Diapositiva 1 - Master Sicurezza

Transcript

NON CLASSIFICATO
CYBER DEFENCE E SIMULAZIONI LIVE-FIRE:
un approccio organizzativo e tecnico
Seminario Master in Sicurezza Informatica
Dipartimento di Informatica dell'Universitá di Roma "La Sapienza"
3 febbraio 2015
Gen. B. Umberto Maria CASTELLI
Comandante del
Comando C4 Difesa
Ten.Col. Marco DE FALCO
Ufficio Sicurezza
Comando C4 Difesa
NON CLASSIFICATO
Sommario
• Il Comando C4 Difesa
• Esercitazioni di CD in ambito nazionale e NATO
• L'esercitazione "Locked Shields 2014"
• Evoluzioni CD
2
NON CLASSIFICATO
IL COMANDO C4 DIFESA
Massimo organo tecnico operativo
in ambito Interforze
L'acronimo "C4" sta per:
•
•
•
•
Command
Control
Communication
Computer systems
NON CLASSIFICATO
UBICAZIONE
Comando C4 Difesa
NON CLASSIFICATO
COMPITI ISTITUZIONALI
• Garantire il corretto funzionamento dei sistemi ICT e dei
servizi applicativi per le F.A. e l’Area di Vertice Interforze
(SMD, SGD, Direzioni Generali, Add. Militari, Magistratura Militare):
SIV, SIV2, SISAD, SIPAD, INFOGEST, SIAC, ETC
• Assicurare servizi di connettività (RIFON, AERNI, DIFENET,
INTERNET) e servizi «core» alle F.A. (DNS, Foresta di
Dominio , Identity Management, etc)
• Gestire la sicurezza delle reti e dei sistemi interforze
(configurazione servizi/apparati di sicurezza, monitoring, incident
handling, vulnerability / risk assessment )
• Fornire supporto all’utenza dei sistemi di cui sopra (“help
desk”)
NON CLASSIFICATO
SISTEMI INFORMATIVI GESTIONALI
•SISDEV
33 Sistemi
Analisi e Supporto
alle decisioni
• SIPAD
• GOPERS
• WEB ACCESSI
• SIRACC
• CMD
• ePASS
Personale
•
•
•
•
•
•
INFOCIV
IMPERS
SICAD
ITAP
SIAFA
MEF
• SIV 1
• SIV 2
• INFOGEST
• MEF
• SACS
• SICOS
Economici e
finanziari
• SISPAS
• SISAD
• SDO
• GEPADD
• SIAC
• SILAD
Sanità
Logistica
• Prot.inf SMD
• SIGMIL
• WISE
• Portale tecnico C4
Documentale
Comuni
GEIRD
IAM
TFS
Tab.Ti.Dife
Per un totale di 13.000 utenti
6
NON CLASSIFICATO
STRUTTURA ORDINATIVA
Capo Rep. VI SMD
MODELING &
SIMULATION CoE
COMANDANTE C4D
UFFICIO SUPPORTO GENERALE
E PERSONALE
SERVIZIO AMMINISTRATIVO
Vice Comandante
UFFICIO RETI E
SERVIZI
D’INFRASTRUTTURA
SICRAL
UFFICIO
SICUREZZA
UFFICIO SISTEMI
INFORMATIVI
CENTRALIZZATI
UFFICIO
PROGETTI E REQUISITI
UFFICIO
ASSISTENZA
UTENTI
NON CLASSIFICATO
COMPONENTI CAPACITIVE
SMD-6
Comando C4 Difesa
NETWORKING
MANAGEMENT
SERVICES
Modelling
&
Simulation
CoE
CYBER
SECURITY
CONTROL ROOM/CALL CENTER
Network
Operation
Center
Information
Operation
Center
NOC
IOC
Cyber
Defence
CERT
SOC
Centro di
controllo e
gestione
SICRAL
NON CLASSIFICATO
Seminario Master in Sicurezza Informatica
Dipartimento di Informatica dell'Universitá di Roma "La Sapienza"
3 febbraio 2015
Ten.Col. Marco DE FALCO
Ufficio Sicurezza
Comando C4 Difesa
NON CLASSIFICATO
UFFICI TECNICI
Capo Rep. VI SMD
MODELING &
SIMULATION CoE
COMANDANTE C4D
UFFICIO SUPPORTO GENERALE
E PERSONALE
SERVIZIO AMMINISTRATIVO
Vice Comandante
UFFICIO RETI E
SERVIZI
D’INFRASTRUTTURA
SICRAL
UFFICIO
SICUREZZA
UFFICIO SISTEMI
INFORMATIVI
CENTRALIZZATI
UFFICIO
PROGETTI E REQUISITI
UFFICIO
ASSISTENZA
UTENTI
NON CLASSIFICATO
STRUTTURA ORDINATIVA
UFFICIO RETI E
SERVIZI
D’INFRASTRUTTURA
UFFICIO
SICUREZZA
SEZIONE SERVIZI,
INFRASTRUTTURA E
INTEROPERABILITA’
SEZIONE DIRETTIVE E
CYBER DEFENCE
SEZIONE SISTEMI
CLASSIFICATI
SEZIONE CERT
SEZIONE CONTROLLI
DI SICUREZZA
SEZIONE PKI (CMD)
UFFICI ATTINENTI LA
CYBER SECURITY
•
•
•
•
•
ANTIVIRUS
ANTISPAM / MAIL FILTERING
WEB CONTENT FILTERING
WEB APPLICATION FIREWALLS
USER POLICIES ENFORCING (GPO)
•
•
•
•
•
•
FIREWALLS
VPN MANAGEMENT
INTRUSION DETECTION SYSTEMS
INTRUSION PREVENTION SYSTEMS
SIEM (EVENT CORRELATION)
TRAFFIC SHAPERS
• INCIDENT HANDLING
• SECURITY EVALUATIONS
• PENTESTING
• RISK ASSESSMENT
• PKI (AUTHENTICATION)
NON CLASSIFICATO
IL CERT DIFESA
Computer Emergency Response Team (CERT):
con funzioni di Technical Center per il
coordinamento dei CERT del dominio Difesa.
Raccogliere segnalazioni di incidenti e
vulnerabilità sistemi informatici.
Direttiva SMD-I-013 Ed. 2008 “Procedure di
Riposta agli Incidenti Informatici”
IL COMANDANTE C4 DIFESA è responsabile
della sicurezza informatica per SMD
NON CLASSIFICATO
Esercitazioni di Cyber Defence (CDX)
nazionali e NATO
Tipologia
Caratteristiche
Esempi
PROCEDURALE
Esercitazione «a tavolino» di
livello concettuale
CYBER EUROPE
SEMI PROCEDURALE Esercitazione procedurale
con alcuni injects di tipo reale
CYBER COALITION
"LIVE-FIRE"
LOCKED SHIELDS
Massimo livello di realismo,
riproduzione fedele delle
situazioni ed uso di strumenti
reali
NON CLASSIFICATO
Finlandia
Svezia
Tallinn
Estonia
Russia
Lettonia
Roma
NON CLASSIFICATO
Esercitazioni di CD in ambito NATO:
Il Cooperative Cyber Defence Centre of Excellence
Il Centro di Eccellenza per la Difesa
Cooperativa nei conflitti informatici (CCDCoE)
è
• un’entità attualmente finanziata e composta da 14
“Sponsoring Nations” (Estonia, Francia, Germania,
Inghilterra, Italia, Lettonia, Lituania, Olanda, Repubblica
Ceca, Repubblica Slovacca, Spagna, Ungheria, Polonia e
Stati Uniti).
• ufficialmente accreditato come Centro di Eccellenza NATO
(NATO CoE) sin dal 28 Ottobre 2008
• diretto e investito delle attività da effettuare da uno
“Steering Committee” multinazionale composto dalle sopra
menzionate 14 Nazioni, aventi uguale diritto di voto
NON CLASSIFICATO
Esercitazioni di CD in ambito NATO:
Il Cooperative Cyber Defence Centre of Excellence
La missione del CCD COE è ...
“aumentare la capacità, la cooperazione
e lo scambio di informazioni tra la NATO,
le nazioni facenti parte della NATO e i
partner accreditati nella difesa dai
conflitti informatici (“cyber conflicts”)
per mezzo di formazione, educazione,
ricerca e sviluppo, lessons learned e
consulenza”.
NON CLASSIFICATO
Esercitazioni CDX “Locked Shields”
(“Live-fire Cyber Defense eXercise”)
NON CLASSIFICATO
LOCKED SHIELDS 2014
CONCEPT
• Esercitazione tecnica di cyber defence (CDX) live fire di tipo
Blue - Red :
- I Blue Teams (x12) devono mettere in sicurezza e difendere
una propria rete virtuale precostituita da circa 40 macchine,
nelle quali sono presenti diverse vulnerabilità non dichiarate
- Il Red Team (x1, Tallinn) conduce attacchi informatici reali
contro tutti i Blue Teams secondo un approccio “white-box”
• Organizzatori:
CCDCOE (Cooperative Cyber Defence Center of Excellence),
Forze Armate estoni, Cyber Defence League estone, Forze
Armate finlandesi.
NON CLASSIFICATO
LOCKED SHIELDS 2014
CONCEPT
• Oltre ai teams blue e red, sono presenti anche altri tipi di
squadre:
- Legal Teams (1 x ogni Blue Team), sono un «sottoinsieme» dei
blue teams, e forniscono consulenza legale al blue team di
appartenenza
- White Team (x1, Tallinn), responsabile del controllo dei
partecipanti, della corretta applicazione delle regole e dello
scoring
- Green Team (x1, Tallinn), responsabile del setup e della
manutenzione tecnica dell’infrastruttura esercitativa.
Supporto tecnico fornito da Cisco, Clarified Networks, Clarified
Security e Codenomicon.
NON CLASSIFICATO
LOCKED SHIELDS 2014
CONCEPT
- Yellow Team (x1, Tallinn), responsabile della situational
awareness dell’esercitazione. Il suo compito è quello di
analizzare informazioni provenienti da diverse fonti e fornire un
feedback al White Team, al Red Team e ai Blue Team ("SA
solutions").
NON CLASSIFICATO
Esercitazione “Locked Shields”
Relazioni tra teams
GREEN
WHITE
YELLOW
REPORTS
CONTROL
RED
ATTACKS
BLUE_1
LEGAL
BLUE_2
LEGAL
CO-OP
…
BLUE_n
LEGAL
NON CLASSIFICATO
Esercitazione “Locked Shields” 2012
RED TEAM
NON CLASSIFICATO
BLUE TEAM 1
NON CLASSIFICATO
BLUE TEAM 1
NON CLASSIFICATO
WHITE TEAM
NON CLASSIFICATO
ESERCITAZIONI LOCKED SHIELDS
FINALITA’
•
Gli scopi della CDX Locked Shields sono:
1)
rendere il personale tecnico delle nazioni partecipanti
preparato a sostenere e risolvere attacchi informatici
intensi e su larga scala, costringendolo anche a
fronteggiare imprevisti e a ricorrere a soluzioni
innovative (workaround “out-of-the-box”);
2)
abituare le nazioni alla cooperazione internazionale
spinta e ad un proficuo scambio di informazioni;
3)
sviluppare capacitá di gestione della comunicazione
verso i media durante le crisi informatiche;
4)
sviluppare competenza professionale anche dal punto
di vista legale.
NON CLASSIFICATO
LOCKED SHIELDS 2014
SCENARIO (1/2)
•
Situazione fittizia aderente a casi reali (Estonia, NATO, etc.)
•
Ogni Blue Team rappresenta un Rapid Reaction Team
(RRT) della Berylia, una nazione da poco entrata nella
NATO la cui industria nazionale è molto conosciuta per l'
esperienza nello sviluppo di droni militari miniaturizzati.
Il mandato dei RRT è quello di amministrare e difendere i
sistemi ICT di R&S delle industrie dei droni, rimasti
inspiegabilmente privati dei propri "Chief admins" e posti
sotto attacco da movimenti antagonisti della tecnologia
drone. Da questi siti saranno governati remotamente droni
che saranno presentati in una "live demo" al Dubai World
Drone Expo.
NON CLASSIFICATO
LOCKED SHIELDS 2014
SCENARIO (2/2)
•
Il Red Team rappresenta un gruppo di hacktivisti
conosciuto come NoForRobots! (NFR) che sostiene la
lotta contro la tecnologia dei droni.
Il loro intento è quello di attaccare e degradare i sistemi
informatici delle industrie dei droni, allo scopo di
causare un grave danno di immagine (Dubai Expo) e/o
di compromettere i segreti industriali a danno della
Berylia. E' possibile che l' NFR sia sponsorizzato dalla
Crimsonia, una nazione rivale della Berylia.
•
Quindi, nella pratica, i membri del Red Team
attaccheranno le reti dei Blue Teams, cercando di
sfruttare le vulnerabilità presenti.
NON CLASSIFICATO
LOCKED SHIELDS 2014
AMBIENTE TECNICO
• Tutti gli ambienti di esercitazione sono implementati su
infrastrutture di virtualizzazione VMware vSphere v5.5,
installate presso il CCDCOE e accedute dai players
tramite VPN su connettività Internet.
NON CLASSIFICATO
LOCKED SHIELDS 2014
AMBIENTE TECNICO
• I Blue Teams dovranno gestire una rete segmentata in un
totale di 7 DMZ, nelle quali saranno presenti le seguenti
macchine:
- Routers Cisco
- Firewalls e gateways VPN basati su pfSense Linux
- Workstations Windows XP, Windows 7 e Ubuntu
- Controllers di dominio Windows
- Servers web, DNS, SMTP, POP3, IMAP, FTP, SMB (su
piattaforma Windows e Linux)
- Sistemi VoIP Cisco UCM
- Tablets Android
- Sistemi di videosorveglianza basati su IP cams
NON CLASSIFICATO
Attività di competenza (1/2)
•
Ogni Blue Team, da parte sua, deve:
1)
scoprire ed eliminare tutte le vulnerabilità presenti
nelle proprie reti nel minor tempo possibile (prima
che il Red Team riesca a sfruttarle);
2)
gestire compromissioni di macchine non “patchate”
in tempo o compromesse tramite vulnerabilità
applicative web
3)
rilevare e notificare attività malevole, anche di tipo
“stealth” (high score!);
NON CLASSIFICATO
4)
comunicare alle altre Blue Teams gli eventi di
attacco secondo una corretta gestione dell’incidente;
5)
inviare periodicamente al White Teams SITREPs e
risposte agli injects nel rispetto dei tempi imposti;
6)
comunicare ai media gli eventi in corso secondo una
corretta gestione delle pubbliche relazioni;
7)
fornire consulenza legale, tramite il proprio “Legal
Team”, riguardo a specifiche richieste inoltrate dal
White Team. Il Legal Team verrà anche “interrogato”
dal White Team per valutare la sua comprensione
degli aspetti tecnici!
NON CLASSIFICATO
I Blue Teams NON conoscono la configurazione delle
macchine dislocate nella propria rete ma solo uno
schema topologico.
Circa una settimana prima dello svolgimento della CDX,
vengono loro concessi due sessioni di 8 ore giornaliere
per condurre i propri assessment e un DAY0 di test.
Viene inoltre loro concessa la possibilità di installare due
VM proprietarie (max 8 vCPU, 8 GB RAM,100 GB disk).
Alla fine del DAY0 tutte le macchine (eccetto le VM
proprietarie) vengono ripristinate alla loro configurazione
originale (ogni patch è quindi inutile prima del DAY1).
NON CLASSIFICATO
Valutazione e punteggio
• Ogni Blue Team viene valutato in termini di punteggio
in base alle attività effettivamente condotte in modo da
motivarli e misurare i loro skills.
• La valutazione avviene in modo automatico tramite
scoring bots e uno scoring server, supervisionata e
integrata/corretta dal White Team.
• TUTTE LE ATTIVITA’ DI COMPETENZA
PRECEDENTEMENTE ELENCATE SONO OGGETTO
DI VALUTAZIONE!
NON CLASSIFICATO
LOCKED SHIELDS 2014
PROFILI E RUOLI RICHIESTI
• Tecnici (configurazione, hardening, patching, detection
e remediation):
- Sistemisti Cisco IOS (routers) e Cisco UCM (VoIP)
- Sistemisti Windows (XP, 7, Active Directory)
- Sistemisti Linux (workstation e server)
- Web masters / developers (server-side scripts)
• Operatori per coordinamento di Incident Response
(information sharing e incident reporting)
• Consulenti legali
• Addetti stampa per comunicazioni ai media
NON CLASSIFICATO
LOCKED SHIELDS 2014
ORGANIZZAZIONE DEL BLUE TEAM ITALIANO
•
•
•
•
•
•
•
•
Firewall specialists
ISD/IPS "watchkeepers"
Windows system analysts
Linux system analysts
Malware analysts (incident handlers)
Network specialists
Reporters
Web developers (interventi sui siti web, analisi
di vulnerabilità delle applicazioni web)
• Esperti legali
• Public Information Officers
NON CLASSIFICATO
NON CLASSIFICATO
NON CLASSIFICATO
LOCKED SHIELDS 2014
CLASSIFICA FINALE GENERALE
Posizione
Nazione
Punteggio
Team
1
POLONIA
27603
BT 6
2
LETTONIA+REP.CECA
24966
BT 10
3
ESTONIA
22003
BT 4
4
AUSTRIA+LITUANIA
20663
BT 5
5
ITALIA
19644
BT 3
6
FINLANDIA
18666
BT 11
7
NATO (NCIRC)
16806
BT 1
8
TURCHIA
12024
BT 7
9
GERMANIA+OLANDA
10517
BT 2
10
UNGHERIA
9189
BT 8
11
FRANCIA
8047
BT 12
12
SPAGNA
6460
BT 9
NON CLASSIFICATO
LOCKED SHIELDS 2014
PUNTEGGIO PER TEAM / TIPOLOGIA
NON CLASSIFICATO
LOCKED SHIELDS 2014
CONSIDERAZIONI GENERALI
ANALISI DEGLI EVENTI
NON CLASSIFICATO
LOCKED SHIELDS 2014
CONSIDERAZIONI GENERALI
• Esercitazione nettamente piú complessa
delle CDX procedurali e semi-procedurali
e ancora più complessa della LS2013
• Scenario verosimile ma impegnativo
• L’esercitazione coniugava aspetti tecnici
cyber e aspetti procedurali cyber, così
come aspetti non-cyber classici di
esercitazioni convenzionali (“injects”)
NON CLASSIFICATO
LOCKED SHIELDS 2014
LA NOSTRA STRATEGIA
• "Patchare" tutto il possibile quanto prima possibile
• Non permettere ai firewall di inoltrare il traffico
inbound/outbound finquando le macchine non
risultino "patchate" ad un livello accettabile (anche
se questo significa perdere punteggio per gli SLA)
• Tenere attivamente sotto monitoraggio le macchine
in rete con scripts proprietari per rilevare IoCs
(indicatori di compromissione)
• Se un positivo viene rilevato, scalare l'evento
immediatamente ad un analista con maggiore
esperienza, che provvederà a relazionare i reporters
NON CLASSIFICATO
LOCKED SHIELDS 2014
PROBLEMATICHE RISCONTRATE
• Ambiente eccessivamente popolato da visitatori e
osservatori esterni
• Carenza di expertise sulla parte VoIP e Android
• Non corretta valutazione importanza del buon
funzionamento delle workstations utente Windows e
Android, causando punteggio negativo ad opera delle
"blondes"!
• Non corretta gestione degli injects non tecnici (ops,
media, legal) e delle attività di reporting, causa di
punteggi negativi in ragione di ritardi
NON CLASSIFICATO
LOCKED SHIELDS 2014
PROBLEMATICHE RISCONTRATE
• Scarsa cooperazione con gli altri BTs
(esempio della Polonia)
• Scarsa qualità SITREPs (esempio Germania)
• Impossibilità a configurare la VM IDS
proprietaria (Snorby) compatibilmente all'
incapsulamento ERSPAN, costringendoci
all'uso dell'IDS di pfSense "preconfezionato“,
utile ma non sofisticato
NON CLASSIFICATO
LOCKED SHIELDS 2014
PUNTI DI FORZA
• Punteggio negativo più basso di tutti i Blue
Team di tipo "Attack" (attacchi portati a
segno), grazie a una buona strategia di difesa
(regole sui firewall e patching)
• Ottima configurazione dei router BGP
(definita dai giudici di gara "brillante") che ci
ha permesso di difenderci con successo dal
BGP hijacking
NON CLASSIFICATO
LOCKED SHIELDS 2014
CONSIDERAZIONI FINALI
NON CLASSIFICATO
LOCKED SHIELDS 2014
NECESSITA' DI:
• PIU' TEMPO!
Abbiamo iniziato a prepararci con troppo ritardo,
nonostatnte il fatto di aver avuto lo stesso problema
il precedente anno
• Essere più selettivi sul personale (players). E' bene
scegliere solo persone realmente ben preparate, e
possibilmente già in possesso di esperienza di
partecipazione alle precedenti edizioni della Locked
Shields
• Disporre di POS e checklists ben definite, e di tools
collaudati e pronti all'uso che hanno dimostrato di
funzionare bene (scripts)
NON CLASSIFICATO
LOCKED SHIELDS 2014
• Essere PUNTUALI nelle risposte agli injects
• Ricevere feedback accurati dal White Team
(esempi di come le cose dovrebbero essere
fatte) per imparare a produrre buoni reports e
buone risposte agli injects
• Considerare ogni aspetto / dispositivo
dell'esercitazione senza eccezione per evitare
sorprese
NON CLASSIFICATO
LOCKED SHIELDS 2014
• Esercitazione sbilanciata a favore del
Red Team
• Necessità di:
-
grande impegno comune
personale
skills di alto livello
coordinamento
comunicazione
preparazione (tempo)
• Ottima opportunità di apprendimento
NON CLASSIFICATO
EVOLUZIONI CD
VIRTUAL CYBER DEFENCE BATTLE LAB
Comando C4 Difesa
Virtual Cyber Defence Battle Lab
• Piattaforma di simulazione (ambiente di virtualizzazione) e locali di
fruizione presso il Comando C4 Difesa
• Coniugazione di risorse elaborative virtuali (VMs) e reali (network
appliances)
• Utilizzabile per: ricerca, testing, addestramento, esercitazioni
• Possibilitá di sinergia con molteplici partecipanti (Forze Armate,
Istituzioni, Ministeri, Accademia, NATO, industria, etc.)
NON CLASSIFICATO
EVOLUZIONI CD
Cisco UCS blade servers
• Potenza (~ 200 VMs)
• Modularitá (8 blades)
• Semplicitá di gestione (web GUI)
NON CLASSIFICATO
EVOLUZIONI CD
CASSETTI OTTICI
(connettività in fibra)
NETWORK SWITCH
FABRIC
INTERCONNECTS (x2)
FIREWALL PALO ALTO
SAN QNAP
nBox NETWORK
RECORDER (nTop)
SERVERS CISCO UCS (4
BLADES + 4 ALIMENTATORI,
0.5 TB RAM)
NON CLASSIFICATO
EVOLUZIONI CD
INTERNET
ATD (Advanced Threat
Defence) device
DIFENET
(PRODUCTION
NETWORK)
LAB
NETWORK
Cyber lab
virtualization
infrastructure
NON CLASSIFICATO
EVOLUZIONI CD
Locali di fruizione
NON CLASSIFICATO
MAX. 20 PLAYERS
MAX. 5 ADMINISTRATORS
OR … 25 SCIENTISTS 
NON CLASSIFICATO
BLUE TEAM 3
NON CLASSIFICATO
BLUE TEAM 3
NON CLASSIFICATO
EVOLUZIONI CD
COMANDO C4D
PIATTAFORMA DI
SIMULAZIONE
LOCALI DI FRUIZIONE
LAB / CDX ROOM
BLADES
SAN
MGMT
PLAYERS /
SCIENTISTS
FI SWITCH
tunnels VPN
FW
SMD-2
ENISA
ALTRI
PARTNERS MNE-7
CII
DIFENET
AERONET
INTERNET
MARINTRANET
NCIRC
EINET
CERT AM
STRUTTURE
NATO
CCDCOE
CERT MM
CERT EI
STELMILIT
INDUSTRIE E
SETTORE PRIVATO
SCUTI
PARTNERS
NATO
PUBBLICHE
AMMINISTRAZIONI
PCM
QXN
MISE
DIGIT-PA
MAE
MIUR
MEF
MININT
NON CLASSIFICATO
Domande?

Diapositiva 1 - Master Sicurezza

Transcript

Documenti analoghi

elenco vincitori concorso il mio caro amico v edizione

Elenco dettagliato - Premio Giuseppe Malattia

Fucile da caccia ad anima liscia su bersaglio fisso Carabina ad aria

QUALIFICA OPERATORE ELETTRICO QUALIFICAOPERATORE

Lo scheletro nell`armadio

cartolina blogger contest 2013

Comando C4 Difesa

sabato 4 febbraio 2017 ore 15.00

Russo Demis