Veel TLS uuendustest

Mõned postitused tagasi kirjutasin siin TLS (Transport Layer Security) pärandversioonide hülgamisest ja TLS versiooni 1.3 kasutuselevõtust. Tänaseks on kõik sellega seotud tööd meie platvormis teostatud –
tarkvaraplatvorm toetab vaikimisi vaid parimatele praktikatele vastavaid protokolliversioone (1.2 ja 1.3), kuid oleme klientidele loonud võimaluse ajutiselt pärandversioonide (1.0 ja 1.1) tuge sisse lülitada (vt allolevat illustratsiooni 1).

Illustratsioon 1

Rõhutan siiski, et pärandversioonide kasutamine ei ole pikas perspektiivis jätkusuutlik ja põhjustab meile palju peavalu. Näiteks annavad täna mitmed infosüsteemide võrgupinu turvalisust hindavad skännerid meie klientide saitidel TLS 1.0 ja TLS 1.1 versioonide kasutamise kohta valepositiivseid hinnanguid ka siis, kui neid reaalselt ei kasutata.

Ainus pikas perspektiivis mõistlik lahendus on uuendada oma veebilehtede poole pöörduvat riist- ja tarkvara nii, et toetatud oleks ainult aktuaalsed TLS versioonid.

Veelkord ka ID-kaardiga autentimisest.

Nagu ka varem mainitud, siis TLS 1.3 kasutuselevõtuga muutus Eesti ID-kaardi autentimise kasutamine veebiserveris tehniliselt keerukamaks, sest autentimise nõudmine kataloogi tasandil ei ole enam praktiliselt võimalik.

Kuna ID-kaardi kasutuselevõtu seadistamine serveritasandil on   nüansirikkam teema, siis otsustasime selle keerukuse kasutaja eest veidi ära peita. Nii lõid meie tarkvaraarendajad Minu Zone haldusliidesesse uue “linnukese”, mille abil saab ID-kaardiga autentimise nõuet haldusliideses mõne klikiga sisse lülitada (vt ülalolevat illustratsiooni 1). Samuti on klientidel võimalik sealsamas sisse lülitada tuge tarkvaraarenduses kasutatavale testkaartidele.

Pärandversioonide juurest sujuvalt pärandteenuste juurde.

Oma esimese avaliku teenusena alustas Zone 1999. aastal tasuta veebimajutusteenuse pakkumist. Algselt said selle kasutajad endale kodulehe kujuga zone.ee/kasutajanimi, hiljem web.zone.ee/kasutajanimi.

Kasutajate nõudmiste kasvades jäi see teenus ajale jalgu ja lõime entusiastide ning õppurite jaoks hoopis Planet.ee keskkonna, mistõttu vanasse tasuta veebimajutusteenusesse kasutajate vastuvõtmine lõpetati.

Meie tehnikud otsustasid aga, et üldisele infoturbeolukorrale tuleb kasuks, kui tirime ka oma tasuta veebimajutuse pärandteenuse 21. sajandisse ja paneme selle “sõjaratsu” tööle üle turvalisema HTTPS protokolli.

Selleks tegime veelkord ühe kiire vangerduse ja võtsime HTTPS toe lubamiseks web.zone.ee nime asemel kasutusele nime webzone.ee.

Vanad aadressid suunatakse nüüd sujuvalt HTTPS ühendusele ümber.

Pahavara: üks huvitav veebiproksi

Käes on Locked Shields küberõppuse nädal … aga kui sa ei ole LSil, siis on sul kindlasti aega tegeleda päris pahavaraga.

Puhastasin nädalavahetusel järjekordset veebi, kuhu oli sisse pääsetud nõrga admin-kasutaja salasõnaga. Kuna rünne oli toimunud hiljuti, oli mugav võtta ette varukoopia ning sellega võrreldes tuvastada muutunud failid. Ilmnes, et katalooge mööda oli laiali puistatud 35 erinevat tagaust või pahavaralise funktsionaalsusega faili.

Et küberkurjategijate tööd veidi laiemal tutvustada panin välja auhinnad… ja otsustasin koodi Facebookis huvilistele lammutada anda. See blogipost ongi kokku pandud osalt Zone FB-lehe postituse ja Vabakutseliste gruppi jagatu kommentaarides olevatest lahendustest – ning osalt Zone maja-sisestest tähelepanekutest.

Kui tahad enne lahenduse lugemist (või selle kõrvale) koodi vaadata, siis:

Niisiis saab kõik alguse sogastatud koodist:

Kristjan muutis (kasutatud) funktsioonide ja muutujate nimed arusaadavaks ja lisas kommentaarid – saamaks aru, mida koodijupp teeb ja kas seda on üldse ohutu oma arvutis või serveris käivitada:

Kuna muutujas $payLoad olev laeng on URL-kodeeringus mida pahavara-tuvastajatel lihtne läbi näha, on kasutataud täiendavat teisendustabelit selle sogastamiseks:

Olgu lisatud, et algses koodis näeb see eval ehk stringis olevat PHP koodi käivitav funktsioon välja alljärgnev, kurja eval() peitmiseks lihtsamate otsingute eest on funktsiooni nimi eraldi real ning lisaks üks kommentaar:

Kui asendada funktsion eval() näiteks print()’iga saame väljundiks laengu koodi – aga mulle meeldib rohkem tulemus faili kirjutada:

file_put_contents ( '_payload.php', decodePayload( $payLoad, $characterMap ) );

Ja saamegi asuda laengut uurima. Väga levinud tava on keelata ära veateadete väljastamine, aga siin on igaks juhuks võetud maha ka skripti täitmise ajapiirang (mis sisuliselt võimaldab seda kasutada ka teenustõkestusründeks andes kõigile lubatud PHP-protsessidele midagi aegavõtvat teha):

Edasi, otsime päringust maagilist küpsist – AGA Kristjani kommentaar on väikse näpukaga, nimelt väljutakse skriptist kui leitakse mõni küpsis mille väärtus EI VASTA soovitud nimele (küpsise nimi pole seejuures oluline).

Lisaks on koodis aga üks väga tore loogikaviga mille avastas Kurt Moser meie arendustiimist, vaata kas märkad:

Nojah, seda tsüklit ei täideta ja skriptist väljumist ei toimu, kui päringuga pole kaasas ühtki küpsist. Ehk sisuliselt on kogu piirang mõttetu – funktsionaalsele osale saab ligi igaüks.

Edasi läheb huvitavamaks:

Selle jupi juures tasub kindlasti “kastist välja” mõelda – php://input on tavapäraselt kasutusel POST päringute puhul, mitte miski ei keela selle kasutamist ka GET päringus. Sellisel kujul GETi kasutamise võlu seisneb aga selles, et veebiserverid päringu keha harilikult ei logi. Aga olgu siinkohal ka tõestus Elar Langilt:

<?php
var_dump(file_get_contents('php://input'));
?>

$ curl -X GET -s --data "töötab ju" http://localhost/z-server.php
string(11) "töötab ju"

$ curl -X POST -s --data "töötab ju" http://localhost/z-server.php
string(11) "töötab ju"

Järgmise jupi võtan ma aga oma koodiredaktorist, sest see oskab vigu tuvastada:

Jahaa – funktsioon split() kuulutati iganenuks juba PHP versioonis 5.3 ja alates 7.0 on see eemaldatud (tx veelkord Kurtile!). Ehk PHP uuemate versioonide puhul see kood ei tööta ja annab viga – võinoh… kuna vigade väljastamine on ülalpool ära keelatud, siis on tulemuseks Error 500, nagu ilmselt avastas ka ründaja:

94.130.35.51 - - [27/Mar/2019:10:02:21 +0200] "GET /wp-admin/css/colors/sunrise/lngzdhkh.php HTTP/1.1" 500 3527 "" "Mozilla/5.0 (Linux; Android 7.0; SAMSUNG SM-G935F Build/NRD90M) AppleWebKit/537.36 (KHTML, like Gecko) SamsungBrowser/5.4 Chrome/51.0.2704.106 Mobile Safari/537.36" (F9F8DACB-0.001)

Pannes split() asemele explode() saab sellest murest kergesti üle.

decrypt() on sisuliselt XOR krüpteering ehk sama võtmega saab lahti ja kinni – nagu Karl-Sander Erss FBs kommentaaris demos:

> var_dump(decrypt(decrypt('asd'))==='asd');
bool(true)

Kuivõrd võtmeks on $_SERVER[‘HTTP_HOST’]  ja $_SERVER[‘REQUEST_URI’] on ka see kergesti ära-arvatav ehk nagu eelnevalt öeldud saab sellele koodi ära kasutada kesiganes tema olemasolu teab. Nii küpsis kui krüpto on täiesti mõttetud 🙂

Aga … mida see send_data1() siis teeb? Võtab saadud parameetrid (näidisandmed ülalolevas ekraanilaksus) ja teeb nendega HTTP POST või GET-päringu… ja tagastab tulemuse ehk tegu on veebiproksiga:

function send_data1( $data ) {
   $head = "";
   foreach ( $data["headers"] as $key => $value ) {
      $head .= $key . ": " . $value . "\r\n";
   }
   $params = array(
      'http' => array(
         'method'  => $data["method"],
         'header'  => $head,
         'content' => $data["body"],
         'timeout' => $data["timeout"],
      )
   );
   $ctx = stream_context_create( $params );
   $result = @file_get_contents( $data["url"], false, $ctx );
   if ( $http_response_header ) {
      if ( strpos( $http_response_header[0], "200" ) === false ) {
         $result = "HTTP_ERROR\t" . $http_response_header[0];
      }
   } else {
      $result = "CONNECTION_ERROR";
   }
   return $result;
}

Tuleb tunnistada, et file_get_contents() kasutamine koos kontekstiga HTTP-päringu parameetrite määramiseks pole minule kunagi varem ette jäänud, aga väga huvitav meetod. Lisaks: kuna paika pannakse ka timeout ning alguses on skripti täitmise ajapiirang maha võetud… siis võib see väääääga kaua aega võtta ehk olla kasutatav DOS ründeks.

Huvitavat jagub aga veelgi: nimelt EI MÄÄRATA ära HTTP protokolli versiooni ning vaikimisi on selleks HTTP/1.0 – ning minu oletuse kohaselt kasutatakse ülevõetud servereid järgmiste serverite ründamiseks. Hmm, vaatame korraks rünnatud saidi logi, filtreerides õnnestunud HTTP/1.0 päringuid:

Ja tõepoolest, need IPd pärinevad erinevatest pilve- või veebimajutusteenustest. Võib oletada, et ründajatel on oma veebiproksi, mis kasutab ülevõetud serverites olevaid veebiproksisid. See muudab võimatuks lihtsad lahendused nagu IP-põhised piirangud – mh kaitse WordPressi wp-login.php vastu suunatud paroolide jõurünnete tõrjumise “lubame vaid kolm katset samalt IPlt” meetodil.

Tänud kõigile kaasa mõtlemast, loodetavasti saime koos targemaks 🙂

.EE oksjon: spekulandid söönud, lambad terved

Homme 26. märtsil alustab tööd Eesti tippdomeeni oksjonikeskkond, mille loomise kava mõned aastad tagasi siin raevukalt kritiseerisin. Järgnevalt kirjeldan, mis esialgsest plaanist saanud on ja paljastan, miks olen oma meelt muutnud.

Teatavalt on Eesti tippdomeeni haldav Eesti Interneti SA öelnud, et nende eesmärk vabanevate domeenide oksjonikeskkonna loomisel on võidelda spekulantidega. Need on ettevõtted ja ettevõtjad, kes rakendavad oma keskmisest paremat tehnoloogilist võimekust selle nimel, et võimalikult kiiresti uuesti registreerida värskelt registrist kustutatud atraktiivseid domeene ning üritada seejärel neid senisele omanikule või uuele huvilisele korraliku vaheltkasuga edasi müüa.

Spekulantide tegevuses ei ole küll otseselt midagi ebaseaduslikku ja nad täidavad omamoodi metsasanitari rolli, kuid vaieldamatult toob nende tegevus endaga domeenide turul kaasa ebavõrdsuse. Põhjuseks asjaolu, et need kel vabanevate domeenide vastu suur huvi, kuid tehnilised oskused kesised, jäävad enamasti vabanevate domeenide püüdmisel kaotaja rolli.

Eriti suureks läheb lõhe tavaregistreerija ja spekulandi vahel siis, kui viimane teeb vahetut koostööd mõne registripidajaga või on ise registripidaja – siis omandab ta võime domeenide taasregistreerimisel mängida tundide ja minutite asemel millisekundite dimensioonis.

Vastloodud oksjoniruumiga plaanitakse võitlustandrit tasandada. Keskkonda pannakse 24 tunniks üles kõikide selliste EE-lõpuliste domeenide taasregistreerimise eelisõigused, mida domeeni senine omanik  ei ole pikendanud.

Eelisõiguse oksjonile panek tähendab, et EIS ei registreeri oksjoni võitjale soovitud domeeni, vaid see reserveeritakse võitja nimele ning tollel on õigus domeen enda poolt valitud registripidaja juures esmajärjekorras registreerida.

Ülaltoodust tulenevalt on domeeni omandamise kogukulu oksjonil omandatud eelisõiguse eest välja käidud tasu ja registripidaja tavapärase teenustasu summa.

Eelisõiguse alghinnaks on 5€, millele lisandub käibemaks. Oluline on tähele panna, et domeeni senine omanik eelisõiguse müügist mingit osa endale ei saa.

Kui domeen endale ööpäeva jooksul omanikku ei leia, siis vabaneb see kõigile registreerimiseks tavahinnaga.

Nüüd jõuamegi sujuvalt minu varasema intensiivse kriitikani. Kui vabanevate domeenide oksjonist oleks kujunenud Osta.ee, eBay või Sedo sarnane kauplemiskeskkond, nagu Eesti Interneti SA justkui algselt plaanis, siis ei oleks see kindlasti registri poolt seatud eesmärke täitnud.

Tõsised spekulandid, kelle mõju domeeniruumile neutraliseerima mindi, oleksid hakanud EPP asemel lihtsalt rippuma oksjonikeskkonna küljes ja oma tehnoloogilist arsenali täiendanud uute sobivate skriptidega. Kuid lisaks oleks nende ärimudelile sisendiks pakutud veel oksjonikeskkonnast saadavat nõudlust puudutavat infot. Ainus suurem vahe varasema olukorraga võrreldes, oleks olnud registri poolt spekulantidelt teenitav kümnis oksjonitasude näol.

Õnneks võttis EIS meie ja teiste registripidajate tagasisidet tõsiselt, mistõttu oksjon läks küll käiku, kuid selle vorm sai kokkuvõttena palju nutikam.

.EE domeenide oksjoni vormiks on pimeoksjon. Oksjonile minevate domeenide nimekiri avaldatakse oksjoni alguses (00:00) Eesti Interneti SA lehel ja kõigil huvilistel on ööpäeva jooksul (kuni 23:59) võimalik teha soovitud domeenile oma pakkumine. Jooksvat pakkumiste arvu ja sisu ei avalikustata, teatavaks saab vaid võitja pakkumine. Ühegi pakkuja, sealhulgas ka võitja, isikut ei avalikustata.

Ülalkirjeldatu tagab, et domeeni saab endale see, kes näeb sel enda jaoks kõige suuremat majanduslikku väärtust, mitte see, kellel on kõige kavalam skript, kiired näpud või nahaalsust oksjoniga manipuleerida. Pakkumisi võivad loomulikult jätkuvalt teha ka spekulandid ja nende vahel tekib nüüd tõenäoliselt senisest veel suurem konkurents.

Seega, spekulandid söönud ja lambad ka terved. Minule see printsiip sobib!

Domeen on oksjoni võitjale 14 päevaks reserveeritud. See tähendab, et oksjoni võitjal on võimalik registreerida domeen eelisjärjekorras järgmise 14 päeva jooksul. Kui ta seda ei tee, läheb domeen uuesti ööpäevaks oksjonile.

Oksjoni võitja saab pärast tasumist oma valdusesse domeeni reserveerimiskoodi, millega saab ta vabalt valitud registripidaja juures vormistada võidetud domeeni registreerimise. Sellele tehingule lisandub lõpuks registripidaja hinnakirja alusel registreerimisteenuse hind.

Domeeni registreerimise protsess on oksjonilt võidetud eelisõiguse puhul sarnane tavapäraselt reserveeritud domeeni registreerimisele. (nt valdadele, linnadele reserveeritud domeenid).

Oksjonikeskkond asub aadressil: https://auction.internet.ee/

Oksjonikeskkonna kasutamise täpsed tingimused on kättesaadavad Eesti Interneti SA kodulehel https://www.internet.ee/domeenid/domeenide-oksjonikeskkonna-kasutajatingimused.

Lisa: Tegime oksjonihuvilistele Zone veebi ülevaatliku infolehe, mille kaudu saavad ühtlasi võitjad meiega ühendust võtta, et oma eelisõigust realiseerida   https://www.zone.ee/et/domeeni-registreerimine/ee-domeeni-oksjon/

Artikkel 13: Lõkked on süüdatud, Gondor on ohus!

Ilmselt on vähe inimesi, kel hoiatuslõkete süütamise stseen Peter Jacksoni fantastilises “Sõrmuste isanda” filmi-triloogias ei paneks külmavärinaid mööda selga jooksma. Filmis kandsid nimelt seitse mäetippudel läidetud hiiglaslikku lõket hoiatust ja abipalvet rünnaku ohvriks langenud Minas Tirith’ist Rohani ratsanikele.

Jääb üle vaid kahetseda, et Euroopa interneti-kogukonnal pole varnast võtta nii eepilist protokolli oma hoiatuse edastamiseks Brüsselist siia Tallinnasse. Kindlasti aitaks see sõnumi kõlale kõvasti kaasa. Aga õnneks on meil vähemalt ISOC-i Eesti haru ja nende Facebooki leht.

Olgu selle vormiga kuidas on, aga sõnumi sisu on üheselt mõistetav: Brüsselit piiravad huvi- ja lobigrupid on meie oma maavillase Sarumani juhtimisel nakatamas Euroopa Liidu õigussüsteemi oma versiooniga ühisturu autoriõiguste direktiivist 2016/0280, mis  artikli 13. tänases sõnastuses lubab väidetavalt internetis kehtestada masintsensuuri.

Meie siin Zones peame oma missiooniks edendada informatsiooni edastamist, töötlemist ja säilitamist internetis. Autoriõiguste direktiiv, mis iseenesest on positiivne algatus, pärsib tänu 13. artikli praegusele sõnastusele seda missiooni, sest sunnib meielaadseid infoühiskonna teenuste loojaid automaatselt valima, kellelt ja millist informatsiooni internetti lubada. See ei tundu meile õige.

Kui see tundub ka sulle kahtlane, siis loe mida on ISOC-i eestvedajatel sulle öelda ja kiika üle ka vastuargumendid.

Kui lugeda ei viitsi, siis vaata mida ütleb meie oma Galadriel 🙂

Üks võimalus oma meelt avaldada oma juba homme Vabaduse väljakul, ISOC-i haru korraldataval kogunemisel.

Zone kroonika: 2018

Meil on taas kätte jõudnud aeg võtta kokku möödunud majandusaasta ja nagu traditsiooniks saanud, siis annan siin blogis eelmise aasta tegemiste kohta veidi põhjalikuma ülevaate kui see, mis aastaaruandesse kirja läheb.

 

GDPR

Aasta esimeses pooles panustasime jõuliselt isikuandmete kaitse üldmäärusega seotud teavitustegevusse ja klientidele sellega ühilduva teenuskeskkonna loomisesse, mis tõi endaga kaasa muutusi kogu organisatsiooni üleselt. Muuhulgas juurutati täiendatud infoturbepoliitika ja kohandati kliendilepinguid.

Peeter, kes Zone andmekaitsespetsialistina omandas ka Andmekaitse Inspektsiooni poolt tunnustatud kvalifikatsioonitunnistuse Tallinna Ülikoolist, käis selle valdkonna evangelistina jagamas oma tarkusi mitmetel erialaüritustel ning jagas oma teadmisi ka siin blogis.

Tema töö tulemusena valmis meie veebi jaoks ka ülevaatlik infokogum, mis annab põhjaliku ülevaate nii Zone kui ka meie klientide õigustest ja kohustustest andmekaitse üldmääruse kontekstis ning infoturbest Zones üldiselt: https://www.zone.ee/et/lepingud/isikuandmete-kaitse-gdpr/.

Domeenindus

Hea meel on tõdeda, et domeeninduses kujunes 2018. aasta positiivselt stabiilseks ja möödunud aastate eufooriale järgnenud depressioon sai läbi. Eesti tippdomeenis registreeritud domeenide arv on tõusuteel ja meie turuosa on võrreldes eelmise aastaga samuti veelkord kasvanud.

Zone poolt teenindavate domeenide arv läheneb vääramatu järjekindlusega kuuekohalisele arvule. Globaalses mõõtkavas vähetähtis number, kuid meile südamelähedane.

Erakordselt hea aasta oli .EU tippdomeenil, mille registreerimiste arv tegi Zones eelmisel aastal ühe oma kõigi aegade tipptulemustest.

Kahjuks varjutab seda Brexit-i ümber toimuv. Olen ka varem viidanud sellele, et poliitika ja interneti segamisel tekkival kokteilil on tihti paha lõhn juures – kahjuks leidis see tõdemus taas kinnitust. Nimelt viibutab (vastupidiselt meie ootustele) Euroopa Komisjon jätkuvalt Suurbritannia kodanikest .EU registreerijate suunal ähvardusega hakata domeene registreerijatelt ära võtma, mis võiks kõige halvema stsenaariumi kohaselt juhtuda juba 30. mail käesoleval aastal. Plaanime omalt osalt juba lähiajal võtta ühendust nende klientidega, keda Euroopa Komisjoni otsus puudutaks, et pakkuda neile omapoolset abi.

Eesti tippdomeenis suuri mullistusi ei toimunud, mis on väga positiivne. Domeenidega spekuleerimisele leevendust lubav oksjonikeskkond, mille arendamisel arvestati tänuväärselt palju ka registripidajate arvamusega, pidi küll esialgse kava kohaselt aasta lõpuks valmima, aga kuna testiperioodi otsustati pikendada, siis käivitub see alles alanud kevadel.

IT

IT valdkonna tehnikutel, arhitektidel ja programeerijatel oli Zones möödunud aasta tegevusterohke.

Üks suurimaid edasiminekuid oli uue, unikaalse e-posti platvormi juurutamine, mis on eelmisega võrreldes palju kiirem, turvalisem ja võimalusterohkem. Platvormi südameks sai Andrise eestvedamisel loodud e-posti server Wildduck. Eelnevalt uurisime põhjalikult turul saadaolevaid vabasid ja kommertstingimustel pakutavaid e-posti lahendusi, nende positiivseid ning negatiivseid külgi, kuid jõudsime lõpuks siiski äratundmisele, et maailmatasemel e-posti teenusepakkujate, nagu Google ja Microsoft, teenustega konkureerimine ei ole innovatsiooniriski võtmiseta lihtsalt võimalik. (Soovitan lisalugemisena Andrise blogiposti “Kuuldused e-posti surmast on jätkuvalt liialdatud”).

Loodetavasti saan sellele platvormile ehitatud uutest teenustest ja lisavõimalustest juba peagi siin rohkem kirjutada.

Uuest e-posti platvormist sai ühtlasi meie esimene teenus, mille vundamendiks on uus versioon Zone sisekasutuseks loodud Linuxi distributsioonist ZoneOS. Uue distro arenduse inspiratsiooniks oli CoreOS, mis omakorda põlvneb Gentoo Linuxist ja Google arendatavast Chrome OS operatsioonisüsteemist.

Uus distributsioon on optimeeritud serveriteenuste jaoks, pakkudes meile ühtaegu nii stabiilsust kui ka agiilsust, mis on vajalik selleks, et senisest tempokamalt reageerida muutuvatele kliendinõudmistele ja püsida kaasas tehnoloogiamaailma üha kiireneva tempoga.

Eelmise aasta lõpuks jõudis see distro meie MariaDB SQL serverite teenindusse ja tänaseks baseeruvad sellel juba meie uued Virtuaalservereid teenindavad veebiserverid ning Nutikad Privaatserverid.

Muude tegemiste hulgas uuendasime oluliselt oma populaarseimat veebimajutusteenust Virtuaalserver teenindavat serveriparki ja andsime sellega (Peetri mõõtmiste järgi) klientidele vähemalt 65% võrra vunki juurde, ilma et sellega oleks kaasnenud neile mingeid täiendavaid kulusid või ebamugavusi. Meie andmesidearhitektid paigaldasid hulgaliselt uut riistvara ja juurutasid oma haldusalas uusi vahendeid ja meetodeid. Algas üleminek uuele teenuste monitooringuplatvormile, et saada ja jagada teenuste kohta veel täpsemat infot. Nagu ikka periooditi juhtub, laiendasime oma majutuspinda.

Meie teenuste köögipoolel keeb ja podiseb kogu aeg.

Meil oli rõõm tervitada selle “supipoti” ääres ka hulgaliselt uusi “kokkasid”, nimelt liitus meiega rekordarv uusi töötajaid. Oli hea meel tervitada Atsi, Kristjanit, Sulevit, Gustavit, Martinit, Georgi, Erkit, Tanelit ja Lemmet!

Logo

Ja lõpetuseks tasub ehk mainida, et tänu Peetri eestvedamisele sai Zone 20. tegutsemisaastaks värskema ja dünaamilisema väljanägemise meie logo, mis nüüd näeb välja selline: