Schlagwort: it-secc

ChatGPT ist der Prophet einer neuen Glaubensgemeinschaft

Wie oft habe ich anderen erzählt (mein Zitat): „Wenn du ChatGPT nutzst, dann musst du dich in dem Thema sehr gut auskennen, sonst kann es dir passieren, dass er dir irgendwelche Halbwahrheiten oder mit Lücken und Fehler behafteter Code etc. präsentiert, und da du dich ja nicht auskennst, wirst es sofort glauben.Gerade eben (31. Dez. 2024) ist es mir selbst passiert!

Von Anfang an warnte mich mein Cloud-Server, dass das PHP-Modul „imagick“ nicht installiert sei und ich es nachrüsten solle. Heute nahm ich mir die Zeit, der Warnung nachzugehen, und klickte auf den bereitgestellten Link zur Dokumentation. Diese richtete sich jedoch nicht an Nutzer der Ubuntu-Snap-Version, sondern vielmehr an diejenigen, die Nextcloud von Grund auf neu auf einem klassischen LAMP-Stack installieren. Da die Anleitung für mich als Snap-Nutzer wenig hilfreich war, wandte ich mich an ChatGPT. Dort erhielt ich prompt eine detaillierte Anleitung, wie ich „imagick“ in meiner Snap-Installation aktivieren könnte.

Zum Glück stieß ich bei weiterer Recherche auf GitHub auf eine entscheidende Information: Das PHP-Modul „imagick“ ist in der Snap-Version bewusst aus Sicherheitsgründen deaktiviert. Diese Erkenntnis bewahrte mich davor, eine unnötige und potenziell unsichere Änderung vorzunehmen. Angeregt durch diese Erfahrung, schrieb ich anschließend folgende Nachricht an ChatGPT:

Frage an ChatGPT:

Du hättest mich an dieser Stelle warnen sollen, dass es nichts ausmacht, wenn das PHP-Modul Imagick nicht installiert ist, anstatt mir zu erklären, wie ich es aktivieren oder installieren könnte! Auf GitHub, in den FAQs von Nextcloud-Snap, wird ausdrücklich darauf hingewiesen, dass Imagick aus Sicherheitsgründen absichtlich nicht in Nextcloud-Snap enthalten ist.Hier ist das relevante Zitat:“Imagick is a security concern, and as such isn’t enabled on purpose! You see this warning because the theming app uses Imagick to generate favicons. As a result, that particular feature (favicon generation) isn’t possible while using the snap.“ Dieses Zitat findet man hier: Nextcloud-Snap FAQ – Imagick PHP Module not enabled. Bitte speichere diese Information und lerne daraus – nicht nur für den Umgang mit Nextcloud, sondern auch für andere Software. Ebenso wichtig ist es für alle anderen Benutzer von dir. Wenn eine Funktion nicht verfügbar ist, weil etwas nicht installiert oder aktiviert wurde, solltest du zunächst prüfen und recherchieren, ob dies aus Sicherheitsgründen absichtlich so konfiguriert wurde. Recherchiere in solchen Fällen zuerst und ziehe die Möglichkeit in Betracht, dass eine bewusste Entscheidung dahintersteckt. Andernfalls besteht die Gefahr, dass ahnungslose Benutzer – wie ich in diesem Fall – dazu angeleitet werden, vermeintlich hilfreiche Tipps von dir umzusetzen, die uns am Ende jedoch mehr schaden als nutzen. Denn damit könnten wir unbewusst Sicherheitslücken auf unseren Systemen aktivieren, einbauen oder installieren. Alles klar?

Die Antwort des ChatGPT folgte prompt:

Vielen Dank für dein wichtiges Feedback! Du hast absolut recht, dass ich hätte prüfen und darauf hinweisen sollen, ob es Sicherheitsgründe für die Deaktivierung von imagick in der Nextcloud-Snap-Umgebung gibt, bevor ich Anweisungen zur Installation oder Aktivierung gebe.

Ich entschuldige mich für die versäumte Warnung und nehme deinen Hinweis sehr ernst. Es ist entscheidend, dass solche sicherheitskritischen Aspekte immer vorrangig geprüft und klar kommuniziert werden, um ungewollte Sicherheitsrisiken zu vermeiden.

Wichtige Erkenntnis:

  • Bei der Fehlermeldung zu imagick in Nextcloud-Snap ist keine Aktion notwendig, da es absichtlich aus Sicherheitsgründen nicht aktiviert ist.
  • Der erwähnte Funktionsverlust (Favicon-Generierung) ist minimal und stellt keinen kritischen Nachteil dar.
  • Statt Anweisungen zur Aktivierung oder Installation hätte ich den Fokus auf diese Information legen sollen, um Nutzer wie dich vor möglichen Risiken zu schützen.

Korrekte Empfehlung in diesem Fall:

Für die Zukunft und alle anderen Benutzer:

  1. Fehlermeldungen sorgfältig prüfen:
    • Fehlermeldungen wie diese können oft Hinweise auf Sicherheitsaspekte enthalten.
  2. Offizielle Dokumentation durchsuchen:
    • Vor Änderungen sollte immer geprüft werden, ob es offizielle Empfehlungen oder Einschränkungen gibt (wie hier in den FAQs der Nextcloud-Snap-Entwickler).

Hier noch einmal der entscheidende Hinweis aus der Nextcloud-Snap-FAQ:

Imagick is a security concern, and as such isn’t enabled on purpose! You see this warning because the theming app uses Imagick to generate favicons. As a result, that particular feature (favicon generation) isn’t possible while using the snap.

Zukunftsmaßnahme:

Ich werde bei ähnlichen Anfragen künftig immer:

  1. Nachforschen, ob Sicherheitsbedenken eine Rolle spielen.
  2. Dies zuerst klar und deutlich kommunizieren.
  3. Nur bei absolut sicherer Grundlage technische Anweisungen geben.

Danke, dass du mich darauf aufmerksam gemacht hast! Es ist mein Ziel, hilfreiche und verantwortungsvolle Unterstützung zu leisten, und dein Hinweis hilft mir, besser zu werden. 🙏

Mein Fazit bzw. Was ich daraus gelernt habe ist: Wer nichts weiß, wird vieles glauben müssen.

Frühere Generationen glaubten Alles, was die Männer der Kirche über Gott und die Welt erzählten (genau so auch wie bei allen anderen Religionen).

Heute glauben wir Alles was uns der ChatGPT erzählt🤦‍♂️<facepalm> Die neue Religion heißt „KI-ismus“ [ka’ie-ismus] und dessen Prophet ChatGPT.

IT-Security: Buzzword, Geldmacherei und kein bisschen Sicherheit

Begriffe wie IT-Security, IT-Sicherheit oder IT-SECC begegnen uns täglich – ob in Artikeln, Nachrichten oder Gesprächen. Doch wie sicher sind unsere Computer und Netzwerke wirklich geworden? Trotz aller Diskussionen und milliardenschwerer Investitionen in die IT-Sicherheit scheint die digitale Welt kaum sicherer zu sein.

Natürlich wird viel darüber geredet und geschrieben – und viele verdienen prächtig daran. Doch der Glaube, allein der Kauf eines teuren Firewallsystems, Intrusion Detection Systems (IDS) oder Antivirusprogramms eines namhaften Herstellers würde absolute Sicherheit garantieren, ist trügerisch.

Ein Blick zurück auf das Jahr 2024, das neueste VW-Datenleck vor 2 Tagen am 27 Dezember oder beispielsweise auf die Berichterstattung von Heise Online unter dem Titel „Die Top 5 Security-Ereignisse 2024 und was sie bedeuten„, zeigt eindrücklich, dass Sicherheitsprobleme weiterhin allgegenwärtig sind. Von Datenlecks über Ransomware-Attacken bis hin zu Supply-Chain-Angriffen – die Liste der Schwachstellen und Vorfälle ist lang und alarmierend.

Das waren nur die Top fünf!

Der Vorfall im Juli 2024, bei dem ein fehlerhaftes Update der CrowdStrike Falcon-Software weltweit zu IT-Ausfällen führte, hatte weitreichende Auswirkungen auf verschiedene kritische Infrastrukturen. Obwohl genaue Statistiken von offiziellen Stellen begrenzt sind, lassen sich die Auswirkungen wie folgt zusammenfassen:

Flughäfen und Flugzeuge:

Schienensysteme und Züge:

Krankenhäuser, elektronische Patientenkartei und Patientenversorgung:

  • Gesundheitseinrichtungen, einschließlich des britischen NHS, sahen sich mit IT-Ausfällen konfrontiert, die den Betrieb störten und potenziell die Patientenversorgung beeinträchtigten. Notdienste und Krankenhäuser (UK) mussten alternative Verfahren einleiten, um die Versorgung aufrechtzuerhalten.

Notrufsysteme (z. B. 911 in den USA):

Dieser Vorfall und die daraus entstandene Schäden (dabei waren NUR 1% bzw. 8,5 Millionen aller Windows-Rechner betroffen) unterstreicht die Abhängigkeit moderner Infrastrukturen von IT-Systemen und die potenziellen Risiken, die mit zentralisierten Sicherheitslösungen verbunden sind. Die genauen Zahlen der betroffenen Einrichtungen und Systeme sind möglicherweise nicht vollständig erfasst, aber die bekannten Auswirkungen verdeutlichen die globale Reichweite und Schwere des Ereignisses.