Январский фуршет
-
Бывший хакер с 10-летним стажем, пробовал себя во взломе сайтов, сетей, серверов, угон ICQ, взлом аккаунтов vk.com и других соц. сетей, угон почтовых ящиков mail.ru и других, вирусология и многое многое другое. Реализовал себя в полной мере в арбитраже трафика, зарабатывал на чёрном SEO. В качестве фрилансера осуществляю дружественный взлом сайтов, имейлов и прочего. Сейчас начальник отдела информационной безопасности (ИБ) небольшого Банка. Осуществляю защиту информационных ресурсов, разработку политик ИБ, контроль работы отдела ИТ и пользователей, взаимодействую с регуляторами (ФСБ, ФСТЭК, Роскомнадзор, Банк России) в части касающейся ИБ. Опыт работы в ИБ 5 лет. Пишу интернет квесты и публикую их в своём блоге. Вот через минут 20 появится новый квест - приглашаю поучаствовать :) С удовольствием отвечу на любые вопросы по вышеперечисленным темам :)
-
-
- 1way_to_english
- 16.01.2014 0:42
- ↑
- →
на gmail.com пароль из 24 знаков, сделан генератором паролей, надстрочные и особые знаки, верхний регистр. сколько времени может уйти на его дешифровку и взлом ящика?
-
-
-
- 1way_to_english
- 16.01.2014 3:02
- ↑
- →
спасибо! и если я не спец и бесплатная версия Аваста, то, я так понимаю, подкинут что-то, что выдаст им пароль. пожалуйста, такой вопрос: гугл показывает, с какого ай-пи был последний заход в почту. можно имитировать высвечивание моего ай-пи? - чтобы я ничего не заподозрил.
-
-
-
- 1way_to_english
- 16.01.2014 3:23
- ↑
- →
спасибо вам! это я хотел знать. я прочел ветку вопросов выше, интересно.
-
-
-
- ext_1220391
- 16.01.2014 23:24
- ↑
- →
Еше можно, имея инсайдера у вашего провайдера, либо у промежуточных магистралов
-
-
Позвольте не согласиться. Если с другой стороны экрана не сидит моральный урод, который нажимает на все ссылки во всех письмах, имеет один пароль на всех сайтах из шести букв клавиатуры подряд и т.п., то взлом гуголопочты с двойной авторизацией исключен. Те случаи, когда мы приводим гостя в определенное место с бесплатным вай-фаем, который выдает взломщик, и прочую фантастику я тоже не рассматриваю.
-
Спорно, однажды друг коллега хакер прислал мне ссылку на mail.ru, ссылка была обычного вида, без секретов особых и я перешёл. Пароль он не увёл но задал пароль на папку входящие с произвольным текстом (лично он написал, что для получения пароля к письмам нужно отправить смс на номер). Так работает XSS :)
-
-
- ext_1740850
- 16.01.2014 0:27
- ↑
- →
Я за gmail тоже :) А по соцсетям я имел в виду с т.з. "увести пароль". Вот в ФБ можно чего только не наставить, пароль то уведут, но ты его сразу же восстановишь и заблокируешь другие доступы.
-
-
Касперский, Доктор Веб, Аваст (за его бесплатность). Я года два сидел без антивируса и ничего не словил, так что в первую очередь нужно иметь голову и не качать подозрительное. Даже антивирусы не поймают новый (неделя - две, в зависимости от скорости его распространения) вирус спецаильным образом шифрованный (полиморфный).
-
-
- dr_antidote
- 16.01.2014 0:59
- ↑
- →
>регуляторами (ФСБ, ФСТЭК, Роскомнадзор, Банк России) какие основные законы/указы/постановления применительно к ИБ в РФ? есть ли регулярные внешние проверки/аудиты банка регуляторами по выполнению требований к ИБ (если таковые существуют??
-
-
Спасибо, что спросили не про взломы)) 63 ФЗ об электронной подписи, 152 о Персональных данных, 149 ФЗ, 282 ПП по лицензированию шифровальных средств, 782 ПП, СТР-К от ФСТЭК, 161 ФЗ о НПС применительно к Банкам - и это всё даже не 10% от всего спектра. Очень много направлений в ИБ. Существуют плановые проверки ЦБ раз в два года (вроде бы), но они обычно ИБ обходят стороной. Так же ЦБ требует предоставлять им отчёт об аудите по 382 - П раз в три года. Роскомнадзор проверяет выборочно и у них есть план проверок на год, ФСБ проверяет рандомно через год после получения лицензии.
-
-
- dr_antidote
- 16.01.2014 21:41
- ↑
- →
ну так колега ж. мне интересно то, что на самом деле важно :). Я работаю в Великобритании и здесь можно сказать ничего такого нет, а от российских реалий я далековато, но слышал что ИБ довольно зарегулирована государством.
-
-
Приятно встретить коллегу :) На сколько я наслышан, за рубежом доверяют встроенным средствам авторизации пользователей, у нас же, по закону, для большинства информационных систем запрещается использование несертифицированных средств защиты информации (коим и будет являться продукт, если он имеет свою авторизацию). То есть, берём классический несертифицированный ФСБ Oracle в качестве СУБД для своего продукта и пользуемся его авторизацией, с точки зрения закона, у нас нет системы авторизации и система никак не защищена от несанкционированного доступа. Что бы сертифицировать продукт, необходимо подать его исходные коды в лабораторию на сертификацию по требуемому уровню защищённости от недекларированных возможностей в зависимости от класса информационной системы. У нас законы иной раз противоречат сами себе, тот же 152 ФЗ о ПДн содержит противоречия. У нас многие фундаментальные положения содержат ошибки фатального характера. Так например для получения лицензии ФСБ на разработку шифровальных средств необходимо или высшее образование в ИБ + стаж работы в 5 лет или переобучение на 1000 часов, что позволяет хоть как-то обучиться, а вот для передачи (казалось бы что тут такого) шифровальных средств, уже нужно исключительно высшее образование в ИБ. И таких примеров десятки. Можете рассказать. как у вас с этим? :) Жутко интересен зарубежный опыт)
-
-
- dr_antidote
- 16.01.2014 22:13
- ↑
- →
На практике для коммерческих организаций (включая банки) никаких внешних предписаний в общем-то нет. Есть конечно законы связаные с ИБ, например Computer Misuse Act и Data protection Act, Regulation of Investigatory Powers Act, есть некие слова в Financial Service Authority Hаndbook, но они не вдаются в технические подробности и по болшому счету все сводится k "системы защиты сдолжны быть адекватными" а дальше уж как с совестью, аудиторами и (в худшем случае с судом) договоришься - адекватные они или нет :)) Намного большее значение имеют предписания в области конторля доступа - SOX Sextion 404 и все что оттуда вытекает, о хранении и архивации данных и т.д. для правительственных конечно существуют некие стандарты которые выпущены внутренними безопасниками.
-
-
-
- romantik_bred
- 16.01.2014 1:04
- ↑
- →
взломать акк фейсбука. готов заплатить до 3-х тысяч долларов. мне нужен будет акк ровно на 1 минуту. Было бы интересно заняться?
-
-
-
- ext_1663923
- 16.01.2014 3:20
- ↑
- →
Я так понимаю за ваши промыслы не ловили вас? Кстати, можно ли взглянуть на ваш фрилансерский прайслист?)
-
-
-
- ext_1663923
- 16.01.2014 3:35
- ↑
- →
Интересно у вас есть аккаунты в соц. сетях? Подозреваю что и личные данные вы свои редко где оставляете)
-
-
-
- ext_1663923
- 16.01.2014 3:49
- ↑
- →
Не стремно, что соц. инженерия обернется против и сыграет с вами злую шутку?)
-
-
Серьёзный прорыв я сделал потратив пару сотен баксов приобретя доступ в закрытый форум СЕОшников, там подковал себя знаниями не только в области СЕО но и различных направлениях хака и там же обзавёлся нужными связями - один ломает почты, другой угоняет аськи, третий спамит телефоны, четвёртый ломает сайты, пятый устраевает DDOS, шестой пишет скрипты и программы и так далее. Направлений уйма и существует множество открытых форумов хакеров, где тоже уйма полезной информации для начинающего хакера, так же помогает поисковик. Вы удивитесь, но задав гуглу вопрос "Как стать хакером" он выдаст много интересных статей и советов :) Для интереса советую начать с HackMe сайтов и HackMe программ + разные квесты с уровнями по взлому, который расписаны по прохождению)
-
-
- riodevista
- 16.01.2014 19:27
- ↑
- →
Когда проект только появился в 2010, сидел на античате. Помню, тогда еще доступ стоил порядка 200 долларов. Почему-то у меня сложилось о них мнение именно как о разводе, ибо негативные отзывы все же присутствовали, что как бы намекает. Конкуренции у этих ребят нет, так что выгоду от отрицательных отзывов вряд ли кто-то имеет.
-
-
Я бы сказал Новик вёл не правильную политику по обучению, информации было на несколько больших книг и при этом она не была структурирована, что усложняло путь новичкам и нагоняло сёру в отзывах + требований манибека. Когда я пришёл, через неделю всё прочитал запоем и написал своё руководство. После чего разместил его отдельной темой и когда её увидел Новик, он её со страху выпилил с форума умаслив меня ВИПом на БСС. Он испугался, что если статья уйдёт в паблик - то его форум уже будет не нужен)
-
-
- riodevista
- 16.01.2014 19:43
- ↑
- →
А что сейчас с форумом? Почитал ачат, пишут, что превратился в площадку для продажи других платных курсов. Кот, владелец бсс нынешний, этому только потакает, ибо сам подобным занимается. Как вообще с черным СЕО сейчас? Дорвеи живы?
-
-
С форумом не знаю, пару лет не был там, но когда был в последний раз так и было. Много новых людей, новые порядки. Чёрное СЕО будет живо пока живы поисковики, что бы не говорили другие. Дорвеи в том числе, только доры сейчас всё больше похожи на СДЛ. Не смотря на это, многие дорвейщики ушли в арбитраж трафика и делают основной упор именно на нём.
-
-
- riodevista
- 16.01.2014 20:08
- ↑
- →
Спасибо за ответы. Интересно. Подскажите, как можно углубиться в эту тему? Где копать?
-
-
Это мануфактура по сути своей. Кто-то пишет специальное ПО для чека ключей, кто-то чекает ключи по заказу, кто-то текстовку готовит и продаёт, кто-то шеллы продаёт хорошие, ещё один прогоняет в поисковике доры и многое другое. Без команды на самом деле с нуля создать даже один дор это очень сложно выйдет. Лично я минимизировал свой труд за счёт потери денег на покупку ресурсов, за то оптом заливал доры. Нужно найти хотя бы бесплатный форум типа БСС, где люди будут предлагать свои услуги в той или иной области. Кстати года полтора назад БСС слили в паблик и где-то можно скачать его БД (или посмотреть уже развёрнутую), там есть масса информации для начинающего.
-
-
- riodevista
- 16.01.2014 20:50
- ↑
- →
Благодарю вас. Вы хорошо заметили про мануфактуру. Неизвестно, как именно влиться в неё, ведь команду найти довольно непросто, еще сложнее самому обрести всеми навыками. И это, конечно, проблема для новичка. Хотя по мере обучения она сама собой решится, наверное.
-
-
Я вам в ЛС ответить не могу :) Сообщение для riodevista не может быть отправлено, поскольку получатель ограничил отправку ему сообщений. У меня слишком много друзей там осталось, с которыми часто в реале видимся. Не хотелось бы подвергать себя риску) Я же писал - БСС слили, можно поискать его зеркала где инфы много.
-
-
- riodevista
- 17.01.2014 23:52
- ↑
- →
ЛС у меня, оказывается, действительно было закрыто. Погуглил я на тему дорвеев: информация, конечно, труднодоступна, ибо многое устарело. Довольно поверхностно путь, по которому надо действовать я, наверное, представляю: сделать кеи, контент, шаблон и в результате из этого сам дор, а дальше раскрутка (например, спам хрумером или покупка ссылок) и получение профита. Но все равно не ясно с чего начать. Не могли бы вы рассказать, как именно вы начали? Мне было бы интересно узнать именно про ваши первые шаги с некоторой конкретикой, однако я понимаю, что при таком описании получилась бы пошаговая статья для начинающих, так что полного описания не прошу. Заранее благодарю вас :)
-
-
-
- ext_940451
- 16.01.2014 3:56
- ↑
- →
На сколько сложный пароль имеет смысл придумывать. Т.е. после 8 символов и цифр его уже ни кто подбирать не будет, верно?
-
-
Попробую ответить. В большинстве практически значимых случаев 8 случайных символов действительно достаточно (хотя бывают варианты). Но подбор пароля - как правило, только один из возможных способов взлома. Безопасность - вопрос комплексный, и злоумышленник пойдёт по самому простому из доступных способов, т.е. обрушится на слабое звено. Никакой пароль не спасёт, если он будет написан на листике, лежащем в комнате, где ходят ненужные люди. Ну и так далее, вариантов множество.
-
-
- ext_940451
- 16.01.2014 14:53
- ↑
- →
Спасибо. Т.е. 24 значный пароль с разным регистром и знаками это лишнее? Для пароля более 8 знаков найдется способ взломать проще.
-
-
Зависит от ваших задач. Понимаете, абсолютно защищённую систему создать невозможно, она будет абсолютно нефункциональной. Поэтому задача безопасника состоит в том, чтобы удорожить взлом до такой степени, когда он станет экономически невыгоден. На некоторых задачах (к примеру, взлом биткоинового brainwallet'а) перебор 8-символьных случайных паролей очень даже экономически оправдан. Надо смотреть ваш конкретный случай, какие ваши риски и какая выгода взломщика. Для упомянутых brainwallet'ов 24 знака - в самый раз. Хотя для таких задач обычно удобнее т.н. passphrase - не набор случайных букв, а набор случайных слов (подчёркиваю - случайных, т.е. созданных с помощью словаря и криптографически стойкого генератора случайных чисел). 24-символьный пароль с большими/маленькими английскими бувками, цифрами и спецсимволами имеет энтропию около 120 бит, такую же энтропию имеет случайная фраза из 8 слов, выбранных из словаря в 32000 слов. Но фразу запомнить заметно легче, хотя и несколько дольше набирать.
-
-
- tessa_vens
- 16.01.2014 5:52
- ↑
- →
Как защититься от взлома своих страничек/компа? И второй вопрос - Вас не мучает совесть за то что Вы делали?:)
-
-
Совесть не мучает, я никого не убивал и последнее не забирал) Даже, скорее, я более высокоморален в интернете чем 99% его пользователей :) Защититься от взлома банально просто. Использовать сложные пароли из 8 символов включая цифры и большие буквы. Использовать в разных системах разные пароли. Поставить антивирус и постоянно его обновлять и раз в неделю проверять весь комп. Не качать сомнительные файлы не заходить на сомнительные ссылки, чаще обновлять программы и операционную систему, перейти наконец с ХР на Win 7 :)
-
Как сделать аудит сайта, чтобы а) сайт действительно был максимально проверен, а не "кавычки попробовал" б) обнаруженные дыры отправлены заказчику, а не эксплуатируются в хвост и гриву? Ситуация: Менджерша ушла в отпуск, пока гуляла - забыла пароль от рабочей почты и аси, в почте может быть заказ на приятную премию. Реально восстановить ящик или "накрылась премия в квартал". на маилру Что происходит с ПД, когда клиент банка закрывает свои счета? Не всплывёт ли всё по нему, как раньше барыжили базами ГАИ и пр... Как выпилить, на случай паранои?
-
1. Аудит сайта можно сделать максимально качественно только представив исходные коды аудитору. Что бы ваши уязвимости не эксплуатировались, нужно выбирать аудитора с хорошей репутацией - тогда шансы минимальны. 2. Восстановить можно стандартным способом восстановления почты. Тыкаете "Забыли пароль" и по инструкциям, в майл ру тоже сидят люди, которые помогут если вы по косвенным признакам докажете что это ваша почта (когда зарегистрирована, с кем велась переписка, когда последний раз входили, с какого IP обычно работали и т.д.). 3. Обычно банк хранит ПДн в течении длительного времени после закрытия клиентом счёта, но в соответствии с ФЗ-152 вы имеете право направить в Банк заявление на удаление своих ПДн и Банк обязан в течении короткого промежутка времени направить вам уведомление об удалении ваших ПДн из системы. На мойм опыте, Альфа-Банк каким-то чёртом передал мои ПДн третьему лицу без моего письменного согласия. Сейчас думаю, что сними делать - штрафы там минимальные, законы беззубые(
-
-
- totsamiyshigaev
- 16.01.2014 13:28
- ↑
- →
Бывших не бывает, как и лишних денег. Есть заказ для тебя. Форум надо подломить. Сроки и денег.
-
-
-
- kolyanovskiy
- 16.01.2014 13:58
- ↑
- →
Да ладно. Вы как банк обязаны проходить аудит фин.отчетности ежегодно. Я про такой аудит.
-
-
-
- kolyanovskiy
- 16.01.2014 14:08
- ↑
- →
Странно. В рамках аудита фин.отчетности, аудитор должен также провести обзор ИТ инфраструктуры, чтобы убедиться, что данные в информационных системах не искажены и должным образом контролируются. Такие обзоры также затрагивают ИБ.
-
-
-
- kolyanovskiy
- 16.01.2014 14:18
- ↑
- →
Можно на ты. А раньше в банке не работал? Значит с внешним аудитом фин.отчетности еще должен будешь столкнуться. Отдел ИБ, равно как и Непрерывность бизнеса, если бы не требования ЦБРФ, вообще нигде, кроме иностранных банков, не существовали бы.
-
-
-
- kolyanovskiy
- 16.01.2014 13:58
- ↑
- →
Я тоже в ИБ работал в банках. Но не в техническом направлении, а больше в процессах и организационных направлениях.
-
-
-
- kolyanovskiy
- 16.01.2014 14:09
- ↑
- →
Почему же ты говоришь, что к финансовой части не имеешь никакого отношения. Работая в ИБ можно вникать во все процессы в банке (ритейл, бек, финансы, ИТ, персонал, безопасность), узнать и понимать как работает банк во всех направлениях.
-
-
Вопрос по политике ИБ для банков. Послал коллеге, работающему в банке, публичную ссылку на zip-архив, выложенный на дропбокс (документы объемные, в почту могли не пролезть). Ответ был: "Не могу скачать, нам закрыт доступ к файлохранилищам." Не слишком ли? (напоминаю, я дал публичную ссылку, для использования которой не нужно иметь свой аккаунт в этом сервисе)
-
-
- dr_antidote
- 16.01.2014 21:52
- ↑
- →
наличие альтернативы зависит от того насколько это нужно организации. если есть постоянная востребованность таких обменов с внешними агентами, то делается альтернатива. если нет -- то честно говоря банку пофиг. зачем?
-
-
-
- ext_1455441
- 17.01.2014 18:14
- ↑
- →
в php (на котором пишут сайты) есть функция sendmail ("имя отправителя", "имя получателя", "текст сообщения"). Вставляете любое имя отправителя и все. Пишется за 3 минуты. Ну или юзается бесплатный сервис. Можно хоть от Билла Гейтса письма слать себе
-
-
-
- big_brothers
- 16.01.2014 21:26
- ↑
- →
Что можете сказать о сервисе privnote? Сдаст все явки по первому запросу спецслужб или будет судиться? Что скажете про gpg/pgp шифрование, действительно ли все крайне надежно? И еще вопрос, предположим есть подпольный специализированный сайт, скажем сборище хакеров, у него есть администраторы/владельцы получающие деньги с рекламы и гарант сервиса(на сайте группа хакеров предоставляет свои платные услуги). Помимо админов есть модеры работающие на голом энтузиазме, платных услуг не предоставляют но в тоже время могут делиться опытом бесплатно. Короче, вопрос вот в чем, если управление "К" возьмется за такой сайт, то как вы думаете, они захотят привлечь к ответственности только админов/владельцев вместе с самими хакерами которые производили различные атаки за деньги, либо заинтересуется всеми пользователями и прежде всего всякими vip'aми, продвинутыми и т.д.? Спасибо за ответ.
-
-
О privnote не слышал, сейчас почитал, поискал и вот что думаю: - сайт находится на серверах в San Antonio, что в Америке, а пишут что Адрес Siria 6101, 11400 Montevideo, Uruguay - сайт не требует огромных мощностей и вполне может хранить информацию без напрягов. Если бы мне нужна была секретная почта, я бы использовал этот сервис в последнюю очередь. Опыт использования gpg/pgp не позволяет усомнится в криптостойкости и надежности. Касательно сайта и отдела К. Вы практически описали известный античат, я не причисляю себя к випам, но знаю, что некоторые местные сотрудничают с К. Это тоже политика и бьют по рукам только неправильных хакеров. Очень сложно привлечь к ответственности и доказать вину хакера.
-
-
- big_brothers
- 16.01.2014 22:12
- ↑
- →
Большое спасибо за ответы. Но еще пара вопросов появилась, вы неоднократно писали про VPN, а не является ли она красной тряпкой для провайдера либо для спецслужб? То есть простому человеку она в общем то не нужна, а раз ею пользуются значит есть что скрывать, и такой пользователь автоматически попадет на заметку. Если с большими городами все ясно и таких пользователей может быть полно, то скажем в городе где абонентов у провайдера пара десятков тысяч каждый пользователь vpn на виду. Или все это паранойя? Как для провайдера выглядит заход в сеть абонента который юзает: 1) VPN 2) Tor 3) Tor под VPN. Есть ли принципиальная разница
-
-
Со стороны провайдера никогда не видел, как выглядит VPN, но точно знаю, то есть даже абсолютно точно, что провайдерам глубоко насрать (извините) на действия пользователей, пока к ним не пришла бумажка из суда. Если же вы будете пользоваться VPN + TOR то шансов, что такая бумажка прийдёт, нет. И да, я сторонник VPN, а лучше DoubleVPN. :)
-
-
- big_brothers
- 17.01.2014 1:21
- ↑
- →
Ну то что провайдеру то пофиг это понятно, я просто думаю что у каждого провайдера сидит гэбист, борцун с терроризмом, и отслеживает такие вот выходы в сеть. ВПН и двойной впн это конечно хорошо, но слабое то место всегда сам человек, и примером этому может служить история Россам Ульбрихта. Вот кстати, интересует ваше мнение как профессионала, как можно ворочить миллионами долларов, быть на вершине по сути империи и так глупо спалиться? Ну и соответственно как этого избежать? как не потярять бдительность и не расслабиться если все хорошо например.
-
-
Не знаю, кто там сидит но очень сомневаюсь что гэбист. В Банках например по закону обязан быть сотрудник банка, который следит за тем, что бы клиенты не финансировали терроризм, может и у провайдеров обязан быть такой человек. Я вам скажу что жил в маленьком посёлке, где у провайдера было порядка пары тысяч клиентов и, как мне кажется, единственный кто использовал VPN и особого к себе внимания не заметил :) Что касается "спалится миллионеру", расскажу вам историю о своём знакомом миллионере, который спалился ещё более тупо. Он ломал хостинги в больших масштабах и затем продавал к ним доступы, когда его работой заинтересовались в органах. Использовал DoubleVPN и не сильно парился, но однажды, на его рабочем ноуте, по какой-то случайности, его девушка зашла к себе в контакт, чем дала мелкий повод органам проверить её и выйти на него. Он конечно отмазался солидной суммой денег, но всё-равно спалился очень глупо. Как обезопасить себя от своей же халатности? Нужно денно и нощно понимать, что работаешь ты как производственный химик и если забудешь долить реактива (читать как "включить средство защиты"), то рванёт мама не горюй. Вы мне напомнили одну очень интересную историю про рекитиров и ещё одного 16-летнего знакомого ставшего в лихие 90ые миллионером на хаке. Позже отдельным постом опубликую :)
-
На второй раз мы, к сожалению, купили дешифратор - данные были важными. В ответном письме нам пришли еще и "рекомендации" - пользоваться авирой и ходить в интернет хромом. Ну, хром-то ладно, но у нас корпоративный DrWeb и менять его на Avira кажется глупостью. Или все-таки стоит прислушаться, как думаете?
-
-
- n_l_o_pipelatz
- 17.01.2014 5:06
- ↑
- →
здравствуйте! а не поможите ли мне, страдающему от неразделенной любви, открыть на минуточку почту и страницу на одноклассниках одной барышни. у нас тут кроме горнолыжки, двух заводов, бескрайней тайги ничего и нет. даже снега. только медведи и интернет
-
-
-
- n_l_o_pipelatz
- 17.01.2014 5:13
- ↑
- →
здравствуйте! поможите мне, страдающему от неразделенной любви, открыть на минуточку почту и страницу на одноклассниках своей барышни. у нас тут кроме горнолыжки, двух заводов, бескрайней тайги ничего и нет. даже снега. только медведи и интернет
-
-
-
- n_l_o_pipelatz
- 17.01.2014 17:52
- ↑
- →
какая-то аномалия природная прёт в последние годы . сейчас пушками пытались засыпать, но всё равно мало. а так - весной деньги будут - давай адресок. каков порядок цен?
-