SSL בישראל – אתרים שלא תיקנו פגיעויות

כחלק מפרויקט SSL in Israel שלי, להלן האתרים שעדיין, נכון לתאריך העדכון של כל רשומה רלוונטית, מכילים פגיעות על פי דו"ח SSL Labs, למרות שבעלי האתר קיבלו הודעה על הפגיעות ו-30 ימים קלנדרים לתיקון, אך ימים אלו חלפו והפגיעות נשארה.
כל שורה בטבלה שלהלן מכילה פגיעות אחת בלבד, כך שיכול להיות שלאתר מסוים יהיו יותר משורה אחת במידה ויש לו יותר מפגיעות אחת.
כמו כן ייתכן והאתרים שמופיעים כאן עדיין לא פורסמו בגרסה האחרונה של קובץ האקסל הכללי של הפרויקט, אך זה לא ממש רלוונטי כי בעלי האתרים בכל מקרה קיבלו הודעה על כל פגיעות ואת 30 הימים לתיקון.
(בחרתי בכוונה להשאיר את הטבלה בגודל המקורי שלה, כך שהיא חורגת מרוחב עמוד הבלוג, בכדי לאפשר לכם לראות את הטבלה בשלמותה, אם כי ייתכן ותצטרכו לבצע "הרחקה/Zoom Out" של תצוגת העמוד על ידי הדפדפן שלכם. אחרת, אם הייתי מאלץ את הטבלה לרוחב העמוד, הייתם רואים בכל פעם רק חלק מהטבלה והייתם צריכים לגלול לצדדים כל הזמן, מצב שנראה לי פחות יעיל)

נכון לפרסום בתאריך 14 ליולי 2017, אלו הגופים שעדיין יש להם פגיעויות:
בנק דיסקונט – בנק
דואר ישראל (בנק הדואר) – דואר ובנק
CreditGuard – סליקת כרטיסי אשראי
Tranzila – סליקת כרטיסי אשראי

עדכונים:
22/7/17 – השרת host.creditguard.co.il הוסר מהטבלה מאחר ורשומת ה-DNS שלו נמחקה ולכן האתר לא נגיש כעת ׁׁ(לכל הפחות על בסיס שם דומיין)

11/8/17 – השרת bank.postil.com הוסר מהטבלה מאחר ואינו עונה בגישת HTTPS, כלומר לא עונה לפורט 443 TCP

 

 

Record update dateLast Date to fixDate of disclosureReport LinkThe issueSite Essence (Assumed)NameSiteOrdinal Number
14/07/201718/05/201718/04/2017https://www.ssllabs.com/ssltest/analyze.html?d=swd.discountbank.co.il&hideResults=onVulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107)Secure file transfer system by WatchDox (now Blackberry)Discount Bankhttps://swd.discountbank.co.il1
14/07/201725/05/201725/04/2017https://www.ssllabs.com/ssltest/analyze.html?d=tashlumim.bankhadoar.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)SSL VPNBank Hadoarhttps://tashlumim.bankhadoar.co.il2
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgmpi.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)"CreditGuard Redirect Integration System (UAT)"CreditGuardhttps://cgmpi.creditguard.co.il4
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgfraudguard.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)CreditGuard FraudGuardCreditGuardhttps://cgfraudguard.creditguard.co.il5
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgfraudguard.creditguard.co.il&hideResults=onVulnerable to MITM attacks because it supports insecure renegotiationCreditGuard FraudGuardCreditGuardhttps://cgfraudguard.creditguard.co.il6
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgpay3.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)UnknownCreditGuardhttps://cgpay3.creditguard.co.il8
14/07/201705/07/201705/06/2017https://www.ssllabs.com/ssltest/analyze.html?d=secure.tranzila.com&hideResults=onVulnerable to the POODLE attack (SSLv3)UnknownTranzilahttps://secure.tranzila.com9
14/07/201705/07/201705/06/2017https://www.ssllabs.com/ssltest/analyze.html?d=secure.tranzila.com&hideResults=onOpenSSL CCS vulnerability (CVE-2014-0224)UnknownTranzilahttps://secure.tranzila.com10

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

Share via emailShare on Tumblr Share

SSL בישראל – גרסה 2

אז הנה הגענו לגרסה 2 של "SSL בישראל" (תזכורת, הקובץ).

לצערי אני עדיין רק במגזר הפיננסי הפרטי, כך שהמידע רלוונטי רק לגביו, אם כי מצד שני זה אמור להיות מגזר מוביל בתחום אבטחת המידע, כך שזה סוג של ייצוג לא רע של המצב הלא-טוב.

מה השתנה בגרסה הזו של הקובץ:

  1. מספר הרשומות עלה מ-35 ל-203
  2. הוספתי טור של "מספר סידורי", כך שלכל רשומה יהיה מספר מזהה ייחודי לאורך כל חיי הרשומה
  3. הוספתי טור של Sector, בכדי לסייע במיון וסינון על פי שיוך כללי של האתר – למשל, ציבורי, ממשלתי ופרטי
  4. הוספתי 3 טורים שנוגעים לתעודה הדיגיטלית של האתר – האם יש התאמה בין התעודה לשם הדומיין של האתר, האם התעודה בתוקף מבחינת תאריך-זמן והאם נעשה שימוש ב-SHA1 לחתימת מי מהתעודות בשרשרת החיתום של התעודה
  5. הוספתי טור המעיד האם נעשה שימוש ב-Cipherים חלשים/ישנים
  6. הוספתי טור בשם ?Other Known Vulnerability by the report  אשר נועד ליידע אודות פגיעויות שונות שנמצאו בדו"ח הבדיקה או מעבר לכך (כגון שהתוכן של שורש האתר הוא עמוד הזדהות לכניסה אל ניהול המערכת שבאתר)
  7. הורדתי את הטור של HSTS, החלטתי שזה פרמטר לא מספיק חשוב
  8. הוספתי גיליון בשם Disclosures שבו אני מנהל את הדיווחים לבעלי האתרים על פגיעויות שנמצאו באתר על פי הדו"ח. שימו לב – Vulnerabilities, לא סתם ציון נמוך (כאלה, ברוך השם, לא חסרים…)
  9. הוספתי גיליון בשם Security Contacts, אשר מפרט כיצד ואל מי יש/ניתן לדווח על פגיעויות במערכת/אתר של הארגון שהוא בעל האתר
  10. הוספתי גיליון בשם Matrix – Archive אשר אליו אני מעביר אתרים שהפסיקו להיות רלוונטיים לבדיקה – כגון אתרים שכבר אין להם יותר רשומת DNS או שגישת ה-HTTPS אליהם נסגרה
  11. הוספתי גיליון בשם Stats – Grades המכיל טבלת סטטיסטיקות על הציונים שבטבלה הראשית
  12. הוספתי גיליון בשם Pivot Chart – Grades, שהוא טבלת ציר דינמית שמתבססת על הגיליון שמוזכר בסעיף הקודם לעיל
  13. הוספתי גיליון בשם Stats – Protocols – Singles, שהוא טבלה המפרטת את התפלגות השימוש בכל מופע ייחודי של פרוטוקול הצפנה, למשל SSL, גרסה 2, פעיל/לא-פעיל או TLS, גרסה 1.1, פעיל/לא-פעיל
  14. הוספתי גיליון בשם Pivot – Protocols – Singles, שהוא טבלת ציר דינמית שמתבססת על הגיליון שמוזכר בסעיף הקודם לעיל
  15. הוספתי גיליון בשם Stats – Protocols-Combinations, שכולל טבלה ותרשים של התפלגות קבוצות הפרוטוקולים אשר מהוות הטמעה מלאה של SSL באתר, כגון SSL מגרסאות 2 ו-3 לא פעילים וכל הגרסאות של TLS כן פעילות

 

מספר תובנות מהתהליך:

תובנות טכניות:

  1. הציונים שמבחינתי מספקים, כלומר A או +A מהווים ביחד רק 18% מכלל האתרים (16% ו-2% בהתאמה), שזה כמובן מצב לא טוב כי 82% הם בעלי ציון פחות מהרצוי
  2. רוב האתרים בעלי ציון פחות מרצוי קיבלו ציון C ‏(29%)
  3. עדיין יש אתרים שמפעילים SSL מגרסה 3, 6 כאלו, 1% מהאתרים שנבדקו
  4. בצד החיובי לא נמצא שימוש ב-SSL מגרסה 2…
  5. TLS מגרסה 1.0 הוא הפופולרי ביותר מבין הגרסאות של TLS ויש לא מעטים שמסתפקים רק בגרסה זו מתוך שלושת הגרסאות של TLS
  6. שני שלישים מהאתרים (66.33%, 130 אתרים) משתמשים בצירוף הקלאסי של בלי SSL בכלל וכל שלושת הגרסאות של TLS
  7. הקבוצה הבאה היא במרחק רב, רק 18.37% – 36 אתרים, והיא מפעילה אך ורק TLS מגרסה 1.0, בלי שום TLS אחר ובלי SSL כלשהו. למה? אני משער שזה הגדרות ברירת מחדל של מערכות כלשהן, שאיש לא טרח לבדוק ולתקן
  8. את המקום השלישי, 5.61% – 11 אתרים, חולקות שתי קבוצות: באחת מופעלים רק TLS מגרסה 1.0 ו-1.1. וזהו. ובשניה רק TLS מגרסאות 1.0 ו-1.2. למה? לאלוהי ההצפנה פתרונים. זה מצב שמצביע כנראה על חוסר מחשבה במימוש ההצפנה של האתרים האלו

תובנות תפעוליות/אישיות:

  • ככל שאני מתקדם בפרויקט הזה אני מבין כמה טוב שאני עושה אותו. כמה שהמצב בשטח לא משהו בכלל וצריך להאיר אותו
  • תהליך הדיווח לארגונים על פגיעויות באתרים שלהם… <אנחה קורעת לב כאן> כמה שהבנקים מפחדים ממידע שלילי אודותיהם. היו לי שתי שיחות טלפון עם איומים מרומזים יותר או פחות. אחת מקולגה שעובד/ת עם הבנקים ורמז/ה לי בעדינות תקיפה שלא עושים דברים כאלו ואי-אפשר לדעת מה יהיו התוצאות של התהליך והוא/היא לא רוצה שאני אפגע מכך וכן הלאה… השיחה הפחות נחמדה היתה עם CISO של בנק ששלחתי לו מידע על בעיה חמורה של חשיפה לאינטרנט, בעיה שהם פתרו מאוד מהר, ואני רק רציתי לוודא שהם בכלל קיבלו את המסר שלי על החשיפה ולכן השגתי את הטלפון שלו והתקשרתי אליו. הוא כבר חצי איים עלי שלא לחשוף את שם הבנק ואת מה שמצאתי, אפילו שהפרצה הזו כבר נחסמה על ידם. כמובן שזה פורסם בגרסה הנ"ל של הקובץ.
  • למעט CISO אחד, של חברת כרטיסי אשראי, אף אדם או גורם לא אישר ביוזמתו שהוא קיבל את הדיווח וכמובן – אף אדם או גורם לא אמרו תודה על הדיווח. אותו CISO אף עודד אותי לשלוח אליו עוד ממצאים במידה ואמצא. צדיק יחיד בסדום.
  • בעיה אחרת היא היעדר תהליך ייעודי ומסודר מול העולם לקבלת דיווחים אודות בעיות אבטחת מידע על ידי הארגונים שמולם עבדתי. במקסימום יש הפניה לתמיכה הטכנית או שירות הלקוחות, ברוב המקרים בטופס באינטרנט ובחלקן בכתובת מייל, ולעתים גם זה לא. בלא מעט מקרים הייתי צריך לפנות לקולגות ולבקש דרכי קשר אל האנשים הרלוונטיים בארגונים.
    אלוהים, זה לא שביקשתי איזה Bug Bounty עם תשלום, רק עמוד אינטרנט בסגנון "אם מצאת בעית אבטחת מידע – זו המדיניות שלנו להלן, אלו דרכי הפניה אלינו (טלפון, מייל, טופס HTTPS), נשמח לשמוע ממך בהקדם האפשרי, אפשר גם באנונימיות, והיי – הנה גם התעודה הדיגיטלית שלנו, למקרה שתרצה להצפין את המייל שתשלח אלינו, נשמח אם תעשה זאת)", ולאחר מכן שיקיימו תהליך שירות לקוחות מלא של מייל חוזר אוטומטי של "תודה, קיבלנו, הנה מספר הפניה שלך לצורך מעקב. נשוב אליך בתוך X ימי עסקים/קלנדרים" (לדעתי אין כזה דבר ימי עסקים באבט"מ, התוקפים לא עובדים ככה…), ולאחר מכן לשמור על קשר עם המדווח עד לסיום הטיפול

באמת – תבדקו את עצמכם בעצמכם, תתקפו את עצמכם בעצמכם, לפני שמישהו אחר יעשה את זה, וכך תגנו על עצמכם מראש. עדיפה מניעה על פני תיקון.

(עדכון, 18.6.17 – הכנתי פוסטים גם באנגלית אודות הפרויקט, כולל גרסאות 1 ו-2 של הקובץ עד כה. יש פוסט בבלוג האבט"מ שלי באנגלית, וגם יש פוסט בלינקדאין. אתם מוזמנים להפנות למיקומים הנ"ל דוברי אנגלית רלוונטים לנושא. תודה!)

גרועחלשבסדרטובמצוין (6 הצבעות, ממוצע: 4.33 מתוך 5)
Loading...

SSL בישראל

"SSL בישראל" הוא מיני-פרויקט שהחלטתי עליו לאחר שנמאס לי. נמאס לי לראות חברות וארגונים, כולל מהגדולים והעשירים בישראל, שלא מטמיעים SSL ו-TLS באופן מיטבי, בלשון המעטה, מסיבות שאינן ידועות לי ושאני מקווה שהן טובות (אבל קשה לי להאמין בכך).

(כן, אני יודע שמומלץ כעת שלא להשתמש ב-SSL בכלל אלא ב-TLS, אבל SSL מתחרז טוב עם "ישראל" ורוב האנשים, בייחוד הבלתי-מקצועיים בתחום, מכירים בעיקר את השם הזה – אז נשתמש בשם הזה, כצורך "שיווקי" לטובת הפרויקט הזה)

אני משתמש בתוסף לפיירפוקס בשם Calomel SSL Validation (עמוד התוסף באתר פיירפוקס, אתר התוסף, לצערי לא מצאתי תוסף דומה לכרום), אשר מציג את רמת הטמעת ה-SSL של האתר שבו המשתמש גולש, כולל ציון שהתוסף נותן לאתר. בלא מעט פעמים אני חוטף חום כאשר אני רואה אתרים שמאחסנים ומעבירים לצד הלקוח מידע אישי רגיש – שלא עושים שימוש מיטבי ביכולות ההצפנה שעומדות לרשותנו כיום – כך שבשורה התחתונה אני כלקוח של חלק מהארגונים האלו, מרגיש שמדובר באחת או יותר מהאפשרויות של זלזול, רשלנות, חוסר מקצועיות, קמצנות, פחדנות וכדומה, וחשבתי שהגיע הזמן להציף לציבור את הידיעה מי עושה הצפנה טוב ומי לא, כך שהציבור ידע מי משקיע בהגנה על המידע ומי לא, ואולי, רק אולי, הארגונים שצריכים להשתפר – אכן ישתפרו ברגע שהמידע הזה יהיה פומבי ומרוכז, לבטח בהשוואה לאתרים של חברות/ארגונים אחרים באותו תחום, שעושים עבודה טובה יותר.
אבטחת מידע טובה צריכה להיות נושא שחברות וארגונים צריכים להתגאות בו בפומבי כגורם שהוא לטובת הלקוח ולכן למעשה גם לטובת בעלי האתרים.

אז איך נעשה את זה?

  1. אני אסרוק אתרים ישראלים שונים בעזרת השירות הנפלא SSL Server Test של חברת Qualys SSL Labs, מטעם חברת Qualys. שירות זה מאפשר לכל אחד להריץ סריקה מול אתר בעל שם באינטרנט (כגון www.google.com) (אבל לא כנגד כתובות IP אשר מבוססות על מספרים בלבד), ולקבל דו"ח לגבי מצב הטמעת ה-SSL/TLS של האתר
    – אין לי הגדרה מדויקת למה הכוונה ב"אתרים ישראלים" – הכוונה בגדול היא לאתרים שמשרתים בעיקר ישראלים ו/או בעלי סיומת שקשורה לישראל (כגון il או co.il וכן הלאה), בדגש על כאלו שנוגעים לאנשים רבים ו/או יש להם משמעות מיוחדת
  2. אני אתחזק קובץ Excel (בתבנית XLSX) ובו הממצאים העיקריים של דו"חות הסריקה הנ"ל (אם אין לכם את תוכנת Excel אז יש תוכנה חינמית של מיקרוסופט שתאפשר לכם לצפות בקובץ – Excel Viewer)
    – הקובץ יהיה באנגלית – זו שפת התקשוב ולא צריכה להיות בעיה עם זה. לא, אין כוונה לתרגם את הקובץ לעברית בעתיד
    – הקובץ כולל גיליון בשם Matrix שכולל את הטבלה העיקרית של הממצאים ובנוסף גיליון בשם General שכולל הפניות למידע טכני-מקצועי אודות הבדיקה שהאתר של SSL Labs מבצע, כיצד לשפר את רמת ההצפנה ומידע כללי אודות הצפנות.
    עדכון, 18/3/17: הגיליון General שינה את שמו להיות Guidance ונוסף גיליון חדש, שקיבל את השם General וכולל את גרסת הקובץ ואת תאריך פרסום אותה גרסת הקובץ, כך שנוכל לדעת אם הקובץ השתנה ואולי אף להשוות בין גרסאות, מי שירצה
    – המידע בקובץ לא יכלול את כל השדות אשר קיימים בדו"ח תוצאת הסריקה, אלא רק את השדות שנראים לי חשובים/מרכזיים ו/או כאלו שכללו תוצאות חריגות לרעה לגבי אתרים שונים
  3. הקובץ הזה יועלה, לאחר כל עדכון שלו, לאתר של Google Drive ויהיה נגיש ללא כל צורך בהזדהות (באופן אנונימי) או בחשבון בגוגל, ויהיה ניתן להורדה בתצורתו המקורית
    – מי שיפתח את הקישור כאשר הוא מזוהה עם מול גוגל עם חשבון של גוגל – גם יוכל לצפות באופן מקוון בגרסה של הקובץ כ-Google Sheet, שנראית הרבה יותר טוב בדפדפן
    – הקובץ מותר להפצה חופשית
    – הקובץ יכיל תמיד רק את המידע העדכני למועד העדכון, ללא רשומות היסטוריות של מצב האתרים בעבר כי המטרה היא לדחוף קדימה ולא להעמיס את הקובץ בעודף מידע שאינו הכרחי
    – תיתכן חוסר התאמה בין תוצאות הרצת סריקה על ידכם באתר SSL Labs לבין הרשום בקובץ שלי, כי ייתכן שמאז שעדכנתי את הרשומה הרלוונטית בוצעו שינויים, בין אם במערכת הבדיקות של SSL Labs ובין אם באופן הטמעת האבטחה באתר הנבדק
    – הקישור המלא הוא
    https://drive.google.com/open?id=0B6EGT8h1mYlbWEd5Z285QWdIakE
    – יש גם קישור מקוצר של https://tinyurl.com/SSL-In-Israel
  4. אני מקווה גם מדי פעם להעלות לכאן פוסטים של עדכונים ותובנות מתוך הקובץ הזה

מדי פעם אולי גם אעשה בדיקות עצמאיות משלי בכדי לוודא שמפעילי האתר לא עשו מניפולציות שנועדו לוודא שהבדיקה של SSL Labs תדווח על מצב תקין בעוד שעבור אחרים המצב פחות טוב… אם אתם נתקלים במצב כזה – אתם יותר ממוזמנים לדווח לי על כך

בנוסף לאתר הבדיקות של SSL Labs יש עוד מספר אתרים שעושים בדיקות דומות, ונאלצתי להשתמש באחד מהם במקרה של אתר אחד (של כ.א.ל.) שלא היה ניתן לסרוק אותו על ידי SSL Labs. אתרים אלו ישמשו אותי במקרה ומסיבות שונות לא ניתן יהיה להשתמש באתר של SSL Labs. האתרים הם:
SSL Server Security Test של חברת High-Tech Bridge
TLS & SSL Checker באתר Online Domain Tools (אשר מאפשר גם לבחור יעד שהוא כתובת IP מספרית וגם לבחור מספר פורט שאינו בהכרח 443 אשר מקובל לשימוש עבור HTTPS)
COMODO SSL Analyzer של חברת Comodo (אשר מאפשר גם לבחור יעד שהוא כתובת IP מספרית)

כרגע, בתור התחלה התחלתי עם האתרים המרכזיים של הבנקים וחברות האשראי בישראל. תוכלו לראות שמשום מה, דווקא בעיקר הבנקים הקטנים עושים עבודה טובה ואילו הבנקים הגדולים ושלושת חברות האשראי – פחות… מעניין למה…

מספר תובנות ראשוניות וכלליות מתוך הממצאים של הגרסה הראשונה של הקובץ (נבדקו 35 אתרים):
– בצד החיובי לא נמצא אף אתר שעדיין עושה שימוש ב-SSL מגרסה כלשהי
השאר פחות חיובי…
– 22 אתרים (62%!) כלל לא עושים שימוש באפשרות של Forward secrecy (להלן FS), אשר מעלה באופן דרמטי את רמת ההצפנה, והרי מדובר רק בהפעלת Ciphers מתאימים והצבתם בראש רשימת פרוטוקולי ההצפנה של השרת (אם כי ייתכנו השלכות על ביצועי העיבוד של השרת)
– 8 אתרים (22%) בכלל לא תומכים בגרסה העדכנית ביותר של TLS, גרסה 1.2. למה? לא ברור
– 7 אתרים (20%) בכלל לא תומכים בגרסה 1.1 של TLS. למה? לא ברור. 6 מתוכם גם לא תומכים בגרסה 1.2, כלומר בעצם הסתפקו רק בגרסה 1.0 של TLS…
– 3 אתרים (8%) פגיעים להתקפת POODLE ב-TLS
– 8 אתרים (22%) עדיין משתמשים ב-Ciphers של RC4
– יש אתרים בודדים שתומכים רק ב-Cipher אחד. יחיד ובודד. מדהים.
– יש מספר אתרים שמפעילים רק מספר Ciphers בודדים. גם מדהים.
– 26 אתרים (74%) בכלל לא משתמשים ב-Response Header של HSTS אשר בעזרתו השרת מורה לדפדפן להתחבר אליו אך ורק בקישור מוצפן על בסיס HTTPS

בראיה כללית – התפלגות הציונים המסכמים לאתרים היא כדלהלן:
+A‎‏ – ‏2 אתרים (5%)
A‎‏ – ‏2 אתרים (5%)
-A‎‏ – ‏5 אתרים (14%)
B – ‏5 אתרים (14%)
C‏ – ‏18 אתרים (51%!)
F‏ – ‏3 אתרים (8%)
(סכום חיבור האחוזים מביא לסכום של 97% בשל עיגול חישובי האחוזים כלפי מטה לאחוז השלם הקרוב)

אשמח אם תפיצו את הידיעה אודות קיום הפרויקט הזה והקובץ הזה, בייחוד למי שלדעתכם יכולים להניע לשיפור המצב – אני מקווה שביחד נוכל לשפר את המצב.

אם תרצו ליצור עמי קשר בנוגע לפרויקט הזה – אפשר לעשות זאת דרך הטופס המתאים באתר זה

שיהיה לנו בהצלחה!

עדכונים:
18/3/17 – הוספתי עמוד פייסבוק לפרויקט, משם גם ניתן יהיה להתעדכן
18/6/17 – הכנתי פוסטים גם באנגלית אודות הפרויקט, כולל גרסאות 1 ו-2 של הקובץ עד כה. יש פוסט בבלוג האבט"מ שלי באנגלית, וגם יש פוסט בלינקדאין. אתם מוזמנים להפנות למיקומים הנ"ל דוברי אנגלית רלוונטים לנושא. תודה!

 

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

Share via emailShare on Tumblr Share