Nord Nord Sec #40

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Es weihnachtet immer mehr. Die letzten Vorbereitungen, Bestellungen, Geschenk-Verschickungen sind in Arbeit. Der richtige Christmas-Spirit macht sich zwar noch nicht bemerkbar, aber das wird schon.

Apropos Geschenke - kennt ihr jemanden, der sich für den Newsletter interessieren könnte? Leitet ihn weiter. Damit würdet Ihr mir auf jeden Fall eine Freude machen 🎁 

Artikel

Exploits, Hacks und Schwachstellen

⚡️ heise Security | BadRAM: Historischer Seitenkanal hebelt Confidential Computing in der Cloud aus Zu Heartbleed, Meltdown, Spectre und Co. gesellt sich jetzt noch BadRAM - die neueste der historischen Schwachstellen, die allerdings auch Hardware-Zugriff voraussetzt.

BadRAM manipuliert die SPD-EEPROM-Daten von RAM-Modulen, um dem System nicht vorhandene Speicherbereiche vorzugaukeln, was für Replay-Attacken genutzt werden kann. Der Angriff betrifft insbesondere AMD Secure Encrypted Virtualization (SEV-SNP) sowie Intels Software Guard Extensions (SGX). Ein europäisches Expertenteam demonstriert mit diesem vergleichsweise einfachen Hack, wie komplexe RAM-Verschlüsselungsfunktionen moderner Server unterlaufen werden können. Grundproblem ist hier, dass das UEFI-BIOS vieler Rechner den Angaben im SPD-EEPROM blind vertraut. Ohne digitale Signaturen, bleibt dem Server auch gar nichts anderes übrig. Mal sehen, wann wir hier eine Verbesserung in der Hardware-Sicherheit sehen.

⚡️CNCF | Catalog of Supply Chain Compromises Die CNCF pflegt einen Katalog der Supply Chain Kompromittierung - bis zurück ins Jahr 1975. Ein Interessanter Ritt durch die letzten Jahre.

Beim betrachten der letzten Jahre sind mir direkt zwei Sachen aufgefallen: 1. Holy Shit, Log4Shell war 2021. Das ist ja schon ewig her. 2. Das Jahr nach Log4Shell, 2022, war einiges los in den Supply Chains der Software Welt.

Ich bin jedenfalls gespannt, wie die nächsten Jahre aussehen werden und wann der nächste Doomsday-Hack kommt.

⚡️ Black Hills Information Security | The Top Ten List of Why You Got Popped This Year (2023/2024) Die Blog Posts von BHIS sind immer wieder schön zu lesen - angereichert mit diversen Memes und angenehm un-ernst.

Dieses mal beschäftigen Sie sich mit den ihrer Beobachtung nach häufigsten Schwachstellen und Ursachen für Kompromittierungen, die Sie bei ihrere Arbeit als Penetrationstester beobachten konnten.

Ihr solltet unbedingt in den Artikel reinschauen - aber die Top 3 bekommt ihr direkt hier:

• Optics: Wie gut und schnell stellt ihr fest, ob ein Angreifer im Netz sitzt?

• ADCS: Wenn es funktioniert, ist der Weg von Foothold zu root in fünf Minuten zu machen - dank Active Directory Certificate Services. Härten!

• Credentials: Alle Jahre wieder kommt der Credential Re-Use. Infostealers, Leaks, Passwort-Listen

Konzepte, Reports und Ideen

🤖 Julia Evans | “Rules” that terminal programs follow Julia Evans beschreibt in ihrem Artikel die grundlegenden Regeln, die terminalbasierte Applikationen befolgen (sollten). Dabei betont Sie, dass diese Regeln nur durch langjährige Erfahrung und Beobachtung definiert worden. Zwar gibt es den POSIX Standard, aber dieser bezieht sich hauptsächlich darauf, wie Shell, terminal emulator und das Betriebssystem interagieren.

Zu den definierten Regeln gehören unter anderem, dass nicht-interaktive Programme durch Ctrl-C beendet werden sollten und TUIs bei Drücken von 'q' geschlossen werden (top, less). Trotz fehlender offizieller Standards zeigen viele Terminalanwendungen ein konsistentes Verhalten, das sich an den 16 standardisierten Farben orientiert und in der Nutzung von readline-Keybindings wiederfindet (ctrl + a spring zum Anfang der Zeile, ctrl + w löscht das letzte Wort, etc).

Kanntet ihr diese “Regeln” alle? Oder habt ihr Ergänzungen? Schreibt Sie mir! 📩 

🐲 Trevorlasn | Tattoos Won’t Break Your Tech Career Schön das es nicht nur mir so geht - Auch wenn ich (noch) kein Tattoo am Hals habe. Aber wenn es jemanden so sehr stört, dass ich dadurch in der Firma nicht willkommen wäre, geht es mir genau wie Trevor: Your loss - Wenn Ihr so denkt, dann wäre das sowieso keine Umgebung für mich.

🏢 Daniel Kelley | The Reality of Full-Time Bug Bounty Hunting In diesem Artikel wirft Daniel Kelley einen eher kritischen Blick auf das Thema “Vollzeit Bounty Hunter”. Vollzeit-Bug-Bounty-Hunting erfordert außergewöhnliche Energie und Kontinuität - und dann schaffen es nur wenige erfolgreich zu sein. Wer das schafft, hat eigenen Methoden entwickelt und verfügt über ein umfassendes Verständnis der Cybersicherheit. Und selbst wenn man damit (un)regelmässig erfolg hat, ist der nächste Zahltag nie garantiert.

💩 TL;DR SEC | What sucks in security? Research findings from 50+ security leaders Auch wenn man nicht immer nur die schlechten Seiten sehen sollte - manchmal lohnt es sich auch, einen guten Blick darauf zu werfen, was so richtig schief geht. Clint Gibler und Maya Kaczorowski haben 57 Security Leaer interviewed, und ihre Erkenntnisse geteilt.

Welche Herausforderungen müssen bewältigt werden, wer ist zufrieden mit den eingesetzten bzw. angebotenen Lösungen und wo gibt es die grösste Konsolidierung im Markt.

Egal ob Vulnerability Scanners, Access Management, SIEMs oder internes Tooling - es gibt überall Potenzial zur Verbesserung 🚀 

✍️ NahamSec | How to Write Great Bug Bounty & Pentest Report (Proof of Concepts) Eine Sache die in eigentlich jedem Job hilfreich ist, ist das präzise und kompakte Übermitteln von Informationen. Auf die Basics reduziert, ist so ein Pentest oder Bug Bounty Report genau das: Ein möglichst kompaktes Dokument mit allen Informationen die zum nachstellen, beheben und validieren von Software-Bugs nötig ist.

Ben gibt in diesem Video eine schöne Übersicht - und einen Interessanten Tool-Tip mit Plextrac - über die wichtigsten Aspekte dabei.

Für die komprimierte Variante habe Ich euch hier wieder eine 🧠 Zusammenfassung hingepackt.

Tech

🔒️ boblord | Securing your Communications Ihr habt es vermutlich alle gelesen die letzen Wochen über: Die APT Gruppe Salt Typhoon hat anscheinend alle Telefon-Anbieter die Sie irgendwie erreichen konnten infiltriert. Damit kann man nun endgültig davon ausgehen, dass das Netz durch das die Nachrichten gehen grundsätzlich als feindlich angesehen werden muss. Okay, also zumindest werden jetzt auch von anderen Akteuren als der NSA die Nachrichten und Telefonate der Welt mitgeschnitten ¯\ (ツ) /¯

Was bedeutet das jetzt? Nichts neues eigentlich: Encrypt Everything; Trust No one. Für ein bisschen mehr Praxis in den Tipps, habe Ich euch den Artikel von Bob Lord verlinkt - der praktische Empfehlungen für die digitale Kommunikation mitgibt.

tl;dr ohne Anspruch auf Vollständigkeit:

• SMS MFA entfernen. Benutzt TOTP Tokens oder Passkeys

• Haltet die Software aktuell

• Nutzt Passwort Manager

• Kommunikation auf verschlüsselte Kanäle umziehen: Signal und iMessage yay - Telegram, Wechat nay

• DNS lookups absichern - iCloud Private Relay, Cloudflare 1.1.1.1 oder Quad9 9.9.9.9 via DoH

🐳 ForrestKnight | Everything You NEED to Know about Docker Kurz, knackig und on-point. Falls Ihr euch den aktuellen stand was man wissen muss zu docker abholen wollt, seid ihr mit dem Video von ForrestKnight super bedient und informiert.

Wenn Ihr es noch eiliger habt, könnt ihr euch auch hier direkt die 🧠Zusammenfassung schnappen.

Tools und Co.

👻 Mitchell Hashimoto | Ghostty 1.0 is Coming Nach fast zwei Jahren Entwicklung udn privaten Beta-Tests ist es so weit. Ghostty 1.0 wird released und auf die öffentlichkeit losgelassen. Bin schon gespannt, wie es sich im Vergleich zu kitty schlägt.

🧨 dweinstein/awesome-frida Ich liebe die awesome-lists auf Github. Immer mal wieder fällt mir da eine vor die Füsse und meistens finde ich interessante Sachen darin. Frida ist da generell so eine Sache. Als Ich vor einiger Zeit mich intensiver mit iOS Security beschäftigt habe, hab ich damit mal intensiver gearbeitet. Echt ein tolles Tool - wenn ihr mal in Android oder iOS Apps reinschauen wollt, packt euch das in die Werkzeugkiste!

Das Zitat der Woche stammt dieses mal von Edward Snowden. Nachdem jetzt sogar die Amerikanischen Behörden empfehlen, verschlüsselt zu kommunizieren, können wir uns ja sicher sein, dass immer jemand mit liest, wenn wir das nicht tun.

Klingt fast danach, als sollten wir versuchen, daran etwas zu ändern. Wir müssen unsere Privatsphäre wieder mehr Schützen. Weniger Whatsapp, mehr Signal. Verschlüsselte Voice Calls statt schnödes Telefonieren.

Ist das schon ein Vorsatz für’s neue Jahr, oder starten wir direkt?!

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️