Nord Nord Sec #47

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Diese Woche gibt es etwas weniger für euch - der Grund dafür ist, das ich beim German HackerOne Club Hacking Meetup teilgenommen habe, und deshalb quasi keinerleit freie Zeit mehr hatte.

An dieser Stelle schon einmal vielen Dank an Lauritz für die Orga und alle Teilnehmenden für die Gute Stimmung, den positiven Vibe und die Inspiration und Motivation, die ihr verteilt habt.

Artikel

Exploits, Hacks und Schwachstellen

🐩 netzpolitik.org | US-Regierung: Leak zeigt mutmaßliche DOGE-Liste mit “Verschwendungsprojekten” Mitarbeiter der von Elon Musk geleiteten DOGE-Truppe haben wohl einen Liste öffentlich zugänglich gehabt, die als Verschwendung angesehen werden.

Diese Liste stand zwar lediglich 30 Minuten ohne Zugriffsbeschränkung online - allerdings wurde diese in der Zeit gesichert und ist bei netzpolitik.org veröffentlich worden.

🍏 thehackernews.com | Apple Drops iCLoud’s Advanced Data Protection in the U.K. Amid Encryption Backdoor Demands Nachdem die Britische Regierung eine Backdoor von Apple verlangt hat, um in Daten von Nutzenden des Advanced Data Protection Features Zugang zu erlangen.

Da Apple dieser Aufforderung nicht Folge leisten wird, wird das ADP Feature im Vereinigten Königreich deaktiviert werden. Sollten Nutzende das Feature aktiv haben, kann Apple das nicht selbständig deaktivieren.

Konzepte, Reports und Ideen

🕵️‍♂️ LandH.tech | How We Hacked a Software Supply Chain for $50k Lupin nimmt die Leser mit auf eine kleine Reise nach 2021, als er zusammen mit Snorlhax eine Firma Supply-Chain-Attacked hat. Belohnt wurde das ganze damals mit einer Bounty von 50.000 US Dollar.

Dabei spielen Github Action Tokens, Docker Images, npm Packages, Hartnäckigkeit und mit Sicherheit auch ein bisschen Glück eine nicht unwesentliche Rolle. Lesenswert 👍️ 

🚀 BBRE | Last chance to get full access to the BBRE Archive Der Premium Content von Bug Bounty Reports Explained wird verschwinden. Greg will sich mehr auf Hacking Konzentrieren und nicht nach einem Live Hacking Event Content produzieren müssen. Um den Druck rauszunehmen, wird er sein Premium-Angebot einstellen.

Wer bis zum 28. Februar noch das Premium Paket bucht, erhält Lifetime Access auf den Content. Später wird es möglich sein, Teile davon einzeln zu kaufen - allerdings zu einem höheren Preis.

Tech, Gesellschaft, Kultur

💰️ Bug Bounty Reports Explained | 100k+/year from bug bounty - 2024 bounty vlog Greg teilt mit seinen Viewern die Sicht und Einkünfte seiner Bug Bounty Aktivitäten der letzten Jahren, mit dem Fokus auf 2024. Sehr interessantes Video, besonders weil er auch darauf eingeht, wie schwierig sein Start sich für ihn angefühlt hat und wie er das überwunden hat.

Eine kurze Zusammenfassung findet ihr wieder 🧠 hier.

🐧 heise | Linus Torvalds würde Maintainer-Veto zu Rust-Kernel-Code übergehen Im aktuellen Streit um die Rust-DMA Kernel Schnitstelle, hat Linus Torvalds gegenüber Christoph Hellwig geäussert, das er den Code gegebenenfalls auch trotz Vetos eines Maintainers mergen würde.

Grund für den Streit ist, das Hellwig zwar befürwortet, das Rust mit seinen Sicherheitsfeatures eine sicherere Programmiersprache sei, aber er bedenken vor einer mehrsprachigen Codebasis hat. Die daraus entstandene Diskussion findet ihr auf der Kernel Mailing Liste.

Tools und Co.

🌐 incogbyte/shosubgo Ein kleines Tool um Subdomains aus Shodan zu extrahieren. Schnell, einfach zu nutzen und komplett ohne aktives scanning des Ziels 👍️ Props an Jason Haddix, der das Tool in einem seiner Talks erwähnt hat.

🐳 wagoodman/dive Cooles CLI Tool, um in einer TUI Umgebung ein vorhandenes Docker Image zu analysieren und tiefer einzutauchen.

Das Zitat der Woche liegt schon eine Weile in meinem Obsidian Vault - und ist mir durch die aktuell bevorstehende Bundestagswahl präsent wie noch nie. Schon lange nicht mehr so viel Heisse Luft und unkonkretes Blabla gehört. Aber auch im beruflichen Kontext ist das ja normal. Wer kennt Sie nicht, die Menschen die Themen “nochmal mitnehmen um offline zu synchen wo das value gegetted werden kann” 🤡 

Und bevor ich mich ins Wochenende verabschiede noch ein Aufruf an euch: Geht wählen. Trefft eure eigene Entscheidung, welcher Partei ihr eine Stimme gebt, aber gebt eure Stimme ab.

Und dann hoffen wir gemeinsam auf das Beste.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️