Nord Nord Sec #48

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Nach einer längeren Pause, melde Ich mich wieder zurück. Die Husten-, Schnupfen und Halsschmerzen-Saison hat mich noch einmal erwischt und für längere Zeit mit Antibiotika, Kopfschmerzen und viel Schlaf ins Bett geschickt. Und als das gerade geschafft war, hat sich unser Nachwuchs dazu entschieden, das Mutterschiff zu verlassen 🐣 

Dementsprechend waren die letzten paar Wochen relativ fremdbestimmt und voller schöner Momente - auch wenn die Zeit geprägt von relativ wenig Schlaf war.

Trotzdem habe Ich hier aus den letzen Wochen ein paar Themen zusammen getragen.

Artikel

Exploits, Hacks und Schwachstellen

🗺️ next.js | CVE-2025-29927 Es gab eine kritische Sicherheitslücke in next.js - durch das setzen des x-middleware-subrequest Headers war es möglich, Auth zu umgehen.

Zhero, der die Sicherheitslücke gefunden hat, liefert in seinem Blog noch weitere Details.

Betroffene Versionen: 12.x, 13.x, 14.x, and 15.x

Fixes in Versionen: 12.3.5, 13.5.9, 14.2.25, and 15.2.3

🍏 The Hacker News | Apple Backports Critical Fixes For 3 Live Exploits Apple hat sicherheitsrelevante Updates für ältere iOS- und macOS-Versionen veröffentlicht, nachdem drei Schwachstellen aktiv ausgenutzt wurden.

Die Fixes betreffen Geräte wie das iPhone 6s, iPhone 7 und verschiedene iPad-Modelle, die nun auf den neuesten Stand gebracht werden können. Die spezifischen Schwachstellen, die behoben wurden, sind unter den CVE-Nummern 2025-24085, 2025-24200 und 2025-24201 gelistet.

Konzepte, Reports und Ideen

🧠 Geoffrey Huntley | You are using Cursor AI incorrectly… Today I learned - man kann Cursor mit konkreten Regeln in ein engeres Korsett zwängen und so die Vorschläge weiter optimieren. Wer mit Cursor arbeitet (wer nicht, sollte es wenigstens einmal ausprobieren), sollte sich das ganze einmal ansehen.

🏗️ Lesley Carhart | What’s My Daily Life Like (in OT DFIR)? Lesley Carhart gibt einen Einblick in ihre anspruchsvolle Rolle im Bereich Digital Forensics und Incident Response (DFIR) innerhalb kritischer Infrastrukturen. Sie beschreibt die Herausforderungen, die mit der Analyse veralteter und komplexer Systeme verbunden sind, die essentielle Dienstleistungen steuern.

Sie führt auch an, dass es für Menschen die in diesen Space wollen notwendig ist, sich mit den Prozessen in Industrieanlagen und Fertigung und den damit verbundenen Gefahren vertraut zu machen. Das ist auch dringend nötig, denn bösartige Akteure greifen diese Infrastrukturen vermehrt an.

📄 Steven Harris | Finding Threat Actor Infrastructure with SSL Ein Vortrag im Rahmen des SANS OSINT Summits, in dem Steven einen Überblick gibt, wie die Infrastrukturen von Threat Actors mithilfe von SSL Zertifikaten gefunden werden können.

💰️ Joseph Thacker | High Agency Hacking Joseph adaptiert den Essay von George Mack auf den Bug Bounty Space. Recon, Reporting und Networking sind dabei die Schlüsselaspekte, die er mit denkt.

Fokus dabei ist, das man als High Agency Hacker aktiv versucht, die eigenen Chancen zu erhöhen, zu einem positiven Outcome zu kommen. Mehr Scope, grösserer Payout, Einladung in private Programme etc etc. 🚀 

Tech, Gesellschaft, Kultur

🧠 Andrej Karpathy | Deep Dive into LLMs like Chat-GPT Vorsicht, ihr solltet etwas Zeit mitbringen, bevor ihr euch in dieses Video eingrabt. Andrej Karpathy entführt euch 3,5 Stunden tief in die Welt der Large Language Models.

Dank LLM’s hier ein kurzer Überblick über den Inhalt. Ich fand die Lang-Fassung auf jeden Fall auch sehr unterhaltsam und habe es nicht bereut, die Zeit investiert zu haben.

🚓 Simplicissimus | Anøm: Die genialste Operation des FBI Richtig cooles Video vom Simplicissimus Team! Ich habe Dark Wire von Joseph Cox direkt zu Release gelesen und kannte die Geschichte schon - aber so aufbereitet war das ein absoluter Genuss.

Falls ihr die Geschichte nicht kennt: Stellt euch vor, das FBI würde einen Dienst hosten, mit dem Kriminelle sicher kommunizieren können. Absolut sicher, Bulletproof Crypto Shizzle. Und jetzt stellt euch vor, dass das wirklich passiert ist 🤯 

Tools und Co.

⛰️ mountain-loop/yaak Bisher hatte ich immer Postman genutzt, wenn ich API Requests manuell ausführen wollte - aber damit war ich nicht meh wirklich zufrieden. Jetzt bin ich über yaak gestolpert, und dieser Client gefällt mir schonmal sehr viel besser. Bonus: It’s build with 🦀 Rust!

📓 Obsidian jetzt auch für Nutzung im Unternehmen umsonst! Bisher wurde eine Lizenz verlangt, wenn man Obsidian im Arbeitskontext einsetzen wollte. Dieses Requirement wurde jetzt fallen gelassen.

Also - kein Grund mehr für schlechtes Gewissen oder Anträge bei Vorgesetzten.

📲 Sober Ringtones Vier angenehm dezente Klingeltöne für Anrufe und Benachrichtigungen. So etwas habe ich gesucht - ähnlich dezent wie die default iPhone Sounds, aber dezent genug, um nicht aufzufallen.

Das Zitat der Woche stammt von Daniel Miessler, der Leute motivieren sollte, programmieren zu lernen.

Das ganze gilt natürlich nicht nur für AI und Coding - sondern kann auch für künstlerisches Gestalten, Musik und schreiben allgemein angewandt werden. Ja, wir können jetzt mit KI verschiedene Sachen erzeugen: Bilder, Musik, Text, Code. Aber wenn wir diese Fähigkeiten verlieren, verlieren wir die Möglichkeit neues und innovatives zu schaffen.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️