We updated our public report repository and there is now lots of new material.

Here you are, meanwhile 253 pentest reports, summary reports and papers:

https://github.com/cure53/Publications/tree/master#publications

Unser Gfrörli-Projekt (https://gfrör.li/ - Wassertemperaturen Schweiz) hat jetzt auch einen Threema-Bot! Ihr könnt ihn hier hinzufügen:

https://threema.id/*GFRORLI

Um die verfügbaren Befehle zu sehen, sende "/help" (siehe Screenshot).

Features:

- Sensoren auflisten
- Aktuelle Temperatur für einen Sensor anzeigen
- Stats für einen Sensor anzeigen
- Alerts erstellen, um informiert zu werden wenn ein Gewässer deine Ideal-Badetemperatur erreicht

#gfroerli #threema #wassertemperatur

«Es handelte sich nicht nur um einfache Menschen­rechts­verletzungen. Wir sprechen hier von Kriegs­verbrechen und von Völkermord.» sagt ein ehemaliger Google Zürich-Mitarbeiter zu mir.

Vor 2 Jahren habe ich aufgedeckt (Mitarbeit von Balz Oertli, WAV Recherchekollektiv), dass es innerhalb von Google Zürich beginnt zu rumoren. Früher hat Google einen offenen kritischen internen Diskurs gepflegt. So haben die Proteste noch 2018 dazu geführt, dass Google keine Zusammenarbeit mit dem Pentagon heute inne hat beim Projekt Maven (was heute nun Palantir macht).

Doch das ist heute anders: Kritikerinnen im Intranet werden mundtot gemacht und in Sitzungen gnadenlos abgestraft oder ignoriert.

Der Grund: Projekt Nimbus. Gemeint ist damit der Rahmenvertrag der "freien" Nutzung von Google KI und Rechenzentren durch das israelische Militär in Gaza.

Sein Team habe an KI- und Daten-Tools gearbeitet, die sehr nah beim Projekt Nimbus waren. «Und das war für mich wirklich problematisch.»

Denn die Google Cloud-Infrastruktur enthält Funktionalitäten wie Gesichtserkennung und Objekterkennung.

Das Schweizer Aussen­departement leitete aufgrund meiner Medienanfrage eine Unter­suchung wegen allfälliger Verstösse gegen das sogenannte «Söldnergesetz» in die Weg ein. Damit werden Schweizer Firmen reguliert, die Dienstleistungen für Kriegsparteien erbringen. Die "Unter­stützung der IT-Infrastruktur für Kriegslogistik" fällt auch unter das Gesetz.

Das EDA kam nach 1 Jahr Beratung zum Schluss. Nein: Google Schweiz fällt nicht unter das Söldnergesetz.

Ich hatte nach Monaten endlich Einblick in die ungeschwärzte Untersuchung. Darin steht: Google Schweiz-Personal bietet der israelischen Regierung Beratungsdienst­leistungen an, unter anderem zum Identitäts- und Zugangs­management sowie zur Schnittstellen­integration.

Und auch bei der Nutzung von KI.

Was jedoch noch viel brisanter ist:

Mir liegen noch weitere Dokumente vor.

Das Militär hatte Fragen an den Google-Konzern kurz nach dem 7. Oktober 2023 gestellt, also kurz nach den Terror­anschlägen der Hamas gegen Israel und dem Einmarsch in Gaza.

Ein Projektverantwortlicher aus den USA wies die Anfragen anschliessend verschiedenen Google-Ingenieurinnen zu, unter anderem auch in Zürich.

Inhaltlich geht es um Fragen der Armee zur Verarbeitung von Bildmaterial

Damit steht fest: Google Zürich unterstützt das israelische Militär, und zwar bei Fragen der Cloud-Infrastruktur sowie der verschiedenen KI-Funktionen.

Die Reaktionen aus der Politik dazu...und warum die Schweiz jetzt mit anderen Wassenaar-Staaten derzeit verhandelt, ob die Cloud-Infrastruktur unter die Exportkontrolle fallen muss.

=> https://www.republik.ch/2026/06/16/wie-google-schweiz-fuer-israel-arbeitet

Credits für GIF: Doug Chayka

Well, bitskrieg is public.

While Microsoft "fixed" YellowKey as CVE-2026-45585 (and by "fixed", I mean they have provided manual steps that you can perform if you want to remove autofstx.exe from the WinRE registry BootExecute value), bitskrieg still works on such a system to achieve the same goal (getting access to a TPM-only Bitlocker encrypted disk, without knowing any credentials on the system). Though it requires a second computer, or a device that can communicate on a serial port. VM reproduction requires adding a serial port to the VM. Physical machines can reproduce the same with a supported USB-to-serial device.

1. Boot into WinRe (hold [shift] when clicking reboot button)
2. Go to a command prompt, ignoring the prompt to enter a bitlocker recovery key. (Click Skip this drive)
3. Enable Emergency Management Services (EMS) to use a serial port as the EMS port.

4. Reboot back into WinRe
5. From your other computer, connect to the serial port.
6. Type:

cmd
[esc]
tab
-
7. Enjoy your cmd.exe prompt (over serial) with a decrypted (assuming it's TPM-only) hard disk.

Note: Depending on the lineage of your Win11 installation, your WinRE experience may not give you a CMD.EXE prompt immediately upon clicking Skip this drive. Instead, it may say Command Prompt is unavailable because the OS drive is locked. In this case, you'll need to reboot into the command prompt to set up EMS.

Mein Talk auf der GPN ist „Encoding, wie funktioniert das eigentlich?“. Die 215 Slides müssten ja genügen für eine Stunde, oder? Ich bin gespannt…

Tag 3 (Samstag Abend), ab 20 Uhr.
https://cfp.gulas.ch/gpn24/speaker/LQ9EDK/

Wer kommt mit?

#GPN24 #EncodingWTF

Frisch von der Presse: Du protestiert gegen neue Rechenzentren für Big Tech oder bist für Palästina? Dann solltest du die nächsten Abschnitte lesen.

Es könnte ein Revival des Fichenstaats geben. Wo genau solche Aktivitäten in Datenbanken des Geheimdiensts landen.

Noch vor vier Jahren sorgten dieselben Vorschläge für Entsetzen. Das Verbot Daten über politische Betätigung von Schweizer Einwohner:innen zu sammeln- nach dem Fichenskandal 1989 war dieser Grundsatz heilig

Doch das VBS wollte diese Bestimmungen 2022 lockern, wegen zunehmendem Extremismus.

Bundesrätin Viola Amherd riskierte damals einen Aufschrei- das Papier verschwand nach der Vernehmlassung in der Schublade.

4 Jahre später ist die Welt eine andere.

Die geopolitischen Spannungen nehmen zu, Russland wird zu einer echten Bedrohung für ganz Europa. Der Nachrichten­dienst warnt in seinem Lagebericht vor Spionage und Propaganda Russlands und Chinas.

Und der neue VBS-Chef Martin Pfister holte das Papier von 2022 aus der Schublade. In der Zwischen­zeit haben die rechten Parteien ihre Dominanz im nationalen Parlament ausgebaut.

Die Vorlage kommt morgen ins Parlament.

Der Nachrichten­dienst soll einen Freipass für die Daten­sammlung erhalten nach dem Credo «zuerst breit sammeln, dann gegebenen­falls aussortieren».

Dabei soll er allerlei Informationen aus dem «Cyberraum» sammeln und aufbewahren können, wobei unklar ist, was darunter zu verstehen ist (etwa auch der an das Internet angeschlossene smarte Kühlschrank?).

Mit dem neuen Gesetz soll der Grundsatz, dass der Geheim­dienst keine Informationen über die politischen Aktivitäten von Bürgerinnen sammeln darf, aufgeweicht werden – etwa mit der kryptischen Formulierung, dass Daten gesammelt werden dürfen, die zur «Beurteilung oder Steuerung von Quellen notwendig» seien.

Wie ein westlicher Staat ins Autoritäre kippen kann, zeigt sich gerade in den USA: Die dortigen ICE-Agenten ignorieren richterliche Genehmigungs­prozesse, setzen nicht bewilligte Abhör­antennen ein und beschaffen Standort­informationen bei Daten­brokerinnen, um Durchsuchungs­befehle zu umgehen.

Auch die Überwachung und die Registrierung von Aktivisten nehmen zu. So machte das Techmagazin «Wired» publik, dass die US-Regierung das Justiz­ministerium angewiesen hat, gegen jeden vorzugehen, der «antiamerikanische», «antichristliche» und «antikapitalistische» Überzeugungen vertritt.

Ausserdem stufen die Geheim­dienste Demonstranten, die gegen die Verbreitung von KI-Technologien sind – etwa gegen den Bau neuer Rechenzentren –, als «technik­feindliche Extremistinnen» ein.

Alle politischen Demonstrationen sollen damit neu überwacht und unter Strafe gestellt werden können.

Die Schweiz ist nicht die USA.

Doch mit dem revidierten Nachrichten­dienstgesetz droht ein ähnliches Szenario unkontrollierter Daten­sammelwut – der Aufbau einer Datenbank über politischen Aktivismus.

Mir macht das Sorgen.

Hier sieht du alle Verschärfungen zum Nachrichtendienstgesetz⬇️

https://www.republik.ch/2026/06/02/ctrl-der-nachrichtendienst-profitiert-vom-zeitgeist

You may have noticed I've been a bit quiet on social media recently, this is why...I'm going to present at Black Hat!

Can't wait to present these techniques! Here is a link to the abstract in case the screenshot is hard to read:

https://blackhat.com/us-26/briefings/schedule/index.html#css-the-bomb-inside-your-inbox-51909

Frontier AI has broken the open CTF format

Link: https://kabir.au/blog/the-ctf-scene-is-dead
Discussion: https://news.ycombinator.com/item?id=48157559