int[cube]

@[email protected]
41 Followers
79 Following
106 Posts
We help investors and SMEs address cybersecurity challenges pragmatically, measurably, and sustainably.
Websitehttps://www.intcube.io
GitHubhttps://github.com/intcube-io/
Cringe Networkhttps://www.linkedin.com/company/intcubeio
Xitter (defunct)https://twitter.com/intcubeio
(Ir)responsible for contenthttps://todon.eu/@ljrk
Pronounsthey/them
int[cube]Nov 2

Some people may know that one of the big influences for int[cube] was Mariana Mazzucato's book "The Big Con", where she succinctly analyzed the problems of brain-drain through consulting "best practices". While we try to do better (with the emphasis on try, we're no heroes nor saints), we've recently come across another woman author we want to promote.

Paulina Borsook wrote "Cyberselfish" in the 90s that offers a deep look into the whole "cyber" industry as a whole, including investors, tech-libertarian ideologies that are in conflict with democracy's basic tenets.

There are certain parallels to Mazzucato's analysis of consultancies in particular. Consultancies are often built upon the beliefs that the state is incompetent -- but moreover, they exist to render the state even more helpless and move power away from elected government bodies to big corporations. This is a big con that replaces democracy with some kind of oligarchy, often in the name of a meritocracy.

If you're interested in a profile of Borsook, we encourage you to read @gilduran.com's great thread on her here:

https://bsky.brid.gy/r/https://bsky.app/profile/did:plc:waplkqr2wuy2c4qbge6h6ed4/post/3lzm3dyh5js27

~lj

Show threadint[cube]Oct 17
Wer selber raten will: Von welchen dieser Adressen würdet ihr Microsoft-Mails legitim erwarten, und von welchen nicht? Bei welchen würdet ihr extra nachschauen, und bei welchen würdet ihr euch das sparen?
int[cube]Oct 17

Ein Kurs zu Phishing (eingeschränkt auf Logins phishen) in 3 Bildern.

  • Einschätzung der TN /vor/ dem Kurs
  • Einschätzung, nachdem sie gelernt haben, dass SPF/DKIM/DMARC existieren¹
  • Einschätzung, nachdem sie feststellen mussten, dass selbst SPF+DKIM+DMARC den Menschen alleine lässt², während wir ihnen auch gezeigt haben, wie #FIDO2/CTAP2³ selbst beim Reinfall auf bösartige E-Mails das Problem "Login-Stealing" komplett lösen würden.

    • Ich würde sagen: Mission erfolgreich :-)

    Es ist frustrierend, wie sehr wir in der IT darauf bestehen, dass Menschen (als Individuen) unfehlbar handeln müssen. Wenn wir wissen, dass Fehler menschlich sind, dann darf kein System davon abhängig sein, dass wir nie Fehler begehen. Ein System muss die wichtigsten Fehler direkt verhindern oder diesen resilient begegnen.

    Stattdessen wird unsere IT so gebaut, dass sie es z.T. aktiv schwer macht, die richtigen Entscheidungen zu treffen während wir mit riskanten Entscheidungen geradezu bombardiert werden.

    Dabei wäre es so einfach:
    • Asymmetrische Verschlüsselung (Basis für sicheren Schlüsselaustausch+Signaturen) wurde Mitte der 70er erfunden,
    • Challenge-Response-Verfahren (verhindern Informationsgewinn bei MitM, mit Nonce Replay-Sicher, mit Mutual Auth sogar Instant-Replay-Sicher) bereits Anfang des 20. Jhd.

    Aber anstatt einfach "moderne" Authentifizierung zu nutzen, wird den Usern die Schuld zu gewiesen. Und in Schulungen der Quatsch behauptet, T/HOTPs als 2F wären das A&O gegen Phishing. Dabei schützen die nur gegen reines Credential Harvesting + Password Stuffing, vernünftige Angreifer replayen die einfach instant und haben so die Session übernommen.

    Und natürlich gibt es immer einen übrig bleibenden menschlichen Faktor. Und wenn's nur darum geht, ob man entscheidet, ob man diese Technologien einsetzt oder nicht. Wir sind Menschen [[citation-needed]], wir bauen menschliche Systeme. Aber aktuell bauen wir Computer und behandeln die wie Menschen (künstliche "Intelligenz") und behandeln Menschen wie Computer.

    ¹ aber nicht flächendeckend eingesetzt werden
    ² weil wir problemlos sharepoint.intcube.io registrieren können und wer weiß ob das von Microsoft ist... -- wer mehr Ratespiele spielen möchte ⬇️ in den Kommentaren
    ³ auch gerne als #WebAuthn bzw. #Passkeys

    Show threadint[cube]Sep 19, 2025
    Or just scan this QR Code!!
    int[cube]Dec 4, 2024
    Office #Blahaj: acquired!
    int[cube]Jun 13, 2024

    Wir wurden wohl alle(!) von dem schon lange in InfoSec Zirkeln berüchtigt-bekannten Scammer #JeanPereira auf LinkedIn geblocked. Warum? Wohl weil ich (Janis) folgenden (zugegebenermaßen nicht sehr freundlichen) Quote-Post gemacht habe und kritische Kommentare hinterlassen habe :)

    Es gibt Namen deren reine Aussprache führt bei Hackern zu "Facepalms". Einer davon ist Jean Pereira, bekannt dafür "Exploits" zu vermarkten die keine sind und "Durchbruchlösungen" zu verkaufen die mit trivialsten Ansätzen die kompliziertesten Probleme lösen sollen. Und ich mag einfache Lösungen, aber das ist eben hier zu simpel gedacht.

    Die Grundidee ist die folgende: Bei jedem Dateizugriff wird die jeweils betroffene Datei von dem Tool ebenso in den RAM geladen. Bei einem darauf folgenden Schreibzugriff auf die gleiche Datei werden dann von dem Tool die ersten 20 Bytes (Header) gegen das Backup überprüft. Bei einer hinreichend großen Abweichung wird angenommen, dass dieser Schreibzugriff kein "legaler" Schreibzugriff ist sondern ein Überschreiben durch eine verschlüsselte Kopie darstellt.

    Diese Metrik ist einfach. Leider aber auch einfach zu umgehen, es ist trivial einen Locker so anzupassen, dass man einfach den Header unberührt lässt. Das führt also maximal zu einer einmaligen Anpassung aller Crypto-Malware und danach ist das ganze auch durch und vorbei. Und das ausrollen eines Updates für Crypto-Malware geht einfacher als das Ausrollen einer weiteren IT Schlangenöl-Lösung die

    a) alle Lese-/Schreibzugriffe überwacht
    b) mglw. unglaublich große Kopien im RAM vorhält
    c) und in Electron geschrieben ist und bestimmt regelmäßig Sicherheitsupdates benötigt.

    Viel Aufwand für nix. Danke Jean, ich weiß schon, einige von uns Leuten die echte Arbeit machen dürfen jetzt Management erklären, dass diese tolle Lösung der größte Mist ist. Wir haben eigentlich Besseres zu tun.

    Aber wir bleiben dabei. Das angepriesene Produkt hat keine lange Halbwertszeit und wird nur diverse Security Teams beschäftigen, aber keinen Benefit bringen. Und es bleibt bei #JeanPereiraIstEinHochstapler

    int[cube]Apr 8, 2024
    putStrLn "Hello World"

    We're yet another cyber^Winfosec consultancy!

    Mainly, we're fed up with the traditional consulting biz relying mostly on money extraction with only temporary (if any) gains by the clients. We don't want to just "be better" though, but want to try new things like "cohorts" (fancy words for group therapy) and try to build knowledge at our clients, rather than making them depend on us eternally.

    If there's no-one who needs our services anymore, we'd consider our mission accomplished :-)

    Our focus are mostly smaller and medium companies who are critically understaffed and cannot afford the Big 4. Our goal is to enable self-sufficient and sustainable security practices.

    Whatever the case, we finally created our account on the Fedi and look forward to our time together here! Expect more technical posts than on LinkedIn :'D

    Oh, and we also got nice stickers :3

    #introduction