* Discussie - Discussiëren met andere leden over iets in deze nieuwsbrief? Dat kan hier op Discord. Vragen stellen aan andere KNVI-leden? Hier op Discord. Nog geen KNVI Discord-account? Meld je aan via deze link en gebruik er je eigen naam ('Voornaam Achternaam' in 'Bijnaam', via instellingen -> Profielen, Serverprofielen, Bijnaam).
* Reageren op deze nieuwsbrief? Stuur me een email, of reageer in '#actueel' op Discord.
- Ron Onrust, samensteller IT-Infra Nieuwsbrief 

PwC heeft de resultaten van de jaarlijkse Global Digital Trust Insights-enquête gepubliceerd, met daarin de verwachtingen voor 2025. Daarin staat dat ongeveer driekwart (77 procent) van de organisaties denkt dat het cyberbudget zal toenemen, omdat organisaties moeten inspelen op dreigingen die steeds groter worden, en zij daarop nu onvoldoende voorbereid zijn. Maar twee procent van de ondervraagde bedrijven heeft zoiets als 'cyber resilience' geïmplementeerd, terwijl tweederde (66 procent) van de respondenten cyber als het belangrijkste risico beschouwt. Dat komt omdat de gemiddelde kosten van een datalek 3,3 miljoen dollar bedragen. Organisaties maken zich het meest zorgen over datgene waar ze het minst op voorbereid zijn; cloudgerelateerde dreigingen (42 procent), hack-and-leak-operaties (38 procent), inbreuken door derden (35 procent) en aanvallen op verbonden producten (33 procent). De opkomst van genAI wordt gezien als de belangrijkste factor die de dreiging het afgelopen jaar heeft verhoogd (67 procent die dat aangeeft), met de cloud op een goede tweede plaats (66 procent). Aan de andere kant wordt genAI ook op grote schaal ingezet ter ondersteuning van belangrijke cybersecurityfuncties zoals detectie en respons op bedreigingen en voor dreigingsinformatie.

Smart Reply bestaat al een tijdje in Gmail, maar dankzij Gemini worden dat nu 'contextual Smart Replies'. Voorheen ging het om een regeltje dat kon dienen als een kort antwoord op een e-mail, maar de contextual Smart Replies gaan wat verder en houden rekening met de volledige inhoud van de e-mailthread. Gebruik je de functie, dan krijg je als mogelijke antwoorden een reeks van alternatieven waar je uit kunt kiezen. Natuurlijk zul je ook deze goed moeten controleren en mogelijk iets moeten bewerken, maar ze zijn wel gedetailleerder en persoonlijker. De contextual Smart Replies krijgen alleen mensen met een betaalde Gemini add-on, of een Google One AI Premium-abonnement. Wie in aanmerking komt, kan nog wel tot 15 dagen moeten wachten voordat het beschikbaar komt.

Een artikel bij CIO citeert een onderzoek van Uplevel naar de effecten van het inzetten van AI bij ontwikkelaars. Uit de resultaten daarvan blijkt dat er 'geen significante verbeteringen voor ontwikkelaars' zijn, wanneer de ontwikkelaars Microsoft's Copilot gebruiken. Het inzetten van GitHub Copilot introduceerde 41 procent meer bugs, aldus het onderzoek, en het was ook niet behulpzaam bij het tegengaan van een burn-out. In het artikel wordt ook de CEO van softwareontwikkelingsbedrijf Gehtsoft aangehaald, die zegt dat ze geen grote productiviteitswinst zagen van LLM-gebaseerde code-assistenten, maar wel zagen dat ze fouten in de code introduceerden. Het wordt steeds moeilijker om de door AI gegenereerde code te begrijpen en te debuggen, en probleemoplossing wordt zo resource-intensief dat het gemakkelijker is om de code helemaal opnieuw te schrijven. Toch zijn er ook mensen die wel productiviteitswinst zien. Het artikel zorgde voor een discussie bij Slashdot en daar zijn mensen die wel kleine winsten zien bij het inzetten van de AI voor met name eenvoudigere delen van de code.

OpenAI zou investeerders hebben verteld dat het tegen het einde van het jaar 22 dollar per maand wil gaan vragen voor het gebruik van ChatGPT. Die prijs moet dan in de komende vijf jaar worden verhoogd naar 44 dollar per maand. Volgens documenten die The New York Times heeft bemachtigd verwacht OpenAI in 2024 3,7 miljard dollar te verdienen, maar uitgaven zoals salarissen, huur en operationele kosten zorgen ervoor dat het bedrijf dit jaar per saldo 5 miljard dollar verliest. OpenAI zou deze documenten verspreiden als onderdeel van een poging om nieuwe investeerders te vinden. Eerder maakte OpenAI bekend bezig te zijn met de overstap van een non-profitorganisatie naar een winstgevende onderneming.

IEEE Spectrum meldt dat het voor het eerst is dat wetenschappers een buigbare programmeerbare chip hebben gemaakt, die niet uit silicium bestaat. En dat opent nieuwe toepassingsgebieden, zoals implanteerbare apparaten, computers op de huid, hersen-machine-interfaces en zachte robotica. De 32-bits open source RISC-V chip, de 'Flex-RV' werd geproduceerd door het in het VK gevestigde Pragmatic Semiconductor, en kost mogelijk minder dan een dollar per stuk. Hij is gebaseerd op indiumgalliumzinkoxide (IGZO), wat je, in tegenstelling tot silicium, kunt buigen. 

De nationale veiligheidsdiensten van de VS en het VK waarschuwen gezamenlijk voor Iraanse spearphishingcampagnes, die een voortdurende bedreiging vormen voor industrieën en overheden. Belangrijke personen worden direct benaderd via social engineering, om zo inloggegevens te verzamelen. Overheidsfunctionarissen, journalisten, activisten en senior denktankonderzoekers behoren tot degenen die een acuut risico lopen. De methode loopt vaak via het imiteren van bekende contactpersonen zoals collega's, vertrouwde organisaties zoals e-mailproviders of zelfs vrienden en familieleden. Ze proberen eerst een band op te bouwen, waarna het slachtoffer een link krijgt waar hij via tweeweg authenticatie op moet inloggen. (The Register)
https://www.theregister.com/2024/09/30/iran_spearphishing/

Uit een onderzoek van het Amerikaanse General Services Administration (GSA) blijkt dat vijf technologieën voor 'remote identity verification' (RiDV) onbetrouwbaar en inconsistent zijn, en vooroordelen hebben over verschillende demografische groepen. Eén van de producten faalde in 50 procent van de gevallen in het herkennen van personen en zelfs het product dat het beste presteerde faalde nog altijd in 10 procent van de gevallen. Kortom, de technologie die wordt gebruikt voor identiteitsverificatie op afstand is een puinhoop. (The Register)
https://www.theregister.com/2024/09/30/remote_identity_verification_biased/

Het National Institute of Standards and Technology (NIST) heeft een tweede openbaar concept van de nieuwste Digital Identity Guidelines gepubliceerd. Dat document bevat veel meer, maar dit artikel duikt specifiek in de aanbevelingen rond het gebruik van wachtwoorden. Het document probeert bijvoorbeeld een einde te maken aan eisen aan wachtwoorden die juist contra-productief werken, namelijk verplichte veranderingen van wachtwoorden, vereist of beperkt gebruik van bepaalde tekens en het gebruik van beveiligingsvragen. (ars technica)
https://arstechnica.com/security/2024/09/nist-proposes-barring-some-of-the-most-nonsensical-password-rules/

Analyse van de (ontbrekende?) logica achter het gerucht dat ook Arm er geïnteresseerd in zou zijn om te investeren in Intel. (The Register)
https://www.theregister.com/2024/09/27/arm_intel_takeover/

Het artikel refereert aan een blog van Microsoft threat intelligence waarin wordt gewaarschuwd voor de veranderde tactieken van de ransomwarebende Storm-0501. (The Register)
https://www.theregister.com/2024/09/27/microsoft_storm_0501/

Traffic Manager
Fabrikant: Ivanti
CVE: CVE-2024-7593
CVSS-score: 9,8
Patches: Ja
Zero-day: Nee
Exploit: Ja
In KEV: Ja
Meer informatie: De CVE stamt uit augustus en komt nu weer onder de aandacht, omdat hij vorige week werd toegevoegd aan de KEV.

Dmitry Grinberg is het gelukt om Debian Linux aan de praat te krijgen op een 4-bits Intel-microprocessor uit 1971, de eerste microprocessor ter wereld, de 4004. Hij besteedde vooral veel tijd aan het testen van snelheidsoptimalisaties met een emulator, want het was zijn eerste doel om de opstarttijd onder een week te krijgen. (dmitry.gr)
https://dmitry.gr/?r=05.Projects&proj=35.%20Linux4004
De video is bijna twee uur lang, en is 120 keer versneld. Dat zegt iets over de tijd die voor het opstarten nodig was. :-) -RO

Het bedrijf Fairgo.ai levert AI avatars die een eerste screening doen van kandidaten die op een vacature solliciteren. De bot stelt alleen maar vragen, en de kandidaat wordt niet beoordeeld op het beeld of het geluid van zijn antwoorden, en ook niet door de bot, maar alleen de uitgeschreven antwoorden worden door een mens bekeken. Het zou een eerlijke manier zijn om kandidaten een eerste beoordeling te geven. (Slashdot)
https://slashdot.org/story/24/09/27/2232220/ai-avatars-are-doing-job-interviews-now

De onafhankelijke beveiligingsonderzoeker Sam Curry heeft een fout gevonden in een webportaal van autofabrikant Kia, dat hem in staat stelde om met het kenteken en een smartphone een auto compleet in handen te krijgen. Hij had er zelfs een eigen app voor gebouwd; kenteken invoeren en hij was in staat om de auto op een kaart te volgen, de auto te ontgrendelen of te starten. Het lek is inmiddels door Kia gedicht. (Sam Curry)
https://samcurry.net/hacking-kia

Amerikaanse vastgoedontwikkelaars draaien overuren omdat datacenters bijna elke vierkante meter huren die beschikbaar komt, en dan gaat het met name om AI en cloud serviceproviders, waaronder ook Amazon, Microsoft, Google en Oracle. Leegstaande kantoren waar ook voldoende stroom beschikbaar is, worden in een rap tempo bezet door bedrijven die plek zoeken voor hun servers. Leegstand is snel gedaald tot maar 3 procent van het aanbod. (Slashdot)
https://hardware.slashdot.org/story/24/09/29/2322229/the-hot-new-trend-in-commercial-real-estate-renting-to-data-centers