Nord Nord Sec #43

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Diese Woche war ein wilder Ritt - ihr habt es sicher alle mitbekommen. Bis auf eine klitzekleine Kleinigkeit habe ich versucht, den politischen Wahnsinn hier raus zu lassen.

Artikel

Exploits, Hacks und Schwachstellen

⚡️ oligo security | CVE-2024-50050: Critical Vulnerability in meta-llama/llama-stack Sicherheitsforschende von Oligo Security haben eine von ihnen gefundene Schwachstelle im beliebten llama-Stack von Meta veröffentlicht.

Dabei handelt es sich um eine Remote Code Execution Schwachstelle, die durch unsicheres deserialisieren verursacht wird. Die Schwachstelle wurde von Snyk mit 9.3 im CVSS Score bewertet.

⚡️Github | Attacks on Maven Proxy Repositories Michael Stepankin beleuchtet in seinem Artikel die Sicherheitsrisiken von Maven Proxy-Repositories, die durch kritische Schwachstellen in weit verbreiteten Repository-Managern wie Nexus und JFrog Artifactory entstehen. Er beschreibt, wie speziell gestaltete Artefakte zur Ausnutzung dieser Schwachstellen verwendet werden können, was potenziell zu Remote Code Execution und anderen Angriffen führt.

In seinen Experimenten hat er verschiedenste Schwachstellen aufgedeckt und erfolgreich ausgenutzt - und betont, dass diese Art von Angriffen nicht exklusiv für Maven Repository Manger möglich sind. Augen auf - hier gibt es potenziell die ein oder andere Bug Bounty abzustauben! 💰️ 

Konzepte, Reports und Ideen

🧠 Engineering @ Meta | Leveraging AI for efficient incident response Auch bei Meta ist man natürlich Interessiert daran, KI zur augmentierung von Prozessen zu nutzen, um die handelnden Personen zu unterstützen. Im Zuge dieser Bemühungen stellen Diana Hsu, Michael Neu, Mohamed Farrag und Rahul Kindi in diesem Artikel das neue KI-basierte Root Cause Analysis System vor. Dieses hat in internen Test immerhin eine 42% Genauigkeit geliefert.

Im Artikel gehen die Autor*innen darauf ein, wie ihr Algorithmus aussieht und wie das zugrunde liegende Llama Model fine-tuned wurde.

Ich bin gespannt, wann wir noch grössere Genauigkeiten bei solchen Systemen sehen. Wobei Ich auch schon von den angegebenen 42% beeindruckt bin - immerhin dürften in dem Repository tausende von Code Changes jeden Tag einfliessen.

🗃️ William Woodruff | Be aware of the Makefile effect Der Makefile-Effekt beschreibt das Phänomen, dass man komplexe oder ungewohnte Werkzeuge oft nicht “richtig” benutzt und lernt. Stattdessen wird durch Kopieren und Anpassen vorheriger Beispiele versucht, diesen Schritt zu umehen. Das kann zu einer geringeren Sicherheit, einem eingeschränkten Verständnis und unzureichender Diagnosefähgikeit führen.

Natürlich trifft das nicht nur bei Makefiles zu, sondern tritt auch in anderen Bereichen wie Build-Systemen und CI/CD-Konfigurationen auf. Github Actions, lookin’ at you.

🕵️Nahamsec | Breaking Free From Duplicate Submissions: A Strategic Approach to Bug Bounty Success Ben teilt mal wieder eines seiner Learnings aus vielen Jahren erfolgreichen Bug Bounty Huntings: Erfolg im Bug Bounty Hunting basiert auf tiefem technischem Wissen in speziellen Bereichen und nicht auf der Anzahl der eingesetzten Tools. Die erfolgreichsten Hacker wählen Programme aus, bei denen ihre spezifische Expertise wertvoll ist, und verstehen die Produkte, die sie testen. Anstatt sich auf schnelle Erfolge zu konzentrieren, bauen sie umfassendes Wissen auf, das sie von anderen abhebt.

Um es mit den Worten von Cal Newport zu sagen: Sie werden so good they can’t ignore you! Also dann - es ist Zeit sich tiefer in die technischen Details einzugraben. Und nicht “mal schnell” noch ein neues Programm zu scannen. Sucht euch eines aus, das ihr ohnehin regelmässig nutzt und wo ihr euch dementsprechend auskennt. Grabt euch ein, erarbeitet ein Threat Model, lest Reports und werdet Experte 💪 

Tech, Gesellschaft, Kultur

⌨️ Keyboard Builders’ Digest | Hacktrick Spätestens seitdem ich letztes Jahr The Invincible gespielt habe (Empfehlung für SciFi Fans; basiert auf dem gleichnamingen Roman von Stanislaw Lem), hab ich ein Faible für Retrofuturistik entwickelt. Richtig cooles Projekt 👍️ 

🍊 BBC | Trump pardons Silk Road creator Ross Ulbricht Der frisch vereidigte Präsident der Vereinigten Staaten von Amerika hat als eine seiner ersten Amtshandlungen eine Menge Begnadigungen verteilt. Nicht nur für die, die vor knapp vier Jahren das Kapitol stürmten, sondern auch für Ross Ulbricht - den Gründer der Silk Road.

Ulbricht, dort bekannt als Dread Pirate Roberts, hat die Seite Jahrelang betrieben und am Handel verdient. Er war 2015 verurteilt worden.

🥲 VulnU | Profitable Misery: How Silicon Valley turned isolation into a business model, and what we can do about it Matt Johansen hat ein paar Statisitiken zur “Loneliness Epidemic” gesammelt. Demnach sind 58% der befragten Erwachsenen einsam. Aber hey - wir haben ja jetzt AI Companions. Und Sportwetten. Und Social Media. Ein paar Likes sind doch fast so gut wie ein Gespräch mit Freunden. Notfalls bestellt man sich noch ein bisschen was im nächsten Sale online, lässt sich comfort food liefern und naja, Pornos gibt’s ja auch noch. 🪦 

Dahinter steht jedoch noch mehr - wenn man einen Schritt weiter geht, ist mit diesen Services auch ein gehöriger Verlust an Privatsphäre verbunden. Und bis diese ganzen gesammelten Daten abhanden kommen, ist letztendlich nur eine Frage der Zeit.

Absolut lesenswerter Artikel. Verbringt weniger Zeit vor dem Bildschirm und in irgendwelchen Apps, geht raus und trefft jemanden. In Fleisch und Blut. Macht was, lacht gemeinsam, redet. Und konsumiert bewusster.

Passt auf euch auf ✊ 

Tools und Co.

🌎️ MITRE Atlas ATLAS ist die AI-Erweiterung zum bekannten MITRE ATT&CK Framework. In verschiedenen Kategorien wie Recon, ML Model Access, Execution, Persistence, etc werden Angriffe auf KI-System mit ATT&CK-TTPs zusammen gebracht.

🧠 Invicti-Security/brainstorm Smarteres Web-Fuzzing mit ffuf und lokalem LLM via ollama. brainstorm kombiniert normale Fuzzing-Techniken mit KI-basierter Pfadgeneration um versteckte Endpunkte, Ordner und Dateien zu entdecken.

👀 Seth Larson | Visualize SBOMs with cli Ihr kennt das, oder? Ihr wollt euch kurz einen Überblick über etwas verschaffen - und dann sind die Daten einfach nur Text. Also die typische SBOM. Seth Larson hat für das Problem eine Lösung zur Hand - und zwar das sbom2dot Projekt.

Und wenn ihr dann sbom2dot installiert habt, könnt ihr das SBOM-File mit sbom2dot -i bom.cdx.json | dot -Tsvg -o bom.cdx.svg in ein SVG überführen und euch das ansehen. 👍️ 

Das Zitat der Woche ist von Ben Sadeghipour, oder wie ihn die meisten kennen: Nahamsec. In seinem Blog Post Breaking Free from Duplicate Submissions: A Strategic Approach to Bug Bounty Success hat er diesen Satz benutzt, und das passt nicht nur für Bug Bounty. Das passt quasi auf alles. Egal ob ihr Software baut, Sicherheitslücken sucht, handwerklich arbeitet - es sollte nicht (nur) um Quick Wins und das schnelle Geld gehen, sondern darum, wie ihr so gut in eurem Bereich werdet, dass ihr allein dadurch ein Alleinstellungsmerkmal habt.

In diesem Sinne entlasse Ich euch jetzt - lasst es euch gut gehen, verbringt Zeit mit euren liebsten und überlegt, wie ihr in eurem Fachgebiet besser werden könnt.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️