Nord Nord Sec #24

Moin Hallo und Herzlich Willkommen zur aktuellen Ausgabe Nord Nord Sec.

Es gibt einmal mehr etwas von mir für euch - Ich habe den grossen Supply Chain Schluckauf der letzten Zeit für euch mit im Gepäck, ein paar Tools und einiges an Videos. Lehnt euch zurück und lasst euch berieseln. Ist bei den aktuellen Temperaturen auch gar nicht mal so schlecht.

Aus der Hängematte gesendet

Artikel

💅 Polyfill Supply Chain Angriff betrifft mehr als 100.000 Websiten Das ist aktuell die Nachricht.

Polyfills sind eingesetzt worden, um die neuesten Fancy Browser-APIs und Features auch auf älteren Version einsetzen zu können. Okay, es ging um den Internet Explorer. Mit dessen Verschwinden in der Versenkung, war das ganze eigentlich nicht mehr wirklich nötig. Aber natürlich blieb der Code erstmal so wie er ist. Läuft ja auch. Nix kaputt - nix machen.

Warum auch nicht. Immerhin ist das ganze ein Open Source Projekt.

Ein paar Jahre später: Ein Chinesisches Unternehmen kauft die Domain polyfill[dot]io. Der Autor des Projekts veröffentlicht eine Warnung - im Februar 2024.

Bis zu diesem Zeitpunkt, gab es noch keine Indikatoren auf schadhaftes Verhalten - aber das änderte sich zeitnah. Es wird nun Schadcode gehostet und ausgeliefert - auf tausende Webseiten, die die Referenzen auf die polyfill[dot]io Domain noch enthalten.

Als das Publik wurde, begannen die grossen CDNs wie Cloudflare, Akamai etc. den Traffic umzuschreiben, um zu verhindern das der Schadcode weiterhin ausgeliefert wird. Neben der .io TLD betraf das auch .com.

Ich bin gespannt, ob und wann es eine Aufarbeitung gibt, welche Schäden konkret entstanden sind - und was der Hintergrund war. Spam pushen? Chaos & Verwirrung stiften? Oder noch etwas ganz anderes?

Video

🔬 researcher accidentally finds 0-day affecting his entire internet service provider Eine Channel-Neuentdeckung - sehr cool, wie hier durch den Research von Sam Curry geführt wird, als er über einen 0-day gestolpert ist.

❎ Die Jagd nach den XBox-Hackern (Natürlich mal wieder) ein richtig gutes Video von Simplicissimus. Diesmal: Der XBox Underground. Eine Gruppe von Kids, die damals™️, als die Xbox 360 der Hot Shit auf dem Schulhof war, diverse Firmen gebreached haben, um an die neuesten Versionen der kommenden XBox Hits zu kommen.

Wenn das mal verfilmt wird - sitz ich safe im Kino! 🍿 

Wer noch mehr dazu wissen will, dem lege Ich die zwei Folgen Darknet Diaries dazu ans Herz.

✊ Held oder Verräter: Was tut Europa für Whistleblower Schöner Beitrag der zum Denken anregt und ein paar unbekanntere Namen auf die Liste setzt.

Wenn man sich eine Welt ohne Whistleblower vorstellt, wird mir ehrlich gesagt anders. Ich bin heilfroh, das es so viele Mutige Menschen gibt, die

⌨️ How To Build A Corne Keyboard: The Complete Beginner’s Guide Hello Darkness My Old Friend - Ich bin (wieder) ins Keyboard-Rabbit-Hole gestürzt. Ich plage mich seit längerem wieder mit Schmerzen in Armen und Schultern, und muss das Eingabegerät optimieren. Allerdings hab ich zu wenig Zeit (und Lust) für so ein Bastelprojekt und habe mir was bestellt, was ready to use ist.

Shorts

⏳️ Why I don’t rush to learn new Technologies - Marcus Hutchins macht hier einen sehr validen Punkt: Nur weil es neue Technologien gibt, heisst das noch lange nicht, dass alles alte plötzlich weg ist. Und es kann sich immer noch lohnen, Zeit in das “alte” zu investieren.

Tools und Co.

🚀 Web3isGoingGreat Bin ich der einzige, der ab und zu an die letzte Tech-Revolution denkt und sich fragt, was jetzt ist?

🌦️ SecurityRunners/CloudCommotion Es geht weiter mit Infrastructure-as-Code Tooling. Mit CloudCommotion könnt ihr euer Monitoring und Alerting auf den Prüfstand stellen, ob verdächtige Infrastrukturen unbemerkt in euren Hyperscalern deployed werden können.

↗️Pivot-atlas Ein von Amitai Cohen entwickeltes interaktives Handbuch für Cyber-Threat-Analysten. Ihr habt einen Alert in eurem MDM und wisst nicht, was ihr mit dem TLS Zertifikat, der IP oder Domain anfangen könnt? Mit dem Pivot-Atlas könnt ihr euch Schritt für Schritt dem ganzen nähern. Eingeteilt in Artifacts, Fingerprints, Impact, Map, Tips und Tools ist das ganze recht übersichtlich und man findet schnell was man sucht. 👍️ 

Das Zitat der Woche kommt aus der Feder von David Heinemeyer-Hanson (DHH). Er schrieb letztens einen neuen Blog Post “Why I Retired From Tech Crusades”, in dem er seine Gründe beschreibt, warum er keine Technologie-Kreuzzüge mehr führt.

Gute Idee - es bringt meistens sowieso nichts. Egal was die Entwickler*Innen im Maschinenraum oft denken und an Meinungen haben - letztendlich ist das alles irrelevant und das wichtigste sollte sein, dass die Software beim Kunden tut was sie soll.

Aber den wichtigsten Punkt den er macht, ist einer der sich (meiner Meinung nach) hauptsächlich um das Gesprächsklima dreht:

Inspiration, Begeisterung und Spass sind effizientere und angenehmere Mittel, um Menschen eine alternative aufzuzeigen als Verbote und ewiges Meckern.

In diesem Sinne: Bleibt Positiv und Inspiriert euer Umfeld.

Cheers,

Martin