Nord Nord Sec #29

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Die Woche ist der Newsletter gefühlt von selbst gewachsen. Deshalb landet diese Ausgabe jetzt auch schon früher als von euch und mir erwartet in euren Postfächern.

Artikel

🥇 Phrack Magazine #71 Das legendäre Phrack Zine ist mit einer neuen Ausgabe am Start. Nach einer dreijährigen Pause, hätte Ich damit ehrlich gesagt nicht mehr wirklich gerechnet.Ich habe ein paar Artikel quergelesen - werde mir dafür aber ein bisschen mehr Zeit für nehmen. Der Vibe stimmt auf jeden Fall nach wie vor 👍️ 

🐒 Monke’s Guide to Bug Bounty Methodology Monkes Leitfaden zu seiner Bug-Bounty-Methodik bietet neuen Hacker*innen wertvolle Einblicke in die Herangehensweise an Bug-Bounty-Programme. Die Bedeutung der richtigen Denkweise, Flexibilität, Zusammenarbeit sowie die Notwendigkeit von Weiterbildung und Spezialisierung sind ihm dabei wichtig. Um effektiv Schwachstellen zu finden, sind Durchhaltevermögen, Geduld und eine strategische Vorgehensweise entscheidend.

Werft auch einen Blick auf seine Empfehlungen am Ende - oder direkt in seinen Newsletter. Worth a read!

🪟 Exploiting the Windows Kernel via Malicious IPv6 Packets (CVE-2024-38063) Marcus Hutchins hat einen interessanten Deep Dive in den grösstenteils undokumentierten tcpip.sys Treiber veröffentlicht. Trotz einer einzigen Codeänderung im Treiber ist das Reverse Engineering der Schwachstelle komplex, da der Angriffspunkt sich nicht direkt erschliesst.

Absolute Empfehlung für alle, die sich mit Reverse Engineering beschäftigen, oder sich damit beschäftigen wollen.

🧑‍🏭 I’ve built my first successful side project, and i hate it Sebastian Witowski beschreibt die Herausforderungen und Enttäuschungen, die mit seinem ersten erfolgreichen Side Project verbunden sind. Trotz anfänglicher Erfolge und Einnahmen von über 15.000 USD, führt die ständige Wartung und der Umgang mit Kundenanfragen zu Erschöpfung und Frust.

Er betont dabei die Wichtigkeit, Grenzen zu setzen! Nur so kann Burnout vermieden werden. Wenn Ihr noch einen wirklich praktischen Tip haben wollt, behaltet im Hinterkopf, das ihr nicht direkt in andere Länder verkaufen wollt. Sucht euch einen Dienstleister wie Paddle oder Gumtree, die den Steuer-Kram etc erledigen, und dafür ihren Cut nehmen.

🖨️ Don’t force yourself to become a Bug Bounty Hunter Zur Abwechslung mal etwas weniger technisches von Sam Curry: Ein Appell, nicht stur “Bug Bounty Hunter” werden zu wollen.

Erfolgreiche Bug-Bounty-Hunter strahlen eine Leidenschaft für ihre Arbeit aus - die kann man nicht faken. Sam warnt vor dem Drang, sich in Bereiche zu zwingen, die einem nicht liegen, und betont, dass der Versuch, durch Willenskraft Veränderungen herbeizuführen, oft in Selbstzweifeln und Erschöpfung endet.

Es ist entscheidend, die eigenen Interessen und Neigungen zu respektieren, anstatt sich auf ein Karrierefeld zu konzentrieren, das keinen Spaß macht. Gerade, wenn es um Bug Bounty Hunting geht - wo es sein kann, das man lange Zeit nichts findet, oder der Bug bereits reported wurde und ihr leer ausgeht.

Video

🍃 Ich habe meine Bildschirmzeit durch Zeit in der Natur ersetzt Ich fühl’s Joseph - Ich fühls… Bei all der Zeit und der intensiven Beschäftigung mit Computer-Kram ist ein Ausgleich nicht zu unterschätzen. Rausgehen und Gras anfassen - Lohnt sich.

🌴 My Trip to DEF CON & Blackhat LiveOverflow aka Fabian nimmt uns mit auf seiner Reise zum Hacker Summer Camp in Vegas. Lasst es auf euch wirken und geniesst es einfach. Ich muss gestehen, das macht schon arg viel Lust, sich auch mal auf den Weg nach Vegas zu machen… Maybe some day. Und bei der Gelegenheit: Schaut mal bei hextree.io vorbei, an der er zusammen mit Stacksmashing aka Thomas arbeitet, weshalb die Youtube Kanäle der beiden aktuell mehr oder weniger pausiert sind. Ich habe bereits Zugang und mich umgesehen: Der Android Content ist top notch. 👍️ 

Tools und Co.

🧠 paul-gauthier/aider AI Pair Programming im Terminal - die KI ist überall. Im Web, im Smartphone, auf dem Desktop und in der Shell. Ist das jetzt der Ghost in the Shell? 🤡 

🦀 caido/workshop-defcon Slides vom Caido Workshop auf der diesjährigen DEFCON. Let’s go and build stuff! Hier gibt es eine Einführung in die Plugin-Entwickler direkt von der Quelle. 👍️ 

⚡️ynwarcs/CVE-2024-38063 Der PoC aus Marcus’ Write-Up seiner Reverse Engineering Versuche des Windows RCE Bugs im TCP/IPv6 Stack.

Das Zitat der Woche wird geliefert von ifa mit meinem aktuellen Ohrwurm Faith. Hört rein und lasst euch das Trommelfell massieren \m/

Versucht zwischendurch mal rauszugehen - wie Joseph - und achtet auf ausreichend Sonnenschutz.

Wir lesen uns dann auch bald wieder.

Falls ihr noch keine Subscriber seid - hier klicken, anmelden und neue Ausgaben direkt in die 📫️ Inbox bekommen!

Cheers,
Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei!