Modérateur mesdames et messieurs, cette conférence est très drôle et très intéressante, aujourd'hui nous allons parler de choses réelles qui s'observent sur Internet. Cette conversation est un peu différente de celles auxquelles nous sommes habitués lors des conférences Black Hat car nous allons parler de la manière dont les attaquants gagnent de l'argent grâce à leurs attaques.
Nous allons vous montrer quelques attaques intéressantes qui peuvent générer des bénéfices et vous parler des attaques qui ont réellement eu lieu la nuit où nous avons survolé Jägermeister et réfléchi. C'était amusant, mais quand nous avons un peu dégrisé, nous avons parlé aux spécialistes du référencement et avons appris que beaucoup de gens gagnent de l'argent grâce à ces attaques.
Je ne suis qu'un cadre intermédiaire sans cervelle, alors je vais céder ma place et vous présenter Jeremy et Trey, qui sont beaucoup plus intelligents que moi. J'aurais dû avoir une introduction intelligente et amusante, mais ce n'est pas le cas, je vais donc montrer ces diapositives à la place.
Des diapositives montrant Jeremy Grossman et Trey Ford sont affichées à l'écran.
Jeremy Grossman est le fondateur et directeur technologique de WhiteHat Security, nommé l'un des 2007 meilleurs CTO par InfoWorld en 25, co-fondateur du Web Application Security Consortium et co-auteur d'attaques de scripts intersites.
Trey Ford est le directeur des solutions architecturales chez WhiteHat Security, qui possède 6 ans d'expérience en tant que consultant en sécurité pour des entreprises Fortune 500 et l'un des développeurs de la norme de sécurité des données des cartes de paiement PCI DSS.
Je pense que ces images compensent mon manque d'humour. En tout cas, j’espère que vous apprécierez leur présentation et que vous comprendrez ensuite comment ces attaques sont utilisées sur Internet pour gagner de l’argent.
Jeremy Grossman : Bonjour, merci à tous d'être venus. Ce sera une conversation très amusante, même si vous ne verrez pas d'attaques zero-day ni de nouvelles technologies intéressantes. Nous allons simplement essayer de le rendre divertissant et de parler des choses réelles qui se produisent chaque jour et qui permettent aux méchants de gagner beaucoup d'argent.
Nous n'essayons pas de vous impressionner avec ce qui est présenté sur cette diapositive, mais simplement de vous expliquer ce que fait notre entreprise. Ainsi, White Hat Sentinel, ou « Guardian White Hat » est :
- nombre illimité d'évaluations – contrôle et gestion experte des sites clients, possibilité de scanner les sites quelle que soit leur taille et la fréquence de leurs modifications ;
- large portée de couverture - analyse autorisée des sites pour détecter les vulnérabilités techniques et tests utilisateur pour identifier les erreurs logiques dans les domaines d'activité non couverts ;
- éliminer les faux positifs : notre équipe opérationnelle examine les résultats et attribue l'évaluation de gravité et de menace appropriée ;
- développement et contrôle qualité - le système WhiteHat Satellite Appliance nous permet de desservir à distance les systèmes clients via l'accès au réseau interne ;
- amélioration et amélioration - une analyse réaliste vous permet de mettre à jour le système rapidement et efficacement.
Ainsi, nous auditons chaque site dans le monde, nous avons la plus grande équipe de pentesters d'applications Web, nous effectuons 600 à 700 tests d'évaluation chaque semaine, et toutes les données que vous verrez dans cette présentation proviennent de notre expérience dans ce type de travail. .
Sur la diapositive suivante, vous voyez les 10 types d'attaques les plus courants sur les sites Web mondiaux. Cela montre le pourcentage de vulnérabilité à certaines attaques. Comme vous pouvez le constater, 65 % de tous les sites sont vulnérables aux scripts intersites, 40 % permettent des fuites d'informations et 23 % sont vulnérables à l'usurpation de contenu. En plus des scripts intersites, les injections SQL et la fameuse falsification de requêtes intersites, qui ne figurent pas dans notre top dix, sont courantes. Mais cette liste contient des attaques aux noms ésotériques, décrites dans un langage vague et dont la spécificité est qu'elles sont dirigées contre certaines entreprises.
Il s’agit de failles d’authentification, de failles de processus d’autorisation, de fuites d’informations, etc.
La diapositive suivante parle des attaques contre la logique métier. Les équipes d’assurance qualité impliquées dans l’assurance qualité n’y prêtent généralement pas attention. Ils testent ce que le logiciel doit faire, pas ce qu'il peut faire, et vous pouvez ensuite voir ce que vous voulez. Les scanners, toutes ces boîtes blanches/noires/grise, toutes ces boîtes multicolores ne sont pas capables de détecter ces choses dans la plupart des cas, car ils sont simplement obsédés par le contexte de ce que pourrait être l'attaque ou par ce qui se passe de manière similaire lorsqu'elle se produit. Ils manquent d’intelligence et ne savent pas si quelque chose a fonctionné ou non.
Il en va de même pour les pare-feu d'applications IDS et WAF, qui ne parviennent pas non plus à détecter les failles de logique métier car les requêtes HTTP semblent tout à fait normales. Nous allons vous montrer que les attaques liées aux failles de la logique métier surviennent de manière tout à fait naturelle, il n'y a pas de pirates informatiques, pas de métacaractères ou autres bizarreries, elles ressemblent à des processus naturels. L’essentiel est que les méchants adorent ces choses parce que les failles de la logique métier leur rapportent de l’argent. Ils utilisent XSS, SQL, CSRF, mais ces types d'attaques deviennent de plus en plus difficiles à réaliser et nous avons constaté qu'elles ont diminué au cours des 3 à 5 dernières années. Mais ils ne disparaîtront pas d’eux-mêmes, tout comme les débordements de tampon ne disparaîtront pas. Cependant, les méchants réfléchissent à la manière d'utiliser des attaques plus sophistiquées, car ils pensent que les « vrais méchants » cherchent toujours à gagner de l'argent grâce à leurs attaques.
Je veux vous montrer de vraies astuces que vous pouvez adopter et les utiliser de la bonne manière pour protéger votre entreprise. Un autre objectif de notre présentation est que vous vous interrogez peut-être sur l'éthique.
Sondages et vote en ligne
Donc, pour commencer notre discussion sur les lacunes de la logique métier, parlons des enquêtes en ligne. Les sondages en ligne constituent le moyen le plus courant de connaître ou d’influencer l’opinion publique. Nous commencerons avec un bénéfice de 0 $, puis examinerons le résultat de 5, 6, 7 mois de stratagèmes frauduleux. Commençons par faire une enquête très, très simple. Vous savez que chaque nouveau site Web, chaque blog, chaque portail d'information mène des enquêtes en ligne. Cela dit, aucun créneau n’est trop grand ou trop étroit, mais nous voulons connaître l’opinion publique dans des domaines spécifiques.
J'aimerais attirer votre attention sur une enquête menée à Austin, au Texas. Parce qu'un beagle d'Austin a remporté le Westminster Dog Show, l'Austin American Statesman a décidé de mener un sondage en ligne Austin's Best in Show pour les propriétaires de chiens du centre du Texas. Des milliers de propriétaires ont soumis des photos et voté pour leurs préférées. Comme tant d’autres enquêtes, il n’y avait pas d’autre récompense que le droit de se vanter pour votre animal de compagnie.
Une application système Web 2.0 a été utilisée pour le vote. Vous avez cliqué sur « oui » si vous aimiez le chien et avez découvert s'il était ou non le meilleur chien de la race. Vous avez donc voté pour plusieurs centaines de chiens postés sur le site comme candidats au vainqueur de l'exposition.
Avec ce mode de vote, 3 types de tricherie étaient possibles. Le premier est le vote sans fin, où vous votez encore et encore pour le même chien. C'est très simple. La deuxième méthode est le vote multiple négatif, où vous votez un grand nombre de fois contre un chien concurrent. La troisième méthode était que, littéralement à la dernière minute du concours, vous placiez un nouveau chien, votiez pour lui, de sorte que la possibilité de recevoir des votes négatifs soit minime, et vous gagniez en recevant 100 % de votes positifs.
De plus, la victoire a été déterminée en pourcentage, et non par le nombre total de votes, c'est-à-dire qu'il était impossible de déterminer quel chien avait reçu le nombre maximum de notes positives, seul le pourcentage de notes positives et négatives pour un chien particulier était calculé. . Le chien ayant le meilleur ratio de notes positives/négatives a gagné.
L'ami de son collègue Robert "RSnake" Hansen lui a demandé d'aider son Chihuahua Tiny à remporter un concours. Vous connaissez Robert, il vient d'Austin. Comme un super hacker, il a corrigé le proxy Burp et a suivi le chemin de la moindre résistance. Il a utilisé la technique de triche n°1, en l'exécutant dans une boucle Burp de plusieurs centaines ou milliers de requêtes, ce qui a valu au chien 2000 1 votes positifs et l'a amené à la XNUMXère place.
Ensuite, il a utilisé la technique de triche n°2 contre le concurrent de Tiny, surnommé Chuchu. Dans les dernières minutes de la compétition, il a exprimé 450 voix contre Chuchu, ce qui a encore renforcé la position de Tiny à la 1ère place avec un ratio de voix de plus de 2 : 1, mais en termes de pourcentage d'avis positifs et négatifs, Tiny a quand même perdu. Sur cette diapositive, vous voyez le nouveau visage d'un cybercriminel, découragé par cette issue.
Oui, c'était un scénario intéressant, mais je pense que mon ami n'a pas aimé cette performance. Vous vouliez juste gagner le concours Chihuahua à Austin, mais quelqu'un a essayé de vous pirater et de faire la même chose. Eh bien, maintenant je passe la parole à Trey.
Créer une demande artificielle et gagner de l’argent grâce à elle
Trey Ford : Le concept de « DoS artificiel » fait référence à plusieurs scénarios intéressants lorsque nous achetons des billets en ligne. Par exemple, lors de la réservation d'un siège spécial sur un vol. Cela peut s'appliquer à tout type de billet, comme un événement sportif ou un concert.
Afin d'éviter les achats répétés d'articles rares tels que des sièges d'avion, des objets physiques, des noms d'utilisateur, etc., l'application verrouille l'article pendant un certain temps pour éviter les conflits. Et voici la vulnérabilité associée à la possibilité de réserver quelque chose à l'avance.
Nous connaissons tous le délai d'attente, nous connaissons tous la fin de la session. Mais ce défaut logique particulier nous permet de sélectionner un siège sur un vol et de revenir ensuite refaire la sélection sans rien payer. Vous êtes sûrement nombreux à partir souvent en voyage d'affaires, mais pour moi, c'est une partie essentielle du travail. Nous avons testé cet algorithme dans de nombreux endroits : vous sélectionnez un vol, choisissez un siège et ce n'est que lorsque vous êtes prêt que vous saisissez vos informations de paiement. Autrement dit, après avoir choisi un lieu, celui-ci vous est réservé pendant une certaine période de temps - de quelques minutes à plusieurs heures, et pendant ce temps, personne d'autre ne peut réserver ce lieu. Du fait de ce délai d'attente, vous avez une réelle opportunité de réserver toutes les places dans l'avion en revenant simplement sur le site et en réservant les places que vous souhaitez.
Ainsi, une option d'attaque DoS apparaît : répéter automatiquement ce cycle pour chaque siège de l'avion.
Nous avons testé cela sur au moins deux grandes compagnies aériennes. Vous pouvez retrouver la même vulnérabilité avec n’importe quelle autre réservation. C’est une belle opportunité d’augmenter les prix de vos billets pour ceux qui souhaitent les revendre. Pour ce faire, il suffit aux spéculateurs de réserver les billets restants sans aucun risque de perte monétaire. De cette façon, vous pouvez « planter » le commerce électronique qui vend des produits très demandés – jeux vidéo, consoles de jeux, iPhones, etc. Autrement dit, la faille existante dans le système de réservation ou de réservation en ligne permet à un attaquant d'en tirer profit ou de causer des dommages aux concurrents.
Décryptage captcha
Jérémy Grosman : Parlons maintenant du captcha. Tout le monde connaît ces images ennuyeuses qui jonchent Internet et sont utilisées pour lutter contre le spam. Potentiellement, vous pouvez également tirer profit du captcha. Captcha est un test de Turing entièrement automatisé qui vous permet de distinguer une personne réelle d'un bot. J'ai découvert beaucoup de choses intéressantes en faisant des recherches sur l'utilisation du captcha.
Le Captcha a été utilisé pour la première fois vers 2000-2001. Les spammeurs souhaitent éliminer le captcha afin de s'inscrire aux services de messagerie gratuits Gmail, Yahoo Mail, Windows Live Mail, MySpace, FaceBook, etc. et envoyer du spam. Le captcha étant utilisé assez largement, tout un marché de services est apparu proposant de contourner le captcha omniprésent. En fin de compte, cela génère des bénéfices – un exemple serait l’envoi de spam. Il existe 3 façons de contourner le captcha, regardons-les.
Le premier concerne les défauts dans la mise en œuvre de l’idée, ou les lacunes dans l’utilisation du captcha.
Ainsi, les réponses aux questions contiennent trop peu d’entropie, comme « écrivez à quoi 4+1 est égal ». Les mêmes questions peuvent être répétées plusieurs fois et l’éventail des réponses possibles est très restreint.
L'efficacité du captcha est vérifiée de cette manière :
- le test doit être effectué dans des conditions où la personne et le serveur sont éloignés l'un de l'autre,
le test ne doit pas être difficile pour l'individu ; - la question doit être telle qu'une personne puisse y répondre en quelques secondes,
Seul celui à qui la question est posée doit répondre ; - répondre à la question doit être difficile pour l’ordinateur ;
- la connaissance des questions et réponses précédentes ou de leur combinaison ne devrait pas affecter la prévisibilité du prochain test ;
- le test ne doit pas être discriminatoire à l'égard des personnes ayant une déficience visuelle ou auditive ;
- le test ne doit pas être biaisé d’un point de vue géographique, culturel ou linguistique.
Il s’avère que créer un captcha « correct » est assez difficile.
Le deuxième inconvénient du captcha est la possibilité d'utiliser la reconnaissance optique de caractères OCR. Un morceau de code est capable de lire une image captcha quelle que soit la quantité de bruit visuel qu'elle contient, de voir quelles lettres ou quels chiffres la composent et d'automatiser le processus de reconnaissance. Des recherches ont montré que la plupart des captchas peuvent être facilement déchiffrés.
Je donnerai des citations de spécialistes de la School of Computer Science de l'Université de Newcastle, au Royaume-Uni. Ils parlent de la facilité de déchiffrer le captcha de Microsoft : « notre attaque a pu atteindre un taux de réussite de segmentation de 92 %, ce qui implique que le schéma de captcha MSN peut être craqué dans 60 % des cas en segmentant l'image puis en la reconnaissant. » Décrypter le captcha de Yahoo était tout aussi simple : « notre deuxième attaque a obtenu un succès de segmentation de 33,4 %. Ainsi, environ 25,9 % des captchas peuvent être crackés. Nos recherches suggèrent que les spammeurs ne devraient jamais recourir à une main d’œuvre humaine bon marché pour contourner le captcha de Yahoo, mais plutôt s’appuyer sur une attaque automatisée à faible coût. »
La troisième méthode pour contourner le captcha est appelée « Turc mécanique » ou « Turk ». Nous l'avons testé contre le captcha de Yahoo immédiatement après sa publication, et à ce jour nous ne savons pas, et personne ne sait, comment se protéger contre une telle attaque.
C'est le cas où vous avez un méchant qui gèrera un site « pour adultes » ou un jeu en ligne à partir duquel les utilisateurs demandent du contenu. Avant de pouvoir voir l'image suivante, le site appartenant au pirate informatique fera une requête back-end à un système en ligne que vous connaissez, par exemple Yahoo ou Google, récupérera le captcha à partir de là et le glissera à l'utilisateur. Et dès que l'utilisateur répond à la question, le pirate informatique enverra le captcha deviné au site cible et montrera à l'utilisateur l'image demandée depuis son site. Si vous disposez d'un site très populaire avec beaucoup de contenu intéressant, vous pouvez mobiliser toute une armée de personnes qui rempliront automatiquement les captchas d'autres personnes pour vous. C'est une chose très puissante.
Cependant, non seulement les gens tentent de contourner les captchas, mais les entreprises utilisent également cette technique. Robert « RSnake » Hansen s'est entretenu un jour sur son blog avec un « solveur de captcha » roumain qui a déclaré qu'il pouvait résoudre de 300 à 500 captchas par heure à un taux de 9 à 15 dollars pour mille captchas résolus.
Il dit directement que les membres de son équipe travaillent 12 heures par jour, résolvant environ 4800 50 captchas pendant cette période, et qu'en fonction de la difficulté des captchas, ils peuvent recevoir jusqu'à 20 $ par jour pour leur travail. C'était un article intéressant, mais les commentaires que les utilisateurs du blog ont laissés sous cet article sont encore plus intéressants. Un message est immédiatement apparu du Vietnam, où un certain Quang Hung a parlé de son groupe de 4 personnes, qui ont accepté de travailler pour 1000 $ pour XNUMX captchas devinés.
Le message suivant venait du Bangladesh : « Bonjour ! J'espère que tu vas bien ! Nous sommes une entreprise de transformation leader au Bangladesh. Actuellement, nos 30 opérateurs sont capables de résoudre plus de 100000 2 captchas par jour. Nous offrons d'excellentes conditions et un tarif bas - 1000 $ pour XNUMX XNUMX captchas devinés sur les sites Yahoo, Hotmail, Mayspace, Gmail, Facebook, etc. Nous sommes impatients de poursuivre notre coopération. »
Un autre message intéressant a été envoyé par un certain Babu : « Je suis intéressé par ce travail, s'il vous plaît appelez-moi au téléphone. »
C'est donc assez intéressant. Nous pouvons débattre de la légalité ou de l’illégalité de cette activité, mais le fait est que les gens en tirent réellement de l’argent.
Accéder aux comptes d'autres personnes
Trey Ford : Le prochain scénario dont nous parlerons est de gagner de l'argent en reprenant le compte de quelqu'un d'autre.
Tout le monde oublie ses mots de passe et, pour les tests de sécurité des applications, la réinitialisation des mots de passe et l'enregistrement en ligne représentent deux processus métier distincts et ciblés. Il existe un grand écart entre la facilité de réinitialisation de votre mot de passe et la facilité d’inscription, vous devez donc vous efforcer de rendre le processus de réinitialisation de mot de passe aussi simple que possible. Mais si l’on tente de le simplifier, un problème se pose car plus il est simple de réinitialiser un mot de passe, moins il est sécurisé.
L'un des cas les plus médiatisés concernait l'inscription en ligne à l'aide du service de vérification des utilisateurs de Sprint. Deux membres de l'équipe White Hat ont utilisé Sprint pour l'inscription en ligne. Il y a quelques éléments que vous devez confirmer pour prouver que vous êtes bien vous-même, à commencer par quelque chose d'aussi simple que votre numéro de téléphone portable. Vous avez besoin d'une inscription en ligne pour des choses comme gérer votre compte bancaire, payer des services, etc. L'achat de téléphones est très pratique si vous pouvez le faire à partir du compte de quelqu'un d'autre, puis effectuer des achats et bien plus encore. L'une des options d'arnaque consiste à modifier l'adresse de paiement, à commander la livraison de tout un tas de téléphones portables à votre adresse, et la victime sera obligée de les payer. Les maniaques du harcèlement rêvent également de cette opportunité : ajouter une fonctionnalité de suivi GPS aux téléphones de leurs victimes et suivre chacun de leurs mouvements depuis n'importe quel ordinateur.
Ainsi, Sprint propose certaines des questions les plus simples pour vérifier votre identité. On le sait, la sécurité peut être assurée soit par une gamme d’entropie très large, soit par des enjeux très pointus. Je vais vous lire une partie du processus d'inscription au Sprint car l'entropie est très faible. Par exemple, il y a une question : « sélectionnez une marque de voiture enregistrée à l'adresse suivante » et les options de marque sont Lotus, Honda, Lamborghini, Fiat et « aucune des réponses ci-dessus ». Dites-moi, lequel d'entre vous a l'une des situations ci-dessus ? Comme vous pouvez le constater, ce casse-tête difficile n'est qu'une excellente occasion pour un étudiant d'obtenir des téléphones bon marché.
Deuxième question : « Laquelle des personnes suivantes habite avec vous ou habite à l'adresse ci-dessous » ? Il est très simple de répondre à cette question, même si vous ne connaissez pas du tout cette personne. Jerry Stifliin – ce nom de famille contient trois « oui », nous y reviendrons dans une seconde – Ralph Argen, Jerome Ponicki et John Pace. Ce qui est intéressant dans cette liste, c'est que les noms donnés sont absolument aléatoires et qu'ils sont tous soumis au même modèle. Si vous le calculez, vous n'aurez aucune difficulté à identifier le vrai nom, car il diffère des noms sélectionnés au hasard par quelque chose de caractéristique, en l'occurrence les trois lettres « i ». Ainsi, Stayfliin n’est clairement pas un nom aléatoire, et il est facile de le deviner, cette personne est votre cible. C'est très, très simple.
La troisième question : « dans laquelle des villes répertoriées n'avez-vous jamais vécu ou n'avez-vous jamais utilisé cette ville dans votre adresse ? — Longmont, North Hollywood, Gênes ou Butte ? Nous avons trois zones densément peuplées autour de Washington DC, la réponse évidente est donc North Hollywood.
Il y a quelques points auxquels vous devez faire attention lors de l'inscription en ligne Sprint. Comme je l'ai déjà dit, vous pourriez être gravement blessé si un attaquant parvient à modifier l'adresse de livraison des achats dans vos informations de paiement. Ce qui est vraiment effrayant, c'est que nous disposons d'un service de localisation mobile.
Avec lui, vous pouvez suivre les mouvements de vos employés, car les gens utilisent des téléphones portables et des GPS, et vous pouvez voir sur la carte où ils se trouvent. Il y a donc d’autres choses assez intéressantes qui se produisent au cours de ce processus.
Comme vous le savez, lors de la réinitialisation d'un mot de passe, l'adresse e-mail prime sur les autres méthodes de vérification de l'utilisateur et les questions de sécurité. La diapositive suivante présente de nombreux services qui proposent d'indiquer votre adresse email si l'utilisateur rencontre des difficultés à se connecter à son compte.
Nous savons que la plupart des gens utilisent le courrier électronique et possèdent un compte de messagerie. Soudain, les gens ont voulu trouver un moyen de gagner de l’argent avec cela. Vous connaîtrez toujours l'adresse e-mail de la victime, la saisirez dans le formulaire et vous aurez la possibilité de réinitialiser le mot de passe du compte que vous souhaitez manipuler. Vous l'utilisez ensuite sur votre réseau, et cette boîte aux lettres devient votre coffre-fort doré, l'endroit principal à partir duquel vous pouvez voler tous les autres comptes de la victime. Vous recevrez l'intégralité de l'abonnement de la victime en prenant possession d'une seule boîte mail. Arrête de sourire, c'est sérieux !
La diapositive suivante montre combien de millions de personnes utilisent les services de messagerie correspondants. Les gens utilisent activement Gmail, Yahoo Mail, Hotmail, AOL Mail, mais vous n'avez pas besoin d'être un super hacker pour reprendre leurs comptes, vous pouvez garder les mains propres en sous-traitant. Vous pouvez toujours dire que cela n’a rien à voir, vous n’avez rien fait de tel.
Ainsi, le service en ligne « Password Recovery » est basé en Chine, où vous payez pour pirater « votre » compte. Pour 300 yuans, soit environ 43 dollars, vous pouvez essayer de réinitialiser le mot de passe d'une boîte aux lettres étrangère avec un taux de réussite de 85 %. Pour 200 yuans, soit 29 dollars, vous réussirez à réinitialiser le mot de passe de votre boîte aux lettres de service de messagerie domestique à 90 %. Il en coûte mille yuans, soit 143 dollars, pour pirater la boîte aux lettres d'une entreprise, mais le succès n'est pas garanti. Vous pouvez également externaliser les services de piratage de mots de passe pour 163, 126, QQ, Yahoo, Sohu, Sina, TOM, Hotmail, MSN, etc.
Conférence BLACK HAT USA. Devenez riche ou mourez : gagnez de l'argent en ligne en utilisant les méthodes Black Hat. Partie 2 (le lien sera disponible demain)
Quelques publicités 🙂
Merci de rester avec nous. Vous aimez nos articles ? Vous voulez voir du contenu plus intéressant ? Soutenez-nous en passant une commande ou en recommandant à vos amis, , 30 % de réduction pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme, que nous avons inventé pour vous : (disponible avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher ? Ici seulement aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99$ ! En savoir plus
Source: habr.com