# Pentaradio vom 28. Mai 2024 # Titel: "Cyberwar mit umgedrehten Zentauren" Mit Mole, Simon und Xyrill. Bei ✨KI✨ zeichnet sich nach fast zwei Jahren ununterbrochenen Hypes endlich das Tal der Enttäuschungen ab. Deswegen richten wir dieses Mal auch einen etwas ausführlicheren Blick auf die Debatte um IT-Sicherheit in Zeiten zunehmend konfliktreicher Geopolitik. Auf Basis der Livesendung am 28. Mai 2024. ## Feedback I Per Schneckenpost: Xyrill hat einen Artikel aus "Spektrum der Wissenschaft" über Graphentheorie als Papierkopie zugesandt erhalten. ## Feedback II Per Mail (2024-04-23): > Zu den E-Books möchte ich anmerken, dass die von der Tolino-Allianz, zu der die großen Buchhändlerketten sowie auch viele kleine Buchhandlungen gehören, vertriebenen Bücher meist ohne hartes DRM kommen. Der Käufer braucht also keine Angst zu haben, die Bücher wieder von Seite des Anbieters weggenommen zu bekommen. > > Dann wurde Adobe Digital Editions erwähnt. Die Software ist gräßlich, unter Windows und macOS für gewöhnlich aber lauffähig. Wenn ADE mal nicht mehr will das zugehörige Verzeichnis in `C:\Users\%Username%\AppData\Roaming\Adobe\Digital Editions` löschen. Mit WINE funktioniert ADE auch, ich konnte es gemäß [dieser Anleitung](https://blog.geierb.de/adobe-digital-editions-4-5-11-in-playonlinux-installieren/) installieren. Zwar habe ich es nie geschafft den Vorgang bis zum Ende zu durchlaufen, aber es findet sich dennoch anschließend eine mit WINE startbare DigitalEditions.exe. ## Feedback III Per Mail (2024-04-24): > Hallo, > > ich bin durch Zufall über Euch gestolpert und habe mir bis jetzt die letzten beiden Folgen angehört. > Sehr unterhaltsam. > Finde auch die Zusammensetzung Eurer Runde interessant. Bitte seht es mir nach, wenn ich die Namen nicht wiedergeben kann. Eine Person spricht sehr schnell und hat sehr, sehr viel Inhalt und Wissen zu bieten. > Und das Gegenspiel durch "Mol"?, der Themen erdet und andere Blickwinkel einnimmt, ist gelungen. ## Debatte *(Xyrill führt dieses Format aus dem Nichts neu ein, um einen Diskussionsbeitrag zu konservieren, der ansonsten in der Flüchtigkeit des Gruppenchats verloren gegangen wäre.)* Im Club wurde neulich über den Umgang mit proprietären Social-Media-Plattformen diskutiert. Sollen wir unsere Veranstaltungen auch auf Plattformen wie Instagram oder TikTok ankündigen, um ein breiteres Publikum zu erreichen? Oder ist es Heuchelei, sich der Plattformen zu bedienen, die wir selber kritisieren? (Money-Quote: "Das ist wie mit nem SUV zur Fahrraddemo.") Hierzu schreibt mcnesium: > es ist halt aus unserer privilegierten nerdperspektive sehr einfach, die eine oder andere plattform nicht zu verwenden. wenn du aber jetzt 18 bist, hast du seit vielleicht 10 jahren ein smartphone. da war vor 10 jahren facebook "das internet", vor 5 jahren war es instagram und jetzt ist es eben tiktok, wo drin "alles passiert" und alles andere ignorierst du einfach, weil du gar keine ahnung hast, was man damit machen kann. dieses "safari" oder "webbrowser" (oder so, was weiß ich) ist eins dieser anderen symbole auf dem gerät, was du nie benutzt. denn es blinkt dich nicht permanent an und suggeriert nicht "fomo wenn du nicht sofort hier deine ganze aufmerksamkeit hinsteuerst". du hast nie gelernt, dass man diese anderen apps auch für was sinnvolles benutzen kann. du siehst stattdessen jetzt einfach nur, dass dein default goto-place mit nazischeiß vollgepumpt wird und willst dass das aufhört. darum reclaimst du nicht diese chinesische ki-trainier-maschine, sondern du reclaimst deine peer group plattform, deinen schulhof, deine standardumgebung… dir hat halt nie jemand gesagt, dass die plattform nicht einfach so da ist, sondern dass sie dir jemand unterjubelt, um mit dir und deiner aufmerksamkeit reich und mächtig zu werden. und du verstehst weder dass noch warum das so ist. du hast einfach 10 jahre keine angemessene didaktische unterstützung bei der erforschung der digitalen welten bekommen, weil dein informatiklehrer leider nur ein physik-studienabbruch-quereinsteiger war, dessen qualifikation darin bestand, im studium schon mal ein python-script geschrieben zu haben. ## News Block 1 (Sicherheit und Policy): - Nachlese zur xz-Hintertür: [Der originale Maintainer ist alle Commits und Tarballs mit dem feinen Kamm durchgegangen](https://tukaani.org/xz-backdoor/review.html) - [Pentaradio berichtete im April](https://c3d2.de/news/pentaradio24-20240423.html) - apropos Hintertüren: [Cisco ASA ("Advanced Security Appliance") sind kaputt, wahrscheinlich eine Backdoor eines State-Level Actor](https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/) - im Gespräch erwähnt: [STP049 "Schadcode"](https://xyrillian.de/noises/stp/049-schadcode) und [STP051 "Ablauf eines IT-Angriffs"](https://xyrillian.de/noises/stp/051-ablauf-eines-it-angriffs) - apropos Sicherheitslücken: [24 Jahre alter Bug in glibc (natürlich ein Pufferüberlauf)](https://nvd.nist.gov/vuln/detail/CVE-2024-2961) - [LAMP, speziell PHP, rostet](https://securityonline.info/cve-2024-2961-glibc-vulnerability-opens-door-to-php-attacks-patch-immediately/) - Video (3 Minuten): [Peter Zeihan: Warum die aktuelle Struktur des globalen Internets geopolitisch problematisch ist](https://www.youtube.com/watch?v=2ziLp66XPAw) - Der strategische Nachteil von landumschlossenen Gebietskörperschaften besteht analog auch beim Internetzugang, der zumeist durch Unterseekabel vermittelt wird. - Militärische Akteure könnten Internetzugangsstrecken wie Unterseekabel als strategisches Ziel ansehen, analog zu Hochsee-Handelsrouten (siehe aktuell die Houthis in der Bab al-Mandab). - Unser Appell zur Lokalisierung: Holt die Dienste zurück nach Hause. Macht die Cloud durchsichtiger. Wir benötigen mehr Redundanzen. - im Gespräch erwähnt: [Ryan McBeths Parodie von Zeihans Video-Stil](https://www.youtube.com/watch?v=-qV4p6eFoHg) und [Pentaradio vom April 2020 "Blechdosen im Weltraum"](https://c3d2.de/news/pentaradio24-20200428.html) - passend dazu: [Bert Hubert: "Cyber Security: A Pre-War Reality Check"](https://berthub.eu/articles/posts/cyber-security-pre-war-reality-check/) - Früher hatten wir Telefonnetze, die nur am Verteilerknoten Strom benötigen, und im Notfall mit einem Dieselgenerator aufrecht erhalten werden können. Heutzutage hingegen geht alle Kommunikation durch mehrere ineinandergewickelte Schichten von Internetdiensten mit "Multiple Single Point of Failure"-Design. - Noch basiert tatsächlich gar nicht mal allzu viel auf Computern. Aber was, wenn die Autos automatisch fahren und man nur remote ein Bit flippen muss, damit Fußgänger nicht ausgewichen wird, sondern sie überfahren wird? (Siehe das Verkehrschaos in Moskau vor ein paar Jahren, als jemand die Yandex-Taxi-API kreativ benutzt hat, um alle Moskauer Taxis zum selben Platz zu schicken.) - "Braucht dein Computer zum Funktionieren Dinge, die mehr als 5000 km weit weg sind?" (z.B. Whatsapp vs. Self-hosted Matrix) - Unter dieser Perspektive liest Bert den ganzen Strauß von neuen EU-Regulierungen (Cyber Resilience Act, DORA, etc.). - vom selben Autor, in dieselbe Kerbe: ["Why Bloat is still Software Engineering's Biggest Vulnerability"](https://spectrum.ieee.org/lean-software-development) Block 2 (✨KI✨): - [Das Gentoo-Projekt hat sich eine KI-Regelung gegeben](https://wiki.gentoo.org/wiki/Project:Council/AI_policy) - Übersetzung (mit Hilfe von [DeepL](https://deepl.com)): "Es ist ausdrücklich verboten, Inhalte zu Gentoo beizutragen, die mit Hilfe von KI-Werkzeugen aus dem Bereich des Natural Language Processing erstellt wurden. Dieser Beschluss kann revidiert werden, sobald ein derartiges Werkzeug vorliegt, das keine urheberrechtlichen, ethischen und qualitativen Bedenken aufwirft." - [Zusammenfassung der Diskussion dazu](https://lwn.net/Articles/970072/) - Kontra-Argumente: rechtliche Situation ("Es gibt ein reales Risiko, dass diese Werkzeuge Produkte erzeugen, die wir aus rechtlichen Gründen nicht nutzen können."), ethische Komplikationen (hoher Energieverbrauch, Training auf Material aus rechtlich unsauberen Quellen) - Pro-Argumente: Nutzen in der Beschleunigung der Arbeit (LLMs könnten "gute Hilfestellung leisten, wenn man sorgfältig mit ihnen umgeht"), Barrierefreiheit (könnte Beitragenden helfen, die nicht über gute Englischkenntnisse verfügen), minderwertige Arbeitsergebnisse sollten sowieso schon durch bestehende Review-Prozesse gefiltert werden - [Ed Zitron: "Expectations versus reality"](https://www.wheresyoured.at/expectations-versus-reality/) - ein Followup zu OpenAI Sora ([Pentaradio berichtete im Februar](https://c3d2.de/news/pentaradio24-20240227.html)) -> erste externe Tester sind [schwer enttäuscht](https://www.fxguide.com/fxfeatured/actually-using-sora/) - Money Quote (übersetzt mit Hilfe von [DeepL](https://deepl.com)): "Das ist letztlich das Problem mit der aktuellen KI-Blase -- dass ein Großteil ihres Erfolgs von uns verlangt, halbfertige Tools zu tolerieren und zu beklatschen, die nur so ungefähr die Dinge tun, die sie tun sollen, und dabei zustimmend zu nicken und 'fein gemacht' zu sagen, als sprächen wir mit einem Kind und nicht mit einem Startup mit 13 Milliarden Dollar an Finanzmitteln und einem CEO, der Investitionen von fucking Microsoft bekommt." - [Pluralistic: "Humans in the Loop"](https://pluralistic.net/2024/04/23/maximal-plausibility/) - Die positive Zielvorstellung in der Automatisierungstheorie ist der "Zentaur": ein Menschenkopf auf einem Roboterkörper, der dem Menschen im Multitasking und mit repetitiven Aufgaben hilft. - KI-Systeme mit "human in the loop" sind ein "umgekehrter Zentaur": Die KI trifft Entscheidungen (z.B. welche der CT-Aufnahmen einen Krebs enthält, oder welche der Drohnenbilder Terroristen zeigen) und der Mensch nickt nur noch ab, um als Verantwortungs-Blitzableiter zu fungieren. Block 3 (Kurzmeldungen): - ✨KI✨: [Google ergänzt Suchergebnisse um "AI Overview", die überraschend oft Nonsens sind](https://arstechnica.com/information-technology/2024/05/googles-ai-overview-can-give-false-misleading-and-dangerous-answers/) - Tipp: Wer mit sowas konfrontiert ist und lieber echte Suchergebnisse haben will, kann an die Such-URL `&udm=14` heranhängen... - ...oder halt ne andere Suchmaschine verwenden. - Digitale Allmende: [OpenStreetMap gekapert: Pokémon-Go-Spieler sorgen für Chaos](https://winfuture.de/news/142635) - [name=vater] Am vergangenen Wochenende fand das [Open Data Camp 2024](https://www.dresden.de/de/wirtschaft/wirtschaftsstandort/projekte-kooperationen/open-data-camp-2024.php) statt. Ausgerichtet wurde die Veranstaltung der Stadt Dresden und vom Freistaat Sachsen an der HTW Dresden. (Astro wurde für [OffenesDresden.de](https://offenesdresden.de/) Teil der Jury.) Der thematische Fokus lag auf "Hitze in der Stadt". Die Gruppen von 1 bis 6 Personen hatten gute Ideen. Die Präsentation der Projekte zum Ende der Veranstaltungen wurde aufgezeichnet (Link folgt). - Linktipp: [Kino-Spielplan-Aggregator in plain HTML ohne Werbe-/Tracking-Mist](https://tonsky.me/blog/allekinos/) (hat aber leider noch nicht alle Kinos) - CfP: [Datenspuren 2024](https://datenspuren.de/2024/) - Am Wochenende nach der Sendung ist/war die [GPN22](https://entropia.de/GPN22). Die Aufzeichnungen der Vorträge gibt es bei [media.ccc.de](https://media.ccc.de/c/gpn22). - In zwei Wochen ist Europawahl (und in Sachsen auch Kommunalwahl). Geht am 9. Juni live hin oder wählt per Brief! ## Musik - ["Female Iran | Brutal Disgraceful Men", John Lopker (2023)](https://freemusicarchive.org/music/john-lopker/iran-rage-women-life-freedom/female-iran-brutal-disgraceful-men/) - ["Sentinel", Kai Engel (2019)](https://freemusicarchive.org/music/Kai_Engel/Satin_1564/Kai_Engel_-_Satin_-_04_Sentinel_1668/)