KDB-Tech-Update – Abendausgabe
Hallo zusammen und herzlich willkommen zum KDB-Tech-Update! Hier erfährst du alles Wichtige aus der Welt der Technologie und Innovation. Heute Abend haben wir spannende Themen für dich vorbereitet. Wir berichten über die neuesten Entwicklungen bei Android, eine mysteriöse Entdeckung aus vergangenen Zeiten, die europäische Antwort auf Paypal und Apple Pay, Tesla’s Robotaxi, die Nutzung von Youtube für KI-Training und eine Nginx-Alternative in Rust. Also, lehn dich zurück und lass dich informieren!
Android 15: Google will nicht, dass ihr Bluetooth ausschaltet – das ist der Grund
Google entwickelt eine Android-Funktion, die die Bluetooth-Verbindung eures Smartphones jeden Tag automatisch wieder einschaltet, wenn sie ausgeschaltet wurde. Das Ganze hat wohl mehrere Gründe. Das Bluetooth-Modul in Smartphones wird genutzt, um die Geräte etwa mit Kopfhörern oder Smartwatches zu koppeln. Doch die drahtlose Schnittstelle wird noch für weitere systemrelevante Dinge genutzt. Daher hat Google sich nun offenbar entschlossen, unter anderem in Android 15 eine neue Funktion zu integrieren, die Bluetooth einen Tag nach der Deaktivierung automatisch einschalten kann.
Besonders interessant ist dabei eine neue Funktion, die für das neue Find-my-Netzwerk genutzt wird, das Apples Wo-ist-Netzwerk ähnelt. Über dieses Netzwerk werden Milliarden von Android-Geräten miteinander verbunden, um verlorene Geräte wiederzufinden. Die teilnehmenden Geräte senden über Bluetooth ein Signal aus, das von anderen Geräten in der Nähe empfangen werden kann. Der Standort des sendenden Geräts wird dann verschlüsselt und auf den Google-Server hochgeladen, sodass nur der Besitzer des sendenden Geräts den Standort sehen kann.
Wenn Nutzer für den Einsatz des Netzwerks entscheiden, aber die Bluetooth-Funktion ihres Geräts deaktivieren, funktioniert das Netzwerk nicht wie vorgesehen. Daher wird Google mit Android 15 eine Funktion integrieren, um die Bluetooth-Funktion zu pausieren, anstatt sie komplett zu deaktivieren. So bleibt das Gerät erreichbar und kann anderen Personen helfen, verlorene Geräte zu finden.
Die Auto-on-Funktion für Bluetooth ist bereits Teil des AOSP-Codes und kann auch von anderen Herstellern in ihre Android-Version integriert werden. Es deutet sich an, dass das Feature nicht nur in Android 15 bleiben wird und auch in ältere Android-Versionen einfließen wird. Google kann das Bluetooth-Modul seit Android 13 per Google Play aktualisieren.
Das neue Find-my-Netzwerk von Google wird in den kommenden Tagen freigegeben und ermöglicht es, Smartphones zu finden, selbst wenn sie ausgeschaltet sind.
Neue Entdeckung: Ein mysteriöses Artefakt aus vergangenen Zeiten
Bei archäologischen Ausgrabungen in einer abgelegenen Region wurde ein faszinierendes Artefakt entdeckt. Es handelt sich um einen mysteriösen Gegenstand, der aus vergangenen Zeiten stammt und bisher noch nicht identifiziert werden konnte.
Die Ausgrabungen fanden in einer Region statt, die für ihre reiche Geschichte und die vielen antiken Ruinen bekannt ist. Das Artefakt wurde in einer gut erhaltenen Grabstätte gefunden, die vermutlich zu einer längst vergessenen Zivilisation gehört.
Das Artefakt selbst ist ein kleiner, metallischer Gegenstand in Form einer Scheibe. Es ist etwa handtellergroß und weist auf der Vorderseite eine komplexe Gravur auf. Die Gravur besteht aus verschiedenen Symbolen und Zeichen, die bisher noch nicht entziffert werden konnten. Die Rückseite des Artefakts ist glatt und weist keine weiteren Merkmale auf.
Archäologen und Historiker sind gleichermaßen fasziniert von dem Artefakt, da es keiner bekannten Kultur zugeordnet werden kann. Es weist keine Ähnlichkeiten mit anderen Artefakten aus der Region oder anderen Teilen der Welt auf. Die Gravur ist so einzigartig, dass bisher keine Vergleichsstücke gefunden werden konnten.
Es gibt verschiedene Theorien über den Ursprung und die Bedeutung des Artefakts. Einige Experten glauben, dass es sich um ein religiöses Objekt handeln könnte, das möglicherweise in Riten oder Zeremonien verwendet wurde. Andere vermuten, dass es sich um ein Werkzeug oder einen Gegenstand des täglichen Gebrauchs handelt.
Um die genaue Herkunft und Bedeutung des Artefakts zu bestimmen, werden weitere Untersuchungen und Analysen durchgeführt. Dabei sollen unter anderem die chemische Zusammensetzung des Materials und die genaue Entstehungszeit des Artefakts bestimmt werden.
Die Entdeckung dieses mysteriösen Artefakts wirft viele Fragen auf und könnte dazu beitragen, unsere Kenntnisse über vergangene Zivilisationen zu erweitern. Es bleibt abzuwarten, welche weiteren Erkenntnisse die Forschung in den kommenden Monaten und Jahren bringen wird.
Digitale Wallet: Kann Wero die europäische Antwort auf Paypal und Apple Pay werden?
Die European Payment Initiative (EPI), ein Zusammenschluss von 16 europäischen Banken und Finanzdienstleistern, plant die Etablierung eines neuen europäischen Zahlungssystems namens Wero. Mit der Wero-App sollen ab Juni Geldtransaktionen zwischen Mobilgeräten möglich sein. Das Ziel der EPI ist es, eine europäische Alternative zu den US-amerikanischen Bezahlsystemen wie Paypal und Apple Pay zu schaffen.
Zu den Gründungsmitgliedern der EPI gehören unter anderem die Deutsche Bank und die Sparkassen. Die DZ-Bank und die Commerzbank sind jedoch aus der Initiative ausgestiegen, da sie die hohen Kosten und den großen zeitlichen Aufwand als unverhältnismäßig empfanden. Trotzdem ist Joachim Schmalzl, Vorstandsmitglied des Deutschen Sparkassen- und Giroverbandes (DSGV) und Vorsitzender des EPI-Verwaltungsrates, zuversichtlich, dass Wero eine Erfolgsgeschichte werden könnte.
Wero soll den europäischen Banken Unabhängigkeit von den US-amerikanischen Lösungen bieten und verhindern, dass das Geschäft an große Digitalkonzerne wie Paypal, Apple und Google abgegeben wird. Die starke Abhängigkeit von den Digital Playern ist den Verantwortlichen bei Banken und Finanzdienstleistern schon länger ein Dorn im Auge.
Allerdings gibt es auch Kritik an der Initiative. Zum einen zweifeln einige an der Erfolgschance von Wero, da die EPI im Laufe der Entwicklung viele Mitglieder verloren hat und zunächst nur ein Teil der Banken mit an Bord ist. Zum anderen wird die Zweigleisigkeit der europäischen Banken kritisiert, da parallel dazu auch der digitale Euro entwickelt wird. Es wird befürchtet, dass dies zu Verwirrung und Ablehnung bei den Kunden führen könnte.
Ein weiterer Faktor, der den Erfolg von Wero beeinflussen könnte, ist die Akzeptanz bei Händlern und Einzelhandelsunternehmen. Neben der fehlenden Bekanntheit muss das System auch in die bestehenden Shopsysteme implementiert und von den Payment-Service-Providern akzeptiert werden.
Es bleibt abzuwarten, ob Wero tatsächlich zu einer europäischen Alternative zu Paypal und Apple Pay werden kann. Die Zukunft des Projekts hängt von verschiedenen Faktoren wie der Akzeptanz bei den Kunden und Händlern sowie der weiteren Entwicklung der EPI ab.
Elon Musk kündigt Robotaxi von Tesla an
Tesla-Chef Elon Musk hat angekündigt, dass das Unternehmen im August ein Robotaxi vorstellen wird. Dies ist eine Reaktion auf einen kritischen Bericht, der behauptet, dass Tesla seine Pläne für ein günstiges E-Auto im Bereich von 25.000 US-Dollar aufgegeben oder zumindest aufgeschoben hat.
Die autonomen Fahrfähigkeiten der Tesla-Fahrzeuge haben sich trotz früherer Ankündigungen von Musk nicht wie erwartet entwickelt. Auch von den sogenannten Robotaxis, die seit fast einem Jahrzehnt immer wieder im Gespräch sind, war in letzter Zeit nicht viel zu hören. Doch nun geht Musk in die Offensive.
In einem Meeting Ende Februar soll Musk entschieden haben, dass Tesla sich auf Robotaxis anstatt auf das 25.000-Dollar-Auto konzentrieren soll. Dies sei eine Reaktion auf die günstige Konkurrenz aus China, die aktuell auf dem europäischen und nordamerikanischen Markt aggressiv vorgeht.
Musk hat angekündigt, dass Tesla am 8. August das Robotaxi vorstellen wird. Es wurden zwar keine weiteren Details bekannt gegeben, aber es wird davon ausgegangen, dass sich das Datum auf den 8. August 2024 bezieht. Interessanterweise handelt es sich bei dieser Zahlenkombination um eine in rechtsextremen Kreisen beliebte Zahl. Musk verwendet oft den sogenannten „Kiffer-Code“ 420 in Bezug auf Startdaten von Raketen oder Aktienkursen.
Es bleibt abzuwarten, wie sich das Robotaxi von Tesla entwickeln wird und ob es die Erwartungen erfüllen kann. Aufgrund der bisherigen Probleme von Tesla im Bereich autonomes Fahren und der Konkurrenz aus China bleibt jedoch eine gewisse Skepsis bestehen.
OpenAI nutzt Youtube für KI-Training
OpenAI, der Mutterkonzern von ChatGPT und Sora, steht vor der Herausforderung, frische Datensätze zur Schulung ihrer KI-Programme zu bekommen. Es wurde nun bekannt, dass OpenAI über eine Million Stunden an Youtube-Videos genutzt hat, um das aktuellste Sprachmodell GPT-4 zu trainieren. Diese Nutzung von Youtube-Videos für das Training von KI-Modellen wirft jedoch rechtliche Fragen auf.
Laut einer Recherche der New York Times war sich OpenAI bewusst, dass die Verwendung der Youtube-Videos rechtlich fragwürdig ist, hielt es jedoch für machbar. Greg Brockman, Vorstand von OpenAI, soll persönlich an der Sammlung der verwendeten Videos beteiligt gewesen sein. Auf die Frage nach der Datengewinnung gibt OpenAI keine klare Antwort. Ein Unternehmenssprecher erklärte lediglich, dass OpenAI für jedes Modell „einzigartige“ Datensätze kuratiert und dabei verschiedene Quellen nutzt, darunter öffentlich verfügbare Daten und Partnerschaften für nicht öffentliche Daten.
Die Schwierigkeit für große KI-Unternehmen wie OpenAI besteht darin, an frische Trainingsdaten zu gelangen. Bis zum Jahr 2021 wurden bedenkenlos Datensätze für Trainingszwecke verwendet, bevor diese erschöpft waren. Laut der New York Times hat OpenAI dann begonnen, über die Transkription von Youtube-Videos, Podcasts und Hörbüchern zu diskutieren.
Google, Eigentümer von Youtube, hat auf die Nutzung von Youtube-Videos durch OpenAI reagiert und darauf hingewiesen, dass die Nutzungsbedingungen von Youtube das unbefugte Auslesen oder Herunterladen von Inhalten verbieten. Das Unternehmen ergreift technische und rechtliche Maßnahmen, um solche unbefugte Nutzung zu verhindern.
Auch Meta, einer der großen Konkurrenten von OpenAI, hat Schwierigkeiten, an frische Trainingsdaten zu gelangen. Das KI-Team von Meta hat laut der New York Times diskutiert, ob unzulässig urheberrechtlich geschützte Werke verwendet werden könnten. Es wird sogar erwogen, Buchlizenzen oder den Kauf eines großen Verlags für den Zugriff auf frische Trainingsdaten in Betracht zu ziehen.
Die Nutzung von Youtube-Videos für das Training von KI-Modellen zeigt also, wie schwierig es für KI-Unternehmen geworden ist, an frische und rechtlich einwandfreie Trainingsdaten zu gelangen. Dieses Problem wird weiterhin eine große Herausforderung für die KI-Branche darstellen.
Cloudflare veröffentlicht in Rust geschriebene Nginx-Alternative
Cloudflare, ein Anbieter von Content Delivery Networks (CDN) sowie Sicherheits- und DNS-Diensten, hat sein Pingora-Framework als Open Source veröffentlicht. Pingora ist in Rust geschrieben und fungiert als Proxy für HTTP/1, HTTP/2, gRPC und Websockets. Es plant auch die Unterstützung von HTTP/3. Die API von Pingora orientiert sich an der bekannten OpenResty-API von Nginx.
Pingora bietet anpassbare Funktionen für Failover und Load-Balancing. Es ist sicherer und leistungsfähiger als vergleichbare C/C++-Software, da es in Rust geschrieben ist und konsequent Multithreading nutzt. Bei Cloudflare wird das Tool seit über einem Jahr erfolgreich eingesetzt und verarbeitet 40 Millionen Requests pro Sekunde.
Im Cloudflare-Blog wird über weitere Features und mögliche Einsatzfelder von Pingora berichtet. Es werden auch Beispiele gegeben, wie man mit dem Framework arbeiten kann. Interessierte können Pingora auf GitHub herunterladen, wo es mit ausführlicher Dokumentation zur Verfügung steht.
Sichere Softwareentwicklung: Jetzt noch Vortrag zur heise devSec einreichen
Die heise devSec ist eine Konferenz zur sicheren Softwareentwicklung, die am 25. und 26. September in Köln stattfindet. Das Motto der diesjährigen achten Auflage lautet „Sichere Software beginnt vor der ersten Zeile Code“. Die Veranstaltung richtet sich an IT-Profis, insbesondere Softwareentwicklerinnen und -architekten, Projektleiterinnen und Teamleiter, sowie Sicherheits- und Qualitätsbeauftragte.
Die heise devSec 2024 beschäftigt sich mit der Erkennung und Verbesserung der Security von Anwendungen. In Zeiten immer ausgefeilterer Angriffsvektoren während der Entwicklung von Projekten, wie zuletzt beim Vorfall um die xz-Hintertür, ist es von großer Bedeutung, Sicherheitslücken frühzeitig zu erkennen und zu schließen.
Die Veranstalter, iX, heise Security und dpunkt.verlag, suchen noch bis zum 15. April Vorträge und Workshops zu verschiedenen Themen im Bereich sichere Softwareentwicklung. Dazu gehören unter anderem Entwurf und sichere Architekturen, KI in der Softwareentwicklung, Security by Design, Security Engineering, Supply Chain Security, Sichere Freie und Open-Source-Software und deren Entwicklung, korrekter Einsatz von Kryptografie, DevSecOps, sichere Software und datenschutzkonforme Umsetzung, sowie Compliance-orientierte Entwicklung für deutsche und internationale Märkte. Erfahrungsberichte sind besonders erwünscht.
Interessierte können sich für den Newsletter der heise devSec anmelden oder den Veranstaltern auf Twitter folgen, um über den Verlauf der Konferenz informiert zu werden. Der offizielle Hashtag lautet dieses Jahr #devSec24. Das Programm wird Mitte Mai veröffentlicht.
Frühentschlossene haben die Möglichkeit, Tickets für die Herbstkonferenz zum besonders günstigen Blind-Bird-Tarif von 949 Euro zu erwerben.
Nach mehreren IT-Security-Vorfällen: Ivanti gelobt in offenem Brief Besserung
Der IT-Sicherheitsdienstleister Ivanti hat in den letzten Monaten mit mehreren IT-Security-Vorfällen zu kämpfen gehabt. Es wurden hartnäckige Backdoors auf Ivanti-Geräten entdeckt, die US-Behörden mussten die Geräte sogar vom Netz nehmen und es gab Berichte über Sicherheitslücken in den VPN-Appliances des Unternehmens. Um das Vertrauen der Kunden wiederzugewinnen, hat der CEO von Ivanti einen offenen Brief und ein Video veröffentlicht, in dem er Besserung verspricht.
Im Februar 2024 verhängte die US-amerikanische Cybersicherheitsbehörde CISA eine Notfallverordnung, nachdem die VPN-Appliances Connect Secure und Policy Secure Ziel von Attacken wurden. Alle US-Behörden wurden angewiesen, die Ivanti-Geräte sofort vom Netz zu nehmen. Im März wurden dann Berichte über hartnäckige Hintertüren in Ivanti-Produkten bekannt. Sicherheitsforscher berichten, dass das von Ivanti bereitgestellte „Integrity Checker Tool“ nicht zuverlässig funktioniert und Backdoors auf infizierten Systemen unerkannt bleiben können. Zudem sollen sich die Hintertüren persistent auf den Geräten einnisten und selbst nach einer Rücksetzung auf Werkseinstellungen bestehen bleiben.
Nun sind erneut Sicherheitslücken in den VPN-Appliances Connect Secure und Policy Secure aufgetaucht. Weltweit gibt es derzeit über 16.500 angreifbare Systeme, weshalb Admins dringend die verfügbaren Sicherheitsupdates installieren sollten. Bereits im Jahr 2023 gab es ebenfalls Sicherheitsprobleme bei Ivanti. Damals wurde eine Sicherheitslücke in der Software Endpoint Manager Mobile (EPMM) entdeckt, die von Angreifern genutzt wurde, um norwegische Ministerien anzugreifen.
Um solche Vorfälle in Zukunft zu vermeiden oder effektiver darauf reagieren zu können, hat der CEO von Ivanti einen mehrstufigen Plan vorgestellt. Dieser beinhaltet unter anderem eine stärkere Berücksichtigung von Sicherheitsaspekten bei der Entwicklung neuer Produkte sowie Partnerschaften mit IT-Sicherheitsunternehmen, um das IT-Sicherheitsökosystem von Ivanti widerstandsfähiger zu machen. Zudem will das Unternehmen den Austausch mit Kunden intensivieren.
Details zu den geplanten Maßnahmen sind in dem offenen Brief des CEOs zu finden. Dort werden die Punkte „Erhöhung der Produktsicherheit und Einführung von Secure by Design-Prinzipien“, „Verbesserung des Programms zur Verwaltung von Schwachstellen“, „Verbesserte Unterstützung für sichere Produktimplementierungen im Feld“ und „Austausch von Informationen mit Kunden und Community“ genauer erläutert.
Es bleibt abzuwarten, ob Ivanti mit den angekündigten Maßnahmen das Vertrauen der Kunden zurückgewinnen kann und die Sicherheitsvorfälle der Vergangenheit hinter sich lassen kann.
iX-Workshop IT-Sicherheit: Penetrationstests verstehen, ausschreiben, auswerten
Der Artikel auf heise online beschäftigt sich mit dem Thema Penetrationstests und wie Unternehmen diese effektiv einsetzen können, um Schwachstellen in ihrer IT-Infrastruktur aufzudecken. Penetrationstests sind Maßnahmen, bei denen die IT-Systeme und Netzwerke eines Unternehmens mit den gleichen Methoden und Techniken, die auch von echten Angreifern oder Hackern verwendet werden, auf ihre Sicherheit überprüft werden. Dadurch können potenzielle Schwachstellen identifiziert und behoben werden.
Der Artikel erwähnt, dass Unternehmen die Wahl haben, ob sie die Penetrationstests selbst durchführen oder einen externen Experten damit beauftragen. Für die Durchführung eines Penetrationstests ist eine Ausschreibung erforderlich, in der der Umfang und die Schwerpunkte des Tests festgelegt werden. Die Parameter richten sich nach der individuellen Infrastruktur des Unternehmens und den spezifischen Anforderungen.
Um Unternehmen dabei zu unterstützen, ihre IT-Systeme und Anwendungen professionell durchleuchten zu lassen, bietet die iX-Workshop-Schulung „Penetrationstests: Methodik verstehen, richtig ausschreiben und Ergebnisse auswerten“ eine Möglichkeit, das Verständnis für Penetrationstests zu erweitern. Der Workshop findet vom 16. bis 17. April 2024 statt und vermittelt an zwei Vormittagen Methodenkompetenz für Testbereiche wie Port- und Vulnerability-Scans, Webanwendungen und Endgeräte. Dabei werden auch klassische Fallstricke bei der Durchführung von Penetrationstests sowie bei der Analyse und Bewertung der Ergebnisse behandelt.
Der Workshop wird von Tobias Glemser geleitet, der als Sicherheitsexperte und Geschäftsführer des IT-Sicherheitsunternehmens secuvera über umfangreiche Praxiserfahrung verfügt. Er ist BSI-zertifizierter Penetrationstester und Technischer Leiter für Penetrationstests. Zudem ist er der Chapter Lead des OWASP German Chapter.
Interessierte können sich für den Workshop anmelden, der online stattfindet. Neben dem Termin im April gibt es auch weitere Termine im September und November 2024. Weitere Informationen und die Möglichkeit zur Anmeldung finden sich auf der Website.
