Nord Nord Sec #55

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Diese Woche erst am Dienstag - das Wetter war gestern einfach zu gut zwischen dem ganzen Regen. Der einen sonnigen Tag diese Woche musste genutzt werden um den Rasen zu kürzen, das Unkraut auf den Wegen zu bekämpfen und mit den Kindern draussen Spass zu haben.

Der Pool wurde erfolgreich eingeweiht, und die Gartenprojekte einen vernünftigen Schritt nach vorne gebracht.

Aber trotzdem gab es natürlich in der vergangenen Woche einiges an News, die Ich für euch gesammelt habe - Leinen los!

Artikel

Exploits, Hacks und Schwachstellen

⚡️ Sharepoint ToolShell Microsoft (und alle die Sharepoint nutzen), hatten die letzten Tage alle Hände voll zu tun. Grund dafür ist die Kampagne um mehrere CVEs, von denen CVE-2025-53770 (CVSS 9.8 Remote Code Execution) der Dreh- und Angelpunkt ist. Researcher von Palo Alto Networks haben das ganze genauer untersucht - genau wie die Researcher von Akamai.

📺️ LowLevel hat dazu noch ein kurzes Video auf Youtube veröffentlicht: This might be the most unhinged bug of the year

⚡️ Tea Data Breach Die Dating-Advice App Tea, in der Frauen Erfahrungen über Date Partner teilen können und sich so gegebenenfalls vor unangenehmen Matches warnen, hat einen grossen Datenabfluss gehabt. Dabei ist es Angreifenden gelungen, Zugriff auf Verifikations-Daten, Fotos und Private Nachrichten zu erlangen.

Aktuell ist die App offline.

⚡️ Microsoft-Forscher finden TCC-Lücke in Apples Spotlight Sicherheitsforscher von Microsoft haben einen Bug in Apples Spotlight entdeckt. Die TCC Lücke (Transparency, Consent, Control) konnte in Kombination mit Fehlern in Apple Intelligence genutzt werden, um Metadaten, Ortsangaben und Daten zur Gesichtserkennung zu exfiltrieren.

Der Bug wurde mit macOS 15.4 Ende März bereits gefixt.

Konzepte, Reports und Ideen

🏎️ Speeding up my ZSH shell Schönes Tutorial um die ZSH startup time etwas zu optimieren. Hab mit 5 Minuten aufwand fast 1 Sekunde Startup-Time gewonnen 🤘 

🚀Security for High-Velocity Engineering Jason Chan (ex-Netflix) zeigt in diesem Artikel, wie Security Teams mithalten können, wenn Deployments nicht mehr nur Quartalsweise passieren, sondern mehrmals täglich. Dabei zeigt er anhand von drei Ebenen (Kontext, Strategie, Execution) auf, wie ein solches Team aufgebaut und enabled werden kann.

Die wichtigsten Punkte sind dabei folgende:

• Guardrails statt Quality Gates: Asynchron, Flow-State der Entwicklung nicht stören oder unterbrechen.

• Paved Road als Game Changer: Secure Defaults sind der Weg. Es muss schwieriger sein, etwas unsicher zu implementieren als eine sichere Lösung.

• Systeme statt Menschen ändern: Menschen ändert man nur schwer - und die Mitarbeitenden sollen möglichst schnell in der lage sein, Produktiv und Sicher releasen zu können.

Wichtig ist dabei natürlich, dass ständig gemessen und angepasst wird, sodass der Impact auch sichtbar wird.

👉️ Da dass aber nur die absolute Kurzfassung war, und Ich sämtliche Praxisbeispiele weg gelassen habe, lest euch den Artikel unbedingt durch - es lohnt sich. Pinky Promise.

🤖You Don’t Need a Vendor to Automate Security Questionnaires Marco Lancini, Autor von The CloudSec Engineer, stellt Beispielhaft einen Workflow vor, mit dem der Aufwand zur Erstellung und Auswertung regelmässiger Security Questionnaires automatisiert werden kann - mit einem RAG setup oder Quick and Dirty direkt in einem LLM eurer Wahl.

Denkt an eure Datenschutz-Vereinbarungen, bevor ihr irgendwelche Firmen-Daten in öffentliche Chatbots schiebt 🥶 

Tech, Gesellschaft, Kultur

🐻 Bear Blog Bei meinen Ausflügen durch das Indie-Web, bin ich auf eine kleine, feine, minimale Blogging-Plattform gestossen: Bear Blog. Optisch genau mein Ding, simpel, schnell, keine Animationen 😍

Und mit dem Discovery-Feed, kann man den RSS Reader der Wahl direkt einhängen!

📺 Angeln ist mehr Kompaktes und schönes Statement zu einem der schönsten Hobbies der Welt.

📺️ How Youtube Won The Battle for TV Viewers Interessanter Artikel - auch wegen der Zahlen. Ich hätte nicht gedacht, das Netflix so weit hinter youtube ist. Auf der anderen Seite, ist die Youtube Premium Subscription das einzige Abo, was bei uns im Haus dauerhaft läuft.

📚️ Lust auf Hörbücher? Libro.fm wartet auf euch (affiliate link) Ich liebe Hörbücher. Ich hatte mehr als 10 Jahre ein aktives Audible-Abo. Aber in den letzten Jahren, hat mich das ehrlich gesagt immer mehr genervt, dass man immer mehr Geld in die USA schickt. De-Googling/FAANGing ist ja aktuell auch wieder im Trend, und so habe ich mich auf die Suche nach einer Alternative gemacht - und eine gefunden.

Ihr findet dort quasi alles, was kein audible-exclusive ist. Ich mag’s. 🎧️ 

📺️ The Witcher 3 - 1980s VHS Movie Trailer Es fühlt sich an wie eine Mischung aus Xena, Conan und Red Sonia - und mittendrin springen Geralt, Ciri und Co durch die Botanik. Da wird man ja unangenehm nostalgisch 👴 

Bug Bounty Tips, Security Tools und Techniken

📱 Common Mobile Device Threat Vectors Whitney Phillips von Trusted Sec hat eine schöne Übersicht gegeben, welche Bedrohungen auf Mobile Endgeräte aka Smartphones wirken. Dabei werden auch einige Tooltips gegeben. Unter anderem wird MobSF, AndroBugs und das MARA Framework referenziert.

🖥️ AlessandroZ/LaZagne Umfassendes Toolkit, um gespeicherte Passwörter von Computern zu extrahieren - praktisch, wenn man auf einem Endgerät landet und so in der Lage ist, seine Privilegien etwas zu erweitern.

📳 xtiankisutsa/MARA_Framework MARA steht für Mobile Application Reverse Engineering and Analysis Framework - und genau dafür ist es gedacht. Das Reverse Engineering und die Analyse von Mobilen Applikationen zu unterstützen.

Das Projekt ist schon etwas älter und scheinbar ist auch länger nichts damit passiert, aber für Einsteiger in Mobile Security trotz allem eine gute Ressource, um sich in verschiedene Bereiche einzulesen.

🐚 krurr/hygg Ein minimalistischer Reader für euer Terminal - mit Unterstützung für PDFs, EPUBs und sonstige Textdateien. Bonus für vim-nerds: vim-like navigation ist eingebaut!

Das Zitat der Woche stammt von Cal Newport. Im Zitat geht es um die konstante Benutzung von Smartphones und um die Vorbildrolle, die Eltern inne haben.

Kinder sollten nicht vorgelebt bekommen, dass das Smartphone etwas ist, das idealerweise immer zur Hand ist. Und deshalb empfielt er, das Gerät zuhause an einem festen Platz zu haben und regelmässig zu checken, ob es etwas gibt, auf das reagiert werden müsste.

Je mehr Ich mich Stück für Stück vom Handy entwöhne und weniger Zeit damit verbringe, desto mehr nervt es mich, wenn ein Gesprächspartner permanent dabei ist, irgendwelche Nachrichten zu checken etc etc. Und dann stelle Ich fest, dass das Ich sein könnte - vor ein paar Monaten.

Wie sieht eure Bildschirmzeit aus? Hängt ihr viel hinter dem Display?

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️