Etyczny haker: Hakowanie to styl myślenia i bycia poza schematami

W pierwszej części wywiadu  z Jakubem Domaradzkim, etycznym hakerem rozmawiamy o tym, jak pojmuje etyczne hakowanie, jak uczyć się zawodu bezpiecznika w praktyce oraz o tym, jak mówić o cyberbezpieczeństwie w taki sposób, aby dotrzeć z przekazem do jak najszerszej grupy odbiorców i zostać przy tym zrozumianym.

W drugiej części z kolei mówi więcej o tym, jak pojmuje bezpieczeństwo i udziela wskazówek, jakie praktyki stosować, by podnieść poziom swojego bezpieczeństwa w sieci.

Zapraszamy na lekturę trzeciej części wywiadu, w której odpowiemy na pozostałe pytania, jakie mogły was nurtować, dotyczące zawodu bezpiecznika.

Wygoda a bezpieczeństwo

Jak użytkownik ma poświęcić swoją „wygodę” dla bezpieczeństwa? To nie jest wbrew pozorom takie oczywiste. To może być oczywiste dla osób z branży, ale z drugiej strony, użytkownik nie chce robić pewnych rzeczy. Musimy znaleźć balans.

Oczywiście, że tak. Tak jak mówię, jeżeli ktoś jest paranoikiem, to i tak moje rady nie są dla niego, bo on i tak wszystko zabezpieczy po swojemu. Z drugiej strony - jeżeli ktoś uważa, że jego medyczne dane latające po sieci to nie jest problem, to takiej osoby raczej nie przekonam.

Natomiast to jest pytanie do całej reszty, która znajduje w tym „środku”. Czy jest to dla nas problem, że za każdym razem, gdy będziemy się gdzieś logować, musimy wyciągnąć telefon i zalogować się do menadżera haseł? Czy jesteśmy w stanie poświęcić 10 sekund za każdym razem, kiedy się logujemy? Czy jesteśmy w stanie poświęcić 10 sekund w momencie, w którym musimy przeczytać, przepisać kod jednorazowy z authenticatora albo wsadzić klucz, który musimy mieć przy sobie? To też jest jakaś „niewygoda”, ale chciałbym z całą mocą podkreślić, że warto zdobyć się na takie wyrzeczenia!

Ważne - jeżeli mamy fizyczne klucze, to bardzo często mówi się o tym, żeby mieć dwa.

Uważam, że musimy mieć dwa. Nie masz jednego klucza do domu, nie masz jednego kluczyka do sejfu, nie masz jednego kluczyka do samochodu. I co, jak go zgubisz Absolutnie, jeżeli nastawiacie się na to, żeby kupić sobie klucz i zabezpieczyć nim cokolwiek, to miejcie dwa. Jeden trzymajcie w bezpiecznym miejscu. Nie będę mówił, co to znaczy bezpieczne, bo to dla każdego jest coś innego. Jeden schowa go w sejfie, a drugi będzie trzymał na dnie szuflady, ale miejcie dwa.

Gdyby jeden uległ zniszczeniu, zgubił się, ktoś by wam go ukradł albo cokolwiek innego, to musicie mieć drugi. Tak samo jak z domem, z samochodem, z sejfem, z czymkolwiek innym.

Myślę, że to ważne, aby myśleć o bezpieczeństwie w sieci w taki sposób jak o bezpieczeństwie domu czy samochodu.

Tak, zgadzam się.

Internet a rzeczywistość

Niektórzy czują np. dystans wobec tego, że coś się stanie, kiedy ktoś przejmie im Facebooka. To już tak nie działa.

Absolutnie pełna zgoda. Spójrzmy choćby na to, jak w dzisiejszych czasach wygląda nasze życie. Jestem trochę starszy od ciebie. Pierwszy internet 500kb/s, współdzieliłem na cztery różne domy, gdzie serwer mieliśmy w piwnicy jednej osoby. Jestem jeszcze z czasów, gdzie internet rzeczywiście był odseparowany, bo „był w piwnicy”, a nie „w kieszeni”. Wtedy można było mówić o pewnego rodzaju separacji prywatnego życia od tego, które się działo w internecie.

Każdy miał jakiś swój nick. Wszyscy mniej więcej wiedzieli, co to jest netykieta. Istniało coś takiego jak fora internetowe albo czat - w tych obszarach poruszalismy się właśnie jako ten „nick”. W dzisiejszych czasach większość ludzi ma preinstalowane media społecznościowe na telefonie. Kupujesz nowy telefon w sklepie, a tam już czeka na ciebie Instagram, Facebook i cała reszta. W tej chwili, jeżeli jakiś biznes, niezależnie od tego czy jest duży czy mały, jeżeli nie istnieje na mapach Google’a to w 99 proc. przypadków ktoś stwierdzi, że to scam. Jak biznes może nie istnieć na mapach Google’a? Jak biznes może nie mieć strony internetowej?

Ostatnio robiłem badania w jednym z miejsc, w których wcześniej nie byłem.  Pierwszy SMS, jaki dostałem po zaklepaniu wizyty u lekarza: „Twoje konto zostało zarejestrowane…” Nie ma możliwości, o ile oczywiście nie wyjechaliście do jakiejś dżungli w Amazonii, albo żyjecie na bezludnej wyspie, żeby wasze życie prywatne w jakiś sposób nie łączyło się z internetem.

Należy pamiętać, że na Facebooku zwykle dana osoba ma mnóstwo znajomych. Jeśli jego/jej konto zostanie zhakowane, to wszystkie te osoby są narażone np. na próbę wyłudzenia przez oszusta BLIK-a na 3 tys. złotych. To jest problem, prawda?

Trzeba pamiętać o tym, że w dzisiejszych czasach trudno znaleźć biznes czy osobę, która nie miała konta społecznościowego, konta w banku czy czegokolwiek innego, co można wykorzystać w realnym świecie. I nawet, jeżeli nie dotyczy to nas samych, to może dotyczyć osób, które znamy. Możemy być ogniwem tego łańcucha.

Czyli na bezpieczeństwo nie można patrzeć przez tylko swoją perspektywę.

Często ludzie zamieszczają zdjęcia swoich dzieci w internecie. Absolutnie jestem temu przeciwny, bo co z tego, że taki mały człowiek jeszcze nie ma swojego własnego konta, ale prawdopodobnie będzie je miał jak już rodzice kupią mu pierwszy telefon. Kiedyś znajdzie się w sieci. I co wtedy? Nagle się dowie, że rodzice robili mu już jakieś zdjęcia, publikowali je, a jego kolega czy koleżanka właśnie je znaleźli. I problem gotowy. Takie zdjęcia bardzo często nie powinny się znaleźć w przestrzeni publicznej, a internet jest taką przestrzenią. W dzisiejszych czasach nie można już tylko patrzeć na czubek własnego nosa…

Praktyka w cyberbezpieczeństwie

Dość ważnym problemem jest często kradzież tożsamości cyfrowej. Jak mam później udowodnić, że nie opublikowałem np. danego posta na Facebooku?

Zwłaszcza, że dzisiaj prawie każdy ma smartfona i jeżeli cokolwiek pojawi się na Facebooku, Instagramie czy TikToku, to grono osób widzi to w ciągu kilku sekund. Przestępcy też bardzo często grają na waszych emocjach, wszystkie kampanie phishingowe bazują właśnie na tym, na czasie. Zobaczysz post, że ktoś miał wypadek… Nie pomożesz znajomemu?

Warto czasami najpierw o to kogoś zapytać, szczególnie kogoś, kto się na tym zna. To głównie porada dla starszych osób, że warto do kogoś zadzwonić, co robić.

Absolutnie nie nazwałbym moich rodziców starszymi, nigdy w życiu. Podam przykład mojego taty, który doskonale zdaje sobie sprawę, czym się zajmuję i czasami suszę mu głowę o pewne rzeczy, ale mimo to - muszę o tym powiedzieć publicznie - miał na swoim komputerze plikhasła.txt. Jak to zobaczyłem, mało co nie dostałem zawału. W tej chwili używa już menadżera haseł.

Natomiast któregoś razu dostał telefon w pracy, ktoś mu powiedział, że „na jego koncie są podejrzane transakcje i trzeba szybko zablokować konto”. Na szczęście włączyły mu się lampki ostrzegawcze, to o czym mu zawsze opowiadałem. Stwierdził, że za chwilę oddzwoni i zweryfikuje, co się dzieje. Rozłączył się. Powiadomił mnie o tej sytuacji i spytał czy na pewno dobrze zrobił. Odzwonił też do banku, okazało się, że nie było takiej rozmowy, że to nie był ich konsultant. Zarejestrowali to u siebie i sprawa rozeszła się po kościach. Gdyby nie był na takie sytuacje wyczulony, kto wie, czy nie straciłby kilkudziesięciu tysięcy albo kilkuset tysięcy… W ten sposób można stracić oszczędności całego życia.

Coraz częściej pojawiają się też reklamy, szczególnie na Instagramie w stylu: „Zarób 700 złotych w jeden dzień”. Też mi wyskakują…

Scenariusz jest taki, że zakładasz sobie konto i stajesz się tak zwanym słupem, co oznacza, że oszuści „będą tylko przesyłać ci 700 złotych, ty zostawiasz dla siebie 200, a 500 odsyłasz im dalej”. Czysty zarobek, tylko że właśnie wyprali pieniądze przez twoje konto, na twoje dane. Te 700 złotych pochodziło z przestępstwa. 500 złotych poszło dalej, ale to już jest „czyste: 500 złotych. Wtedy twoje konto legitymizuje te pieniądze.

Adam Haertle robił taką akcję, gdzie walczył z podobnymi oszustami.

Wszystkich pasjonatów cyberbezpieczeństwa zachęcam do tego, żeby się odezwali do Adama na Discordzie w tej sprawie. Choć może nie wszyscy jednocześnie.

Drugi schemat tego oszustwa jest taki, że wystarczy, że klikniesz w dwa wyznaczone miejsca, portale. Polubisz dwa filmy na YouTube i teraz „dodamy cię do premium grupy”, dzięki której będziesz zarabiał miliony złotych na godzinę. Setki bitcoinów. Jednak, aby być w tej grupie, musisz płacić miesięczny abonament. I co z tego, że później nie dostajesz z tego w zasadzie nic, bo nagle się okazuje, że musicie wyrobić określoną liczbę lajków i kliknięć - taką, że nigdy jej nie osiągniecie. Zawsze będziecie bardzo blisko, ale akurat pieniądze przeszły wam koło nosa.

Może od czasu do czasu coś się pojawi na waszym koncie. Problem jest taki, że ta platforma należy do przestępców, płacić abonament, a bitcoinów (czy cokolwiek, co wam „oferują”) nigdy nie wypłacicie. Trzeba zrozumieć jedno - dla przestępców to jest biznes. Biznes wart grubo ponad 5 bilionów dolarów rocznie we wszystkich ransomware’ach, scamach czy innych nieetycznych akcjach.

To jest biznes, który jest wart kupę pieniędzy i cyberprzestępcy zawsze muszą dopracować scenariusz, który przekona naiwnych ludzi. Przepraszam, że mówię „naiwnych”, ale oni w ten sposób myślą.

Cyberprzestępcy jako firma

To są firmy.

„Firmy”, tak. Tak naprawdę to są przestępcy, którzy weszli do tego świata internetowego.

A nie pasjonaci, którzy…

…stali się przestępcami.

Tak, to są właśnie przestępcy, którzy…

…którzy zobaczyli, że jest luka i można ją wypełnić. Myślę, że to jest bardzo ważne. Bardzo często, kiedy rozmawiamy o ofensywnym cyberbezpieczeństwie mówimy, że robimy to po to, aby „firmy”, które się tym zajmują i oszukują ludzi, aby miały trudniej, bo też w to inwestują ogromne pieniądze. Tamjest research and development.

Zmierzam do tego, że m.in. w Indiach są „firmy”, w których ludzie nawet nie wiedzą, że oszukują. Bardzo często mają scenariusz, według którego postępują, realizują zadania i przekazują dalej scamerom, którzy są w zupełnie innych budynkach, w zupełnie innych miejscach. Ci ludzie nie mają zielonego pojęcia, że biorą udział w scamie.

To jest jeszcze bardziej przerażające.

Myślą, że pracują dla legalnej firmy, która współpracuje z np. z Microsoftem i naprawdę chcą pomóc ludziom po drugiej stronie słuchawki. A biorą udział w przestępstwie, nawet o tym nie wiedząc. Są też ludzie, którzy czasami muszą brać w tym udział, bo „dostali ofertę nie do odrzucenia”. Jednak większość przestępców doskonale zdaje sobie sprawę z tego, co robi i jest nastawiona na nieetyczny zysk.

Grupy APT i Korea Północna

Szczególnie, jeśli chodzi o grupy APT. Osoby fizyczne znajdują się w krajach, które po prostu je chronią. Na przykład Rosja czy Chiny. Korea Północna jest specyficzna, ale…

Wiesz, oni mają powiązania z dość grubymi akcjami. Co prawda się do tego nie przyznają, ale dużo wskazuje na to, że było kilka sporych akcji. Wydaje, że taki „biedny, zacofany kraj”. Mają bardzo mocno rozwiniętą działkę, jakkolwiek by ją nie nazwać- „IT”.

Podobno WannaCry był powiązany właśnie z nimi.

Początkowo wszyscy myśleli, że to Rosja. Wydaje się, że nie do końca. A przynajmniej nie całość. To pokazuje właśnie, że dla cyberprzestępców to jest biznes. Grupy APT częściowo są grupami nastawionymi na zarobek. Część z nich jest oczywiście sponsorowana przez państwa i mają konkretne cele. Jak choćby, wróćmy do Stuxnetu, bo… tutaj oczywiście nic nikomu nie udowodniono.

Większość z grup APT jest po to, by w nieetyczny sposób zarobić duże pieniądze, a później zniknąć. W bardzo wielu przypadkach to się niestety dzieje, dlatego my - po drugiej stronie musimy dążyć do tego, żeby organizacje i ludzie, którzy w nich pracują miały po pierwsze świadomość takich działań ze strony przestępców. Po drugie chciały współdziałać z nami, bo nie jesteśmy po to, żeby przeszkadzać.

Jeżeli wszyscy będziemy dążyli do tego, aby cyfrowy świat był trochę bezpieczniejszy, byłoby pięknie, prawda? To jest utopia, do której dążą wszyscy etyczni hakerzy.

XZ i nie tylko

Mnie na przykład przeraża, co by było, gdyby była jakaś grubsza podatność w przeglądarkach.

Już mieliśmy pewnego rodzaju przesłanki że, znalazło się oprogramowanie, które było wykorzystywane w Linuksach jako backdoor. Gdyby nie to, że jedna osoba stwierdziła, że coś jej się nie zgadza o 500 milisekund. To jest pół sekundy. Gdyby nie to, dzisiaj być może okazałoby się, że bardzo wiele systemów na całym świecie jest do zaorania. Znalazł się jeden człowiek, który zwrócił na to uwagę i był na tyle etyczny, żeby natychmiast to zgłosił.

Może powiedzmy, jak to było. Z tego co pamiętam, on wstawił to do listy mailingowej na Openwall?

Chyba masz rację. To właśnie odróżnia - jeśli etyczny haker coś znajdzie, to chce przekazać informację w celu zabezpieczenia, a nie zarobku. Należy sobie powiedzieć wprost, że dla etycznego hakera bardzo często znalezienie podatności samej w sobie jest już pewnego rodzaju nagrodą.

CTF-y są świetnym sposobem na to, żeby trochę „pobawić się” cyberbezpieczeństwem. Niekoniecznie przygotują was do pracy, ale na pewno dadzą pogląd i pozwolą waszemu kreatywnemu „ja” na pokazanie się. Bardzo polecam brać udział w CTF-ach, ponieważ każdy, kto w nich brał udział, wie, jakie to jest uczucie, jaki to jest zastrzyk dopaminy, kiedy znajdziemy flagę, przejdziemy przez problem, kiedy zrootujemy tę maszynę. To jest nagroda sama w sobie.

Większość etycznych hakerów, kiedy znajdzie tzw. zero day-a czyli podatność, której jeszcze nikt nigdy wcześniej nie upublicznił; zaczyna od zastanowienia się: „Czekaj, czekaj, nie, czy naprawdę to znalazłem, czy to rzeczywiście jest podatność?”

Sprawdzasz to jeden raz, drugi raz i za trzecim razem stwierdzasz, że trzeba zacząć pisać z tego raport, trzeba zacząć to upubliczniać, oczywiście w zależności od tego, jak krytyczna jest to podatność.

Mógłbyś powiedzieć, jak wygląda takie upublicznianie?

Większość etycznych hakerów albo opiera się, żeby jak najszybciej puścić to na jakiegoś bloga, skontaktować się z vendorem czy dać PoC na GitHuba. Na przykład na naszym podwórku większość ludzi, która by znalazła jakiegoś zero-daya poinformowałaby pewnie od razu CyberDefence, Sekuraka, Zaufaną Trzecią Stronę, Niebezpiecznika… Wszystkie serwisy, które znamy w Polsce. Oczywiście zaraz po tym jak otrzymaliby stosowne zezwolenie od vendora lub minąłby czas responsible disclosure.

Gdyby podatność była na tyle gruba, jak ta, o której przed chwilą rozmawialiśmy, to podejrzewam, że natychmiast informacja zostałaby podchwycona przez The Hacker News, Dark Reading i wszystkie inne tego typu serwisy z końcówką .com.

Etyka w upublicznianiu podatności

Warto podkreślić, że takie działanie, jakie właśnie teraz mówisz, mimo że wydaje się na pierwszy rzut oka niekoniecznie poprawne, jest jak najbardziej dobre dla ogółu społeczeństwa. Niemówienie o podatnościach jest jeszcze gorsze niż po prostu mówienie o nich.

I to mówimy o informacji dla społeczności, bo oczywiście pierwszym krokiem powinno być poinformowanie danego producenta czy właściciela oprogramowania, w którym to znaleźliśmy. Jeżeli to jest oprogramowanie open source, to poinformowanie całej społeczności jest świetną opcją. Mnóstwo jest deweloperów, mnóstwo osób, które zajmują się sysadminowaniem i tak dalej. Bardzo szybko będą wiedzieli co z tym zrobić.

Jeżeli mamy firmę, w której to znaleźliśmy, czy software, to wpiszmy nazwę tej firmy i „How to disclose vulnerability” lub poszukajmy jej programu bug bounty na jednej z platform. Angielski, jeżeli chcecie być w CyberSec, was nie ominie. Zawsze jak ktoś mnie pyta, jaki język programowania jest najważniejszy dla hakera, to odpowiadam angielski.

Jeśli to na przykład dotyczy administracji, zawsze próbować z CERT Polska.

CERTPolska, tak, absolutnie. Zapomniałem ich wymienić, przepraszam. CERTPolska czyli NASK, w pewnych przypadkach szybciej znajdzie kontakt niż wy, jeśli będziecie kopali sami. To są organizacje, które wiedzą do kogo się zgłosić, albo przynajmniej mogą wywrzeć nacisk jeżeli ktoś nie reaguje. Firmy są różne i czasami lekceważą, nie sprawdzają tych zgłoszeń lub robią to zdecydowanie za wolno.

Ukrywanie podatności nikomu nie służy, oprócz cyberprzestępców.

Jeżeli cyberprzestępcy już zostawili jakiegoś backdoora, to nie zostawili go po to, żeby sobie czekał w nieskończoność. W końcu go wykorzystają. Jeżeli znajdziecie podatność, to postarajcie się o niej jak najszerzej powiedzieć.

Tak jak z XZ?

Niezależnie od tego, czy ktoś jest tylko na LinkedInie czy Twitterze musiał o XZ słyszeć. U nas w zespole szybciej zaczęły latać memy związane z tą podatnością, niż techniczne opisy czy linki do postów na ten temat. Mem też jest sposobem na to, żeby coś nagłośnić. Jeżeli już jest opis podatności, jeżeli to poszło do producenta to śmiało, twórzcie memy. Niech ludzie choćby w śmieszny sposób dowiedzą się o sprawie.

Ostatnio D-Link miał właśnie taką sytuację, że wykryto dwie podatności. Jedna z nich była na pewno krytyczna. Producent powiedział, że już tego nie będzie aktualizował, bo sprzęt utracił wsparcie.

Świetnie. A to, że dziesiątki tysięcy ludzi z tego korzystają… co z tego? My etyczni i tak zgłosimy tę podatność. W wielu przypadkach są ludzie, którzy nawet jeżeli producent nic z tym nie zrobi, to oni sami starają się załatać i wypuścić jakieś łatki.

Szczególnie w open source tak jest.

Także jak najbardziej, zgłaszajcie. Nawet jeżeli coś się wydaje mało istotne i tak dalej, to jak najbardziej zgłaszajcie.

Ścieżka i rekomendacje Jakuba

Jak wyglądała Twoja ścieżka i co mógłbyś doradzić?

Moja ścieżka była taka, że przez wiele lat byłem deweloperem backendowym i z bezpieczeństwem spotykałem się tylko na tej zasadzie, że rozmawiałem z ludźmi, którzy się tym zajmowali. Pracowali w zespołach obok mojego. Sporo z nimi gadałem, bo też chciałem, żeby kod, który piszę nie był podatny. Zawsze się kręciłem gdzieś wokół tego tematu. Wziąłem udział w kilku CTF-ach. Zacząłem się bawić na Hack the Boxie, który bardzo mnie przeorał. Nie byłem w stanie zrobić żadnej „średniej” maszyny i to było zderzenie się ze ścianą, dlatego też dzisiaj bardziej polecam TryHackMe.

W pewnym momencie stwierdziłem, że oprócz samego czytania i bawienia się w CTF-ach i Hack The Boxach, może warto byłoby zrobić coś więcej. Zaaplikowałem do kilku firm i na moje szczęście nieźle wypadłem, bo mogłem wybrać ofertę, która mi odpowiadała. Jeśli miałbym doradzić ludziom, którzy startują w branży - zacznijcie robić coś praktycznego. Nawet jeżeli to mają być CTF-y i pisanie write-up«ów do nich, nawet jeśli zdobędziecie tylko jedną flagę. Opisujcie, czego ciekawego się dzisiaj nauczyliście na blogu i nie zapominajcie, żeby wspomnieć co wam nie wyszło - to jest ważny proces, który jest cenny dla innych.

Znajdźcie sobie ludzi w internecie, którzy pasują wam stylem swojej wypowiedzi, swojego pisania. Śledźcie wszystko, co się dzieje. Śledźcie community i bądźcie jego częścią. Nawet jeżeli macie tylko czytać, co piszą i wstawiać śmieszne memy. Jeszcze raz podkreślę - bądźcie częścia tego świata.

Bycie hakerem, to nie jest praca od dziewiątej do siedemnastej. Bycie hackerem to jest styl życia. To jest pewnego rodzaju, styl myślenia i bycia poza schematami. W pewnym momencie dostrzeżecie, że to nie jest tak, że musicie spełniać wszystkie wymagania i mieć wszystkie certyfikaty, żeby ktoś was dostrzegł czy pomógł. Potrzebujemy naprawdę wielu specjalistów. Jeżeli pojawia się u nas ktoś nowy i chce dać coś od ciebie, a w zamian oczekuje, że pokaże się mu ścieżkę, którą powinien obrać, to nie spotkałem się jeszcze z podejściem, aby ktoś powiedział: „wiesz… idź szukaj szczęścia gdzie indziej”.

Znam mnóstwo osób, które są absolutnie topowymi hakerami. Znacie ich z Twittera, znacie ich z konferencji… Ci ludzie nie mają OSCP, nie mają jakiegokolwiek innego certyfikatu, a rozwalają system. A z drugiej strony znam ludzi, którzy mają mnóstwo różnego rodzaju certyfikatów, a poziom ich wiedzy zatrzymuje się na tym, co przeczytali na kursach. Po prostu oni nie żyją tym na co dzień, a to coś, co wypełnia całe życie, sposób myślenia - tak samo jak myśleli Skłodowska-Curie i Kopernik.

Podsumowanie

Chcesz coś dodać na koniec?

Jeżeli mogę coś jeszcze na koniec powiedzieć, to „Hacking is not a crime”. To pierwsza kwestia. A druga to hack the planet. I na koniec, jeśli czyta to osoba która mocno „chce into cyber”, ale czuje się zagubiona i nie wie, jaki kolejny krok wykonać - znajdź mnie proszę na LinkedIn czy skontaktuj się poprzez moją stronę. Postaram się pokierować cię w odpowiednią stronę, albo chociaż pogadam o pogodzie, jeśli taka będzie twoja wola.

Dziękuję za rozmowę.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].