Roman

I have analyzed a smart garage door opener from @merosshome. This was a really fun project which lead to be able to open random garages. infosec.rm-it.de/2021/06/18/mer…

@puppetize are you aware that Microsoft deployed your agent in those VMs and distributed them?

You can just host a server under a default hostname that the client will periodically try to connect to. As a puppet server you can just automatically have SYSTEM privileges on the VM, see here for the full journey to get there: infosec.rm-it.de/2025/02/17/mic…

I found a way to remotely compromise the Windows 10 Microsoft Edge Developer VM with no user interaction. For some unknown reason Microsoft installed Puppet in this VM but didn’t configure it.

Another @github Copilot example fail. It tells you that the code covers scenarios such as input with comments, invalid date format, and invalid value format. The code it produced does no such thing.

Although I can't think of a filetype right now that is >128k and not a file, if you use this as an example for something else, you might have a bad time. Does nobody proof read these examples?

Are you doing "| xargs" or the weird "-exec cp {} dest \;" way that I always get wrong on the first try? Additionally, if the user specifies already "all files" then "-type f" should certainly be used too.

Another case of "AI demo posted on vendor website is just plain wrong". This is currently on the @github Copilot site (github.com/features/copil…). The prompt is "how do i copy all the files bigger than 128k" and it answers: "find . -size +128k" This doesn't copy anything.

@MoneyMoneyApp Ich habe bei DKB nachgefragt und sie sagen: > Seit mehreren Jahren dürfen Wertpapierangelegenheiten nicht mehr über Finanzsoftware o.ä. abgewickelt und angezeigt werden. Dazu gehört neben dem Handeln auch die Bereitstellung von Dokumenten. Stimmt das? Ich finde da nichts dazu.

@MoneyMoneyApp Kann ich voll verstehen. Auf der anderen Seite, jemand wie ich der die Dokumente auf jeden Fall in MoneyMoney haben will, muss dann auch per 2FA sich einloggen, das Dokument runterladen, in MoneyMoney importieren und dem Account zuordnen. Ich würde die 2FA bei euch bevorzugen ;)

@MoneyMoneyApp sehe ich es richtig, dass Wertpapierdokumente von @dkb_de einfach gar nicht mehr abgerufen werden können über FinTS/MoneyMoney? Habt ihr vor das per Web-Scraping irgendwann zu implementieren? Bringt es etwas sich bei @dkb_de deshalb zu beschweren?

At this point I think banks that don't deploy proper SPF and DMARC should be held (partially) accountable if customers fall for phishing. Example of dkb.de / @DKB_de : SPF: ~all DMARC: p=none I mean, come on. It's 2024!

✅ OpenSSH too old for CVE-2024-6387 "Security through obsolescence"

@faker_ ✅ sshd too old for CVE-2024-6387 / regreSSHion

#9.8p1" target="_blank" rel="nofollow noopener">openssh.com/releasenotes.h… qualys.com/2024/07/01/cve…

Wow, RCE in OpenSSH! "A critical vulnerability in sshd(8) was present in Portable OpenSSH versions between 8.5p1 and 9.7p1 (inclusive) that may allow arbitrary code execution with root privileges." Note: portable here means, non-OpenBSD versions. This does affect Linux versions

Granted, the warning is not well documented and circumvention is probably worthless if users didn't know in the first place that it existed. Someone at Apple still implemented it for some reason.

Apple decided that circumventing a warning shown on emails where the from and reply-to addresses don't match is not a security issue. Well, then I publicly disclose the issue. infosec.rm-it.de/2024/06/24/cir…

Ich bin ja wirklich gespannt ob ihr das bis September noch hinbekommt und was da dann sonst noch alles nicht geht. Müsst ihr die Wertpapierdokumente nicht eigentlich zustellen? Ach, was weiss ich schon. Wird die Bafin dann schon regeln.

Im alten Banking: Bitte das neue Web Banking benutzen, das alte wird im September abgeschalten. Ugh, na gut, wieder erstmal suchen wo dort jetzt die Inbox ist und siehe da: Auch im neuen Web Banking gibt es keine Wertpapierdokumente!

@DKB_de ihr treibt mich langsam wirklich in den Wahnsinn. Ich öffne die "neue" App, möchte Wertpapierdokumente ansehen. Geht nicht, ist noch nicht implementiert, hier ein Link zum alten Banking via Web.