גירסת הדפסה        
   
קבוצות דיון סקופים נושא #638760 מנהל    סגן המנהל    מפקח   עיתונאי מקוון    צל"ש  
אשכול מספר 638760        
miklo
חבר מתאריך 2.4.12
1965 הודעות
יום רביעי ט' בתמוז תש''פ    21:26   01.07.20   
כרטיס אישי עבור לצ'אט  

למפתחים: כיצד להתנהל במהלך מתקפת סייבר; ואיך לחזור לפעילות לאחר ההתקפה  

 
  
ערכתי לאחרונה בתאריך 01.07.20 בשעה 21:39 בברכה, miklo
 
כיצד תאבטחו את אפליקציות ה-Microservices שלכם?

כיצד ניתן לאבטח את האפליקציות שלנו; למנוע התקפה;
כיצד להתנהל במהלך מתקפת סייבר; ואיך לחזור לפעילות לאחר ההתקפה


כולם יודעים שחשוב לנעול את הדלת לפני שיוצאים מהבית, זאת פעולה אוטומטית שכולנו עושים, אך כשמדובר בלאבטח אפליקציות שפיתחנו, חלק מצוותי הפיתוח חושבים שזה Out Of Scope. הרבה מפתחים ומנהלי פיתוח חושבים שזאת עבודה של מישהו אחר, ומשתדלים להתעלם או לא לגעת בכל מה שקשור לאבטחת מידע בצד אפליקטיבי.

במאמר הזה, אנסה לעשות סדר ולהסביר כיצד ניתן לאבטח את האפליקציות שלנו; למנוע התקפה; כיצד להתנהל במהלך התקפה; ואיך לחזור לפעילות לאחר התקפת סייבר. התהליך הזה מתחלק ל-4 שלבים: מניעה, איתור, תגובה ושחזור.


מניעה
ארגונים שרוצים שהאפליקציות שלהם יהיו מאובטחות משקיעים את רוב המשאבים שלהם במניעה התקפה, ורוכשים כלים ופתרונות במאות אלפי דולרים, שלא תמיד עוזרים. לכן יש מספר דרכים כדי לאבטח את האפליקציה שלנו:

* השתמשו במנגנון לניהול סודות - סודות הם לדוגמא סיסמאות, מפתחות הצפנה, API-keys או כל אמצעי זיהוי אחר שה-Container שלכם זקוק לו כדי להזדהות או ל-microservice אחר. הרבה פעמים סודות נשמרים בקוד (לא טוב!) או בקובצי קונפיגורציה בתוך ה-image container (מאוד לא טוב!). כמו כן, שימו לב שכל תהליך ה-CI/CD שלכם מלא באותן סיסמאות גישה. פתרונות לניהול סודות מתחברים כפלאגין לתוך הפלטפורמה בה אתם משתמשים (k8s, Ansible, Terrafom, Jenkins וכו׳) ומספקים את הסוד המוצפן אך ורק בזמן הצורך ובזמן הגישה. כך, כל הסודות מוגנים היטב ואתם מורידים את הסיכון שמישהו יוכל להשתלט על סיסמה או מפתח כלשהו, אם זה מתוך המערכת או מתוך הקוד. יש מספר חברות שמספקות פתרון כזה עם תמיכה במספר רב של פלטפורמות באמצעות פלאגינים שמתחברים אליהן.


* להשתמש ב-HTTPS
זאת התחלה טובה. בעולם ה-Microservices התקשורת בין הרכיבים ושירותים מתקשרים ב Rest API ועושים שימוש ב Http ברמת ה Transport Layer. בעזרת Https נוכל לדעת עם מי אנחנו מתקשרים והצפנה, ומי שחושש להשתמש בתעודות (Certificates) ולהגדיר תהליכי אוטומציה, הפתרון מהיר וללא עלות שמנפיק גם תעודות וגם עוזר בתהליך האוטומציה. בעזרת Let’s Encrypt תוכלו לבצע זאת בקלות.
הפתרון הזה תקף כמובן לצד שרת ולא לצד ה-Client. אם תרצו לאבטח גם את ה-Client Side, תצטרכו להקים שירות PKI. נכון שבעולם הזה לבצע אוטומציה זה לא פשוט ואף מאתגר מאוד, אך היום יש חברות שיכלו לסייע לכם בתחום. במקום להקים תשתית PKI של מיקרוסופט ואז להסתבך עם סקריפטי, תוכלו בקלות לשמור על התעודות שלכם במקום מאובטח Vault, ולנהל תהליך אוטומטי בקלות וכך תוכלו לדעת עם מי אתם מתקשרים גם בצד ה-Client.


* שימוש בפרוטוקול 2.0 OAuth
לצורך הזדהות (Authentication) – במקום להשתמש בסיסמה, השירות ינפיק לכם Token. השימוש בסיסמה הוא מסוכן ובעזרת ה-Token ניתן לקבל גישה למשאבים הנחוצים.


* השתמשו גם בהצפנת ה-DB שלכם
אל תנסו לכתוב קוד הצפנה, סביר להניח שאין לכם את המשאבים הנחוצים לכתוב הצפנה משלכם וזה לא משתלם. השתמשו בשירותי הצפנה של שירותי הענן. אם אתם לקוחות Azure למשל, יש לכם אפשרות להצפין את ה DB (Encryption at rest). למיטב זכרוני, היום כל DB חדש שאתם מקימים ב-Azure הוא מוצפן כברירת מחדל, אך אם לא, שווה לדאוג לכך שהוא יהיה מוצפן. השתמשו באלגוריתם הצפנה מסוג AES 256, כיום רוב החברות שמספקות שירותי ענן בין עם זה Azure או AWS תומכות ב-AES 256 – לא שמעתי עדיין על האקר שהצליח לפרוץ DB שמוצפן ברמת הצפנה כזאת.


* סרקו את ה-Container Images שלכם
אם אתם מחפשים פתרון קוד פתוח, OpenScap יכול להיות אחת האופציות. אם אתם מחפשים פתרון עם תמיכה ועם יותר אפשרויות Red Hat Quay פתרון מעולה, אך כמובן שהייתי בודק חברות כמו Aqua Security ו-Twistlock הישראליות שמציעות פתרונות סריקה מתקדמים ל-Docker Images


* השתמשו ב-Security Updates
נכון שזה נשמע טריוויאלי, אך אתם תתפלאו כמה ארגונים לא מבצעים עדכונים על בסיס שבועי, חודשי ואז הסיכון עולה בהתאם. דאגו גם לשדרג את הגרסאות של ה-Linux שלכם, Java, PHP וכד’. אם אתם עושים שימוש בגרסאות ישנות, קחו בחשבון שאם אתם צריכים להעביר את האפליקציה ללקוח שלכם והוא מבצע Penetration Testing, אתם תצרכו לבצע את השדרוג בכל מקרה. אם הגרסה של ה-Java או ה-PHP Framework היא ישנה ואתם תתעלמו, בסוף זה יחזור אליכם ותצטרכו להשקיע מספר חודשים כדי לעדכן לגרסה העדכנית וחבל.


* סריקה אפליקטיבית
לחשיפות לסיכון (Vulnerability Assessment) – תוכלו לבצע סריקה באמצעות Nessus לכל השרת או לסריקה אפליקטיבית בלבד. התייחסו לדוח שקיבלתם וטפלו בחשיפות לפי רמת דחיפות. יש עוד מספר רב של כלים, אך Nessus הוא השכיח ביותר בשוק.


* ניטור של כל ה-Microservices
מאחר וכל הרכיבים והשירותים מתקשרים דרך הרשת, נצטרך מערכת ניטור אפליקטיבית ותשתיתית מתאימה, שתוכל לתת לנו תמונת מצב מה קורה עם האפליקציות שלנו וכיצד הן מתקשרות ביניהן. אם נזהה התנהגות חשודה נוכל לפעול באופן מידי. אני ממליץ לכל מי שעובד עם Kubernetes להשתמש בפתרון ניטור מסוג Prometheus. לאוהבי קוד פתוח זה אחלה פתרון ואפשר ליצור מספר Custom Dashboards לפי הצורך.


* שימוש ב-ISTIO
נותן מענה מעולה לניהול, ניטור ואבטחה של התקשורת בין ה-Microservices שלנו. הוא שילוב של מספר פרויקטים מהקוד-פתוח ועובד מעולה עם Openshift, PKS, TKG, K8s. אחד הכלים שאני מאוד אוהב זה Kiali שמאפשר לנו לקבל Service Graphs לרשת ה Mesh.


* שימוש בעקרון Defense-In-Depth
עקרון זה עוזר לנו לחלק את אבטחת המידע לשכבות (Layers) ולוודא שהצלחנו להגן על כל שכבה. אם האקר הצליח למצוא פריצה באפליקציה שלנו, אז השכבה הנוספת תעזור לנו למנוע גישה למקומות נוספים.


איתור
לצערי, מעט מאוד משאבים מושקעים באיתור החשיפות לסיכונים ויותר מכך, חוסר הידע של צוותי הפיתוח ומהנדסי אבטחת המידע בתחום האפליקטיבי והתשתיתי גורם לסיכונים מיותרים. אחת הדוגמאות השכיחות והנפוצות בצוותי פיתוח זה איחסון הלוגים של האפליקציה באותו השרת. אם האקר פרץ לאפליקציה, והלוגים נמצאים על אותו השרת, הוא יכול לבצע שינויים בלוגים, ולא יהיה לכם מידע מהימן ומדויק לגבי ההיסטוריה של האירועים.

* סקירת הלוגים של האפליקציות – ודאו שהלוגים של האפליקציה שלכם מוגנים וכשתרצו לעבור על הלוגים ב-Elastic Search, Kibana, Logstash, הכל יהיה לכם נגיש ותוכלו לראות לפי הלוגים את סטטוס האפליקציה.


* שימוש בכלים חכמים לאיתור ההתקפה או הבעיה – Qualys אחד הכלים הטובים לניהול חשיפות, איתור וזיהוי סיכונים. יותר מכך, הוא גם עוזר לעמוד בתקנות ורגולציות.


* ניטור Containers והקוד שרץ בתוכם – Docker הפך להיות מאוד פופולרי בשנים האחרונות כתשתית להרצת Microservices ולכן אני ממליץ להשתמש ב-Prometheus פתרון קוד-פתוח שיעזור לנו לנטר את Kubernetes ו-Docker. בנוסף, כלי נוסף בקוד-פתוח הוא Grafana, שיוכל לעזור לכם לבנות Dashboards, לראות את המספר ההודעות שיש לכם ב Queue, Web Avg Response Time, בקשות נכנסות ויוצאות, שימוש במשאבי מעבד של השירותים שפתחתם ועוד.


* שימוש ב Web Application Firewall (WAF)
מי שרוצה להשתמש בכלי קוד-פתוח יכול להשתמש ב-ModSecurity במטרה להתגונן מפני מתקפה, לקבל תמונה רחבה מה קורה בתוך ה- HTTPS Traffic של הסביבה שלנו ב-Real-Time, לתת לנו גם Access Control ו-HTTP Traffic Login.


* ניטור סודות בקוד באמצעות כלי סריקה Static Code Analysis
שימצאו לכם את הסיסמאות ומפתחות ההצפנה שנשכחו בתוך הקוד. ישנם מספר כלי OSS וכלים מסחריים לבצע זאת, וכמעט כולם מתממשקים לתהליך ה-CI/CD כך שהם אוטומטיים לחלוטין.


תגובה
זמן התגובה הינו סופר קריטי כאשר אנחנו מגלים שמישהו פרץ לאפליקציה או לשרת שלנו או של הלקוחות שלנו. חשוב מאוד להכין נוהל ברור מי זה שהולך לתקשר ולהודיע ללקוחות שלכם על פגיעה בשירות, איך ולמי לשלוח את המייל. האם צוות ה-InfoSec צריך לשלוח מייל ללקוחות או שזה צריך לצאת ממנהל האבטחה בארגון.

לצערי, יצא לי לתת שירותים למספר לא קטן של חברות ולא כולן מקפידות על נוהל ברור. לרוב מכתבים במייל את מנהל אבטחת המידע או מתקשרים אליו, ורק אז הוא נותן הנחיות כיצד לפעול.


כיצד לפעול:

*הכינו נוהל ברור כיצד פועלים בעת התקפה וכיצד תגיבו. למי פונים ראשון ואיך זה מגיע עד למנכ”ל החברה כי יש השלכות עסקיות והמנכ”ל חייב לדעת

*אל תכחישו ותתעלמו – זהו הדבר הכי גרוע בזמן התקפה. שקפו את המצב למנהלים שלכם, למנהל אבטחת המידע ולא פחות חשוב גם ללקוחות שלכם. זה לא נעים, אך זה עדיף מלהכחיש ולגרום לחברה וללקוחות נזק כלכלי כבד יותר

*תעדו הכל – מיילים, מסמכים, כיצד פעלתם, כתובות IP, שינוי קונפיגורציה ולוגים, כדי לתחקר את האירוע ולהפיק לקחים

*בנו תוכנית פעולה – לכבות את השרתים, לשחזר מגיבוי, לעבור לאתר DR

שחזור
החלק האחרון הוא לשחזר את השרת או האפליקציה. אני מניח שרובנו עושים גיבויים ומאחר ואנחנו מפתחים אפליקציות בארכיטקטורת Microservices, יש לנו הרבה יותר גיבויים לעשות למספר גדול יותר של Datasets. שימוש ב-Velero יוכל לעזור לכם לגבות את האפליקציות שלכם על Kubernetes בצורה מהירה. כמובן שגם Velero הוא פרויקט קוד פתוח מעולה למי שמחפש פתרון קוד פתוח ומי שמחפש פתרון DR יכול להשתמש ב-CloudEndure. החברה נרכשה ע”י אמזון, והיום לכל מי שיש חשבון באמזון אני מאוד ממליץ להשתמש בה להקמת סביבת DR – וניתן גם לשחזר שרת או שירות בודד. מי שרוצה יכול להשתמש גם ב-Zerto שהוא פתרון מעולה וישראלי. אם אתם לקוחות של Azure תוכלו להשתמש ב-ASR על גבי הענן של Azure כדי להתאושש במהירות.


כיצד לפעול:
*מחקו את הסביבה – מאחר ואתם עובדים על תשתית של Kubernetes, תוכלו לבנות את ה-Images מחדש בדקות אחדות. הדבר האחרון שאתם רוצים להמשיך לעבוד על Container שיש בו איזה Rootkit. לא לחשוב פעמיים אלא להוריד את הסביבה ולבנות מחדש

*כבר היום, כשאתם קוראים את הכתבה, תעשו את כל המאמצים לשחזר את הסביבה שלכם בצורה אוטומטית מהשרתים עד בניית האפליקציה. אם אתם בונים את השרתים שלכם בצורה ידנית ואין לכם Pipeline של תהליך CD מלא, יקח לכם המון זמן לשחזר את הסביבה. אם אתם עובדים עם Puppet, Chef, Ansible תוכלו לבנות תהליך כזה בקלות. אני מציע לכל מנהל פיתוח לבנות תהליך CI/CD מלא ללא צורך במגע יד אדם – חוסך במשאבי זמן ועלויות

*תבחנו את הגיבויים – אני מציע שכל מספר חודשים תבדקו האם אפשר לשחזר מאותם גיבויים ותוך כמה זמן לוקח לכם לשחזר, ואם השחזור לא תהליך אוטומטי, אל תחכו


מספר טיפים למנהלי אבטחת המידע:
*אל תסמכו על גיבויים שלא בדקתם את תקינותם

*אין לשמור תעודות על המחשב נייד שלכם או על איזה שרת בארגון שלמספר עובדים יש גישה אליו

*השתמשו ב-HSM

*אל תשמרו Secrets ב-Kubernetes

*אל תשמרו Secrets ב-Jenkins, גם לא בסביבות נמוכות, גם אם זה עוזר לכם בתהליך האוטומציה

CTO, Head of R&D באמדוקס
geektime



Merkava4
https://youtu.be/iFuiF23onLc


              תגובה עם ציטוט   | תגובה מהירה         (ניהול: למבזק)        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד


  האשכול     מחבר     תאריך כתיבה     מספר  
  הכנה למתקפה איראנית... רובוט 01.07.20 21:30 1
     ישראל מקדימה את איראן בכמה דורות winter1 01.07.20 21:37 3
         ישראל מקדימה גם את חמאס רובוט 01.07.20 21:40 5
     אתה חי בסרט אם אתה חושב שזה מחדש להם משהו אפי בפי 01.07.20 22:02 9
  לא הבנתי מי קהל היעד של המאמר, לכל חברה נורמאלית יש ארכיטקט שאחרי אחראי לתכנון האבטחה של ה yevi 01.07.20 21:31 2
     אדוני עבר על הכותרת? miklo 01.07.20 21:42 6
     אתה קצת מערבב מושגים Cyber 01.07.20 21:46 7
         עסק או בית תכנה שלא מביא מומחה בתחום או מתמחה בעצמו מגיע לו להידפק. yevi 01.07.20 22:11 10
             יש כאן כתבה שיכולה לעזור אולי לכמה אנשים Cyber 01.07.20 22:24 11
                 + miklo 01.07.20 22:58 12
  כתבה מצויינת! אך לא שייכת לפורום סקופים. מאמר דעה לכל הפחות היפוקסיה 01.07.20 21:38 4
     שיקול דעת. התקופה מחייבת-אם יעורר אפילו מפתח אחד עם 10K יוזרים, עשינו את שלנו כקהילה. miklo 01.07.20 21:55 8

   
   
רובוט לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 10.4.20
543 הודעות, 3 מדרגים, 6 נקודות.  ראה משוב
יום רביעי ט' בתמוז תש''פ    21:30   01.07.20   
כרטיס אישי עבור לצ'אט  
  1. הכנה למתקפה איראנית...  
בתגובה להודעה מספר 0
 

ועכשיו ילדים נלמד אם האירניים מנתקים לנו את המים איך אנחנו חופרים באר...
שיעור הבא נלמד מה עושים שהם יקחו לנו את החשמל...



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
winter1
חבר מתאריך 19.6.17
22969 הודעות
יום רביעי ט' בתמוז תש''פ    21:37   01.07.20   
כרטיס אישי עבור לצ'אט  
  3. ישראל מקדימה את איראן בכמה דורות  
בתגובה להודעה מספר 1
 
  



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
רובוט לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 10.4.20
543 הודעות, 3 מדרגים, 6 נקודות.  ראה משוב
יום רביעי ט' בתמוז תש''פ    21:40   01.07.20   
כרטיס אישי עבור לצ'אט  
  5. ישראל מקדימה גם את חמאס  
בתגובה להודעה מספר 3
 

בכמה שנות דור... וגם את חיזבאללה.... ובכל זאת נראה לי שהם עושים קצת כאבי ראש...
בכל אופן כתבתי בציניות את התגובה למעלה כי אנשים בזמן האחרון קצת דרוכים ואני שומע כל מיני אנשים שמשערים תגובות אפשריות של האירנים. וכן אני בעד לא להלחץ.



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
אפי בפי לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 16.10.09
6190 הודעות, 99 מדרגים, 190 נקודות.  ראה משוב
יום רביעי ט' בתמוז תש''פ    22:02   01.07.20   
כרטיס אישי עבור לצ'אט  
  9. אתה חי בסרט אם אתה חושב שזה מחדש להם משהו  
בתגובה להודעה מספר 1
 

זה כמו שתגיד 'למה לכתוב לנעול את הדלתות של האוטו, זה יגרום לגנבים לבדוק אם האוטו פתוח לפני שהם מנסים לפרוץ לתוכו'.



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
yevi
חבר מתאריך 13.11.08
67672 הודעות, 389 מדרגים, מינוס 12 נקודות.  ראה משוב
יום רביעי ט' בתמוז תש''פ    21:31   01.07.20   
כרטיס אישי עבור לצ'אט  
  2. לא הבנתי מי קהל היעד של המאמר, לכל חברה נורמאלית יש ארכיטקט שאחרי אחראי לתכנון האבטחה של ה  
בתגובה להודעה מספר 0
 
  


אני מעורר אנטגוניזם? יופי |


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
miklo
חבר מתאריך 2.4.12
1965 הודעות
יום רביעי ט' בתמוז תש''פ    21:42   01.07.20   
כרטיס אישי עבור לצ'אט  
  6. אדוני עבר על הכותרת?  
בתגובה להודעה מספר 2
 
  



Merkava4
https://youtu.be/iFuiF23onLc


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Cyber לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 19.11.14
3258 הודעות, 12 מדרגים, 20 נקודות.  ראה משוב
יום רביעי ט' בתמוז תש''פ    21:46   01.07.20   
כרטיס אישי עבור לצ'אט  
  7. אתה קצת מערבב מושגים  
בתגובה להודעה מספר 2
 
  
ממש לא לכל עסק יש ״ארכיטקט״, המון עסקים מחזיקים אתרי מסחר אוו ליין. כמובן שהכתבה מקיפה נושאים רבים, אבל יש גם חלקים רלוונטים לכל עסק עם פעילות און ליין.
יש גם הרבה שמזלזלים, נתקלתי בהרבה חברות שלא מעדכנות ספריות עם עדכוני אבטחה חשובים.



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
yevi
חבר מתאריך 13.11.08
67672 הודעות, 389 מדרגים, מינוס 12 נקודות.  ראה משוב
יום רביעי ט' בתמוז תש''פ    22:11   01.07.20   
כרטיס אישי עבור לצ'אט  
  10. עסק או בית תכנה שלא מביא מומחה בתחום או מתמחה בעצמו מגיע לו להידפק.  
בתגובה להודעה מספר 7
 
  
כל לקוח עיסקי ידרוש ממנו אבטחה מחמירה של כל האספקטים של המוצר.


אני מעורר אנטגוניזם? יופי |


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Cyber לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 19.11.14
3258 הודעות, 12 מדרגים, 20 נקודות.  ראה משוב
יום רביעי ט' בתמוז תש''פ    22:24   01.07.20   
כרטיס אישי עבור לצ'אט  
  11. יש כאן כתבה שיכולה לעזור אולי לכמה אנשים  
בתגובה להודעה מספר 10
 
  
לא רואה בזה דבר פסול. וכן גם מומחים צריכים תזכורת / רענון.
עסק קטן עם פעילות און ליין לא מעסיק מומחה יקר, רבים פונים לחברות קטנות / fiver וכדומה. לא יזיק שגם בעל העסק יכיר כמה מושגים כלליים בתחום בשביל בטחון העסק שלו.



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
miklo
חבר מתאריך 2.4.12
1965 הודעות
יום רביעי ט' בתמוז תש''פ    22:58   01.07.20   
כרטיס אישי עבור לצ'אט  
  12. +  
בתגובה להודעה מספר 11
 
  



Merkava4
https://youtu.be/iFuiF23onLc


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
היפוקסיה
חבר מתאריך 12.2.17
612 הודעות
יום רביעי ט' בתמוז תש''פ    21:38   01.07.20   
כרטיס אישי עבור לצ'אט  
  4. כתבה מצויינת! אך לא שייכת לפורום סקופים. מאמר דעה לכל הפחות  
בתגובה להודעה מספר 0
 
  



            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
miklo
חבר מתאריך 2.4.12
1965 הודעות
יום רביעי ט' בתמוז תש''פ    21:55   01.07.20   
כרטיס אישי עבור לצ'אט  
  8. שיקול דעת. התקופה מחייבת-אם יעורר אפילו מפתח אחד עם 10K יוזרים, עשינו את שלנו כקהילה.  
בתגובה להודעה מספר 4
 
  



Merkava4
https://youtu.be/iFuiF23onLc


            תגובה עם ציטוט   | תגובה מהירה                                     (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  

תגובה מהירה  למכתב מספר: 
 
      

__________________________________________________________________________
למנהלים:  נעל | נעל אשכול עם סיבה | מחק | העבר לפורום אחר | מזג לאשכול אחר | מחק תגובות | גיבוי אשכול | עגן אשכול
   
   


© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net
חדשות