Pytanie:
Jak wykryć, czy pracownicy używają Tora?
Zameer Ansari
2016-09-05 17:03:41 UTC
view on stackexchange narkive permalink

Pracujemy w organizacji, która ma spełniać wymagania ustawy HIPAA. Bezpieczeństwo to dla nas duży problem. Otrzymaliśmy zadanie, aby dowiedzieć się, czy jakikolwiek użytkownik używa anonimowego serwera proxy w sieci.

Czy istnieje sposób, abyśmy mogli sprawdzić, czy Tor jest używany w naszej firmowej domenie sieciowej ? Używamy ochrony klienta firmy Symantec. VPN jest dostarczany przy użyciu Cisco.

Zgodność z HIPPA nie wymaga sprawdzania, czy którykolwiek z twoich pracowników używa Tora, o ile wiem.Proponuję zapytać każdego, kto ci to zlecił, aby uzasadnił swoje żądanie.Czy na pewno chcesz monitorować swoich pracowników w ten sposób?Być może lepiej byłoby uważniej przemyśleć, jaki jest twój model zagrożenia, co dokładnie próbujesz osiągnąć i czy jest to naprawdę najlepszy sposób, aby to osiągnąć.Mentalność listy kontrolnej rzadko jest najlepszym sposobem na osiągnięcie prawdziwego bezpieczeństwa.
„* Otrzymaliśmy zadanie, aby dowiedzieć się, czy jakikolwiek użytkownik korzysta z anonimowego serwera proxy w sieci. *” Proponuję zapytać osobę, która powierzyła ci to zadanie, o zatwierdzone metody.Jeśli nie wiedzą, poproś ich, aby zapytali tego, kto kazał im powiedzieć, jakie metody są do tego zatwierdzone.Jeśli nie możesz uzyskać odpowiedzi, wyślij wiadomość e-mail do wszystkich użytkowników z prośbą o zgłoszenie takiego wykorzystania.
Należy pamiętać, że tor jest aktywnie rozwijany w celu ominięcia mechanizmów wykrywania na poziomie stanu - tj. [Wielka chińska zapora ogniowa] (https://blog.torproject.org/blog/closer-look-great-firewall-china).wiem, jaki jest twój poziom techniczny, ale mogę się założyć, że nie masz zasobów ani zdolności technicznych chińskiego rządu - jeśli nadal uda się je obejść ... Cóż, powiem tylko dobrzeszczęście :)
Czy użytkownik może skopiować i wkleić dane osobowe pacjenta do formularza internetowego hostowanego na serwerze zewnętrznym?Dlaczego więc martwisz się o * skomplikowane * metody dostępu do zasobów zewnętrznych?
Tor nadal wymaga oprogramowania na komputerze klienckim, prawda?Twoje komputery firmowe nie zawierają oprogramowania szpiegującego, które pozwala administratorowi na automatyczne skanowanie zdalne?
Sześć odpowiedzi:
Yorick de Wid
2016-09-05 17:18:52 UTC
view on stackexchange narkive permalink

Możesz użyć listy węzłów Tora (uplink), dodać to do wychodzącej zapory ogniowej, skonfigurować zadanie aktualizowania tego raz dziennie i wszystko będzie dobrze. Ale Tor może być również używany przez proxy HTTP (S), więc będziesz musiał również wykrywać serwery proxy.

Nie jestem pewien, czy to pomoże ci cokolwiek zabezpieczyć. Dopóki istnieje połączenie z Internetem, byłoby możliwe ominięcie tego rodzaju środków bezpieczeństwa. Możesz spędzić nieskończoną ilość czasu i energii, aby zabronić wszelkiego rodzaju serwerów proxy, VPN, tuneli SSL i tym podobnych. Radzimy po prostu upewnić się, że nie wyrządzą żadnej szkody, chroniąc to, co jest ważne dla Twojej firmy, i pozostawić użytkowników. Na przykład podziel sieć na przedziały, użyj podsieci, sieci VLAN, stref DMZ i wymagaj uwierzytelniania i autoryzacji w sieciach prywatnych. Trzymaj ważne rzeczy w jednej strefie, pozwalając jednocześnie na tworzenie sieci bez ograniczeń w innej. I tak dalej ...

„Na przykład podziel sieć na przedziały, użyj podsieci, sieci VLAN, stref DMZ i wymagaj uwierzytelniania i autoryzacji w sieciach prywatnych”.- Cechą Tora jest przebijanie zapór ogniowych poprzez udostępnianie systemów wewnętrznych przez adresy URL .onion.Blokowanie Tora jest niezbędne do zabezpieczenia tych sieci.
@mgjk Tak samo działa VPN typu „site-2-site”, który można uruchomić na 443. Blokowanie rzeczy, ponieważ obawiasz się, że nie rozwiązuje podstawowego problemu.
Jeśli pracownik zadał sobie tyle trudu, aby ujawnić wewnętrzną sieć, to jest różnica między tym, że dzwonię do jego przełożonego, a włączam policję.
@mgjk To stanie się świętą krucjatą, Tor ma wiele forków, z których wszystkie działają inaczej z własnymi wewnętrznymi sieciami i łączami uplink, a Tor z pewnością nie jest jedyną anonimową siecią, a co z i2p na przykład?
@YorickdeWid - używam do tego komercyjnego rozwiązania, działa dobrze.Istnieje wiele takich rozwiązań od wielu dostawców.
Tor ma mosty, które są przekaźnikami, które _nie_ reklamują się jako znajdujące się w sieci Tor, a zatem mogą nie pojawiać się na liście, którą masz.Istnieją właśnie z tego powodu: aby umożliwić ludziom dostęp do Tora z miejsc, w których Tor jest zablokowany.
@dave +1 ... ponadto, jeśli użytkownik ustawił połączenie tak, aby korzystało z podłączanej warstwy transportowej, dzięki czemu żądania są przekazywane przez popularne witryny, takie jak Microsoft lub Amazon.Zobacz https://trac.torproject.org/projects/tor/wiki/doc/meek
Celem jest wykrycie Tora zgodnie ze standardem audytu.Jeśli używane są niepublikowane przekaźniki wejściowe, muszą to wiedzieć przed wypróbowaniem publicznych i * mieć nadzieję *, że infosec nie jest świadomy wybranych niepublikowanych przekaźników lub, nawet jeśli używane są prywatne przekaźniki wejściowe, normalna analiza ruchu segmentu użytkownika (czasdnia), a długotrwałe połączenia TCP byłyby ogromną wskazówką, że pracownik coś knuje i wsparcie powinno sprawdzić jego stację roboczą.BTW, dla żelaznej pięści, potulny można wybrać za pomocą przechwytywania SSL (SNI! = Host)
grochmal
2016-09-05 18:35:14 UTC
view on stackexchange narkive permalink

Uważam, że głównym problemem powinno być to, że:

używanie anonimowego serwera proxy w sieci

To złe założenie . Od razu bym zapytał:

W której sieci?

Yorick już poruszył ten punkt, ale będę bardziej rażący .

HIPAA dotyczy głównie prywatności danych w Twoim systemie produkcyjnym , a zatem w sieci używanej do łączenia się z systemem produkcyjnym. Powinieneś mieć kontrolę nad tym, co mogą robić wszystkie komputery łączące się z tą siecią. Innymi słowy, powinny to być maszyny firmowe zarządzane przez firmę i dostarczające oprogramowanie potrzebne do obsługi systemu produkcyjnego. Żadne inne maszyny nie powinny łączyć się z tą siecią, w tym VPN z siecią produkcyjną (czego najlepiej unikać, jeśli to możliwe).

Sieć dla Twoich pracowników, która nie łączy się z systemem produkcyjnym, np. sieć deweloperska lub biurowa sieć Wi-Fi muszą być oddzielone od sieci produkcyjnej. Wystarczy wyraźnie pokazać, że sieci są oddzielne (najlepiej z oddzielnym sprzętem, sieci VLAN 802.1Q są narażone na kilka ataków, jeśli są źle skonfigurowane). Maszyny w tych sieciach nie mają znaczenia dla systemu produkcyjnego, o ile nigdy się z nim nie łączą (nie powinny!). Przeniesienie czegokolwiek do produkcji i tak powinno mieć procedurę QA / QC, w której ocenia się bezpieczeństwo kodu / konfiguracji / innej zmiany.

Warto zauważyć, że sieć programistyczna zawierająca maszyny programistyczne nigdy nie zobaczy żadnych Dane produkcyjne. Jeśli Twoje dane produkcyjne mają być chronione (np. W celu ochrony prywatności pacjentów, jak w HIPAA), musisz anonimizować wszystkie dane w konfiguracjach programistycznych / testowych. Posiadanie zabezpieczonego środowiska produkcyjnego, a następnie zrzucanie danych produkcyjnych do niezabezpieczonej sieci byłoby po prostu głupie.

Wiedziałem, że ktoś zamierza zwrócić uwagę na sieci VLAN ^^
@YorickdeWid Wszyscy nienawidzimy sieci VLAN, prawda?:) Ethernet po prostu nie może zostać naprawiony.
Z wyjątkiem tego jednego administratora sieci, który próbuje zrobić półdupleks, dzieląc kabel: P.Niemniej jednak słuszna uwaga.
Odnośnie ostatniego punktu, wyobrażam sobie, że żadne dane nie powinny być przenoszone z powrotem z produkcji do tych środowisk.(Przeniesienie zrzutów produkcyjnych z powrotem do środowiska programistycznego / testowego nie jest w końcu rzadkością. W pewnym sensie można to uznać za dobrą praktykę). Może warto to dodać?Nie wiem.
@jpmc26 - Bardzo dobra uwaga, zaktualizowałem odpowiedź.
Michael Hampton
2016-09-06 04:11:06 UTC
view on stackexchange narkive permalink

Jedynym sposobem, aby mieć względną pewność, że Tor nie jest używany w sieci, jest sprawdzenie każdego urządzenia w sieci i upewnienie się, że Tor nie jest zainstalowany ani uruchomiony na żadnym z nich. Może to wymagać tak wielu roboczogodzin, że równie dobrze może być niemożliwe. I tak możesz to przeoczyć.

Możesz spróbować wykryć użycie Tora, obserwując ruch do któregokolwiek z zakodowanych na stałe urzędów katalogowych, aby z którym wszyscy klienci Tora będą się zawsze łączyć (z wyjątkiem, patrz poniżej). Zwykle jest ich mniej niż tuzin.

Możesz także spróbować wykryć ruch do dowolnego z tysięcy węzłów strażniczych, ale może to bardzo obciążyć IDS. Wykrywanie ruchu w centrach katalogowych wymaga obserwowania tylko kilku adresów IP i będzie ruch do tych władz nawet dla bezczynnych klientów.

Dużym wyjątkiem jest sytuacja, gdy Tor został skonfigurowany do używania mostu. Są one wyraźnie zaprojektowane tak, aby Tor nie komunikował się bezpośrednio z żadnym ze zwykłych węzłów Tora ani z urzędami katalogowymi. Zamiast tego komunikują się z niepublikowanym adresem mostka. Państwa narodowe mają trudności z wykryciem tych powiązań; jeśli któryś jest używany w Twojej sieci, nie masz prawie żadnych szans.

Zamiast tego powinieneś zrobić dokładniej kontrolować dostęp do iz sieci w generał. Tylko ruch, który jest rzeczywiście potrzebny, powinien być dozwolony do i z dowolnego urządzenia, na którym można uzyskać dostęp lub przechowywać PHI. Oznacza to, że musisz domyślnie odmawiać w obu kierunkach, przychodzącej i wychodzącej, oddzielając również sieci, w których występuje PHI od innych sieci. Wygląda na to, że Twoja obecna polityka wychodzenia zapory ogniowej jest domyślnie zezwalana, a blokowanie rzeczy w konfiguracji domyślnego zezwolenia jest jak dziurkowanie w niebie.

usr-local-ΕΨΗΕΛΩΝ
2016-09-07 21:33:34 UTC
view on stackexchange narkive permalink

Uniemożliwienie użytkownikowi instalowania / używania oprogramowania, które nie zostało zatwierdzone przez firmę, poprzez egzekwowanie zasad oprogramowania na komputerze pracowników, w połączeniu z uwierzytelnianiem sieciowym, takim jak tylko te maszyny zgodne z zasadami mogą uzyskać dostęp do sieci. To sprawia, że ​​stacja robocza jest prawie prostą maszyną kiosk . W branży finansowej i medycznej nie należy uważać za niewłaściwe narzucanie trybu kiosku pracownikom operacyjnym.

Brak możliwości uruchomienia oprogramowania, które może łączyć się z Torem, jest kluczem do uniemożliwienia użytkownikom korzystania z Tora, jeśli przeglądarka (np. cebula.to proxy) nie jest częścią zagrożenia. Ale normalnie miałbyś białą listę witryn dostępnych w chronionych środowiskach.

W prawdziwym świecie często koliduje to z potrzebami personelu IT. W większości firm wymagana jest zdolność IT, który niekoniecznie jest programistą / inżynierem oprogramowania , do uruchamiania dowolnego oprogramowania lub pisania niestandardowych skryptów. Dla dyskusji, załóżmy, że tak jest.

Oczywiście nie możesz uniemożliwić administratorowi systemu uruchamiania Tora, a także nie możesz zablokować jego maszyny w kiosku tylko dla tego „zagrożenia”, w przeciwnym razie zapobiegniesz nadzwyczajnym działaniom poza procesem, takim jak naprawianie problemów z maszynami lub siecią. W takim przypadku zalecałbym zastosowanie takiej zasady, że komputery z systemem administracyjnym z uprzywilejowaną konfiguracją oprogramowania są zwykle podłączone do niewrażliwej sieci, a ostatecznie do Internetu. Jeśli administrator potrzebuje dostępu do poufnej sieci, w której przechowywane są chronione informacje, powinien fizycznie podłączyć swój laptop do innej wtyczki i zarejestrować zdarzenie w ścieżce audytu. Taki audyt może być również zakończony komentarzem do zgłoszenia do pomocy technicznej „Uzyskuję dostęp do maszyny 10.100.200.10 w celu wykonania zadania”.

Krótko mówiąc, uniemożliwienie komukolwiek używania Tora jest surowym wymogiem, który jest trudny do wyegzekwowania, jednak rozsądna reinterpretacja wymagania powinna zadowalać każdy regulator, przyjmując zasadę bezpieczeństwa, że ​​ użytkownicy musi być w stanie uruchomić tylko najmniejszy zestaw programów, aby wypełniać swoje obowiązki (odmiana zasady najmniejszych minimalnych uprawnień).

A poza tym Tor sam w sobie nie stanowi zagrożenia, jest medium, które może być nadużywane przez osoby korzystające z informacji poufnych lub innych niewiernych pracowników lub stanowić zagrożenie dla istniejących nieprzeszkolonych pracowników.

To ^ jest poprawnym rozwiązaniem ... walka z nim z poziomu sieci będzie bezowocnym przedsięwzięciem ... skonfiguruj politykę grupową, aby uniemożliwić instalację Tora lub wykonanie przenośnego Tora.
Zakłada się, że zarówno Twój system operacyjny, jak i każda zatwierdzona aplikacja nie mogą zostać zhakowane w celu uruchomienia niezatwierdzonych instrukcji.Nie masz nawet szansy, aby to zadziałało, chyba że chcesz zablokować komputery pracowników do punktu, w którym działają jak wzmocniony kiosk internetowy (minimalna przeglądarka internetowa w pozbawionym Linux OS i nic więcej,z całym osprzętem zamkniętym w pudełku).Zmniejszysz produktywność pracowników i nadal będziesz mieć ryzyko, że coś zostanie wykorzystane.
A co z bankami?Czy powinni poddać się faktowi, że ktoś może użyć Tora do wycieku swoich prywatnych danych?Oczywiście każdy system można zhakować, ale administrator systemu nie powinien się poddawać.Mówimy tylko o niektórych wymaganiach zgodności, a nie o tym, że zatwierdzamy lub odrzucamy samego Tora (akceptuję go i popieram), ale musimy zrozumieć, że niektóre narzędzia nie powinny być używane, szczególnie przez osoby bez odpowiedniego doświadczenia i wiedzy, w krytycznych miejscach pracy.
To jest rzeczywiście prawidłowa odpowiedź dla każdej regulowanej branży, a także dla większości innych.Zapewnia bardzo wysoki poziom zabezpieczenia i jest niezwykle powszechny zarówno w dziedzinie zdrowia, jak i finansów.Jest to również bardzo skuteczna metoda zmniejszania możliwości ataku złośliwego oprogramowania.
Chcę podziękować @slang za użycie wyrażenia „kiosk internetowy”.To jest odpowiedź w większości chronionych środowisk.I nie należy tego uważać za złe dla produktywności pracowników.Pracownicy operacyjni (np. Kasjerzy bankowi) powinni używać tylko minimalnego i wydajnego zestawu produktów w celu wykonywania swoich zadań.Jeśli do swoich normalnych działań potrzebują ponad 35 programów (tak jak kilka lat temu w banku MPS), myślę, że duży wpływ na ich produktywność ma liczba narzędzi, których muszą się nauczyć.Nawet jeśli nie powinieneś wykonywać zadań niezwiązanych z biznesem w godzinach pracy, są na to tablety
Być może na stanowiskach bankierów / kasjerów, które tylko czekają na zastąpienie ich automatyzacją, kiosk miałby sens i nie szkodziłby produktywności.Myślę, że nie muszą nawet sprawdzać poczty w ciągu dnia.Jednak dla każdego pracownika umysłowego ograniczenie ich środowiska komputerowego jest katastrofalne dla produktywności… W efekcie spędzasz więcej czasu na omawianiu „zasad bezpieczeństwa” niż na produktywnej pracy.Trudno mi sobie wyobrazić przetrwanie dnia bez moich powłok Python / Bash lub skryptów, które napisałem do automatyzacji zadań.
Dwa problemy.** Jedno ** jest takie, że * potrzebujesz * Python / Bash do wykonywania swojej codziennej pracy, zakładając, że nie pracujesz w IT.** Dwa ** to fakt, że większość pracowników, którzy nie pracują bezpośrednio w IT (na przykład pomyśl o kasjerze), nawet nie wie, czym jest powłoka, więc po co im ją dawać?Znam wiele małp komputerowych, którym należy uniemożliwić korzystanie z większości oprogramowania, ponieważ mogą one uszkodzić swoją stację roboczą (i mieć ją w formacie IT) tylko z powodu swojej niekompetencji.Uważam, że zbyt dużo myślisz o ** własnym ** miejscu pracy, którym * może * być firma IT.Bądź otwarty i ogranicz się :)
Ok, wygląda na to, że zaraz przejdziemy do offtopic.Jeśli ktoś chce omówić równowagę między bezpieczeństwem a produktywnością, może otworzyć nowe pytanie (ale ostatecznie dyskusje oparte na opiniach nie są dobrze akceptowane w SE)
mgjk
2016-09-05 19:10:41 UTC
view on stackexchange narkive permalink

Tor jest z założenia trudny do zablokowania. Dzięki środkom Yoricka uczciwi pracownicy będą uczciwi. Poszedłbym tą drogą, chyba że HIPAA wymaga więcej * Dodanie wykrywania do środków blokujących oznacza, że ​​możesz zidentyfikować użytkowników Tora i przejść przez zarządzanie, aby ich zdyscyplinować. IMHO, zakaz tego rodzaju zachowań powinien znajdować się w corocznej certyfikacji pracownika w zakresie polityki biznesowej oraz w programie szkolenia w zakresie bezpieczeństwa.

Jeśli musisz rządzić żelazną ręką, blokuj wszystko Domyślnie i instalowanie serwera proxy przechwytywania jest powszechną metodą. Oznacza to, że będziesz przechwytywać, odszyfrowywać, sprawdzać, kategoryzować i ponownie szyfrować cały ruch klienta TLS. Jest to powszechne w bankach i bezpiecznych instytucjach ... wraz ze wszystkimi konsekwencjami dla prywatności, złożonością wdrażania i problemami z wydajnością.

* (Nie wiem ... Nie zrobiłem HIPAA)

Gdy tylko zezwolisz na BYOD, wszystkie zakłady są wyłączone (co może nie mieć miejsca w tym temacie).Analiza pakietów w ruchu TLS brzmi dobrze w teorii, ale ma poważne konsekwencje w praktyce.
@YorickdeWid - BYOD działa dobrze z tym, jeśli MDM obsługuje dystrybucję prywatnych urzędów certyfikacji.Dobrze znane są ograniczenia dotyczące serwerów proxy przechwytujących TLS.
Jakby to zadziałało na tablecie lub telefonie.
Dlaczego telefon powinien być dozwolony w zabezpieczonej sieci?
Nie zrobiłem HIPPA (nie jestem w USA), ale muszę argumentować, że jest to polityka zdrowotna.Dlatego jest to kwestia prywatności danych pacjenta.Jeśli zezwolisz na pobranie danych pacjenta na komputer osobisty pracownika (który następnie może zostać skradziony), jesteś już za to odpowiedzialny.Twierdzę, że BYOD nie wchodzi w grę.
@YorickdeWid - MDM == "Zarządzanie urządzeniami mobilnymi".Jeśli nie jesteś bardzo, bardzo małym sklepem, jeśli używasz urządzeń mobilnych, potrzebujesz jakiegoś rozwiązania do wymuszenia szyfrowania, kontroli dostępu i zdalnego czyszczenia.W przypadku BYOD masz wymóg w polityce dopuszczalnego użytkowania (AUP) i radzisz sobie z tym, że dane osobowe zostaną wymazane wraz z danymi firmowymi przy wyjściu (i że ich zdjęcia ich dzieci zostaną zapisane na serwerach firmowych)...).Wiele rozwiązań MDM umożliwia dodawanie certyfikatów do magazynu certyfikatów urządzeń, dlatego o tym wspominam.
@Erbureth - ponieważ w środowiskach, w których użytkownicy uzyskują dostęp do danych osobowych, a niekoniecznie przy przypisanych biurkach, smartfony lub tablety są prawdopodobnie najlepszym rozwiązaniem na odpowiedni terminal, aby umożliwić tym użytkownikom uzyskanie tego dostępu.
BYOD nie powinien być używany w sytuacjach HIPPA, w których użytkownicy uzyskują dostęp do poufnych danych dotyczących zdrowia.Chociaż możesz zrobić wyjątki, jeśli masz dobry system hermetyzacji, który przechowuje poufne dane / aplikacje we własnym kontenerze.
James Snell
2016-09-07 14:34:52 UTC
view on stackexchange narkive permalink

Ponieważ tytuł odnosi się do wykrywania takiej aktywności, skonfigurowałbym regułę zapory sieciowej tak, aby rejestrowała, ale nie blokowała połączeń do znanych usług / serwerów anonimizacyjnych różnych typów. Oczywiście oznacza to, że ktoś monitoruje dzienniki zapory sieciowej lub jakiś system oznaczania.

Istnieje niewielkie ryzyko, że dane mogą się wydostać, ale jeśli ktoś napotka blok, prawdopodobnie znajdzie inne metody / usługi (do którego możesz nie logować się), aby pobrać dane z systemu.

Zezwolenie na ograniczoną ilość danych wyjściowych zapewnia cele w Twojej sieci, które umożliwiają sprawdzić dostęp do ich systemów i dowiedzieć się, co faktycznie robią - na przykład próbując uzyskać dostęp do materiałów, które wykraczają poza ich zakres pracy.

To również omija wszelkie problemy z BYOD w środowiskach, które pozwalają im uzyskać do wrażliwych danych, nadal będą potrzebować uwierzytelnienia (loginy itp.), abyś mógł zobaczyć, co może być zagrożone.

Wadą tego podejścia jest to, że ryzyko jest proporcjonalne do tego, jak blisko są zapory monitorowane i wszystkie flagi, na które zadziałano, więc to naprawdę zależy od dostępnych zasobów.

Gdy zezwolisz na dostęp do Internetu, nawet mając tylko port 80, ZAWSZE będą istnieć sposoby na eksfiltrację danych, chyba że zablokujesz dostęp do WSZYSTKICH punktów końcowych, z wyjątkiem ograniczonych znanych, a to jest niewykonalne.Aby temu zapobiec, należy zezwolić tylko zarządzanym firmowo urządzeniom na dostęp do danych związanych z ustawą HIPAA i uniemożliwić tym urządzeniom uruchamianie kodu, chyba że znajdują się na białej liście.Jest to bardzo powszechna i bezpieczna praktyka.
Dozwolonymi aplikacjami można również manipulować, aby pobierać dane, a nawet DNS może być używany do przekazywania danych, więc połączenia nie muszą być nawet bezpośrednie, ale dyskusja na temat wszystkich tych ścieżek wyprowadza nas poza zakres zadanego pytania.Odpowiedź prawdopodobnie nie jest blokująca, ale wychwytująca i neutralizująca zagrożenie ze strony Twojej organizacji.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...