lutrasecurity - Network

Unsere Kollegen @redpanda und @flintflump hatten diese Woche die Freude, am ec25 Engineering Camp teilzunehmen. Ein großes Dankeschön an...

Unsere Kollegen @redpanda und @flintflump hatten diese Woche die Freude, am ec25 Engineering Camp teilzunehmen. Ein großes Dankeschön an #QAware für die Einladung und die hervorragende Organisation!

Es waren Tage voller spannender Vorträge, Workshops und neu gewonnener Erkenntnisse. Für uns war insbesondere der Einblick, wie LLMs in die Softwareentwicklung Einzug halten, sehr interessant. Wir konnten uns in persönlichen Gesprächen nicht nur über die damit verbundenen Chancen, sondern auch intensiv über die Risiken austauschen.

Ganz besonders gefreut haben wir uns darüber, dass Stefan Feuerstein die Gelegenheit hatte, zu präsentieren, wie Unternehmen eine Software Bill of Materials (SBOM) nutzen können, um nicht nur die Anforderungen des Cyber Resilience Act zu erfüllen, sondern auch Bedrohungen in ihrer Supply Chain eigenständig zu erkennen und zu vermeiden.

Not just mobile phones, but televisions, fridges, lamps and all sorts of IoT devices are now connected to the internet. And then there are...

Not just mobile phones, but televisions, fridges, lamps and all sorts of IoT devices are now connected to the internet. And then there are all the Bluetooth devices that aren't directly connected to the internet, but are connected to your smartphone or computer. And each of these connections is a potential entry point for attackers.

We want to know from you: How do you deal with the security of your IoT devices?

All my IoT devices are up to date
I do not update IoT devices
I do not have any IoT devices
It depends / see comment

57% of companies do not detect cyberattacks themselves, but are alerted by an external party (e.g. the authorities or the attackers...

57% of companies do not detect cyberattacks themselves, but are alerted by an external party (e.g. the authorities or the attackers themselves). And for 0% of companies, the timing of the attack is convenient.

At Lutra Security, we are happy to offer you the experience of a (simulated) attack when it suits you best. We provide you with the full experience without the stress but with the opportunity to fix vulnerabilities before a real attacker exploits them.

Wir bei Lutra Security stellen uns diese Fragen, denn unser Ziel ist es, nicht nur unsere Kunden nachhaltig sicherer zu machen, sondern auch...

Wir bei Lutra Security stellen uns diese Fragen, denn unser Ziel ist es, nicht nur unsere Kunden nachhaltig sicherer zu machen, sondern auch uns nachhaltig nachhaltiger. Jedes Jahr ein bisschen besser.

3/3 #EarthDay #EarthActionDay

Wie können wir Anreize schaffen, um das persönliche Engagement unserer Mitarbeiter:innen zu unterstützen? Können wir im Tagesgeschäft...

Wie können wir Anreize schaffen, um das persönliche Engagement unserer Mitarbeiter:innen zu unterstützen? Können wir im Tagesgeschäft Energie (und sogar Kosten) sparen? Können wir durch unser Marketing die Nachfrage auf nachhaltigere Optionen lenken? Können wir in unserer Lieferkette Anreize für Nachhaltigkeit setzen? Viele dieser Schritte sind nicht einmal besonders schwierig und zusammen bringen sie uns dennoch voran.

2/3 #EarthDay #EarthActionDay

Der Tag der Erde steht dieses Jahr unter dem Motto "DU machst den Unterschied!"Natürlich darf sich davon jeder persönlich...

Der Tag der Erde steht dieses Jahr unter dem Motto "DU machst den Unterschied!"

Natürlich darf sich davon jeder persönlich angesprochen fühlen, aber wir sind der Meinung, dass das auch Unternehmen einschließen muss. Denn auch Unternehmen stellen sich die Frage „Was kann ich als einzelnes Unternehmen schon tun?“, und auch hier gibt es viele Maßnahmen, mit denen jedes Unternehmen dazu beitragen kann, unsere Gesellschaft und Wirtschaft nachhaltiger zu gestalten.

1/3 #EarthDay #EarthActionDay

Frohe Ostern von Lutra Security 🌸🐣🌷Wir wünschen allen ein erholsames und ruhiges Wochenende ohne Unterbrechungen durch...

Frohe Ostern von Lutra Security 🌸🐣🌷

Wir wünschen allen ein erholsames und ruhiges Wochenende ohne Unterbrechungen durch Cyber-Vorfälle oder -News!

📷 Toni Cuenca on Unsplash

It's alive! The CVE Program has secured another 11 months of funding, which can now be used to establish alternatives and secure other...

It's alive! The CVE Program has secured another 11 months of funding, which can now be used to establish alternatives and secure other sources of funding.

#MITRE published already a few new #CVE​s today, like this privilege escalation in the Nullsoft Scriptable Install System: https://fieldguide.lutrasecurity.com/CVE-2025-43715/

tHe eNd oF A LeGaCy?!?Cyber-attacks are not only an existential threat to businesses, they can also hit underground message boards: the...

tHe eNd oF A LeGaCy?!?

Cyber-attacks are not only an existential threat to businesses, they can also hit underground message boards: the infamous website 4chan, known not only for being an endless source of memes, but also for doxxing and coordinating cyber-attacks, spreading hate and conspiracy theories, has itself been hit by hackers.

The site has been offline since early this morning and internal data, including emails from moderators and the admin and parts of the source code, have been leaked. Many users who used to post anonymously on the message board are now worried about the consequences of their online behaviour.

The details of the hack are still unknown, but an outdated PHP tech stack seems to be the reason why access to databases, source code etc. is now possible. Reading about outdated PHP and leaked source code, and possibly database takeover, we immediately think of an unpatched RCE vulnerability, but we will probably find out soon.

#4chan #anonymous #infosec

WhatsApp hat letzte Woche eine Sicherheitslücke in seiner Windows-App geschlossen, die wir zum Anlass nehmen, um einmal über ein Problem...

WhatsApp hat letzte Woche eine Sicherheitslücke in seiner Windows-App geschlossen, die wir zum Anlass nehmen, um einmal über ein Problem zu sprechen, das wir leider viel zu oft sehen: Der unsichere Umgang mit vom Nutzer bereitgestellten Dateien.

Viele Anwendungen ermöglichen es den Nutzern, die unterschiedlichsten Dateien hochzuladen. Und weil UX wichtig ist (wir meinen das nicht mal ironisch), bietet die Anwendung je nach Dateityp unterschiedliche Funktionen an: Bilder werden angezeigt, PDFs bekommen eine Vorschau und Textdateien können vielleicht sogar bearbeitet werden. Und die Dateien können natürlich auch wieder heruntergeladen werden. Aber wie erkennt eine Anwendung überhaupt, um welchen Dateityp es sich handelt?

Windows macht das über die Dateiendung, Linux setzt auf ein wenig Magie (und den Befehl "file") und Webanwendungen kommunizieren den Typ explizit über den MIME-Type-Header. Keiner dieser Ansätze ist unfehlbar, und insbesondere wenn zwei Systeme mit unterschiedlichen Ansätzen zusammenarbeiten müssen, kann es schon mal vorkommen, dass eine Datei mitten in der Verarbeitung ihren Typ wechselt.

Das ist jetzt zum Beispiel bei WhatsApp passiert. Die Dateivorschau orientierte sich noch am MIME-Typ, aber wenn ein Nutzer versuchte, die Datei lokal unter Windows zu öffnen, war plötzlich die Dateiendung entscheidend. Im schlimmsten Fall würde das bedeuten, dass statt des Bildbetrachters Malware ausgeführt wird.

https://fieldguide.lutrasecurity.com/CVE-2025-30401/

Wie kann man so etwas verhindern? Indem man sich bei der Entwicklung immer wieder ganz bewusst fragt: Was habe ich hier eigentlich vor mir? Welche Annahmen kann ich über die Daten machen und welche nicht? Und natürlich durch konsequentes Testen, zum Beispiel mit einem Application Pentest oder einem Secure Code Review.

Cyber-Bedrohungen können für Unternehmen existenzgefährdend sein. Das zu ignorieren ist unvereinbar mit einer verantwortungsvollen...

Cyber-Bedrohungen können für Unternehmen existenzgefährdend sein. Das zu ignorieren ist unvereinbar mit einer verantwortungsvollen Unternehmensführung. Das muss aber kein Grund für schlaflose Nächte sein, denn Unternehmen, die sich mit der Bedrohung auseinandersetzen, können ihr auch begegnen und viele Probleme lösen, bevor sie überhaupt auftreten.

Wir helfen Ihnen gerne, Ihr Unternehmen nachhaltig sicherer zu aufzustellen, damit Sie beruhigt ins Wochenende gehen können.

Haben Sie Angst vor Cyberangriffen? Ist die Angst übertrieben oder angemessen?Wir glauben, das sind Fragen, die sich jeder stellen sollte....

Haben Sie Angst vor Cyberangriffen? Ist die Angst übertrieben oder angemessen?

Wir glauben, das sind Fragen, die sich jeder stellen sollte. Wir als Menschen tendieren dazu Risiken entweder zu verdrängen oder in Panik zu verfallen. Dabei lassen sich die meisten Risiken managen, wenn wir den Mut zusammennehmen um sie zu verstehen.

There are many ways attackers can breach your organization, some of them so sophisticated that it can be daunting to even try to defend...

There are many ways attackers can breach your organization, some of them so sophisticated that it can be daunting to even try to defend against them. However, these attacks account only for a small fraction of all successful attacks. The majority of attacks result from compromised credentials and vulnerabilities in unpatched software. And those are two attack vectors that even small companies can do something about.

Remember, you don't have to be perfect. Do what you can do.

We're all fools every day, trying to figure out what's true and what's just lies. That's why you won't get any April...

We're all fools every day, trying to figure out what's true and what's just lies. That's why you won't get any April Fool's hoax from us. You can trust us 365 days a year.

A year and a half ago we decided that enough was enough and retired our Twitter account. Since then Twitter has become X and a cesspool that...

A year and a half ago we decided that enough was enough and retired our Twitter account. Since then Twitter has become X and a cesspool that we do not want to be associated with even through a dormant account.

That's why we have deleted our account today and no longer have any presence there.

#eXit #Xodus #HelloQuitX #HelloQuitteX

Happy #DORA Day für alle, die feiern. Ab heute gilt der Digital Operational Resilience Act, der Finanzunternehmen resilienter gegen...

Happy #DORA Day für alle, die feiern. Ab heute gilt der Digital Operational Resilience Act, der Finanzunternehmen resilienter gegen Cyberangriffe machen soll.

Wenn ihr ein Finanzunternehmen seid und noch einen Pentest benötigt (sei es für einzelne Systeme oder für das gesamte Unternehmen als TLPT): Meldet euch bei uns!

https://lutrasecurity.com/regulations/dora/

Thanks for all the followers! We love lurking around with you.#Wrapstodon

Thanks for all the followers! We love lurking around with you.

#Wrapstodon

One week ago we were at #BSidesMunich2024 and if you didn't get a chance to attend, you can now catch up by watching the recordings.For...

One week ago we were at #BSidesMunich2024 and if you didn't get a chance to attend, you can now catch up by watching the recordings.

For example, @weddige's talk about Kobold Letters And Other Mischief: https://www.youtube.com/watch?v=ko9cwRM3BZU

#KoboldLetters #SalamanderMIME

Wie können Unternehmen vor Cyber-Angriffen geschützt werden? Eine einfache Frage, die sich so allgemein nur schwer beantworten lässt,...

Wie können Unternehmen vor Cyber-Angriffen geschützt werden? Eine einfache Frage, die sich so allgemein nur schwer beantworten lässt, denn sie hängt von einer ganzen Reihe weiterer Fragen ab. Was soll geschützt werden? Wovor soll es geschützt werden? Und welche Sicherheitsprobleme kennen wir bereits?

Diesen Fragen wollen wir uns in einer neuen Artikelserie widmen und den Anfang macht der .DE-Domains Healthcheck: Wie sieht das deutsche Internet eigentlich aus der Sicht eines Angreifers aus?

https://lutrasecurity.com/articles/de-healthcheck-ports-2024/

#InfoSec #CyberSecurity #ITsecurity

We had a great time at @BSidesMunich yesterday. A big thank you to the whole organising team who made this great event possible. We are...

We had a great time at @BSidesMunich yesterday. A big thank you to the whole organising team who made this great event possible. We are happy to have been able to support it as a sponsor, volunteer and with a talk by our co-founder @weddige about "Kobold Letters and Other Mischief".

We are already looking forward to next year.

#BSidesMunich2024