Nord Nord Sec #46

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Diese Woche habe Ich euch so einige Interessante Themen mitgebracht, die mir in die Feeds gespült wurden. Mit dabei: Ein 0-day CTF, Apple Zero Days gefixt, der DOGE Teenie, echte Persönliche Software und viel mehr.

Viel Spaß beim lesen 🌊 

Artikel

Exploits, Hacks und Schwachstellen

⚡️Apple | Security Fixes in iOS 18.3.1 and iPadOS 18.3.1 Apple hat Notfall-Sicherheitsupdates veröffentlicht, um eine Zero-Day-Schwachstelle zu beheben. Es ist also mal wieder an der Zeit, eure Devices zu prüfen und - wenn noch nicht automatisch passiert - die Entsprechenden Updates einzuspielen!

Eine kleine Beruhigende Notiz: Scheinbar war physischer Zugriff nötig um das auszunutzen, allerdings war es Angreifenden wohl nötig, die USB Restricted Mode zu umgehen oder deaktivieren.

Die CVE-2025-24200 wurde in iOS und iPadOS 18.3.1 behoben.

🎏 Google | Capturing the Flags of the Internet Google hostet ein CTF, um 0-Days in populären Open Source Tools zu sammeln. Dabei soll es Rewards von bis zu 10.000$ geben. Weiterhin kann man auch mehrfache Prämien bekommen.

Ich bin schon sehr gespannt, wann die ersten Bugreports veröffentlicht werden. 💰️ 

🐕‍🦺 Brian Krebs | Teen on Musk’s DOGE Team Graduated from ‘The Com’ Brian deck hier die Verbindungen von Edward Coristine auf. Das 19-jährigen Mitglied von Musks DOGE-Team, zu einer Gruppe von (ehemaligen) Cyberkriminellen und deren zweifelhaften Aktivitäten hinterlässt einen faden Beigeschmack.

Coristine, bekannt aus 'The Com', war zuvor in verschiedene kriminelle Handlungen verwickelt, einschließlich der Bereitstellung von DDoS-Angriffen und der Veröffentlichung sensibler Daten. Musk's Team hat Zugriff auf eine erhebliche Menge persönlicher Informationen von US-Bürger*innen, ohne irgend eine Legitimation…

🧠 Embrace The Red | Hacking Gemini’s Memory with Prompt Injection Einmal mehr ein Artikel von unserem alten Bekannten Wunderwuzzi, der demonstriert wie man durch geschickte Prompt Injections Daten in die Erinnerungen von Gemini injizieren kann.

Dabei wird ausgenutzt, das Gemini Nutzende gerne fragt, ob man mehr Wissen möchte.

Konzepte, Reports und Ideen

🧙 Preston Thorpe | Magic isn’t real Die ✨ Magie ✨ des Programmierens und des Verständnisses komplexer Konzepte ist oft nur eine Illusion! Preston leitet das in seinem Artikel her, indem er fehlenden Kontext am Beispiel von Architektur demonstriert.

Mit der Zeit erkennt man Muster und beginnt, die Grundlagen besser zu begreifen, auch wenn man sich zunächst von der Komplexität überwältigt fühlt. Die Fähigkeiten, die man sich angeeignet hat, erscheinen oft unzureichend im Vergleich zu den Dingen, die einem dann wieder ganz klar die Grenzen des eigenen Verstehens aufzeigt.

🍳 Lee Robinson | Personal Software Durch KI ist es möglich, das Personal Computing durch Personal Software ergänzt wird. Lee argumentiert, dass der Overhead, bevor man eine Software Lösung entwickeln kann, signifkant reduziert wird.

Man muss nicht erst eine - oder mehrere - Programmiersprachen lernen, man kann sich bereits jetzt mit einem gewissen Grundverständnis des Problems und beinahe einer beliebigen KI brauchbare (kleinst) Lösungen erarbeiten. Die typischen Bash-Skripte um monotone Tasks zu automatisieren, Excel Makros für Auswertungen etc etc.

Klappt das schon für große, Komplexe Systeme? Nein. Ist das dann auch sicher und qualitativ hochwertig? Definitiv nicht. Goldene Zeiten für IT Sicherheitsforscher, Pentester und Bug Bounty Hunter stehen uns bevor!

Tech, Gesellschaft, Kultur

✊ 404 Media | You can’t post your way out of facism Janus Rose thematisiert, wie autoritäre Regierungen unsere Aufmerksamkeit und Energie durch alarmierende Nachrichten und soziale Medien manipulieren. Diese Dynamik führt dazu, dass viele Menschen in einem Teufelskreis gefangen sind, der echte Veränderungen verhindert. Stattdessen wird der Eindruck vermittelt, dass man alles verfolgen und sich um alles kümmern muss, während die tatsächliche Handlungsfähigkeit eingeschränkt bleibt.

Wenn Ihr was ändern wollt, geht raus und werdet aktiv. Packt an, bringt euch ein und stellt euch dagegen.

Tools und Co.

🔬 google/tsunami-security-scanner Durch das Internet CTF von Google bin ich auf den Tsunami Security Scanner aufmerksam geworden. Ein NetSec Scanning Tool mit Plugin-Unterstützung, um deployte Services auf Sicherheitslücken zu untersuchen.

Sieht jetzt nicht uninteressant aus - und wenn man bei dem Google CTF richtig abkassieren möchte, sollte man sich dann auch mit dem Plugin-Schreiben für Tsunami beschäftigen 🙃 

Das Zitat der Woche stammt von Seth Larson, dem Security Developer -in-Residence der Python Foundation.

Die Kraft der Reduktion. Sachen nicht schreiben/sagen, ist auch ein Zeichen von Kraft.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️