Die Online-Community Reddit und der KI-Experte OpenAI haben eine Partnerschaft angekündigt. Im Zuge der Partnerschaft sollen Reddit-Inhalte in ChatGPT einfließen.

Nachdem Microsoft Ende 2023 die Secure Future Initiative (SFI) ins Leben gerufen hat, um sich auf Cyberangriffen vorzubereiten, macht der Konzern nun laut dem Executive Vice President Microsoft…

Mit Git v2.45.0 können die Entwickler ein Feature-Release ankündigen, dass auf 540 Commits von 96 Beitragenden bauen kann.

Cisco Talos, ein zu Cisco gehörendes Cybersecurity-Unternehmen,  beobachtet seit Mitte März 2024 einen weltweiten Anstieg von Brute-Force-Angriffen gegen eine Vielzahl von Zielen, darunter…

Mit einem Update beseitigt Google eine als kritisch eingestufte Lücke im Browser Chrome. Für die Zero-Day-Lücke gab es bereits einen Exploit.

Die quelloffene GitHub-Alternative für Entwickler li

Eine der letzten großen Bastionen der Mercurial-Nutzung ist gefallen. Die Firefox-Entwicklung wechselt komplett auf Git.

Für die Entwicklung des Firefox-Browsers wechselt Mozilla sein Versionskontrollsystem von Mecurial auf Git. Das kündigte Byron Jones an, der unter anderem für das Release Management der Software verantwortlich ist.

Das Quellcode-Repository soll zudem ausschließlich auf Github verfügbar sein. Die Werkzeuge und Dienste von Github selbst sowie die damit verbundenen Abläufe will Mozilla zunächst aber noch nicht umsetzen.

Mercurial entstand zu einer ähnlichen Zeit wie das heute in der Open-Source-Entwicklung dominante Git. Viele große Projekte, die Mercurial nutzten, gibt es aber inzwischen nicht mehr.

Schon im Jahr 2016 wechselte etwa die Standardimplementierung von Python von Mercurial auf Git, Facebook erstellte mit Sapling einen eigenen Ersatz. Standardmäßig genutzt wird Mercurial derzeit etwa noch von Nginx oder Pypy.

Als Begründung für die Entscheidung zum Wechsel bei schrieb Jones: “Lange Zeit hat die Firefox-Desktopentwicklung sowohl Mercurial- als auch Git-Nutzer unterstützt. Diese doppelte SCM-Anforderung stellt eine erhebliche Mehrbelastung für Teams dar, die zum Teil bereits überlastet sind.” Mozilla will mit seinem Schritt also vor allem Ressourcen einsparen.

Zum Ablauf hieß es, dass nach dem Umstellen des Repositorys die Mercurial-Clients von den Rechnern der Mitarbeiter entfernt werden sollen. Der eigentliche Arbeitsablauf zum Erstellen, Einreichen und Bearbeiten der Patches bleibt aber so wie bisher. Dazu setzt das Team auf bestehende Werkzeuge wie Phabricator.

Auch Bugzilla soll weiter genutzt werden. Die Github-Issues oder auch Pull Requests wird das Team also nicht nutzen. Darüber hinaus sollen noch auf Mercurial aufbauende interne Werkzeuge und Infrastruktur des Teams auf Git migriert werden, so dass Mozilla mittelfristig vollständig auf Mercurial verzichten kann.

Der Beitrag Firefox-Entwicklung wechselt auf Git und Github erschien zuerst auf Linux-Magazin.

Mozilla hat Updates für das Mozilla Observatory angekündigt. Der Sicherheitscheck-Service für Webseiten soll dann ein Teil des Mozilla Developer Network (MDN) werden und entsprechend MDN Observatory heißen.

Das Mozilla Observatory prüft Webseiten auf Vorhandensein von Sicherheitsstandards und deren Umsetzung. Mozilla hat die Pflege des Tools allerdings selbst längere Zeit schleifen lassen. Nun komm mit dem MDN Observatory 2.0 ein Update, das allerdings erst am 25. Januar 2024 online gehen soll.

Dann aber sollen unter anderem die Bewertungsmetriken an die aktuellen Industriestandards angepasst sein und so sicherstellen, dass Webseiten auf dem neuesten Stand sind, teilt Mozilla mit.

Das MDN Observatory soll zudem mit einer neu gestalteten, benutzerfreundlichen Oberfläche ausgestattet sein und die Sicherheitsanalysen in Echtzeit vornehmen. Das Observatory werde dann in das Mozilla Developer Network integriert.

Der Beitrag Mozilla kündigt MDN-Observatorium 2.0 an erschien zuerst auf Linux-Magazin.

Die deutsche Nationalauswahl hat die European Cyber Security Challenge gewonnen. Das deutsche Team konnte sich in Hamar, Norwegen unter den 28. Teilnehmerländern durchsetzen.

Der Wettbewerb fand vom 24. bis 27. Oktober statt und wurde unter anderem von der European Union Agency for Cybersecurity (ENISA) organisiert. Die ENISA hat die Aufgabe , die Länder der EU auf zukünftige Herausforderungen der Cybersicherheit vorzubereiten.

Teilnehmer der Challenge. Quelle: Emil Nyeng

Der Wettbewerb deckte verschiedene Themenfelder der IT-Sicherheit ab. Am ersten und dritten Tag wurden in verschiedenen Aufgaben unter anderem die Kategorien Kryptografie, Web Security, Binary Exploitation und Open Source Intelligence bearbeitet. Am zweiten Tag folgte ein so genanntes Attack & Defence-Szenario. Bei dieser Aufgabenstellung arbeiten die Teams nicht parallel an den Aufgaben sondern versuchen stattdessen, bestimmte Services der gegnerischen Teams über ein Netzwerk anzugreifen.

Das deutsche Team hatte am Ende des Wettbewerbs 18269 Punkten in der Gesamtklassifizierung erreicht und lag damit vor der Schweiz (17783 Punkte) und Dänemark (17577 Punkte).

Der Beitrag Deutsches Team gewinnt European Cyber Security Challenge erschien zuerst auf Linux-Magazin.

Die große Mehrheit der Unternehmen setzt inzwischen auf die Schulung der Beschäftigten, um Cyberattacken abzuwehren.  Jedes dritte Unternehmen (33 Prozent) schult grundsätzlich alle Mitarbeiter zu IT-Sicherheitsfragen, teilt der Digitalverband Bitkom mit.

Bei weiteren 51 Prozent der befragten Unternehmen finden Schulungen nur für Mitarbeiter in bestimmten Positionen und Bereichen statt. 15 Prozent führen keine IT-Sicherheitsschulungen durch. Für die Studie hat der Digitalverband Bitkom 1002 Unternehmen ab 10 Beschäftigten quer durch alle Branchen repräsentativ befragt.

Schulung von Mitarbeiter gegen Cyberattacken.Quelle: Bitkom

Viele Unternehmen, die die gesamte oder zumindest einen Teil ihrer Belegschaft zur IT-Sicherheit weiterbilden, tun dies allerdings nicht regelmäßig. Nur rund jedes vierte dieser Unternehmen (24 Prozent) gibt an, mindestens einmal pro Jahr Schulungen durchzuführen. Weitere 37 Prozent bieten zwar regelmäßig entsprechende Schulungen an, diese finden aber seltener als einmal pro Jahr statt. 70 Prozent der Unternehmen geben zudem an, dass sie bei Bedarf die Beschäftigten schulen, 23 Prozent beim Eintritt ins Unternehmen.

Bei 4 von 10 Unternehmen (42 Prozent) gab es in den vergangenen 12 Monaten Versuche, mit Hilfe von Social Engineering Datendiebstahl, Industriespionage oder Sabotage vorzubereiten. 28 Prozent der Unternehmen berichten von vereinzelten Versuchen, 14 Prozent sogar von mehrfachen.

Der Beitrag Unternehmen schulen zu IT-Sicherheit erschien zuerst auf Linux-Magazin.

Kali Linux, die Distribution für Sicherheitsexperten und Pentester bietet für Anwender vordergründig wenig Neues. Im Hintergrund überarbeiten die Entwickler jedoch massiv die zugrundeliegende Infrastruktur. So aktualisiert die Version 2023.3 das Basissystem auf Debian 12.

Allerdings kommt nicht dessen Kernel, sondern das neuere Linux 6.3.7 zum Einsatz. Im Hinblick auf die Infrastruktur möchte das Kali-Team zukünftig nur noch ein CDN in Form von Cloudflare sowie einen einheitlichen Web-Service auf Nginx-Basis nutzen. In einer zweiten Phase sollen zudem einige Softwarepakete ausgetauscht werden. Die Umbauarbeiten dauern derzeit noch an. Auch bei der nächsten Kali-Linux-Version wird daher noch der Fokus auf den Umbauten liegen.

Für Anwender deutlich interessanter ist die überarbeitete Version des Kali Autopilot. Dieses Tool führt per Knopfdruck automatisch vordefinierte Angriffsszenarien aus. Primär hilft das Werkzeug dabei, die laufende Firewall, Intrusion-Detection-Systeme und weitere aktive Sicherheitsmaßnahmen auf ihre korrekte Konfiguration abzuklopfen. In Kali Linux 2023.3 haben die Entwickler vor allem die Benutzeroberfläche überarbeitet, zudem sind weitere, in der Ankündigung nicht näher bezeichnete Funktionen hinzugekommen.

Kali Linux 2023.3 offeriert zudem neun neue Werkzeuge. Im Einzelnen handelt es sich um Calico, Cri-tools, Hubble, ImHex, Kustomize, Rekono, Rz-ghidra, Unblob und Villain. Zahlreiche Softwarepakete liegen in aktualisierten Versionen vor, darunter Greenbone, Humble, OWASP ZAP und Wireshark.

Nicht mehr dabei ist King-phisher, dessen Autor das Tool aufgegeben hat. Als Alternative bietet sich GoPhish an. Ebenfalls von Bord flog Plecost, das nicht mehr unter Python 3.11 arbeitet. Das Kali-Team empfiehlt hier als Alternative WPScan.

Beim Bau der Pakete in Kali Linux helfen den Entwickler zahlreiche selbstgeschriebene Skripte. Diese hat das Kali-Team verbessert und teilweise mit neuen Funktionen ausgestattet. Abschließend liefert die neue Seite mirror-traces.kali.org Informationen über die Erreichbarkeit der verschiedenen Kali-Mirrors und soll vor allem deren Administratoren helfen.

Der Beitrag Kali Linux 2023.3 aktualisiert Unterbau und Infrastruktur erschien zuerst auf Linux-Magazin.

Google will seinen Webbrowser Chrome besser absichern. Ab Chrome 117 weise der Browser seine Nutzer proaktiv darauf hin, wenn eine von ihnen installierte Erweiterung nicht mehr im Chrome Web Store verfügbar ist.

Diese Aktion hängt damit zusammen, das Google Malware sofort bei Entdeckung aus dem Webstore entfernt. Wenn eine Erweiterung für den Browser also nicht mehr im Webstore vorhanden sei, berichtet Google in einem Blogbeitrag, seien nur drei Szenarien vorstellbar. Das erste sei, dass der Entwickler die Erweiterung selbst zurückgezogen hat, das zweite sei, dass die Erweiterung gegen die Richtlinien von Google verstoßen habe und das dritte eben, dass die Browsererweiterung als Schadsoftware enttarnt worden sei. Alle Szenarien seien dafür geeignet, den Nutzer zu informieren, mehr Sicherheit verspreche insbesondere das letzte, die Entdeckung von Malware in der Erweiterung.

In den Einstellungen des Browsers unter “Datenschutz und Sicherheit” sehen Anwender dann unter “Sicherheitscheck” einen Verweis auf aus dem Chrome Web Store entfernte Erweiterungen, die lokal noch installiert sind. Wenn ein Nutzer auf “Überprüfen” klicke, werde er zu seinen Erweiterungen weitergeleitet und habet die Wahl, entweder die Erweiterung zu entfernen oder die Warnung auszublenden, wenn er die Erweiterung installiert lassen möchte. Wie in früheren Versionen von Chrome werden Erweiterungen, die als Malware markiert sind, automatisch deaktiviert, heißt es im Beitrag.

Der Beitrag Google Chrome 117 warnt vor verdächtigen Erweiterungen erschien zuerst auf Linux-Magazin.

Die vom Sicherheitsexperten Kaspersky beauftragte Studie “Incident Response zur Prävention” hat ergeben, dass deutsche Unternehmen mangelhaft auf Cyberbedrohungen vorbereitet sind.

Obwohl einfache Schritte das Sicherheitslevel erhöhen könnten, setzten laut der Studie nur 64,5 Prozent Passwort-Richtlinien ein, nur 58 Prozent erstellen Backups und nur 54 Prozent nutzen eine Multi-Faktor-Authentifizierung.

Dabei hätten, so Kaspersky, laut TÜV-Verband Entscheider in jeder neunten Finanzorganisation im vergangenen Jahr einen Sicherheitsvorfall zu beklagen und laut dem Digitalverband Bitkom sei ein Schaden von insgesamt etwa 203 Milliarden Euro durch Cyberangriffe auf deutsche Unternehmen entstanden.

Dass nur 37 Prozent der Unternehmen in Deutschland ihre Mitarbeiter regelmäßig zu Themen wie Spam oder Phishing schulen, zähle ebenfalls zu den Nachlässigkeiten. Dabei seien die Zeiten schlecht geschriebener Spam- und Phishing-Mails voller Rechtschreibfehler längst vorbei. Heute seien sie kaum noch von echten Nachrichten zu unterscheiden. Nur etwas mehr als die Hälfte (54,5 Prozent) der Unternehmen setzten Anti-Phishing-Software ein und nur jedes dritte Unternehmen (35,5 Prozent) verfüge über eine Patch-Management-Richtlinie, heißt es in der Studie.

Die Umfrage wurde von Arlington Research im Auftrag von Kaspersky im Juni 2023 durchgeführt. Dabei wurden insgesamt 200 IT-Entscheidungsträger in Deutschland, 50 in Österreich und 50 in der Schweiz zum Thema Incident Response und Cybersicherheit befragt.

Der Beitrag Kaspersky-Studie: Unternehmen vernachlässigen Cybersicherheit erschien zuerst auf Linux-Magazin.

Die Distribution Network Security Toolkit  (NST) richtet sich mit ihren vorinstallierten Werkzeugen an Sicherheitsexperten und Netzwerkadministratoren. Neben dem aufgefrischten Unterbau gibt es im Wesentlichen kleinere Änderungen der Benutzeroberfläche.

Diese kurz WUI genannte Web-Schnittstelle startet ab sofort den Open Vulnerability Assessment Scanner (OpenVAS) und das Greenbone Vulnerability Management (Greenbone GVM) in einem Docker-Container, der jeweils den kompletten Funktionsumfang der Scanner bereitstellt.

Greenbone GVM liegt zudem in der aktuellen Community-Edition bei. Auch die anderen Tools hat das NST-Team auf den neuesten Stand gebracht.

Des Weiteren unterstützt der NST WUI ARP Scan unterstützt den konfigurierten Name Service (NS) Switch Hosts Resolver. Lässt man sich bei Dash-Cam-Videos den Fahrtverlauf auf einer Karte anzeigen, blendet WUI ein Acceleration Overlay ein.

Sämtliche Neuerungen fasst die Meldung auf der Website des Projekts zusammen.

Der Beitrag Network Security Toolkit basiert auf Fedora 38 erschien zuerst auf Linux-Magazin.

Das WordPress-Plugin WooCommerce Payments weist eine Sicherheitslücke auf, die nach den Erkenntnissen der Sicherheitsexperten von Wordfence derzeit massiv angegriffen wird.

Da das Plugin bei rund 600.000 WordPress-Seiten installiert ist, wird die Sicherheitslücke in großem Stil ausgenutzt. Wordfence spricht von einer gezielten Exploit-Kampagne.

Die Sicherheitslücke ermöglicht es laut Wordfence nicht authentifizierten Angreifern, administrative Rechte auf anfälligen Websites zu erlangen, was mit einem kritischen CVSS-Wert von 9,8 bewertet werde. Die Lücke ist als CVE-2023-28121 gekennzeichnet. Nach den Beobachtungen von Wordfence haben die Angriffe am Donnerstag, den 14. Juli 2023 begonnen und sich über das Wochenende fortgesetzt. Am Samstag, den 16. Juli habe die Attacke mit 1,3 Millionen Angriffen auf 157.000 Websites ihren Höhepunkt erreicht.

Den Anbietern von WooCommerce kann man dabei keinen Vorwurf machen, die Sicherheitslücke war mit einem Update auf Version 5.6.2 des Woocommerce Payments-Plug-ins schon im März 2023 geschlossen worden. Administratoren sollten also dringend ein Update einspielen. In der Analyse von Wordfence lassen sich weitere Informationen zum Aufspüren von Angriffen und der Funktionsweise des Exploits nachlesen.

Der Beitrag WordPress: Exploit-Kampagne gegen WooCommerce Payments erschien zuerst auf Linux-Magazin.

Security-Spezialist Sophos hat den aktuellen State of Ransomware Reports für die verarbeitende Industrie vorgestellt. Fazit: Es ist keine Entspannung in Sicht: Angriffe werden häufiger und raffinierter, zugleich steigen die Lösegeldforderungen und die Wiederherstellung nach einem Angriff dauert immer länger.

In der weltweiten Umfrage zwischen Januar und März unter 3000 Führungskräften aus 14 Ländern, die für IT/Cybersecurity verantwortlich sind, waren laut Sophos 363 aus dem Fertigungs- und Produktionssektor.

Der Anteil der produzierenden Unternehmen, die mit Ransomware attackiert wurden, sei nur wenig von 55 Prozent im Jahr 2022 auf 56 Prozent in 2023 gestiegen. Dass mehr als jedes zweite Unternehmen von den Cyberkriminellen ins Visier genommen werde, sei aber beunruhigend, teilt Sophos mit.

In der Rangliste der Angriffstaktiken hätten produzierende Unternehmen die potenziell ausnutzbaren Schwachstellen mit nur 24 Prozent vergleichsweise gut im Griff. Über alle Branchen hinweg seien Exploits für Lücken mit 36 Prozent deutlich höher.

Besonderen Nachholbedarf habe das produzierende Gewerbe laut der Studie mit 20 Prozent bei der Abwehr von Phishing-Angriffen. Der branchenübergreifende Durchschnitt liege hier bei 13 Prozent.

Ein Angriff bedeute nicht zwingend, dass die Cyberkriminellen Ransomware erfolgreich zum Einsatz bringen und Lösegeld fordern, teilt Sophos mit. Der Trend für die produzierende Industrie zeige jedoch, dass die Cyberkriminellen bei ihren Angriffen und den eingesetzten Technologien kräftig aufgerüstet haben. In der aktuellen Studie seien 68 Prozent der Angriffe „erfolgreich“ und nur 27 Prozent konnten rechtzeitig entdeckt und gestoppt werden. Im Vergleichszeitraum ein Jahr zuvor schafften es die Cyberkriminellen nur bei 57 Prozent ihrer Angriffe, die Daten zu verschlüsseln und 38 Prozent konnten verhindert werden.

Zudem komme zunehmend die „Double-Dip“-Taktik der Cyberkriminellen zum Einsatz. Dabei werden die Daten noch gestohlen, bevor sie verschlüsselt werden. Damit lasse sich das Lösegeld und die Bereitwilligkeit zu bezahlen in die Höhe treiben, da Unternehmen zusätzlich mit Veröffentlichung der Daten erpresst werden können, heißt es weiter.

Der mittlere Durchschnitt der geforderten Lösegeldsumme liegt in der produzierenden Branche bei  1.156.289 Euro. Ein Jahr zuvor habe der Durchschnitt deutlich niedriger bei 745.372 Euro gelegen.

Die Studie ist online gegen Registrierung abrufbar.

Der Beitrag State of Ransomware Reports für die Industrie erschien zuerst auf Linux-Magazin.

Der TÜV-Verband kommt in seiner aktuellen Cybersecurity Studie zum Ergebnis, dass rund 11 Prozent der deutschen Unternehmen im vergangenen Jahr von IT-Sicherheitsvorfällen betroffen waren.

Dabei habe es sich um erfolgreiche Cyberangriffe oder andere sicherheitsrelevante Vorfälle wie Sabotageakte oder Hardware-Diebstahl gehandelt, teilt der TÜV-Verband mit. 501 Unternehmen ab 10 Mitarbeitenden seien für die Studie befragt worden.

In absoluten Zahlen entspreche das rund 50.000 Vorfällen. Die größte Gefahr gehe aus Sicht der Befragten von der organisierten Cyberkriminalität aus: 57 Prozent fühlten sich von organisierten Banden bedroht. Jeweils 27 Prozent sehen staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure als große Gefahr. 22 Prozent fürchten so genannte Innentäter, die über interne Kenntnisse eines Unternehmens verfügen und diese bei einem Angriff ausnutzen können. 64 Prozent der Befragten stimmen der Aussage zu, dass jedes Unternehmen verpflichtet sein sollte, angemessene Maßnahmen für seine Cybersecurity zu ergreifen.

Laut den Ergebnissen der Umfrage hat der Krieg in der Ukraine das Risiko von Cyberangriffen in der deutschen Wirtschaft stark erhöht. Dieser Ansicht sind 58 Prozent der Unternehmen.  16 Prozent verzeichnen seit Ausbruch des Krieges mehr Cyberangriffe oder Angriffsversuche. Am stärksten betroffen seien große Unternehmen ab 250 Mitarbeitenden mit 28 Prozent. Es folgen mittlere Unternehmen mit 20 Prozent (50-249 Mitarbeitende) und kleine mit 11 Prozent (10-49 Mitarbeitende). Die mit Abstand häufigste Angriffsmethode sei Phishing. Bei 62 Prozent der betroffenen Unternehmen sei ein Phishing-Angriff erfolgreich gewesen, teilt der TÜV-Verband mit.

An zweiter Stelle stehen Ransomware-Angriffe mit 29 Prozent. Eine weitere beliebte Masche sei die Manipulation von Mitarbeitenden, das Social Engineering (26 Prozent). Und 22 Prozent der betroffenen Unternehmen berichteten von einem Passwort-Angriff, bei dem Zugangsdaten gehackt wurden.

Die Folgen der Angriffe sind massiv. 42 Prozent der Unternehmen erlitten finanzielle Einbußen, Dienste für Mitarbeitende (38 Prozent) oder Kunden (29 Prozent) waren nicht erreichbar, die Produktion ist ausgefallen (13 Prozent) oder sensible Daten wurden gestohlen (13 Prozent), heißt es in der Studie.

Der Beitrag Cybersecurity: Jedes zehnte Unternehmen von IT-Sicherheitsvorfällen betroffen erschien zuerst auf Linux-Magazin.

OpenAI, das Unternehmen hinter der KI-Anwednung ChatGPT hat eine mit einer Million US-Dollar hinterlegte Cybersecurity-Initiative gestartet. Das Cybersecurity Grant Program soll zur Förderung und Quantifizierung von KI-gestützten Cybersicherheitsfähigkeiten dienen und den Diskurs über KI und Cybersicherheit ankurbeln.

Ziel sei es, mit den Verteidigern der Sicherheit auf der ganzen Welt zusammenzuarbeiten, um die Machtdynamik der Cybersicherheit durch die Anwendung von KI und die Koordination von Gleichgesinnten, die sich für die gemeinsame Sicherheit einsetzen, zu verändern, schreiben führende Mitarbeiter von OpenAI.

Das Programm ziele darauf ab, sicherzustellen, dass modernste KI-Fähigkeiten in erster Linie den Verteidigern von Cybersicherheit zugutekommen und nicht den Angreifern. Man arbeite auch an der Entwicklung von Methoden zur Quantifizierung der Cybersicherheitsfähigkeiten von KI-Modellen, um deren Wirksamkeit besser zu verstehen und zu verbessern.

Nicht zuletzt sei man bestrebt, die Diskussionen an der Schnittstelle zwischen KI und Cybersicherheit zu fördern und ein umfassendes und differenziertes Verständnis der Herausforderungen und Möglichkeiten in diesem Bereich zu schaffen, heißt es weiter.

OpenAI will die Anträge auf Finanzierung oder sonstige Unterstützung fortlaufend bewerten. Praktische Anwendungen von KI in der defensiven Cybersicherheit (Tools, Methoden, Prozesse) werde man stark bevorzugen. Man gewähre Zuschüsse in Höhe von 10.000 US-Dollar aus einem Fonds von 1 Million Dollar.

Im Blogpost sind mögliche Tätigkeitsfelder für Projekte für KI- und Sicherheitsexperten genannt, die sich an der Initiative beteiligen wollen. Vorschläge können dann auf einer eigenen Webseite eingereicht werden.

Der Beitrag OpenAI startet Cybersecurity-Programm erschien zuerst auf Linux-Magazin.

“NeMo Guardrails” heißt das Toolkit von Nvidia, dass der Grafikspezialist unter einer Open-Source-Lizenz veröffentlicht hat. Damit sollen Chatbots sicherer werden.

NeMo Guardrails soll sich bei der Entwicklung sicherer und vertrauenswürdiger LLM-Konversationssysteme bewähren, teilt Nvidia mit. Die Sicherheit in der generativen KI sei ein branchenweites Anliegen und NeMo Guardrails sei so entwickelt worden, dass es mit allen LLMs funktioniere, einschließlich ChatGPT von OpenAI.

Dieses Leitplanken-Toolkit setze auf von der Community erstellten Werkzeugen wie LangChain. Die Toolkits würden kombinierbare und einfach zu verwendende Vorlagen und Muster anbieten, um LLM-gestützte Anwendungen zu erstellen. Dabei könnten LLMs, APIs und andere Softwarepakete zusammengebaut werden, so Nvidia in einem Blogbeitrag.

Mit dem Toolkit ließen sich Regeln aufstellen, um das Verhalten von Chatbots auf Nutzereingaben zu definieren. Derzeit gebe es die drei Regelsätze Topical, Safety und Security. Topical weise den Chatbot an, auf ein bestimmtes Thema konzentriert zu bleiben und nicht in unerwünschte Bereiche abschweifen. Security-Leitplanken würden dafür sorgen, dass Interaktionen mit einem LLM nicht zu Fehlinformationen, toxischen Reaktionen oder unangemessenen Inhalten führen. Security-Regeln verhinderten, dass ein LLM bösartigen Code ausführe oder eine externe Anwendung auf eine Weise aufrufe, die ein Sicherheitsrisiko darstellt.

Der Beitrag Open-Source-Tools von Nvidia sollen Chatbots sicherer machen erschien zuerst auf Linux-Magazin.

Die Cloud Native Computing Foundation hat ein von der NCC Group jetzt abgeschlossenes Security Audit für Kubernetes als Open Source veröffentlicht.

Grundlage für das im Sommer 2022 gestartete Audit war Kubernetes 1.24. Ziel der Sicherheitsüberprüfung war es, alle Probleme in der Projektarchitektur und der Codebasis zu identifizieren, die die Sicherheit der Kubernetes-Benutzer beeinträchtigen könnten, teilte die CNCF bei der KubeCon + CloudNativeCon Europe in Amsterdam mit. Diese Sicherheitsprüfung sollte ein umfassendes Bild der Sicherheitslage von Kubernetes und seiner Quellcodebasis zeichnen und konzentrierte sich auf diverse Komponenten von Kubernetes.

Da Kubernetes auf Container-Runtimes wie Docker und CRI-O angewiesen sei, habe man Container-Escape-Vorgänge, die auf Fehlern in der Container-Laufzeit beruhen, nicht berücksichtigt, es sei denn, der Vorgang sei durch einen Fehler bei der Einrichtung des Containers durch Kubernetes entstanden, heißt es weiter zur Methodík.

Beim Audit seien unter anderem eine Reihe von Problemen mit der Administration von Benutzer- oder Netzwerkberechtigungen aufgefallen. Diese könnten für Verwirrung sorgen oder zu Unklarheiten über die für eine bestimmte Komponente verfügbaren Berechtigungen, heißt es.

Auch habe man Schwachstellen in der komponentenübergreifenden Authentifizierung entdeckt, die es unter Umständen einem böswilligen Benutzer ermöglichen, die Berechtigungen zum Cluster-Administrator zu erweitern.

Die auf Kubernetes 1.24 basierende Sicherheitsprüfung (PDF) ist im Kubernetes-GitHub-Repository verfügbar. Die CNCF hat im Jahr 2018 damit begonnen, Audits abzuhalten um das von ihr betreute Ökosystem sicher zu halten. Seit dieser Zeit hätten argo, Backstage, CoreDNS, CRI-O, Envoy, etcd, Flux, KubeEdge, Linkerd, Prometheus, SPIFFE/SPIRE und andere CNCF-Projekte Sicherheitsaudits durchlaufen.

Der Beitrag KubeCon + CloudNativeCon Europe: CNCF veröffentlicht Kubernetes Audit erschien zuerst auf Linux-Magazin.

Qualys, Anbieter für cloudbasierte IT-Sicherheitslösungen, hat seinen 2023 TruRisk Research Report veröffentlicht. Der Bericht gibt einen Überblick über die Sicherheitslücken, die Qualys im Jahr 2022 weltweit entdeckt hat und zieht Schlüsse aus den Resultaten.

Mehr als 2,3 Milliarden Sicherheitsprobleme sind den Forschern ins Netz gegangen und 13 Billionen anonymisierten Datenpunkte seien eingehend untersucht worden, um festzustellen, welche Schwachstellen das größte Risiko für Unternehmen darstellen, heißt es im 2023 TruRisk Research Report. Diese Daten zeigen Risikofakten auf, die für alle über alle Branchen und Organisationen hinweg gelten, heißt es weiter. Zu den fünf wichtigsten Risikofaktoren zählen die Experten, den Faktor Geschwindigkeit, die Automatisierung, die Initial Access Brokers (IABs), Fehlkonfigurationen in Web-Anwendungen und Fehlkonfigurationen in der Infrastruktur von Unternehmen.

Beim Faktor Geschwindigkeit ist die Zeitspanne bis zum Patchen einer Lücke gemeint. Schwachstellen, für die es einen Exploit gibt, würden im Durchschnitt innerhalb von 30,6 Tagen gepatcht, wobei in diesem Zeitraum real nur 57,7 Prozent der Lücken geschlossen werden. Angreifer bräuchten dagegen durchschnittlich nur 19,5 Tage, um eine Angriffsmöglichkeit zu entwickeln. Angreifer hätten dann 11,1 Tage Zeit, um die Sicherheitslücken auszunutzen, heißt es im Report.

Automatisierung heißt, dass Patches, die automatisch installiert werden konnten, um 45 Prozent häufiger und 36 Prozent schneller implementiert werden als manuell installierte Patches.

Ein wachsender Trend in der Bedrohungslandschaft sind laut Report die sogenannten Initial Access Broker (IABs), die Zugänge zu kompromittierten Netzwerken und Firmen verkaufen.   Die IABs würden unter anderem nach Fehlkonfigurationen wie Standardkennwörtern oder ungeschützten Diensten suchen, um einen Zugang zu finden oder Schwachstellen in ungepatchten Systeme auszunutzen.

Beim Punkt Fehlkonfigurationen in Web-Anwendungen haben die Experten 370.000 Web-Applikationen und damit zusammenhängend Daten nach den Top-10-Sicherhietslücken des Web Application Security Project (OWASP) gescannt und 35 Millionen Sicherheitslücken entdeckt. 33 Prozent davon hätten der OWASP-Kategorie A05 entsprochen, seien also schlicht Fehlkonfigurationen, steht im Bericht.

Die Fehlkonfigurationen in der Infrastruktur beziehen sich unter anderem auf die Prüfung von Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure gemäß den Benchmarks des Center for Internet Security (CIS). Zu den Ergebnissen zähle, dass die Datenexfiltration aufgrund von Fehlkonfigurationen in S3-Buckets ein ernstes Problem darstellen und zu hochgradigen Sicherheitsverletzungen führen könnten. Die schwachen Zugriffskontrollen in Amazon S3-Cloud-Speicher-Buckets hätten dabei maßgeblich zu diesen Vorfällen beigetragen, heißt es weiter.

Den 2023 TruRisk Research Report gibt es nach Angabe von Daten zum Download.

Der Beitrag TruRisk Research Report zeigt fünf Risikofaktoren auf erschien zuerst auf Linux-Magazin.

Das National Institute of Standards and Technology (NIST) hat die Programmiersprache Rust in die Liste der “Safer Languages” aufgenommen.

Rust verfüge über ein Ownership-Modell, das sowohl Speicher- als auch Threadsicherheit zur Kompilierzeit garantiere, ohne dass ein Garbage Collector erforderlich sei, begründet das NIST seine Wahl. Dieses Modell ermöglicht es den Benutzern, leistungsstarken Code zu schreiben und gleichzeitig viele Fehlerklassen zu eliminieren, heißt es weiter. Und obwohl Rust auch über einen unsicheren Modus verfüge, sei dessen Verwendung explizit, und erlaube nur einen engen Bereich von Aktionen.

Das 1901 gegründete NIST untersteht dem US-Handelsministerium und gilt als eine der ältesten naturwissenschaftlichen Forschungseinrichtungen in den USA. Eine der vielen Initiativen des NIST ist das Projekt Software Assurance Metrics And Tool Evaluation (SAMATE). Dieses Gremium “widmet sich der Verbesserung der Software Assurance durch die Entwicklung von Methoden zur Bewertung von Software-Tools, der Messung der Effektivität von Tools und Techniken sowie der Identifizierung von Lücken in Tools und Methoden”, heißt es auf der NIST-Website.

Die Safer Languages wiederum sind eine Kategorie der SMATE “Klassen von Software-Sicherheitsfunktionen”. Das NIST empfiehlt dort die Verwendung von Programmiersprachen mit eingebauten Sicherheitsfunktionen, die von den Entwicklern aktiv überwacht und unterstützt werden.

Neben Rust sind bei den Safer Languages auch die Programmiersprachen und Sprach-Tools SPARK, Escher C Verifier Language, Fail-Safe C, Safe-Secure C/C++ (SSCC), die CERT Coding Standards und CCured aufgeführt.

Der Beitrag NIST macht Rust zur Safer Language erschien zuerst auf Linux-Magazin.

Cyber-Sicherheit sollte zum festen Bestandteil des Risikomanagements in Unternehmen werden, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI).  Im Handbuch „Management von Cyber-Risiken“ hat das BSI einen Leitfaden für Cyber-Sicherheit zusammengestellt.

Das Handbuch sei in Zusammenarbeit mit der Internet Security Alliance (ISA) und deutschen Expertinnen und Experten aus der Wirtschaft für die deutsche IT-Sicherheitslandschaft angepasst worden, teilt das BSI mit. Es erhalte nun ein weitreichendes Update und widme sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtige und so die Resilienz der Unternehmen erhöhe.

Das Thema Cyber-Sicherheit wurde im Handbuch bislang an fünf Prinzipien diskutiert. Mit der Neuauflage sei erstmals ein neues, sechstes Prinzip zum Schutz ganzer Branchen eingeführt. Dieses sei zuvor von der ISA/NACD mit dem World Economic Forum entwickelt worden, so das BSI.

Das Handbuch nebst Toolkit ist zum Download verfügbar. Die sechs Prinzipien werden auch anhand von Videos erläutert.

Die Prinzipien heißen:

• Cyber-Sicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen.
• Rechtliche Auswirkungen von Cyber-Risiken verstehen und genau untersuchen.
• Zugang zu Cyber-Sicherheitsexpertise sowie regelmäßigen Austausch sicherstellen
• Umsetzung geeigneter Rahmenbedingungen sowie Ressourcen für das Cyber-Risikomanagement sicherstellen
• Risikoanalyse erstellen sowie Definition von Risikobereitschaft in Abhängigkeit von Geschäftszielen und -strategien formulieren
• Unternehmensweite Zusammenarbeit und den Austausch von Best-Practice fördern

Der Beitrag BSI aktualisiert Handbuch „Management von Cyber-Risiken“ erschien zuerst auf Linux-Magazin.

Laut dem VPN-Anbieter Atlas VPN sind im Jahr 2022 Passwörter mit Bezug zu Prominenten wie Taylor Swift, Bad Bunny, Jennifer Lopez, Ben Affleck und Elon Musk beliebt gewesen.  AtlasVPN hat für seine Analyse mit Hilfe von SpyCloud Passwörter aus verschiedenen Listen im Dark Web extrahiert.

Auch Bad Bunny, der meistgestreamte Künstler auf Spotify im Jahr 2022, hat Nutzer dazu inspiriert, Bad Bunny, titi und verano als Passwörter zu nutzen, wobei die beiden letzteren Songs des Künstlers sind. Die Übernahme von Twitter durch Elon Musk führte ebenfalls dazu, dass twitter und elon musk als Passwörter verwendet wurden.

Die Beliebtheit von Streaming-Diensten spiegele sich in Passwörtern wie youtube, netflix und hulu wider und der Tod von Queen Elizabeth und andere Nachrichten über die königliche Familie führten zur Verwendung von queen, queen elizabeth und royal family als Passwörter, die insgesamt 167.000 Mal verwendet wurden.

Rangliste der Passwörter aus dem DarkWeb. Quelle: Spycloud

Passwörtern, die mit Familie und Liebe in Verbindung stehen, stellen laut AtlasVPN ebenfalls ein hohes Sicherheitsrisiko dar. Passwörter wie wife, husband, boyfriend und family fanden sich über 7 Millionen Mal in den durchsuchten Listen.

Und Passwörter, wie password, 123456, qwerty und ähnliche, sind und bleiben die unsicherste Wahl, um ein Konto zu schützen, warnt AtlasVPN.

Der Beitrag Queen Elizabeth und Taylor Swift inspirieren zu Passwörtern erschien zuerst auf Linux-Magazin.