Nord Nord Sec #25

Moin, Hallo und herzlich willkommen zur neuesten Ausgaben von Nord-Nord-Sec!

Dieses mal gibt’s was neues - von mir. Okay, zumindest ein bisschen. Den Grossteil hat der Statistische Papagei erledigt. Ich habe mit udio einen Classic-Rock-artigen Song generiert, der sich thematisch mit IT Security befasst. Viel Spass damit 🎶 🎸 

Artikel

📰 Databroker Files: Die große Datenhändler Recherche im Überblick Die Kollegen von Netzpolitik.org haben ein großes Thema aufgetan, das vermutlich niemanden der sich - sei es Hobby- oder Berufsmäßig - im Internet (aka #neuland) bewegt, überraschen sollte: Die Industrie der Werbetreibenden hat einen geradezu gigantischen Schatz an persönlichen Daten angesammelt, das es ein leichtes ist aus frei käuflichen Daten Bewegungsprofile zu erstellen und Personen zu de-anonymisieren.

Laut der Recherche von Netzpolitik, war es ihnen möglich Menschen zu identifizieren, die für Bundesministerien, Sicherheitsbehörden, Geheimdienste und die Bundeswehr arbeiten. So konnte beispielsweise eine Person identifiziert werden, die sich für ein Bundesministerium mit Fragen der Sicherheit befasst.

Erwartungsgemäß ist die Empörung erstmal groß. So gaben verschiedene Politiker und Ministerien Stellungnahmen heraus, die sich mit “Nein nein, das geht ja gar nicht” zusammenfassen lassen. Man fühlt sich direkt in die Zeit des NSA-Untersuchungsausschusses zurückversetzt, als Angela Merkel zu Protokoll gab: Abhören unter Freunden gehe gar nicht…

Tja - der Überwachungskapitalismus kennt keine Freunde. Lediglich Kunden und Produkte.

👨‍💻 Updating a dynamic hostname with go Mein Freund und Kollege Reinhard hat sich mal wieder in unbekanntes Technologie-Terrain gewagt und ist in go(lang) eingetaucht. Schaut mal rein und wenn ihr eifrige Gopher seid - supported ihn und lasst Feedback in seinem Repo da!

❓️ Microsoft entlässt DEI Team Nach Google, Meta und Zoom hat sich auch Microsoft von ihrem Diversity, Equity & Inclusion Team getrennt.

Microsoft, wie viele andere Tech Unternehmen, hat sich im Jahr 2020 nach dem rassistischen Mord an George Floyd verpflichtet, mehr Anstrengungen in Richtung DEI zu unternehmen.

Nun scheint es, nach einer publik gewordenen, internen Email, so zu sein, dass das Thema “keine weitere Relevanz für das Geschäft” zu haben scheint.

Aha… Ich nehme mal mit, dass die grossen Silicon Valley Firmen hier entweder andere Studien gelesen haben - oder nicht ehrlich sind…

🔎 Anyone can Access Deleted and Private Repository Data on Github Die Git Security Experten vom Truffle Security haben einen neuen Artikel veröffentlicht, in dem Sie eine komplett neue Bug-Kategorie einführen: Die Cross Fork Object Reference (CFOR). Diese neue Kategore orientiert sich an IDORs, insofern diese auch unsichere Referenzen auf eigentlich vertaulich geglaubte Objekte (aus)nutzen.

Dabei wird letztenlich eines der genialsten Git-Features zum Problem: Die dezentralität des Netzwerks.

So wird zwar die Referenz auf ein gelöschtes Repository entfernt, wenn es denn gelöscht wird - die verknüpften Commits allerdings nicht. Solange noch ein einziger Fork im Netz existiert und Angreifer in der Lage sind, einen gültigen Hash zu enumerieren, kann auf die gelöscht geglaubten Daten weiterhin zugegriffen werden. Das kann trivial über die Github UI gemacht werden.

Analog gilt das ebenfalls für privat (geglaubte) Repositories und Daten. So konnten die Security Researcher von Truffle Security problemlos gültige API Keys extrahieren.

Video

📈 Threat Modelling for Developers Gut investierte 50 Minuten, für ein Panel unter anderem mit Adam Shostack und Tanya Janca - zu Threat Modelling.

Falls ihr euch unter Threat Modelling vorstellen könnt: Threat Modelling ist ein Prozess bzw eine Methodik, um potenzielle Bedrohungen für ein Softwaresystem zu identifizieren, erfassen und systematisch zu beheben - oder adäquat zu mitigieren.

🧠 The Cyberpunks Guide to Attacking Generative AI Richtig starkes Video als Einführung zum Thema “Angreifen von Generativer KI”! Viel Content, sowohl im zugehörigen Github Repository, also auch im Video selbst. Solide 40 Minuten Präsentation, nach denen jede*r einen Startpunkt hat, um sich mehr in das Thema rein nerden zu können ❤️ 

Tools und Co.

🔎 Der Databroker Checker Das passende Tool zur Netzpolitik.org Recherche zu Databrokern. Testet, ob ihr im Datensatz enthalten seid.

🎙️ HadessCS/Red-team-Interview-Questions Ihr wollt euch beruflich neu orientieren und sucht einen Job als Readteamer*in/Pentester*in? Dann schaut mal hier rein, das Team von HadessCS hat eine Sammlung an Interview Fragen zusammen getragen.

🍏 quickemu-project/quickemu Schlankes tool zur Erstellung von Virtuellen Maschinen auf macOS und Linux Hosts. Unterstützt die Erzeugung von optimierten Windows, Linux und macOS VMs.

Unter der Haube nutzt quickemu schlicht und einfach QEMU, und vereinfacht die Erstellung der virtuellen Maschinen dadurch, das die Hardware des Hostsystems automatisch erfasst und die VMs dementsprechend konfiguriert werden.

Das Zitat der Woche stammt dieses Jahr aus einem Song, der mich seit einiger Zeit schon begleitet - Pain Remains von Lorna Shore.

Dieser Part jagt mir jedes mal Gänsehaut durch den ganzen Körper. Einfach ganz grosse Emotionen eingefangen in einer Epischen Black Metal Ballade. Waren live auch absolut der Hammer 🖤 

Cheers,

Martin