Mac-brugere har længe levet med et lille smil på læben, når talen faldt på it-sikkerhed. Målt op mod Windows-brugernes kvaler, så er malware rettet mod Mac nærmest latterlig lille. Men tiderne er ved at vende!
Som det seneste spredes der i øjeblikket en trojaner via torrentsites, hvor en piratudgave af Apples iWork 09 indeholder lidt ekstra kode. Installationsprogrammet, der ellers er fuldt funktionelt, indeholder nemlig også pakken iWorkServices.pkg. Når den afvikles vil trojaneren have read-write-execute rettigheder til root.
Trojaneren forbinder sig til servere på nettet, hvor den opdateres og henter anden type malware ned på maskinen. En ondsindet fjernbruger kan herefter forbinde sig til den ramte maskine og bruge den til andre formål. Forskellig antivirus til Mac, med signaturer fra den 22. januar, kan finde denne trojaner. Det er dog de færreste Mac-brugere der benytter antivirus. Hmmm....
Fokus på Mac sikkerhed
Som nævnt i indledningen, så har der ikke været megen fokus på malware rettet mod Mac's - platformen har været for ubetydelig for de it-kriminelle. Der har været et par sager gennem årene, men småting i de store sammenhæng. Men det seneste opsving for Apple har medført at vinden er begyndt at vende.
Når en platform begynder at blive populær, så kommer der fokus på at dyrke et marked for eksterne leverandører. Når markedet når en kritisk størrelse, på både den økonomiske og brugsmæssige side, vil forskellige typer af misbrug så småt starte. Det kan være alt fra piratkopiering og cracking til udvikling af malware og hacking.
Så Mac-brugerne kan godt indstille sig på, at det lille overbærende smil ikke er så sikkert længere. Frekvensen hvormed malware rettet mod OS X dukker op - er langsomt steget. Det varsler ændret tankegang hos Mac-brugerne, hvis de ikke vil tages på sengen som Windows-brugerne blev det ved årtusindskiftet.
lørdag den 24. januar 2009
fredag den 23. januar 2009
Falske Obama websites spreder stadig malware
Et større antal falske Obama websites spreder malware. Samtidig kan kun cirka 44 procent af de mest benyttede antivirusprodukter detektere den ondsindede kode i følge VirusTotal.
Sent i går aftes faldt jeg over exploitkode rettet mod et online CMS system. For at få en idé om, hvor aktivt den var benyttet, foretog jeg en søgning på nettet. Det resulterede i lidt over tusind hits. Jeg tjekkede herefter et tilfældigt af dem - og fandt i den forbindelse injectede links til et falsk Obama website.
Det er der på sin måde ikke det store nye i. De har eksisteret fra cirka en uges tid før Obamas indsættelse. Gældende for dem alle er, at de har sentationsoverskrifter i stil med, at Obama ikke vil være præsident eller frygter for sit liv. Vil man "læse mere" klikker man på et link der direkte henviser til en exe-fil. Filen er kreativt navngivet - eksempelvis "speach.exe", "readme.exe", "obamanews.exe" eller lignende.
Filerne er en og samme uanset navn. En nærmere analyser vise, at det er en Waledac-trojane som gemmer sig i filerne. Det er en spam botnet klient med blandt andet egen indbygget SMTP serverfunktion. Den første udgave af Waledac blev i øvrigt første gang set spredende den 23 December 2008.
Derfor kan det undre en del, at kun 44 procent (17 styk) af de 39 antivirusprogrammer som VirusTotal benytter, kan finde denne version. Hverken F-Secure, Norman, Panda eller Trend kan finde den. Se analysen her.
Dobbelt sløjfe
Samtidig indeholder siderne et link til et script, der forsøger at skjule sig som værende et Google Analytics script. Men, normalt linker et site til deres analytics side sådan: [script src="http://www.google-analytics.com/urchin.js"]. På disse angrebssites gøres det som et lokalt link der ligner det rigtige. Her kaldes det blot: for [script src="google-analysis.js" ].
Dette falske Google Analytics script er i virkeligheden en Trojan-Downloader JavaScript Iframe angivet i kodet form, hvor brugeren sendes til endnu en falsk side med det sigende "hxxp://googl-status.xxx/xxx/direct.php?eb0h".
Her får brugeren en falsk fejlebesked fra serveren om, at der er opstået en intern server fejl og en masse falsk relateret fejlinformation. Sjovt nok, så afsluttes denne "fejlsiden" med et kald til endnu et javascript. Dette indeholder en src ("?2481f8009c0c409f3e1df1f1d411dcden 76697700n65623068000000000000") med input til "direct.php" - som kaster brugeren videre til den egentlig angrebskode i escaped form.
I browseren vil angrebskoden blive oversat og fortolket. Angrebskode forsøger nu at skrive en fil (file.exe) til Windows systemet ved hjælp af et kendt MDAC-exploit. Lykkedes det, vil filen efterfølgende forsøgt afviklet.
.
Hit'n and hide
Disse sites, og deres bagmænd, er som nomader: De bliver ikke længe på samme sted. Når deres opgave er løst - eller området er enten for farligt eller udtømt for muligheder - så er det videre. Der er nok muligheder at tage fat på. Ellers finder man da blot på noget!!
Så mon ikke vi snart ser spam og angrebssites der lover at man kan se Michelle Obama nøgen eller lignende??!
Sent i går aftes faldt jeg over exploitkode rettet mod et online CMS system. For at få en idé om, hvor aktivt den var benyttet, foretog jeg en søgning på nettet. Det resulterede i lidt over tusind hits. Jeg tjekkede herefter et tilfældigt af dem - og fandt i den forbindelse injectede links til et falsk Obama website.
Det er der på sin måde ikke det store nye i. De har eksisteret fra cirka en uges tid før Obamas indsættelse. Gældende for dem alle er, at de har sentationsoverskrifter i stil med, at Obama ikke vil være præsident eller frygter for sit liv. Vil man "læse mere" klikker man på et link der direkte henviser til en exe-fil. Filen er kreativt navngivet - eksempelvis "speach.exe", "readme.exe", "obamanews.exe" eller lignende.
Filerne er en og samme uanset navn. En nærmere analyser vise, at det er en Waledac-trojane som gemmer sig i filerne. Det er en spam botnet klient med blandt andet egen indbygget SMTP serverfunktion. Den første udgave af Waledac blev i øvrigt første gang set spredende den 23 December 2008.
Derfor kan det undre en del, at kun 44 procent (17 styk) af de 39 antivirusprogrammer som VirusTotal benytter, kan finde denne version. Hverken F-Secure, Norman, Panda eller Trend kan finde den. Se analysen her.
Dobbelt sløjfe
Samtidig indeholder siderne et link til et script, der forsøger at skjule sig som værende et Google Analytics script. Men, normalt linker et site til deres analytics side sådan: [script src="http://www.google-analytics.com/urchin.js"]. På disse angrebssites gøres det som et lokalt link der ligner det rigtige. Her kaldes det blot: for [script src="google-analysis.js" ].
Dette falske Google Analytics script er i virkeligheden en Trojan-Downloader JavaScript Iframe angivet i kodet form, hvor brugeren sendes til endnu en falsk side med det sigende "hxxp://googl-status.xxx/xxx/direct.php?eb0h".
Her får brugeren en falsk fejlebesked fra serveren om, at der er opstået en intern server fejl og en masse falsk relateret fejlinformation. Sjovt nok, så afsluttes denne "fejlsiden" med et kald til endnu et javascript. Dette indeholder en src ("?2481f8009c0c409f3e1df1f1d411dcden 76697700n65623068000000000000") med input til "direct.php" - som kaster brugeren videre til den egentlig angrebskode i escaped form.
I browseren vil angrebskoden blive oversat og fortolket. Angrebskode forsøger nu at skrive en fil (file.exe) til Windows systemet ved hjælp af et kendt MDAC-exploit. Lykkedes det, vil filen efterfølgende forsøgt afviklet.
.
Hit'n and hide
Disse sites, og deres bagmænd, er som nomader: De bliver ikke længe på samme sted. Når deres opgave er løst - eller området er enten for farligt eller udtømt for muligheder - så er det videre. Der er nok muligheder at tage fat på. Ellers finder man da blot på noget!!
Så mon ikke vi snart ser spam og angrebssites der lover at man kan se Michelle Obama nøgen eller lignende??!
kl.
09.25
onsdag den 14. januar 2009
Ny generation botnet benytter 1024-bit RSA kryptering
Waledac hedder et af de seneste botnet. Det er igen bagmændene bag Storm botnettet der mistænkes for at være ophavsmænd. Drejningen er, at nu kommunikerer noderne i netværket ved hjælp af krypterede forbindelser.
To gamle ordsprog ser ud til at være Waledac bagmændenes leveord: "Hvor der er vilje er der vej" og "Man lærer af sine fejl". De har nu gjort det en del mere vanskeligt for researchers af kigge med i botnettets kommunikation. Den seneste version benytter nemlig 1024 RSA kryptering til kommunikationen mellem noderne i netværket.
Det gamle Storm botnet kunne overvåges og "knækkes", da det var muligt at lytte med i kommunikationen mellem noderne. Det medførte blandt andet, at webhosting firmaet McColo Corp. blev lukket af de amerikanske myndigheder i slutningen af oktober 2008. De udløste en markant nedgang i mængden af spam på verdensplan.
Den krypterede kommunikation som Waledac benytter sig af gør, at det ikke vil være så nemt at få bugt med dette botnet. Med mindre bagmændene i deres hast har overset detaljer der kan udnyttes af researchers. Til trods for det endnu ikke kan bevises entydigt, så er mange researchere sikre på, at Waledac ER Storm bagmændenes værk.
Waledac blev blandt andet opdaget ved, at det benyttede elektroniske julekort til at nå ud til brugerne. Baseret på information fra eksempelvis Shadowserver, mener man, at Waledac allerede nu har mere end 10.000 maskiner (zombies) i nettet og gradvist vil blive større.
To gamle ordsprog ser ud til at være Waledac bagmændenes leveord: "Hvor der er vilje er der vej" og "Man lærer af sine fejl". De har nu gjort det en del mere vanskeligt for researchers af kigge med i botnettets kommunikation. Den seneste version benytter nemlig 1024 RSA kryptering til kommunikationen mellem noderne i netværket.
Det gamle Storm botnet kunne overvåges og "knækkes", da det var muligt at lytte med i kommunikationen mellem noderne. Det medførte blandt andet, at webhosting firmaet McColo Corp. blev lukket af de amerikanske myndigheder i slutningen af oktober 2008. De udløste en markant nedgang i mængden af spam på verdensplan.
Den krypterede kommunikation som Waledac benytter sig af gør, at det ikke vil være så nemt at få bugt med dette botnet. Med mindre bagmændene i deres hast har overset detaljer der kan udnyttes af researchers. Til trods for det endnu ikke kan bevises entydigt, så er mange researchere sikre på, at Waledac ER Storm bagmændenes værk.
Waledac blev blandt andet opdaget ved, at det benyttede elektroniske julekort til at nå ud til brugerne. Baseret på information fra eksempelvis Shadowserver, mener man, at Waledac allerede nu har mere end 10.000 maskiner (zombies) i nettet og gradvist vil blive større.
kl.
16.11
tirsdag den 13. januar 2009
25 grundlæggende fejl er årsagen til it-sårbarheder
Det er sagt mange gange tidligere, at programmeringsfejl og manglende viden er årsagen til sårbarheder. Nu har SANS og MITRE udarbejdet en liste der beskriver de 25 mest åbenlyse fejl.
Det 'morsomme' er i den forbindelse, at listen indledes med fejl der relaterer til websider, hvilket er den vej de it-kriminelle kommer i kontakt med deres ofre i slutbrugerleddet.
Bemærk, at punkt 9 omhandler lækage i forbindelse med fejlbeskeder. En oftest overset informationskilde. Efter sigende blev omkring 1,5 million websites hacked i 2008 baseret på de resulterende sårbarheder. Tallet er med garanti større, men det er svært at bekræfte.
Her følger listen med de 25 mest åbenlyse grunde til at it-sikkerheden kompromitteres:
Insecure Interaction Between Components
#01: Improper Input Validation
#02: Improper Encoding or Escaping of Output
#03: Failure to Preserve SQL Query Structure (aka 'SQL Injection')
#04: Failure to Preserve Web Page Structure (aka 'Cross-site Scripting')
#05: Failure to Preserve OS Command Structure (aka 'OS Command Injection')
#06: Cleartext Transmission of Sensitive Information
#07: Cross-Site Request Forgery (CSRF)
#08: Race Condition
#09: Error Message Information Leak
Risky Resource Management
#10: Failure to Constrain Operations within the Bounds of a Memory Buffer
#11: External Control of Critical State Data
#12: External Control of File Name or Path
#13: Untrusted Search Path
#14: Failure to Control Generation of Code (aka 'Code Injection')
#15: Download of Code Without Integrity Check
#16: Improper Resource Shutdown or Release
#17: Improper Initialization
#18: Incorrect Calculation
Porous Defenses
#19: Improper Access Control (Authorization)
#20: Use of a Broken or Risky Cryptographic Algorithm
#21: Hard-Coded Password
#22: Insecure Permission Assignment for Critical Resource
#23: Use of Insufficiently Random Values
#24: Execution with Unnecessary Privileges
#25: Client-Side Enforcement of Server-Side Security
Yderligere information:
SANS Institutes Top 25 liste
Det 'morsomme' er i den forbindelse, at listen indledes med fejl der relaterer til websider, hvilket er den vej de it-kriminelle kommer i kontakt med deres ofre i slutbrugerleddet.
Bemærk, at punkt 9 omhandler lækage i forbindelse med fejlbeskeder. En oftest overset informationskilde. Efter sigende blev omkring 1,5 million websites hacked i 2008 baseret på de resulterende sårbarheder. Tallet er med garanti større, men det er svært at bekræfte.
Her følger listen med de 25 mest åbenlyse grunde til at it-sikkerheden kompromitteres:
Insecure Interaction Between Components
#01: Improper Input Validation
#02: Improper Encoding or Escaping of Output
#03: Failure to Preserve SQL Query Structure (aka 'SQL Injection')
#04: Failure to Preserve Web Page Structure (aka 'Cross-site Scripting')
#05: Failure to Preserve OS Command Structure (aka 'OS Command Injection')
#06: Cleartext Transmission of Sensitive Information
#07: Cross-Site Request Forgery (CSRF)
#08: Race Condition
#09: Error Message Information Leak
Risky Resource Management
#10: Failure to Constrain Operations within the Bounds of a Memory Buffer
#11: External Control of Critical State Data
#12: External Control of File Name or Path
#13: Untrusted Search Path
#14: Failure to Control Generation of Code (aka 'Code Injection')
#15: Download of Code Without Integrity Check
#16: Improper Resource Shutdown or Release
#17: Improper Initialization
#18: Incorrect Calculation
Porous Defenses
#19: Improper Access Control (Authorization)
#20: Use of a Broken or Risky Cryptographic Algorithm
#21: Hard-Coded Password
#22: Insecure Permission Assignment for Critical Resource
#23: Use of Insufficiently Random Values
#24: Execution with Unnecessary Privileges
#25: Client-Side Enforcement of Server-Side Security
Yderligere information:
SANS Institutes Top 25 liste
kl.
11.04
fredag den 9. januar 2009
Webangreb med en drejning
Angreb fra inficerede websites er ingen nyhed. Alle der besøger det ramte website vil blive forsøgt angrebet. Men en snedig drejning har gjort det sværere at finde angrebskoden.
Den normale procedure for en it-krimminel, der ønsker at få fat i så stor en mængde ofre er, at inficere websites med mange besøgende. Til det formål benyttes Google til at identificere highend sites. Når disser er fundet, bliver de testet for eventuelle sårbarheder. Helt på samme måde som professionelle it-sikkerhedsvirksomheder gør det.
Hvis en sårbarhed lokaliseres - hackes websiten således den kan bruges som angrebssite. Men modsat den normale fremgangsmåde, hvor der tilføjes nye filer eller skjult kode, redigeres allerede eksisterende filer der benyttes af servicen.
Drejningen er i den forbindelse, at der testes for, hvorfra brugeren kommer. Hertil benyttes et referer tjek for at se om den besøgende ankom til websiten fra et Google link. Hvis det er tilfældet, går angrebet i gang med fuld musik. Hvis man ikke ankommer til siten fra en Google søgning - så sker der ikke noget.
Ved angrebet sendes brugeren hen til flere forskellige sites, som intet har med det originale website at gøre. På disse sites testes der målrettet efter forskellige sårbarheder i den givne internetbrowser. Kan en kendt sårbarhed lokaliseres vil den blive inficeret. Oftest med en trojan-downloader. Ellers lokkes brugeren til manuelt at acceptere installering af malwaren.
Netop brugen af referer, hvor kun bestemte brugere bliver ofre, gør det svært at lokalisere problemet hurtigt. Det vil kræve dybere analyse og dermed øges risikoen for flere rammes.
Den normale procedure for en it-krimminel, der ønsker at få fat i så stor en mængde ofre er, at inficere websites med mange besøgende. Til det formål benyttes Google til at identificere highend sites. Når disser er fundet, bliver de testet for eventuelle sårbarheder. Helt på samme måde som professionelle it-sikkerhedsvirksomheder gør det.
Hvis en sårbarhed lokaliseres - hackes websiten således den kan bruges som angrebssite. Men modsat den normale fremgangsmåde, hvor der tilføjes nye filer eller skjult kode, redigeres allerede eksisterende filer der benyttes af servicen.
Drejningen er i den forbindelse, at der testes for, hvorfra brugeren kommer. Hertil benyttes et referer tjek for at se om den besøgende ankom til websiten fra et Google link. Hvis det er tilfældet, går angrebet i gang med fuld musik. Hvis man ikke ankommer til siten fra en Google søgning - så sker der ikke noget.
Ved angrebet sendes brugeren hen til flere forskellige sites, som intet har med det originale website at gøre. På disse sites testes der målrettet efter forskellige sårbarheder i den givne internetbrowser. Kan en kendt sårbarhed lokaliseres vil den blive inficeret. Oftest med en trojan-downloader. Ellers lokkes brugeren til manuelt at acceptere installering af malwaren.
Netop brugen af referer, hvor kun bestemte brugere bliver ofre, gør det svært at lokalisere problemet hurtigt. Det vil kræve dybere analyse og dermed øges risikoen for flere rammes.
kl.
15.12
Danskerne benytter ikke de kommunale onlinetjenester
På Version2 kan man læse nyheden om, at danskerne foretrækker at kontakte kommunen ved at ringe eller skrive et almindeligt brev. Klogt træk i mange henseende!
Det er KMD som har foretaget undersøgelsen for Ingeniøren. Den viser, at 95 procent af alle ansøgninger stadig afleveres på papirskemaer. Kun omkring fem procent kommer fra Internettet.
Med bemærkningen "klogt træk" angivet i indledningen, menes, at en del af de danske kommuners hjemmesider har en del at komme efter sikkerhedsmæssigt. Her er det traditionelle webbaserede angreb som stadig kan udføres - eller der kan indhentes information som ikke burde være tilgængeligt for den almindelige borger.
Startende fra 2006 begyndte en bølge af webbaserede angreb at ramme verden. Specielt i 2007 og 2008 så flere danske hjemmesider effekten af manglende fokus på webapplikationen. Det er med andre ord ikke nye og ukendte angrebsformer der tages i brug - men kendte fremgangsmåder. Herunder angrebstyper der kan dæmmes op for på efterhånden enkel vis.
Alligevel viser en stikprøvekontrol af en god håndfuld offentlige hjemmesider, at it-sikkerheden lader en del tilbage at ønske. Når det er muligt at udføre XSS angreb uden store problemer, så ligger der nogle udfordringer forude som først skal adresseres.
Hvis man virkelig ønsker borgerne skal benytte onlinetjenesterne, så skal det være med ro i sindet og uden risiko for at blive offer for et it-angreb. Omkostningen for borgeren der rammes overstiger langt den angivne pris på 150 kroner en telefonisk henvendelse koster efter KMDs beregninger.
Så indtil tjenesterne på alle niveauer er sikre at benytte - kontakt da bare kommunen telefonisk og ved hjælp af almindeligt brev. Det gælder eksempelvis borgerne i Københavns Kommune, Slagelse Kommune og Herning Kommune for at nævne et par stykker. Og skal du tjekke verdensvejret, så er der jo altid DMI...
Det er KMD som har foretaget undersøgelsen for Ingeniøren. Den viser, at 95 procent af alle ansøgninger stadig afleveres på papirskemaer. Kun omkring fem procent kommer fra Internettet.
Med bemærkningen "klogt træk" angivet i indledningen, menes, at en del af de danske kommuners hjemmesider har en del at komme efter sikkerhedsmæssigt. Her er det traditionelle webbaserede angreb som stadig kan udføres - eller der kan indhentes information som ikke burde være tilgængeligt for den almindelige borger.
Startende fra 2006 begyndte en bølge af webbaserede angreb at ramme verden. Specielt i 2007 og 2008 så flere danske hjemmesider effekten af manglende fokus på webapplikationen. Det er med andre ord ikke nye og ukendte angrebsformer der tages i brug - men kendte fremgangsmåder. Herunder angrebstyper der kan dæmmes op for på efterhånden enkel vis.
Alligevel viser en stikprøvekontrol af en god håndfuld offentlige hjemmesider, at it-sikkerheden lader en del tilbage at ønske. Når det er muligt at udføre XSS angreb uden store problemer, så ligger der nogle udfordringer forude som først skal adresseres.
Hvis man virkelig ønsker borgerne skal benytte onlinetjenesterne, så skal det være med ro i sindet og uden risiko for at blive offer for et it-angreb. Omkostningen for borgeren der rammes overstiger langt den angivne pris på 150 kroner en telefonisk henvendelse koster efter KMDs beregninger.
Så indtil tjenesterne på alle niveauer er sikre at benytte - kontakt da bare kommunen telefonisk og ved hjælp af almindeligt brev. Det gælder eksempelvis borgerne i Københavns Kommune, Slagelse Kommune og Herning Kommune for at nævne et par stykker. Og skal du tjekke verdensvejret, så er der jo altid DMI...
kl.
09.37
tirsdag den 6. januar 2009
Trojaner spærrer for The Pirate Bay og Mininova
En trojaner er dukket op på flere forskellige torrent sites og spærrer adgangen til The Pirate Bay, Suprbay og Mininova. Den informerer samtidig den inficerede maskines bruger om, at download af piratsoftware er forkert.
Det er enkelte midler der tages i brug af Qhost-AC for at stoppe adgangen til de meste benyttede torrent sites. Den retter kort og godt hosts-filen i Windows til at indeholde forkerte oplysninger om, hvor disse torrent sites findes. Helt specifikt peger domænerne på local host - 127.0.0.1. Samtidig vises der både popup-beskeder med teksten “downloading is wrong” - samt der afspilles lyd med samme budskab.
De inficerede filer blev hurtigt lokaliseret og fjernet fra The Pirate Bay - efter flere torrent-brugere angav at en specifik key generator ikke virkede. Men det er sikkert at antage, at der er flere af samme slags som endnu ikke er opdaget.
Det har samtidig også sat spekulationerne i gang om, hvem der har udarbejdet denne trojaner. Her har der været frit spil til alle med hang til konspirationsteorier. Nogle angiver det er en udvilker vis software har været at finde på disse torrent sites. Andre igen mener, at det er organisationer som har med copyright og antipiratvirksomhed at gøre.
Uanset hvad, så er trojaneren ikke destruktiv - og man kan manuelt fjerne de indsatte linjer i hosts-filen.
Det er enkelte midler der tages i brug af Qhost-AC for at stoppe adgangen til de meste benyttede torrent sites. Den retter kort og godt hosts-filen i Windows til at indeholde forkerte oplysninger om, hvor disse torrent sites findes. Helt specifikt peger domænerne på local host - 127.0.0.1. Samtidig vises der både popup-beskeder med teksten “downloading is wrong” - samt der afspilles lyd med samme budskab.
De inficerede filer blev hurtigt lokaliseret og fjernet fra The Pirate Bay - efter flere torrent-brugere angav at en specifik key generator ikke virkede. Men det er sikkert at antage, at der er flere af samme slags som endnu ikke er opdaget.
Det har samtidig også sat spekulationerne i gang om, hvem der har udarbejdet denne trojaner. Her har der været frit spil til alle med hang til konspirationsteorier. Nogle angiver det er en udvilker vis software har været at finde på disse torrent sites. Andre igen mener, at det er organisationer som har med copyright og antipiratvirksomhed at gøre.
Uanset hvad, så er trojaneren ikke destruktiv - og man kan manuelt fjerne de indsatte linjer i hosts-filen.
kl.
13.02
Hello World!
Det er nu 15 år siden jeg startede med at blogge. Den gang hed det ikke sådan - det var nærmere at dumpe hjernen på nettet. Nu starter jeg igen. Mest for sjov - men også med et snert af seriøsitet. Måske vil fokus tage en drejning senere hen, når jeg har fået "blod på tanden". Lad dette være indledningen på denne blog.
kl.
12.16
Abonner på:
Opslag (Atom)