Guten Morgen und herzlich willkommen zum KDB-Tech-Update!
Guten Morgen liebe Tech-Freunde! Willkommen zum morgendlichen KDB-Tech-Update. Heute haben wir wieder spannende Themen für euch im Gepäck. Wir starten mit den neuesten Entwicklungen in der Welt der Quantencomputer und der Post-Quanten-Kryptografie, werfen einen Blick auf einen beunruhigenden Cyberangriff auf die Deutsche Flugsicherung und decken schwerwiegende Sicherheitslücken in beliebten Open-Source-Anwendungen auf. Außerdem stellen wir euch das vielversprechende KI-Projekt Strawberry von OpenAI vor und zeigen, wie ihr mit der Open-Source-KI Flux eure eigenen Superhelden-Bilder erstellen könnt. Los geht’s!
Quantencomputer vs. Kryptografie: Der Wettlauf um die digitale Sicherheit
In der heutigen digitalen Welt ist die Sicherheit von Daten von größter Bedeutung. Mit dem Aufkommen von Quantencomputern, die das Potenzial haben, traditionelle Verschlüsselungsmethoden zu übertreffen, stehen wir vor einer entscheidenden Herausforderung: Wie können wir unsere Daten auch in einer Ära schützen, in der Quantencomputer existieren? Dieser Beitrag beleuchtet die Entwicklungen im Bereich der Post-Quanten-Kryptografie und die Bemühungen, die digitale Sicherheit zu gewährleisten.
Die National Institute of Standards and Technology (NIST) hat seit 2016 an der Entwicklung von Standards gearbeitet, die gegen Angriffe durch Quantencomputer resistent sind. Vor kurzem wurden die ersten drei Standards der Post-Quanten-Kryptografie veröffentlicht: ML-KEM, ML-DSA und SLH-DSA. Diese neuen Verfahren sollen sicherstellen, dass Daten auch in einer Zukunft, in der leistungsfähige Quantencomputer verfügbar sind, geschützt bleiben. ML-KEM ist speziell für die verschlüsselte Kommunikation zwischen Websites und Servern konzipiert, während ML-DSA und SLH-DSA zur Erstellung und Überprüfung digitaler Signaturen dienen.
Aktuell sind die existierenden Quantencomputer noch nicht leistungsfähig genug, um gängige Verschlüsselungen wie den RSA-Schlüssel zu knacken. Dennoch machen Forscher wie die von IBM Fortschritte bei der Fehlerkorrektur und der Verbesserung der Qubits, was darauf hindeutet, dass Quantencomputer bis 2035 eine ernsthafte Bedrohung darstellen könnten.
Weltweit arbeiten zahlreiche Forschungsgruppen an neuen Verfahren der Post-Quanten-Kryptografie. Obwohl die NIST anfangs 69 Algorithmen als Kandidaten in Betracht zog, haben sich einige vielversprechende Ansätze als unsicher herausgestellt, da Lücken in der Implementierung entdeckt wurden. Die Entwicklung robuster kryptografischer Verfahren ist also ein fortlaufender Prozess, der ständige Aufmerksamkeit und Innovation erfordert.
Zusammenfassend lässt sich sagen, dass die digitale Sicherheit in einer Zeit, in der Quantencomputer immer näher rücken, sowohl Herausforderungen als auch Chancen bietet. Die Bemühungen um die Entwicklung von Post-Quanten-Kryptografie sind entscheidend, um sicherzustellen, dass unsere Daten auch in Zukunft geschützt bleiben. Es bleibt abzuwarten, welche weiteren Fortschritte in den kommenden Jahren erzielt werden, um die digitale Welt sicherer zu machen.
Cyberangriff auf Deutsche Flugsicherung – Steckt APT28 dahinter?
In einem alarmierenden Vorfall hat die Deutsche Flugsicherung (DFS) einen Cyberangriff bestätigt, der bereits in der vergangenen Woche stattgefunden hat. Laut der Behörde, die auf Anfrage des Bayerischen Rundfunks (BR) Stellung genommen hat, sind die Sicherheitsbehörden über den Vorfall informiert worden. Medienberichten zufolge könnte eine Hackergruppe mit Verbindungen zum russischen Geheimdienst für den Angriff verantwortlich sein.
Die DFS hat erklärt, dass die Eindringlinge erfolgreich in die „administrative IT-Infrastruktur“, konkret in die Bürokommunikation der DFS GmbH, eingedrungen sind. Ein Sprecher der DFS betonte, dass man sich intensiv mit Abwehrmaßnahmen beschäftigt und bestrebt ist, die Auswirkungen des Angriffs auf ein Minimum zu begrenzen. Trotz des Angriffs läuft der Flugverkehr weiterhin normal, was auf die effektiven Gegenmaßnahmen der DFS hinweist.
Es gibt Hinweise auf die Beteiligung von APT28, einer Gruppe, die auch unter dem Namen „Fancy Bear“ bekannt ist und mutmaßlich dem russischen Militärgeheimdienst GRU untersteht. Die Zuordnung eines Cyberangriffs zu seinen Urhebern stellt sich jedoch als äußerst schwierig dar, da Angreifer in der Regel keine eindeutigen Beweise für ihre Urheberschaft am Tatort hinterlassen. Dies unterscheidet APTs (Advanced Persistent Threats) von Ransomware-Gruppen, die oft offen mit ihren Lösegeldforderungen konfrontieren.
Ein kürzlich durchgeführter Sicherheitscheck durch zwei Experten brachte ans Licht, dass es eine Sicherheitslücke im Flugbetrieb gibt. Diese Experten konnten sich mittels einer SQL-Injection-Lücke als Mitarbeiter ausgeben und so Zugang zu sensiblen Sicherheitsbereichen der DFS erlangen. Diese Entdeckung wirft ein weiteres Licht auf die bestehenden Schwachstellen in der IT-Infrastruktur der Flugsicherung und die Notwendigkeit, diese umgehend zu beheben.
Insgesamt zeigt dieser Vorfall, wie verletzlich selbst kritische Infrastrukturen gegenüber Cyberangriffen sind und wie wichtig es ist, kontinuierlich in die Cyber-Sicherheit zu investieren. Die DFS steht vor der Herausforderung, nicht nur die aktuellen Angriffe abzuwehren, sondern auch zukünftige Bedrohungen zu erkennen und zu minimieren.
BSI deckt schwerwiegende Sicherheitslücken in Matrix und Mastodon auf
In einem kürzlich veröffentlichten Bericht hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit der Münchner Firma MGM Security Partners alarmierende Sicherheitslücken in den Open-Source-Anwendungen Matrix und Mastodon aufgedeckt. Diese Untersuchungen wurden im Rahmen des Projekts Caos 2.0, das sich auf die Analyse von Open-Source-Software fokussiert, durchgeführt. Dabei wurden sowohl der Messenger-Dienst Matrix als auch die Social-Media-Plattform Mastodon eingehend auf potenzielle Sicherheitsmängel geprüft.
Die Analyse von Mastodon, durchgeführt an der Version 4.1.6, ergab zwei hochriskante Sicherheitslücken, die als CVE-2023-46950 und CVE-2023-46951 klassifiziert wurden. Diese Schwachstellen betreffen Cross-Site-Scripting in der Software-Komponente Contribsys Sidekiq (Version 6.5.8), die es Angreifern ermöglicht, über manipulierte Nutzlasten vertrauliche Informationen zu extrahieren. Das BSI hat die Entwickler umgehend über diese Sicherheitsrisiken informiert, woraufhin die Programmierer entsprechende Maßnahmen zur Behebung der Schwachstellen ergriffen.
Zusätzlich wurde eine weitere Schwachstelle im Zusammenhang mit der Durchsatzratenbegrenzung (Rate-Limitierung) identifiziert. Diese Lücke wird durch die Verwendung von schwachen Passwörtern und die unlimitierte Enumeration von gültigen Benutzernamen verschärft. Für diese spezifische Schwachstelle wird derzeit eine Schwachstellennummer beantragt. Des Weiteren verwendet Mastodon 22 Abhängigkeiten von anderen Open-Source-Komponenten, die ebenfalls als kritisch oder hoch riskant eingestuft werden. Zu den weniger sicherheitsrelevanten Auffälligkeiten zählen überlange Gültigkeiten von Sessions, eingeschränkte Möglichkeiten zur CSS-Injektion sowie die unnötige Speicherung sensibler Daten in einem Cache.
Im Rahmen der Untersuchung der dezentralen Messaging-Plattform Matrix Synapse wurden einige als niedrig eingestufte Sicherheitslücken entdeckt. Auch hier wurde eine überlange Session-Gültigkeit festgestellt. Kritisch ist, dass nicht Ende-zu-Ende verschlüsselte, hochgeladene Dateien von jedem heruntergeladen werden können, sofern die ID des Uploads bekannt ist. Normalerweise privilegierte Nutzer durften zudem Umfragen, die von anderen Nutzern erstellt wurden, beenden. Auch eine Umgehung der Schwachstelle CVE-2023-32683 wurde entdeckt.
Bei der Prüfung des Matrix-Zugangsclients Element fanden die Experten ebenfalls eine niedrig eingestufte Sicherheitslücke. Diese betrifft einen nicht gesetzten Response-Header, der bei richtiger Konfiguration als Sicherheitsmaßnahme dienen könnte. Matrix wird in Deutschland unter anderem für den BwMessenger der Bundeswehr sowie für eine neue Kommunikationsplattform im Gesundheitswesen verwendet. Auch bei Synapse und Element wurden mehrere Abhängigkeiten mit bekannten Schwachstellen festgestellt.
Ein zentrales Ergebnis der Untersuchung war das Fehlen eines strukturierten Ansatzes zur regelmäßigen Identifikation und Behebung von Schwachstellen in den Codebasen von Mastodon und Matrix. Die Experten wiesen darauf hin, dass die hohe Anzahl an Code-Duplizierungen auf eine unorganisierte und chaotische Entwicklung der Projekte hinweist. Deshalb empfehlen sie sowohl für Mastodon als auch für Matrix eine manuelle oder automatisierte Verbesserung der Quelltextstruktur (Refactoring), um die Erweiterbarkeit und die Effizienz bei der Handhabung von Schwachstellen in Zukunft zu gewährleisten.
Das Kooperationsprojekt zwischen dem BSI und MGM Security Partners läuft bereits seit 2021 und hat das Ziel, die Sicherheit von populären Open-Source-Softwarelösungen zu prüfen und deren Entwickler beim Erstellen sicherer Codes zu unterstützen. Besonders im Fokus stehen Anwendungen, die zunehmend von Behörden oder Privatanwendern genutzt werden. Entdeckte schwerwiegende Schwachstellen werden den Entwicklern im Rahmen des Responsible-Disclosure-Verfahrens im Vorfeld mitgeteilt. In der Vergangenheit haben die Partner bereits andere Softwarelösungen wie die Videokonferenz-Tools Jitsi und BigBlueButton analysiert. Weitere Codeanalysen sind unter dem Titel Caos 3.0 in Planung.
Wird Strawberry das neue KI-Vorzeigemodell von OpenAI? Ein Blick auf das Projekt
In der Welt der Künstlichen Intelligenz gibt es ständig neue Entwicklungen und Innovationen, und OpenAI könnte mit seinem neuesten Projekt – Project Strawberry – einen bedeutenden Schritt nach vorne machen. Die Vorstellung des neuen KI-Modells wird für den Herbst 2024 erwartet und verspricht, viele der Herausforderungen zu adressieren, mit denen bestehende KI-Modelle, wie etwa ChatGPT, konfrontiert sind.
Project Strawberry wird als eine revolutionäre Anwendung beschrieben, die speziell für die Lösung komplexer Probleme entwickelt wurde. Ein zentrales Anliegen des Projekts ist die Reduktion von Halluzinationen, einem häufigen Problem bei aktuellen KI-Chatbots, die manchmal falsche Informationen als Tatsachen präsentieren. Strawberry soll in der Lage sein, präzise und verlässliche Antworten zu liefern und sogar mathematische Probleme zu lösen, die über die zuvor erlernten Daten hinausgehen.
Eine der Hauptstärken von Strawberry wird die Nutzung qualitativ hochwertiger Trainingsdaten sein, die das Modell in die Lage versetzen sollen, weniger oder gar nicht zu halluzinieren. Die Details über die spezifischen Verfahren, die Strawberry verwenden wird, sind derzeit noch unklar, jedoch wird spekuliert, dass es sich um eine Form der Prozessüberwachung handeln könnte, die OpenAI bereits in einem früheren Artikel thematisiert hat.
Ein weiterer interessanter Aspekt von Strawberry ist die Möglichkeit, dass es in bestehende Produkte wie ChatGPT integriert wird. Hierbei könnte eine sogenannte „Destillation“ zum Einsatz kommen, die es ermöglicht, eine vereinfachte Version des Modells zu erstellen. Diese Integration würde nicht nur die Benutzerfreundlichkeit erhöhen, sondern auch die Leistungsfähigkeit von ChatGPT steigern.
Zusätzlich zu seinen eigenen Fähigkeiten wird Strawberry auch als Werkzeug zur Generierung von Trainingsdaten für ein weiteres großes Projekt von OpenAI, bekannt als Orion, genutzt. Orion wird als das nächste große Sprachmodell des Unternehmens beschrieben, an dem derzeit ebenfalls intensiv gearbeitet wird.
Berichten zufolge wurde Strawberry bereits im Sommer 2024 den nationalen Sicherheitsbehörden in den USA vorgestellt, was auf die Relevanz und das Potenzial des Projekts hinweist. Die Kombination aus fortschrittlicher Technologie und der Fokussierung auf qualitative Daten könnte Strawberry tatsächlich zu einem neuen Vorzeigemodell im Bereich der KI machen.
Mit all diesen Entwicklungen bleibt die Frage, ob Strawberry tatsächlich die Antworten auf die drängendsten Herausforderungen der Künstlichen Intelligenz liefern kann und ob OpenAI damit an die Spitze der Innovationskurve zurückkehrt. Die kommenden Monate werden zeigen, wie sich dieses vielversprechende Projekt entfaltet und welchen Platz es in der Zukunft der KI-Technologie einnehmen wird.
Mit Open-Source-KI zu deinem eigenen Superhelden-Bild: So funktioniert es mit Flux
In der Welt der generativen Künstlichen Intelligenz ist die Open-Source-KI Flux aus Deutschland ein aufstrebender Stern. Seit ihrer Veröffentlichung hat sie viel Aufmerksamkeit auf sich gezogen und stellt eine ernsthafte Konkurrenz zu etablierten Tools wie Midjourney und Stable Diffusion dar. Doch Flux bietet nicht nur die Möglichkeit, beeindruckende Bilder zu generieren, sondern ermöglicht es Nutzern, ihre eigenen Fotos zu verwenden und diese als Grundlage für neue Bildkreationen zu nehmen. In diesem Beitrag zeigen wir dir, wie du dein eigenes Bild in verschiedene Szenarien, beispielsweise als Superman, umwandeln kannst – alles mit der Hilfe von Flux.
Der Einstieg: Was du benötigst
Bevor du mit der Erstellung deines eigenen KI-Bildes beginnen kannst, gibt es einige Voraussetzungen, die du erfüllen musst. Zunächst einmal ist die Nutzung von Flux nicht völlig kostenlos. Das Training des Modells kostet etwa fünf US-Dollar, und für jeden weiteren Dollar kannst du 13 Bilder generieren. Das bedeutet, dass du mit einem kleinen Budget bereits viele kreative Möglichkeiten hast.
- Kreditkarte: Du benötigst eine Kreditkarte, um die erforderlichen Credits zum Trainieren des Modells zu kaufen.
- Fotos von dir: Sammle rund 15 Fotos von dir. Achte darauf, dass diese eine angemessene Auflösung haben und dein Gesicht gut erkennbar ist.
- Account bei fal.ai: Registriere dich auf der Website des KI-Anbieters fal.ai. Hier kannst du Credits kaufen, die für das Training und die Generierung von Bildern verwendet werden.
Schritt-für-Schritt-Anleitung zum Trainieren des Modells
1. Credits kaufen
Um mit Flux zu arbeiten, musst du zunächst Credits erwerben. Gehe dazu auf die fal.ai-Website, klicke auf das kleine Plus-Symbol oben rechts und kaufe Credits im Wert von zehn Dollar. Das reicht für das Training und einige Bilder.
2. Hochladen deiner Fotos
Nach dem Kauf der Credits meldest du dich bei fal.ai an und navigierst zum Modell für das Training von Flux. Hier kannst du deine Fotos hochladen – entweder einzeln oder gesammelt als Zip-Datei. Du hast die Möglichkeit, einige Einstellungen vorzunehmen, wobei die Standardeinstellungen in der Regel ausreichen.
3. Trigger Word festlegen
Ein wichtiger Schritt ist das Festlegen eines sogenannten Trigger Words. Dieses Wort benötigst du später, um Flux mitzuteilen, dass du ein Bild von dir generieren möchtest. Wähle ein kreatives Wort – in unserem Beispiel haben wir „alterego“ verwendet.
4. Training starten
Nachdem du alles eingestellt hast, klicke auf „Start“ und warte einige Minuten, während die KI mit deinen Fotos trainiert. Sobald das Training abgeschlossen ist, findest du den Eintrag unter „Training history“. Klicke hier auf „Show output“ und kopiere die URL, die mit „lora.safetensors“ endet.
Generierung deiner Bilder
Jetzt ist es an der Zeit, dein Bild zu generieren! Wähle in der Modellübersicht „FLUX.1 [dev] with Controlnets and Loras“ aus. Klappe die „Additional Settings“ aus und füge die kopierte URL unter „Loras“ hinzu. Mit diesem Schritt verlinkst du Flux mit deinen Trainingsdaten.
Der Prompt
Um ein Bild von dir zu generieren, musst du einen Prompt erstellen, der das Trigger Word enthält. Wenn du zum Beispiel ein Bild als Superman möchtest, lautet der Prompt „alterego as Superman“. Achte darauf, dass du alle spezifischen Details angibst, die du in deinem Bild sehen möchtest. Wenn du im echten Leben eine Brille trägst, füge dies ebenfalls hinzu.
Unterstützung durch KI
Um die Erstellung von Prompts zu erleichtern, kannst du eine Sprach-KI wie ChatGPT oder Gemini nutzen. Bitte den Bot, dir Prompts zu erstellen, und stelle sicher, dass das Trigger Word immer enthalten ist und die Prompts in Englisch verfasst sind.
Die Ergebnisse
Die Resultate der Bildgenerierung sind oft beeindruckend. Obwohl Flux manchmal Bilder erstellt, die nicht ganz der Realität entsprechen, sind die meisten Resultate erstaunlich nah an echten Fotos der trainierten Person. Die Qualität der Bilder ist so hoch, dass es manchmal schwierig ist, echte Fotos von KI-generierten Bildern zu unterscheiden.
Herausforderungen und Risiken
Trotz der faszinierenden Möglichkeiten, die Flux bietet, gibt es auch ernsthafte Bedenken hinsichtlich des Missbrauchs. Es ist wichtig, dass du nur Fotos von dir selbst verwendest, um das Recht am eigenen Bild anderer nicht zu verletzen. Zudem ist der Safety Checker von fal.ai immer aktiv, um Missbrauch zu verhindern. Dennoch kann die API-Schnittstelle von Flux potenziell dazu verwendet werden, diese Sicherheitseinstellungen zu umgehen.
Mit der zunehmenden Realitätsnähe der generierten Bilder wird es immer wichtiger, gesellschaftliche, politische und regulatorische Rahmenbedingungen zu schaffen, um mit den Herausforderungen umzugehen, die solche Technologien mit sich bringen.
Das war’s für den morgendlichen KDB-Tech-Update! Bleib dran für unser abendliches Update mit weiteren spannenden Themen. Bis dahin, haltet die Ohren steif und die Firewalls hoch!