Nord Nord Sec #34

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Diese Ausgabe hat sich quasi von selbst geschrieben. Ich bin über diverse Artikel und Talks gestolpert - immerhin sind endlich die Recordings der DEFCON auf Youtube gelandet 🤲 

Also - nich lang schnacken und leinen los. Viel Spass 🌊 

Artikel

⛈️ Datadog | State of Cloud Security Datadog hat eine aktualisierte Version ihres State of Cloud Security Reports herausgebracht. Dabei gibt es verschiedene Erkenntnisse.

Eine erhebliche Anzahl von Cloud-Workloads hat übermäßige Berechtigungen, was Sicherheitsrisiken erhöht; in AWS haben 23 Prozent der EC2-Instanzen und 20 Prozent der Google Cloud VMs Administrator- oder sensible Berechtigungen. Zudem nutzen viele Organisationen keine Multi-Faktor-Authentifizierung, was die Gefahr von Credential-Leaks verstärkt. Auch öffentlich Zugreifbare Buckets sind nach wie vor ein Thema - und das obwohl z.B. AWS die mittlerweile standardmässig auf non-public setzt bei Erstellung. Und auch auf der Seite der exponierten Ports, gibt es keine großen Überraschungen. Neben 80 und 443, also HTTP(S) folgen Remote-Access Tools wie SSH und RDP. Aber auch verschiedene Datenbanken sind im Netz exponiert. Die Top Platzierungen belegen hier MongoDB, Redis, MS SQL und Elasticsearch.

🧠 Wunderwuzzi | ZomBAis: From Prompt Injection to Command & Control Claude Computer Use kann über Prompt Injection dazu gebracht werden, Malware herunterzuladen und auszuführen. Nachdem die binary im Download-Ordner gefunden wurde, modifiziert Claude die Berechtigungen und startet die Ausführung. Ein gezielter Prompt Injection Payload ermöglicht es, Claude dazu zu bringen, bösartige Webseiten zu besuchen und die schädliche Software zu integrieren.

Skynet wann? Klar, Claude Computer Use ist keine besonders ausgereifte Technologie - aber wir alle wissen, dass das früher oder später auch in kritischen Infrastrukturen eingesetzt werden wird. Fachkräftemangel und so…

🎂 CVE.org | CVE Program Celebrates 25 Years of Impact Happy Birthday, CVE! Seit 25 Jahren begleitet das Common Vulnerabilites and Exposures Programm die IT Sicherheit. Nach wie vor wird darum geworben, dass sich Cyber-Experten aktiv an der Weiterentwicklung zu beteiligen.

Mit über 400 CVE Numbering Authorities (CNAs) aus 40 Ländern wurden mehr als 240.000 CVE Records erstellt, die in zahlreichen Produkten und Sicherheitsberatungen integriert sind. Auf die nächsten 25 Jahre! 🎉

📚️ Kelly Shortridge | My Reading List 2023 Ich liebe “Reading Lists” - bisher habe ich noch von jeder mindestens ein bis zwei Bücher auf meinen To Read-Stapel gepackt und meistens habe ich das nicht bereut. Hier gibt uns Kelly Shortridge einen Einblick, was Sie 2023 gelesen hat.

Notiz an mich: Liste gelesener Bücher 2024 anlegen.

Video

🎙️ Jesse Duffield interviews DHH Auch wenn Ich DHH generell recht skeptisch gegenüberstehe, sind einige seiner Gedanken und Ansätze durchaus interessant. Auch in diesem Interview gibt es einige Punkte, denen Ich grundsätzlich zustimmen würde. Jesse Duffield, der Entwickler von lazygit, taucht dabei tief ein. Ein großer Fokus liegt dabei auf Linux und der Softwareentwicklung unter Linux, da DHH letztes Jahr (mit großem Getöse) Apple den Rücken gekehrt hat, und auf Linux umgezogen ist.

Wer entscheiden möchte, ob die Zeit ein lohnender Invest ist, hier ist meine kurze 🧠 Zusammenfassung.

☁️ Is this the best recon framework? Nahamsec stellt Ax vor - Den Nachfolger vom Axiom-Projekt. Axiom ist eines meiner absoluten Lieblings-Tools wenn es um Pentests geht. Kein manuelles Ansible/Terraform/Bash-Scripting wenn man eine neue Instanz braucht, sondern einfach anhand eines vorher gebauten Images eine Instanz deployen.

Besonders die Möglichkeit, grössere Scans über quasi beliebig viele Instanzen zu verteilen ist Gold wert. So gelingen Scans, die sonst Wochen brauchen in Stunden - oder weniger.

Und das beste: Ganz im Sinne der Cloud-Computing Philosphie, kann man je nach Bedarf auch alles abschalten und es entstehen keine laufenden Kosten.

🧠 DEFCONConference | Social Engineering Like you’re Picard - Jayson E Street Wenn einer der bekanntesten und berüchtigsten Social Engineers mit KI beschäftigt, hat das Potenzial für einen Banger-Talk! Ich war jedenfalls begeistert, deswegen will ich an dieser Stelle auch gar nicht vorgreifen. Wenn Ihr skeptisch seid, könnt ihr 🧠hier nachsehen, ob euch das anspricht 😉 

Tools und Co.

📜 happycakefriends/certainly Certainly ist ein Redteam-Tool zur Erfassung großer Mengen von Datenverkehr in verschiedenen Netzwerkprotokollen. Die Besonderheit dabei ist, dass das Tool darauf ausgelegt is, in Bitflip- und Typosquat-Szenarien.

Das Tool wurde im Rahmen der Forschung zu diesen Themen entwickelt und auf der BlackHat USA 2024 vorgestellt.

Unterstützte Protokolle sind aktuell: IMAP, DNS, HTTPS und SMTP.

🙃 bored-engineer/bf-lookup Ihr wollt jetzt auf die Suche gehen, welche potenziellen Bitflip-Domains für euch interessant sind? Hier ist euer Tool! bf-lookup liefert euch gültige Bitflips des angegebenen Namens, fragt dann den entsprechenden whois-Server ab und gibt die gefundenen Nameserver aus der Liste aus. Sollten also keine Nameserver bei der jeweiligen Domain dabei sein - greift zu! Die Domain ist noch frei. 🤘 

Das Zitat der Woche stammt aus einem der verlinkten Videos - Jayson E Streets Talk auf der DEFCON 32.

Das kennen vermutlich alle, die regelmässig mit IT (Sicherheit) zu tun haben. Die komplizierten, fortgeschrittenen und nicht-trivialen Themen sind irgendwie immer interessanter, als das altbekannte, was man auch einfach mal beheben könnte…

Haltet die Ohren Steif, installiert brav eure Updates und geniesst den goldenen Herbst, bevor alle Blätter von den Bäumen

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️