Nord Nord Sec #45

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Diese Woche habe ich zwei Interessante Schwachstellen für euch und eine hand voll Interessanter anderer Berichte. Zu guter letzt gibt es dann eine Browser-Empfehlung, meine aktuelle Lieblingsserie und ein praktisches Tool zum SBOM inspizieren.

Viel Spass mit dem Newsletter diese Woche.

Artikel

Exploits, Hacks und Schwachstellen

⚡️GMO Flatt Security Inc. | Clone2Leak: Your Git Credentials Belong To Us Spannender Write Up von Ryotak, der im Rahmen seines Security Researchs im Github Bug Bounty Programm in der Lage war, durch das Klonen eines entsprechend präpariertem Repos die Credentials der Nutzenden auszulesen. Hut ab für das finden und erfolgreiche Ausnutzen der fünf entsprechenden CVEs in der Killchain 🎩 

🍪 Portswigger | Stealing HTTPOnly cookies with the cookie sandwich technique Smarter Weg um HttpOnly Cookies leaken zu können. Bei der cookie sandwich technique werden durch die Ausnutzung von XSS HttpOnly Cookies exfiltriert. Dazu werden sie, wie der Belag auf einem Sandwich, in Angreifer-Kontrollierte Cookies gepackt, die dann durch Parsing-Fehler den Schutz der vertraulich geglaubten Daten umgehen.

Konzepte, Reports und Ideen

🧰 TCM Security | SOC Tools Every Analyst Should Know In der Cybersicherheit gibt es eine Vielzahl von Tools - und auch wenn Ihr schon Jahr(zehnt)elang in der Industrie arbeitet, werdet ihr regelmässig noch über etwas neues stolpern. Zumindest für euch. Okay, vielleicht geht es auch nur mir so, aber deshalb liebe Ich solche Artikel wie den hier. Sortiert nach Domäne eine Auflistung von nützlichen Tools und ein paar kleine Tipps und Kniffe für die Nutzung.

🧠 Daniel Miessler | AI is Founder Augmentation Kapitalismuskritik trifft KI - Daniel teilt seine Gedanken, warum die ideale Anzahl menschlicher Angestellter in einer Firma gleich null ist. Und zeichnet dabei eine Zukunft, die auf viele Knowledge Worker zukommen könnte.

Kombiniert mit den Bullshit Jobs von David Graeber, kann man davon ausgehen, das auch ein mittelmässig “intelligentes” System bald sehr viele Bürojobs ersetzen kann - und dann? Wir haben als Gesellschaft kein System, dass das auffangen könnte. Man darf gespannt sein, wie die Entwicklung in den nächsten Jahren weitergehen wird.

🧑‍💼 Martin Fowler | Emerging Patterns in Building GenAI Products Das liegt aktuell noch auf meinem Stack, da ich noch nicht zum lesen gekommen bin. Quer gelesen scheint es so, das Martin hier alle derzeit relevanten Patterns abgegriffen hat. Direktes Prompten, Embeddings, RAG und Evals dürften aktuell die am häufigsten genutzten Pattern sein.

🦀 Brian Krebs | Infrastructure Laundering: Blending in with the Cloud Die Zeiten, in denen man sich einfach durch IP-Blocking von ganzen Ländern oder Web-Hosting Buden absichern konnte, sind wohl vorbei. Brian Krebs hat hier einen Interessanten Bericht zum Infrastructure Laundering geschrieben. Einem wachsenden Trend, bei dem Kriminelle ihren Traffic - teilweise oder vollständigt - durch US Cloudanbieter umleiten, um ihn so zu waschen.

Tech, Gesellschaft, Kultur

🤓 BigBoxSWE | How To (mostly) Remember Everything You Code Kleiner Denkanstoss, wie man sich merken kann, was man programmiert hat. Der Trick liegt in der Abwechslung. Und natürlich gibt es Dinge, die muss (oder sollte) man wenn man sie implementiert in den Docs nachsehen. Aber je Abwechslungsreicher die Aufgaben sind, dest mehr erinnert man sich später an die Grundlegenden Patterns. Native App Entwicklung, Backend Services, Streaming Plattformen - die Konzepte sind unabhängig von Plattform mindestens ähnlich.

🤖 Marcus Hutchins | Why I think AI guardrails designed to stop cyber criminals are essentially useless Marcus argumentiert, dass das Konzept der KI Guardrails im Kontext von Cybersecurity nutzloses Security Theater ist - und meiner Meinung nach hat er da einen guten Punkt.

Viele Tools und Methoden sind sowohl Offensiv als auch Defensiv nützlich. Der Unterschied zwischen Ransomware und Full Disk Encryption ist im Endeffekt nur, ob ich das auf einem System einsetze auf dem ich authorisiert bin, oder auf einem Fremden System um den Nutzenden dort zu schaden.

Tools und Co.

💾 popey/sbommage Ein interaktives TUI-Programm um sich durch SBOM Files zu wühlen. (SBOM + rummage = sbommage)

Unterstützt alle gängigen SBOM Formate, Navigation über vim-like Binding - was will man mehr?

😍 Zen Browser Ihr wollt weg von Chrome? Arc, Vivaldi, Edge und Co haben euch nicht überzeugt oder ihr wollt einfach auch weg von Chromium? Say no more: Der Zen Browser basiert auf Firefox, hat eine aktive und freundliche Open Soure Community und unterstützt Firefox-Extensions. Ich werde so schnell nicht mehr weg gehen.

Das Zitat der Woche wird diese gesponsort von meiner aktuellen Serie: Mayans M.C., dem Spin-Off zum gleichnamigen Motorradclub den einige noch aus Sons of Anarchy kennen werden.

Angel hat hier verstanden, das es Situationen gibt, in denen muss man sich entscheiden, was bzw. wohin man will. Wenn man das nicht tut, verliert man beides.

Ich entscheide mich heute also dafür, noch eine Folge Mayans zu kucken und nicht noch ‘ne Runde zu lesen. 🤓 

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️