mastodon
4.6.0-alpha.6+glitch
I build, break, and secure systems using hybrid DevSecOps & AI #cybersecurity #devsecops #localAI #fullstack
I build, break, and secure systems using hybrid DevSecOps & AI # cybersecurity # devsecops # localAI # fullstack
Scenario: You download a fresh repo to optimize token usage for your LLMs. You do the responsible thing and check setup.ts with vim before running anything... only to realize the act of opening it _is_ the RCE. 🫨 Can’t be... can it?
Not today (provided you + your package manager didn't sleep on updates recently 💻🐌). But it stayed under the radar for months, happened 'back in the day' (2019 is ancient history now I guess), and who’s to say it won't happen again tomorrow?
Makes me wonder... 😏
I build, break, and secure systems using hybrid DevSecOps & AI # cybersecurity # devsecops # localAI # fullstack
#Anthropics #Claude hat völlig autonom einen Root-Exploit für #FreeBSD gebaut. In exakt vier Stunden. Wir reden hier nicht von einem simplen "Schreib mir ein #Python-Skript"-Prompt, sondern von echtem, iterativem #hacking Das Modell hat die #Schwachstelle im Netzwerk-Login gefunden, sich selbständig ein Lab hochgezogen, den #Payload smart in mehrere Pakete gesplittet und den eigenen Code knallhart gedebuggt, wenn der erste Versuch gecrasht ist.
Der ganze Bericht unter
I build, break, and secure systems using hybrid DevSecOps & AI # cybersecurity # devsecops # localAI # fullstack
Wir patchen unsere Server zu Tode, aber am Ende öffnet jemand ein ".vbs"-File in WhatsApp Desktop. Game over. (wirklich so schnell!)
Der aktuelle Microsoft Defender Report zu einer neuen WhatsApp-Malware-Kampagne ist ein Lehrstück in Sachen "Living off the Land" (LotL). Während wir nach neuen, komplexen Exploits suchen, nutzen die Angreifer einfach das, was auf Windows-System tooltechnisch von Haus aus gegeben ist... und tarnen es so gut, dass selbst erfahrene Admins zweimal hinschauen müssen.
Das Problem: Social Engineering trifft auf System-Tools. Die Attacke startet nicht auf dem Handy, sondern dort, wo wir uns sicher fühlen: am Arbeitsplatz. Per WhatsApp kommen schädliche VBS-Skripte (Visual Basic Script). Wer klickt, startet eine Kette, die so "stealthy" ist, dass sie fast schon wieder elegant wirkt 😏
Die technische Wunde: Die Tarnkappen-Taktik. Die Angreifer nutzen keine offensichtliche Malware, sondern verbiegen das System:
#Masquerading: Legitime Windows-Tools wie curl.exe und bitsadmin.exe werden in versteckte Ordner kopiert und in netapi.dll oder sc.exe umbenannt. Die PE-Metadaten bleiben gleich, aber der Name täuscht simple Systemaktivität vor.
#Cloud-Weaponization: Die Payloads liegen auf AWS, Tencent oder Backblaze. Wer filtert schon legitimen Cloud-Traffic komplett weg?
UAC-Bruteforcing: Das Skript versucht so lange mit Admin-Rechten zu starten, bis der User genervt auf "Ja" klickt oder die Registry-Einträge für UAC-Prompts im Hintergrund manipuliert wurden.
Die Lösung: Härtung statt nur Detektion, denn leider reicht ein reiner Virenscanner hier nicht, wenn das Tooling "legit" ist.
What to do:
1️⃣ Script-Execution blocken: wscript.exe und cscript.exe haben in User-Verzeichnissen (besonders AppData oder ProgramData) nichts verloren.
2️⃣ Metadata-Monitoring: EDR-Tools müssen auf Diskrepanzen zwischen Dateiname und OriginalFileName in den PE-Headern triggern.
3️⃣ User-Education: WhatsApp ist im Business-Kontext ein riesiger blinder Fleck. Anhänge dort sind genauso kritisch zu prüfen wie E-Mail-Attachments.
Am Ende landet ein unsigniertes MSI-Paket auf dem Rechner, das via AnyDesk den direkten Remote-Zugriff erlaubt. Die Backdoor ist offen, und der Angreifer sitzt mit im Büro 🫱🏻🫲🏾 Zeit für eine weitere Tasse Kaffee...
#Cybersecurity #ThreatIntelligence #MicrosoftDefender #LivingOffTheLand #InfoSec
I build, break, and secure systems using hybrid DevSecOps & AI # cybersecurity # devsecops # localAI # fullstack
Heute ist übrigens #WorldBackupDay! 💾 Der einzige Tag im Jahr, an dem wir alle feierlich so tun, als würden wir unsere Backups nicht nur machen, sondern auch regelmäßig testen. 🤡
Kurzer Realitätscheck zum heutigen Feiertag:
✅ Backups laufen automatisch? Super!
✅ Cloud-Sync ist an? Nett, aber dennoch kein Backup! 🫠
✅ Restore im letzten halben Jahr mal getestet? … Grillenzirpen 🦗
Falls ihr heute also noch nichts vorhabt: Klickt doch mal auf "Restore". Bevor der nächste DROP TABLE oder Trojaner diesen Job für euch übernimmt.
In diesem Sinne: Sichert eure Daten und schont eure Nerven!
#DataSecurity #IndieHacker #TechHumor
I build, break, and secure systems using hybrid DevSecOps & AI # cybersecurity # devsecops # localAI # fullstack
Asset-Listen werden in der Produktion oft wie das verstaubte Excel-Sheet im Keller behandelt: Sobald sie fertig sind, eigentlich auch schon out-of-date und obsolet. Am Beispiel der neuen, mit 10.0 bewerteten CVE-2026-3587 wird klar, dass wir uns dieses Blindflug-Management nicht mehr leisten können.
Dabei baut gerade WAGO an sich extrem solides Gear und ist nicht umsonst ein absoluter Industriestandard, den ich eigentlich sehr schätze. Dennoch, oder aber gerade deshalb, ist dieser Case ein perfekter Wake-up-Call für uns alle:
Wer heute noch glaubt, eine simple Liste von IP-Adressen reicht aus, hat die Tragweite von NIS-2 und dem Cyber Resilience Act (CRA) nicht verstanden. Ein CLI Escape via undokumentierter, versteckter Funktion (wie bspw. hier beim WAGO 852er Switch) ist das Paradebeispiel dafür, warum es einer echten, idealerweise automatisierten #SBOM (Software Bill of Materials) bedarf.
Eine SBOM ist die längst überfällige Evolution der Asset-Liste. Während die Liste mir nur sagt, dass da ein Switch im Schrank hängt, verrät mir die SBOM, was tief im Inneren dieses Geräts eigentlich läuft; samt Dependencies und gern vergessener Submodule.
Auf Basis meiner bisherigen Kenntnisse scheint mir dabei die vollständige Automatisierung innerhalb der CI/CD-Pipeline kein Luxus zu sein, sondern eine absolute Notwendigkeit, welche ich innerhalb meiner eigenen Auditing-Tools versuche vollständig zu automatisieren, denn
- Ohne SBOM wissen wir erst von einer Schwachstelle, wenn die CVE droppt. Mit einer SBOM könnten wir proaktiv scannen, welche Komponenten (wie das betroffene CLI-Modul) in unserer Infrastruktur lauern, bevor der Exploit die Runde macht >> Transparenz vs. Blackbox
-#CRA und NIS-2 kommen nicht, um uns zu ärgern. Sie zwingen Hersteller endlich dazu, die Supply Chain offenzulegen. Das Ende der "Security by Obscurity" >> Compliance als Enabler
- Wenn die Hütte brennt, haben wir keine Zeit für manuelle Inventur. Wir brauchen maschinenlesbare Daten, um innerhalb von Sekunden zu wissen: "Sind wir betroffen?" >> Incident Response
---
In der IT-Welt "shippen" wir Code am laufenden Band. In der OT-Welt stehen Geräte oft 15 Jahre+.
---
Ohne eine dynamische SBOM, die mit regulatorischen Anforderungen wie dem CRA korreliert, bauen wir uns eine technische Schuld auf, die uns bei der nächsten kritischen Lücke das Genick bricht.
Der WAGO-Case zeigt: Versteckte Funktionen sind technische Schulden, die der Angreifer für uns eintreibt. Patchen (V1.2.1.S1) ist im akuten Fall sicherlich die Pflicht, aber Transparenz via SBOM ist die Kür, um langfristig aus dem reaktiven Feuerlöschen rauszukommen.
I build, break, and secure systems using hybrid DevSecOps & AI # cybersecurity # devsecops # localAI # fullstack
Wir befinden uns aktuell in einer ziemlich toxischen Beschleunigungsspirale.
Alle wollen "shippen", schnell iterieren und in Rekordzeit live gehen. Ist ja auch erstmal verlockend, wenn einem der AI-Companion die halbe Codebase runtertippt und die Pipeline das Ganze in Minuten auf den Server schiebt.
Aber während wir uns über die gewonnene Zeit freuen, bauen wir kollektiv eine gigantische technische Schuld auf Seiten der Security auf.
Es ist längst nicht mehr DIE EINE kritische Lücke, die einem schlaflose Nächte bereitet. Es ist die schiere Masse an Einfallstoren entlang der kompletten Kette; vom hastigen Package-Install bis zum finalen Deployment.
Proof me wrong, aber wir reiten uns akut von zwei Seiten extrem rapide rein:
🖥️ Die Infrastruktur-Ignoranz: Admins und DevOps-Konzepte, die aus reiner Bequemlichkeit (oder schlichtem Zeitdruck?) Server und Datenbanken nicht konsequent limitieren. Everything open, Firewalls auf Durchzug, Protokolle nicht abgeriegelt.
🤯 Der Verlust der Fundamentals: Eine Developer-Kultur, die Code dank AI oft nur noch orchestriert, aber nicht mehr zwingend versteht. Wer die Basics unter der Haube nicht mehr greifen kann, erkennt eben auch die Security-Implikationen eines generierten Snippets nicht.
Ich denke, ich lehne mich gar nicht so weit aus dem Fenster, wenn ich behaupte, dass dieser Umstand- gepaart mit der aktuellen Entwicklung- eine ziemlich explosive Mischung ist.
AI ist eben nicht nur unser Katalysator, sondern auch der der Gegenseite. Die Angreifer nutzen exakt dieselben Wunderwaffen zur automatisierten Schwachstellensuche. Neue Zero-Days, Exploit-Injections in die CDN-Pipe und kritische CVEs fliegen uns fast täglich um die Ohren.
Früher haben ein paar etablierte Best-Practices und Standards gereicht, um das System zumindest mal mittelfristig abzusichern. Spoiler: Das war mal 🫠 Durch die rohe, automatisierte Rechenpower da draußen ist das Zeitfenster zwischen "Deploy" und "Exploit" massiv geschrumpft. Die Einschläge passieren oft schon dann, wenn der Kaffee nach dem Push noch warm ist.
Security als lästiges "machen wir im nächsten Sprint"-Ticket oder ein "Security by Obscurity"-Gedanke reichen einfach nicht mehr. Wenn das Fundament bröckelt, bringt die schnellste Pipeline nichts.