Nord Nord Sec #37

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Diese Woche gab es wieder einiges an Schwachstellen, Leaks und sonstigen für IT Security relevante Themen zu lesen. Hier meine Auswahl für euch:

Artikel

Exploits, Hacks und Schwachstellen

⚡️ AttackerKB | CVE-2024-47575 Die letzte kritische Fortinet CVE bekommt ihren eigenen Deep Dive bei AttackerKB. Wer sich dafür interessiert, wie man eine Unauthentifizierte Remote Code Execution in einer Security Appliance ausnutzt - und ein bisschen Zeit mitbringt - sollte hier einen Blick drauf werfen.

📂 heise | Tibber Opfer eines Cyberangriffs Der Stromanbieter Tibber, der durch sein dynamisches Preismodell bekannt ist, wurde gehackt. Die abgeflossenen Daten beinhalten die Daten von 50.000 Nutzer*innen aus Deutschland - und nur aus Deutschland.

It’s this Season of the Year - Ich bin gespannt, was alles über die Weihnachtstage an Hacks herauskommt.

⚡️ Watchtowr | Hop-Skip-Fortijump-Fortijump-Higher Unterhaltsamer und sehr Meme-Lastiger Blogpost der Researcher von Watchtowr. Beim Deep Dive in den Code auf den Fortinet-Geräten sind ihnen noch weitere gravierende Sicherheitslücken aufgefallen. Besonders schockierend ist der Teil der Geschichte, in dem klar wird, dass die Entwickler*innen bei Fortinet den falschen Code gepatcht haben… Whelp. Die Software-Industrie hat noch einen langen Weg zu gehen. 🤦 

Konzepte und Ideen

🧠 TL;DR SEC | Systems Thinking for Cybersecurity Professionals Das alte Problem von Passwörtern, Phishing, SMS 2FA hin zu den neuesten Möglichkeiten der Authentifizierung ohne Passwörter, die von der FIDO Alliance gepusht wurden, werden als Beispiel für Systems Thinking aufgezeigt. Dissolution, also das anpassen der Umwelt in der Gestalt, dass das Ursprüngliche Problem nicht mehr auftritt, ist der solution Vorzuziehen.

Laksh Raghavan plädiert dafür, die Ursachen für Probleme zu beheben, statt stets nur Probleme zu beheben. Preach 🙏 Allerdings wird sich hier zeigen, in wieweit die Software Branche bereit ist, sich vom geliebten Paradigma des “Aber das haben wir immer schon so gemacht” zu lösen. Immerhin hat sich mittlerweile (grösstenteils) schon durchgesetzt, das manuelle Deployments eher problematisch sind. ¯\ (ツ) /¯

🛑 Security Is | Security Is A Useless Controls Problem Jonathan Price betont die Notwendigkeit, Sicherheitskontrollen mit einem klaren Verständnis ihres konkreten Nutzens zu implementieren. Sinnlose Security Controls verschwenden Ressourcen und führen zu ineffizienten Abläufen, sowohl für Sicherheits- als auch für andere Teams. Und so wird das IT Security Team letztendlich das Departement of No und Sicherheit wird als Bremsfaktor gesehen.

Es ist entscheidend, dass alle Beteiligten die Gründe für Kontrollen nachvollziehen können, um effektiv zu arbeiten und die begrenzten Ressourcen sinnvoll einzusetzen. Wenn das Security Team hier mitspielt, gibt es einen Hebel die Organisation insgesamt sicherer zu machen!

Tech

🐧 Techspot | Most current AI tech is 90 percent marketing, says Linus Torvalds Linus Torvalds kritisiert die übermäßige Vermarktung aktueller KI-Technologien und betont, dass sie vor allem eine Tech Demo darstellen.

Er erwartet, dass in fünf Jahren generative Algorithmen und maschinelles Lernen deutlich nützlicher werden, wenn die Welt besser versteht, wie KI im Alltag eingesetzt werden kann.

Ehrlich gesagt bin ich mir nicht sicher, ob es wirklich fünf Jahre dauern wird. Aber Ich bin definitiv gespannt, wie sich das ganze in Zukunft entwickeln wird. Bei der Bildgenerierung kann man ja wortwörtlich dabei zusehen, wie es besser wird!

🐍 Trail Of Bits | Attestations: A new generation of signatures on PyPI Trail of Bits hat zusammen mit PyPI - dem Python Package Index - an einem neuen Security Feature gearbeitet: Index-Hosted digital attestation spezifiziert in PEP 740.

Das besondere daran ist, das dadurch “klassische” PGP Signaturen ersetzt werden - und das Trusted Publishing Nutzer*innen nicht aktiv werden müssen. Das trifft bereits jetzt für 19.000 Publisher zu.

Das ganze klingt sehr sehr schlank und smart implementiert - besondern der Teil zu sigstore und OIDC. Hier liegt nämlich die ✨ Magic ✨ der Implementierung, die es ermöglicht, das für die Trusted Publisher zur Verfügung zu stellen, ohne das diese ihre Pakete neu veröffentlichen müssen.

🌊 DigitalOcean | How DigitalOcean Uses Semgrep to Fortify Security Ich finde es ja immer gut, wenn (große) Firmen die Tools einsetzen und gut finden, die mir auch gefallen. Hier beschreibt Jordan Vaughn von DigitalOcean, wie Sie im Unternehmen semgrep nutzen, um identifizierte Sicherheitslücken systematisch aus dem gesamten Code zu entfernen. Als besonders positiv hebt er dabei das Pattern-Matching hervor. Ebenfalls lobt er, wie semgrep die Entwickelnden unterstützt und sich gut im Workflow einfügt. Sehr coole Sache! 👍️ 

🔐 Nodejs-Security | Do not use secrets in environment variables Man kennt es ja - die Secrets sollen raus aus den Konfigurationsdateien und dem Repository. Der erste Impuls führt dann oft zu Umebungsvariablen - aber das Speichern von Secrets in Umgebungsvariablen birgt erhebliche Sicherheitsrisiken. Diese können nämlich sehr leicht ausgelesen werden. Beispiele dafür sind: Prozesslisten, docker history oder ein beherztes curl auf `yourwebapp/../../../../../proc/self/environ`! Sicherere Alternativen sind Beispielsweise die Nutzung von Secret Managment Services, die Secrets außerhalb der Anwendung verwalten, sowie von Secret Providern, die nahtlos in Anwendungen integriert werden können.

Der Hauptgrund für die Verwendung von Umgebungsvariablen liegt in der Einfachheit, nicht in der Sicherheit oder Best Practices. Denkt daran, wenn ihr das nächste mal eine API Key in die Umgebungsvariablen stopfen wollt.

Video

🪵 This is My Alaska | Log Cabin Building TIMELAPSE Ein Mann, sein Werkzeug und viel Holz. Gerade da wir in unseren Breitengrade sehr wenige Holzhäuser haben, fasziniert mich sowas unglaublich. Allerdings würden mich die Materialkosten extrem interessieren - Holz ist ja nicht gerade ein günstiger Baustoff…

💹 ARTEde | Mysterium Satoshi - Bitcoin wie alle begann Der Bitcoin hat nach der US-Präsidentschaftswahl noch einmal ein neues Allzeithoch erreicht. Doch wie begann die Geschichte der Kryptowährung? Warum hat Satoshi Nakamoto sein legendäres Paper geschrieben und veröffentlicht? Und welche Mechanismen stecken hinter dem Wert der Währung?

Wenn ihr eine Inhaltliche Übersich wollt, findet Ihr hier das 🧠 hier.

Tools und Co.

⚰️ GhostSecurity/reaper Yet another Pentest Tool - diesmal mit KI Support. Reaper soll das Tool werden, mit dem man einen Pentest durchführen kann. Mit KI unterstützung und der Fähigkeit, Agents zu verwenden, soll so eine One-Tool-Pentest Lösung entstehen.

Hat im ersten Versuch auch getan was es sollte. Lohnt sich sicherlich, das im Blick zu behalten. Hier kommt ihr direkt zur Doku und könnt selbst starten! 🏇 

🦀 Ragnt/AngryOxide Die Zeiten von einfachem WEP und WPA Cracking sind ja schon seit einigen Jahren vorbei - und seitdem habe ich mich auch nicht mehr wirklich intensiv mit dem Thema Wifi-Cracking beschäftigt. AngryOxide könnte das ändern - das Tool bietet eine Vielzahl von Features und ein angenehm benutzbares TUI.

Ich hoffe, Ich konnte euch etwas mitgeben, was euer Interesse geweckt hat. Ausserdem habe ich ein bisschen mit der Struktur gespielt - über Feedback würde Ich mich freuen! 📧 

Wir lesen uns dann nächste Woche wieder. Macht es gut!

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️