Nord Nord Sec #44

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Da war ja wieder einiges los seit der letzten Ausgabe. Der grosse Subaru-Hack, Apple 0-day, nebenbei wurde SonicWall übel mitgespielt (aber das müsst ihr woanders lesen). Ich hab für euch eine Auswahl an Reports zu Threat Detection bei Google, AI Security bei Google, die Analyse des Nation-State APTs Salt Typhoon mitgebracht - garniert mit einem Inhaftierten Entwickler, RSS for the win und die Obsidian-Tops aus 2024.

Artikel

Exploits, Hacks und Schwachstellen

⚡️Sam Curry | Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel Shubs und Sam haben Ende November 2024 eine Schwachstelle in Subarus Starlink System (nicht verwandt oder verschwägert mit Musks Sateliten-Internet) entdeckt.

Diese Schwachstelle erlaubte es Angreifenden, die lediglich den Nachnamen, ZIP Code, Email Adresse, Telefonnummer oder das Nummernschild kennen, quasi Vollzugriff auf die Fahrzeuge. Nachdem die Schwachstelle reported wurde, wurde Sie innerhalb von 24 Stunden behoben und laut Subaru nie ausgenutzt.

Der Writeup von Sam ist mal wieder top notch - reinlesen lohnt sich. 👍️ 

⚡️Malwarebytes | Apple Users: Update your devices now to patch zero-day vulnerablity Es gab eine Use-After-Free Zero Day in Apple’s Core Media Framework. Das ausnutzen dieser Lücke erlaubt es, Angreifer*innen ihre Privilegien zu erhöhen.

Überprüft ob ihr auf dem aktuellen Stand seit - und wenn nicht, installiert das Update schnellstmöglich.

Konzepte, Reports und Ideen

🔎 Google | How Google Does It: Making threat detection high-quality, scalable, and modern Google verfolgt einen integrativen Ansatz im Security Engineering. Wo es teilweise üblich ist, dass unterschiedliche Teams für die Erstellung und die Triage/Incident Response sind, gilt bei Google hier “you build it - you run it”.

Ebenfalls arbeiten verschiedene Abteilungen zusammen, um eine potenzielle Bedrohung und ihren Impact auch wirklich zu verstehen. Die Gewaltige Menge an Servern, Endgeräten, Code und Netzwerk-Infrastruktur macht es ebenfalls nötig, möglichst viel zu automatisieren.

🌊 Tenable | Salt Typhoon: An Analysis of Vulnerabilites Exploited by this State-Sponsord Actor Bei Tenable hat man sich angesehen, mit welchen Schwachstellen Salt Typhoon, einem APT der der Chineischen Regierung zugeordnet wird, gearbeitet hat.

Falls euch der Name bekannt vorkommt - das sind die, die wohl sämtliche relevanten US Telekommunikationsunternehmen gehackt haben.

Dabei haben sie wohl einige der genutzten Schwachstellen als Zero Days ausgenutzt - also noch bevor diese dem Hersteller bekannt waren. Man muss also davon ausgehen, dass die Gruppe technisch extrem versiert und fähig ist.

🧠 Google | How we estimate the risk from prompt injection attacks on AI systems Interessanter Einblick in das Threat Modelling & Vorgehen der Google Security Engineers bei ihren KI Systemen.

Kern des Threat Models scheint indirekte Prompt Injection zu sein - beispielsweise durch Emails die das Modell dann durchsucht/liest die Exfiltration von vertraulichen Daten zu prompten.

Um hier möglichst viele Szenarien, Varianten und Methoden zu erfassen, wird auch hier auf automatisierung gesetzt. Dabei werden verschiedene Methoden genutzt, wie zum Beispiel Tree of Attacks with Pruning (TAP). Der Erfolg einzelner Varianten fliesst dann als Feedback zurück.

Tech, Gesellschaft, Kultur

⌨️ Keyboard Builders’ Digest | Mantaray Sehr cooles Design für eine kostengünstige ZSA Voyager Alternative. 52 Tasten, low-pro hot-swappable Choc Switches, ein kleines OLED Display - und alles in ein 3D gedrucktes Gehäuse gepackt.

🌪️ Joeyhand.com | I Ditched the Algorithm for RSS - And You Should Too Joey ist mein Spirit Animal. Der Info-Tornado voll mit Rage Bait, Fake News und Uninteressantem Clickbaity Müll ist einfach absolut unattraktiv. Es gibt zwar interessante Accounts und Inhalte, aber die zu finden wurde die letzten Jahre immer schwieriger. Die Lösung dafür? Eines der älteren Protokolle im Internat. RSS. Und nein, das funktioniert nicht nur für Blogs - sondern auch für Youtube, Reddit und Co.

Probiert es einfach mal aus - sucht euch einen RSS Reader, werft die Quellen rein, bei denen ihr mitbekommen wollt, wenn es etwas neues gibt und geniesst es. 😎 

🔒️ Preston Thorpe | How I got here Die Faszinierende Geschichten von Preston Thorpe, einem der ersten remote-worker aus einem Medium Security Prison in Maine. Ja, ihr habt richtig gelesen. Preston ist Häftling, Softwareentwickler, Command Line Junkie und teilt in diesem Post seine Origin Story mit uns.

🧑‍💼 Diego Sarkissian | I Hated Working From Home for 3 Years… then I fixed it in days Als jemand der seit Jahren gerne remote arbeitet, finde Ich solche Videos oder Artikel immer wieder interessant. Diego hat hier in zehn Minuten wirkliche viele gute, praktische Tipps abgeliefert.

Die destillierten Fakten könnt ihr euch auch 🧠 hier abholen - ansonsten kuckt das Video 😎 

Tools und Co.

👑 Obsidian.md | 2024 Gems of the Year Winner Das Obsidian Team hat die Highlights des letzten Jahres gekürt. Die Kategorien New Plugins, New Themes und Templates haben mich dabei am meisten interessiert.

Bestes Neues Plugin ist Advanced Canvas, dass das native Canvas z.B. um die Möglichkeit ergänzt, Präsentationen durchzuführen.

Das Beste Neue Theme ist Cupertino - hat mich nicht vom Hocker, aber Ich erkenne den Appeal. Fancy A Story trifft da eher meine Geschmack.

Bei den Templates hat Bag of Tips TTRPG Template Vault die Krone geholt. Sieht zwar beeindruckend aus - aber so richtig abgeholt hat es mich nicht. Vielleicht auch, weil ich kein Dungeon Master bin und ich aktuell kein Pen and Paper Spiele.

📝 Real-O-Mat Der Real-O-Mat schaut nicht auf die Wahlversprechen, sondern gleicht das tatsächliche Abstimmungsverhalten der Parteien zu aktuellen politischen Themen mit Ihrer persönlichen Position ab. Grundlage sind dabei Anträge und Gesetzentwürfe im Bundestag.

Nächsten Monat ist Bundestagswahl - macht euch Gedanken, beschäfftigt euch mit den Programmen, Parteien und eurer eigenen Einstellung. Und dann geht ihr wählen. 💪 

Das Zitat der Woche ist aus einem längeren, geradezu verzweifelten Rant von Grant Slatton.

Nachdem er verschiedene Beispiele aufzählt, was Menschen alles egal ist, hat sich dieser Wunsch in meinem Kopf festgesetzt. Wie wäre es, in einer Gemeinschaft zu leben wo nicht alles egal ist. Wo für andere mitgedacht wird. In der man solidarisch zueinander ist.

Krasse Utopie. Leider.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️