ایک حفاظتی ٹول کے طور پر سوراخ - 2، یا "لائیو بیت پر" اے پی ٹی کو کیسے پکڑنا ہے

(ٹائٹل آئیڈیا کے لیے سرجی جی بریسٹر کا شکریہ سیبرس)

ساتھیوں، اس مضمون کا مقصد فریب کاری کی ٹیکنالوجیز پر مبنی IDS حل کی ایک نئی کلاس کے ایک سال طویل ٹیسٹ آپریشن کے تجربے کا اشتراک کرنا ہے۔

مواد کی پیش کش کی منطقی ہم آہنگی کو برقرار رکھنے کے لیے، میں احاطے سے شروع کرنا ضروری سمجھتا ہوں۔ تو، مسئلہ:

1. ٹارگٹڈ حملے حملے کی سب سے خطرناک قسم ہیں، اس حقیقت کے باوجود کہ خطرات کی کل تعداد میں ان کا حصہ بہت کم ہے۔
2. دائرہ (یا اس طرح کے ذرائع کا ایک مجموعہ) کی حفاظت کا کوئی یقینی موثر ذریعہ ابھی تک ایجاد نہیں ہوا ہے۔
3. ایک اصول کے طور پر، ٹارگٹ حملے کئی مراحل میں ہوتے ہیں۔ دائرے پر قابو پانا ابتدائی مراحل میں سے صرف ایک ہے، جس سے (آپ مجھ پر پتھر پھینک سکتے ہیں) "شکار" کو زیادہ نقصان نہیں پہنچاتا، جب تک کہ یہ ڈی ای او ایس (خدمت کی تباہی) حملہ (انکرپٹرز وغیرہ) نہ ہو۔ .) اصل "درد" بعد میں شروع ہوتا ہے، جب قبضے میں لیے گئے اثاثوں کو "گہرائی" کے حملے کے لیے استعمال کیا جانا شروع ہو جاتا ہے، اور ہم نے اس پر توجہ نہیں دی۔
4. چونکہ حملہ آور بالآخر حملے کے اہداف (ایپلی کیشن سرورز، ڈی بی ایم ایس، ڈیٹا گودام، ریپوزٹریز، بنیادی ڈھانچے کے اہم عناصر) تک پہنچنے پر ہمیں حقیقی نقصان اٹھانا شروع ہو جاتا ہے، اس لیے یہ منطقی ہے کہ انفارمیشن سیکیورٹی سروس کا ایک کام حملوں سے پہلے روکنا ہے۔ یہ افسوسناک واقعہ. لیکن کسی چیز میں رکاوٹ ڈالنے کے لیے، آپ کو پہلے اس کے بارے میں معلوم کرنا چاہیے۔ اور جتنی جلدی، اتنا ہی بہتر۔
5. اس کے مطابق، کامیاب رسک مینجمنٹ کے لیے (یعنی ٹارگٹڈ حملوں سے ہونے والے نقصان کو کم کرنا)، یہ ضروری ہے کہ ایسے ٹولز ہوں جو کم از کم TTD فراہم کریں (پتہ لگانے کا وقت - مداخلت کے لمحے سے لے کر حملے کا پتہ چلنے تک کا وقت)۔ صنعت اور علاقے پر منحصر ہے، یہ مدت امریکہ میں اوسطاً 99 دن، EMEA خطے میں 106 دن، APAC خطے میں 172 دن ہے (M-Trends 2017, A View From the Front Lines, Mandiant)۔
6. مارکیٹ کیا پیش کرتا ہے؟
   • "سینڈ باکسز"۔ ایک اور احتیاطی کنٹرول، جو مثالی سے بہت دور ہے۔ سینڈ باکسز یا وائٹ لسٹنگ کے حل کا پتہ لگانے اور نظرانداز کرنے کے لیے بہت سی موثر تکنیکیں ہیں۔ "تاریک طرف" کے لوگ اب بھی یہاں ایک قدم آگے ہیں۔
   • UEBA (رویے کی پروفائلنگ اور انحراف کی نشاندہی کرنے کے نظام) - نظریہ میں، بہت مؤثر ہو سکتا ہے. لیکن، میری رائے میں، یہ مستقبل بعید میں ہے۔ عملی طور پر، یہ اب بھی بہت مہنگا، ناقابل بھروسہ ہے اور اس کے لیے ایک بہت پختہ اور مستحکم IT اور انفارمیشن سیکیورٹی انفراسٹرکچر کی ضرورت ہے، جس میں پہلے سے ہی وہ تمام ٹولز موجود ہیں جو رویے کے تجزیہ کے لیے ڈیٹا تیار کریں گے۔
   • SIEM تحقیقات کے لیے ایک اچھا ٹول ہے، لیکن یہ بروقت کسی نئی اور اصلی چیز کو دیکھنے اور دکھانے کے قابل نہیں ہے، کیونکہ ارتباط کے اصول وہی ہیں جو دستخط کے ہیں۔

7. نتیجے کے طور پر، ایک ایسے آلے کی ضرورت ہے جو:
   • پہلے سے سمجھوتہ شدہ دائرہ کے حالات میں کامیابی کے ساتھ کام کیا،
   • استعمال شدہ اوزاروں اور کمزوریوں سے قطع نظر، قریب قریب حقیقی وقت میں کامیاب حملوں کا پتہ چلا،
   • دستخطوں/قواعد/اسکرپٹس/پالیسیوں/پروفائلز اور دیگر جامد چیزوں پر منحصر نہیں تھا،
   • تجزیہ کے لیے بڑی مقدار میں ڈیٹا اور ان کے ذرائع کی ضرورت نہیں تھی،
   • حملوں کو "دنیا میں سب سے بہترین، پیٹنٹ شدہ اور اس وجہ سے بند ریاضی" کے کام کے نتیجے میں کسی قسم کی رسک اسکورنگ کے طور پر بیان کرنے کی اجازت نہیں دی جائے گی، جس کے لیے اضافی تحقیقات کی ضرورت ہے، لیکن عملی طور پر ایک بائنری ایونٹ کے طور پر - "ہاں، ہم پر حملہ کیا جا رہا ہے" یا "نہیں، سب کچھ ٹھیک ہے"،
   • یہ آفاقی، مؤثر طریقے سے توسیع پذیر اور کسی بھی متفاوت ماحول میں لاگو کرنے کے لیے قابل عمل تھا، قطع نظر اس کے کہ استعمال شدہ طبعی اور منطقی نیٹ ورک ٹوپولاجی۔

نام نہاد دھوکہ دہی کے حل اب ایسے ٹول کے کردار کے لیے کوشاں ہیں۔ یعنی، شہد کے برتن کے اچھے پرانے تصور پر مبنی حل، لیکن عمل درآمد کی بالکل مختلف سطح کے ساتھ۔ یہ موضوع یقینی طور پر اب عروج پر ہے۔

نتائج کے مطابق گارٹنر سیکیورٹی اینڈ رسک مینجمنٹ سمٹ 2017 دھوکہ دہی کے حل ٹاپ 3 حکمت عملیوں اور ٹولز میں شامل ہیں جن کے استعمال کی سفارش کی جاتی ہے۔

رپورٹ کے مطابق TAG سائبرسیکیوریٹی سالانہ 2017 دھوکہ دہی IDS Intrusion Detection Systems) کے حل کی ترقی کی اہم سمتوں میں سے ایک ہے۔

مؤخر الذکر کا ایک پورا حصہ سسکو اسٹیٹ آف آئی ٹی سیکیورٹی رپورٹSCADA کے لیے وقف، اس مارکیٹ کے لیڈروں میں سے ایک، TrapX Security (اسرائیل) کے ڈیٹا پر مبنی ہے، جس کا حل ہمارے ٹیسٹ کے علاقے میں ایک سال سے کام کر رہا ہے۔

TrapX Deception Grid آپ کو لائسنسنگ بوجھ اور ہارڈ ویئر وسائل کی ضروریات میں اضافہ کیے بغیر مرکزی طور پر بڑے پیمانے پر تقسیم شدہ IDS کی لاگت اور چلانے کی اجازت دیتا ہے۔ درحقیقت، TrapX ایک کنسٹرکٹر ہے جو آپ کو موجودہ IT انفراسٹرکچر کے عناصر سے انٹرپرائز وسیع پیمانے پر حملوں کا پتہ لگانے کے لیے ایک بڑا طریقہ کار بنانے کی اجازت دیتا ہے، ایک قسم کا تقسیم شدہ نیٹ ورک "الارم"۔

حل کی ساخت

ہماری لیبارٹری میں ہم مسلسل آئی ٹی سیکیورٹی کے شعبے میں مختلف نئی مصنوعات کا مطالعہ اور جانچ کرتے ہیں۔ فی الحال، تقریباً 50 مختلف ورچوئل سرور یہاں تعینات ہیں، بشمول TrapX Deception Grid اجزاء۔

تو، اوپر سے نیچے تک:

1. TSOC (TrapX سیکیورٹی آپریشن کنسول) نظام کا دماغ ہے۔ یہ مرکزی مینجمنٹ کنسول ہے جس کے ذریعے کنفیگریشن، حل کی تعیناتی اور روزمرہ کے تمام کام انجام پاتے ہیں۔ چونکہ یہ ایک ویب سروس ہے، اس لیے اسے کہیں بھی تعینات کیا جا سکتا ہے - فریم پر، کلاؤڈ میں یا MSSP فراہم کنندہ پر۔
2. TrapX Appliance (TSA) ایک ورچوئل سرور ہے جس میں ہم ٹرنک پورٹ کا استعمال کرتے ہوئے ان سب نیٹس کو جوڑتے ہیں جن کا ہم نگرانی کے ساتھ احاطہ کرنا چاہتے ہیں۔ اس کے علاوہ، ہمارے تمام نیٹ ورک سینسر دراصل یہاں "لائیو" ہیں۔

   ہماری لیب میں ایک TSA تعینات ہے (mwsapp1)، لیکن حقیقت میں بہت سے ہو سکتے ہیں۔ یہ ایسے بڑے نیٹ ورکس میں ضروری ہو سکتا ہے جہاں سیگمنٹس کے درمیان کوئی L2 کنیکٹیویٹی نہیں ہے (ایک عام مثال "ہولڈنگ اور ذیلی کمپنیاں" یا "بینک ہیڈ آفس اور برانچز") یا اگر نیٹ ورک میں الگ تھلگ سیگمنٹس ہیں، مثال کے طور پر، خودکار پراسیس کنٹرول سسٹم۔ اس طرح کی ہر شاخ/حصہ میں، آپ اپنا TSA تعینات کر سکتے ہیں اور اسے ایک واحد TSOC سے جوڑ سکتے ہیں، جہاں تمام معلومات کو مرکزی طور پر پروسیس کیا جائے گا۔ یہ فن تعمیر آپ کو نیٹ ورک کو یکسر ری اسٹرکچر کرنے یا موجودہ سیگمنٹیشن میں خلل ڈالنے کی ضرورت کے بغیر تقسیم شدہ مانیٹرنگ سسٹم بنانے کی اجازت دیتا ہے۔

   اس کے علاوہ، ہم TAP/SPAN کے ذریعے TSA کو باہر جانے والی ٹریفک کی ایک کاپی جمع کر سکتے ہیں۔ اگر ہم معلوم بوٹنیٹس، کمانڈ اینڈ کنٹرول سرورز، یا ٹی او آر سیشنز کے ساتھ کنکشن کا پتہ لگاتے ہیں، تو ہمیں کنسول میں نتیجہ بھی ملے گا۔ نیٹ ورک انٹیلی جنس سینسر (NIS) اس کے لیے ذمہ دار ہے۔ ہمارے ماحول میں، یہ فعالیت فائر وال پر لاگو ہوتی ہے، اس لیے ہم نے اسے یہاں استعمال نہیں کیا۔

3. ایپلیکیشن ٹریپس (مکمل OS) – ونڈوز سرورز پر مبنی روایتی ہنی پاٹس۔ آپ کو ان میں سے بہت سے کی ضرورت نہیں ہے، کیونکہ ان سرورز کا بنیادی مقصد سینسرز کی اگلی پرت کو آئی ٹی خدمات فراہم کرنا یا کاروباری ایپلی کیشنز پر حملوں کا پتہ لگانا ہے جو ونڈوز ماحول میں تعینات ہوسکتے ہیں۔ ہمارے پاس اپنی لیبارٹری میں ایسا ہی ایک سرور نصب ہے (FOS01)

   

4. ایمولیٹڈ ٹریپس اس حل کا بنیادی جزو ہیں، جو ہمیں، ایک واحد ورچوئل مشین کا استعمال کرتے ہوئے، حملہ آوروں کے لیے ایک انتہائی گھنی "مائن فیلڈ" بنانے اور اپنے سینسرز کے ساتھ انٹرپرائز نیٹ ورک، اس کے تمام vlans کو سیر کرنے کی اجازت دیتا ہے۔ حملہ آور ایسے سینسر، یا فینٹم ہوسٹ کو ایک حقیقی ونڈوز پی سی یا سرور، لینکس سرور یا دیگر ڈیوائس کے طور پر دیکھتا ہے جسے ہم اسے دکھانے کا فیصلہ کرتے ہیں۔

   
   
   کاروبار کی بھلائی اور تجسس کی خاطر، ہم نے "ہر مخلوق کا ایک جوڑا" تعینات کیا - ونڈوز پی سی اور مختلف ورژن کے سرورز، لینکس سرورز، ونڈوز ایمبیڈڈ ایک اے ٹی ایم، سوئفٹ ویب ایکسیس، ایک نیٹ ورک پرنٹر، ایک سسکو سوئچ، ایک Axis IP کیمرہ، ایک MacBook، PLC - ڈیوائس اور یہاں تک کہ ایک سمارٹ لائٹ بلب۔ کل 13 میزبان ہیں۔ عام طور پر، وینڈر حقیقی میزبانوں کی تعداد کے کم از کم 10% کی مقدار میں ایسے سینسر لگانے کی تجویز کرتا ہے۔ ٹاپ بار دستیاب ایڈریس اسپیس ہے۔

   ایک بہت اہم نکتہ یہ ہے کہ اس طرح کی ہر میزبان ایک مکمل ورچوئل مشین نہیں ہے جس کے لیے وسائل اور لائسنس کی ضرورت ہو۔ یہ TSA پر ایک ڈیکوی، ایمولیشن، ایک عمل ہے، جس میں پیرامیٹرز کا ایک سیٹ اور ایک IP ایڈریس ہوتا ہے۔ لہذا، یہاں تک کہ ایک TSA کی مدد سے، ہم نیٹ ورک کو سینکڑوں ایسے فینٹم ہوسٹس کے ساتھ سیر کر سکتے ہیں، جو الارم سسٹم میں سینسر کے طور پر کام کریں گے۔ یہ وہ ٹیکنالوجی ہے جو کسی بھی بڑے تقسیم شدہ انٹرپرائز میں ہنی پاٹ کے تصور کو لاگت سے مؤثر طریقے سے پیمانہ کرنا ممکن بناتی ہے۔

   حملہ آور کے نقطہ نظر سے، یہ میزبان پرکشش ہوتے ہیں کیونکہ ان میں کمزوریاں ہوتی ہیں اور یہ نسبتاً آسان ہدف ہوتے ہیں۔ حملہ آور ان میزبانوں پر خدمات دیکھتا ہے اور ان کے ساتھ بات چیت کرسکتا ہے اور معیاری ٹولز اور پروٹوکول (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus، وغیرہ) کا استعمال کرتے ہوئے ان پر حملہ کرسکتا ہے۔ لیکن ان میزبانوں کو حملہ تیار کرنے یا اپنا کوڈ چلانے کے لیے استعمال کرنا ناممکن ہے۔

5. ان دو ٹیکنالوجیز (FullOS اور ایمولیٹڈ ٹریپس) کا امتزاج ہمیں ایک اعلیٰ شماریاتی امکان حاصل کرنے کی اجازت دیتا ہے کہ حملہ آور کو جلد یا بدیر ہمارے سگنلنگ نیٹ ورک کے کسی عنصر کا سامنا کرنا پڑے گا۔ لیکن ہم یہ کیسے یقینی بنا سکتے ہیں کہ یہ امکان 100% کے قریب ہے؟

   نام نہاد دھوکہ دہی کے ٹوکن جنگ میں داخل ہوتے ہیں۔ ان کا شکریہ، ہم اپنے تقسیم شدہ IDS میں انٹرپرائز کے تمام موجودہ PCs اور سرورز کو شامل کر سکتے ہیں۔ ٹوکن صارفین کے اصلی پی سی پر رکھے جاتے ہیں۔ یہ سمجھنا ضروری ہے کہ ٹوکن ایسے ایجنٹ نہیں ہیں جو وسائل استعمال کرتے ہیں اور تنازعات کا سبب بن سکتے ہیں۔ ٹوکن غیر فعال معلوماتی عناصر ہیں، حملہ آور فریق کے لیے ایک قسم کے "بریڈ کرمبس" جو اسے پھندے میں لے جاتے ہیں۔ مثال کے طور پر، میپ شدہ نیٹ ورک ڈرائیوز، براؤزر میں جعلی ویب ایڈمنز کے لیے بُک مارکس اور ان کے لیے محفوظ کردہ پاس ورڈ، محفوظ کیے گئے ssh/rdp/winscp سیشنز، میزبان فائلوں میں تبصروں کے ساتھ ہمارے ٹریپس، میموری میں محفوظ کردہ پاس ورڈ، غیر موجود صارفین کی اسناد، دفتر فائلیں، کھولنا جو سسٹم کو متحرک کرے گا، اور بہت کچھ۔ اس طرح، ہم حملہ آور کو ایک بگڑے ہوئے ماحول میں رکھتے ہیں، جو حملہ کرنے والے ویکٹر سے سیر ہوتا ہے جو درحقیقت ہمارے لیے خطرہ نہیں ہوتا، بلکہ اس کے برعکس ہوتا ہے۔ اور اس کے پاس یہ تعین کرنے کا کوئی طریقہ نہیں ہے کہ معلومات کہاں درست ہیں اور کہاں غلط۔ اس طرح، ہم نہ صرف حملے کا فوری پتہ لگانے کو یقینی بناتے ہیں، بلکہ اس کی پیش رفت کو بھی نمایاں طور پر سست کر دیتے ہیں۔

نیٹ ورک ٹریپ بنانے اور ٹوکن قائم کرنے کی ایک مثال۔ دوستانہ انٹرفیس اور کنفیگس، اسکرپٹس وغیرہ کی کوئی دستی ترمیم نہیں۔

اپنے ماحول میں، ہم نے ونڈوز سرور 01R2012 پر چلنے والے FOS2 اور ونڈوز 7 پر چلنے والے ٹیسٹ پی سی پر اس طرح کے متعدد ٹوکن ترتیب دیے اور رکھے۔ (ایمولیٹڈ ٹریپس) بھی دکھائے جاتے ہیں۔ لہذا ہمیں واقعات کا ایک مستقل سلسلہ ملتا ہے، قدرتی طور پر بات کرنے کے لئے۔

لہذا، یہاں سال کے لئے کچھ فوری اعدادوشمار ہیں:

56 واقعات ریکارڈ کیے گئے،
2 - حملے کے ذریعہ میزبانوں کا پتہ چلا۔

انٹرایکٹو، قابل کلک حملے کا نقشہ

ایک ہی وقت میں، حل کسی قسم کا میگا لاگ یا ایونٹ فیڈ نہیں بناتا، جسے سمجھنے میں کافی وقت لگتا ہے۔ اس کے بجائے، حل خود ہی واقعات کو ان کی اقسام کے لحاظ سے درجہ بندی کرتا ہے اور معلوماتی حفاظتی ٹیم کو بنیادی طور پر سب سے زیادہ خطرناک پر توجہ مرکوز کرنے کی اجازت دیتا ہے - جب حملہ آور کنٹرول سیشن (تعامل) کو بڑھانے کی کوشش کرتا ہے یا جب ہمارے ٹریفک میں بائنری پے لوڈز (انفیکشن) ظاہر ہوتے ہیں۔

واقعات کے بارے میں تمام معلومات پڑھنے کے قابل اور پیش کی جاتی ہیں، میری رائے میں، معلومات کی حفاظت کے شعبے میں بنیادی معلومات رکھنے والے صارف کے لیے بھی سمجھنے میں آسان شکل میں۔

زیادہ تر ریکارڈ شدہ واقعات ہمارے میزبانوں یا سنگل کنکشنز کو اسکین کرنے کی کوششیں ہیں۔

یا آر ڈی پی کے پاس ورڈز کو زبردستی استعمال کرنے کی کوشش

لیکن اس سے بھی زیادہ دلچسپ معاملات تھے، خاص طور پر جب حملہ آوروں نے RDP کے پاس ورڈ کا اندازہ لگانے اور مقامی نیٹ ورک تک رسائی حاصل کرنے میں "منظم" کیا تھا۔

ایک حملہ آور psexec کا استعمال کرتے ہوئے کوڈ پر عمل درآمد کرنے کی کوشش کرتا ہے۔

حملہ آور کو ایک محفوظ شدہ سیشن ملا، جس کی وجہ سے وہ لینکس سرور کی شکل میں جال میں پھنس گیا۔ منسلک ہونے کے فوراً بعد، پہلے سے تیار کردہ کمانڈز کے ایک سیٹ کے ساتھ، اس نے تمام لاگ فائلوں اور متعلقہ سسٹم کے متغیرات کو تباہ کرنے کی کوشش کی۔

ایک حملہ آور ہنی پاٹ پر ایس کیو ایل انجیکشن لگانے کی کوشش کرتا ہے جو SWIFT Web Access کی نقل کرتا ہے۔

اس طرح کے "قدرتی" حملوں کے علاوہ، ہم نے اپنے کئی ٹیسٹ بھی کئے۔ سب سے زیادہ انکشافات میں سے ایک نیٹ ورک پر نیٹ ورک کیڑے کے پتہ لگانے کے وقت کی جانچ کرنا ہے۔ ایسا کرنے کے لیے ہم نے گارڈی کور کا ایک ٹول استعمال کیا۔ انفیکشن بندر. یہ ایک نیٹ ورک کیڑا ہے جو ونڈوز اور لینکس کو ہائی جیک کر سکتا ہے، لیکن بغیر کسی "پے لوڈ" کے۔
ہم نے ایک مقامی کمانڈ سینٹر تعینات کیا، مشینوں میں سے ایک پر کیڑے کا پہلا واقعہ شروع کیا، اور ڈیڑھ منٹ سے بھی کم وقت میں TrapX کنسول میں پہلا الرٹ موصول ہوا۔ TTD 90 سیکنڈز بمقابلہ اوسطاً 106 دن...

حل کے دوسرے طبقوں کے ساتھ ضم کرنے کی صلاحیت کی بدولت، ہم خطرات کا فوری پتہ لگانے سے خود بخود ان کا جواب دینے کی طرف بڑھ سکتے ہیں۔

مثال کے طور پر، NAC (Network Access Control) سسٹمز یا CarbonBlack کے ساتھ انضمام آپ کو خود بخود سمجھوتہ شدہ PCs کو نیٹ ورک سے منقطع کرنے کی اجازت دے گا۔

سینڈ باکسز کے ساتھ انٹیگریشن حملے میں ملوث فائلوں کو خود بخود تجزیہ کے لیے جمع کرنے کی اجازت دیتا ہے۔

میکافی انضمام

حل کا اپنا بلٹ ان ایونٹ کے ارتباط کا نظام بھی ہے۔

لیکن ہم اس کی صلاحیتوں سے مطمئن نہیں تھے، اس لیے ہم نے اسے HP ArcSight کے ساتھ مربوط کیا۔

بلٹ ان ٹکٹنگ سسٹم پوری دنیا کو پائے جانے والے خطرات سے نمٹنے میں مدد کرتا ہے۔

چونکہ حل حکومتی ایجنسیوں اور ایک بڑے کارپوریٹ طبقہ کی ضروریات کے لیے "شروع سے" تیار کیا گیا تھا، اس لیے یہ قدرتی طور پر ایک رول پر مبنی رسائی ماڈل، AD کے ساتھ انضمام، رپورٹس اور ٹرگرز (ایونٹ الرٹس) کا ایک ترقی یافتہ نظام، آرکیسٹریشن کو نافذ کرتا ہے۔ بڑے ہولڈنگ ڈھانچے یا MSSP فراہم کرنے والے۔

دوبارہ شروع کرنے کے بجائے

اگر ایسا کوئی نگرانی کا نظام ہے، جو علامتی طور پر ہماری کمر کو ڈھانپتا ہے، تو فیر میٹر کے سمجھوتے کے ساتھ ہی سب کچھ شروع ہوتا ہے۔ سب سے اہم بات یہ ہے کہ معلومات کی حفاظت کے واقعات سے نمٹنے کا ایک حقیقی موقع ہے، نہ کہ ان کے نتائج سے نمٹنے کا۔

ماخذ: www.habr.com