Oh No AIX Security

Posted on July 5, 2012 by Simon Roses

[Español] Pues sí, estimados lectores, recientemente tuve que auditar entornos AIX (ya sabéis, esos UNIX propietarios de IBM), por lo que he pensado que sería interesante exponer una serie de consejos sobre cómo auditarlos.

[English] True, my dear readers, recently I had to perform an audit on AIX systems (you know, those proprietary IBM UNIX), so I thought it would be interesting to expose a series of tips on how to audit them.

Guías de seguridad AIX recomendadas: / Recommended AIX security guides:

AIX Security Expert
AIX Version 6.1: Security
Securing an IBM Aix Server
Hardening your AIX Security
Santosh Gupta’s passion for AIX

Algunos mis consejos para una rápida revisión:

• Revisar los permisos en el directorio /etc • Revisar y desactivar los servicios innecesarios en /etc/inted.conf, /etc/inittab, /etc/rc.nfs y /etc/rc.tcpip • Ejecutar el comando oslevel para obtener la versión • Ejecutar el comando instfix –I | grep ML para ver los parches instalados • Aunque parezca mentira recientemente salió una vulnerabilidad en Sendmail (CVE-2012-2200) • Revisar las políticas de seguridad y permisos de Java • El fichero /etc/motd tiene que incluir un mensaje corporativo • Determinar si se instaló con TCB, ejecutando: tcbck –y ALL • Buscar programas con SETUID / SETGID: find / ( -perm -004000 –o perm -002000 ) –type f -ls • Establecer el umask a los usuarios en /etc/security/user • Mirar en los directorios de /root y usuarios por certificados privados • Si tienes licencia de Nessus o Nexpose serán tus amigos, o Metasploit si eres más atrevido ;)

Some my tips for a quick review: • Review the permissions on /etc directory • Check and disable unnecessary services in /etc/inittab, /etc/rc.nfs, /etc/inted.conf and /etc/rc.tcpip • Execute the oslevel command to obtain the version • Execute the command instfix – I | grep ML to see installed patches • Oddly enough recently a vulnerability in Sendmail (CVE-2012-2200) was released • Review the security policies and permissions of Java • The /etc/motd file must include a corporate message • Determine if system was installed with TCB, run: tcbck – y ALL • Look for programs with SETUID / SETGID: find / \( -perm -004000 –o perm -002000 \) –type f –ls • Set the umask for users in /etc/security/user file • Look in /root and users directories for private certificates / keys • If you have a license for Nessus or Nexpose they are your friends, or Metasploit if you’re more daring ;)

Si sabemos Shell Scripting podemos automatizar prácticamente todo el proceso por lo que nuestra labor será más fácil, segura y rápida.

¿Y tú qué utilizas para auditar AIX?

If we know Shell Scripting we can automatize the entire process by which our work will be easier, safer and faster. What do you use for AIX audits?

— Simon Roses Femerling

Posted in Hacking, Pentest, Security | Tagged , , , , , , , | Leave a comment

Network Intelligence Analysis

Posted on June 20, 2012 by Simon Roses

Analizar tráfico de red es realmente apasionante y para este post he pensado que sería un tema de interés para los lectores. El tráfico aquí analizado es más a modo de hobby cuando estoy en redes públicas/abiertas como hoteles, cafés y aeropuertos :) Tiempo ha pasado desde que trabajaba como analista de IDS pero es un servicio que ofrecemos en VULNEX en materia de ciber seguridad.

Analyzing network traffic is really exciting and for this post I thought it would be an interesting topic to readers. The traffic analyzed here is more as a hobby when I’m in public/open networks as hotels, cafes and airports  Time has passed since I worked as an IDS analyst but it is a service that we offer at VULNEX in cyber security services.

Algunas de las herramientas que utilizo para mis análisis son: • NetworkMinerWiresharkXpicoSnort • Y herramientas exclusivas de VULNEX

Some of the tools that I use for my analysis are: • NetworkMinerWiresharkXpicoSnort • And custom VULNEX tools

Posted in Hacking, Pentest, Security, Technology | Tagged , , , , , , , , , | Leave a comment

Blackhat Europe 2012, MundoHackerTV and More

Posted on April 13, 2012 by Simon Roses

[Español] Llevaba demasiadas semanas sin escribir un post y no puede ser :) La verdad es que estoy bastante ocupado con VULNEX (startup especializada en ciberseguridad) pero he sacado un poco de tiempo para contaros las novedades.

[English] Too many weeks have passed without writing a post and that cannot be :) The truth is that I am quite busy with VULNEX (a cybersecurity startup) but I have taken a little time to tell you some news.

El pasado marzo se celebró el prestigioso congreso Blackhat Europe 2012 en Ámsterdam, en el que participé como ponente con una charla sobre inseguridad en Smartphone Apps, que tuvo muy buena acogida (gracias por el feedback!) y que podéis encontrar aquí.

Last March the prestigious conference Blackhat Europe 2012 was celebrated in Amsterdam in which I did participate as a speaker with a talk about insecurity in Smartphone Apps, which was very well received (thanks for the feedback!) – you can find it here.

Os recomiendo ver las otras ponencias y las herramientas presentadas en el Blackhat Arsenal, muchos temas interesantes!

I recommend you see the other talks and tools presented at the Blackhat Arsenal, many interesting topics!

Por otro lado la gente de MundoHackerTv me hizo una entrevista aprovechando el congreso que estoy seguro será de vuestro interés, ya que contaron con varios ponentes y personal de la organización.

On the other hand the people of MundoHackerTv made me an interview taking advantage of conference that I am sure will be of interest to you as they interviewed several speakers and staff.

Como veis sigo vivo y espero pronto poner un post en condiciones, hasta la próxima :)

As you can see I am still alive and I hope soon to put a nice post, until next time :)

— Simon Roses Femerling

Posted in Conference, Pentest, Security, Technology | Tagged , , , , , , , , , | Leave a comment

AppSec: Static Application Security Testing (SAST) Free Tool Map

Posted on February 23, 2012 by Simon Roses

[Español] Cuando realizo un análisis de seguridad en una aplicación intento combinar el uso de Static Application Security Testing (SAST) y el Dynamic Application Security Testing (DAST) para obtener los mejores resultados. Dejamos DAST para otro post.

[English] When I’m performing a security analysis of an application I try to combine the use of Static Application Security Testing (SAST) and Dynamic Application Security Testing (DAST) for best results. DAST we leave for another post.

Es cierto que estas herramientas no son perfectas pero hoy en día son una necesidad. Muchos expertos de seguridad están en contra de utilizar estas herramientas alegando que no son útiles pero no es cierto.

It is true that these tools are not perfect but today they are a necessity. Many security experts are against using these tools claiming that they are not useful, but it is not true.

Este tipo de herramientas tienen sus limitaciones pero son de gran ayuda para encontrar algunos tipos concretos de vulnerabilidades de forma rápida y permitirnos dedicar nuestro tiempo a vulnerabilidades más complejas.

Such tools have their limitations, but are helpful to find quickly some specific types of vulnerabilities thus allowing us to devote our time to more complex vulnerabilities.

Aunque existen diversos proyectos gratis que podemos utilizar (los que trato en este post), sin duda si queremos utilizar una herramienta profesional debemos invertir en productos comerciales, que generalmente son herramientas más sofisticadas.

Although there are various free projects we can use (which I cover in this post) no doubt if we want to use a professional tool we must invest in commercial products, which generally are more sophisticated tools.

A continuación podrás encontrar un mapa interactivo de herramientas SAST gratis que puedes utilizar para los desarrollos en tu organización y determinar su seguridad. El uso de estas herramientas debería ser obligatorio en la fase de Implementación del SDLC.

Below you will find an interactive map of free SAST tools that developers in your organization can use and determine its safety. The use of these tools should be mandatory in the Implementation stage of the SDLC.

Existen muchas más herramientas pero las aquí presentadas son en mi opinión algunas de las más interesantes. Si conoces herramientas que deberían estar en el mapa te agradecería que me lo comentaras para incluirlas.

There are many more tools but the here presented are in my opinion some of the more interesting. If you know tools that should be on the map please let me know to include them

Qué herramienta SAST utilizas? Estás contento con los resultados?

Do you use SAST tools? Are you happy with the results?

— Simon Roses Femerling

 Uso del mapa:

  • Sitúa el ratón encima de las herramientas para ver su descripción.
  • Botón derecho para abrir la pagina Web de la herramienta.

Map Legend:

  • Put mouse over the tool to see its description.
  • Righ-click to open the Web page of the tool.

Free SAST Map v.1

Posted in Pentest, SDL, Security | Tagged , , , , , | 2 Comments

VULNEX, up & running

Posted on February 13, 2012 by Simon Roses

[Español] Por fin VULNEX, el proyecto en el que llevo meses trabajando, ha visto la luz aunque sin duda estamos en los comienzos y queda mucho trabajo duro por delante pero con gran ilusión.

[English] Finally VULNEX, the project I’ve been working on for the past few months, has seen the light but undoubtedly we are at the beginning and much hard work remains ahead but with great enthusiasm.

VULNEX nace con la aspiración de ser un proveedor de servicios y formación ofensivos y defensivos altamente especializados para cubrir las necesidades actuales de nuestros clientes. Los tiempos han cambiado y demasiada gente no entiende las nuevas necesidades de seguridad pero VULNEX está para ayudar. Un factor diferenciador es que VULNEX se caracteriza por un fuerte I+D que poco a poco iremos publicando.

VULNEX was created with the aspiration to be a provider of highly specialized offensive and defensive services and training to meet the current needs of our clients. Times have changed, and too many people do not understand the new security needs but VULNEX is here to help. A differentiating factor is that VULNEX is characterized by a strong R&D that we will start publishing soon.

Creemos que VULNEX ofrece algo más a nuestros clientes por lo que os invitamos a visitar la página Web y por supuesto a contactarnos. Nos encantaría colaborar contigo!

We believe that VULNEX offers something else to our customers so we invite you to visit the website and of course contact us. We are looking forward to working with you!

— Simon Roses Femerling

Posted in Business, Pentest, SDL, Security, Technology | Tagged , , , , | Leave a comment

Infiltrate 2012 Report

Posted on January 18, 2012 by Simon Roses
[Español] El pasado 12 y 13 de enero tuvo lugar la segunda edición del congreso ofensivo Infiltrate organizada por ImmunitySec, en cuya primera edición ya estuvimos. A pesar que no todas las charlas fueron tan espectaculares como el año pasado sigue siendo un congreso altamente ofensivo y de cita obligada para cualquier experto en seguridad.  
[English] The second edition of Infiltrate, the offensive conference organized by ImmunitySec, was held last 12 and 13 of January, which first edition we attended as well. Despite the fact that not all talks were as spectacular as  last year it is still a must for any security professional since it is a highly offensive conference.  
 
El primer día comenzó con un divertido keynote sobre dos temas: conferencias de seguridad y ciberguerra
(ambas temáticas cubiertas en este blog 1 y 2), y la verdad es que coincido en muchos aspectos con las conclusiones  del ponente. Algunas charlas destacadas del primer día fueron sobre explotación de heap y sandboxing. 
The first day started with a funny keynote on two issues: security conferences and cyber war (both thematics covered in this blog 1 and 2), and the truth is that I agree in many respects with the presenter’s conclusions. Some outstanding talks on the first day were about heap exploitation and sandboxing. 
   
El segundo día el nivel de todas las presentaciones fue altísimo y me gustaron todas. La mejor sin duda fue la de atacar sistemas de tarjetas de acceso por su innovación, aunque recomiendo verlas todas. Las charlas fueron filmadas por lo que creo que estarán disponibles próximamente.  
The second day the level of all the presentations was amazingly high and I liked them all. The best no doubt was attacking proximity card access systems, so innovative, but I recommend watching them all. The talks were filmed so I think they will be available soon. 
 
  Además  qué decir de la ciudad de Miami, un sitio genial para salir de fiesta con otros hackers y pasarlo bien J
 
Sin duda uno de los mejores congresos por sus charlas técnicas y la posibilidad de conocer personas  interesantes, me llevo buenas amistades ;) 
 
Kudos a todo el equipo de ImmunitySec por una excepcional organización y su disposición para que todo salga bien. 
 
  N os vemos en la tercera edición! 
 
In addition what to say of Miami city, a great place for partying with other hackers and have fun J 
Undoubtedly one of the best conferences for their technical talks and the possibility of meeting interesting people, I’ve made good friends ;)
 
  Kudos to all ImmunitySec team for an exceptional organization and their availability to make sure that everything goes well. 
 
  See you in the third edition!
 
   — Simon Roses Femerling
Posted in Conference, Hacking, Pentest, Security, Technology | Tagged , , , , , , , , , | Leave a comment

New Year, New Ideas, New Job

Posted on January 9, 2012 by Simon Roses

[Español] Como muchos lectores saben tras varios años en Microsoft he abandonado el equipo de seguridad de la compañía el pasado mes de diciembre en busca de nuevos retos y oportunidades. Este cambio me permite enfocarme a un rol de I+D en seguridad de aplicaciones.

[English] As many readers know after several years in Microsoft I have left the security team last December to pursue new challenges and opportunities. This move allows me to focus on a R&D role in application security.

Empiezo una nueva etapa profesional como emprendedor con muchas ideas en la cabeza que muy pronto os iré mostrando, así que atentos al blog y Twitter ;)

Mis servicios siguen disponibles :)

I start a new professional stage as entrepreneur with many ideas in mind that very soon I’ll be showing, but for the moment stay tuned with the blog and Twitter ;)

My services are still available :)

— Simon Roses Femerling

Posted in Business, Security, Technology | Tagged , , , , | Leave a comment

AppSec: Overview of Fuzzing Frameworks

Posted on December 21, 2011 by Simon Roses

[Español] En los últimos años el fuzzing se ha convertido en la mejor y más rápida (relativamente) técnica para descubrir fallos de seguridad, por lo que he pensado que sería un buen tema para introducir algunos conceptos y  herramientas para luego entrar en más detalle en futuros posts.

[English] In recent years fuzzing has become the best and (relatively) quickest technique to discover security vulnerabilities, so I thought it would be a good topic to write a post about it to introduce some concepts and tools to then go into more details in future posts.

Aparte de mis frecuentes auditorías de código también dedico tiempo al fuzzing para identificar vulnerabilidades en todo tipo de aplicaciones con buenos resultados :) Imagino que el lector a estas alturas habrá oído hablar del Microsoft SDL, donde se especifica que uno de los controles de seguridad obligatorios es hacer fuzzing de la aplicación. Es por ello que Microsoft ha desarrollo algunos de los mejores fuzzers del mercado, como son SAGE y FuzzGuru entre otros, aunque por desgracia solo están disponibles internamente en la compañía pero existen algunas interesantes alternativas como veremos en la sección de recomendados.

Apart from my frequent code reviews I also spend time fuzzing to identify vulnerabilities in all kinds of applications with good results :) I assume the reader at this point has heard of Microsoft SDL, which mandates that one of the security gates is to fuzz the application. This is why Microsoft has developed some of the best fuzzers in the market, such as SAGE and FuzzGuru among others, although unfortunately only internally available in the company but there are some interesting alternatives as we will see in the section of recommended.

A la hora de realizar fuzzing debemos tener una clara estrategia para que sea efectivo o podríamos estar perdiendo el tiempo. Debemos tener claro:

  • Qué interfaces de la aplicación queremos fuzzear (ficheros, protocolos, registro, etc.)
  • Si nuestro fuzzer es capaz de generar datos malformados válidos para la aplicación
  • Cuántas pruebas estamos ejecutando por minuto
  • Si hemos definido el “número mágico” para detener las pruebas
  • A qué nivel de profundidad estamos llegando en la aplicación (Code coverage)
  • De qué capacidades de monitorización disponemos
  • Si disponemos de herramientas apropiadas para analizar un crash

When it comes to fuzzing we must have a clear strategy to be effective or we could be wasting time. We must be clear on:

  • What application interfaces we want to fuzz (files, Protocols, registry, etc.)
  • If our fuzzer is able to generate valid malformed data for the application
  • How many test cases are we running per minute
  • If we have defined the “magic number” to stop testing
  • What level of application depth  we are reaching (Code coverage)
  • If we have monitoring capabilities
  • If we have the appropriate tools to analyze a crash

Éstas son algunas de las cuestiones que nuestra estrategia debe tener en cuenta para sacarle el mayor partido al tiempo de fuzzing ya que no es infinito. En mi caso he construido una pequeña granja fuzzing que me permite escalar y realizar diferentes pruebas al mismo tiempo, bendita sea la virtualización!

These are some of the issues that our strategy must take into account to get the most out of the fuzzing time because is not infinite. In my case I have built a small fuzzing farm that allows me to scale and perform various tests at the same time, blessed be the virtualization!

De vez en cuando hasta un fuzzer tonto es capaz de descubrir vulnerabilidades, pero por lo general obtendremos mejores resultados con un fuzzer inteligente que entienda la información que requiere la aplicación y pueda manipularla. La mayoría de fuzzers recomendados están dentro de la categoría de fuzzers inteligentes, aunque sin duda los fuzzers tontos nos pueden ser de gran utilidad también. Si tenemos tiempo es recomendable probar diferentes tipos de fuzzers para el mismo objetivo.

From time to time a dumb fuzzer is able to discover vulnerabilities but usually we get better results with a smart fuzzer who understands the data required by the application and is able to mutate it. Most of the below recommended fuzzers are within the category of smart fuzzers but certainly dumb fuzzers can be very useful too. If we have time we recommend trying different types of fuzzers for the same target.

Existen muchos más fuzzers de los aquí mencionados pero en mi opinión éstos son algunos de los mejores y estoy seguro que el lector les encontrará utilidad. Si encuentras un ODay no  olvides enviármelo ;)

There are many more fuzzers of the here mentioned but in my opinion these are some of the best and I am sure the reader will find them useful. If you find an ODay don’t forget send it my way ;)

Fuzzer Frameworks y Recursos Recomendados / Fuzzer Frameworks and Recommended Resources

Y tú qué fuzzer framework utilizas?

What fuzzer framework do you use?

— Simon Roses Femerling

Posted in Hacking, Pentest, SDL, Security, Technology | Tagged , , , , , | Leave a comment

AppSec: Mobile Apps InSecure Development Practices

Posted on December 13, 2011 by Simon Roses

[Español] Uno de mis proyectos personales es analizar la seguridad de dispositivos móviles, y los lectores del blog ya lo habrán notado por varios posts al respecto sobre malware, vulnerabilidades y crackmes.

[English] One of my personal projects is to analyze the security of mobile devices, and the readers of the blog will have already noticed by several posts about it on malware, vulnerabilities and crackmes.

La semana pasada se publicó un artículo que he escrito sobre inseguridad en Apps móviles para Android y Windows Phone 7 en la revista (IN)Secure y que estoy seguro el lector encontrará interesante.

Last week an article I have written about insecurity in Mobile Apps for Android and Windows Phone 7 was published in the (IN)Secure magazine that I am sure the reader will find interesting.

En la Fig. 1 se puede apreciar vulnerabilidades que aparecen con frecuencia en Apps. Desgraciadamente demasiadas Apps se desarrollan sin pensar en la seguridad ya sea por desconocimiento o pereza, pero es un problema serio para las organizaciones cuando pensamos la cantidad de dispositivos móviles (Smartphones y tabletas) que se utilizan a diario con información sensible con unas barreras de seguridad mínimas o nulas. Todos los detalles se encuentran en el artículo mencionado.

In Fig. 1 you can see vulnerabilities that appear frequently in Apps. Unfortunately too many Apps are developed without thinking about security either by ignorance or laziness, but it’s a serious problem for most organizations when you think the number of mobile devices (Smartphone and tablets) used on a daily basis containing sensitive information with a minimum or no safety barriers. For more details please read the article.

  Fig. 1  – Mapa de Vulnerabilidades en Apps / Apps Vulnerability Map

Aparte de la información del artículo tengo más material nuevo que espero presentar en futuros artículos y conferencias. Atentos a las noticias en el blog :)

Y tú que piensas de la seguridad y privacidad de las Apps?

Besides the information presented in the article I have more new material which I hope to submit in future articles and conferences. Pay attention to blog updates :)

And what do you think of the safety and privacy of Apps?

— Simon Roses Femerling

Posted in Hacking, Pentest, Security, Technology | Tagged , , , , , , | Leave a comment

FUD on Cloud Security

Posted on November 30, 2011 by Simon Roses

[Español] Últimamente he asistido a varios eventos sobre seguridad en la Nube (Cloud) y sorprende el alto grado de FUD que existe sobre este tema. La Nube no es un concepto o tecnología nueva sino más bien un uso eficiente de una serie de tecnologías que todos conocemos como Servicios Web, virtualización, etc.

[English] Lately I have attended several events on Cloud security and it is surprising the high degree of FUD that exists on this subject. The cloud is not a new concept or technology, but rather an efficient use of a number of technologies that we all know well such as Web services, virtualization, etc.

El principal problema de las empresas a la hora de utilizar la Nube es la supuesta pérdida de control de su información, que en la mayoría de los casos no es real, un miedo provocado por un desconocimiento en la materia.

The main problem of companies using the cloud is the alleged loss of control of their information, which in the majority of cases is not real, and this fear is caused by a lack of knowledge on the subject.

Las empresas deben realizar un análisis sobre qué aplicaciones e información pueden utilizar en la Nube, que en muchas ocasiones son la mayoría de aplicaciones corporativas ya que no utilizan información sensible. Para ello la empresa debe conocer su información y establecer una política de clasificación de información.

Companies must perform an analysis on which applications and information can be used in the cloud, most of corporate applications can as they do not use sensitive information. While doing so the company must know their information and establish a Data Classification Policy.

Es frecuente en este tipo de eventos oír a personas que protestan por perder el control de su información y su ubicación e incluso piden que se audite a los proveedores de servicios en la Nube cuando seguramente en sus propias organizaciones no protegen adecuadamente todos los lugares donde almacenan su información, y bien seguro no auditan a sus proveedores o empresas aliadas que suelen tener acceso a la redes corporativas.

It is common in this type of event to hear people protesting due to the loss of control of their information and its location and even requesting cloud vendors to be audited when probably in their own organizations they do not adequately protect all the places where they stored information, and for sure they do not audit their vendors and partners that usually have access to their corporate networks.

En la Fig. 1 se plantean diversas cuestiones de seguridad que generalmente demasiadas empresas de todos los tamaños no realizan o ni siquiera se plantean. Es complicado entender la misteriosa Nube cuando estas cuestiones con décadas de existencia aún no son entendidas por las organizaciones.

In Fig. 1 we arise various security issues that usually too many companies of all sizes do not perform or don’t care. It is difficult to understand the mysterious ways of the cloud when these issues with decades of existence are not yet understood by organizations.

Fig.1 – Grado de madurez de la seguridad en una empresa / Degree of security maturity in an enterprise

Es cierto que la Nube puede ayudar a muchas organizaciones en el ahorro de costes y agilidad, pero también puede ayudar a ser más seguras. Algunos puntos a tener en cuenta son:

  • Antes debemos conocer nuestra organización (activos, riesgos, información, aplicaciones, etc.) para tomar las decisiones adecuadas sobre qué subir a la Nube.
  • Es cierto que en la Nube podemos perder la visibilidad de la ubicación de nuestra información pero no debería ser problema, ya que existen mecanismos de seguridad efectivos como la criptografía y algunos proveedores pueden establecer criterios de localización.
  • Es clave la correcta selección de un proveedor de la Nube que nos pueda dar garantías y responda en las incidencias.
  • Un buen contrato (SLA) es vital.
  • Tenemos que ser racionales a la hora de establecer mecanismos de seguridad en la Nube como lo haríamos en nuestras organizaciones. La tecnología existe pero debemos utilizarla correctamente.

It is true that the cloud can help many organizations in saving costs and being more agile but it can also help be more secure. Some points to consider are:

  • Before moving to the cloud we must know our Organization (assets, risks, information, applications, etc.) to take the appropriate decisions of what to move to the cloud.
  • It is true that in the cloud we can lose visibility of the location of our information, but it should not be problem since there are effective security mechanisms such as cryptography, and some cloud vendors can establish location criteria.
  • It is key the correct selection of a cloud provider that can give us guarantees and responds to incidents.
  • A good contract (SLA) is vital.
  • We must be rational in establishing security mechanisms in the cloud as we would in our organizations. The technology exists but we must use it correctly.

Sin duda la Nube es una tema interesante y de moda que cada día mas organizaciones se plantean utilizar por lo que se debe perder este miedo absurdo. Aquellas organizaciones que no sepan apreciar las bondades de la Nube perderán en innovación.

Tu organización se plantea utilizar la Nube y para qué?

No doubt the cloud is a hot topic that every day more organizations think of using but first we should lose this absurd fear. Those organizations that do not recognize the benefits of the cloud will lose their innovation.

Does your organization use the cloud and for what?

— Simon Roses Femerling

Posted in Business, Economics, Pentest, Security, Technology | Tagged , , | Leave a comment