Nord Nord Sec #57

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Artikel

Exploits, Hacks und Schwachstellen

⚡️AgentFlayer: When a Jira Ticket Can Steal Your Secrets Wenn Jira-Tickets plötzlich die Angriffsoberfläche erweitern - klingt komisch, ist aber (dank Agenten-KI-Systemen) teil der neuen Normalität. In diesem Angriff wurden Ticketbeschreibungen genutzt, um Agents in Cursor zu missbrauchen, Daten zu exfiltrieren.

⚡️ Claude Code: Data Exfiltration with DNS Requests Nicht nur Cursor kann mittels Prompt Injections dazu gebracht werden, Daten wild durch die Gegend zu schicken. In diesem Beispiel mit Claude Code wird ein Bash-Script mittels Prompt Injection aufgerufen, mit dem dann Vertrauliche Daten exfiltriert werden.

Das Writeup lohnt sich, wenn ihr euch für AI Security interessiert, denn der POC wird sehr verständlich erklärt und aufgebaut.

⚡️ More than 130,000 Claude, Grok, ChatGPT, and Other LLM Chats readable on Archive.org Sicherheitsforscher haben herausgefunden, das Archive.org eine grössere Menge Chats mit LLMs archiviert hat. Natürlich findet sich darin eine Menge an Material, das nicht unbedingt in ein Fremdsystem gepumpt hätte werden sollen.

⚡️CyberArk and HashiCorp Flaws Enable Remote Vault Takeover Without Credentials Absolutes Albtraumszenario! Sicherheitsforscher haben mehr als 12 Sicherheitslücken in den Enterprise Secure Vaults von HashiCorp und CyberArk identifiziert, die es Angreifenden ermöglicht die Vaults zu übernehmen!

Konzepte, Studien und Ideen

🗺️ Intent Over Tactics: A CISO’s Guide to Protecting Your Crown Jewels Caleb Sima zeigt uns, wie wir die wirklich kritischen Assets identifizieren und schützen können. Der Fokus auf die Kronjuwelen ist seiner Meinung nach jeder anderen Strategie zur Abwehr von Angreifenden überlegen. Sein klar strukturiertes Vier-Stufen-Modell (Harden, Minimize, Monitor, Standardize) bildet die Grundlage, um das auch in eurer Organisation auszurollen. Unbedingt reinlesen!

🧠 Studie zu “AI Slop”: Wie künstliche Videos Social Media fluten Die Kolleginnen von Netzpolitik haben eine neue Studie zur Verbreitung KI generierter Inhalte auf Social Media Plattformen angesehen. Dabei hat sich herausgestellt, dass dieser Content hochgradig automatisiert erzeugt, verteilt und ausgespielt wird. Dabei wird häufig nicht (ausreichend) gekennzeichne, das es sich um generierten Content handelt.

⚡️MCP Horror Stories: The Security Issues Threatening AI Infrastructure Das letzte Jahr von Anthropic vorgestellte MCP Protokoll hat aktuell als Standard-Interface für die Anbindung von KI-Systemen etabliert. Wie bei den ersten Protokollen im WWW war hier Sicherheit nicht unbedingt immer mitgedacht. Die Kollegen bei Docker haben sechs kritische Schwachstellen identifiziert und wie Sie gedenken, diese in den Griff zu bekommen.

Habt ihr schon Erfahrungen mit der Anbindung von Systemen via MCP gesammelt?

📓 The ultimate meeting culture Emil Rosendahl hat hier einmal aufgeschrieben, wie die für ihn ideale Meetingkultur aussieht - und ich muss gestehen, Ich habe sehr viel genickt beim lesen!

In der Vergangenheit hatte ich (sehr) oft das zweifelhafte Vergnügen, zu Meetings eingeladen zu werden, die sich im Nachhinein als vollkommene Zeitverschwendung herausgestellt haben. Da stellt man sich dann früher oder später schon die Frage, warum sich das nicht bereits vorher abgezeichnet hat. Oft liegt das an fehlender Agenda, der Abwesenheit von Personen, die Entscheidungen treffen können oder Ähnlichen Banalitäten…

Wenn ihr an der Organisation besserer Meetings interessiert seid - lest hier mal rein! Alternativ:

Tech, Gesellschaft, Kultur

💡 Notes to myself Seth teilt 65 Tipps mit uns, wie er versucht sein Leben zu leben. Dabei gab es einige, die stark in mir resoniert haben - Ich bin mir sicher, da ist auch etwas für euch dabei.

🖊️ Your brain’s hard drive is full: Start a journal Eine Übersicht über verschiedene Journaling-Methoden. Mir hat es in der Vergangenheit sehr geholfen, meine Gedanken, Tasks, etc zu Papier zu bringen - Vielleicht ist das ja auch etwas für euch? Frameworks wie Bullet Journaling oder Gratitude Journaling erlauben es, das auch in sehr vollen Tagen unterzubringen. Probiert es doch mal aus ✍️ 

📺️ How to Join Google (honest advice from ex-Googler) Interessanter Einblick in das Hiring-Game von Google. Die Tipps sind sicher auch in anderen Unternehmen anwendbar - also schaut mal rein, wenn ihr gerade auf der Suche seid.

🧠 You Can Now Disable All AI Features in Zed Als Reaktion auf einige Diskussionen, unter anderem in Github Issues, hat sich das Team des Zed-Editors dafür entschieden, sämtliche AI Features optional zu machen. Besonders angenehm: Das ist ein einziger Switch beim User-Onboarding. 👍️ 

Bug Bounty Tips, Security Tools und Techniken

🌊 edoardottt/cariddi Ein schickes kleines Tool, um Webseiten zu scannen - und so versteckte Endpunkte, Secrets, API Keys, File Extensions oder Tokens zu finden. Werde das in nächster Zeit mal versuchen, in meinen Workflow einzubauen.

🧈 Buttercup is now Open Source Trail of Bits hat ihr Tool Buttercup, das in der DARPA AI Cyber Challenge (AIxCC) den zweiten Platz belegt hat, ist jetzt auf github! Buttercup ist ein vollautomatisches KI-Gestütztes System um Sicherheitslücken zu finden und zu beheben. Spannend.

Das Zitat der Woche habe Ich aus meiner aktuellen Lektüre entführt - A Fire Upon The Deep von Vernor Vinge.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️