Nord Nord Sec #36

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Auch diese Woche haben mich einige Interessante Artikel erreicht. Eine groß angelegte Kampagne, die Cloud-Credentials abgreift, wie Apples Verbesserungen einige Polizisten vor neue Herausforderungen stellt und wo Google sich die Aufmerksamkeit der Bug Bounty Community wünscht.

Aber auch abseits der Artikel sind die Videos diesmal ein echtes Highlight. Ein DEFCON Talk von einem Darknet Händler und ein Interview mit Louis Nyffenegger von Pentesterlabs zum Web-Pentesting.

Aber was rede Ich - Viel Spass beim lesen und Video kucken.

Artikel

⚡️Sysdig | EMERALDWHALE: 15k Cloud Credentials Stolen in Operation Targeting Exposed Git Config Files Die Researcher von Sysdig haben eine große Kampagne aufgedeckt, die auf falsch konfigurierte Webserer und Laravel-Environment Files abzielte. Dabei wurden grosse Mengen an Credentials aus so einsehbaren git Repositories extrahiert. Die Forscher sprechen dabei von 15.000 Cloud-Anmeldeinformationen sowie Daten aus mehr als 10.000 privaten Repositories.

Die gestohlenen Daten wurden wohl bisher hauptsächlich für Phishing und Spam genutzt…

📱404Media | Apple Quietly Introduced Reboot Code Which Is Locking Out Cops Apple hat in iOS 18.1 einen Code eingeführt, der iPhones nach einer bestimmten Inaktivitätszeit neu startet und dadurch die Geräte in einen sichereren Zustand versetzt. Dies erschwert es Strafverfolgungsbehörden, auf gesperrte Geräte zuzugreifen, da das Gerät nach vier Tagen ohne Interaktion in einen Zustand zurückkehrt, der schwerer zu knacken ist. Experten betonen, dass diese Funktion vor allem Diebstahl und missbräuchlichem Zugriff entgegenwirkt.

🤑 Bughunter@Google | Think Outside the Perimeter: Bug Hunting in Google Cloud’s VPC Service Controls Die VPC Service Controls (VPC-SC) sind ein GCP Feature, das den Abfluss von Daten verhindern soll - Und genau da soll aktuell der Blick der Bug Bounty Community gelenkt werden. Vincent Winstead, Technical Program Manager bei Google, hat extra dazu einen Blogpost verfasst und direkt noch einmal auf das Vulnerability Reward Program hingewiesen. VPC-SC ist ein Tier 1 Produkt: Wir reden also Potenziell über Bounties in Höhe von 50.000-101.000 US-Dollar.

⚡️ Wired | Zero-Click Flaw Exposes Potentially Millions of Popular Storage Devices to Attack Auf der diesjährigen PWN2OWN wurde ein Bug in Synologies Disk Station Serie genutzt, mit dem die Geräte komplett übernommen werden können.

Patches dafür wurden bereits von Synology bereit gestellt - checkt also ruhig mal, ob es für eure Diskstation ein Update gibt und installiert das.

Video

🏔️ Ambient Outpost | Winter Mission Outpost 2 In letzter Zeit erwische Ich mich immer öfter dabei, solche Ambient Soundscapes zu geniessen. Find’s einfach super angenehm, das im Hintergrund zu hören, wenn ich am arbeiten oder lesen bin.

🏴‍☠️ DEFCONConference | Sam Bent - Tor - Darknet Opsec By a Veteran Darknet Vendor Interessanter und Unterhaltsamer Talk von Sam Bent, einem ehemaligen Darknet-Händler, der sein Geld mit Online-Drogen-Verkauf gemacht hat. Zumindest bis er dann erwischt hat. Seine Strafe hat er abgesessen und seine Erfahrungen im Bezug auf OpSec, also Operational Security, auf der DEFCON 30 geteilt.

Eine kurze KI-Kollektion interessanter Fakten, Ideen und Zitate aus dem Talk findet ihr 🧠 hier.

🕸️ Bug Bounty Reports Explained | How not to get stuck when learning web security? Louis Nyffenegger from PentesterLab Der Newsletter und Youtube CHannel BBRE ist einer meiner Lieblings-Kanäle um über neue und kreative Hacks und Hacker*innen auf dem laufenden zu bleiben.

In diesem ausführlichem Interview gibt Louis Nyffenegger von PentesterLab Einblicke und Anregungen in seine Karriere, wie man am Ball bleiben kann und spannende Findings generieren kann.

Eine Übersicht über die Punkte findet ihr 🧠 hier.

Tools und Co.

🖋️ twseptian/oneliner-bugbounty Eine kleine Sammlung nützlicher BugBounty/Pentesting-Oneliner. Abspeichern als Referenz und bei Gelegenheit testen 👍️ 

⌨️ darrenburns/posting Ein HTTP client - für’s Terminal. Ähnlich wie Postman, kann man via posting eine ganze Menge verschiedene HTTP Requests speichern, editieren und wiederholen. Klasse für API-Tests

Das Zitat der Woche stammt dieses mal aus meinem aktuellen Krimi-Binge: Der Erlöser von Jo Nesbø - dem sechsten Roman der Harry Hole Reihe.

Da kann man(n) ruhig einmal drüber nachdenken. Btw: Wenn ihr auf Krimis steht, solltet ihr unbedingt mal in die Jo Nesbø Romane reinlesen. Lohnt sich. Bin jetzt immerhin schon im sechsten Band angekommen. Hab also zum Glück noch eine Weile etwas zum lesen.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️