S3 Ep140: אז אתה חושב שאתה מכיר תוכנות כופר?

S3 Ep140: אז אתה חושב שאתה מכיר תוכנות כופר?

חותמת זמן: 22 ביוני 2023 12:48
S3 Ep140: אז אתה חושב שאתה מכיר תוכנות כופר? PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
by פול דוקלין

הקשב ולמד

Gee Whiz BASIC (כנראה). חושב שאתה מכיר תוכנות כופר? העלאה מגה, 11 שנה אחרי. ASUS מזהירה מפני באגים קריטיים בנתב. תזיז את זה מהומה חלק שלישי.

אין נגן אודיו למטה? להקשיב ישירות בסאונדקלאוד.

עם דאג אמות ופול דאקלין. מוזיקת ​​אינטרו ואאוטרו מאת אדית מדג'.

אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.

קרא את התמליל

DOUG.  צרות של נתב, העלאת מגה במגה צרות, ועוד מהומה של MOVEit.

כל זה ועוד בפודקאסט הביטחון העירום.

[מודם מוזיקלי]

ברוכים הבאים לפודקאסט, כולם.

אני דאג אמות'; הוא פול דאקלין.

פול, מה שלומך?

ברווז.  רק ביעור עבור מאזינינו הבריטים וחבר העמים האנגלי, דאג...

DOUG.  "נתב." [מבוטא בסגנון אנגלי כ-'ROOTER', לא US-STYLE כ'ROWTER']

ברווז.  אתה לא מתכוון לכלי העיבוד בעץ, אני מניח?

DOUG.  לא! [צוחק]

ברווז.  אתה מתכוון לדברים שנותנים לנוכלים לפרוץ לרשת שלך אם הם לא מתוקנים בזמן?

DOUG.  כן!

ברווז.  איפה ההתנהגות של מה שהיינו מכנים 'ROOTER' עושה לרשת שלך יותר כמו מה ש'ROWTER' יעשה לקצה השולחן שלך? [צוחק]

DOUG.  בְּדִיוּק! [צוחק]

עוד מעט נגיע לזה.

אבל קודם כל שלנו השבוע בהיסטוריה הטכנולוגית מגזר.

פול, השבוע, ב-18 ביוני, כבר ב-1979: צעד גדול קדימה עבור מחשוב 16 סיביות כאשר מיקרוסופט הוציאה גרסה של שפת התכנות הבסיסית שלה עבור מעבדי 8086.

גרסה זו הייתה תואמת לאחור עם מעבדי 8 סיביות, מה שהופך את BASIC, שהיה זמין עבור מעבדי Z80 ו-8080, ונמצא כבר בכ-200,000 מחשבים, חץ ברטט של רוב המתכנתים, פול.

ברווז.  מה היה אמור להיות GW-BASIC!

אני לא יודע אם זה נכון, אבל אני ממשיך לקרוא ש-GW-BASIC מייצג "GEE WHIZZ!" [צוחק]

DOUG.  הא! [צחוק]

ברווז.  אני לא יודע אם זה נכון, אבל אני אוהב לחשוב שכן.

DOUG.  בסדר, בואו ניכנס לסיפורים שלנו.

לפני שנגיע לדברים שנמצאים בחדשות, אנו שמחים, לא נרגשים, להכריז על הפרק הראשון מתוך שלושה של חושבים שאתם מכירים תוכנת כופר?

זוהי סדרה דוקומנטרית של 48 דקות מחבריך ב-Sophos.

"The Ransomware Documentary" - סדרת סרטונים חדשה לגמרי מבית Sophos מתחילה עכשיו!

הפרק הראשון, נקרא מקורות פשע הסייבר, זמין כעת לצפייה בכתובת https://sophos.com/ransomware.

פרק 2, שנקרא ציידים וניצודים, יהיה זמין ב-28 ביוני 2023.

פרק 3, כלי נשק ולוחמים, ייפול ב-5 ביולי 2023.

תבדוק את זה ב https://sophos.com/ransomware.

ראיתי את הפרק הראשון והוא מעולה.

זה עונה על כל השאלות שעשויות להיות לך לגבי מקורות הנגע הזה שאנחנו ממשיכים להילחם בה שנה אחר שנה, פול.

ברווז.  וזה מזין בצורה יפה מאוד את מה שמאזינים רגילים יידעו שהוא האמרה האהובה עליי (אני מקווה שלא הפכתי את זה לקלישאה עד עכשיו), כלומר: מי שלא זוכר את ההיסטוריה נידון לחזור עליה.

אל תהיה האדם הזה! [צוחק]

DOUG.  בסדר, בואו נישאר לנושא הפשע.

זמן מאסר לשניים מארבעת מייסדי Megaupload.

הפרת זכויות יוצרים שעל הפרק כאן, פול, ובערך עשור בהתהוות?

צמד Megaupload ייכנס סוף סוף לכלא, אבל קים דוטקום נלחם על...

ברווז.  כן.

זוכר את השבוע שעבר כשפירסתי את הבדיחה ההיא על, "אה, אתה יודע איך זה אוטובוסים? אף אחד לא בא במשך שנים, ואז מגיעים שלושה בבת אחת?" [צחוק]

אבל הייתי צריך לתרגם את זה ל"שניים מגיעים בבת אחת"...

...וכבר אמרתי את זה והשלישי הגיע. [צחוק]

וזה מחוץ לניו זילנד, או Aotearoa, כפי שהיא ידועה לחילופין.

Megaupload היה שירות מוקדם הידוע לשמצה מה שנקרא "לוקר קבצים".

זה לא "לוקר קבצים" כמו בתוכנת כופר שנועלת את הקבצים שלך.

זה "ארונית קבצים" כמו לוקר חדר כושר... מקום הענן שבו אתה מעלה קבצים כדי שתוכל לקבל אותם מאוחר יותר.

השירות הזה הוסר, בעיקר בגלל שה-FBI בארה"ב קיבל צו הסרה, וטען שהמטרה העיקרית שלו למעשה לא הייתה כל כך הרבה שירות *העלאה* אלא להיות מגה שירות *הורדה*, המודל העסקי מתוכם התבסס על עידוד ותמריץ של הפרת זכויות יוצרים.

המייסד העיקרי של העסק הזה הוא שם ידוע: קים דוטקום.

וזה באמת שם המשפחה שלו.

הוא שינה את שמו (לדעתי הוא היה במקור קים שמיץ) לקים דוטקום, יצר את השירות הזה, והוא פשוט נלחם בהסגרה לארה"ב וממשיך לעשות זאת, למרות שבתי המשפט באאוטארו קבעו שאין סיבה שהוא יכול לא יוסגר.

אחד מארבעת האחרים, בחור בשם פין באטו, מת למרבה הצער מסרטן בשנה שעברה.

אבל שניים מהפרטים האחרים שהיו המניעים העיקריים של שירות Megaupload, מתיאס אורטמן ובראם ואן דר קולק...

...הם נאבקו בהסגרה (אפשר להבין למה) לארה"ב, שם הם עלולים לעמוד בפני עונשי מאסר גדולים.

אבל בסופו של דבר נראה שהם עשו עסקה עם בתי המשפט בניו זילנד [ניו זילנד/אוטיארו] ועם ה-FBI ומשרד המשפטים בארה"ב.

הם הסכימו להעמיד לדין ב-NZ במקום זאת, להודות באשמה ולסייע לרשויות האמריקאיות בחקירתן המתמשכת.

והם סיימו עם עונשי מאסר של שנתיים 2 חודשים ושנתיים 7 חודשים בהתאמה.

DOUG.  לשופט באותו תיק היו כמה הערות מעניינות, הרגשתי.

ברווז.  אני חושב שאתה ממש שם, דאג.

יש לציין שלא מדובר היה בבית המשפט לומר, "אנו מקבלים את העובדה שהמגה-תאגידים האדירים הללו בכל רחבי העולם הפסידו מיליארדי ומיליארדי דולרים".

למעשה, השופט אמר שאתה צריך לקחת את הטענות האלה עם קורט מלח, וציטט ראיות המצביעות על כך שאתה לא יכול פשוט לומר שכל מי שהוריד סרטון פיראטי היה קונה את המקור.

אז אתה לא יכול לחבר את ההפסדים הכספיים בצורה שחלק מהמגה קורפס אוהבים לעשות זאת.

עם זאת, הוא אמר, זה לא עושה את זה נכון.

ועוד יותר חשוב, הוא אמר, "באמת פגעת גם בבחורים הקטנים, וזה חשוב לא פחות."

והוא ציטט את המקרה של מפתח תוכנה אינדי מהאי הדרומי בניו זילנד, שכתב לבית המשפט ואמר, "שמתי לב שהפיראטיות עשתה חיל גדול בהכנסה שלי. גיליתי ש-10 או 20 פעמים הייתי צריך לפנות ל-Megaupload כדי להסיר תוכן מפר; לקח לי הרבה זמן לעשות את זה, וזה אף פעם לא עשה את ההבדל הקטן ביותר. אז אני לא אומר שהם לגמרי אחראים לעובדה שכבר לא יכולתי להתפרנס מהעסק שלי, אבל אני אומר שהשקעתי את כל המאמץ הזה כדי לגרום להם להוריד את הדברים שהם אמרו שהם. יעשה זאת, אבל זה אף פעם לא עבד."

למעשה זה פורסם במקום אחר בפסק הדין... שהוא 38 עמודים, אז זה די ארוך לקריאה, אבל זה מאוד קריא ואני חושב שזה מאוד שווה קריאה.

יש לציין כי השופט אמר לנאשמים שהם צריכים לשאת באחריות לעובדה שהם הודו שהם לא רוצים להחמיר מדי עם מפרי זכויות יוצרים. "הצמיחה מבוססת בעיקר על הפרה".

והוא גם ציין שהם המציאו מערכת הסרה שבעצם, אם היו מספר כתובות URL להוריד את אותו קובץ...

...הם שמרו עותק אחד של הקובץ, ואם התלוננת על כתובת האתר, הם היו מסירים את *כתובת האתר*.

DOUG.  אה הא!

ברווז.  אז הייתם חושבים שהם הסירו את הקובץ, אבל הם ישאירו את הקובץ שם.

והוא תיאר זאת כך: "ידעת, והתכוונת, שלהסרות לא תהיה השפעה מהותית".

וזה בדיוק מה שמפתח תוכנת האינדי קיווי הזה טען בהצהרה שלו לבית המשפט.

ובוודאי שהם עשו מזה הרבה כסף.

אם תסתכל על התמונות מהפשיטה השנויה במחלוקת על קים דוטקום ב-2012...

...היה לו את הרכוש העצום הזה, וכל מכוניות הבזק האלה עם לוחיות מספר מוזרות [תגי רכב] כמו GOD ו GUILTY, כאילו הוא ציפה למשהו. [צוחק]

הסרת העלאות מגה עולה לכותרות ומסתובבות בזמן שמר דוטקום מבקש ערבות

אז, קים דוטקום עדיין נלחם בהסגרתו, אבל השניים האחרים האלה החליטו שהם רוצים לגמור עם הכל.

אז הם הודו באשמה, וכפי שכמה מהמגיבים שלנו ציינו ב-Naked Security, "גולי, על מה שנראה שהם עשו כשקראת את פסק הדין בפירוט, נשמע שהעונש שלהם היה קל".

אבל האופן שבו זה חושב הוא שהשופט הבין שהוא חשב שהעונשים המקסימליים שהם צריכים לקבל על פי חוק Aotearoa צריך להיות בערך 10 שנים.

ואז הוא הבין, בהתבסס על העובדה שהם מודים באשמה, שהם הולכים לשתף פעולה, שהם הולכים להחזיר 10 מיליון דולר, וכן הלאה וכן הלאה, שהם צריכים לקבל 75% הנחה.

וההבנה שלי היא שזה אומר שהם ישכימו את החשש הזה שהם יוסגרו לארה"ב, כי הבנתי שמשרד המשפטים אמר, "בסדר, ניתן להרשעה ולגזר הדין לקרות במדינה אחרת ."

יותר מעשר שנים, ועדיין לא נגמרו!

עדיף שתגיד את זה, דאג...

DOUG.  כן!

אנחנו נפקח על זה.

תודה; בוא נמשיך הלאה.

אם יש לך נתב ASUS, ייתכן שיהיה לך תיקון מסוים, אם כי ציר זמן די עכור כאן עבור כמה פגיעויות די מסוכנות, פול.

ASUS מזהירה את לקוחות הנתב: תקן עכשיו, או חסום את כל הבקשות הנכנסות

ברווז.  כן, לא ברור להפליא מתי יצאו התיקונים הללו עבור הדגמים הרבים השונים של הנתב המפורטים בייעוץ.

חלק מהקוראים שלנו אומרים, "ובכן, הלכתי והסתכלתי; יש לי אחד מהנתבים האלה והוא ברשימה, אבל אין תיקונים *עכשיו*. אבל קיבלתי כמה תיקונים לפני זמן מה שנראה כי פתרו את הבעיות האלה... אז למה הייעוץ *עכשיו*?"

והתשובה היא: "אנחנו לא יודעים".

אולי חוץ מזה ש-ASUS גילתה שהנוכלים נמצאים על אלה?

אבל זה לא רק, "היי, אנחנו ממליצים לך לתקן."

הם אומרים שאתה צריך לתקן, ואם אתה לא רוצה או לא מסוגל לעשות זאת, אז אנחנו "ממליץ בחום (שמשמעותו בעצם 'היה לך יותר טוב') להשבית שירותים הנגישים מצד ה-WAN של הנתב שלך כדי למנוע חדירות לא רצויות פוטנציאליות."

וזו לא רק האזהרה האופיינית שלך, "הו, ודא שממשק הניהול שלך לא גלוי באינטרנט."

הם מציינים שמה שהם מתכוונים בחסימת בקשות נכנסות זה שאתה צריך לכבות בעצם *כל* שכרוך בנתב שמקבל את החיצוני ליזום חיבור רשת כלשהו...

...כולל ניהול מרחוק, העברת יציאות (מזל רע אם אתה משתמש בזה למשחקים), DNS דינמי, כל שרתי VPN, ומה שהם מכנים הפעלת יציאה, שאני מניח שהיא דפיקת יציאה, איפה אתה מחכה לחיבור מסוים ורק כאשר אתה ראה את החיבור הזה אז אתה מפעיל שירות באופן מקומי.

אז לא רק בקשות אינטרנט מסוכנות כאן, או שאולי יש איזה באג שמאפשר למישהו להיכנס עם שם משתמש סודי.

זה טווח שלם של סוגים שונים של תעבורת רשת שאם היא יכולה להגיע לנתב שלך מבחוץ, היא עלולה להשפיע על הנתב שלך, כך נראה.

אז זה נשמע נורא דחוף!

DOUG.  שתי נקודות התורפה העיקריות כאן...

...ישנו מסד נתונים לאומי של פגיעות, ה-NVD, שמקבל נקודות תורפה בסולם של אחד עד עשר, ושניהם הם 9.8/10.

ואז יש עוד חבורה שלמה של אחרים שהם 7.5, 8.1, 8.8... חבורה שלמה של דברים שהם די מסוכנים כאן. פול.

ברווז.  כן.

"9.8 קריטי", הכל באותיות גדולות, הוא מסוג הדברים שמשמעותם [לחישה], "אם הנוכלים יבינו את זה, הם הולכים להיות על זה כמו פריחה."

ומה שאולי הכי מוזר בשני נקודות התורפה האלה של 9.8/10 הוא שאחד מהם הוא CVE-2022-26376, וזה באג ב-HTTP unescaping, שזה בעצם כשיש לך כתובת URL עם תווים מצחיקים כמו, רווחים…

...לא יכול להיות רווח בכתובת האתר באופן חוקי; אתה צריך לשים %20 במקום זאת, הקוד ההקסדצימלי שלו.

זה די בסיסי לעיבוד כל סוג של כתובת URL בנתב.

וזה היה באג שנחשף, כפי שניתן לראות מהמספר, בשנת 2022!

ויש עוד אחד בפרוטוקול Netatalk שנקרא (המספק תמיכה למחשבי אפל) שהוא הפגיעות, דאג, CVE-2018-1160.

DOUG.  זה היה לפני הרבה זמן!

ברווז.  זה היה!

זה למעשה תוקן בגרסה של Netatalk שלדעתי הייתה גרסה 3.1.12, שיצאה ב-20 בדצמבר *2018*.

והם רק מזהירים לגבי "אתה צריך לקבל את הגרסה החדשה של Netatalk" עכשיו, כי גם את זה, כך נראה, ניתן לנצל באמצעות חבילה סוררת.

אז אתה לא צריך מק; אתה לא צריך תוכנת אפל.

אתה רק צריך משהו שמדבר את Netatalk בצורה מפוקפקת, והוא יכול לתת לך גישה שרירותית לכתיבה בזיכרון.

ועם ציון באג של 9.8/10, אתה צריך להניח שזה אומר "זר מרוחק מחטט בחבילת רשת אחת או שתיים, משתלט לחלוטין על הנתב שלך עם גישה ברמת השורש, אימה של ביצוע קוד מרחוק!"

אז למה לקח להם כל כך הרבה זמן להזהיר אנשים שהם צריכים לקבל את התיקון עבור הבאג בן החמש הזה...

...ולמה לא היה להם למעשה את התיקון לבאג בן החמש לפני חמש שנים לא מוסבר.

DOUG.  בסדר, אז יש רשימה של נתבים שאתה צריך לבדוק, ואם אתה לא יכול לתקן, אתה אמור לעשות את כל זה "לחסום את כל הדברים הנכנסים".

אבל אני חושב שהעצה שלנו תהיה תיקון.

והעצה האהובה עלי: אם אתה מתכנת, חיטא את התשומות שלך, בבקשה!

ברווז.  כן, Little Bobby Tables הופיע שוב, דאג.

כי אחד הבאגים האחרים שלא היה ברמת 9.8 (זה היה ברמת 7/10 או 8/10) היה CVE-2023-28702.

זה בעצם הבאג מסוג MOVEit שוב: תווים מיוחדים לא מסוננים בקלט כתובת אתר אינטרנט עלולים לגרום להזרקת פקודות.

אז זה נשמע כמו מברשת די רחבה לפושעי רשת לצייר איתה.

והיה CVE-2023-31195 שמשך את תשומת לבי, במסווה של חטיפת מושב.

המתכנתים הגדירו את מה שהם בעצם עוגיות אסימון אימות... מחרוזות הקסם האלה שאם הדפדפן יכול להזין אותם בבקשות עתידיות, מוכיחות לשרת שמוקדם יותר בהפעלה למשתמש נכנס, היה שם המשתמש הנכון, הסיסמה הנכונה , קוד 2FA הנכון, מה שלא יהיה.

ועכשיו הם מביאים את "כרטיס הגישה" הקסום הזה.

אז, אתה אמור לתייג את העוגיות האלה, כשאתה מגדיר אותן, כך שלעולם לא ישודרו בבקשות HTTP לא מוצפנות.

ככה זה מקשה הרבה יותר על נוכל לחטוף אותם... והם שכחו לעשות את זה!

אז זה עוד משהו למתכנתים: לכו וסקרו כיצד אתם מגדירים קובצי Cookie משמעותיים באמת, כאלו שיש בהם מידע פרטי או שיש בהם מידע אימות, וודאו שאתם לא משאירים אותם פתוחים לחשיפה לא מכוונת וקלה.

DOUG.  אני מסמן את זה (כנגד שיפוטי, אבל זה הסיפור השני מבין שניים עד כה) כאחד שנשים עליו עין.

ברווז.  אני חושב שאתה צודק, דאג, כי אני לא באמת יודע למה, בהתחשב בכך שלחלק מהנתבים התיקונים האלה כבר הופיעו (אם כי מאוחר יותר ממה שאולי רצית)... למה *עכשיו*?

ואני מניח שהחלק הזה בסיפור עדיין צריך להופיע.

DOUG.  מסתבר שאנחנו בהחלט לא יכולים *לא* לפקוח עין על הסיפור הזה של MOVEit.

אז מה יש לנו השבוע, פול?

MOVEit Mayhem 3: "השבת תעבורת HTTP ו-HTTPS באופן מיידי"

ברווז.  ובכן, למרבה הצער של Progress Software, האוטובוס השלישי הגיע בבת אחת, כביכול. [צחוק]

אז, רק כדי לסכם, הראשון היה CVE-2023-34362, וזה כאשר תוכנת Progress אמרה, "אוי לא! יש יום אפס - באמת לא ידענו על זה. זו הזרקת SQL, בעיה בהזרקת פקודות. הנה התיקון. אבל זה היה יום אפס, וגילינו את זה כי נוכלי כופר, נוכלי סחיטה, ניצלו זאת באופן פעיל. הנה כמה אינדיקטורים של פשרה [IoCs]."

אז הם עשו את כל הדברים הנכונים, מהר ככל שיכלו, ברגע שהם ידעו שיש בעיה.

אחר כך הם הלכו ובדקו את הקוד שלהם, וחשבו, "אתה יודע מה, אם המתכנתים עשו את הטעות הזו במקום אחד, אולי הם עשו כמה טעויות דומות בחלקים אחרים של הקוד."

וזה הוביל ל-CVE-2023-35036, שם הם תיקנו באופן יזום חורים שהיו כמו זה המקורי, אבל עד כמה שהם ידעו, הם מצאו אותם ראשונים.

והנה, הייתה אז פגיעות שלישית.

זה הוא CVE-2023-35708, שם נראה שהאדם שמצא אותו, בוודאי יודע היטב ש-Progress Software הייתה פתוחה לחלוטין לחשיפה אחראית ולתגובה מהירה...

...החליט לצאת לציבור בכל זאת.

אז אני לא יודע אם אתה קורא לזה "'גילוי נאות" (אני חושב שזה השם הרשמי של זה), "גילוי בלתי אחראי" (שמעתי שאנשים אחרים ב-Sophos מתייחסים לזה כך), או "הורדה 0-day for fun", כך אני חושב על זה.

אז זה היה קצת חבל.

אז פרוגרס תוכנה אמרה, "תראה, מישהו הוריד את ה-0-יום הזה; לא ידענו על זה; אנחנו עובדים על התיקון. בתקופת ביניים זעירה זו, פשוט כבה את ממשק האינטרנט שלך (אנחנו יודעים שזה טרחה), ותנו לנו לסיים את בדיקת התיקון."

ותוך יום בערך אמרו, "נכון, הנה התיקון, עכשיו הנח אותו. לאחר מכן, אם תרצה, תוכל להפעיל מחדש את ממשק האינטרנט שלך."

אז אני חושב שבסך הכל, למרות שזה נראה רע עבור תוכנת Progress עבור הבאגים מלכתחילה...

...אם זה יקרה לך אי פעם, אז מעקב אחר סוג התגובה שלהם הוא, לדעתי, דרך הגונה למדי לעשות את זה!

DOUG.  כן, יש לנו שבחים ל-Progress Software, כולל ההערה שלנו לשבוע זה על הסיפור הזה.

אדם מעיר:

נראה כמו קשה ללכת על MOVEit לאחרונה, אבל אני מברך אותם על עבודתם המהירה, היזומה והכנה לכאורה.

תיאורטית הם יכלו לנסות לשמור על הכל בשקט, אבל במקום זאת הם היו די מקדימים לגבי הבעיה ומה צריך לעשות בנידון.

לכל הפחות זה גורם להם להיראות יותר אמינים בעיניי...

...ואני חושב שזו תחושה שחולקת גם עם אחרים, פול.

ברווז.  זה אכן.

שמענו את אותו הדבר גם בערוצי המדיה החברתית שלנו: שלמרות שחבל היה להם את הבאג, וכולם היו רוצים שלא, הם עדיין נוטים לסמוך על החברה.

למעשה, ייתכן שהם נוטים לסמוך על החברה יותר ממה שהיו קודם לכן, כי הם חושבים שהם שומרים על קור רוח במשבר.

DOUG.  טוב מאוד.

בסדר, תודה לך, אדם, ששלחת את זה.

אם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.

אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול לפנות אלינו בחברתית: @nakedsecurity.

זו ההופעה שלנו להיום; תודה רבה על ההקשבה.

עבור פול דאקלין, אני דאג אמות', מזכיר לך עד הפעם הבאה...

שניהם.  הישאר בטוח!

[מודם מוזיקלי]

בול זמן:

עוד מ ביטחון עירום