תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

הציידים שבמרתף: האנשים שתוקפים חברות ומקבלים על זה כסף

לכתבה
איור: ליאו אטלמן

במקום לרדוף אחרי ההאקרים, חברות האינטרנט 
מגייסות אותם כדי שיפרצו אליהם לאתר וימצאו 
את הבאגים במערכת ■ התשלום לא גבוה, 
אבל יש בזה הרבה כבוד

4תגובות

ג'אני, ילד פיני בן 10, זכה בתחילת החודש במתנה מפנקת מפייסבוק: 10,000 דולר. על פי אתרי הטכנולוגיה שדיווחו על התגמול, ג'אני קיבל את הכסף בתמורה לכך שאיתר פרצת אבטחה באפליקציית אינסטגרם, שבבעלות פייסבוק. החולשה שאיתר בתוכנה איפשרה לו למחוק הודעות של משתמשים אחרים ברשת, ואחרי שהוכיח לפייסבוק את היתכנות ניצול החולשה בחשבון ייעודי לזה, הוא קיבל את המענק.

ג'אני, שעוד לא עומד בתנאי השימוש של אינסטגרם (הגיל המינימלי לשימוש באפליקציה הוא 13), הצליח להתריע על חור האבטחה באמצעות מה שמכונה תוכנית באג באונטי (Bug Bounty). אלה תוכניות שמפעילות כמה מענקיות הטכנולוגיה בעולם, אבל לא רק הן, שבמסגרתן הן מזמינות האקרים למצוא חורי אבטחה באתרים ובשירותים השונים בתמורה לתשורה כלשהי - החל בחולצת טי וכלה בכסף מזומן.

בימים אלה הכריז עוד אתר על השקת תוכנית באונטי נדיבה: PornHub, שמעיד על עצמו כי הוא אתר הפורנו גדול בעולם, עם 60 מיליון משתמשים. האתר הכריז שהתשורות יתחילו ב-50 דולר ויכולות להגיע ל-25 אלף דולר, תלוי באיכות הפרצה ובפוטנציאל הנזק שלה.

"כמו ענקיות טכנולוגיה אחרות", הסביר בהצהרה רשמית סמנכ"ל PornHub, קורי פרייז, "אנחנו קוראים לכמה מחוקרי האבטחה המוכשרים ביותר, כחלק מצעד זהירות יזום מצדנו - וזאת בנוסף לצוותי הפיתוח והאבטחה הפנימיים שלנו - לוודא את האבטחה לא רק של האתר, אלא בעיקר של המשתמשים שלנו - שנמצאת בחשיבות עליונה עבורנו".

אפילו הפנטגון גייס 
האקרים לעזרתו

עולם הבאג באונטי נהפך למשמעותי מאוד בשנים האחרונות, ובאופן לא מפתיע יש הרבה האקרים ישראלים בסיפור. תוכניות הבאונטי שינו לחלוטין את פני עולם אבטחת המידע, אבל לחוקרי האבטחה יש לא מעט ביקורת על התוכניות.

ההיסטוריה של תוכניות הבאג באונטי ארוכה כמעט כמו ההיסטוריה של האינטרנט - ליתר דיוק, האינטרנט בגרסת הדפדפן כפי שאנו מכירים את הרשת כיום. ב-1995 יצאה לדרך תוכנית הבאונטי הראשונה עבור דפדפן נטסקייפ, דפדפן פיירפוקס של ימינו. היה זה רק טבעי שהיוזמה תבוא מקהילת הקוד הפתוח, שבה תהליך השיפור של התוכנה נעשה ממילא באמצעות הקהילה. תקציב התוכנית כולה הסתכם ב-50 דולר, אך היא נחשבה הצלחה כבירה: עד היום חברות טכנולוגיה גדולה שמכריזות על תוכנית באונטי נותנת קרדיט למוזילה על הרעיון והיישום. עברו הרבה שנים עד שהרעיון מאמצע שנות ה-90 אומץ באופן מסיבי, ממש בשנים האחרונות, אולי כתוצאה מהעלייה בהיקף איומי הסייבר ובאיכותם.

גוגל יצאה לדרך ב-2010 עם תוכנית שנחשבת עד היום לתוכנית הבאונטי הנדיבה מסוגה, ושילמה עד כה 6 מיליון דולר לחוקרים חיצוניים שגילו פרצות. ב-2015 לבדה שילמה גוגל להאקרים כ-2 מיליון דולר. במארס הודיעה גוגל כי היא מכפילה את הבאונטי על גילוי חולשה ב-ChromeOS, מערכת ההפעלה שלה, ל-100 אלף דולר. בימים האחרונים הודיעה גוגל כי דרך תוכנית הבאונטי שלה גילתה חמש חולשות בדפדפן כרום, שתיים מהן חמורות, והיא גמלה לחוקר האבטחה הפולני שגילה את שתיהן ב-15,500 דולר.

ב-2011 היתה זו פייסבוק שהצטרפה לטרנד עם תוכנית באג באונטי משלה. עד כה שילמה פייסבוק 4.3 מיליון דולר לכ-800 חוקרי אבטחה. ב-2015 לבדה היא שילמה ל-210 חוקרים כמיליון דולר בסך הכל. אגב, יש חברה מוכרת אחת שלא מפעילה תוכנית באונטי, אפל שמה.

באוקטובר 2013 הכריזה גוגל על שינוי מדיניות והחלה לקבל דיווחים, ולהעניק מענקים לחוקרים גם על בעיות אבטחה במוצרים שאינם שלה. חודש לאחר מכן הכריזו פייסבוק ומיקרוסופט יחדיו על Internet Bug Bounty, תוכנית דומה שמתגמלת חוקרים על חורי אבטחה במגוון רחב של תוכנות (כמו Adobe Flash), שפות תכנות (כמו פייתון) ופרוטוקולים של תקשורת.

עוד חברות שמציעות תוכניות באונטי הן חברת התשלומים Square ויאהו, אבל לא בהכרח רק חברות טכנולוגיה: גם לחברת התעופה יוניטייד אירליינס יש תוכנית באונטי. באחרונה הצליחה קבוצת האקרים בשם Offensi לאתר חולשה באתר יוניטייד, מה שזיכה אותם בתשורה של מיליון מיילים של תעופה - שווה ערך לכ-20 אלף דולר. ההאקרים החליטו לתרום את המיילים לארגוני צדקה.

קרן אלעזרי, האקרית בעצמה, גיקית לפי הגדרתה, יועצת בתחום הסייבר וחוקרת באוניברסיטת תל אביב, חוקרת את תחום הבאג באונטי בשנה וחצי האחרונות. המסקנות העיקריות של המחקר שלה יוצגו בכנס הסייבר השנתי שיתקיים ביוני באוניברסיטת תל אביב, שהיא אף שותפה בארגונו. בהרצאת Ted מ-2014 טענה אלעזרי כי "האקרים הם המערכת החיסונית של האינטרנט".

כעת היא מסבירה: "תוכניות הבאג באונטי הן בעיני המימוש של חזון המערכת החיסונית. התוכניות האלה מאפשרות לרתום את הפרספקטיבה של ההאקרים, להצביע על בעיות ולעתים גם לגלות שימושים אחרים לטכנולוגיה - וזה מה שהאקרים עושים. תוכניות הבאונטי משתמשות בשכלם של עשרות אלפי האקרים שרוצים להיות חלק מהמערכת החיסונית, חלק מהפתרון. זה סוג של גיוס חוכמת המונים, אבל המון ספציפי יותר. תוכניות הבאונטי מאפשרות להאקרים לצאת מהמחשכים, ולראיה ההיקף האדיר של התופעה, עם חברות שהן גם מתחום התעופה, הרכב והמכשור הרפואי. אפילו הפנטגון השיק באחרונה תוכנית באג באונטי. במקום להתעלם מההאקרים, הבאג באונטי מאפשר ליצור עמם דיאלוג. החברה מרוויחה לא רק אבטחה, אלא גם ערך מיתוגי".

על ההיגיון הכלכלי בתוכניות באונטי אומרת אלעזרי: "מה זה בשביל גוגל לשלם 2 מיליון דולר בשנה? זה אפילו לא תקציב הקרואסונים במטה בפאלו אלטו. זאת עלות השכר השנתית של כמה, שמונה מהנדסים אין האוס? גוגל העבירה מידע על תוכניות הבאונטי שלה לחוקרים מאוניברסיטת ברקלי, והתברר כי הפרצות שהתגלו דרכן חמורות יותר מאלה שהתגלו על ידי אנשי האבטחה של גוגל עצמם. זה לא רק ההיקף של מספר החוקרים שנגיש דרך הבאונטי - זאת גם דרך המחשבה השונה".

לפגוע בפרטיות של 
מארק צוקרברג

ההאקרים מחפשים חולשות שדרכן אפשר להגיע להרשאות ניהול של אתר או אפליקציה. הם מתחזים למשתמשים רגילים, מחפשים שגיאות בקוד, מחפשים לינקים סמויים, מנסים לנחש סיסמאות, לחולל סיסמאות או לעקוף בכלל את מערכת הסיסמאות. הם עושים את זה באתרים של החברות כמו גם באפליקציות הסלולריות, כי תמיד קיים מתח בין השימושיות שחברות מעוניינות לספק למשתמשים לבין רמת האבטחה של המוצר הטכנולוגי.

לא כל החברות בונות תוכניות באונטי בעצמן ועובדות ישירות עם האקרים: יש גם בורסות שעושות זאת עבור חברות שאין להן רצון או משאבים לעסוק בזה לבד. חברת HackerOne היא בורסה כזו, ומטפלת למשל בתוכנית איתור הבאגים של טוויטר. חברת BugCrowd, כנראה הגדולה מסוגה, מטפלת בתוכניות הבאונטי של טסלה, ווסטרן יוניין, פינטרסט ואחרות, ומחברת בין 200 חברות עם כ-20 אלף חוקרי אבטחה.

אלא שכאן הדברים מתחילים קצת להאפיר, שלא לומר להשחיר. בספטמבר הכריזה חברה בשם Zerodium על תחרות למציאת חולשות מסוג Zero Day (חולשות חדשות שאינן מוכרות לתוכנות אבטחה ונחשבות ליוקרתיות מסוגן) בגרסת מערכת ההפעלה החדשה iOS 9 למכשירי אייפון ואייפד. החברה הקצתה לתוכנית 3 מיליון דולר, כולל פרס ראשון של מיליון דולר, למי שמגלה דרך לפרוץ את מערכת ההפעלה. חוקר אבטחה אחד אף טען לפרס (ולא ידוע אם קיבל אותו).

הבעיה במקרה הזה היא שבניגוד לתוכניות באונטי רשמיות של חברות, שבהן החולשה מדווחת לחברה, חברות אחרות מוכנות לשלם הרבה יותר כדי להחזיק חולשה איכותית, וכנראה לסחור בה אחר כך, למכור אותה למשל לממשלה זרה ולגופי מודיעין ומעקב. זה עדיין לגיטימי - אבל כמו שסחר בנשק הוא לגיטימי. אם Zerodium קונה חולשה בודדת במיליון דולר, אפשר להעריך שגופי מודיעין מוכנים לשלם תמורתה עוד יותר. למעשה, מגזין Wired חשף את המחירון המלא של Zerodium, לפי איכות החולשה והפלטפורמה. גם כאן מובילה את הרשימה, ובהפרש ניכר, חולשה למערכת ההפעלה הסלולרית של אפל.

למעשה, אחת הסיבות המרכזיות שחברות החלו לשלם להאקרים במסגרות תוכניות באונטי היא כדי שהידע על החולשות שלהן לא יגיע למקומות רעים - בשוק האפור או השחור. בתחום השחור, האקרים "כובע שחור" כל הזמן מאתרים חולשות וסוחרים בהן ברשת האפלה, שם אפשר לקבל הרבה כסף על חולשת Zero Day חזקה. תוכנית הבאונטי מהווה אלטרנטיבה לגיטימית לאותם האקרים, והפער בסכומים הוא הפרמיה שמוכנים ההאקרים "לספוג" כדי להיות לגיטימיים.

מארק צוקרברג מייסד פייסבוק
בלומברג

מטרת תוכניות ההסגרה של באגים היא גם ליצור ערוץ תקשורת לגיטימי ונוח עבור האקרים, כי לעתים הבעיה נמצאת בדיוק שם: למי פונים בחברה כדי לדווח על חולשה? בהקשר הזה מוכר הסיפור של חליל שריתח, חוקר אבטחה מרמאללה, שב-2013 גילה חור אבטחה חמור בפייסבוק שמאפשר לו להציב פוסט על הוול של כל אחד ברשת החברתית. שריתח אמנם פנה לתוכנית הבאונטי אך לא זכה לתגובה. הוא ניצל את החולשה ופירסם פוסט על הקיר של שרה גודין, העובדת הראשונה של פייסבוק וחברתו של מארק צוקרברג מימי הקולג'.

כשגם זה לא עזר, שריתח פשוט פירסם פוסט על הטיימליין של מארק צוקרברג עם הכיתוב: "סליחה שפגעתי בפרטיות שלך. לא נשארה לי שום ברירה אחרי כל הדיווחים ששלחתי לצוות (האבטחה) של פייסבוק". בפייסבוק הגיבו מהר וסגרו את הפרצה, אך שריתח לא קיבל כלום באותה הזדמנות. זה לא נורא, מאז הוא משתתף כל שנה בתוכנית הבאונטי של הרשת החברתית וב-2015 לבדה מצא חמש חולשות שזיכו אותו ב-3,500 דולר.

שריתח מספר: "פייסבוק אמנם לא שילמו לי על הפרצה הראשונה שחשפתי, כי הם טענו שהיא כללה פגיעה בפרטיות של משתמש, אבל כולם יודעים שפרצתי לחשבון של צוקרברג אחרי שצוות אבטחת המידע של החברה דחה כמה דיווחים שלי על הבעיה. על תשע החולשות האחרות שחשפתי בפייסבוק קיבלתי תשלום, כמעט 40 אלף דולר. אני עובד כמנהל רשת ואבטחה, זו העבודה העיקרית שלי, ובאג באונטי עבורי זה תחביב ודרך לעשות קצת כסף מהצד. יש עוד מוטיווציות מלבד כסף: לשחק עם מערכות ולנסות לפצח קוד זה תחביב עבורי. זה גם נהדר לקבל הערכה כשמדווחים על באג".

"זאת תעשיית עבדות"

מהצד של חוקרי האבטחה תוכניות הבאונטי רווחיות רק בערבון מוגבל: זה פשוט כסף קטן. אמיתי דן, 31, חוקר אבטחה ישראלי עטור באונטיס וחשיפות, אומר את הדברים בצורה יותר חד־משמעית: "זאת תעשיית עבדות, תעשייה שמנצלת את האנשים. אם הייתי מוכר את החולשות שחשפתי, הייתי יכול להיות מאוד עשיר עכשיו".

דן הסגיר דרך תוכניות באונטי פרצות בטלוויזיות חכמות של סמסונג, בסקייפ וב-Zendesk, חברה שמנהלת מערכת קשרי לקוחות של כ-50 אלף חברות. הפרצה הכי מוכרת שגילה דן, עם חוקר בשם ברק טוילי, היא באתר הסחר הסיני עליבאבא, שחושף את פרטי כל המשתמשים באתר.

"לחוקר מהמערב לא משתלם לעבוד עם תוכניות באונטי כי הן דורשות הרבה זמן והתמורה לא גבוהה". אמיתי דן

כשדן ניסה לדווח על הבאג הוא נתקל בקשיים. "מעליבאבא קיבלתי קופון לקנות כמה דברים", הוא מספר, "אבל בזכות ההסגרה שלי עליבאבא באו לארץ לבחון חברות ישראליות ובמסגרת זאת נפגשו אתי. התברר שהיתה להם תוכנית באונטי, אבל באתר במנדרינית שפונה לסינים. רק אחרי ההסגרה הם פתחו תוכנית בואנטי באנגלית". אגב, אם מסתכלים ב"היכל התהילה" של עליבאבא לחוקרי אבטחה, מתוך 18 חוקרים שזכו להיכנס להיכל - ארבעה הם ישראלים.

"לחוקר מהמערב לא משתלם לעבוד עם תוכניות באונטי כי הן דורשות הרבה זמן והתמורה לא גבוהה", אומר דן. "אז מי כן עושה באונטי? אם תסתכל על השמות או על פילוחים גיאוגרפיים, אלה הודים ופקיסטנים שיכולים לעבוד גם שנתיים על פרצה וזה ישתלם להם".

אלעזרי חושבת שזאת אינה התפתחות שלילית: "אם מסתכלים על הנתונים רואים שמי שמשתתפים בתוכניות באונטי הם חוקרים לא רק מארה"ב או ממזרח אירופה, כפי שאפשר היה לחשוב. מה שמדהים בתוכניות הבאונטי הוא שהן פותחות מסלולים חדשים גם לחוקרים מאמריקה הלטינית, דרום־מזרח אסיה ואפילו אפריקה. באג ששווה 100 או 500 דולר יכול להיות משכורת חודשית לחלק מהאנשים, וזאת דרך לעשות כסף לגיטימי, בלי לעבור על החוק, בלי רשת אפלה, בלי להיתבע, ואולי גם יגייסו את העובד לחברה בסוף. הבאג באונטי יוצר מעמד חדש של חוקרי אבטחה, עם אופק לנתיב קריירה בלי רקע אקדמי".

"במקום להתעלם מההאקרים, הבאג באונטי מאפשר ליצור עמם דיאלוג". קרן אלעזרי
גלי איתן

יש עוד מוטיווציות לחפש באגים, מלבד הכסף או האפשרות לקריירה. דן מציין כי יש האקרים בתחילת דרכם שעושים את זה פשוט בשביל האימון. ויש עוד סיבה אחת, כפי שכתב לנו האקר ישראלי בן 19 שביקש להישאר אנונימי: "מצאתי בעיות (אבטחה) בהמון חברות ובדרך כלל אני פונה ישירות לחברות, מציג את עצמי, נותן פרטים על הפרצה ואיך לחסום אותה, וזה הכל. אני לא עושה את בשביל תגמול, זה נטו להגן על אנשים ושירות לציבור".

אלעזרי מסכמת: "הבאג באונטי הוא לא תופעה שולית או אזוטרית. המשתמש בפייסבוק, בכרום או בכל שירות אחר מוגן יותר בזכות המערכת החיסונית הזו".

כך מחזרות החברות אחרי ההאקרים

מי שצפה בסדרה "מיסטר רובוט", שעוסקת בתרבות הסייבר (העונה השנייה עולה כעת בסלקום TV וב-HOT), יודע שהאקרים לא כל כך מתעניינים בכסף, אלא אפילו חושדים קצת בכסף ובמקורותיו - אולי בצדק. אז איך מושכים האקרים להשתתף בתוכניות באג באונטי? מדברים בשפתם.

כשפייסבוק השיקה את תוכנית הבאג באונטי שלה היא מצאה דרך מקורית להעביר את התשלום לחוקרים. כל מי שזכה קיבל כרטיס דביט של ויזה, טעון מראש בסכום הזכייה. הכרטיס היה שחור לחלוטין ועליו רק הכיתוב White Hat, כינוי בעולם הסייבר להאקר אתי, כזה שאינו עושה נזק. טסלה, חברת הרכב החשמלי של אלון מאסק, מעניקה לחוקרים, מלבד המענק הכספי, מין מדלייה או מטבע, שעליו כתוב Information Security - דבר שחוקרים יוכלו להציג לגאווה בכנסים (והם אכן עושים זאת). אפשר למצוא תמונות של המטבע בפורומים של אספני מטבעות נדירים.

כמה שווה פרצה? מחירון Zerodium לחולשות חמורות בכלים טכנולוגיים שונים

גוגל, שרצתה למשוך האקרים לתוכנית שלה, הכריזה ב-2013 כי התמורה המקסימלית שלה תהיה 31,337 דולר. למה דווקא המספר הזה? מתברר שהאקרים משתמשים לעתים בשפה פנימית בשם eleet, שבה מחליפים אותיות ספרות. גוגל פשוט כתבה במספר הזה את שם השפה הזאת.

לבסוף, האקרים מכירים היטב את תחרות Pwn2Own - תחרות קצרת מועד שבה האקרים מוזמנים לפרוץ למכשירים שונים, סמארטפונים, טאבלטים ומחשבים, לפי כללים מוגדרים מראש. מי שמצליח במשימה מקבל את המוצר שאליו הוא פרץ.

החברות הישראליות עדיין על הגדר

בתחום הבאג באונטי יש הרבה חוקרים ישראלים, אבל חברות - כמעט אפס. מדוע יש תוכנית באג באונטי ליונייטד איירליינס, אבל אין לאל על? מדוע אין תוכנית כזו לבנק לאומי, שאחד מסמלי המיתוג המרכזיים שלו הוא דיגיטל? מה לגבי פנגו? ביטוח ישיר? קופת חולים מכבי או משרד החינוך? אלה רק דוגמאות כמובן, אבל אפילו חברות טכנולוגיה ישראליות, רב־לאומיות, אינן מפעילות תוכניות באונטי. ל-Wix, למשל, אין תוכנית כזו.

הסיבה הראשונה לכך היא שמרנות: או שלא מכירים בכלל את האפיק הזה או שסומכים מספיק על המהנדסים מבית. הסיבה השנייה היא משפטית: בדצמבר 2015 קבע בג"ץ בהחלטה תקדמית שכל חדירה למחשב ללא הסכמת בעליו עשויה להיות עבירה על החוק. שופטי בג"ץ נדרשו לעניין בתיק פלילי שהתגלגל מ-2011 ודן בהגדרה של עבירת מחשב, ולבסוף הכריעו שלא צריך להוכיח שבוצעה פרצה במזיד למחשב, וגם כניסה למחשב פתוח ללא סיסמה או השגחה עלולה להוות עבירה.

על פי חוקר האבטחה אמיתי דן, ההחלטה היא מכת מוות לפעילות של "האקרים לבנים". כך הוא כתב במאמר דעה ב"הארץ": "עיקר הבעיה, למיטב הבנתי, היא בפרשנות המרחיבה של בית המשפט למונח 'חדירה לחומר מחשב', שהופכת מצבים אפורים רבים לשחורים בעיני החוק, ומגבילה מאוד את חופש התנועה ברשת. על פי ההחלטה, לא משנה איך נכנסת למחשב (גם אם בעצם לא נכנסת למחשב), כל עוד אין לך אישור לכך, אתה עבריין...החלטת השופטים מוציאה חלק ניכר מהפעילות של חוקרים כמוני מחוץ לחוק. ובמצב עניינים כזה, אני אצטרך לחשוב פעמיים אם לדווח בכלל. כמוני, גם רבים נוספים שמוצאים ומתריעים מפני פרצות עלולים למצוא את עצמם בפני אותה דילמה. מנגד, בעלי אתרים ושירותים שלא תמיד שמים את אבטחת הגולשים בראש מעייניהם מקבלים כלי חוקי רב עוצמה שיסייע להם להרתיע חוקרים, שגילו אצלם פרצות".

בשיחה אתנו מוסיף דן: "אם באתי לעשות משהו טוב ואני צריך לשכור עורך דין, אז כחברה הגענו למצב על הפנים. הדרך היחידה לפתור את זה כרגע היא דרך חופש אקדמי, שהמחקר ייעשה באוניברסיטאות".

חברת היי־טק אחת שכן הפעילה באחרונה תוכנית באג באונטי היא Hola. החברה השיקה תוכנית כזאת אחרי שהאקר טען שאפשר להשתמש בתשתיות החברה כדי ליצור מתקפת סייבר. מנכ"ל החברה עופר וילנסקי מספר: "היתה לנו תוכנית כזו באמצעות חברת HackerOne, והיא היתה פתוחה לחוקרים הטובים ביותר שלהם וגם שילמנו להם על החולשות שהם גילו. זה היה יעיל עבורנו שהרבה אנשים 'תקפו' את המערכות והאתרים שלנו וקיבלנו הרבה פידבקים, אך המהלך היה פחות אפקטיבי מהתהליך הפנימי המעמיק שעשינו בתוך החברה לשיפור ארכיטקטורת האבטחה".

הרשמה לניוזלטר

הירשמו עכשיו: עשרת הסיפורים החמים של היום ישירות למייל

ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות