Nord Nord Sec #20

Moin Hallo, Herzlich Willkommen und Viele Grüße aus dem Urlaub - Die Sonne scheint, im Garten wächst es langsam und die Grillsaison wird bei uns heute so richtig eröffnet.

Deswegen gibt es den Newsletter heute auch ein wenig später - denn ich war gestern abend noch etwas länger draussen und bin nicht dazu gekommen, den Newsletter fertig zu machen 😿 

Dementsprechend fällt das ganze heute auch mal wieder etwas kürzer aus 🫡 

Breaches und Schwachstellen

⚡️GitHub Kommentare in Microsoft Repos zur Verbreitung von Malware genutzt Im Rahmen einer Veröffentlichung einer Malware-Analyse von McAffee fielen URLs von Microsoft auf, die als IOCs genutzt werden können.

Allerdings sind hier keine Microsoft-Repositories übernommen worden, sondern ein Feature/Bug von GitHubs Kommentarsystem (aus)genutzt worden: Wenn ein*e GitHub-Benutzer*in einen Kommentar hinterlässt, kann eine Datei (Archive, Dokumente usw.) angehangen werden. Diese werden dann in das CDN von GitHub hochgeladen und mit dem entsprechenden Projekt über eine eindeutige URL in diesem Format verknüpft wird: https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}.

Das geschieht bereits, bevor der Kommentar gepostet wird.

Was hier besonders unangenehm ist, ist die Tatsache das es keine Option für Nutzende gibt, diese Files zu sehen oder zu löschen.

⚡️ Microsofts DRM Schlüssel von Forschenden extrahiert Ein Sicherheitsforscher hat erfolgreich DRM-Schlüssel aus Windows 10 und 11 extrahiert und damit den Download von Netflix-Filmen ermöglicht. Die so offenbarte Schwachstellen in der DRM-Implementierung von Microsoft, erlaubt es geschützte Medieninhalte entschlüsseln und in voller HD-Qualität herunter zu laden.

Microsoft arbeitet nun mit dem Forscher zusammen, um die Sicherheitslücken zu schließen. Es bleibt unklar, ob diese Schwachstelle bereits von anderen genutzt wurde.

⚡️ Quellcode von Cyberpunk 2077 und Witcher 3 nach Hack veröffentlicht Die Daten stammen aus dem Hack von C.D. Projekt im Jahr 2021 und kann auf der Leak-Seite der Ransoware Gang HelloKitty heruntergeladen werden.

Das Passwort für die verschlüsselten Files gibt es dann für eine kleine Spende von ungefähr US$10.000 in Kryptogeld… Oder ihr kauft die Spiele einfach bei Steam, GOG oder sonst irgendwo und geniesst die aktuellen, Bugfreieren Versionen 😀 

Text

🦺 10 Things Your First Security Hire Shouldn’t Do Die erste eingestellte Person für “irgendwas mit IT Sicherheit”, hat viele Aufgaben und kann viele wichtige Dinge auf den Weg bringen - aber bei all der Arbeit die ansteht, sollte man unter Umständen erst einmal innehalten.

Hier gibt uns Rami McCarthy zwei Hände voll Sachen mit, die nicht gemacht werden sollten. Hier die Kurzfassung für euch:

1. Keine öffentliche Bug-Bounty
2. Auf interne Red-Team-Assessments und Penetrationstests verzichten
3. Keine Custom-Schulungen erstellen
4. Keine übermäßig aufwändigen und wenig effektiven Sicherheitsmaßnahmen etablieren
5. Die Verantwortung für IT Security nicht übernehmen, ohne die Beiträge anderer anzuerkennen, die bereits Sicherheitsaufgaben wahrgenommen haben
6. Eine klare und regelmäßige Kommunikation mit allen Ebenen des Unternehmens pflegen
7. Die Vorbereitung auf die Einstellung weiterer Sicherheitsmitarbeitender nicht vernachlässigen
8. Nicht jeden Sicherheitsvorfall als kritisch behandeln
9. Sicherheit nicht auf einen Bereich beschränken, sondern in allen relevanten Domänen aktiv sein
10. Große technische Projekte nur dann in Angriff nehmen, wenn sie zur Bewältigung kritischer Risiken notwendig sind und ausreichend Ressourcen oder Partnerschaften für deren erfolgreiche Durchführung zur Verfügung stehen.

Insgesamt sollte die erste Sicherheitskraft darauf achten, eine solide Basis für die Sicherheitskultur im Unternehmen zu schaffen, ohne dabei zu überfordern oder die Zusammenarbeit mit anderen Teams zu vernachlässigen.

🥳 Netzpolitik verlässt xitter Die Redaktion von netzpolitik.org hat beschlossen, Twitter zu verlassen. Als Grund nennt sie die zunehmende Toxizität und die antidemokratischen Tendenzen der Plattform seit der Übernahme durch Elon Musk.

Meiner Meinung nach ist das eine lange überfällige Entscheidung - was Ich in meinem Bekanntenkreis von twitter höre, ist hauptsächlich unangenehm. Ich vermisse es jedenfalls nicht (mehr).

🌍️ A Letter From the Future Eine bedrückende Kurzgeschichte zu der Zukunft, die sich die Menschheit aktuell selbst schafft.

Video

⌨️ Keys To A Dream Software Development Setup Ein schneller Ritt ins (Split) Mechanical Keyboard Rabbithole. Seit ich vor Jahren eine Weile ein Ergodox EZ genutzt hatte, reizt es mich doch immer mal wieder, ein etwas ergonomischeres Eingebegerät zu nutzen. Allerdings hatte ich damals das Problem, das ich meistens mehrere Rechner parallel genutzt habe - was jetzt nicht mehr der Fall ist. Vielleicht wäre das mal wieder einen Versuch wert.

🦹 Biggest Scams in Software Engineering Knapp fünf Minuten gefüllt mit massenhaften Memes, übertreibung und “yep, so jemanden kenne ich auch”-Momenten. 👍️ 

Tools und Co.

🔩 threatcl/threatcl Ein Tool für einen DevOps-fokussierten-Ansatz für die Definition und Dokumentation der Bedrohungsmodelle - nah am Code.

🔨 caido/workflows Community-Caido-Workflows! Hier gibt es die bisherigen Community Workflows für Caido. Falls ihr das Projekt nicht verfolgt habt in letzter Zeit - schaut mal wieder rein. Die Plugins und Custom Workflows werden Burp bald richtig alt aussehen lassen!

🧑‍💼 marcosnils/bin Verwaltet Binaries aus verschiedensten Quellen. Endlich eine Lösung für die diversen Binaries, die ausserhalb von Paketmanagern ihren Weg in mein System finden!

Das Zitat der Woche stammt aus “Der Marsianer” von Andy Weir. Ich habe schon festgestellt, das ich seit der Netflix-Serie Three Body Problem wieder vollständig in die Science Fiction gesaugt wurde. Und im Zuge des wieder-lesens einiger meiner Favoriten (Red Mars, Three Body Problem, The Expanse) bin ich auch beim Marsianer gelandet.

Macht besonders viel Spass, wenn man selbst momentan im Garten die ganze Zeit versucht, die Botanik einigermassen im Griff zu bekommen.

Dementsprechend gehe ich jetzt wieder raus in den Urwald und kümmer mich - wie Mark Wattney - um unsere Kartoffeln.

Cheers,

Martin