dodany: 31.12.2012 | tagi: , , ,

Autor:

Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 4. Ochrona komputerów klienckich

2

Krok 3: Ochrona komputerów klienckich

 

Poprzedni rozdział koncentruje się na poradach dotyczących wdrażania ochrony sieci. Na tym etapie przybliżymy zagadnienia obrony warstwy komputera klienckiego. Istnieje cały szereg metod oraz technologii, które mogą zostać wykorzystane w celu obrony przed atakami wirusowymi. Należy jednak znaleźć rozwiązanie kompromisowe, czyli takie, które pozwoli osiągnąć równowagę między wymaganiami biznesowymi organizacji, a akceptowalnym poziomem ryzyka. Etap ten dzieli się na kilka mniejszych zadań, które należy rozważyć każde z osobna:

 

1. Ograniczenie możliwości ataku.

2. Aktualizacja zabezpieczeń.

3. Ustawienie osobistego firewalla.

4. Instalacja oprogramowania antymalware.

5. Testowanie podatności na ataki.

6. Ograniczenie przywilejów.

7. Ograniczenie dostępu dla nieautoryzowanych aplikacji.

8. Ochrona aplikacji klienckich.

 

Zadanie 1: Ograniczenie możliwości ataku

Pierwsza krokiem ku obronie w warstwie aplikacji jest ograniczenie możliwości ataku na komputer. By zminimalizować możliwości czy liczbę sposobów dających się wykorzystać do ataku na system, należy wyłączyć bądź usunąć wszystkie zbędne aplikacje i/lub usługi. Funkcję scentralizowanego zarządzania komputerami działającymi na systemach operacyjnych Windows wraz z Windows Internet Explorer oraz aplikacjami Microsoft Office) zapewnia Compliance Manager Microsoft Security (w skr. SCM). Głównym zadaniem skanera jest wykrywanie i zapobieganie atakowi, a następnie powiadomienie o zajściu użytkownika i administratora.

 

Zadanie 2: Aktualizacja zabezpieczeń

Sama liczba oraz różnorodność komputerów klienckich podłączonych do sieci firmowej może utrudnić znalezienie przepisu na szybki i niezawodny sposób zarządzania aktualizacjami zabezpieczeń. Microsoft oraz inne firmy opracowały szereg narzędzi, które mogą być pomocne w rozwiązaniu tego problemu. Aby uzyskać więcej informacji dotyczących sposobu zarządzania aktualizacjami w systemach korporacyjnych, zobacz stronę TechCenter.

Ważne: Dodatki do przeglądarek internetowych, takie jak Flash i Adobe Reader to obecnie jedne z najbardziej popularnych celów złośliwych ataków. Z tego powodu ważne jest, aby pamiętać, że użycie samej usługi Microsoft Update i Windows Update nie ochroni komputerów przed złośliwym wykorzystaniem podatnych luk znajdujących się w innym oprogramowaniu.

 

Aktualizacja oprogramowania Microsoftu

Dla małych organizacji lub osób prywatnych, Microsoft oferuje dwa rodzaje update’u, zintegrowanego z funkcją automatycznej aktualizacji w systemie Windows:

Windows Update. Usługa ta umożliwia aktualizację składników systemu Windows oraz sterowników dla urządzeń dostarczanych zarówno przez Microsoft, jak i innych producentów oprogramowania. Windows Update uaktualnia także sygnatury dla antywirusowych produktów Microsoftu oraz swojego Malicious Software Removal Tool (w skr. MSRT). Usługa jest domyślnie włączona w Windowsie.

Microsoft Update. Usługa ta jest poszerzeniem poprzedniej. Zapewnia wszystkie aktualizacje oferowane przez Windows Update oraz update innych programów Microsoftu, takich jak Microsoft Office System, Microsoft SQL Server i Microsoft Exchange Server. Użytkownicy mogą wybrać tę opcję podczas instalacji oprogramowania lub za pośrednictwem witryny Microsoft Update.

Microsoft oferuje również rozwiązania dla opartych o serwer infrastruktur każdej wielkości. Opcje zawierają te same aktualizacje, które dostępne są za pośrednictwem usługi Windows Update i Microsoft Update, ale dają również dodatkowe możliwości kontroli.

Windows Server Update Services (w skr. WSUS). Usługa ta przeznaczona jest dla przedsiębiorstw. WSUS pozwala administratorom IT na wdrażanie najnowszych aktualizacji produktów Microsoftu na komputerach z systemem operacyjnym Windows. Za pomocą usług WSUS, administratorzy mogą w pełni zarządzać aktualizacjami wydawanymi przez Microsoft Update na komputerach będących w sieci.

System Center Configuration Manager. System Center Configuration Manager 2007 R2 wspiera Windows 7 i Windows Server 2008 R2 oraz zapewnia aktualizację systemu operacyjnego, umożliwiając rozwój Configuration Manager. Pozostałe funkcje zawarte w oprogramowaniu obejmują raportowanie stanu klienta, raportowanie SQL i sprawozdania z Forefront Client.

Każde z tych narzędzi aktualizacji zabezpieczeń od Microsoftu charakteryzują określone zalety i cele. Najlepszym rozwiązaniem jest używanie chociaż jednego lub wielu z nich.

Aktualizacja innego oprogramowania

Chociaż Microsoft Update i inne wymienione wcześniej usługi zapewniają aktualizacje dla produktów firmy Microsoft, ważne jest, aby zadbać o strategię aktualizacji całego oprogramowania, a szczególnie tego, które narażone jest na ataki internetowe. Kiedy systemy operacyjne i przeglądarki internetowe stały się bardziej bezpieczne, napastnicy zaczęli zwracać uwagę na wykorzystanie luk w dodatkach do tychże przeglądarek, takich jak np. ActiveX (pozwalający użytkownikom na odtwarzanie popularnych typów formatów multimedialnych bezpośrednio w środowisku przeglądarki). Wiele z tych rozszerzeń nie ma możliwości aktualizacji automatycznej, więc nawet gdy twórcy oprogramowania opublikują poprawkę łatającą luki, użytkownik może w ogóle nie wiedzieć ani że jest ona dostępna, ani w jaki sposób można ją zdobyć i tym samym pozostaje stale podatny na ataki.

Wiele firm oferuje rozwiązania zarządzania poprawkami, łączące aktualizacje zabezpieczeń od różnych dostawców oprogramowania. W celu uproszczenia procesu aktualizacji oprogramowania wszystkich komputerów w sieci firmowej warto zastanowić się nad realizacją jednego z powyższych rozwiązań.

 

Zadanie 3: Ustawienie firewalla

Osobisty firewall (oparty na hoście) stanowi ważną część obrony klienta. Powinien być włączony na wszystkich komputerach klienckich w organizacji, a w szczególności na laptopach, które mogą być używane poza organizacją. Zapora filtruje wszystkie dane wchodzące oraz wychodzące z danego komputera.

 

Zadanie 4: Instalacja oprogramowania antymalware

Wiele programów AV zostało stworzonych tak, by ich obsługa i praca sprawiały użytkownikowi jak najmniej kłopotów, wymagały jak najmniejszej interakcji. Większość z tych programów jest bardzo skuteczna, ale wszystkie wymagają częstych, bieżących aktualizacji bazy wirusów. Każdy program antymalware powinien zapewniać jak najszybszą i bezproblemową możliwość aktualizacji sygnatur, zawierających niezbędne informacje do wykrywania i unieszkodliwiania najnowszych wirusów oraz ich odmian.

Rozwiązania antymalware dla dużych organizacji, pozwalają na scentralizowane monitorowanie i kontrolę oprogramowania na wszystkich komputerach klienckich w firmie. Niektóre programy AV działają w oparciu o proaktywne mechanizmy, takie jak heurystyka, piaskownica (z ang. sandbox) czy metoda skanowania behawioralnego. Sandbox jest mechanizmem bezpieczeństwa, służącym do oddzielania uruchomionych programów, gdy któryś wzbudzi podejrzenia. Często używa się go do testowania niesprawdzonych kodów, podejrzanych programów, witryn czy użytkowników.

Mimo tak nowoczesnych technik, oprogramowanie antywirusowe nadal uważane jest za narzędzie bierne. Jednym z najważniejszych atrybutów stosowania oprogramowania AV jest jego zdolność do szybkiego reagowania i „sprzątanie” sieci po katastrofie wywołanej złośliwym atakiem. Ostatnio niektórzy producenci oprogramowania antymalware umożliwili korzystanie ze swoich produktów w chmurze, przez co programy obsługiwane są przez interfejs WWW. Takie rozwiązanie może ułatwić mniejszym organizacjom korzystanie z oprogramowania AV, ponieważ wyklucza ono fizyczną potrzebę posiadania np. osobnego serwera, a co za tym idzie ponoszenia kosztów zakupu itd.

 

Zadanie 5: Testowanie podatności na ataki

Po konfiguracji systemu, należy upewnić się czy nie istnieją jeszcze jakieś słabość w zabezpieczeniach. Istnieje cały szereg programów umożliwiających skanowanie w celu sprawdzenia wytrzymałości systemu na ataki malware oraz wyszukujących luki, które mogą być wykorzystane do włamania. Najlepiej skonfigurować swoje oprogramowanie tak, by dokonywało rutynowych kontroli bezpieczeństwa systemu.

 

Zadanie 6: Ograniczenie przywilejów

Innym obszarem obrony, którego nie można przeoczyć, jest przypisywanie przywilejów użytkownikom sieci. Zalecane jest przyjęcie takiej polityki, która zapewni użytkownikowi możliwie najmniejszą ilość uprawnień. Takie restrykcje mogą korzystnie wpłynąć na zminimalizowanie skutków szkodliwego oprogramowania, wykorzystującego często uprawnienia użytkowników podczas wykonywania ich pracy.

 

Zadanie 7: Ograniczenie dostępu dla nieautoryzowanych aplikacji

Jeśli jakaś aplikacja świadczy usługi w sieci lub w Internecie, jak IM, naraża ona nasz system na atak. By zminimalizować możliwość ryzyka, warto stworzyć listę aplikacji autoryzowanych.

Aby ograniczyć użytkownikom możliwość uruchomienia nieautoryzowanego programu, można zastosować zasadę „polityki grupowej”. Jest to możliwe już z poziomu systemu Windows XP czy Windows Vista. Narzędzie Zasady Ograniczeń Oprogramowania (z ang. Software Restriction Policies, w skr. SRP) pozwala administratorom na ograniczenie dostępu do aplikacji w oparciu o różne wyznaczniki: w tym hasz pliku (z ang. hash rule), ścieżka (z ang. path rule), przynależność użytkownika do „grupy zaufania” etc. Poniżej przykłady kilku reguł, jakich utworzenie umożliwia SRP.

Hash rule, to reguła bazująca na danych z kryptograficznego „odcisku palca” (czyli skrótu) aplikacji. Zaletą jej zastosowania jest jej stałość. Reguła obowiązuje niezależnie od zmiany nazwy czy lokalizacji programu. Niestety obowiązuje ona tylko dla jednej wersji aplikacji, co oznacza, że po aktualizacji danej aplikacji należy również zadbać o aktualizację reguły o nowe odciski.

Path rule, to reguła opierająca się o lokalizację. Pozwala na zezwalanie lub blokowanie dostępu do tych aplikacji, które znajdują się w konkretnym folderze/dysku. Istnieje możliwość odwołania się do rejestru systemowego.

Certificate rule, to reguła bazująca na certyfikacie. Umożliwia zdefiniowanie klucza, wg którego narzędzie zezwoli na uruchomienie lub zablokuje aplikację podpisaną certyfikatem.

Szczegóły dotyczące reguł SRP oraz ich konfiguracji można znaleźć na stronie wsparcia Microsoftu.

 

Narzędzie SRP spotkało się z zarzutami o trudny sposób konfiguracji. Windows 7 zawiera już zaktualizowaną i ulepszoną wersję SRP, nazywającą się AppLocker. Funkcja ta jest łatwiejsza w obsłudze i zapewnia nowe możliwości i rozszerzenia, zmniejszając tym samym obciążenie administratora. Pomaga ona w kontroli dostępu i sposobu korzystania użytkowników z plików, takich jak pliki wykonywalne, skrypty, pliki Instalatora Windows i Dynamic-Link Library (w skr. DLL). AppLocker nie zastępuje SRP, a działa obok. Należy jednak dokładnie przetestować obie technologie przed ich wdrażaniem, ponieważ jeśli skonfigurujemy je nieprawidłowo, użytkownicy mogą nie być w stanie uruchomić np. niezbędnych, legalnych aplikacji biznesowych.

 

Zadanie 8: Ochrona aplikacji klienckich

Poniżej wyszczególniono sposoby konfiguracji specyficznych aplikacji, które najbardziej narażone są na ataki malware.

 

Przeglądarki internetowe

Użytkownicy powinni pobierać pliki z Internetu lub wykonywać kody jedynie wtedy, jeżeli pochodzą one ze znanego, wiarygodnego źródła. W żadnym wypadku nie należy polegać tylko na wyglądzie witryny lub adresie strony, ponieważ zarówno strona, jak i jej adres mogą być ukryte. Ponadto należy pamiętać o bieżących aktualizacjach dodatków albo całkowicie je odinstalować.

Opracowano wiele różnych technik i technologii mogących pomóc w ocenie wiarygodności przeglądanej witryny. Na przykład Microsoft Internet Explorer używa technologii Microsoft Authenticode, sprawdzającej autentyczność pobranego kodu. Technologia ta sprawdza czy kod ma ważny certyfikat oraz czy tożsamość wydawcy oprogramowania pasuje do certyfikatu. Jeśli witryna przechodzi wszystkie testy pozytywnie, szanse atakującego na przekazanie do systemu złośliwego kodu maleją. Większość najpopularniejszych przeglądarek internetowych pozwala na ograniczenie dostępu dla kodu wykonywanego przez serwer WWW. IE tworzy strefy bezpieczeństwa w zależności od zawartości witryn, które blokują możliwość wykonania szkodliwego kodu.

Na przykład, jeśli jesteśmy przekonani, że coś, co chcemy pobrać w obrębie wewnętrznej sieci jest bezpieczne, możemy wtedy ustawić niski poziom zabezpieczenia. Jednak jeśli źródło pobieranego pliku znajduje się w Internecie lub w grupie witryn z „czarnej listy”, ustawienia bezpieczeństwa można określić na poziomie średnim lub wysokim. Dzięki tym ustawieniom, przeglądarka sprawdzi treści albo wyświetli powiadomienie, np. o podejrzeniu fałszywego certyfikatu, jeszcze zanim użytkownik pobierze plik.

Internet Explorer używa także SmartScreen Filter, który jest podstawową technologią pomagającą w ochronie użytkowników sieci. Cechą SmartScreen jest sprawdzanie reputacji URL, co oznacza, że narzędzie ocenia serwery hostingowe w celu określenia czy nie zawierają one niebezpiecznych treści. Jeśli użytkownik odwiedzi witrynę, która znana jest z dystrybucji złośliwego oprogramowania, Internet Explorer wyświetli wtedy ostrzeżenie oraz zablokuje dostęp do strony.

 

Poczta elektroniczna

Jeśli kiedykolwiek w przeszłości złośliwemu oprogramowaniu udało się przedrzeć do systemu poprzez pocztę elektroniczną, oznacza to, że być może jeszcze nie wszystkie ustawienia zostały odpowiednio skonfigurowane.

Włamywacze bardzo często wykorzystują e-mail do rozprzestrzeniania szkodliwego oprogramowania. W przeszłości kilka poważnych „epidemii” rozprzestrzeniało się przez robaki lub trojany rozsyłane masowo jako załączniki wiadomości. Malware jeszcze czasem rozprzestrzenia się w ten sposób, ale dziś wielu napastników przestawiło się na rozsyłanie wiadomości zawierających bezpośrednie linki do zainfekowanych plików albo do stron pobierania. Można więc rozważyć możliwość ograniczenia zdolności klientów poczty elektronicznej do otrzymywania niektórych typów plików (np. *.exe) lub uniemożliwienia klikania w hiperłącza. Tu również administratorzy mogą zastosować zasadę „polityki grupowej”, chociażby do skonfigurowania programu Microsoft Outlook tak, by przestrzegał pewnych ograniczeń. Na przykład:

• Korzystanie ze stref bezpieczeństwa Internet Explorera, w celu wyłączenia aktywnej zawartości wiadomości e-mail.

• Wyświetlanie wszystkich wiadomości e-mail w formacie zwykłego tekstu.

• Zapobieganie wysłaniu wiadomości bez specjalnego zezwolenia użytkownika.

• Blokowanie w e-mailach niebezpiecznych załączników.

Powyższe środki zaradcze mogą mieć dodatkowo pozytywny wpływ na wydajność systemu. Ponieważ niektóre dynamiczne treści zawarte w wiadomości zostaną wyłączone, zmniejszy się obciążenie łącza. Jednak i tu należy rozważyć możliwość ograniczenia uprawnień względem niezbędnych funkcji czy potrzeb dla funkcjonowania danej organizacji. Na przykład, niektóre aplikacje biznesowe, wykorzystujące e-mail do wykonywania procesów biznesowych, mogą zostać automatycznie zablokowane lub stale wymagać od użytkowników potwierdzenia dostępu do programu Outlook, gdy aplikacja spróbuje wysłać wiadomość.

 

Aplikacje biurowe

Od kiedy aplikacje biurowe stały się bardziej wydajne, zaczęły tym samym być bardziej podatne na ataki malware. Na przykład makrowirusy używają plików makr, utworzonych przez edytory tekstu (szczególnie Microsoft Office), arkusze kalkulacyjne lub inne aplikacje działające w oparciu o replikowanie danych.

Należy więc upewnić się, że wszelkie, najbardziej odpowiednie ustawienia zabezpieczeń zostały włączone we wszystkich aplikacjach operujących takimi plikami.

 

Komunikatory

Możliwość wysłania błyskawicznych wiadomości wpłynęła na usprawnienie komunikacji między użytkownikami na całym świcie. Niestety, zjawisko to zagwarantowało złośliwym programistom nowe możliwości wdarcia się do systemów swoich ofiar. Chociaż wiadomości tekstowe nie są bezpośrednio zagrożone atakiem, większość komunikatorów, w celu usprawnienia komunikacji, umożliwia dodatkowo transfer plików. Proces przesyłania plików uruchamia bezpośredni dostęp do sieci firmowej.

Aby zablokować transfer plików, można włączyć w Zaporze sieciowej proste filtrowanie portów używanych przez komunikator. Na przykład, Windows Live Messenger do przesyłania plików korzysta z wielu portów TCP pomiędzy 6891 i 6900, więc jeśli zapora zablokuje obwody tych portów, transfer plików za pomocą tego programu nie będzie mógł się odbywać. Jednak komputery mobilne będą chronione tylko wtedy, kiedy znajdują się w sieci organizacji. Z tego powodu, należy dodatkowo rozważyć skonfigurowanie firewalla na każdym komputerze.

Może tak się zdarzyć, że nie będziemy mieć możliwości zablokowania danych portów, bo na przykład specyfika pracy organizacji wymaga używania takiego właśnie sposobu komunikacji i przesyłu danych. Wszystkie pliki należy wtedy, przed przeniesieniem dalej, przeskanować programem AV. Jeżeli stacje robocze nie używają oprogramowania AV w czasie rzeczywistym, tzn. nie skanują plików na bieżąco, można skonfigurować komunikator tak, by automatycznie przekazywał przychodzące pliki do skanowania przez wyspecjalizowane oprogramowanie. Można skonfigurować w ten sposób np. Windows Live Messenger.

Poniższej pokazujemy jak włączyć funkcję skanowania przesyłanych plików w Windows Live Messenger 2009.

1. W głównym oknie programu Windows Live Messenger, kliknij przycisk Pokaż menu, kliknij Menu narzędzia, a następnie kliknij polecenie Opcje.

2. W oknie nawigacji kliknij ikonę Transfer plików.

3. W polu wyboru wybierz Skanuj w poszukiwaniu wirusów.

4. Teraz można wykonać jedną z następujących czynności:

• Kliknij przycisk Przeglądaj, wybierz oprogramowanie AV, z którego korzystasz, a następnie kliknij przycisk OK.

Uwaga: Poprawne działanie procesu może wymagać dodatkowych ustawień w programie AV. Należy więc sprawdzić w instrukcji wymagania naszego oprogramowania.

• Kliknij przycisk Zainstaluj, aby pobrać i zainstalować Windows Live OneCare – skaner plików przesłanych przez Microsoft Windows Live Messenger.

Po wykonaniu czynności oprogramowanie antymalware będzie automatycznie skanować wszystkie pliki odebrane przez Windows Live Messenger.

Zaleca się, na ile to możliwe, ograniczenie liczby komputerów, uprawnionych do korzystania z klientów sieci peer-to-peer (w skr. P2P). Aplikacje ograniczające oprogramowanie, takie jak AppLocker, mogą być pomocne w zablokowaniu użytkownikom możliwości uruchamiania aplikacji P2P. Jeżeli wyeliminowanie takiego oprogramowania nie jest możliwe należy pamiętać, że jego działanie zwiększa ryzyko ataków złośliwego oprogramowania.

 

Pytania końcowe

 

Czy istnieją jakieś prawne obawy ze względu na geograficzną lokalizacje używanych aplikacji? Niektóre wymogi prawne i międzynarodowe regulacje mogą zakazywać używania wybranych aplikacji w określonych regionach geograficznych.

Czy używane przez organizację komputery spełniają wymogi do uruchomienia mieszanki oprogramowania antymalware bez uszczerbku dla wydajności ich działania?

Czy poszczególne komputery klienckie zostały odpowiednio skonfigurowane do skutecznego zarządzania bezpieczeństwem? Niektóre technologie omówione w powyższym kroku, jak AppLocker, są kompatybilne tylko z niektórymi wersjami systemu Windows. Należy więc upewnić się, że posiadane komputery są w stanie spełnić wszystkie, niezbędne elementy planu ochrony.

Czy organizacja posiada odpowiednie narzędzia do centralnego zarządzania zabezpieczeniami oraz do egzekwowania przyjętej polityki? „Polityka grupowa”, System Center Configuration Manager oraz inne narzędzia i rozwiązania mogą znacznie ułatwić wdrażanie i egzekwowanie aktualizacji oraz wpłynąć na proces zmian w działaniu całej organizacji.

Czy w przyszłości organizacja planuje jakieś inwestycje w aplikacje, które będą wymagały ochrony? Czy któreś z poniższych, ewentualnych zmian, należy uwzględnić w palnie obrony przed malware:

– Nabycia lub sprzedaże.

– Aplikacje, z których trzeba będzie zrezygnować bądź wymienić je na nowe.

– Rozrost lub spadek rozmiaru plików.

– Wprowadzenie nowych aplikacji, wymagających ochrony.

Jaki harmonogram aktualizacji da najlepszą ochronę komputerów? Harmonogram należy dopasować do oczekiwań i możliwości biznesowych organizacji.

Czy strategia obrony zapewni również odpowiednią ochronę użytkownikom mobilnym, korzystającym z zasobów organizacji? Podczas projektowania strategii obrony komputerów przed malware, łatwo przeoczyć niektóre segmenty infrastruktury. Należy uwzględnić takie czynniki, jak zdalny dostęp, dostęp do Internetu, a także wsparcie dla innych oddziałów.

 

Wszystkie części poradnika:

Cz. 1. Jak chronić się przed malware – poradnik dla użytkowników systemów Windows

Cz. 2. Identyfikacja potencjalnych zagrożeń

Cz. 3. Ochrona sieci

Cz .4. Ochrona komputerów klienckich

Cz .5. Ochrona serwerów

Cz .6. Zagrożenia fizyczne

Cz .7. Edukacja i plan reakcji

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

2 odpowiedzi na “Jak chronić się przed malware – poradnik dla użytkowników systemów Windows – cz. 4. Ochrona komputerów klienckich”

  1. avatar mixer napisał(a):

    Quality content, OP – very refreshing to read, especially amid the low quality work being posted on the internet these days. You have just gained a new fan!

  2. avatar Alisha napisał(a):

    Our children’s first steps, or the first home after you were married and so
    on. Anyway, these cleaners work by trapping the allergens and particles, so that clean air can return to the area where it
    is being used. HEPA is an abbreviation to describe a ‚High Efficiency
    Particulate Arresting’ filter, originally designed in the 1940s by the US military to prevent
    the spread of airborne radioactive particles.

Odpowiedz na „AlishaAnuluj pisanie odpowiedzi

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *