maio 23, 2019

[Cidadania] Projeto Sec4Kids

O pessoal da IBLISS criou o Projeto Sec4Kids para sensibilizar crianças, pais e responsáveis sobre a importância de uma navegação saudável e segura e contribuir efetivamente para a segurança das crianças na Internet.

Vale a pena dar uma conferida no site do projeto, que já tem 2 iniciativas criadas:



Como iniciativa de Responsabilidade Social da IBLISS, o projeto pretende promover a cultura de privacidade e segurança digital de forma lúdica, através de jogos e histórias para crianças, adaptadas ao conteúdo e conscientização.

A preocupação é muito válida, pois as crianças e adolescentes hoje já estão hiper conectados através de tablets e smartphones, com acesso constante a Internet e, consequentemente, aos riscos existentes online.

maio 21, 2019

[Segurança] DAST ou SAST

O infográfico abaixo explica de uma forma bem legal a diferença entre Static Application Security Testing (SAST) and Dynamic Application Security Testing (DAST), duas buzzwords que estão bem na modinha hoje em dia e que significam, simplesmente, teste estático ou dinâmico.


O teste de segurança de aplicações da forma estática (SAST, também conhecido como "white box") e o teste dinâmico (DAST, ou "black box") são métodos diferentes para teste de bugs e vulnerabilidades de segurança, mas ambos devem ser usados de forma que um complementa os resultados do outro. Eles devem ser usados em conjunto porque, de uma forma geral, enquanto o SAST identificará erros típicos de codificação, o DAST permite encontrar erros em tempo de execução.

Ah... e além de DAST e SAST, ainda existe o Interactive Application Security Testing (IAST) e o Run-time Application Security Protection (RASP)!

maio 20, 2019

[Segurança] Simulador da máquina Enigma

O pessoal da inteligência britânica disponibilizou, online, um simulador para as máquinas de criptografia Enigma e Typex, e para a Bomb, a máquina criada pela equipe do Alan Turing para decifrar as mensagens criptografadas pelos alemães na II Guerra.


Menos conhecida de nós, brazucas, a Typex foi uma máquina de criptografia criada pelos britânicos e utilizada pela força aérea deles, a "Royal Air Force" (RAF).

Vale dar uma olhada e se divertir um pouco!

Para saber mais: "UK code breakers drop Bombe, Enigma and Typex simulators onto the web for all to try".

maio 18, 2019

[Segurança] 0 Day is Coming

Sim, escolhemos um tema baseado no seriado Game of Thrones para a BSidesSP deste ano. E o nosso slogan é...



A próxima edição da Security BSides São Paulo está chegando!!! Ela acontecerá nos dias 25 e 26 de Maio (Sábado e Domingo), véspera da conferência You Sh0t the Sheriff (YSTS), novamente na PUC da Consolação.


Já estamos com a agenda no ar e as inscrições estão quase acabando!

O formato do evento não mudou. Dois dias de atividades gratuitas:
  • Uma trilha de mini-treinamentos no Sábado (25/5);
  • Nosso CTF 24 Horas, varando de sábado para domingo, organizado pelo pessoal do HackaFlag;
  • Diversas atividades simultâneas no Domingo (26/5), incluindo palestras, oficinas e as Villages.
Teremos nosso tradicional churrasco e open bar, além de hot dogs oferecidos por um grupo de voluntários, excelentes profissionais de segurança BTW. O show do intervalo será mais uma vez com a banda MD5 (aproveite e converse com eles fora do show - o vocalista, Filipe, já palestrou em vários eventos de infosec e tem muita coisa para contar!

Spoiler alert: teremos outra banda que vai fazer um pequeno show de abertura!

Fiquem de olho no nosso site, pois nos próximos dias ainda vamos atualizar algumas informações, como as agendas das Villages que estão muito boas! Teremos as vilas de AppSec (organizada pelo capítulo da OWASP em São Paulo), Biohacking, Ciber Hacking, Forense, e Hardware Hacking (organizado pelo Garoa).

Também vamos divulgar a grade do "plantão" da Consultoria de Carreira na trilha da "Hacker Carreer Fair". Teremos vários profissionais de segurança e de RH em regime de revezamento, que vão conversar pessoalmente com as pessoas interessadas para dar dicas e orientações de carreira.

Esta décima sexta edição da BSidesSP conta com o patrocínio da ICTS e Protiviti, da LogicalIT, Tempest, TrendMicro, NS Prevention e El Pescador. São os patrocinadores que nos permitem fazer um evento gratuito e de qualidade!

PS: Vale a pena destacar que a TrendMicro patrocinou todas as edições do evento, o que mostra como a empresa valoriza e acredita na comunidade de segurança!

A conferência Security BSides São Paulo (BSidesSP) é uma confêrencia gratuita sobre segurança da informação e cultura hacker, com objetivo de promover o compartilhamento de informações e a integração entre pesquisadores de segurança, profissionais e estudantes de todas as idades. A BSidesSP faz parte do circuito global de conferências Security BSides, presentes em mais de 25 países.

Nos encontramos lá!

maio 16, 2019

[Segurança] Programas de "Bug Bounty"

Os programas de "Bug Bounty" estão ficando cada vez mais popular entre os pesquisadores e, aos poucos, quebrando a resistência das empresas!

O "Bug Bounty" (numa tradução literal, poderíamos chamar de "recompensa por bugs") é um dos canais existentes para que empresas recebam notificações sobre bugs e vulnerabilidades em suas soluções. Eles são uma evolução das políticas de "Vulnerability Disclosure", na qual as empresas aceitam que outras pessoas as notifique em caso de bugs, através de um canal de comunicação oficial. Nos programas de Bug Bounty, as empresas se comprometem a reconhecer a contribuição de quem fez o reporte, muitas vezes através de um tipo de recompensa como o pagamento de prêmios pré-estabelecidos.


Há alguns meses atrás o pessoal da Eleven Paths publicou um artigo bem interessante no blog deles explicando o que são e como surgiram os programas de Bug Bounty.

Tudo começou nos anos 90, quando a Netscape começou a oferecer bonificações financeiras para as pessoas que descobrissem bugs em seu navegador. Nas décadas seguintes, o mercado de segurança viu o amadurecimento das políticas de "Responsible Disclosure", ou "Notificação Responsável", aonde discutiu-se que as vulnerabilidades não deveriam ser tornadas públicas antes do fabricante do software ter a oportunidade de providenciar uma correção, para evitar a exploração maliciosa de uma determinada vulnerabilidade. Em 2002 surgiu a iDefense, uma empresa americana que recebia notificações sobre vulnerabilidades em troca de dinheiro, repassava essas informações para o fabricante e, ao mesmo tempo, orientava seus clientes sobre como evitar essas vulnerabilidades enquanto não eram corrigidas. Depois dela surgiram outras empresas, como a Coseinc e a ZDI (Zero Day Iniciativa), que foi comprada pela HP e depois pela Trend Micro.

Os programas de Bug Bounty representam um canal oficial aonde qualquer pessoa, incluindo um cliente ou um pesquisador independente de segurança, pode notificar a empresa sobre problemas de segurança em seus sites e aplicações.

Muito comum em empresas de tecnologia e nos EUA, o programa de "Bug Bounty" ajuda as empresas a identificar rapidamente vulnerabilidades que sejam descobertas por terceiros, e oferecem para a comunidade um meio de comunicar tais vulnerabilidade sem o risco de sofrer represálias.
"Bug bounty programs have been proved effective in attracting external hackers to find and disclose potential flaws in a responsible way".
MIT
Segundo um paper do MIT, "A política de divulgação responsável de vulnerabilidades ("Responsible vulnerability disclosure policy") foi criada como uma maneira eficaz de melhorar a segurança em geral. Considerando a eficácia do uso de especialistas externos para a descoberta responsável de vulnerabilidades, programas de recompensas de bugs ("bug bounties") foram lançados por muitas empresas, incluindo Google, Facebook, Microsoft e Mozilla, para encorajar os hackers externos a compartilhar as vulnerabilidades descobertas antes da divulgação pública."

Do ponto de vista do pesquisador independente e da comunidade de segurança, os programas de bug bounty trazem várias vantagens:
  • Um canal seguro para reportar vulnerabilidades em softwares, sem correr o risco de ser ameaçado ou ignorado pela empresa;
  • Uma forma de ajudar a sociedade de forma ética, auxiliando as empresas a corrigir bugs em suas aplicações e reduzindo o impacto nocivo desses bugs em seus clientes;
  • Um meio de ganhar uma recompensa financeira, como se fosse um trabalho "free lance";
  • Uma forma de testar seu conhecimento e aprender mais.
O melhor de tudo é que o Bug Bounty permite que pesquisadores tenham um canal oficial para reportar os problemas. Quando isso não existe, é muito comum que os reportes sejam ignorados ou, pior ainda, que os pesquisadores sejam mal tratados pelas empresas. Sentindo-se ameaçadas ao ver uma denuncia de que seu software, site ou app tem bugs, algumas empresas acabam tentando silenciar os pesquisadores através de ameaças e processo legal. Essa dificuldade em reportar um bug de forma estruturada faz com que muitos pesquisadores acabem não reportando o bug para a empresa ou fabricante, e apenas compartilhem a descoberta entre seu círculo de amizade.
""Antigamente, as empresas não eram tão próximas com hackers que descobriam suas falhas, não havia essas revelações com o hoje, como Bug Bounty. E isso hoje é ótimo".
Joe Grand (Kingpin), no RoadsecSP 2018
Para as empresas, as vantagens também são várias:
  • Um canal de relacionamento com a comunidade de segurança, para receber denúncias;
  • Permitir que bugs sejam descobertos e corrigidos antes que possam ser explorados para fins maliciosos, evitando prejuízos para a empresa. Um ciber criminoso não vai pensar 2 vezes antes de testar seu site e explorar uma vulnerabilidade;
  • Uma forma de complementar sua estratégia de segurança, usando o Bug Bounty como um meio adicional para identificar bugs, além dos testes tradicionais, auditoria de código e penteastes.
Para estabelecer um programas de bug bounty, as empresas devem estabelecer uma política de análise de vulnerabilidades que contemple esse canal de report, processos para tratamento rápido e correção desses bugs e os recursos necessários para operar o programa, desde funcionários até mesmo ferramentas para ter um portal de report.

Além do que já disse acima, os benefícios para a empresa também incluem:
  1. Minimizar o risco de divulgação de uma vulnerabilidade (pois o pesquisador é incentivado a notificar a empresa sobre o bug);
  2. Demonstra a maturidade da empresa e de sua área de segurança;
  3. Estabelece e promove uma cooperação mais positiva entre a empresa e o público externo (clientes, pesquisadores, etc);
  4. Maior diversidade de testes, pois a empresa abre a possibilidade de dezenas de pessoas testarem a sua segurança, cada uma com um ponto de vista ou especialização diferente. Alguns podem ser especialistas em testes específicos, como SQL injection ou cross-site script, ou especializados em linguagens e frameworks distintos;
  5. Melhor uso dos recursos financeiros, pois no Bug Bounty a empresa só remunera quando um bug é identificado. Quando a empresa decide por contratar uma consultoria, ela paga um preço fixo independente da quantidade de bugs que foram encontrados, ou não.
Um grupo de pesquisadores de Berkeley publicou um estudo em 2013 aonde apontaram as principais vantagens de um programa de report de vulnerabilidades:
Offering adequate incentives entices security re- searchers to look for vulnerabilities, and this increased attention improves the likelihood of finding latent vulner- abilities. Second, coordinating with security researchers allows vendors to more effectively manage vulnerability disclosures, reducing the likelihood of unexpected and costly zero-day disclosures. Monetary rewards provide an incentive for security researchers not to sell their research results to malicious actors in the underground economy or the gray world of vulnerability markets. Third, VRPs may make it more difficult for black hats to find vulnera- bilities to exploit. Patching vulnerabilities found through a VRP increases the difficulty and therefore cost for malicious actors to find zero-days because the pool of latent vulnerabilities has been diminished. Additionally, experience gained from VRPs (and exploit bounties) can yield improvements to mitigation techniques and help identify other related vulnerabilities and sources of bugs. Finally, VRPs often engender goodwill amongst the community of security researchers. it is in the interests of the software vendor to encourage more people to participate in the search for bugs. An increase in the number of researchers looking for vulnerabilities yields an increase in the diversity of vulnerabilities discovered.
Uma das conclusões que eles chegaram foi de que um programa de Bug Bounty tem o custo equivalente a contratar um analista de pentest, mas os resultados são muito maiores (em termos de quantidade e qualidade) do que este mesmo analista conseguiria produzir em um mesmo período.

Ma minha apresentação abaixo eu explico como o programa de Bug Bounty se encaixa na estratégia de análise e correção de vulnerabilidades no ciclo de desenvolvimento seguro de software:


A Hackerone tem um vídeo curto, mas bem legal, sobre os programas de Bug Bounty:



Aqui no Brasil, o pessoal da Flipside está aproveitando o expertise deles com o campeonato de CTF HackaFlag, para transformar essa experiência na primeira plataforma nacional de Bug Bounty.


Embora sejam muito populares nos EUA, aos poucos o mercado Brasileiro vai se interessar pelos programas de Bug Bounty. eu conheço alguns bancos nacionais que estão planejando adotar um programa desses, o que deve dar uma boa incentivada no mercado e ajudar a quebrar a resistência das empresas.

Para saber mais:

maio 15, 2019

[Segurança] Mais uma lista de profissionais de segurança

Novamente alguém teve a "brilhante idéia" de fazer uma lista de profissionais de segurança (uma lista que foi publicada originalmente em setembro do ano passado e reciclada num post do LinkedIn).


Já não bastava a iniciativa do "SecOps — InfoSec Army" há cerca de um ano atrás, que se propôs a "premiar" os melhores profissionais do mercado em várias categorias e foi criticado e ridicularizado em alguns grupinhos em redes sociais.

Por que as pessoas insistem em ficar tentando criar suas próprias listas com os "profissionais mais topper de mercado"? Mais uma vez alguém decidiu criar a sua lista dos topzera, e já está pagando mico em alguns grupos e rodinhas de conversa.

Esse tipo de coisa não tem como dar certo, e por diversos motivos...

Você não conhece todo mundo!

Lamento te informar, mas você não conhece todo mundo que atua no mercado de segurança! Não faz mal se você já trabalha há 10, 20, ou 30 anos dedicados a segurança. Não interessa se você trabalhou nas principais empresas do mercado. Você não conhece todo mundo, e é impossível conhecer todo mundo. Portanto, qualquer lista que você faça vai deixar muita gente de fora, inclusive gente extremamente competente, que você nem sabe que existe!

Da mesma forma, assim como existem vários profissionais que são conhecidos por que palestram em eventos ou escrevem artigos, existem muitos outros que são extremamente competentes mas que não são muito conhecidos fora do seu círculo de amizade pois não tem o hábito, desenvoltura ou interesse de se expor. Pela minha experiência, eu me arrisco a dizer que o pessoal que palestra e se expõem para o mercado é a minoria dos profissionais existentes. Você pode até conhecer algumas pessoas que estão na ponta do iceberg, mas dificilmente vai conhecer quem se esconde abaixo da linha da água.

Pegue, por exemplo, esta lista com perfis de profissionais de segurança no Twitter que eu criei em 2010. No período em que eu a atualizava periodicamente, até 2015, a lista cresceu de 72 para 491 perfis de pessoas, conforme eu ia encontrando ou conhecendo novos perfis, e atualmente já chegou a 548 pessoas e 166 entidades. Mesmo com o Twitter sendo pouco usado atualmente, tenho certeza absoluta de que tem muita gente fora dessa lista. Mais um exemplo: a BSidesSP no ano passado teve 2.051 inscritos e .245 pessoas, basta fazer uma conta de padeiro para ver que tem um gap aí.

Não basta saber que a pessoa existe!

Mesmo que você conheça ou saiba o nome de vários profissionais da área, isso não atesta a competência dela. Uma coisa é você conversar com alguém numa roda de bar, assistir uma palestra ou ler um Tweet dessa pessoa, e outra coisa é conviver com alguém no dia-a-dia de uma empresa, onde você realmente consegue perceber a competência técnica e também como essa pessoa se comporta no trabalho.

Ao criar uma lista com nomes de profissionais que você ouviu por aí, corre facilmente o risco de incluir alguma pessoa com pouca competência, o que vai causar o descrédito imediato da sua iniciativa. E sua lista vira motivo de piada.

Não existe unanimidade!

Além do mais, é muito difícil encontrar uma unanimidade - sobre qualquer assunto. Aquele profissional que você julga competente, talvez outros considerem incapaz ou inadequado provavelmente porque conheceram outra faceta dessa pessoa ou tiveram outro tipo de experiência com esta pessoa. Eu mesmo conheço várias pessoas que são admiradas e, ao mesmo tempo, conheço quem desmereça a competência desses profissionais. Alguém que você considera um "digital influenciar" pode ser desprezado por outras pessoas. Como já dizia aquele velho ditado, "opinião é como bunda: cada um tem a sua".

Ninguém é 100% bom ou competente em tudo!

Como eu já disse antes, é muito difícil medir a competência de um profissional de segurança. Lembre-se que a nossa área tem várias especializações bem diferentes, então um profissional que atua em uma determinada especialização pode não conseguir avaliar a competência de um colega que atua em área diferente. Por exemplo, uma empresa vai ter profissionais de Pentest convivendo com especialistas de GRC, "cada um no seu quadrado". Um profissional de AppSec pode não ser a melhor pessoa para configurar seu Firewall de rede.

Um desfile de Egos

O nosso pequeno mercado nacional de segurança é uma grande aglomeração de egos inflados, que acabam alimentando e sendo alimentados por tretas.Tenho amigos que trabalham em outras áreas de TI e me dizem que nossa área é hostil, só tem louco e disputas de egos. E eles estão certos! Esse tio de lista de profissionais só alimenta a disputa de egos: quem está na lista (mesmo que não saiba o porquê) fica com o ego inflado, e quem não está fica com dor de cotovelo.

maio 10, 2019

[Humor] Dilbert e Alexa

Há uma pequena sequência de tirinhas de humor do Dilbert que satirizam o uso de dispositivos conectados. Vale a pena dar uma olhadinha rápida e se divertir...





Tem essa também...


E o que aconteceria se a Siri e a Alexa forem ciumentas?




maio 08, 2019

[Segurança] Segurança no descarte de mídias

Existe uma norma alemã que é adotada mundialmente para definir os padrões de segurança para o descarte de mídias, a norma DIN 66399. Essa norma foi desenvolvida pelo Instituto Alemão da Normalização (Deutsches Institut für Normung, DIN) e define os critérios de destruição de todos os tipos de suporte de dados, baseados na criticidade da informação armazenada. Ela possui 3 partes: a primeira com os princípios e definições, a segunda com os requerimentos dos equipamentos de destruição e a terceira, sobre o processo de destruição das mídias.

A norma DIN 66399 estabelece os critérios de processos e as dimensões máximas de trituração para 6 Categorias de Materiais (papel, microfilme, CDs/DVDs, mídia magnética, discos rígidos e mídias eletrônicas), de acordo com 3 Classes de Protecção, subdivididas em 7 Níveis de Segurança:
  • Classe de Proteção 1, níveis 1 a 3: Aplicada para a informações internas que exigem um nível básico de proteção, cuja exposição teria um impacto negativo, com risco de violação de dados pessoais;
  • Classe de Proteção 2, níveis 3 a 5: Informações confidenciais que exigem alto nível de proteção e cuja exposição resultaria em graves danos à imagem, violar compromissos legais ou colocar em risco a integridade de um indivíduo;
  • Classe de Proteção 3, níveis 5 a 7: Informação cofidencial, cuja exposição resultaria em consequências fatais para as empresas ou entidades públicas, envolvendo a segurança ou a liberdade pessoal dos indivíduos.
A DIN 66399 estabelece 7 níveis de segurança. Quanto maior o nível de segurança, maior deve ser a dificuldade para recuperar a informação de uma mídia destruída. Logo, menor deverão ser os fragmentos resultantes da destruição.
  • Nível 1: Informações gerais e documentos devem ficar parcialmente ilegíveis ou canceladas e impróprias para reutilização;
  • Nível 2: Informações ou documentos de uso interno, com remontagem dificultada ou cancelados para reutilização;
  • Nível 3: Informações ou documentos com dados sensíveis e confidenciais;
  • Nível 4: Informações ou documentos com dados altamente sensíveis e confidenciais;
  • Nível 5: Informações ou documentos com dados confidenciais de fundamental importância para uma pessoa, empresa ou instituição;
  • Nível 6: Informações ou documentos com dados que requeiram medidas de segurança extraordinárias;
  • Nível 7: Informações ou documentos secretos, sem meios possíveis de recuperação das informações.
A dificuldade que deve existir para a recuperação dos dados varia de acordo com o nível da informação. Para informações de nível 1, a recuperação dos dados de uma mídia exige um nível de dificuldade simples, que deve ser agravada para informaçÕes de nível 2 e exige uma dificuldade considerável para recuperar dados de nível 3. Dados altamente sensíveis, de nível 4, exigem uma dificuldade excepcional para recuperação dos dados de uma mídia descartada, enquanto os dados secretos, de nível 5, exigiriam o uso de métodos duvidosos. A recuperação de dados nível 6 deve ser considerada tecnicamente impossível e impossível para o nível 7, de dados "Top Secret".

A tabela abaixo ilustra muito bem os níveis de dificuldades para cada tipo de mídia de armazenamento.


Para saber mais:

maio 06, 2019

[Cyber Cultura] Buzzword do momento: Open Banking

Está surgindo um novo paradigma tecnológico que vai revolucionar o mercado financeiro. Não, dessa vez não é o bitcoin nem o blockchain. Estamos falando do...

Open Banking


Adaptando a definição dada pelo Banco Central no Comunicado n° 33.455 de 24/4/2019, "o Open Banking é considerado o compartilhamento de dados, produtos e serviços pelas instituições financeiras, a critério de seus clientes, por meio de abertura e integração de plataformas e infraestruturas de sistemas de informação, de forma segura, ágil e conveniente."

Dentro do conceito de Open Banking, as instituições!oes financeiras devem disponibilizar APIs (interface de programação de aplicações) para que empresas e aplicativos terceiros possam prover serviços, criando novos modelos de negócios digitais e complementando o portifólio de serviços financeiros.

É importante ressaltar que o compartilhamento de dados cadastrais e transacionais depende de prévio consentimento do cliente.

O Banco Central pretende definir os requisitos e o processo de implementação do Open Banking através da publicação de atos normativos e também iniciativas de autorregulação. Tais atos normativos devem ser submetidos para a consulta pública no segundo semestre de 2019.

Para saber mais:

maio 03, 2019

[Segurança] As novidades da BSidesSP

A próxima edição da Security BSides São Paulo acontecerá nos dias 25 e 26 de Maio (Sábado e Domingo), e já estamos com a agenda provisória no ar e as inscrições já estão abertas!


Vamos manter o formato e as principais atividades que representam o sucesso do evento nessas 15 edições:
  • Uma trilha de mini-treinamentos no Sábado (25/5);
  • Nosso CTF 24 Horas, varando de sábado para domingo. Dessa vez, será organizado pelo pessoal do HackaFlag;
  • Diversas atividades acontecendo simultaneamente no Domingo (26/5), incluindo palestras, oficinas e as Villages.
Falando das Villages, que são os espaços temáticos organizados pelas comunidades, teremos vilas de AppSec (organizada pelo capítulo da OWASP em São Paulo), Biohacking, Ciber Hacking, Forense, e Hardware Hacking (organizado pelo Garoa).

Entre as novidades que estamos preparando, quero destacar duas MUITO legais...

Pela primeira vez nós tivemos um grande número de mulheres propondo palestras, e o que é melhor: palestras de qualidade, sobre assuntos muito bons! Oito, das 22 palestras de domingo (pouco mais de 1/3) serão apresentadas por mulheres! No período da tarde colocamos uma trilha inteira com 4 garotas palestrando em sequência, além de espalhar as demais na grade do evento! Uma prova de que é possível ter ótimas profissionais palestrando e que a participação feminina não se restringe a apenas ficar debatendo sobre "como ter mais mulheres na tecnologia". Não me levem a mal, é importantíssimo discutir a participação feminina no mercado, mas muitos eventos só trazem mulheres para esse tipo de atividade. E eu prefiro mostrar o "girl power": ter uma garota palestrando sobre um assunto fodástico, mostrando que conhecimento, inteligência e competência não tem sexo.


Na trilha da "Hacker Carreer Fair" vamos ter uma Consultoria de Carreira: no período da tarde teremos vários profissionais de segurança e de RH disponíveis para dar dicas e orientações de carreira, em um atendimento personalizado. Leve seu CV, mostre seu perfil no Linkedin, ou simplesmente sente lá para buscar dicas e sugestões para melhorar a sua carreira.

E você já viu o nosso slogan para este ano?


E, como sempre, isso tudo acontece gratuitamente, com alimentação inclusa e show de rock \m/ nos intervalos!

Não perca tempo!
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.