Российские госсайты: иллюзия безопасности

    image

    В 2016 году мы задались вопросом: сколько сайтов федеральных органов власти поддерживают HTTPS? Мы узнали, вы готовы? Фактически – 2 (прописью: два, Карл!) сайта из 85. Формально – 32 поддерживали, т.е. на серверах был включен HTTPS, но дальше все упиралось в традиционное российское разгильдяйство: SSL-сертификат просрочен, самоподписан или вообще от другого сайта, соединение по HTTPS автоматически переключается на HTTP или переадресуется в админку сайта, веб-сервер уязвим к ROBOT, POODLE и прочим излишествам нехорошим, HTTPS-подключение только по SSL и прочий чад кутежа.

    Поэтому, даже согласно нашим скромным критериям – действительный SSL-сертификат, поддержка TLS 1.2 и отказ от использования уязвимых или ненадежных криптоалгоритмов типа DH и RC4 – фактически HTTPS поддерживали только 2 сайта (напоминаю, из 85 обследованных).

    Сегодня мы снова задались тем же вопросом, хотя и несколько ужесточив критерии, но даже при этом ситуация оказалась существенно лучше: 27 сайтов из 82 могут считаться реально поддерживающими HTTPS и еще 23 – условно поддерживают его. Условно в том смысле, что при определенных условиях, зависящих в большей степени от клиентской стороны: актуальная версия браузера, сконфигурирована по уму, ручками указали HTTPS – соединение защищено, не обеспечили чего-то из перечисленного – depends on.

    Еще 8 сайтов лишь имитируют поддержку HTTPS (все то же разгильдяйство): самоподписанные (Пробирная палата) и кривые (Минобороны и ФАДН) SSL-сертификаты, уязвимые шифронаборы (Минэкономразвития), кое-где до сих пор не слышали об обновлениях софта и их веб-сервера светят в Сеть приветливыми баннерами «We have ROBOT & POODLE!» (Минстрой, Росреестр, Росфинмониторинг и Роснедра).

    Оставшиеся 24 сайта, начиная с президентского и заканчивая ЦИКовским, поступили еще проще: нет HTTPS – нет проблемы. СВР – зачем нам защищенное соединение? ФСБ – сообщайте о подготовке теракта по HTTP! ФСО – нам нечего скрывать, вам – тоже. Мы точно не знаем, конечно, но, видимо, какая-то такая логика: чай не сайт банка и не ВКонтагтег какой-нибудь, можно и без защищенного соединения обойтись.

    В общем, все то, что сегодня за несколько тысяч рублей в год обеспечивает любой мало-мальски приличный виртуальный хостинг: нормальный SSL-сертификат от Let's Encrypt, актуальная версия веб-сервера и криптографических библиотек с настройками по уму, большинству российских органов власти до сих пор недоступно. Зато у каждого, поди, есть какой-нибудь подведомственный ГИВЦ с соответствующим штатом и бюджетом…
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 64

      +1
      Ссылка на статью «от 26 января 2016 г.» с тем же содержанием про «98%» есть, а вот, собственно списка проверенных сайтов и нет… А ведь за 4,5 года что-то и поменяться могло.
        +1
        Ссылки в тексте на Хабре две: одна на статью об исследовании 2016 года, другая — на статью о свежем. В обоих статьях, в свою очередь, ссылки на сами исследования в PDF, со списком сайтов, описанием методики и еще большим бла-бла-бла по теме… чего именно из этого Вы не нашли?
        • НЛО прилетело и опубликовало эту надпись здесь
        0

        В 2016 году была такая замечательная статья:
        Российские госсайты: кризис доверия


        В ней есть :


        1. Введение
        2. Методика мониторинга.
        3. Результаты мониторинга
        4. Выводы
        5. Рекомендации
        6. Приложение: Исходные данные

        Жалко, что в этих исследованиях отсутствуют данные сколько же госсайтов используют https/tls с ГОСТ-овыми шифрсьютами. А то получается пародокс: стандарты есть, ТК-26 есть, сертифицированные СКЗИ есть, а а госсайтов с защитой на российских шифрсьютах вроде бы как и нет. Зачем тогда городить огород вокруг этих шифрсьютов?!

          +2
          Сегодня — ни один, ЕМНИП в 2016 году — тоже. Но нужна поддержка на клиентской стороне, а какой браузер сегодня умеет в ГОСТ?
            –2
            IE 11, Chrome, Яндекс.Браузер, Спутник
              +1
              Chrome 81 умеет в такое:
              AES GCM SHA
              CHACHA20_POLY1305 SHA
              ECDHE ECDSA AES SHA
              ECDHE ECDSA CHACHA20_POLY1305 SHA
              ECDHE RSA AES SHA
              ECDHE RSA CHACHA20_POLY1305 SHA
              GREASE
              RSA 3DES SHA
              RSA AES SHA
              Что там под GREASE понимается — шут его знает, но АФАИК оригинальный хромой в ГОСТ не умеет. IE 11 проверить не могу, но вроде как тоже нет docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-10-v1903
                0
                Яндекс.браузер не умеет на macOS (подозреваю и на Андроид).
                IE — а разве плагины ставить уже не надо?
                0
                  –1
                  Если Firefox эти ребята допиливают так же, как разрабатывают свой сайт, то пользоваться им не очень хочется.
                  image
                    0

                    Apache/2.0.58 (Unix), PHP/5.3.3 mod_ssl/2.0.58 LirSSL-1.0/ DAV/2


                    Sapienti sat. :(

                  0

                  Госсайты? Смотря что считать госсайтами. Скажем, lkul.nalog.ru прекрасно работает с ГОСТовской криптографией — НО только с ней, никакого AES или того хуже 3DES! В ГОСТ умеет одна спецверсия chromium, IE11 и ЕМНИП файрфокс так и не запилил поддержку какого-либо ГОСТа, т.е. всё (лейбловые браузеры не в счет), но нужен CSP, основной падла платный, что совсем не есть гуд.

                    +1
                    Все, что относится к поддоменам госсайта, разумеется, тоже госсайт. В рамках данного исследования мы рассматривали лишь доступность HTTPS для general use — зайти почитать официальную информацию, направить обращение в госорган и т.п. А так-то понятно, что и у налоговой есть разделы сайта с совершенно другим уровнем защиты, и у того же ФСБ есть не предназначенные для публики сервисы, кстати, с поддержкой ГОСТа, но там и софт специальный нужен www.fsb.ru/fsb/webreception.htm
                    0

                    Ставьте AltLinux или Росу и будет вам счастье.

                    0
                    Как минимум личный кабинет ЮЛ в налоговой, там без криптопро вообще зайти не удалось, плюс поддерживающий браузер.
                    Еще кажется на госзакупках встречал в личном кабинете.
                      0

                      Без криптопро и винды обойтись можно, особенно на ГОСУСЛУГ-ах.


                      Еще кажется на госзакупках встречал в личном кабинете

                      А что видим:
                      image

                        –1
                        zakupki.gov.ru/auth/welcome
                        Не путайте с госуслугами.
                          0

                          Не понял, чего не путать?
                          На вашей ссылке тоже не ГОСТ:
                          image

                            0
                            А Вы дальше пробовали зайти? На данный момент компьютер чистый, без криптопро, поэтому дальше успешно не пройти. Ну и хорошая идея — на входе поддерживать доступное примерно всем шифрование, чтобы сказать, что дальше потребуется и дать ссылку на инструкцию.
                            Веб-сайт ... не поддерживает шифрование
                            image

                              0

                              Да, вы правы, надо было зайти подальше.
                              Зашел подальше!
                              СТАЛО СТРАШНО.

                                0
                                Для юридических лиц это норма — держать несколько браузеров, криптопро и прочее, для взаимодействия с некоторыми сервисами. Потому что в чем-то одном весь нужный набор сайтов почему-то не работает :))
                    +2

                    Экономят на эксплуатации, подозреваю, как обычно админам не доплачивают (из-за этого нормальные не идут работать) или подрядчики по знакомству ничего не делают.

                      0
                      Сложно сказать, не все государственники сами хостят свои сайты, кто-то у хостеров их держит, но бывают хостеры, а бывают…
                        0
                        Да. Из опыта я знаю, что плохие хостеры требуют денег за HTTPS, поэтому нельзя даже думать про HTTPS.
                      +4
                      Это российская версия «бочонок с медом»
                        +4
                        Ну зачем человека то минусуете? Honeypot (с англ. — «горшочек с мёдом») — ресурс, представляющий собой приманку для злоумышленников.
                        +2
                        Интересно какой же CA будет отвечать за аутентичность сайтов ФСБ, МВД, СВР и прочих? Кому эти организации могут доверять как третьему доверенную лицу между ними и пользователем? А теперь какой из доверенных CA есть у всех этих пользователей в их броузерах и ОС? Ниодного, потому что софтом управляют де-факто компании зарубежные. Чтобы поднимать TLS на наших сайтах — нужно иметь доверенный нашим государством и нашими пользователями CA: пока такого ещё не сделали и под большим вопросом сможет ли он попасть в Microsoft/Apple/Google ОС/броузеры при этом, ведь это же исключительно политический вопрос.
                          0
                          В обычных условиях — любому, а во время полномасштабной кибервойны — самые интересные фокусы будут не с SSL-сертификатами.
                            +1
                            Если любому, то это я бы и назвал «иллюзия безопасности». Иллюзия это когда вам говорят что всё безопасно, но на самом деле это не так. Отсутствие TLS не строит никаких иллюзий: пользователь чётко понимает что у него не безопасное соединение и он оценивает риски. Когда же используется TLS но «не очень» доверенный, то это иллюзия: вроде бы как и безопасно, а так шут его знает, не поймёшь.

                            TLS в госкомпаниях используется вполне себе (тем более и на ГОСТовой криптографии), но только в условиях когда CA сертификаты (не глобальные) явно подкладывают руками и софтом являются application-specific клиенты, а не «general purpose» броузеры и люди. А для для «обычного» пользователя приходящего на сайты — всё плохо, это да.
                              0
                              Я иллюзией безопасности в общем случае называю ситуацию, когда HTTPS вроде как есть, т.е. щит зеленый (а ничего больше рядовой пользователь и не видит), а по факту — дыра на дыре, и тогда уж да, лучше честный HTTP, который хотя бы не строит из себя. Если же говорить о ситуации кибервойны, то игры скорее начнутся с DNS, потому как это уже совсем другие возможности. А если прицеливаться к самому HTTPS, то более перспективным мне кажется вектор атаки на эллиптику, которую у нас почему-то очень любят в исполнении NIST, хотя звоночки уже были.

                              Во внутренних сетях можно хоть Kerberos в TLS использовать, и свои сертификаты прикручивать, что и делают.
                                0
                                На практике никто криптографические примитивы почти никогда не атакует: считанные случаи (DRM там) когда это делали. Криптография это непробиваемая стена, но которую в 99% случаев можно обойти (атаковать реализации, ОС, железо, людей, итд).

                                Не понял про «в исполнении NIST». Наша эллиптика это ГОСТ Р 34.10. Математически вычисления идентичны ECDSA/ECDH/whatever — придуманные математиками задолго до. ГОСТ кривые и реализации никак не связаны с NIST или его решениями.
                                  0
                                  Я про NIST P-224 и P-256, которым западные хостеры, по моим наблюдениям, предпочитают Curve25519. Имел в виду, что если «вероятный противник» решит что-то замутить с HTTPS сайта того же ФСБ, то скорее обратит свой взор на эллиптику, чем на махинации с SSL-сертификатом. Куда интереснее тихо слушать трафик, чем почти неизбежно палиться на подмене сертификата и ставить перед всем миром принципиальный вопрос о надежности CA как таковых.
                                +1
                                Почему отсутствие TLS лучше TLS с каким-то CA? Пользователю же не говорят, что при заходе на https:// абсолютно всё стало безопасным, а пишут лишь то, что «соединение защищено» (причём нигде не написано, что эта защита абсолютна). Это значит, что просматривать и модифицировать трафик могут не все узлы, через которые проходит трафик, а лишь некоторые (аффилированные с конечными узлами, либо с CA) из них. Разве сужение круга потенциальных атакующих не увиличает безопасность? Какие новые векторы атаки появляются после внедрения TLS, кроме DoS'а по ресурсам, которые затрачиваются на криптографические операции?
                                Никому же не приходит в голову просить убирать с Хабра TLS потому, что кто-то увидит зелёную полоску и напишет в комментарии номер своей банковской карты (рассуждая, что раз безопасно, значит карточкой можно пользоваться) или выполнит вредную инструкцию типа rm -rf /*.
                                  +1
                                  Сужение круга атакующих это не плохо, но пользователю не говорится что «сужен круг» — ему сообщается что «соединение защищено», «соединение безопасно». Новых векторов атаки не появляется, но может (в броузерах) появится, вводящее в заблуждение, сообщение о безопасности.

                                  Я то только за внедрение TLS на подобных ресурсах (точнее, я бы хотел чтобы IPsec везде был, ибо TLS-у места в идеальном IPv6/IPsec мире нет :-), но это отдельная тема)! Кухню ФСБ/СВР не знаю, но вряд ли там позволят сгенерировать сертификат и просто на жёстком диске его Web-сервера иметь — нужно решение посерьёзнее (в плане защиты приватных ключей), плюс ещё думать что делать с дублированием серверов (на них иметь свои собственные приватные ключи или один и тот же скопировать?). Задача включения TLS не тривиальна.

                                  Здесь главный вопрос всё же не про безопасность (в принципе то оно безопасно от прослушивания кем попало, ибо шифрование применяется в любом случае), а ghj аутентификацию и аутентичность данных с сервера. Недоверенный CA (с точки зрения ФСБ) аутентичности не добавит. С таким же успехом можно сделать самоподписанный сертификат и приватность/безопасность пользователя, за счёт шифрования, будет обеспечена. Это всё равно лучше чем отсутствие TLS, безусловно.
                                    0
                                    Самоподписанный сертификат будет пугать пользователя, который расслабляется от одной надписи «соединение защищено» ;) А какие риски Вы видите от использования «в мирное время» на условном сайте ФСБ (публичной его части, разумеется) сертификата, выданного «вражеским» CA?
                                      0
                                      Я понимаю что он будет пугать, но шифрованное соединение у него при этом будет, что более безопасно чем совсем нешифрованное. Пользователь, как правило, всё равно «под контролем» нескольких корпораций, производящих ОС/броузер: если они не доверяют тому-то, то обойти это решение пользователю будет проблематично. У самого под рукой современных броузеров нет, но наслышан что там сертификатами всё сложнее управлять или чуть ли уже невозможно добавить собственные.

                                      Вы постоянно говорите про «мирное»/«военное» время — у меня таких понятий (касательно сайтов в Интернете) в голове нету, поэтому я не могу ответить на вопрос с подобным делением времени. Информационная война ведётся постоянно, особенно если речь про США. CA отвечает за аутентичность ресурса. CA либо доверен (для обоих сторон), либо нет: либо он может/хочет/будет мухлевать с аутентификацией ресурса, либо вероятность такого близится к нулю. Ну а дальше вопрос критичности/ценности данных ресурса. Обсуждения пёсиков клуба города XXX наверное не представляют никакой ценности и там плевать какой CA. А официальная информация госсайтов представляет. Отсутствие TLS при этом (сосед Вася может ваш трафик менять) — непорядок. Но броузер пользователя предупредит что «имей в виду что информации на экране верить нельзя, ибо соединение ничем не защищено». В идеале пользователь должен быть на стороже и пытаться аутентифицировать информацию (если ему надо) ещё и сторонними способами. С «не доверенным» CA пользователю скажут что всё ok, промолчат что аутентичность зависит не только от сайта ФСБ, но и от третьей стороны за границей (на данный момент) — именно она (почему то) решает что госинформация вашей страны является аутентичной.
                                        0
                                        там сертификатами всё сложнее управлять или чуть ли уже невозможно добавить собственные.

                                        Не соглашусь с вами — в Chromium и Firefox свой CA добавить вполне себе реально, если дать пользователю внятную и чёткую инструкцию как это проделать.

                                          0
                                          Про Chrome я отталкиваюсь вот от этого: victor-sudakov.livejournal.com/388776.html — чего-чего, но причём тут «инструмент разработчика»? Предполагается что простой пользователь не должен штатно управлять своими довериями?
                                          Про Firefox уже смутно помню конкретику, но запомнилось что со временем вроде тоже менялось в менее доступную сторону.
                              0

                              CA вроде как есть — Минкомсвязь держит, другое дело, что в госсекторе этих CA зоопарк, и по умолчанию ни один не входит в доверенные у пользователей.

                                0
                                На самом деле некоторые сервисы у бюджетников периодически требуют корневые сертификаты УЦ ручками ставить, чтобы завелось и работало. Но да, корневого доверенного удостоверяющего центра в РФ, да чтобы в ОС из коробки — пока не встречал.

                                Хотя есть шанс, что в импортозамещенных линуксах добавят
                                +1

                                Если учитывать, что разработку и поддержку своих сайтов они продают через тендеры, где откаты достигабт от 10 до 30%, причем победители тендеров снимают маржу и отдают дальше на аутсорс кому попало, то это везение, что они в принципе работают и выполняют какие-то функции))

                                  +1
                                  О, разработка — это отдельная большая и интересная тема. Мы ее краем касались в другом исследовании, кстати, стоит его актуализировать… Лет 10 назад одно министерство обратилось с просьбой прокомментировать макет его нового сайта, всего такого новомодного, только не открывающегося толком в половине актуальных браузеров ;)
                                    0

                                    С тех пор все они были доработаны или созданы заново, поэтому исследование придется полностью повторить)

                                      0
                                      Вот я и думаю актуализировать его. А тот сайт тоже доработали, собственно, они и рассылали «проект» по некоторому кругу экспертов, чтобы услышать стороннее мнение, так что сайтовладельца не называю — правильно поступили, сначала кошечек помучали ;)
                                        0
                                        Кстати, а есть что-то типа стандартного ТЗ на разработку госсайта?
                                          0
                                          тз как тз, только нужно делать в соответствии с десятком ГОСТ-ов и в конце пройти аккредитацию ФСБ или ФСТЭК
                                            0
                                            Есть постановление Правительства, выпущенное в реализацию ФЗ «О доступе к госинформации», там описаные некоторые требования по содержанию (про форматы не помню, не хочу врать). Номер надо вспоминать, как и смотреть, не приняли ли чего нового с тех пор.
                                              0
                                              А пентест и проверка на соответствие считаются нарушениями или белая шапка без предварительного разрешения возможна?
                                                0
                                                Впрямую не урегулировано, смотреть будут по объективным признакам 272/273 УК, судить если что — с учетом субъективных обстоятельств. Хотя тут еще вредоносность используемого ПО придется доказывать.
                                                  0
                                                  Вероятнее, что доказывать придётся невредоносность.
                                                    0
                                                    О, эта тема уже многократно раскрыта в таких работах, как «О месте бутылки в следственном процессе», «О примате убежденности следователя над объективной стороной», «О царице доказательств» и проч. Я лишь про теорию, согласно которой, следствию сперва предстоит собрать доказательства по всей объективке, а уже потом обвиняемому предлагается их опровергать.
                                    0
                                    Покуда в гос. секторе будут пилить бабло, а не нанимать хорошую команду за нормальные деньги или привлекать стартапы, будет вот такое «на коленке». Эстония к примеру давно уже «отцифровала» многие услуги.
                                    0

                                    А как с этим бороться? Вот есть сайт без HTTPS, вроде бы по закону наши данные должны защищаться, только вот напишешь в прокуратуру — отписка придет. Как дальше бороться?

                                      +1
                                      TLS_ВИЛЫ_ФАКЕЛЫ, но это уже не тема для Хабра ;)

                                      Опять же позволю себе самоцитирование www.ifap.ru/pr/2010/100112a.htm По итогам этого отправили обращение в Генпрокуратуру — прямое нарушение ФЗ все-таки. Прокуратура переслала обращение виновникам торжества и все. Не помню уже с какой сопроводиловкой, ЕМНИП — просто «для сведения». Кто-то по горячим следам принял меры и перевел домены на себя, кто-то нет.
                                        +1

                                        Вот мне и интересно, как же можно с этим бороться. Потому что прокуратура очень часто отправляет обращения виновникам, одна из главных задач при подаче жалобы — составить её так, чтобы прокуратура не переслала её тем, на кого жалуешься. Я сам сейчас составляю жалобы в прокуратуру на некоторые гос. органы, и как составить жалобу правильно — для меня совсем не тривиально.

                                          0
                                          По моему опыту — тут не угадаешь, как не угадаешь и реакцию «обвиняемого» на пересылку ему жалобы «для сведения». Был случай, когда опять же прямое нарушение закона, до этого полгода как только не пинал нарушителя, написал в генеральную, те переслали нарушителю «для сведения» и — о чудо! — нарушитель обосрался и мигом исправился. А сейчас уже год пинаю госуслуги, у которых ошибка на стыке их ответственности и МВД, чемпионат по бюрократическому футболу пока и не думает заканчиваться, хотя прокуратура в данном случае «поручила» разобраться и отчитаться.
                                            +1

                                            Интересно, а можно ли как-то информационными методами (путем публикации инструкций и примеров из жизни) привить людям что-то типа правового сознания: "видишь нарушение -> пишешь жалобу".
                                            То есть сначала, к примеру, показать на примере, что была такая-то проблема, потом мы по такому-то шаблону (ссылка на шаблон с пояснениями) была составлена жалоба в это ведомство, ведомство что-то сделало — проблема решена. Чтобы у большего количества людей выстроилась в мозгу цепочка, что они могут решать проблемы; чтобы не было у людей страха решать проблемы, потому что у них будет под рукой шаблон заявки. У меня, к примеру, с написанием заявления проблемы: непонятно, должен ли я приводить ссылки на нарушенные законы, как писать обращение — какие доводы будут вескими, а какие не примут к рассмотрению, как увеличить вес жалобы, имеют ли смысл коллективные/депутатские заявления, что конкретно требовать от прокуратуры/ФАС/администрации президента и т.д. Думаю, что у немалой части населения такие же вопросы, что эти вопросы могут препятствовать появлению жалоб.

                                              0
                                              Можно и нужно, только на каждый успешный пример будет хорошо если десяток примеров отрицательных, которые демотивируют :( По идее, заявитель не обязан разбираться в нормах права и может просто пожаловаться, а уже регулятор должен смотреть: было ли реальное нарушение прав, или показалось. Собственно, в этом и состоит их работа, за которую мы им платим. На практике часто бывает, что посылаешь готовую «палку» — прям копируй в протокол, подписывай сам и оформляй, «дело раскрыто», но нет — идут отписки. Коллективные обращения имеют больший вес, чинуши все-таки боятся огласки и массовости. А депутатские запросы… формально — да, фактически — от многих факторов зависит. В свое время это был бизнес, запросами пытались получить коммерческую информацию из госведомств, они научились отфутболивать таких коммерсантов из Госдумы, а вместе с ними и всех остальных.

                                              Юсть сеть «юридических клиник», сеть ПЦПИ, другие аналогичные инициативы, где гражданина примут, выслушают, помогут составить заявление, причем во многих случаях бесплатно.
                                      –1
                                      только на каждый успешный пример будет хорошо если десяток примеров отрицательных, которые демотивируют

                                      Это нормально.


                                      Можно и нужно

                                      Не знаю, что такое ifap, но может как-то сколлаборироваться с Роскомсвободой и попытаться создать такой совместный проект?

                                        0
                                        Мы с ними общались когда они только появились. Ребята свое дело делают, мы — свое, каких-то идей именно по объединению не появилось. Насколько знаю, ФБК подобным занимается, у них буквально готовые сервисы по простому решению насущных проблем.
                                          0

                                          ФБК, уже простите, те еще клоуны. Я и люди из инициативной группы несколько раз к ним обращались с самыми разными проблемами — один раз только получили отписку, в остальные разы — никакой реакции. Вообще никакой. Я к ним и через твиттер пытался, и через вк, и через почту. Другие люди тоже по-разному пытались. Никакой реакции. Как у них получилось создать какие-то работающие сервисы — уверен, что весь ФБК и Навальный — только чья-то вещающая голова.
                                          Очень жалко, что вы совместно с другими ОО не создадите и не раскрутите совместный информационный портал.

                                            0
                                            Вообще мы как раз думаем над чем-то подобным, но перспективы пока неясны. У ФБК же есть Росяма и еще что-то в том же ключе, оно не работает разве?

                                            Возможно, у них просто завал из инициатив, не до всего руки доходят. Скажем, с Алексеем мы общались, когда он был уже вполне известным, но щемил еще ВТБ, а ПЖиВ только начинал. На меня произвел впечатление вполне адекватного и доступного для сотрудничества человека. Звал его на одно из наших мероприятий, он был не против, но по датам не смог быть. При этом, называя вещи своими именами, он нам делал одолжение как приглашенная звезда. Спустя какое-то время писал ему — уже без ответа, но тогда он уже вовсю блистал, уровень загрузки другой стал. В общем, подозреваю, что все не так просто.

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое