* Video - In de serie AZ-104 heeft Alex de Jong een nieuwe video gemaakt; 'backup and site recovery'. Hij is ongeveer 20 minuten lang.
* Discussie - Discussiëren met andere leden over iets in deze nieuwsbrief? Dat kan hier op Discord. Vragen stellen aan andere KNVI-leden? Hier op Discord. Nog geen KNVI Discord-account? Meld je aan via deze link en gebruik er je eigen naam ('Voornaam Achternaam' in 'Bijnaam', via instellingen -> Profielen, Serverprofielen, Bijnaam).
* Prettig weekend!
* Reageren op deze nieuwsbrief? Stuur me een email, of reageer in '#actueel' op Discord.
- Ron Onrust, samensteller IT-Infra Nieuwsbrief 

Met de toegenomen populariteit van de passkeys zou het wel goed uitkomen wanneer je ze over de diverse platforms zou kunnen 'meenemen'. Dat is dan ook de reden waarom de FIDO Alliance er aan werkt om dat gemakkelijker te maken. Afgelopen dinsdag publiceerde de groep de conceptspecificaties van het Credential Exchange Protocol (CXP) en het Credential Exchange Format (CXF), twee standaarden die maken dat je passkeys en wachtwoorden veilig kunt meenemen over de verschillende apps en platforms. Enkele grote namen werken er aan mee, zoals Apple, Google, 1Password, Bitwarden en Dashlane, en dat betekent dat het in de toekomst makkelijker wordt om van platform te wisselen. CXP en CXF zijn er nog niet klaar voor, de FIDO Alliance wil nog eerst aan de hand van de concepten feedback verzamelen.

Intel en AMD voelen de hete adem van de concurrentie in de nek en dat drijft ze bij elkaar; de twee bedrijven hebben de 'x86 Ecosystem Advisory Group' opgericht, die open staat voor meer bedrijven. Bij de bedrijven die nu al meedoen zien we onder meer Microsoft, Dell, HP, Broadcom, Google en Lenovo. Doel van de groep is 'het stimuleren van softwareconsistentie en standaardinterfaces'. Het initiatief is met name gericht tegen Arm, dat het voor bedrijven die hun producten in licentie nemen relatief makkelijker maakt dan bij het x86-platform om de architectuur aan te passen. Daarom moeten er ook bij het x86-ecosysteem nieuwe manieren worden gevonden om het uit te breiden, maar wel zodat er een grote compatibiliteit tussen platforms blijft bestaan. De nieuwe x86-groep wil een meer uniforme set instructies en architecturale interfaces. Intel en AMD geloven dat een grotere voorspelbaarheid en consistentie in hun producten de innovatie van ontwikkelaars zal bevorderen en het platform zal helpen overleven en floreren.

Apple introduceerde deze week na drie jaar een nieuwe iPad mini. Deze heeft de snelle A17 Pro-chip uit de iPhone 15 Pro, ondersteunt Apple Intelligence en de de Apple Pencil Pro, en heeft meer opslag. De iPad mini 7 heeft wel hetzelfde 8,3-inch scherm als het vorige model en een identieke resolutie van 2266 x 1488 bij 326 ppi, en de afmetingen blijven ook ongewijzigd, net als de camera aan de voorkant en die aan de achterkant. Daarom gaat deze upgrade meer over de binnenkant; dankzij de A17 Pro-chip kan de nieuwe tablet gebruikmaken van Apple Intelligence-functies zoals slimmere Siri, Writing Tools, Image Playground en Genmoji. Hij heeft ook meer RAM en 128 GB aan opslag in het basismodel, het dubbele van het 2021-model. De nieuwe iPad mini arriveert op 23 oktober en begint bij 609 euro voor het model met 128 GB opslag, de versie met 512 GB kost 989 euro..

Apple introduceerde nieuwe functies binnen het Apple Business Connect-programma, waaronder 'Business Caller ID', dat volgend jaar actief wordt. Daarmee kunnen bedrijven zich registreren zodat hun naam, logo en afdeling verschijnt wanneer ze klanten bellen. Dat betekent dat mensen het beter kunnen zien of het gaat om een inkomend gesprek van een legitiem bedrijf of van een spammer. Sinds 2023 kunnen bedrijven hun naam al toevoegen aan de Apple producten Maps, Berichten, Siri en Wallet, maar nu is dat wat makkelijker geworden voor bedrijven zonder fysieke locatie. Bedrijven kunnen ook hun logo toevoegen aan de Tap to Pay-functie voor contactloze betalingen.

Het bedrijf 'Hiya' heeft een gratis Chrome-extensie gemaakt die in staat is om deepfake-stemmen te herkennen, de 'Hiya Deepfake Voice Detector'. Deze 'luistert' naar stemmen in video- of audiostreams en kent een authenticiteitsscore toe, en geeft zo een indicatie of de stem echt of nep is. Volgens Hiya blijkt uit een test dat de extensie meer dan 99 procent nauwkeurig is, en zou het model ook in staat zijn om door AI gegenereerde stemmen te herkennen waar het niet op is getraind. De extensie hoeft maar een paar seconden te luisteren voor een ​​resultaat. Gebruikers krijgen 20 'credits' per dag, om overbelasting van het systeem te voorkomen.
Intussen werkt Reality Defender aan een soortgelijke oplossing voor video, met name voor die plekken waar de belangen hoog oplopen bij de inzet van video; in het bedrijfsleven en bij overheden. Reality Defender werkt aan een plug-in voor Zoom die functioneert als een real-time detector die kan vertellen of de ander in het videogesprek echt is, of een door AI aangestuurde imitatie. Momenteel wordt deze oplossing aan een benchmark onderworpen om te bepalen hoe nauwkeurig hij werkt. Voorlopig is dit alleen in bèta beschikbaar voor enkele klanten van Reality Defender.

De prijzen van SSD's dalen in het vierde kwartaal van 2024 naar verwachting met 10 procent, zo meldt marktonderzoeksbureau TrendForce. De daling is het gevolg van een toegenomen productie en een afnemende vraag, met name in de consumentensector. Enterprise SSD-prijzen kunnen nog licht stijgen. TrendForce-analisten schrijven de zwakkere vraag deels toe aan de tragere dan verwachte acceptatie van AI-pc's. De markt voor mobiele opslag kan nog steilere prijsverlagingen ervaren, waarbij de prijs van eMMC- en UFS-componenten mogelijk met 13 procent daalt omdat smartphonemakers door hun voorraden raken. De prognose volgt op bescheiden prijsverlagingen in het derde kwartaal van 2024. (Tom's Hardware)
https://www.tomshardware.com/pc-components/ssds/ssd-prices-could-drop-up-to-10-percent-ahead-of-the-new-year-trendforce-predicts-an-increase-in-production-and-weaker-demand

Mandiant analyseerde in 2023 138 kwetsbaarheden die uiteindelijk werden misbruikt. Een overgrote meerderheid van die lekken, zo'n 70 procent werd als zero-day misbruikt. De gemiddelde Time-to-Exploit (TTE) ging van 32 dagen in de voorgaande jaren, naar 5 dagen in 2023. (Mandiant)
https://cloud.google.com/blog/topics/threat-intelligence/time-to-exploit-trends-2023/

Microsoft publiceerde eerder deze maand code voor een nieuwe hypervisor, of virtual machine monitor (VMM), geschreven in Rust. OpenVMM is een type 2 hypervisor, die draait op een besturingssysteem, in tegenstelling tot een type 1 hypervisor die draait op bare metal en direct communiceert met hardware. Dit lijkt dus meer op Oracle VM VirtualBox, VMware Workstation of Microsoft Virtual PC dan op VMware ESXi, KVM of Microsoft Hyper-V. OpenVMM is echter nog in ontwikkeling en Microsoft waarschuwt dat het nog niet klaar is voor productiegebruik, maar het laat wel het vertrouwen zien dat Microsoft heeft in Rust. Voor Microsoft maakt dit het mogelijk dat bestaande workloads hun Azure Boost hardwareversneller gebruiken zonder de gast-VM-image te wijzigen; de gast krijgt rechtstreeks toegang tot snellere IO- en beveiligingsfuncties, in plaats van via de host, via een nieuwe virtualisatielaag. (The Register)
https://www.theregister.com/2024/10/17/microsoft_preps_rust_hypervisor_for/

Apple wil de levensduur van SSL/TLS-beveiligingscertificaten verkorten van 398 dagen nu naar 45 dagen in 2027, en systeembeheerders hebben daar een sterke mening over. Vooralsnog gaat het om een conceptvoorstel van Apple waarover waarschijnlijk in de komende maanden zal worden gestemd. Nieuwe certificaten, bijvoorbeeld voor HTTPS-verbindingen, zouden dan vaker vervangen moeten worden door site-eigenaren, in een poging om de internetbeveiliging te verbeteren. In het voorstel van Apple zou de maximale levensduur van certificaten in stappen worden verkort van 200 dagen in september 2025 tot 45 dagen in april 2027. Veiliger zal het er wellicht op worden, maar het beheer van al die verlopen certificaten komt volledig bij website- en systeembeheerders terecht. (The Register)
https://www.theregister.com/2024/10/15/apples_security_cert_lifespan/

Hackers bedienen zich van een nieuwe 'ClickFix'-campagne, waarmee gebruikers naar frauduleuze Google Meet-conferentiepagina's worden gelokt. Daar komen ze nep-verbindingsfouten tegen en het  'oplossen' van die fouten zorgt voor de installatie van informatie stelende malware, op Windows en macOS. (BleepingComputer)
https://www.bleepingcomputer.com/news/security/fake-google-meet-conference-errors-push-infostealing-malware/

Android 15 wordt sinds deze week gedistribueerd, met de Google Pixel apparaten als eerste ontvangers. Het installeren levert drie extra beveiligingsfuncties op; Theft Detection Lock (Nederlands: 'Vergrendeling voor diefstaldetectie'), Offline Device Lock ('Offline apparaatvergrendeling') en Remote Device Lock ('Apparaatvergrendeling op afstand'). Alle drie staan standaard uit, je moet ze in de instellingen activeren. (ZDNET)
https://www.zdnet.com/article/android-15-is-here-and-you-should-update-your-phone-asap-heres-why/#ftag=RSSbaffb68
En in dit artikel zet Google alle veranderingen binnen Android 15 voor bedrijven op een rij. (Google)
https://blog.google/products/android-enterprise/android-15-for-business/
Met het zoeken naar updates ging gisteren mijn Pixel naar Android 15. Kortom, het werkt echt. :-) -RO

Kubernetes Image Builder
Fabrikant: open source
CVE: CVE-2024-9486
CVSS-score: 9,8
Patches: Ja. De Image Builder kreeg een update, en Images moeten opnieuw worden gebouwd met die nieuwe Image Builder.
Zero-day: Nee
Exploit: Nee
In KEV: Nee

Een nieuw onderzoek weerlegt de opvatting dat zit-sta bureaus goed zijn voor je gezondheid. Sterker nog, "langer dan twee uur per dag staan kan ​​het risico op het ontwikkelen van problemen zoals trombose en spataderen vergroten," meldt The Guardian. (The Guardian)
https://www.theguardian.com/society/2024/oct/16/standing-desks-may-be-bad-for-your-health-study-suggests
Dit komt op mij compleet logisch over. Een zit-sta bureau helpt je bij het af en toe aannemen van een andere houding, maar het zorgt natuurlijk niet voor hetgeen echt goed voor je is: beweging. En als je niet genoeg beweegt en ook geen andere houding aanneemt (lees: als je te lang staat), dan is dat slecht voor je. Logisch. -RO

Bij Casio kun je in Japan de 'Moflin' bestellen, een robotcavia. Hij kost 59.400 Yen, dat is ongeveer 365 euro, en je kunt er een verzekering bijkopen van 6.600 Yen per jaar (circa 40 euro). De Moflin kan niet veel meer dan kleine bewegingen maken en kleine geluidjes, maar hij moet op de een of andere manier wel na een tijdje kenbaar kunnen maken dat hij de eigenaar herkent, die het beest dan ook de nodige aandacht moet geven. Opladen gebeurt door het beest in zijn mandje te leggen. De Casio Moflin is niet bedoeld als speelgoed zoals de Sony Aibo robothond, maar als een metgezel die je troost kan bieden. (The Verge)
https://www.theverge.com/2024/10/11/24268063/casio-robot-pet-moflin

De Honey Badger-robot met poten van MAB Robotics kan zich onder water voortbewegen. Hij is bedoeld voor inspectie en onderhoud in overstroomde of anderzins ruige gebieden. (YouTube)
https://youtu.be/p66uxwUgboY