Безопасность систем ERP

Безопасность систем ERP затрагивает применение широкого ряда мер по защите систем ERP от неправомерного доступа к системе, а также обеспечения доступности и целостности данных системы. ERP-система — это компьютерная программа, предназначенная для объединения всей информации необходимой для эффективного управления компанией, включая такие аспекты деятельности как производство, управление цепочками поставок, бухгалтерский учёт, склады, перевозки, кадры, работа с клиентами. Наиболее популярными ERP-системами являются SAP, Oracle E-Business Suite, Microsoft Dynamics. Кроме этого, в России популярно 1С:Предприятие.

Обзор

Ядро каждой крупной компании — это ERP система; в ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансовым планированием. Вся информация, хранящаяся в ERP-системах, имеет важнейшее значение, и любой неправомерный доступ к ней может понести за собой громадные потери вплоть до остановки бизнеса.[1] Важно проводить комплексную оценку защищенности системы ERP, проверяя серверы ERP на наличие программных уязвимостей, ошибок конфигурации, конфликтов полномочий, соответствие актуальным стандартам и рекомендациям, включая рекомендации производителя.[1]

Причины уязвимости систем ERP

Сложность

Сложность систем ERP ведёт к возникновению уязвимостей безопасности. ERP системы обрабатывают большое число различных транзакций и реализуют сложные механизмы, которые предоставляют разные уровни доступа разным пользователям. Например, в SAP R/3 существуют сотни объектов авторизации, которые позволяют разным пользователям выполнять разные действия в системе. В организации среднего размера может существовать около ста видов транзакций, каждая транзакция обычно требует, по крайней мере, два объекта авторизации. Если в компании 200 пользователей, то существует приблизительно 800000 (100*2*20*200) способов настроить параметры безопасности ERP-системы. С ростом сложности увеличивается вероятность ошибок и конфликтов полномочий.[2]

Специфичность

В популярных ОС и приложениях ежемесячно находятся уязвимости, так как они находятся под постоянным прицелом хакеров. В результате популярные приложения становятся безопаснее. Внутренние бизнес-приложения закрыты для посторонних глаз, и это приводит к иллюзии «безопасно, так как засекречено». Из-за этого в специфичных бизнес-приложениях находят тривиальные и крайне опасные уязвимости в системе безопасности, которые редко встречаются в популярных продуктах.[3]

Недостаток квалифицированных специалистов

Большинство программ подготовки специалистов по системам ERP разработаны для обучения использованию возможностей системы и уделяют мало внимания безопасности и аудиту ERP.[2] В большинстве компаний понимание угроз систем ERP со стороны службы безопасности в лучшем случае поверхностно.[4] Многие компании не уделяют должного внимания безопасности ERP-системы. Консультанты по внедрению, как правило, озабочены лишь тем, чтобы развернуть систему в срок и уложиться в заданный бюджет. Вопросы безопасности считаются при этом второстепенными. Из-за этого защищённость системы оказывается слабой, а выявление и исправление проблем безопасности — сложным и дорогим мероприятием.[2]

Недостаток инструментов для аудита безопасности

Большинство инструментов, поставляемых в пакетах ERP, не предоставляют средств для эффективного аудита безопасности системы. Из-за этого аудит безопасности системы ERP обычно выполняется вручную. Ручной аудит является сложным и длительным процессом, в котором легко допустить ошибку.[2]

Большое количество тонких настроек

В стандартных настройках системы существуют тысячи параметров и тонких настроек, включая разграничение прав к различным объектам, таким как транзакции и таблицы. Во всей этой массе настроек задача по обеспечению безопасности даже одной системы является непростой задачей. Кроме того большая часть настроек системы ERP так или иначе затачивается под заказчика, в результате не существует двух одинаковых ERP систем. Кроме того, разрабатываются свои программы, безопасность которых также следует учитывать при комплексной оценке.[4] По этой причине трудно выработать единый подход или методологию для проведения аудитов безопасности.

Проблемы безопасности систем ERP

Проблемы безопасности в системе ERP могут возникать на разных уровнях.[5]

Сетевой уровень

Возможность перехвата и модификации трафика

  • отсутствие шифрования данных

В 2011 году специалисты из компании Sensepost проанализировали протокол DIAG, использующийся в системе SAP ERP для передачи данных между клиентом и сервером SAP. В результате была опубликованы две утилиты, позволяющие полностью перехватывать, дешифровывать и модифицировать на лету клиент-серверные запросы, содержащие критичную информацию, тем самым открывая пути для различных атак типа Человек посередине. Вторая утилита работает как Proxy и создана в большей степени для поиска новых уязвимостей, позволяя модифицировать запросы на клиент и сервер и искать новые уязвимости.[6][7]

  • передача пароля в открытом виде (SAP J2ee Telnet / Oracle listener старые версии)

В системе SAP ERP есть возможность администрирования по протоколу Telnet, который не шифрует пароли.[8]

Уязвимости протоколов шифрования или аутентификации

  • аутентификация хэшем
  • XOR шифрование паролей (SAP DIAG)
  • навязывание использование старых протоколов аутентификации
  • некорректные алгоритмы аутентификации

Уязвимости сетевых протоколов таких как протокол RFC в SAP ERP и Oracle Net в Oracle e-Business Suite. В SAP ERP для связи между двумя системами по TCP/IP используется протокол RFC (Remote Function Call). RFC-вызов — это функция, которая может вызвать и запустить на выполнение функциональный модуль, расположенный в другой системе. В языке ABAP, который используется для написания бизнес-приложений в SAP, существуют функции для совершения RFC-вызовов. В SAP RFC Library версий 6.x и 7.x было найдено несколько серьёзных уязвимостей[9]:

  • RFC функция «RFC_SET_REG_SERVER_PROPERTY» позволяет определять эксклюзивное использование RFC сервера. Эксплуатирование уязвимости приведет к отказу в доступе легитимным пользователям. Таким образом можно провести атаку отказ в обслуживании.
  • Ошибка в RFC функции «SYSTEM_CREATE_INSTANCE». Эксплуатирование уязвимости позволяет выполнить произвольный код.
  • Ошибка в RFC функции «RFC_START_GUI». Эксплуатирование уязвимости также позволяет выполнить произвольный код.
  • Ошибка в RFC функции «RFC_START_PROGRAM». Эксплуатирование уязвимости позволяет выполнить произвольный код или получить сведения о конфигурации RFC сервера.
  • Ошибка в RFC функции «TRUSTED_SYSTEM_SECURITY». Эксплуатирование уязвимости позволяет получить сведения о существующих пользователях и группах на RFC сервере.

Уровень ОС

Программные уязвимости ОС

  • Любая удаленная уязвимость в ОС может быть использована для получения доступа к приложениям

Слабые пароли ОС

  • возможность удаленного подбора паролей
  • пустые пароли на средства удаленного управления, таких как RAdmin и VNC

Небезопасные настройки ОС

  • NFS и SMB. Данные SAP могут быть доступны анонимному пользователю через NFS или SMB
  • Права доступа к файлам. Критичные файлы данных SAP и СУБД Oracle часто имеют небезопасные права доступа, такие как 755 или 777
  • Небезопасные настройки rhosts. В доверенных хостах могут быть прописаны серверы, на которые может легко попасть злоумышленник

Уязвимости СУБД[10]

Всякая система ERP содержит множество баз данных. Поэтому одной из проблем безопасности ERP являются программные уязвимости СУБД.

Переполнение буфера — атака, в основе которой лежит запись программой данных в память за пределами выделенного для них буфера. Это может позволить злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется.

format string — вид уязвимости, позволяющая выполнить вредоносный код. Проблема возникает из-за использования нефильтрованного пользовательского ввода в качестве строки формата в какой-нибудь C-функции, выполняющей форматирование, например, printf(). Злоумышленник может использовать спецификаторы формата %s или %n, чтобы записать произвольные данные в произвольную область памяти.

  • Пароли
    • множество паролей по умолчанию
    • возможность подбора паролей и пользователей (отсутствие блокирования по умолчанию)
  • Огромное количество возможностей повысить привилегии внутри СУБД
    • Высокие привилегии по умолчанию
    • PL/SQL инъекции

SQL-инъекции — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. Атака типа внедрения SQL может быть возможна из-за некорректной обработки входных данных, используемых в SQL-запросах.

  • Cursor snarfing

Курсор применительно к SQL — это число, которое указывает на область памяти, где сервер базы данных хранит данные о запросе, переменных запроса и правах. В нормальной ситуации курсор создаётся и существует дор тех пор, пока не будет явно уничтожен. Если во время выполнения какой-либо SQL процедуры произошла ошибка, курсор может быть не уничтожен. Злоумышленник может воспользоваться этим куросорм, чтобы сделать запрос с правами этой неудачно завершившейся процедуры.[11]

Уязвимости приложений

ERP системы все больший и больший функционал переносят на уровень веб-приложений, на котором существует огромное количество уязвимостей:

  • Все возможные уязвимости веб-приложений (XSS, XSRF, SQL Injection, Response Splitting, Code Execution)
  • Переполнения буфера и format string в веб-серверах и application-серверах (к примеру, SAP IGS, SAP Netweaver, Oracle BEA Weblogic)
  • Небезопасные привилегии на доступ (SAP Netweaver, SAP CRM, Oracle E-Business Suite)

Управление доступом на основе ролей

В большинстве современных систем ERP для того, чтобы позволить пользователям выполнять только строго определённые транзакции и получать доступ лишь к определённым бизнес-объектам, применяется модель RBAC (Role-Based Access Control, управление доступом на основе ролей).[12] В модели RBAC решения о предоставлении доступа пользователю принимаются на основе функций, которые пользователь выполняет в организации. Эти функции называются ролями. Например, роли в банке это кассир, бухгалтер, кредитный инспектор и др. Роль можно понимать как множество транзакций, которые пользователь или группа пользователей могут совершать в организации. Транзакция — это некоторая процедура по преобразованию данных в системе, плюс данные, над которыми эту процедуру можно выполнять. Всякой роли соответствует множество пользователей, которые принадлежат этой роли. У пользователя может быть несколько ролей. Роли могут быть иерархическими, например, роль «кассир» также является ролью «сотрудник». Одним из достоинств модели RBAC является удобство администрирования. После того, как в системе заведены роли, транзакции, соответствующие каждой роли, меняются редко. Администратору нужно лишь добавлять или удалять пользователей из ролей. Когда сотрудник приходит в организацию, администратор даёт ему членство в одной или нескольких ролях. Когда сотрудник покидает организацию, администратор удаляет его из всех ролей, в которых тот состоял.[13]

Разделение полномочий

Разделение полномочий (Separation/Segregation of Duties, SoD) — концепция, состоящая в том, что пользователь не может совершить транзакцию без содействия других пользователей. Например, пользователь в одиночку не может добавить нового поставщика, выписать счёт или заплатить поставщику. Таким образом снижается риск ошибки или мошенничества.[14] Использование SoD является важным, хотя и недостаточным[3], условием безопасности системы ERP. Политику SoD можно реализовать, используя механизмы RBAC. Для этого вводится понятие взаимоисключающих ролей. Например, чтобы заплатить поставщику, один пользователь должен инициировать оплату, а другой подтвердить её. В этом случае инициация оплаты и подтверждение — взаимоисключающие роли. Разделение полномочий может быть статическим или динамическим. При статическом разделении полномочий (Static SOD) пользователь не может принадлежать двум взаимоисключающим ролям. При динамическом разделении полномочий (Dynamic SOD) пользователь может принадлежать двум взаимоисключающим ролям, но не может исполнять их в рамках одной транзакции. Достоинство SSOD — простота, DSOD — большая гибкость.[15] Обычно разделение полномочий описывается матрицей SoD. По осям X и Y матрицы отложены роли в системе. Если две роли являются взаимоисключающими, то на пересечении соответствующих столбца и строки выставляется флаг.

Сканеры безопасности систем ERP

Сканер безопасности систем ERP — это компьютерная программа, предназначенная для поиска уязвимостей в системах ERP. Сканер анализирует конфигурацию ERP-системы на наличие небезопасных параметров аутентификации, контроля доступа, шифрования, проверяет, установлены ли последние версии компонентов, ищет компоненты системы про которые известно, что они небезопасны. Кроме этого, сканер проверяет параметры системы на соответствие рекомендациям производителя и процедурам аудита ISACA. Результатом работы сканера безопасности является отчёт, в котором представлены обнаруженные уязвимости и степень критичности каждой из них.[1] Известные сканеры:

Примечания

  1. 1 2 3 http://www.dsec.ru/products/erpscan Архивная копия от 10 октября 2012 на Wayback Machine Digital security
  2. 1 2 3 4 Архивированная копия. Дата обращения: 21 ноября 2012. Архивировано 4 марта 2016 года. Security issues in ERP
  3. 1 2 http://www.dsec.ru/press_releases/pdf/business.pdf (недоступная ссылка)
  4. 1 2 Безопасность SAP в цифрах / Блог компании Digital Security / Хабрахабр. Дата обращения: 19 ноября 2012. Архивировано 19 октября 2012 года.
  5. http://dsec.ru/press_releases/infosec2009/infosec2009_polyakov_erp.pdf (недоступная ссылка) Безопасность ERP
  6. Digital Security предупреждает о новых угрозах протокола DIAG в SAP — ERPScan сканер безопасности SAP. Дата обращения: 11 ноября 2012. Архивировано из оригинала 16 апреля 2013 года.
  7. SensePost — SapCap Архивировано 29 октября 2012 года.
  8. Administering the SAP J2EE Engine Using Telnet (SAP Library — SAP NetWeaver Technical Operations Manual)
  9. Xakep Online > Множественные уязвимости в SAP RFC Library (недоступная ссылка)
  10. Александр Поляков(2009). Безопасность Oracle глазами аудитора. Нападение и защита. ДМК Пресс. ISBN 978-5-94074-517-4
  11. Архивированная копия. Дата обращения: 21 ноября 2012. Архивировано 19 июня 2012 года. Cursor snarfing
  12. Архивированная копия. Дата обращения: 22 ноября 2012. Архивировано 11 июня 2014 года.
  13. http://csrc.nist.gov/rbac/ferraiolo-kuhn-92.pdf Архивная копия от 18 октября 2011 на Wayback Machine Role-Based Access Controls
  14. ComplianceTutorial.com — How to build segregation of duties Архивировано 11 января 2013 года.
  15. Simple search. Дата обращения: 22 ноября 2012. Архивировано из оригинала 26 февраля 2015 года.

Read other articles:

International sporting eventMen's singles at the 2023 Pan American GamesVenueRacket Sports CenterDatesOctober 31 - November 1Competitors16 from 8 nationsMedalists Diego Elias  Peru Miguel Ángel Rodríguez  Colombia Leonel Cárdenas  Mexico César Salazar  Mexico«2019 Squash at the2023 Pan American GamesQualificationSinglesmenwomenDoublesmenwomenmixedTeammenwomenvte The men's singles competition of the squash events a...

 

Вільяр-дель-ІнфантадоVillar del InfantadoМуніципалітетКраїна  ІспаніяАвтономна спільнота Кастилія-Ла-МанчаПровінція КуенкаКоординати 40°27′22″ пн. ш. 2°28′44″ зх. д. / 40.456° пн. ш. 2.479° зх. д. / 40.456; -2.479Координати: 40°27′22″ пн. ш. 2°28′44″ зх. ...

 

Carlos Muñoz Carlos Muñoz, 1958Información personalNacimiento 7 de febrero de 1924Rivera, UruguayFallecimiento 27 de octubre de 1992Buenos Aires, ArgentinaNacionalidad uruguayoFamiliaHijos Carlos Muñoz, Rubén Muñoz, Ángel Muñoz, Juan José Muñoz, Álvaro MuñozInformación profesionalOcupación Actor, director de teatro[editar datos en Wikidata] Carlos Muñoz (Rivera, Uruguay, 7 de febrero de 1924 – Buenos Aires, Argentina, 27 de octubre de 1992) fue un actor y director d...

Сьюзан Лі Стілл-КілрейнSusan Leigh Still-Kilrain Дата народження 24 жовтня 1961(1961-10-24) (62 роки)Місце народження Огаста, штат ДжорджіяКраїна:  СШАAlma mater: Університет аеронавтики Ембрі-РайдлСпеціальність: льотчик-випробувач, астронавтВійськове звання: КомандерЧас у космосі: 19 діб 15 го...

 

Karanos (bahasa Yunani Kuno: Κάρανος, 808-778 SM) merupakan seorang raja Makedonia kuno menurut tradisi kemudian. Menurut Herodotus raja pertama adalah Perdikas. Raja Karanos adalah tokoh pertama yang dilaporkan oleh Theopompos.[1] (FGrH, No. 115, Frag. 393) Jalan Caranus ditandai oleh warna biru Mitos Menurut mitos Yunani, Karanus adalah putra Temenus, raja Argos, yang melainkan adalah Heraklid. Temenus, bersama dengan Cresphontes dan Aristodemus merupakan tiga pemimpin Suku D...

 

جائزة الصين الكبرى 2019 (بالإنجليزية: Formula 1 Heineken Chinese Grand Prix 2019)‏    السباق 3 من أصل 21 في بطولة العالم لسباقات الفورمولا واحد موسم 2019 السلسلة بطولة العالم لسباقات فورمولا 1 موسم 2019  البلد الصين  التاريخ 14 أبريل 2019  مكان التنظيم حلبة شانغهاي الدولية  المسافة 56 لف...

1988 Dutch-language film directed by George Sluzier For the South African anthology series, see Spoorloos (TV series). The VanishingDutch film posterDirected byGeorge SluizerScreenplay by George Sluizer Tim Krabbé Based onThe Golden Eggby Tim KrabbéProduced by Anne Lordon George Sluizer Starring Bernard-Pierre Donnadieu Gene Bervoets Johanna ter Steege Gwen Eckhaus CinematographyToni KuhnEdited by George Sluizer Lin Friedman Music byHennie VrientenProductioncompanies Golden Egg Films Ingrid...

 

Museum in Hesston, Indiana This article relies largely or entirely on a single source. Relevant discussion may be found on the talk page. Please help improve this article by introducing citations to additional sources.Find sources: Hesston Steam Museum – news · newspapers · books · scholar · JSTOR (June 2016) Hesston Steam MuseumLocationGalena Township, LaPorte County, IndianaNearest townHesston, IndianaCoordinates41°45′15″N 86°40′41″W&#...

 

Species of aloe Aloe macroclada Scientific classification Kingdom: Plantae Clade: Tracheophytes Clade: Angiosperms Clade: Monocots Order: Asparagales Family: Asphodelaceae Subfamily: Asphodeloideae Genus: Aloe Species: A. macroclada Binomial name Aloe macrocladaBaker, 1883 Aloe macroclada is a plant species in the genus Aloe native to Madagascar.[1][2] Description The species grows slowly, and flowers when it is four to five years old. Flowering time is in the latter half...

Scottish political reformer This article has multiple issues. Please help improve it or discuss these issues on the talk page. (Learn how and when to remove these template messages) This article includes a list of general references, but it lacks sufficient corresponding inline citations. Please help to improve this article by introducing more precise citations. (July 2012) (Learn how and when to remove this template message) This article's tone or style may not reflect the encyclopedic tone ...

 

Film by Todd Phillips JokerTheatrical release posterDirected byTodd PhillipsWritten by Todd Phillips Scott Silver Based onJoker by Bill Finger Bob Kane Jerry Robinson characters by DC ComicsProduced by Todd Phillips Bradley Cooper Emma Tillinger Koskoff Starring Joaquin Phoenix Robert De Niro Zazie Beetz Frances Conroy CinematographyLawrence SherEdited byJeff GrothMusic byHildur GuðnadóttirProductioncompanies Warner Bros. Pictures Village Roadshow Pictures Bron Creative Joint Effort DC Film...

 

2022 video game 2022 video gameCult of the LambDeveloper(s)Massive MonsterPublisher(s)Devolver DigitalDirector(s)Jay ArmstrongJames PearmainJulian WiltonProgrammer(s)Jay ArmstrongHarrison GibbinsWilliam MesilaneJulian WiltonPaul KopetkoMatthew RolandArtist(s)Julian WiltonJames PearmainJonathan SwansonCarles DalmauReid ArmansinDaniel SunWriter(s)JoJo ZhouJay ArmstrongComposer(s)River Boy (Narayana Johnson)[1]EngineUnity[2]Platform(s)macOSNintendo SwitchPlayStation 4PlayStation ...

Princess Radziwiłł Archduchess RenatePrincess RadziwiłłBorn(1888-01-02)2 January 1888Pula, Austria-HungaryDied16 May 1935(1935-05-16) (aged 47)Balice, PolandSpouse Prince Hieronim Mikołaj Radziwiłł ​ ​(m. 1909)​IssueDominik Rainer RadziwiłłNamesGerman: Renata Maria Caroline Raineria Theresia Philomena Desideria MacariaHouseHabsburg-LorraineFatherArchduke Charles Stephen of AustriaMotherArchduchess Maria Theresa of Austria, Princess of Tuscany A...

 

1987 video gameDragon ScrollCover artDeveloper(s)KonamiPublisher(s)KonamiComposer(s)Kouji Murata[1]Platform(s)Family ComputerReleaseJP: December 4, 1987[1]Genre(s)Action role-playing gameMode(s)Single-player Dragon Scroll (ドラゴンスクロール 甦りし魔竜, lit. The Rebirth of the Evil Dragon)[2] is a 1987 video game that was released exclusively in Japan for the Family Computer. The game is non-linear and operates almost like a sandbox game. Many video games...

 

Hungarian arms and motorcycle manufacturing company DanuviaIndustryManufacturingFounded4 June 1920 (1920-06-04)Defunct1998; 25 years ago (1998)FateDissolvedHeadquartersBudapest, HungaryArea servedWorldwideProductsSmall arms, machinery, motorcycles Danuvia DV 125 Danuvia, known fully as Danuvia Engineering Industries Rt. (Hungarian: Danuvia Gépgyár, lit. Danuvia Machinery Factory), was a Hungarian manufacturer founded in 1920 that produced firearms, munitions...

Italian footballer Luca Paganini Personal informationDate of birth (1993-06-08) 8 June 1993 (age 30)Place of birth Rome, ItalyHeight 1.82 m (6 ft 0 in)Position(s) Right wingerTeam informationCurrent team LatinaYouth career0000–2011 FrosinoneSenior career*Years Team Apps (Gls)2011–2020 Frosinone 179 (26)2013 → Fondi (loan) 16 (2)2020–2021 Lecce 27 (1)2021–2022 Ascoli 12 (0)2022–2023 Triestina 32 (3)2023– Latina 0 (0) *Club domestic league appearances and goals...

 

For Alexander Standish house, see Alexander Standish House. Hospital in EnglandStandish HospitalGloucestershire Hospitals NHS Foundation TrustMain House and chimney stack, Standish HospitalShown in GloucestershireGeographyLocationStandish, Gloucestershire, England, United KingdomCoordinates51°45′34″N 2°15′59″W / 51.7594°N 2.2663°W / 51.7594; -2.2663OrganisationCare systemPublic NHSTypeCommunityServicesEmergency departmentNo Accident & EmergencyHistoryOp...

 

Russian composer (1933–2023) In this name that follows Eastern Slavic naming conventions, the patronymic is Naumovich and the family name is Kolker. Alexander KolkerАлекса́ндр Ко́лкерAlexander Kolker in 2009BornAlexander Naumovich Kolker(1933-07-28)28 July 1933Leningrad, Russian SFSR, USSRDied1 August 2023(2023-08-01) (aged 90)Saint Petersburg, RussiaNationalityRussianEducationSaint Petersburg Electrotechnical UniversityOccupationMusic composerYears active1958...

日本 > 愛知県 > 名古屋市 > 港区 > 善北町 善北町 町丁 善北町善北町の位置愛知県の地図を表示善北町善北町 (名古屋市)名古屋市の地図を表示 北緯35度6分12.17秒 東経136度51分15.8秒 / 北緯35.1033806度 東経136.854389度 / 35.1033806; 136.854389国 日本都道府県  愛知県市町村 名古屋市区 港区町名制定[1] 1968年(昭和43年)3月26日面積 ...

 

U.S. Senate election in Montana 1966 United States Senate election in Montana ← 1960 November 8, 1966 1972 →   Nominee Lee Metcalf Tim Babcock Party Democratic Republican Popular vote 138,166 121,697 Percentage 53.17% 46.83% County resultsMetcalf:      50–60%      60–70%      70–80%Babcock:      50–60%      60–70% U.S. senator b...

 

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!