Tietoturvauutiset ja blogipostaukset

Taitaa olla perus alustan raivausta ja "julkisten" tietojen indeksointia. Muistaakseni tästä oli vastaava case joskus aiemminkin.

Luultavasti tästä aiheutuu jonkinlainen kalasteluviestien hyökkäysaalto.
 
Muutamia linkkejä (DAILY NCSC-FI NEWS FOLLOWUP 2022-10-28):
Päivittyvä lista OpenSSL 3.0.0 - 3.0.6 haavoittuvista laitteista.
Tänään julkaistaan klo. 15-19 Suomen aikaa korjaus 3.0.7. Saa nähdä milloin päivitys on saatavilla esim. Ubuntu 22.04 LTS versioon.
 
Päivittyvä lista OpenSSL 3.0.0 - 3.0.6 haavoittuvista laitteista.
Tänään julkaistaan klo. 15-19 Suomen aikaa korjaus 3.0.7. Saa nähdä milloin päivitys on saatavilla esim. Ubuntu 22.04 LTS versioon.
OpenSSL CVE-2022-3786 ja CVE-2022-3602


 
Viimeksi muokattu:
Eipä se ollutkaan niin iso reikä mitä maalailtiin.

"Actually exploiting this will be really really hard even for very competent exploit writers, and will require a large number of relatively unlikely scenarios to all align for the exploit writer for it to pan out"

 
Tämä ei varmaan tullut kellekään yllätyksenä, mutta TikTokilla on varsin vapaa pääsy myös eurooppalaisten dataan:

The Chinese-owned social video app is updating its privacy policy to confirm that staff in countries, including China, are allowed to access user data to ensure their experience of the platform is "consistent, enjoyable and safe." The other countries where European user data could be accessed by TikTok staff include Brazil, Canada and Israel as well as the US and Singapore, where European user data is stored currently. [...] Data could be used to conduct checks on aspects of the platform, including the performance of its algorithms, which recommend content to users, and detect vexatious automated accounts. TikTok has previously acknowledged that some user data is accessed by employees of the company's parent, ByteDance, in China.
 
Tämä ei varmaan tullut kellekään yllätyksenä, mutta TikTokilla on varsin vapaa pääsy myös eurooppalaisten dataan:

Voipi olla vain että EU sanoo tähän lopulta oman sanansa, GDPR ja tiedonsäilyvyys EU:n sisällä ja sillain, tai jos on rahaa kuin roskaa niin kuukausittain voi tiktok maksaa GDPR mätkyt.
 
Voipi olla vain että EU sanoo tähän lopulta oman sanansa, GDPR ja tiedonsäilyvyys EU:n sisällä ja sillain, tai jos on rahaa kuin roskaa niin kuukausittain voi tiktok maksaa GDPR mätkyt.

Varmasti sanookin. Eri asia kiinnostaako TikTokia. Ainahan he voivat vain sanoa, että homma ok, mutta taustalla se jatkuu kuten ennenkin.
 
Sitten null reititys toktikin palvelimille euroopan laajuisesti niin homma loppuu siihen.
Käytännössä ei.

Aluksi riittää että tiktok vaan vakuuttaa ettei enää tehdä niin. Jos selviä todisteita datan virtaamidesta kiinaan pystytään keräämään luokkaa vuoden ajan tuon jälkeenkin, byrokratian rattaat lähtee pyörimään.

Siellä on ensin virallisia kirjeitä, vuoden oikeudessa väännön jälkeen jotain uhkasakkoja, ja uhkasakon lankeamisen jälkeen sitä koitetaan periä, jonka jälkeen oikeusruljannssi taas alusta jolla se tiktok oikeasti koitetaan piilottaa.

Käytännössähän sitä ei voida estää, mutta sinne tiktokiin pääseminen voidaan tehdä peruskäyttäjälle hankalaksi, joka tietysti tässä tapauksessa riittää.

Käytännössä tietysti koko tiktok voi olla käytännössä kuollut 5 vuoden aikana.
 
Käytännössä ei.

Aluksi riittää että tiktok vaan vakuuttaa ettei enää tehdä niin. Jos selviä todisteita datan virtaamidesta kiinaan pystytään keräämään luokkaa vuoden ajan tuon jälkeenkin, byrokratian rattaat lähtee pyörimään.

Siellä on ensin virallisia kirjeitä, vuoden oikeudessa väännön jälkeen jotain uhkasakkoja, ja uhkasakon lankeamisen jälkeen sitä koitetaan periä, jonka jälkeen oikeusruljannssi taas alusta jolla se tiktok oikeasti koitetaan piilottaa.

Käytännössähän sitä ei voida estää, mutta sinne tiktokiin pääseminen voidaan tehdä peruskäyttäjälle hankalaksi, joka tietysti tässä tapauksessa riittää.

Käytännössä tietysti koko tiktok voi olla käytännössä kuollut 5 vuoden aikana.

No kyllä noita näemmä maaliin asti saadaan ('vastikään' Instagram):

TikTokinkin tutkinta on käynnissä, vaikka siinä toki vielä kestää
 
Tarina sattumalta löytyneestä Googlen Pixel puhelinten lukitusruudun ohituksesta (lock screen bypass). Löytäjä sai monen kuukauden jälkeen $70k palkkion.

Ikävänä yksityiskohtana: joku muu oli aiemmin raportoinut saman bugin, mutta Google ei ollut ryhtynyt toimenpiteisiin.
 
Googlelta on tullut hyvä dokumenttisarja tietoturvasta ja siitä miten Google turvaa omia palveluitaan. Jokainen jakso liittyy yhteen Googlella työskentelevään tiimiin ja samoin noissa käydään isompia keissejä läpi. Vahvat suosittelut.

 
We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information. Our customers’ passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture.
 
Ilmeisesti Androidin certejä vuotanu ja niitä käytetty malwaren allekirjoittamiseen. Jos nyt oikein ymmärsin niin vuotaneilla certeillä allekirjotetut ohjelmat voivat ajaa itseään käyttöjärjestelmän oikeuksin.


Edit: Jos tuosta bugisivulta nyt oikein ymmärtää, on tämä vissiin ollut jo joitakin kuukausia sisäisesti tiedossa ja nyt vasta julkaistu, eli ehkä on korjattukkin jo nykyisistä android versioista, jos vaan päivitykset on ihmisillä ajantasalla.
 
Viimeksi muokattu:
Ilmeisesti Androidin certejä vuotanu ja niitä käytetty malwaren allekirjoittamiseen. Jos nyt oikein ymmärsin niin vuotaneilla certeillä allekirjotetut ohjelmat voivat ajaa itseään käyttöjärjestelmän oikeuksin.
Tämähän kuullostaa ihan siltä millä devaajat voisi tehdä oikeita älypuhelin sovelluksia.


Edit, io-tech oli tehnyt asiasta uutisen jossa kerrottu seikkaperäisemmin mistä kyse

Googlen palveluksessa työskentelevä insinööri Łukasz Siewierski on havainnut joidenkin OEM-valmistajien käyttämien Android-alustan allekirjoitusvarmenteiden vuotaneen vääriin käsiin. Vuoto on mahdollistanut haittaohjelmien allekirjoittamisen OEM-valmistajien varmententeilla, mikä on tehnyt haitallisten sovellusten tunnistamisesta haastavaa. Koska kyseessä on koko Android-alustan allekirjoitusvarmenne, voidaan samalla varmenteella allekirjoitetulle haittaohjelmalle myöntää koko järjestelmätason käyttöoikeudet. Alla on lueteltu vuodetuilla varmenteilla allekirjoitettuja haittaohjelmia mutta periaatteessa vuoto mahdollistaa myös OEM-valmistajien omien sovellusten saastuttamisen. Allekirjoituksen jälkeen sovellus vaikuttaa turvalliselta ja asentuu päivityksenä edellisen version päälle, minkä jälkeen käyttäjän on liki mahdotonta havaita saastunutta sovellusta.
  • com.russian.signato.renewis
  • com.sledsdffsjkh.Search
  • com.android.power
  • com.management.propaganda
  • com.sec.android.musicplayer
  • com.houla.quicken
  • com.attd.da
  • com.arlo.fappx
  • com.metasploit.stage
  • com.vantage.ectronic.cornmuni
Toistaiseksi vuodettuja varmenteita on havaittu muun muassa Samsungilta, LG:ltä ja MediaTekiltä. Google on ollut valmistajiin jo yhteydessä ja pyytänyt heitä uusimaan kyseiset varmenteet. APKMirrorin tietokannan perusteella esimerkiksi Samsung on kuitenkin jatkanut vuodettujen varmenteiden käyttämistä viime päiviin asti. Lisäksi Google kehottaa valmistajia harkitsemaan jatkossa tarkemmin, kuinka usein koko Android-alustan allekirjoitusvarmenteita käytetään yksittäisten sovellusten kohdalla.

Googlen mukaan Play Kaupasta ladatut sovellukset ovat turvallisia mutta OEM-valmistajien tai muiden osapuolten kauppapaikoista ladatut sovellukset saattavat olla saastuneita, sillä varmenteen perusteella sovellukseen ei voida enää luottaa. Esimerkiksi APKMirrror luokittelee sovelluksen turvalliseksi käytetyn allekirjoitusvarmenteen perusteella. Jatkossa käyttäjän tuleekin pitää kaikkia vuodetuilla varmenteilla allekirjoitettuja sovelluksia potentiaalisesti saastuneina.
Screenshot_20221202-132900_Chrome_1.jpg

Lähteet:

No hyvis ilmeisesti joutuu ne certit kaivaan hämäriltä kujilta.
 
Viimeksi muokattu:
Apple parantaa iCloud palvelujensa tietoturvaa. Lähinnä lisää end-to-end salausta iCloudin eri juttuihin.

iCloud already protects 14 sensitive data categories using end-to-end encryption by default, including passwords in iCloud Keychain and Health data. For users who enable Advanced Data Protection, the total number of data categories protected using end-to-end encryption rises to 23, including iCloud Backup, Notes, and Photos. The only major iCloud data categories that are not covered are iCloud Mail, Contacts, and Calendar because of the need to interoperate with the global email, contacts, and calendar systems.

Edit: Päivitetty iCloudin suojaus artikkeli (Standard ja Advanced data protection)
 
Viimeksi muokattu:
Niin monta kertaa kun tässäkin keskustelussa on jauhettu salasanoista, niin nyt ne on vihdoinkin historiaa? Chromeen tuli login manageri, jolla kirjautuminen on helppoa ja turvallista:

Sekä keskustelu aiheesta, joka on pyörinyt jo kolmisen vuotta. Mutta tämän verran se vaati aikaa, että saatiin tuotua suoraan selaimeen nuo ominaisuudet laajasti tuettuna:

Ja vielä Iltasanomissakin:
Chrome-selain aloitti salasanojen hylkäämisen: Tämä tulee tilalle
 
Viimeksi muokattu:
Niin monta kertaa kun tässäkin keskustelussa on jauhettu salasanoista, niin nyt ne on vihdoinkin historiaa?
Mahdollisesti joskus vielä monen monen vuoden päästä. Tämän idea ja kehityssuunta ovat oikeita, mutta niin kauan kuin tuotannossa olevat järjestelmät ja ohjelmistot eivät tue tätä, salasanoista ei olla pääsemässä eroon. Niin ärsyttäviä kuun ne ovatkin.

Microsoftin passwordless-kirjautuminenkaan ei vaikuta aiheutaneen kovinkaan suurta buumia yritysten keskuudessa. Toivotaan parasta ja sitä rataa.
 
Microsoftin passwordless-kirjautuminenkaan ei vaikuta aiheutaneen kovinkaan suurta buumia yritysten keskuudessa. Toivotaan parasta ja sitä rataa.
Microsoftin ongelma on se, että tietoturvalla koetetaan tehdä rahaa. esim. Azure Active Directory Premium P1 / P2 maksavat molemmat, ja ovat vaatimus MFA:lle. Ymmärrän kyllä, että tuotesegmenttejä pitää olla, mutta itse en koskaan rahastaisi asiakkaita tietoturvalla, vaan muilla ominaisuuksilla.
 
Tietoturva on aika iso osa it teollisuutta ja sen rahantekoa.
Juurikin näin. Lisäksi tuotekehitys ja asioiden pyörittäminen uskottavalla tavalla, ei vaan ole ilmaista vaikka miten kääntelisi ja ajattelisi. Ymmärrän että paremmalla tietoturvalla kaikki voittaa pitkässä juoksussa, mutta kultaisen keskitien löytäminen vasta tehtävä onkin. :)
 
I uncovered multiple zero-day vulnerabilities that I was able to use to turn endpoint detection and response (EDR) and antivirus (AV) tools into next-generation wipers with the potential to impact hundreds of millions of endpoints all around the world.

This wiper runs with the permissions of an unprivileged user yet has the ability to wipe almost any file on a system, including system files, and make a computer completely unbootable. It does all that without implementing code that touches the target files, making it fully undetectable.

Picture8.png
 




Picture8.png
Tähän olisi kannattanut loppuun laittaa vielä, että tuo on korjattu jo ainakin kolmen valmistajan osalta...

Three of the vendors also released new versions of their software or patches to address this vulnerability:
  • Microsoft Malware Protection Engine: 1.1.19700.2
  • TrendMicro Apex One: Hotfix 23573 & Patch_b11136
  • Avast & AVG Antivirus: 22.10
 
LastPassin "zero knowledge" on jotain ihan muuta:
 
TikTok on seurannut toimittajien sijaintia:

An internal investigation by ByteDance, the parent company of video-sharing platform TikTok, found that employees tracked multiple journalists covering the company, improperly gaining access to their IP addresses and user data in an attempt to identify whether they had been in the same locales as ByteDance employees.
 
Apple parantaa iCloud palvelujensa tietoturvaa. Lähinnä lisää end-to-end salausta iCloudin eri juttuihin.

iCloud already protects 14 sensitive data categories using end-to-end encryption by default, including passwords in iCloud Keychain and Health data. For users who enable Advanced Data Protection, the total number of data categories protected using end-to-end encryption rises to 23, including iCloud Backup, Notes, and Photos. The only major iCloud data categories that are not covered are iCloud Mail, Contacts, and Calendar because of the need to interoperate with the global email, contacts, and calendar systems.

Edit: Päivitetty iCloudin suojaus artikkeli (Standard ja Advanced data protection)
Tuossa jäi vähemmälle huomiolle tuo, että pystyy estämään selaimella pääsyn iCloud.com datoihin. Advanced Data Protection ei toimi vielä Suomessa, mutta tuo iCloud.com esto toimii.
Kirjautuminen onnistuu selaimella iCloud.com osoitteeseen Face tai Touch ID käyttäen, mutta datoihin ei pääse kiinni ellei luotetulla laitteella sitä salli.
1672236547884.png
Harvoin tullut käytettyä tuota iCloud.com selaimella eli esto meni itsellä päälle.
 
Netgearin reitittimissä korjattu haavoittuvuus.
 
Netgearin reitittimissä korjattu haavoittuvuus.
Oliko tämä nyt se haavoittuvuus joka edellytti että on kirjautunut roottina sisään että sitä pystyi hyödyntämään?
 
Oliko tämä nyt se haavoittuvuus joka edellytti että on kirjautunut roottina sisään että sitä pystyi hyödyntämään?
En tarkemmin tutkinut.
Tuossa on maininta
Attackers can exploit this flaw in low-complexity attacks without requiring permissions or user interaction.
 
Ja vuorostaan Nortonin salasanamanageri murron kohteena:

Our own systems were not compromised. However, we strongly believe that an unauthorized third party knows and has utilized your username and password for your account. This username and password combination may potentially also be known to others.

In accessing your account with your username and password, the unauthorized third party may have viewed your first name, last name, phone number, and mailing address. Our records indicate that you utilize our Norton Password Manager feature and, we cannot rule out that the unauthorized third party also obtained details stored there especially if your Password Manager key is identical or very similar to your Norton account password. If your data has been accessed, the unauthorized third party could make this data available to other unauthorized parties or use the password and email combination to try to access your other online accounts.
 
Niin tai jos luit tuon tiedotteen, salasanamanageria ei ole murrettu, vaan joidenkin käyttäjien Norton-tunnukset ja salasanat ovat joutuneet jakoon jossain muualla. Ilmeisesti vain asianosaiset ovat tuon tiedotteen saaneet.

Luin. Mutta mitä kautta nämä tunnukset vuotivat? Jonkin toisen Nortonin ohjelman, vai mitä kautta kolmannella osapuolella oli pääsy tunnuksiin? Liikaa epäselviä asioita. Myös LastPass jatkaa edelleen radiohiljaisuutta.
 
[
Luin. Mutta mitä kautta nämä tunnukset vuotivat? Jonkin toisen Nortonin ohjelman, vai mitä kautta kolmannella osapuolella oli pääsy tunnuksiin? Liikaa epäselviä asioita. Myös LastPass jatkaa edelleen radiohiljaisuutta.
Voi olla joku phishingjuttu tai vaikka selaimessa haitallinen lisäke tai mitä vaan. En usko että Nortonilla olisi syytä valehdella siitä ettei heidän järjestelmiinsä ole päästy. Valheella on lyhyet jäljet ja tuolla alalla rankat seuraukset.
 
[
Voi olla joku phishingjuttu tai vaikka selaimessa haitallinen lisäke tai mitä vaan. En usko että Nortonilla olisi syytä valehdella siitä ettei heidän järjestelmiinsä ole päästy. Valheella on lyhyet jäljet ja tuolla alalla rankat seuraukset.

Lähinnä toivoisin aivoimempaa selitystä ja yksityiskohtia. Nyt ei ole edes varmaa onko vuoto tapahtunut jonkin toisen Nortonin tuotteen kautta.
 
Lähinnä toivoisin aivoimempaa selitystä ja yksityiskohtia. Nyt ei ole edes varmaa onko vuoto tapahtunut jonkin toisen Nortonin tuotteen kautta.
Sama ajatus tuli täällä, onko kuitenkin jostain Nortonin palvelusta onnistuttu nuuskimaan tunnuksia. Toisaalta, vaikea sanoa mitä "our customers" aina tarkoittaa. Bleeping Computer kirjoittaa että omistaja olisi Gen Digital, aiemmin SymantecCorporation ja NortonLifeLock. Noista jälkimmäinen on kai aiemmin ostanut Avastin ja Aviran. Linkissä on päivitys, jonka mukaan aika iso määrä tilejä hyökkäyksen kohteena.
Gen’s family of brands offers products and services to approximately 500 million users. We have secured 925,000 inactive and active accounts that may have been targeted by credential-stuffing attacks.
 
Sama ajatus tuli täällä, onko kuitenkin jostain Nortonin palvelusta onnistuttu nuuskimaan tunnuksia. Toisaalta, vaikea sanoa mitä "our customers" aina tarkoittaa. Bleeping Computer kirjoittaa että omistaja olisi Gen Digital, aiemmin SymantecCorporation ja NortonLifeLock. Noista jälkimmäinen on kai aiemmin ostanut Avastin ja Aviran. Linkissä on päivitys, jonka mukaan aika iso määrä tilejä hyökkäyksen kohteena.
Norton on näköjään itse sanonut, että kyseessä on credential stuffing -hyökkäys. Eli tuossahan ei Nortonin tunnukset ja salasanat ole vuotaneet minnekään, vaan hyökkääjä on saanut jostain haltuunsa tunnus/salasana-pareja ja on niitä tunkemalla yrittänyt päästä Nortonin palveluun sisälle. Parit voivat olla peräisin mistä hyvänsä muun saitin tietomurrosta, sillä moni käyttäjä käyttää samaa tunnusta ja salasanaa monessa saitissa, joten osa toimii sitten myös Nortonin sivustossa.

Toki olisi hyvä jos nämä tiedotteet löytyisivät myös Nortonin omasta sivustosta. En ainakaan heti löytänyt.

 
Norton on näköjään itse sanonut, että kyseessä on credential stuffing -hyökkäys. Eli tuossahan ei Nortonin tunnukset ja salasanat ole vuotaneet minnekään, vaan hyökkääjä on saanut jostain haltuunsa tunnus/salasana-pareja ja on niitä tunkemalla yrittänyt päästä Nortonin palveluun sisälle. Parit voivat olla peräisin mistä hyvänsä muun saitin tietomurrosta, sillä moni käyttäjä käyttää samaa tunnusta ja salasanaa monessa saitissa, joten osa toimii sitten myös Nortonin sivustossa.
Tässä tapauksessa saattaisi jollain todennäköisyydellä odottaa credential stuffing hyökkäystä myös muihin palveluihin. Vastaavasti jos tiedot ovat alun perin peräisin jostain Gen Digitalin/Nortonin muusta palvelusta, olisi järkevää yrittää hyökätä juuri Nortonin palveluita vastaan. Ja lisäksi hyökkäyksessä kokeilluista tunnuksista varsin huomattava osa olisi joko entisiä tai aktiivisia Nortonin asiakkaiden tunnuksia. Tämän selvittämiseksi lisätieto olisi mukavaa. Ja siksi Bleeping Computerkin on yrittänyt saada vastausta kuinka moneen Norton käyttäjään hyökkäys kohdistui.

Tosin koska muuta julkista tiedotetta ei ilmeisesti ole laadittu, tuo sinun skenaariosi saattaa olla todennäköisempi. On myös mahdollista että Nortonilla on arvaus mistä palvelusta tiedot ovat peräisin ja he ovat taustalla ottaneet kyseiseen firmaan yhteyttä. Silloin julkinen tiedotus tietenkin jätettäisiin kyseisen firman tehtäväksi.
 
Tietosuojavaltuutetun päätöksen mukaan Google Analytics ei saa aivan puhtaita papereita:

Helmet-kirjastoilla ei ole ollut lainmukaista henkilötietojen käsittelyperustetta Helmet.fi -sivustolla seurantateknologioiden kautta kerättyjen henkilötietojen jatkokäsittelylle, vaan ne ovat käsitelleet näitä henkilötietoja esimerkiksi verkkosivujen kehittämistarkoituksessa ilman lainmukaista käsittelyperustetta (rikotut artiklat: 5(1)(a), 6(1) ja 25(1)).
 
Googlen vakoiluskriptit löytyy melkein kaikkialta. Jos on käytössä Firefox, niin ETP strict asentoon, jos Edge niin Tracking protection strictiin. Jos muu selain niin uBlock Origin käyttöön.
 
Jos teillä on TP-Linkin reitittimiä käytössä, kannttaa varmistaa että firmikset ovat ajan tasalla.

Impact
The two different vulnerabilities have unrelated impacts. The first vulnerability is a heap-based buffer overflow that can cause a crash or allow for arbitrary remote code execution. The second vulnerability is an information disclosure issue where the function used by the httpd process may allow an attacker to guess each byte of a username and password deterministically.

 
Ovat kyllä aika iäkkäitä laitteita, "TP-Link router WR710N-V1-151022 running firmware published 2015-10-22 and Archer-C5-V2-160201 running firmware published 2016-02-01"
 
Aktialla on ollut tänään hieman pahempi tietoturvaongelma pankkitunnistautumisen kanssa. Eli tunnistautuminen on nähtävästi mennyt läpi vääränä henkilönä.

"Pankkitunnistautumisessa suuri ongelma, väärien ihmisten vero- ja Kela-tietoja näkyvissä
Aktia-pankilla on ollut vakava häiriö pankkitunnistautumisessa, jota käytetään muun muassa Suomi.fi-tunnistuksessa."

 
Aktialla on ollut tänään hieman pahempi tietoturvaongelma pankkitunnistautumisen kanssa. Eli tunnistautuminen on nähtävästi mennyt läpi vääränä henkilönä.

"Pankkitunnistautumisessa suuri ongelma, väärien ihmisten vero- ja Kela-tietoja näkyvissä
Aktia-pankilla on ollut vakava häiriö pankkitunnistautumisessa, jota käytetään muun muassa Suomi.fi-tunnistuksessa."

Itseäni tuossa tapauksessa ihmetytti kun jossain uutisessa kerrottiin että kun yritti uudestaan niin tulikin eri henkilön tiedot näkyviin. Sen vielä jotenkin ymmärtäisin että aina tulisi saman väärän ihmisen tiedot mutta että joka kerta randomilla jonkun eri henkilön.
 
Uusimmissa iOS päivityksissä korjausta kriittiseen reikään Safarissa. Pelkkä pahantahtoisella web-sivulla vierailu voi altistaa hyökkäykselle. Aukkoa käytetään jo aktiivisesti iOS 15 ja sitä vanhenmilla versioilla ja Apple on poikkeuksellisesti julkaissut korjauksen jopa iki-vanhalle iOS 12:sta About the security content of iOS 12.5.7
 

Statistiikka

Viestiketjuista
259 055
Viestejä
4 500 105
Jäsenet
74 324
Uusin jäsen
Nallee

Hinta.fi

Back
Ylös Bottom