Security Research
Wir denken IT-Sicherheit weiter: Unser Team hat sich dem Ziel verschrieben, die Spitzenforschung im Bereich des Hackings kontinuierlich voranzutreiben. Wir haben Vorträge und Paper auf renommierten Konferenzen präsentiert, an Top-Hacking-Wettbewerben wie DefCon CTF oder Pwn2Own teilgenommen und mehrere Teammitglieder arbeiten an ihrer Promotion.
- By revealing the content you are aware that third-parties may collect personal information
Pwn2Own Toronto 2022
Auf der Pwn2Own 2022 in Toronto haben wir einen Angriff präsentiert, der drei verschiedene Bugs kombiniert. Für unseren erfolgreichen Exploit in der SOHO-Kategorie wurden wir mit 50.000 Dollar, 10 Master of Pwn-Punkten und - natürlich - einem Drucker belohnt. Wir freuen uns, unsere Erfahrungen mit dem Hacken in einem komplett entfernten Team zu teilen.
- By revealing the content you are aware that third-parties may collect personal information
SPACE Conference 2022
Wir vergleichen in einer eingebetteten Umgebung KEMTLS (ein alternatives TLS-Handshake-Protokoll, das die Authentifizierung durch Signaturen im TLS-Handshake vermeidet) mit TLS 1.3. Unsere Ergebnisse zeigen, dass KEMTLS im Vergleich zu TLS 1.3 die Handshake-Zeit um bis zu 38% reduzieren, den Spitzenspeicherverbrauch senken und die Netzwerkauslastung verringern kann.
- By revealing the content you are aware that third-parties may collect personal information
Solana Breakpoint
In unserem Vortrag 'Think Like an Attacker: Bringing Smart Contracts to Their Break(ing) Point' geben wir Einblicke in die Denkweise eines Angreifers, die bei der Entwicklung zukünftiger Smart Contracts hilfreich sein können. Die Präsentation basiert auf unseren Erfahrungen.
Recent Research
Bleiben Sie auf dem Laufenden über unsere neueste Forschung
Wir veröffentlichen laufend neue Paper, CVEs und detaillierte technische Blogposts. Bleiben Sie auf dem Laufenden, indem Sie unseren Blog aufmerksam verfolgen! Hier ist ein kleiner Einblick in unsere jüngsten Aktivitäten:
-
Paper: High-assurance zeroization https://eprint.iacr.org/2023/1713.pdf
-
Blogpost: CS:GO: From Zero to 0-day /blog/csgo_from_zero_to_0day/
-
Paper: KEMTLS vs. Post-Quantum TLS: Performance On Embedded Systems https://eprint.iacr.org/2022/1712.pdf
-
Event: Neodyme successfully participates in Pwn2Own Toronto 2022 https://www.zerodayinitiative.com/blog/2022/12/5/pwn2own-toronto-2022-the-schedule
Disclosure Policy
Wir nehmen Responsible Disclosure ernst.
Wir halten uns an die branchenübliche 90+30 Responsible-Disclosure-Regeln. Sobald wir einen Anbieter über eine Sicherheitslücke informieren, räumen wir diesem 90 Tage Zeit ein, um einen Patch zu erstellen und den Nutzern zur Verfügung zu stellen. 30 Tage, nachdem der Patch den Nutzern zur Verfügung gestellt wurde, veröffentlicht Neodyme die Details zur Sicherheitslücke. Wenn der Anbieter ein Problem nicht innerhalb der ersten 90 Tage behebt, behält sich Neodyme das Recht vor, die Details der Sicherheitslücke nach Ablauf der 90 Tage zu veröffentlichen. Der Anbieter hat jedoch die Möglichkeit, auf Anfrage eine zusätzliche 14-tägige Verlängerung der Frist zur Veröffentlichung eines Patches zu erhalten. In einem solchen Fall wird Neodyme die Details der Sicherheitslücke 120 Tage nach der ersten Veröffentlichung bekannt geben. Diese Regelung ist inspiriert von der Responsible Disclosure Policy von Google Project Zero.
Sichern Sie Ihr Unternehmen.
Machen Sie noch heute den richtigen Schritt.
Sie finden unsere Forschung interessant und möchten mit uns zusammenarbeiten? Kontaktieren Sie uns noch heute!