Vorrei citare qui due "security tools" abbastanza utili per sistemi *nix/Linux.
Il primo si chiama lynis ed effettua una serie di controlli sulle più differenti aree del sistema, riportando segnalazioni in caso di possibili problemi di sicurezza introdotti dalla configurazione corrente del sistema.
Maggiori informazioni su:
http://www.rootkit.nl/files/lynis-documentation.html
L'altro tool si chiama rkhunter ed è dedicato alla ricerca di "rootkit" eventualmente presenti sul sistema. Non entro nel dettaglio della discussione sui rootkit: basta cercare informazioni in rete. Anche questo tool è molto facile da usare.
Per maggiori informazioni:
http://www.rootkit.nl/projects/rootkit_hunter.html
Nota bene: installare sempre da "repository" ufficiali, e/o controllare il codice MD5 associato al pacchetto originale, per evitare "sorprese"...
domenica 26 dicembre 2010
sabato 25 dicembre 2010
La Paranoia sia con noi
Ricordo che molti anni fa' mi trovai per un breve periodo ad affiancare il Security Operation Manager di un'importante Azienda di Elettronica e Telecomunicazioni, il cui NOC (Network Operating Center) serviva infrastrutture considerate abbastanza critiche.
Ricordo benissimo che, il primo venerdì di lavoro insieme, mi raccomandò, prima di andare a casa, di "chiudere tutti gli ICMP da Internet" per tutto il weekend: c'era un'apposita regola (disabilitata) sui firewall di front-end, che inibiva tutto il traffico ICMP da e verso Internet. Pensai che il tipo fosse eccessivamente paranoico, ma poi mi spiegò che far perdere anche qualche minuto a chi volesse attaccare dall'esterno le nostre infrastrutture, era pur sempre un vantaggio. E pensai che per vincere una guerra era necessario vincere tante piccole battaglie, compresa questa dei "5 minuti".
Cito questo aneddoto per affermare che, quando si lavora per l'IT Security, non si è mai abbastanza paranoici: non ci si può permettere, cioè, di essere ottimisti, se non al prezzo di abbassare (statisticamente) le difese. Contando che poi spesso questo tipo di ottimismo non porta con sé nessun "risparmio" economico, si fa presto a sposare la causa della Paranoia.
Ci sono già abbastanza pericoli imprevedibili, che sottomettersi a quelli prevedibili non è mai una buona scelta.
Ricordo benissimo che, il primo venerdì di lavoro insieme, mi raccomandò, prima di andare a casa, di "chiudere tutti gli ICMP da Internet" per tutto il weekend: c'era un'apposita regola (disabilitata) sui firewall di front-end, che inibiva tutto il traffico ICMP da e verso Internet. Pensai che il tipo fosse eccessivamente paranoico, ma poi mi spiegò che far perdere anche qualche minuto a chi volesse attaccare dall'esterno le nostre infrastrutture, era pur sempre un vantaggio. E pensai che per vincere una guerra era necessario vincere tante piccole battaglie, compresa questa dei "5 minuti".
Cito questo aneddoto per affermare che, quando si lavora per l'IT Security, non si è mai abbastanza paranoici: non ci si può permettere, cioè, di essere ottimisti, se non al prezzo di abbassare (statisticamente) le difese. Contando che poi spesso questo tipo di ottimismo non porta con sé nessun "risparmio" economico, si fa presto a sposare la causa della Paranoia.
Ci sono già abbastanza pericoli imprevedibili, che sottomettersi a quelli prevedibili non è mai una buona scelta.
giovedì 23 dicembre 2010
La Triade
Quando si parla di IT Security si sottindende spesso la conoscenza dei tre principali "assi" lungo i quali essa si sviluppa. Vediamo di renderli espliciti, e magari un po' più comprensibili.
Confidenzialità. Alcune informazioni sono destinate a "tutti". Magari non tutti hanno voglia e tempo di leggerle, ma se le leggono va bene. Altre informazioni sono riservate: a chi deve prendere decisioni, a chi non vuol far sapere di conoscere certi particolari (si pensi per esempio alle indagini della Polizia o della Magistratura), almeno per un certo lasso di tempo. Infine, alcune informazioni sono "segrete", cioè devono essere portate a conoscenza di poche persone, che svolgono compiti particolari (non voglio dare nessun giudizio di merito su queste situazioni, ma semplicemente rendere espliciti quelli che sono spesso "requisiti" dell'informazione, nel campo della sicurezza).
Integrità. Quando leggo una notizia o ricevo un'informazione, voglio che sia "vera", affidabile. Per le favole c'è la letteratura, ma è un'altra cosa. Quante volte si vedono titoloni "strillare" strabilianti o sconvolgenti "notizie", e poi si scopre che si tratta di supposizioni, di illazioni, di informazioni riportate senza riscontro, o magari di vere e proprie "bugie" diffuse ad arte.
Disponibilità. Quando ho bisogno di una certa informazione, che so che già esiste da qualche parte, voglio potervi accedere liberamente, e non aspettare chissà quanto che torni disponibile.
Semplice no? Ecco, questi sono i tre pilastri dell'IT Security, e ciò che si fa in questo campo è finalizzato a... mantenerli in piedi, a dispetto di tutte le minacce che si trovano ormai abbondanti nel mondo reale.
Confidenzialità. Alcune informazioni sono destinate a "tutti". Magari non tutti hanno voglia e tempo di leggerle, ma se le leggono va bene. Altre informazioni sono riservate: a chi deve prendere decisioni, a chi non vuol far sapere di conoscere certi particolari (si pensi per esempio alle indagini della Polizia o della Magistratura), almeno per un certo lasso di tempo. Infine, alcune informazioni sono "segrete", cioè devono essere portate a conoscenza di poche persone, che svolgono compiti particolari (non voglio dare nessun giudizio di merito su queste situazioni, ma semplicemente rendere espliciti quelli che sono spesso "requisiti" dell'informazione, nel campo della sicurezza).
Quali sono gli strumenti IT oggi disponibili per garantire la confidenzialità delle informazioni? Soprattutto la crittografia, nelle sue varie incarnazioni, a seconda del grado e potenza che si desidera ottenere.
Integrità. Quando leggo una notizia o ricevo un'informazione, voglio che sia "vera", affidabile. Per le favole c'è la letteratura, ma è un'altra cosa. Quante volte si vedono titoloni "strillare" strabilianti o sconvolgenti "notizie", e poi si scopre che si tratta di supposizioni, di illazioni, di informazioni riportate senza riscontro, o magari di vere e proprie "bugie" diffuse ad arte.
Strumenti IT: soprattutto la firma digitale, ossia il riconoscimento attraverso una "terza parte fidata", che garantisce l'identità di chi mette in circolazione le informazioni.
Disponibilità. Quando ho bisogno di una certa informazione, che so che già esiste da qualche parte, voglio potervi accedere liberamente, e non aspettare chissà quanto che torni disponibile.
Strumenti IT: principalmente la replicazione e la delocalizzazione (tecnicamente: clustering, cloud computing e disaster-recovery).
Semplice no? Ecco, questi sono i tre pilastri dell'IT Security, e ciò che si fa in questo campo è finalizzato a... mantenerli in piedi, a dispetto di tutte le minacce che si trovano ormai abbondanti nel mondo reale.
mercoledì 22 dicembre 2010
Comunicazioni insicure
All'alba delle comunicazioni via "Internet", quando al CERN ancora si favoleggiava di questo nuovo modo di scambiare informazioni fra le diverse Università, e il mondo online era costituito da pochi eletti (e sostanzialmente non aggressivi l'uno verso l'altro), non ci si preoccupava affatto degli eventuali problemi di sicurezza intrinsecamente connessi ai vari protocolli che si andavano sviluppando.
Per citarne alcuni, fra i più diffusi e (allora) utilizzati: telnet, per la connessione a un sistema remoto; ftp, per l'invio o ricezione di "dati" (principalmente files con i risultati delle ricerche); e più tardi dns, per una comoda risoluzione nomi-indirizziIP.
(v. rif. in fondo all'articolo)
Per citarne alcuni, fra i più diffusi e (allora) utilizzati: telnet, per la connessione a un sistema remoto; ftp, per l'invio o ricezione di "dati" (principalmente files con i risultati delle ricerche); e più tardi dns, per una comoda risoluzione nomi-indirizziIP.
(v. rif. in fondo all'articolo)
domenica 19 dicembre 2010
Di Albi, Certificazioni e Professioni
Recentemente mi sono trovato a riflettere su una semplice verità: in Italia non esiste un Albo né un Ordine degli specialisti informatici. Tantomeno ne esiste uno degli specialisti di IT Security. Esistono invece varie "certificazioni", una specie di "bollini blu" che vengono attribuiti a chi supera certi esami organizzati da enti privati (alcuni di essi senza scopo di lucro).
Sappiamo tutti che per superare questi esami a volte (spesso?) non è sufficiente studiare la "materia" (anche se si è ottimi praticanti), ma conviene frequentare appositi corsi o seminari, per imparare a superare i "trucchetti" con cui a volte vengono poste le domande e riuscire a capire che cosa è davvero importante sapere (per superare l'esame di certificazione, non per saper fare "bene" un certo mestiere).
Insomma: poiché non esiste un Ordine degli informatici né degli Specialisti in IT Security, chiunque può spacciarsi per "Professionista" in questi campi, senza incorrere nell'illecito previsto dall'art. 348 c.p. Al tempo stesso, le diverse Certificazioni cui si accennava (e che volutamente non cito) dovrebbero riuscire a selezionare la qualità del lavoro svolgibile da questi Professionisti. D'altra parte, non mi sembra che esista una Certificazione "definitiva", che sia onnicomprensiva o di livello superiore rispetto alle altre, quindi, volendo qualificarsi, sembrerebbe di dover conseguire tutte le Certificazioni pertinenti un determinato ambito.
Una situazione leggermente grottesca, non vi pare? :-)
Un consiglio? Studiate, e se possibile praticate la Professione IT Security affiancando qualcuno più bravo ed esperto, e infine (se avete tempo, voglia e budget) cercate di conseguire qualche Certificazione. Quali? Quelle che vi stanno maggiormente "simpatiche", professionalmente parlando. Il resto va da sé.
Sappiamo tutti che per superare questi esami a volte (spesso?) non è sufficiente studiare la "materia" (anche se si è ottimi praticanti), ma conviene frequentare appositi corsi o seminari, per imparare a superare i "trucchetti" con cui a volte vengono poste le domande e riuscire a capire che cosa è davvero importante sapere (per superare l'esame di certificazione, non per saper fare "bene" un certo mestiere).
Insomma: poiché non esiste un Ordine degli informatici né degli Specialisti in IT Security, chiunque può spacciarsi per "Professionista" in questi campi, senza incorrere nell'illecito previsto dall'art. 348 c.p. Al tempo stesso, le diverse Certificazioni cui si accennava (e che volutamente non cito) dovrebbero riuscire a selezionare la qualità del lavoro svolgibile da questi Professionisti. D'altra parte, non mi sembra che esista una Certificazione "definitiva", che sia onnicomprensiva o di livello superiore rispetto alle altre, quindi, volendo qualificarsi, sembrerebbe di dover conseguire tutte le Certificazioni pertinenti un determinato ambito.
Una situazione leggermente grottesca, non vi pare? :-)
Un consiglio? Studiate, e se possibile praticate la Professione IT Security affiancando qualcuno più bravo ed esperto, e infine (se avete tempo, voglia e budget) cercate di conseguire qualche Certificazione. Quali? Quelle che vi stanno maggiormente "simpatiche", professionalmente parlando. Il resto va da sé.
giovedì 16 dicembre 2010
Vulnerability Assessment
Si parla tanto e a sproposito di Penetration Test. Dal punto di vista della sicurezza IT, organizzata e non caciarona, condotta in modo "scientifico" e non occasionale, molto prima della "simulazione di attacco" (Penetration Test) vengono altre fasi, tutte molto importanti per arrivare ad una soluzione che "funzioni" quando serve.
Una di queste fasi (non certo la prima) si chiama Vulnerability Assessment (VA), ovvero scoprire e catalogare i punti deboli dell'infrastruttura IT sotto analisi (sia essa la rete, le applicazioni o altro). Spesso le operazioni di VA sulla rete e sulle applicazioni non sono facilmente scindibili, in quanto un'applicazione "in rete" si basa, appunto, sui meccanismi propri del funzionamento di una rete IP e dei suoi legami con Internet.
Per quanto riguarda un approccio metodologico, personalmente mi piace OSSTMM (ora disponibile la V.3). Per una linea guida circa i "tools" per VA soprattutto applicativo, consiglio "OWASP live CD" (vedi tutorial). Un'altra copiosa sorgente di "tools", più orientata a OS e Networking, è la distribuzione "BackTrack Linux" (più di 300 tools in totale).
Proprio da OWASP Live CD prendo una lista di "tools" tutti abbastanza interessanti (sul sito OWASP sono disponibili i link ai siti web originali di ogni tool):
1 OWASP WebScarab
2 OWASP WebGoat
3 OWASP CAL9000
4 OWASP JBroFuzz
5 Paros Proxy
6 nmap & Zenmap
7 Wireshark
8 tcpdump
9 Firefox 3
10 Burp Suite
11 Grenedel-Scan
12 OWASP DirBuster
13 OWASP SQLiX
14 OWASP WSFuzzer
15 Metasploit 3
16 w3af & GTK GUI for w3af
17 Netcats collection
18 OWASP Wapiti
19 Nikto
20 Fierce Domain Scaner
21 Maltego CE
22 Httprint
23 SQLBrute
24 Spike Proxy
25 Rat Proxy
26 Webshag
Buona lettura.
Una di queste fasi (non certo la prima) si chiama Vulnerability Assessment (VA), ovvero scoprire e catalogare i punti deboli dell'infrastruttura IT sotto analisi (sia essa la rete, le applicazioni o altro). Spesso le operazioni di VA sulla rete e sulle applicazioni non sono facilmente scindibili, in quanto un'applicazione "in rete" si basa, appunto, sui meccanismi propri del funzionamento di una rete IP e dei suoi legami con Internet.
Per quanto riguarda un approccio metodologico, personalmente mi piace OSSTMM (ora disponibile la V.3). Per una linea guida circa i "tools" per VA soprattutto applicativo, consiglio "OWASP live CD" (vedi tutorial). Un'altra copiosa sorgente di "tools", più orientata a OS e Networking, è la distribuzione "BackTrack Linux" (più di 300 tools in totale).
Proprio da OWASP Live CD prendo una lista di "tools" tutti abbastanza interessanti (sul sito OWASP sono disponibili i link ai siti web originali di ogni tool):
1 OWASP WebScarab
2 OWASP WebGoat
3 OWASP CAL9000
4 OWASP JBroFuzz
5 Paros Proxy
6 nmap & Zenmap
7 Wireshark
8 tcpdump
9 Firefox 3
10 Burp Suite
11 Grenedel-Scan
12 OWASP DirBuster
13 OWASP SQLiX
14 OWASP WSFuzzer
15 Metasploit 3
16 w3af & GTK GUI for w3af
17 Netcats collection
18 OWASP Wapiti
19 Nikto
20 Fierce Domain Scaner
21 Maltego CE
22 Httprint
23 SQLBrute
24 Spike Proxy
25 Rat Proxy
26 Webshag
Un consiglio: non eseguite VA (né altre operazioni online) verso destinatari che non abbiano dato il loro assenso scritto per tali operazioni (e anche in questo caso, non si è del tutto incolpevoli...). Per esercitarsi è sufficiente una piccola LAN domestica, sconnessa da altre reti e da Internet.
Buona lettura.
martedì 7 dicembre 2010
Security vs. Obscurity
Quando si tratta di IT Security, spesso si sottintende un aspetto: non tutte le informazioni (per es. sulla topologia della rete interna, sul tipo, quantità e localizzazione dei vari dispositivi di sicurezza) vengono rese note. Di norma, neanche agli utenti interni, talvolta nemmeno ai sistemisti che non siano incaricati della gestione della sicurezza IT.
Questi comportamenti fanno parte del "lato oscuro" nella gestione della Sicurezza IT. Certamente, tenere nascosti o comunque non divulgare questi dettagli aiuta gli addetti alla IT-SEC a sentirsi più protetti. In realtà, più si utilizzano tecniche di "obscurity" e maggiormente si mettono alla prova gli skill degli eventuali "nemici" nel campo del "discovery" (della reale configurazione di sicurezza).
Possiamo dire, usando un'immagine colorita, che la "Security by Obscurity" tiene alla larga i "ladri di polli", ma difficilmente spaventa gli "Arsenio Lupin", cioè i professionisti ben attrezzati. Una delle conseguenze di questa semplice osservazione è che le nostre infrastrutture IT saranno violate più raramente, ma quando ciò avverrà saremo quasi certi di avere di fronte "nemici" molto preparati tecnicamente (e anche organizzativamente).
Idealmente parlando, si potrebbero pubblicare i dettagli relativi agli accorgimenti di sicurezza attivi e passivi utilizzati (firewall, IDS/IPS, proxy, DMZ, sezionamenti di rete, e chi più ne sa più ne metta), e magari anche le relative configurazioni (non le credenziali di accesso!), senza compromettere di molto la sicurezza generale delle infrastrutture IT.
Stando alle statistiche, fanno più male alla sicurezza IT quegli utenti che con la loro workstation visitano siti di dubbia natura (che spesso ospitano fantastici "cavalli di troia" perfettamente invisibili), oppure quei sistemisti che configurano credenziali di accesso "deboli" su sistemi critici (es.: password "di fabbrica" sugli apparati di rete, accesso wireless non opportunamente protetto), rispetto a uno schema di rete interna caduto in mani "nemiche".
Anche le varie tecniche per evitare di diffondere "troppe" informazioni (per esempio) sulla versione del Web Server o del CMS utilizzato sono ben poca cosa di fronte a Browser non aggiornati e pieni di "bugs" che spifferano in Internet molteplici appetibili informazioni della loro stessa esistenza.
Ovviamente, sono partito da un discorso estremo per arrivare ad affermare un concetto: la Sicurezza IT non può basarsi soltanto sulla mancanza di informazione. Anzi, non può basarsi affatto sulla mancanza di informazione. La riservatezza, se così vogliamo chiamarla, dovrebbe solo andare a completare tutte quelle misure (policy, adozione di strumenti tecnici efficaci, auditing interno e "indipendente", revisioni e controlli ripetuti e periodici, allarmi e risorse atte a gestire le emergenze, "incident response & mitigation") che si trovano alla base della Sicurezza di ogni Sistema complesso.
Questi comportamenti fanno parte del "lato oscuro" nella gestione della Sicurezza IT. Certamente, tenere nascosti o comunque non divulgare questi dettagli aiuta gli addetti alla IT-SEC a sentirsi più protetti. In realtà, più si utilizzano tecniche di "obscurity" e maggiormente si mettono alla prova gli skill degli eventuali "nemici" nel campo del "discovery" (della reale configurazione di sicurezza).
Possiamo dire, usando un'immagine colorita, che la "Security by Obscurity" tiene alla larga i "ladri di polli", ma difficilmente spaventa gli "Arsenio Lupin", cioè i professionisti ben attrezzati. Una delle conseguenze di questa semplice osservazione è che le nostre infrastrutture IT saranno violate più raramente, ma quando ciò avverrà saremo quasi certi di avere di fronte "nemici" molto preparati tecnicamente (e anche organizzativamente).
Idealmente parlando, si potrebbero pubblicare i dettagli relativi agli accorgimenti di sicurezza attivi e passivi utilizzati (firewall, IDS/IPS, proxy, DMZ, sezionamenti di rete, e chi più ne sa più ne metta), e magari anche le relative configurazioni (non le credenziali di accesso!), senza compromettere di molto la sicurezza generale delle infrastrutture IT.
Stando alle statistiche, fanno più male alla sicurezza IT quegli utenti che con la loro workstation visitano siti di dubbia natura (che spesso ospitano fantastici "cavalli di troia" perfettamente invisibili), oppure quei sistemisti che configurano credenziali di accesso "deboli" su sistemi critici (es.: password "di fabbrica" sugli apparati di rete, accesso wireless non opportunamente protetto), rispetto a uno schema di rete interna caduto in mani "nemiche".
Anche le varie tecniche per evitare di diffondere "troppe" informazioni (per esempio) sulla versione del Web Server o del CMS utilizzato sono ben poca cosa di fronte a Browser non aggiornati e pieni di "bugs" che spifferano in Internet molteplici appetibili informazioni della loro stessa esistenza.
Ovviamente, sono partito da un discorso estremo per arrivare ad affermare un concetto: la Sicurezza IT non può basarsi soltanto sulla mancanza di informazione. Anzi, non può basarsi affatto sulla mancanza di informazione. La riservatezza, se così vogliamo chiamarla, dovrebbe solo andare a completare tutte quelle misure (policy, adozione di strumenti tecnici efficaci, auditing interno e "indipendente", revisioni e controlli ripetuti e periodici, allarmi e risorse atte a gestire le emergenze, "incident response & mitigation") che si trovano alla base della Sicurezza di ogni Sistema complesso.
sabato 4 dicembre 2010
TOR: una divinità nordica?
Questa volta vorrei parlare di TOR "The Onion Router", un componente software che permette di mantenere un certo anonimato nella navigazione Internet. Una pagina esplicativa (in italiano) si trova su Wikipedia.
In pratica, TOR "manipola" (a gentile richiesta!) le connessioni TCP uscenti dal nostro computer, facendogli fare (letteralmente) il giro del mondo fra una vera e propria rete di computer appositamente configurati (i "relay" TOR, appunto).
Come si usa? Esistono diverse distribuzioni "bundled" che rendono particolarmente agevole usare TOR "out of the box", senza nessun particolare sforzo di configurazione. Anzi, la versione minimale non deve nemmeno essere installata: comprende un browser (Mozilla/Firefox con l'opzione TorButton), un proxy locale (Privoxy) e un "centro di controllo" (Vidalia) già pronti all'uso.
C'è da dire subito che l'esperienza di navigazione web con TOR è consigliata a persone pazienti, poiché i tempi di risposta sono da 2 a 5 volte superiori a quelli normali (e anche superiori, a volte): dopo tutto, i dati (richieste e risposte) devono fare il giro del mondo, e periodicamente vengono dirottati su percorsi differenti, proprio per impedire che si possa risalire a chi fa una certa richiesta.
A che serve TOR? Sembrerebbe un giocattolo per maniaci frequentatori di siti "proibiti", ma attenzione: l'anonimato è (quasi) garantito presso il sito di arrivo, non presso le infrastrutture di rete da cui si parte (in altre parole: chi intendesse usare TOR per eludere i controlli aziendali sulla navigazione è avvisato!). Invece, per lo più TOR viene utilizzato quando non ci si vuole "presentare" in chiaro presso uno o più siti web. Un esempio riguarda la "gestione della concorrenza" da parte delle aziende. Un altro importante esempio di utilizzo è la ricezione e trasmissione di informazioni in presenza di forti restrizioni dettate da certi regimi politici.
Insomma, certamente TOR non interessa la stragrande maggioranza dei naviganti Internet, però è sempre bene conoscerne l'esistenza per valutarne l'eventuale utilizzo, in casi particolari.
In pratica, TOR "manipola" (a gentile richiesta!) le connessioni TCP uscenti dal nostro computer, facendogli fare (letteralmente) il giro del mondo fra una vera e propria rete di computer appositamente configurati (i "relay" TOR, appunto).
Come si usa? Esistono diverse distribuzioni "bundled" che rendono particolarmente agevole usare TOR "out of the box", senza nessun particolare sforzo di configurazione. Anzi, la versione minimale non deve nemmeno essere installata: comprende un browser (Mozilla/Firefox con l'opzione TorButton), un proxy locale (Privoxy) e un "centro di controllo" (Vidalia) già pronti all'uso.
C'è da dire subito che l'esperienza di navigazione web con TOR è consigliata a persone pazienti, poiché i tempi di risposta sono da 2 a 5 volte superiori a quelli normali (e anche superiori, a volte): dopo tutto, i dati (richieste e risposte) devono fare il giro del mondo, e periodicamente vengono dirottati su percorsi differenti, proprio per impedire che si possa risalire a chi fa una certa richiesta.
A che serve TOR? Sembrerebbe un giocattolo per maniaci frequentatori di siti "proibiti", ma attenzione: l'anonimato è (quasi) garantito presso il sito di arrivo, non presso le infrastrutture di rete da cui si parte (in altre parole: chi intendesse usare TOR per eludere i controlli aziendali sulla navigazione è avvisato!). Invece, per lo più TOR viene utilizzato quando non ci si vuole "presentare" in chiaro presso uno o più siti web. Un esempio riguarda la "gestione della concorrenza" da parte delle aziende. Un altro importante esempio di utilizzo è la ricezione e trasmissione di informazioni in presenza di forti restrizioni dettate da certi regimi politici.
Insomma, certamente TOR non interessa la stragrande maggioranza dei naviganti Internet, però è sempre bene conoscerne l'esistenza per valutarne l'eventuale utilizzo, in casi particolari.
Iscriviti a:
Post (Atom)