme téměř

všude, a i lokální sítě, kdysi čítající maximálně několik strojů v rámci

místnosti nebo patra, mají dnes stovky pracovních stanic, ke kterým má přístup

velké množství lidí. Typickým příkladem mohou být různé firemní nebo školní

sítě. Data jsou při přenosu uspořádána do takzvaných paketů, jež se skládají z

hlavičky a těla. V každé hlavičce je uvedeno, odkud paket putuje, komu je určen

a co je jeho obsahem (laicky řečeno). V praxi to chodí tak, že každý paket

putuje ke každému stroji v rámci lokální sítě a stroj ho buď přijme, pokud mu

je určen, nebo ho jednoduše odmítne. Síťovou kartu lze ale přepnout do

takzvaného promiskuitního modu, a takto nastavená karta poté zachycuje každý

paket. Jelikož jsou data přenášena nešifrovaná, může je číst každý, kdo takto

upraví vlastnosti své síťové karty. Ideální pro zachytávání hesel, pokud se

útočníkovi podaří umístit sniffer (čmuchací program) na dobře zvolené místo,

kterým proudí velké množství citlivých dat. Dnes již existují nástroje, které

umějí vyhledávat čmuchající počítače, ale přesto je stále nejlepší obranou

proti tomuto útoku šifrování (SSH, SSL atd.).





Další techniky



Existuje samozřejmě velké množství síťových útoků, exploity počínaje a kradením

spojení (hijacking) konče, ale popis všech zmíněných by vydal na nejeden další

článek. Navíc techniky, které jsme v seriálu uváděli, jsou použitelné i proti

těmto druhům útoku. Nyní již opustíme téma síťových útoků, než se v něm zcela

ztratíme, a podíváme se na další téma, které jsme si na začátku slíbili, a tím

je stopování pachatelů.





Zdroj



Jestliže chceme někoho po síti vystopovat, musíme mít, jako každý správný

detektiv, alespoň nějakou stopu. Tou stopou může být IP adresa, e-mail nebo

jméno počítače, ze kterého na nás byl podniknut útok. Bez těchto informací by

přišly všechny naše snahy nazmar. Kde takovéto informace získáme? Nejčastěji z

logů. U UNIXu je vše do logů dobře uloženo, a tudíž není problém logy prohledat

a potřebné údaje v nich najít. Důležité ale je, aby počítač nebyl již pod

útočníkovou kontrolou, neboť v tom případě je pravděpodobné, že jsou logy

náležitě „ošetřené“, což znamená vymazané nebo upravené podle přání útočníka.

Kladení klamných stop patří mezi oblíbené činnosti. Proto je důležité umístit

logy na nějaké médium, kde nemohou být data modifikována. Dobrým nápadem je

logovat například po sériové lince na vyhrazený starý počítač, na kterém neběží

žádné služby. Může jít například o starou „386ku“. Dalším dobrým nápadem je

tisknout všechny logy okamžitě na tiskárně. Útočník pak nemá šanci tato data

upravovat (pokud se nevloupá do bytu nebo podniku). Důležité je rovněž všechny

logy včas a pravidelně kontrolovat, což se často neděje. Můžete si napsat nebo

stáhnout nějaký skript, který kontrolu provede za vás a výsledky pošle na váš

e-mail nebo mobilní telefon (pozor aby skript útočník nemodifikoval!). Téma

unixových logů je tak obsáhlé, že ho raději opustíme a budeme se věnovat i

druhé skupině operačních systémů, kterými jsou systémy z rodiny Windows.



Systémy Windows standardně vytváření logů neumožňují. Mluvíme teď samozřejmě o

systémech 9×, které jsou používány jako pracovní stanice nejčastěji. Windows NT

a 2000 pochopitelně logy podporují, ale těmto systémům se věnovat nebudeme,

neboť nejsou mezi běžnými uživateli zatím tolik používány. Jestliže nám tedy

Windows neposkytují podporu vytváření logů, nezbývá nám nic jiného, než sáhnou

po nějakém pomocném programu. A nemusíme chodit příliš daleko, protože

vytváření logů nám umožňuje téměř každý firewall. U většiny z nich lze

nastavit, jaké události mají být do logů zaznamenány. Tyto logy je také třeba

pravidelně kontrolovat a analyzovat. Pokud logy kontrolujeme, jedno jestli na

UNIXu nebo ve Windows, musíme také vědět, co hledáme. Nejčastěji nás budou

zajímat hlášení typu REFUSED, FAILED, CONNECT, LOGIN a podobné. To samozřejmě

přepokládá jisté znalosti síťového provozu a jeho principů. Některé si

vysvětlíme za chvíli. U každého takového záznamu bude jistě uvedena i IP adresa

nebo jméno počítače, ze kterého požadavek přišel. A to je naše hledaná stopa.

Nutno ještě podotknout, že musíme zpravidla znát i čas útoku, protože díky

dynamicky přidělovaným IP adresám pro jednotlivé uživatele většinou vytáčeného

připojení, se tyto adresy velice často mění a pokaždé mohou patřit jinému

uživateli. Zjistit čas však není takový problém, protože většina aplikací,

které zaznamenávají události do logů, ukládá i čas zaznamenané události.





Falešný e-mail



Odesíláni falešných e-mailů je velice snadné a velice nebezpečné. Často může

takový e-mail způsobit velké škody, a to nejen v mezilidských vztazích, ale i

škody finanční. Na druhou stranu lze říci, že obrana proti falešným e-mailům je

vcelku snadná a též jejich rozpoznání nepatří k těm nejtěžším činnostem. Pro

pořádek ještě připomeňme, že falešným e-mailům se říká fake mail. Pokud se tedy

budeme bavit o falešných e-mailech, bude se vše točit kolem takzvaných

hlaviček. Každý e-mail je totiž v podstatě obyčejný textový soubor (velmi

zjednodušeně řečeno), který se skládá z hlavičky a těla. Pro nás, jakožto pro

lidi pátrající po zdroji e-mailu, je podstatná právě jeho hlavička. Zde je

příklad jedné takové hlavičky. Její rozbor následuje.



V prvním řádku hlavičky je uvedeno pole From. Toto pole není příliš směrodatné,

protože se dá velice snadno změnit. Jestliže chceme odhalit skutečného

odesílatele nebo se potřebujeme přesvědčit, že nejsou od uvedeného odesílatele

(což je asi častější případ), jsou pro nás důležité tzv. received údaje. O

těchto údajích platí, že mohou být taktéž zfalšovány, přinejmenším však

poslední bude pravý. Jak zpráva putuje sítí, zanechává každý server, přes který

zpráva projde, v hlavičce e-mailu svůj „otisk“. Jak vidíme z uvedené hlavičky,

putovala zpráva přes dva poštovní servery, a to přes servery společností

contactel.cz a centrum.cz. Takovýchto serverů může být v hlavičce uvedeno více,

ale to na situaci nic nemění. S jistotou tedy můžeme říci (pokud nemá útočník

server centrum.cz pod kontrolou, což se nepřepokládá, neboť kdyby ho pod

kontrolou měl, měl by pod kontrolou i celou moji e-mailovou schránku a neměl by

tudíž důvod falšovat nějakým způsobem e-maily), že zpráva přišla na server

centrum.cz (kde mám zřízenu e-mailovou schránku) od serveru contactel.cz. Další

údaje již mohou být zfalšovány, ale určitě stojí za to se o nich zmínit. V

dalším received údaji je uvedeno, že server contactel.cz obdržel zprávu od

systému (unknown), který se identifikoval IP adresou 194.108.243.243 a

doménovým jménem p0497.as-l043.contactel.cz. Jelikož se žádný další received

údaj nevyskytuje, lze přepokládat, že zmíněná IP adresa je původním zdrojem

zprávy. Kdybychom chtěli mít jistotu, museli bychom prozkoumat logy serveru

contactel.cz a ujistit se, zda opravdu obdržel zprávu od uvedeného systému

(pokud opět není v rukou útočníka). Pokud by bylo uvedeno více received údajů,

museli bychom postup opakovat, až bychom se dostali k poslední položce. Problém

je v tom, že většina freemailových služeb záznamy o poslaných e-mailech nevede

nebo je neskladuje příliš dlouho. Když připočteme neochotu správců serveru

poskytovat informace, nemáme téměř žádné možnosti vystopovat původního

odesílatele zprávy. Musíme vzít v potaz také velké množství takzvaných

remailerů, které jsou vytvořeny speciálně pro odesílání takovýchto e-mailů.

Tyto programy jsou mnohdy naprogramovány tak, aby po sobě zničily všechny

stopy, aby zprávu posílaly přes co největší počet serverů a podobně. Na jednu

stranu je to však dobře. Nikomu by se jistě nelíbilo, kdyby se o každém jeho

e-mailu vedly záznamy, které by byly navíc k dispozici každému, kdo by si našel

věrohodnou záminku. Jak by se vám například líbilo, kdyby si konkurence

zjistila, že za poslední měsíc jste odeslali 15 e-mailů firmě, která uvažuje o

koupi vašeho zboží nebo využití vašich služeb.



Ve většině případů nám ani tak nepůjde o vystopování padělatele, jako spíš o

ujištění se, že e-mail není pravý. Ujistit se můžeme celkem snadno.

Nejjednodušší je používat šifrování a digitální podpisy. Pokud ale šifrovat

nemůžete nebo nechcete, můžete svému známému zavolat (poslat SMS) zprávu a

ujistit se, že žádný takový e-mail neposlal. Uveďme si malý příklad. Dostal

jsem e-mail od Josefa Nováka, ve kterém mi sděluje, že končí veškerou

spolupráci s mojí firmou, a že již nechce být kontaktován. V tomto případě mi

půjde spíše o to, abych se ujistil, že takovou zprávu neposlal pan Novák, ale

někdo jiný (falšovatel). Pokud nemohu nebo nechci používat šifrování, jednoduše

panu Novákovi zavolám (nebo pošlu SMS) a ujistím se, že nic takového neposlal.

Teprve poté mohu začít zjišťovat, kdo mohl mít zájem takovou zprávu poslat.

Pokud své zprávy podepisujete nebo šifrujete, nemá proti vám padělatel žádnou

šanci. Pokud ale z nejrůznějších důvodů šifrovat nebo podepisovat nemůžete,

musíte být nadmíru opatrní a měli byste u „podezřelých“ zpráv kontrolovat

jejich hlavičky, neboť i zběžný pohled na hlavičku může lecos napovědět. Uveďme

si opět malý příklad. Můj známý Jan Novák (pravděpodobně bratr výše zmíněného

Josefa :) je příznivcem například FreeBSD (stejně jako já), jiné produkty

nepoužívá. K internetu se vždy připojuje přes službu IOL. Jednoho pěkného dne

mi od něj přijde e-mail s „nečekaným“ obsahem, zobrazím si proto hlavičku

tohoto e-mailu. V hlavičce je uvedeno, že zpráva putovala přes různé zahraniční

mail servery a původní IP adresa náleží poskytovateli připojení Volny. Jako

e-mailový klient je v hlavičce uveden Outlook Express (položka X-mailer),

který, jak vím, pan Novák nepoužívá. Logicky tedy pojmu podezření, že e-mail

neposílal on.





Stopování podle IP



Dejme tomu, že se nám podařilo získat IP adresu útočníka, ať už z hlavičky

e-mailu nebo logu nějakého programu. Ale pozor, tento údaj nemusí být ještě

směrodatný, neboť IP adresa může být velice snadno (zas tak snadno tedy ne, ale

lze to) zfalšována. Procesu, při kterém dochází k falšování IP adresy, se říká

IP spoofing. Falšovaní adres s sebou ale přináší i jistá úskalí, protože server

odpoví na IP adresu, kterou přečte, a to bez ohledu na to, je-li pravá nebo

falešná. Tím, že útočník IP adresu zfalšuje, připravuje se tak o možnost získat

odpověď. Spoofing se využívá například při skenování portů, kdy se snaží

útočník cílový systém zmást a zároveň maskovat svou pravou IP. Máme-li tedy IP

adresu, pokusíme se nejdříve zjistit jméno počítače a to, k jaké doméně patří.

Nejlépe to provedeme pomocí utility nslookup (v UNIXu standardně, ve Windows

součástí například Cyberkitu). Dejme tomu, že adresa počítače, který se na nás

snažil zaútočit, je (spíše byla) 195.122.214.149 (moje IP v době psaní tohoto

článku). Po použití nslookup zjistíme, že jméno počítače je

prahaa-5–18.dialup.vol.cz. To už nám dává větší možnosti. Z uvedeného jména lze

odvodit, že počítač využívá služeb poskytovatele VOLNY (vol.cz). Pokud nám

doména nic neříká nebo IP adresa není aktivní, případně neodpovídá, je dobré

provést dotaz do databáze whois. Whois databáze jsou databázemi, ve kterých

jsou uchovány informace o doménách, jejich registrátorech, správcích,

přidělených IP adresách atd. V našich podmínkách (rozuměj ČR) máme na výběr

prakticky ze dvou takovýchto databázových serverů. Prvním je server sdružení

NIC.CZ, whois.nic.cz, který se stará a eviduje všechny domény .cz, a druhým je

evropská databáze domén whois.ripe.net. Existují i další databáze pro

jednotlivé kontinenty, ale ty využijeme jen v případě, že se na nás pokusil

zaútočit někdo například z USA nebo Japonska, což není zas tak častý jev. Pokud

se to ale opravdu stane, zřejmě stejně moc možností k vypátrání mít nebudeme.

Databáze těchto serverů lze prohlížet pomocí webového browseru, a to na

stránkách www.nic.cz nebo www.ripe.net. K těmto serverům se lze připojit i

pomocí speciálních ulitit (Cyberkit). Je možno se připojit dokonce i za pomoci

„obyčejného“ telnetu, a sice na port 43 výše zmíněných serverů. Na server poté

odešleme požadavek na danou doménu, dostaneme výpis s údaji. V tomto výpisu je

uvedeno, kdo doménu registroval, kdo je jejím technickým správcem, kontaktní

osobou a další užitečné údaje. Poté mohou v zásadě nastat dvě situace. První IP

adresa je přidělena některému z uživatelů trvale, což je pro nás celkem dobré,

nebo druhá (což je mnohem horší), kdy je adresa přidělována dynamicky, zejména

uživatelům s dial-up připojením. Nyní si popíšeme, jak postupovat v obou

případech.





IP je přidělena trvale



Jak jsme již nastínili výše, je pro nás tato situace mnohem jednodušší. Trvalé

připojení je většinou realizováno na základě smlouvy, a proto nebývá problém po

dohodě se správcem systému zjistit, komu tato adresa patří. Navíc většina takto

užívaných adres využívá reverzní DNS záznamy, které umožňují překlad IP adresy

na adresu doménovou. Poté již není problém znovu zabrousit do příslušné

databáze whois. Základním kamenem úrazu v takovýchto chvílích však bývá pomoc

ze strany poskytovatele. Ale o tom až za chvíli.





IP je přidělována dynamicky



Zde je situace opravdu složitější, a to nejen z důvodu, že takto se k internetu

připojuje většina uživatelů. Taktéž se v této situaci neobjedeme bez spolupráce

poskytovatele připojení, a ani to nemusí znamenat úspěch. Princip tohoto druhu

připojení je jednoduchý. Uživatel se pomocí svého modemu připojí k počítači

poskytovatele připojení ISP (laicky řečeno) a poté je mu přidělena pomocí

systému DHPC (Dynamic Host Configuration Protocol, RFC2131) IP adresa, která je

však platná jen po dobu právě onoho připojení. Při příštím připojení bude

adresa s největší pravděpodobností jiná a původní adresa bude přidělena jinému

uživateli. Ve většině případů však poskytovatel uchovává po nějakou dobu

záznamy o provedených připojeních. Bohužel poskytovatele k vedení či uchovávání

takovýchto záznamů nenutí žádná vyhláška ani zákon. Naštěstí však většina

poskytovatelů takovéto záznamy vede. Ze záznamu se dozvíme, který uživatel

(uživatelské jméno) připojení provedl, jak dlouho toto připojení trvalo a na

jaké telefonní číslo bylo toto připojení provedeno. To ale bohužel neznamená,

že můžeme pachatele spolehlivě vystopovat. Jen si sami vzpomeňte, pokud

používáte vytáčené připojení, co všechno jste k registraci k takovéto službě

potřebovali. Stačí vyplnit formulář na webové stránce poskytovatele a čestně

prohlásit, že jsou uvedené údaje pravdivé. Jejich pravost však nikdo

nekontroluje. Kdokoliv tedy může do formuláře vyplnit libovolná data, nemluvě o

případu, kdy se někomu podaří prolomit vaše heslo. I s tímto problémem se však

lze vypořádat, i když to není nijak jednoduché. Určitě se neobejdeme bez údajů

od poskytovatele, a především bez spolupráce s telefonní společností, tedy

Telecomem. Jak již víme, lze z údajů poskytovatele připojení zjistit na jaké

číslo a kdy bylo voláno. S těmito údaji v ruce můžeme požádat Telecom o výpis

všech hovorů, které v daný okamžik směrovaly na dané telefonní číslo. Takových

údajů může být velmi mnoho a moudří z nich pravděpodobně nebudeme. Proto je

třeba pozorně sledovat, kdy dochází k útokům na systém a údaje pak pečlivě

porovnávat a hledat číslo, které se připojuje v době, kdy dochází k útokům.

Myslíte si, že je to velice obtížné? Jistě, ale můžete být v klidu, situace je

mnohem horší. Postupovat takovýmto způsobem možná mohou orgány činné v trestním

řízení, ale rozhodně ne uživatel. Myslím, že s žádostí na poskytovatele

připojení by uspěl asi málokdo, nemluvě o Telecomu. Co nám tedy zbývá? Nic, než

se bránit vlastními prostředky a snažit se ztrátě či poškození dat předejít,

aby nedošlo k situaci, kterou zcela výstižně charakterizuje známé pořekadlo

„plakat nad rozlitým mlékem“. Nebudeme zabíhat do právnických detailů, ale

pokud dojde k vážné škodě na vašem systému, například ztrátě dat v hodnotě

několika set tisíc, bude určitě namístě obrátit se na orgány činné v trestním

řízení, které mají při pátrání po pachatelích daleko větší pravomoci. Ale

poškození či smazání dat není jedinou škodou, kterou vám může někdo způsobit.

Dokonce i když se někdo „jen“ nabourá do vašeho systému a nenadělá žádnou

škodu, jde o finanční ztrátu, protože detekce průniku, prohledání a případná

obnova systému do původního stavu také nejsou zadarmo.



A jsme na konci tohoto dílu. V pátrání po pachatelích trestné činnosti na

internetu nemáme jistě velké naděje, zejména jde-li o zkušené útočníky. Proto

je důležitá prevence, neustálé sledování, zdokonalování a zejména pořizování

záloh. V příštím dílu našeho seriálu se podíváme na škodlivý software. Povíme

si něco o virech, červech, zajících a jiné internetové „havěti“. Zbude-li nám

trochu místa, dozvíte se také něco o věcech, jež se přímo netýkají počítačových

systémů jako takových, ale s bezpečností úzce souvisejí. Půjde například o

fyzickou bezpečnost systému, pravidla chování uživatelů a další „jemnůstky“,

jež však mohou mít dramatický dopad na bezpečnost celého systému.



Všechny vaše rady, náměty na další články nebo seriál, názory a prosby opět rád

uvítám na adrese igm@centrum.cz.





Return-Path: nekdo@nekde.cz Tue Nov 27 21:51:25 2001

Received: from res2.isp.contactel.cz ([212.65.193.169]:16774 „EHLO

res.isp.contactel.cz“) by data.centrum.cz with ESMTP

id <s9132275abrk0uuc>; Tue, 27 Nov 2001 21:50:32 +0100

Received: from unknown (p0497.as-l043.contactel.cz [194.108.243.243])

by res.isp.contactel.cz (8.11.3/8.11.3) with SMTP id fARKoSY06926

for <igm>; Tue, 27 Nov 2001 21:50:29 +0100 (MET)

Message-ID: <000901c17785$5aa80100$f3f36cc2@un­known>

From: Neznamy<nekdo>

To: <igm>

Subject: test

Date: Tue, 27 Nov 2001 21:51:54 +0100

MIME-Version: 1.0

Content-Type: text/plain;

charset=„iso-8859–2“

Content-Transfer-Encoding: 8bit

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 5.50.4522.1200

X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200

Return-Path: <nekdo>

X-Orcpt: rfc822;igm@centrum.cz









</nekdo></igm></nekdo></ig­m></s9132275abrk0uuc>