Nord Nord Sec #49

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Habt ihr die ersten Vorboten des Frühlings auch so genossen? Der Garten verlangt wieder nach mehr Aufmerksamkeit, das erste Gemüse wächst und man kann im Schatten in der Hängematte Surfen - ein Traum.

Artikel

Exploits, Hacks und Schwachstellen

🦘 Troy got pnwed Troy Hunt, der Betreiber von haveibeenpwned, ist ein Mensch wie wir alle. Jetlagged, Müde und auf Reisen haben ihn Phisher erwischt und haben von ihm den Zugang zu seinem Mailchimp Account abgezogen.

Die Übeltäter hatten das ganze durchautomatisiert, sodass auch eine schnelle Reaktion von seiner Seite den Export der Subscriber-Liste nicht mehr verhindern konnte.

Interessantes Learning aus seiner Aufarbeitung: Mailchimp löscht die Email-Adressen von Leuten nicht, wenn Sie sich von der Liste abmelden.

📺️ Nahamsec | This Hacker Scored $5,000 with a Remote Code Execution Exploit Sehr schöner Walkthrough von Ben und m47in durch die gefundene RCE bei Netflix. Die erste Bounty und dann gleich so ein Kracher in einem großen, öffentlichen Programm. 👏 

💰️ Douglas Day | How I Became The Most Valuable Hacker Wie wird man der Most Valuable Hacker auf einem Live Hacking Event? Douglas Day teilt seine Erfahrungen und gibt Tipps:

• Fokus auf ein Target

• Tiefe schlägt Breite

• Das Team möchte, das die Hacker Bugs finden - fragen, diskutieren und zusammenarbeiten

Konzepte, Reports und Ideen

🧔‍♂️ Matthias Endler | The Best Programmers I Know Matthias hat wieder einen anregenden Artikel veröffentlicht, in dem den Eigenschaften nachgegangen wird, die die besten Programmierenden gemeinsam haben. Faszinierende Frage - und die Punkte die Matthias hier nennt, kann ich aus meiner Erfahrung bestätigen.

Das ganze trifft auch für die Hacker*innen zu, die Ich bisher kennen lernen und mit denen Ich arbeiten durfte.

✍️ Steph Ango | How I use Obsidian Ich finde es immer wieder spannend, wie andere ihre Tools benutzen - besonder dann, wenn ich diese auch nutze. Und Obsidian im Speziellen und PKM (Personal Knowledge Management) im Allgemeinen kann ja quasi religiöse Züge annehmen.

Mir gefällt, das Steph für sich sehr strikte Regeln hat und ich werde wohl versuchen, einen Teil davon auch zu nutzen. Besonders das für Tags ausschliesslich Plural verwendet wird, erscheint mir grundsätzlich sinnvoll.

⬛️ Alex Rosenzweig (Block) | Securing the Model Context Protocol Wenn es in letzter Zeit eine Sache gibt, die in aller Munde ist, dann das Model Context Protocol (MCP) und MCP Server - die Möglichkeit, AIs mit Tools zu verknüpfen. Von Burp über Ghidra bis hin zu Git oder sonst irgendwelchen Tools, überall spriessen MCP Server aus dem Boden.

Alex Rosenzweig von Block hat einen ausführlichen Guide veröffentlicht, wie sie bei Block an die Absicherung des ganzen herangehen.

Tech, Gesellschaft, Kultur

🧑‍💻 Mitchell Hashimoto | “As Code” Wenn der Ghostty Developer und einer der ersten Entwickelnden an terraform eine Meinung zu x as code hat, nehmen wir das doch mal mit. Warum mag Mitchell Hashimoto diese Konzept?

Weil Code (Meta)Wissen aus Köpfen herausholt und in festgeschriebene, stabile Systeme überführt. Diese können dann versioniert, iteriert und geteilt werden.

Ich würde sagen, das ist die Freude am Programmieren auf den Punkt gebracht: Abstrakte, vielleicht sogar unverständliche Probleme so abzubilden, das sie verständlich und gelöst sind. 👏 

😎 LiveOverflow | From Zero to Zero Day (and beyond) - Life of a Hacker: Jonathan Jacobi Jonathan Jacobi sass früher Stundenlang vor den Videos von LiveOverflow. Heute ist er bekannter Security Researcher und wird Interviewed. Wundervoller Zirkelschluss - und absolut lohnenswert. Wer das ganze 🧠 verdichtet konsumieren will, findet hier die Kurzversion.

Tools und Co.

🔭 WIZ Vulnerability Database Die Researcher von WIZ haben eine Vulnerability Database auf die Beine gestellt, die die aktuellen 🔥 heissen CVEs zeigen und euch so eine Einschätzung mit an die Hand geben, worum ihr euch zuerst kümmern solltet.

Das Zitat der Woche stammt aus dem oben verlinkten Artikel von Douglas Day, in dem er einen Einblick (und diverse Tipps) gibt, wie er es geschafft hat, auf einem HackerOne Live Hacking Event den begehrten Gürtel zu bekommen.

Also: Findet eure Spezialität, macht den Deep Dive - und wir sehen uns wenn wir das nächste mal zusammen an Land gehen 🫡 

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️