More Related Content
Similar to 6 jürg fischer it forensics in virtuellen umgebungen
Similar to 6 jürg fischer it forensics in virtuellen umgebungen (20)
More from Digicomp Academy AG
More from Digicomp Academy AG (20)
6 jürg fischer it forensics in virtuellen umgebungen
- 1. Juerg Fischer
Security Analyst
Sunworks GmbH, Ennetbaden
Microsoft Certified Trainer, EC-Council Certified Instructor
©SUNWORKSS
- 2. » Forensics Grundlagen
» ...und in virtuellen Umgebungen?
» Unterschiede virtueller Umgebungen
» Live Forensics
» Forensics der Hostsysteme
» Unterstützende Tools (Kommerzielle und Open Source)
» Live Demo
» Fazit
2
©SUNWORKS
Digicomp – Hacking Day `11
S
- 4. » 3 Beispiele
˃ Provider
˃ Maschinenbaufirma
˃ Industriebetrieb mit eigener SW-Entwicklung
» Forensics-Begriff auf alle Seiten offen
» Oft Interpretationssache oder Verbund mit
anderen Services wie Pentest, Ethical Hacking
4
©SUNWORKS
Digicomp – Hacking Day `11
S
- 5. » Was ist möglich?
˃ Wiederherstellung gelöschter Daten
˃ Erkennung wann sich Dateien geändert haben,
modifiziert wurden, gelöscht wurden
˃ Überprüfung welche Geräte angeschlossen wurden
˃ Welche Applikationen wurden von einem Benutzer
installiert oder deinstalliert?
˃ Welche Websites wurden besucht?
˃ Welche Mails wurden mit welchen Attachments
verschickt
5
©SUNWORKS
Digicomp – Hacking Day `11
S
- 6. 1. Computer Crime wird festgestellt
2. Durchsuchungsbefehl wird beantragt (falls notwendig)
3. First Responder Prozeduren werden durchgeführt
4. Beweismittel werden zusammengetragen
5. Beweismittel werden geschützt ins Labor transportiert
6. 2 Bit-Stream Kopien werden erstellt
7. Chain of Custody wird erstellt
8. Originale Beweismittel werden an einem sicheren Ort
gelagert
9. Kopie des Images wird analysiert
10.Forensic Report wird erstellt 6
©SUNWORKS
Digicomp – Hacking Day `11
S
- 7. » Datenverlust während der Analyse minimieren
˃ System ausschalten?
˃ Vom Netz trennen?
» Daten 1:1 kopieren
˃ Memory
˃ Partitionen (Harddisks)
» Nur Kopien analysieren
» Erkenntnisse und Vorgehensweise notieren
» Während der forensischen Analyse darf nichts
verändert werden 7
©SUNWORKS
Digicomp – Hacking Day `11
S
- 8. » Datenverlust während der Analyse minimieren
˃ System ausschalten?
˃ Vom Netz trennen?
» Daten 1:1 kopieren
˃ Memory
˃ Partitionen (Harddisks)
» Nur Kopien analysieren
» Erkenntnisse und Vorgehensweise notieren
» Während der forensischen Analyse darf nichts
verändert werden 8
©SUNWORKS
Digicomp – Hacking Day `11
S
- 10. » Grundsatzfragen
˃ Was erwarten wir?
˃ Wo sind die Daten?
˃ Wem gehören die Daten?
˃ Welche Forensik Technik verwenden wir?
˃ Wie bekomme ich Daten aus virtuellen Maschinen
oder der Cloud?
˃ Welche Tools verwende ich dazu?
10
©SUNWORKS
Digicomp – Hacking Day `11
S
- 11. » Aufsetzen relativ einfach
» Vorbereitete Appliances können nur aus dem
Internet heruntergeladen werden
» Bridge Funktion ermöglicht schnellen
Netzwerkzugriff via Hostsystem
» Durch NAT kann auch nicht gemanagter Verkehr
mit dem Netzwerk statt finden.
˃ Malicious Software Installation
˃ Netzwerk Schwachstellen
˃ Clients mit fehlgeleiteten Verbindungen 11
©SUNWORKS
Digicomp – Hacking Day `11
S
- 12. » Ist die Umgebung Physikalisch oder Virtuell?
» Ist die Virtualisierung Hardware- oder Software-
basierend?
» Sind identifizierbare Mac Adressen vorhanden?
» Sind identifizierbare Herstellerinformationen
verfügbar?
» Sind identifizierbare Hardware Drives
vorhanden?
12
©SUNWORKS
Digicomp – Hacking Day `11
S
- 13. Server Virtualisierung Desktop Virtualisierung
˃ VMWare ˃ VMWare
+ Linux und Windows + Komplette Virtualisierung möglich
Hostsysteme möglich ˃ Microsoft Virtual PC
+ bare-metal möglich + Beliebige Windows Hostsysteme
möglich
˃ Microsoft Virtual Server
˃ Windows Virtual PC (Windows 7)
+ Windows Hostsysteme + setzt Hardware Virtualisierungs-
˃ Citrix XEN Server Features voraus
+ Bare-metal System ˃ XENSource
+ Citrix, alle bekannten Gastsysteme
˃ OracleVM
˃ Parallels
+ Für Oracle und nicht-Oracle-
Anwendungen + Windows, Linux und Mac OSX
Plattformen
˃ SUN Virtual Box
+ Mac OSX, Linux und Windows
13
©SUNWORKS
Support
Digicomp – Hacking Day `11
S
- 14. » Via USB zu starten
» MojoPac
˃ Entwickelt von Ringcube
˃ Encapsulation eines kompletten Windows Desktops
» MokaFive
˃ Spinoff der University Stanford
˃ Basiert auf einem Thin Client Modell
» Portable Virtualbox
˃ Entwickelt von Innotek
˃ SUN übernahm 2008 den Betrieb 14
©SUNWORKS
Digicomp – Hacking Day `11
S
- 16. » Sehr populär
» Unterschiedliche Szenarien notwendig ob
Statisch oder Live
» Sehr oft als Testplattform verwendet
» Möglichkeit Veränderungen zu löschen und mit
dem vorherigen Snapshot zu starten
16
©SUNWORKS
Digicomp – Hacking Day `11
S
- 17. » VM innerhalb eines Forensic Images ist
schwierig zu durchsuchen
» Typische Forensic Software erkennt die VM-
Dateien als unbekannte Dateitypen
» Images können aber bei verschiedenen
Virtualisierungslösungen gemounted werden
» Einige Forensic Software Lösungen erlauben
VMs zu laden und somit zu analysieren. Somit
wird die vmdk-Datei einem Case zugeordnet.
» Kommerzielle Tools (Bsp. Encase) erkennen die
Festplatten/Partitionen der VMs 17
©SUNWORKS
Digicomp – Hacking Day `11
S
- 18. » FTK Imager
» Liveview (bei Workstation und ESX)
» Encase
» MMLS & DD
» CAINE
» Helix
» …
18
©SUNWORKS
Digicomp – Hacking Day `11
S
- 19. » Unterschiede zwischen dem
Original und der virtuellen
Maschine können mit Tools wie
Compare Snapshots aufgezeigt
werden.
» Die Idee dabei ist es zwei
Snapshots zu vergleichen (ein
Original und ein mit Malware
infiziertes System.
» Ein Vergleich der Dateien mit
einem Hex-Editor ist wesentlich
schwieriger.
» Integriert ist eine Search Engine
welche nach Erweiterungen wie
.sys oder .exe sucht. Mit einer
Erweiterung der Suchregeln (zB.
System32 wird die Suche noch
effizienter.
19
©SUNWORKS
Digicomp – Hacking Day `11
S
- 20. » VMEM
» Analyse des Speichers
einer VM
20
©SUNWORKS
Digicomp – Hacking Day `11
S
- 21. Typ Beschreibung
vmx Primäres Virtual Machine Configuration File
vmsd Snapshot Descrypter File
vmtm Configuration File for Teaming Funktionalitäten
vmdk Disk Descripter File
Log VMWare Logfiles
nvram Bios Settings der VM
vmss Suspend File, Status der Suspended VM.
vmsn Snapshot Files
vmsd Snapshot Descripter File
vmem Auslagerungsdatei der VM
21
©SUNWORKS
Digicomp – Hacking Day `11
S
- 22. » Erstellen eines Snapshots und der .vmsm-Datei
der VM ohne irgend etwas im Code des
Gastsystems zu verändern.
» Erstellen der Integrität der Evidence Files.
» Einhalten der «Chain of custody».
22
©SUNWORKS
Digicomp – Hacking Day `11
S
- 23. » Verbinden auf die ESXi- Befehl Funktion
Service Konsole über SSH Vim-cmd vmsvc/- Löscht die .vmdk
destroy vmid und .vmx Dateien
» Verwendung des CLI- auf der Festplatte
Interfaces chkconfig –l Zeigt Daemons
welche auf dem
» Verwenden des esxcfg- Hypervisor laufen
info Command esxcfg –info Zeigt die Wealth
Informationen
eines ESX-Hosts
auf
Esxcfg –nics-l Zeigt die Network
Interface 23
©SUNWORKS
Informationen an
Digicomp – Hacking Day `11
S
- 24. » Sysinternal Tools vor dem Shutdown virtueller
Maschinen verwenden um Services, offene
Ports und weitere Informationen zu sichern.
Tool Funktion
Accessenum.exe Unterstützt Benutzer Berechtigungs-
Informationen auf den Dateien und der
Registry durch die API
Autoruns.exe Informationen aus dem Bootvorgang
Pendmoves.exe Dateien welche via Schedule umbenannt
oder gelöscht werden im nächsten
Bootvorgang
Logonsessions.exe Aktive Logon Sessions 24
©SUNWORKS
Digicomp – Hacking Day `11
S
- 26. » Können Sie dem OS vertrauen?
˃ Kernel Level Rootkits
˃ Wissen Sie wem Sie vertrauen?
» Whole Disk Encryption
˃ BitLocker, EFS, CFS, TCFS, sfs, etc.
˃ Schalten Sie das System aus und dann, ooops …
» Was machen Sie mit einem Memory Dump?
˃ Rekonstruieren der Prozesse (running and dead?)
˃ Suchen mit entsprechenden Filtern
26
©SUNWORKS
Digicomp – Hacking Day `11
S
- 27. » Interaktion zwischen zwei Computern
» Internet macht die Analyse bedeutend komplexer
» Verschlüsselung, Steganography
» “Sicheres” Löschen
» Betriebssystemfunktionen!
˃ ext3 Dateisystem in Linux
˃ Secure Recycle Bin in Mac OS X
» Kriminelle wenden immer bessere Techniken an
» Einige Daten sind nur im RAM vorhanden
27
©SUNWORKS
Digicomp – Hacking Day `11
S
- 28. » Die meisten Forensic Tools booten auf ihrem OS
ihre Basisdienste
˃ Informationen müssen aus dem physikalischen
Speicher gelesen werden
˃ Disk Dumping
» User-Level Rootkits
˃ Modifizieren von Systemaufrufen (ls, ps, du, df)
˃ Ändern der Disk-Space Statistik, Auflisten der
laufenden Prozesse, etc.
28
©SUNWORKS
Digicomp – Hacking Day `11
S
- 29. » Grosse Festplatten
˃ Kapazität nimmt massiv zu
˃ Terabyte Systems sind gross aber schon weit verbreitet
˃ Searching (oder indexing) braucht Zeit
˃ Mirroring braucht Zeit
» Minimale Downtime (Mission Critical Systeme)
» Schwieriger um Beweise zu sammeln
» Einige Daten sind nur im RAM vorhanden
29
©SUNWORKS
Digicomp – Hacking Day `11
S
- 30. » Grosse Festplatten
˃ Kapazität nimmt massiv zu
˃ Terrabyte Systems sind gross aber schon weit verbreitet
˃ Searching (oder indexing) braucht Zeit
˃ Mirroring braucht Zeit
» Minimale Downtime (Mission Critical Systeme)
» Schwieriger um Beweise zu sammeln
30
©SUNWORKS
Digicomp – Hacking Day `11
S
- 31. » Zeitstempel immer notwendig, da er die
Referenz für eine Veränderung ist
» Vorsicht bei Forensics auf dem originalem
System (bei einem Start von Windows oder
Linux werden mehr als 1000 Dateien verändert)
» Verdächtige Prozesse dürfen nicht verändert
werden
» Nur vertrauenswürdige Programme verwenden
(Angreifer baut meistens Hintertüren, … ein)
» Ordnungsgemässer Shutdown könnte Beweise
vernichten 31
©SUNWORKS
Digicomp – Hacking Day `11
S
- 32. » Folgende Formattypen können analysiert werden:
˃ DMF, VHD, ISO, IMA, IMZ
» Disk Image vom dem Zielsystem kopieren
» Hash über das Image legen
» Disk mit WinImage analysieren und Evidence
Dateien herauslösen
» Zweiten Hash über das Image legen um zu
bestätigen dass sich das Image nicht verändert hat
» Herausgelöste Dateien in Forensic Tool laden und
analysieren
32
©SUNWORKS
Digicomp – Hacking Day `11
S
- 33. » Scripts können via ADS versteckt werden
» Suche schwierig, da Dateien nicht im Explorer
angezeigt werden
33
©SUNWORKS
Digicomp – Hacking Day `11
S
- 34. » c:programme oder c:program files
˃ VMWare
˃ Microsoft Virtual PC
˃ Bochs
˃ DOSBox
˃ Portable Virtual Privacy Machine
» «My Dokuments» oder «eigene Dateien»
˃ My LivePC’s
˃ My LivePC Documents
˃ My Shared LivePC Documents
» «Documents» oder «Dokumente»
˃ My Virtual Machines
» «Documents and Settings» oder «Dokumente und
Einstellungen»
˃ VirtualBox
34
©SUNWORKS
Digicomp – Hacking Day `11
S
- 35. » Registry
˃ Tool RegRipper um schnell Informationen zu finden
» Ntuser.dat
» Ntuser.log
35
©SUNWORKS
Digicomp – Hacking Day `11
S
- 36. » In Netzwerkkomponenten
» Im RAM
» Auf Businesskritischen Mascheinen
˃ können nicht einfach ausgeschaltet werden
» Auf Storage-Devices
˃ Bei einen 1TB Server wird das Erstellen des Images
ein zeitliches Problem werden
˃ Wie sieht es dann bei 10TB aus und wie
transportieren wir die Daten ins Labor?
36
©SUNWORKS
Digicomp – Hacking Day `11
S
- 37. » Es werden die selben Produkte wie für die
Analyse verwendet
» Nur auf einem relativ “ruhigem” System ist eine
solche Analyse realistisch
» Win: dd if=.PhysicalDrive0
of=e:pd0.dd
» Linux: dd if=/dev/hdc of=/mnt/images/hdc.dd
37
©SUNWORKS
Digicomp – Hacking Day `11
S
- 38. » Registry Settings reg.exe
» Microsoft Security IT rockxp
» Event Logs psloglist, dumpevt
» Dump IE-Settings index.dat
» Devices devcon
» Slack Space drivespy, Forensik Software
» Virtueller Speicher System Scanner, X-Ways Forensics
» Versteckte Partitionen Partition Logic
38
©SUNWORKS
Digicomp – Hacking Day `11
S
- 39. » Systemzeit time/t
» Eingeloggte Benutzer psloggedon, net sessions,
Logonsessions
» Offene Dateien net file command, psfile, openfiles
» Netzwerkverbindungen netstat,
» Prozessinformationen Tlist, Tasklist, Pslist, Listdlls,
Handle, Openports
» Promisdetect promisdetect, promqry
39
©SUNWORKS
Digicomp – Hacking Day `11
S
- 40. » Windows
˃ Offene Files
˃ Offene Network Connections
˃ Registry Activity
˃ Open DLLs
˃ …
» Unix
˃ Offene Files
˃ Offene Network Connections
˃ Zugriff auf korrespondierende EXE
˃ Environment Variablen
˃ …
40
©SUNWORKS
Digicomp – Hacking Day `11
S
- 41. » Wenn virtuelle Maschine erstellt wird, wird
Speicher alloziert.
» Änderungen am physikalischen Speicher bewirkt
ebenfalls eine Änderung der Virtuellen Maschinen
und der Performance.
» Limitierung des physikalischen Speichers,
vermindert die Gefahr dass das Hostsystem
«crashed».
» Reservation von Speicher für virtuelle Maschinen
schränkt Funktionalität ein erhöht aber die
Sicherheit da der Speicherbereich bekannt ist. 41
©SUNWORKS
Digicomp – Hacking Day `11
S
- 42. » VMWare teilt seinen virtuellen Maschinen
Speicher zu
» Direkter Zugriff der VM auf Speicher nicht
möglich
» Somit können nicht wesentlich mehr
forensische Informationen gefunden werden
wenn der VM mehr Speicher zugewiesen wird.
42
©SUNWORKS
Digicomp – Hacking Day `11
S
- 43. » Auswertung des Speichers erfolgt über die
.vmem-Datei.
» Analyse kann über Open Source Tools wie dd,
Volatility Framework, HBGary Responder, oder
beliebige Kommerzielle Forensik Tools
vorgenommen werden.
43
©SUNWORKS
Digicomp – Hacking Day `11
S
- 44. » Ein Trusted Dump wurde erstellt, was nun?
» Der Dump wird analysiert um relevante Informationen
über Processe, Threads, Offene Dateien, Sockets, etc. zu
bekommen
» Erstens: analysieren der Lists/Tables der Kernel
Structures
» Zweitens: “carving” für interessante Objekte
» Speicherinhalte dumpchk.exe
» Prozesse Eprocess
» Speicherprozess Parser Lsproc.pl
44
©SUNWORKS
Digicomp – Hacking Day `11
S
- 46. » Folgende Komponenten werden überprüft:
˃ Windows Registry
˃ Auslagerungsdatei
˃ Hibernation-Datei
˃ Papierkorb
˃ Druck-Dateien
˃ Dateisystem Internals
˃ File Carving
˃ Slack Space
46
©SUNWORKS
Digicomp – Hacking Day `11
S
- 47. » Daten
˃ Dateien
˃ Ordner
» Metadaten
˃ Zeitstempel (Ändern, Zugriff, Erstellen, Löschen)
˃ Owner
˃ Sicherheitsbeschreibung
» Strukturen
˃ Superblock/Master File Table/File Access Table
˃ Inodes/Clusters
˃ Daten
47
©SUNWORKS
Digicomp – Hacking Day `11
S
- 48. » Daten-Wiederherstellung verlangt Wissen über die
Dateisystem-Internals
» Disk Layout
» Was wurde wann gelöscht?
» Verschiedene Dateisysteme sind heute vorhanden
˃ DOS / Windows: FAT, FAT16, FAT32, NTFS
˃ Unix: ext2, ext3, Reiser, JFS, … more
˃ Mac: MFS, HFS, HFS+
48
©SUNWORKS
Digicomp – Hacking Day `11
S
- 49. » Volatile Daten können einfach modifiziert werden
oder verloren gehen
» Folgende Volatilen Daten können analysiert
werden:
˃ Systemzeit
˃ Eingeloggte User
˃ Offene Dateien
˃ Netzwerk-Informationen, Netzwerk-Verbindungen,
Netzwerkstatus
˃ Prozess Informationen, Prozess Memory
˃ Service / Treiber Informationen
˃ Verbundene Netzlaufwerke, Freigaben
˃ …
49
©SUNWORKS
Digicomp – Hacking Day `11
S
- 50. » Nicht Volatile Daten werden verwendet für den
Secondary Storage und bestehen über eine
lange Zeitdauer.
˃ Versteckte Dateien, ADS Streams
˃ Slack Space, nicht allozierte Cluster
˃ Auslagerungsdatei
˃ Index Dat Files
˃ Metadaten
˃ Nicht verwendete Partitionen, versteckte Partitionen
˃ Registry Einstellungen
˃ …
50
©SUNWORKS
Digicomp – Hacking Day `11
S
- 51. » Mit einer Live-Analyse werden viele Infos
verfügbar.
» Für die „kompletten“ Daten ist aber eine Post
Mortem Analyse sinnvoller.
» Post Mortem Analyse ProDiscover
» Benutzer Aktivität NTUSER.DAT: Lastwrite
51
©SUNWORKS
Digicomp – Hacking Day `11
S
- 52. » Mit einer Live-Analyse werden viele Infos
verfügbar.
» Für die „kompletten“ Daten ist aber eine Post
Mortem Analyse sinnvoller.
» Post Mortem Analyse ProDiscover
» Benutzer Aktivität NTUSER.DAT: Lastwrite
52
©SUNWORKS
Digicomp – Hacking Day `11
S
- 54. Einfache Tools Integrierte Tools
» Viele einfachen Tools » Open Source
reichen für kleine ˃ Sleuth-Kit
Investigations ˃ Coroners Toolkit
˃ F.I.R.E
» Mit integrierten Tools ˃ Helix
können ˃ Autopsy
Sie auch Images erstellen ˃ CAINE
» Hex-Editoren reichen » Kommerzielle
teilweise ˃ Encase (in jedem Gericht
schon für Detailinfos akzeptiert)
˃ Gargoyle Investigator
˃ Forensic Tool Kit 54
©SUNWORKS
Digicomp – Hacking Day `11
S
- 55. » Helix basiert auf einer Knoppix Live Linux CD
» Direkter Boot in die Linux-Umgebung möglich
» Kernels, excellente Hardwareerkennung, und
viele Applikationen können verwendet werden
» Helix hat eine speziellen Windows Autorun Side
für Incident Response and Forensics
» Helix ist fokussiert auf Incident Response and
Forensics Tools
55
©SUNWORKS
Digicomp – Hacking Day `11
S
- 56. » Helix läuft in zwei verschiedenen Modes
˃ Windows and Linux
» Im Windows Mode läuft es als Standard
Windows Application und wird verwendet um
Informationen von einem “live” System zu
sammeln
56
©SUNWORKS
Digicomp – Hacking Day `11
S
- 57. » CAINE (Computer Aided Investigative
Environment) ist eine italienische GNU/Linux
Live Distribution für IT Forensics. CAINE bietet
eine komplexe Forensics Umgebung mit
integrierten Tools und einem
benutzerfreundlichen GUI
» Folgende Komponenten sind beim Gebrauch
von CAINE wichtig:
˃ Eine Umgebung welche den Benutzer durch alle 4
Phasen führt
˃ Eine halbautomatische Erstellung der Schlussreports 57
©SUNWORKS
Digicomp – Hacking Day `11
S
- 58. Folgende Komponenten sind in Accessdata
vorhanden:
» Password Recovery Toolkit
˃ Password Recovery für bekannte Applikationen
» Distributed Network Attack
˃ Password Recovery für geschützte Dateien
» Registry Viewer
˃ Lässt bekannte Registry Einträge sichtbar machen
und generiert Reports
» Wipe Drive
˃ Überschreibt Daten eines Computers 58
©SUNWORKS
Digicomp – Hacking Day `11
S
- 59. » Der FTK ermöglicht eine umfassende
Forensische Analyse mit expliziter Case-
Sicherheit
» Er enthält Index- und Suchfunktionen, eine
umfassende Datei-Recovery und Grafikanalyse
» Vorteile:
˃ Integrierte Lösung
˃ Integrierte Oracle Datenbank und erweiterte Suche
˃ Sehr performant
˃ Intuitives Benutzerinterface 59
©SUNWORKS
Digicomp – Hacking Day `11
S
- 60. » „DIE“ Forensicslösung
» Wird vom Gros der Gerichte anerkannt
» Auch in grossen Umgebungen einsetzbar
» Analysiert mehrere Plattformen
» Auch für grosse Volumes einsetzbar
» Transferiert Evidence-Files direkt zum Law-
Enforcement
» Netzwerklösung möglich
60
©SUNWORKS
Digicomp – Hacking Day `11
S
- 61. Open Source Tools Kommerzielle Tools
» Kostenlos herunter- » Zum Teil teure Produkte
zuladen und zu » Case immer integraler
verwenden Bestandteil
» Einfach im Gebrauch » Sicherheit eingebaut
» Für einfache Analysen » Komplexer im
ideal Gebrauch
» Optimale Report-
generierung
» Gerichtbar 61
©SUNWORKS
Digicomp – Hacking Day `11
S
- 63. » Fazit
˃ Forensics ist eine sehr vielfältige Aufgabe
˃ Grösste Gefahr einer optimalen Analyse sind die sich
verändernden Dateien und der Verbund der virtuellen
Umgebung
˃ Zu analysierende Host- und Gastsysteme müssen bekannt
sein
» Deshalb
˃ Virtualisierungs- System- und Forensics-Spezialisten sind
für eine Investigation virtueller Umgebungen notwendig
˃ Professionelle Tools sind zweckmässig
Für Fragen stehen wir gerne zur Verfügung: Phone:+41 56 249 44 11
Mail: info@sunworks.ch
63
©SUNWORKS
Digicomp – Hacking Day `11
S
- 64. Juerg Fischer
Security Analyst
Sunworks GmbH, Ennetbaden
Microsoft Certified Trainer, EC-Council Certified Instructor
©SUNWORKS
Schweizerische Post - Endjahrestagung 2009