#spip

Ah, une #shameless_autopromo un peu originale cette fois : j’ai développé 3 écrans tactiles pour le Palais Bénédictine à Fécamp.

Et comme Manu, ce mois-ci, était en déplacement sur un autre projet, c’est moi qui suis allé faire l’installation (et Fécamp, depuis Montpellier, c’est vraiment très très loin).

Alors le Palais Bénédictine, si tu ne connais pas, c’est une curiosité absolument invraisemblable : le créateur de la liqueur Bénédictine a fait construire ce « palais » néo-gothique, néo-renaissance, en plein Fécamp, sur le modèle de l’ancienne abbaye bénédictine de la ville, pour y abriter à la fois l’usine de production de la liqueur (la distillerie), et un petit musée accueillant sa collection d’art religieux, à la fin du XIXe.

https://pixelfed.zoo-logique.org/storage/m/_v2/493728974881341455/c51ea9690-856390/mbJe4MCVaeTL/dJOe8KlpGuuBHYOiMLnm9vIIupjAEwEzJ76MYaYN.jpg https://pixelfed.zoo-logique.org/storage/m/_v2/493728974881341455/c51ea9690-856390/1ksRjAtSCPMI/jW2GhxFxdENEbbyQi90aDn3Klr8F72f2skVpsDDY.jpg

Comme d’habitude, c’est du #SPIP, aspiré en local et installé dans des PC cachés sous les écrans tactiles.

– Il y a une vue « tournante » du bâtiment, tournant sur lui-même sur 360°, sur lequel des hotspots permettent d’ouvrir des fiches d’information. Pour gérer la maquette qui tourne sur elle-même et les hotspots, j’utilise Objet2VR :
▻https://ggnome.com/object2vr
Avec par-dessus un script perso qui fluidifie l’affichage des points cliquables, et qui surtout fabrique un affichage sur les côtées des intitulés des points, sur la gauche ou sur la droite de l’écran, en fonction de la position de chaque hotspot.

Originalité cette fois : on m’a transmis un « objet » 3D réalisé à partir d’une photogrammétrie d’une maquette qui existe dans le bâtiment, et pour le coup c’est moi qui ai fabriqué les 360 rendus dans Blender (je crois que c’est la première fois que je fais moi-même le rendu 3D dans une prestation professionnelle).

– Il y a une représentation de livre en vue « tourne-page », chaque page étant elle-même zoomable (à chaque fois on « zoome » dans la double-page ouverte du bouquin, c’est très sympa), avec à nouveau des hotspots dans les pages du livre.

– Et une représentation chronologique de l’histoire du musée à base de photographies. (Là aussi, petite originalité, j’ai fait beaucoup de retouches photo sur les images fournies : des scans de très bonne qualité de vieilles plaques photographiques, certaines de la fin du XIXe siècle, au rendu très impressionnant, mais nécessitant pas mal de corrections pour une présentation multimédia. On en a déjà discuté ici, mais pour ce type de retouches, j’utilise désormais Affinity Photo.)

Les tables sont installées sur des Nuc, un « gros » avec un processeur i7, et plusieurs petits avec des i5. Cette fois pas mal de galère avec la gestion du tactile, avec des conflits dans les scripts dans la gestion des événements touch et mouse, impossibles à reproduire sur Chrome Mac, impossibles à reproduire sur la version de Chrome de mon PC sous Windows 11, mais apparaissant de manière un peu aléatoire (mais souvent) sur la version de Chrome des Nuc i5. Finalement j’ai réussi à systématiser le bug sur un vieux PC sous Windows 10 et ainsi corriger le problème (sans pour autant déterminer pourquoi une fois ça marche une fois ça marche pas, sur la même version de Chrome…).

Reportage Euroforest 2023 - Les soulèvements de la terre face à l’industrie de la forêt à St Bonnet-de-Joux | Environnement | Valleeducousin.fr
▻https://www.valleeducousin.fr/spip.php?article1745

▻https://www.youtube.com/watch?v=P3iK1_tthGE

Euroforest, délire technophile d’engins robotisés

Les comités locaux de Saône-et-Loire avaient appelé à mobilisation
pour un rassemblement à Saint-Bonnet-de-Joux le vendredi
23 juin à 8h45 contre le salon Euroforest 2023.

Pendant 3 jours, le Bois de Chaumont devenait l’aire de jeux de
400 exposants de l’industrie forestière venus de toute l’Europe
dans un délire technophile d’engins robotisés en action.
L’invité d’honneur 2023 : le greenwashing

L’invité d’honneur cette année, c’est le greenwashing : « La coupe rase
sera indispensable pour adapter la forêt au changement climatique » (SIC) assure Jean-François Dhôte, directeur de recherches à l’INRAE,
durant une conférence de presse annonçant le salon.

« Même si c’est imposant à voir, une abatteuse à 8 roues, c’est moins de pression pour le sol qu’un cheval » (SIC) ajoute Antoine d’Amincourt, président de la Fédération des syndicats forestiers privés.

#SPIP et le squelette Koinos ▻https://contrib.spip.net/Squelette-Koinos

#1 Social Media Auto Poster and Scheduler - dlvr.it
▻https://dlvrit.com
Depuis le début du mois de juillet les connecteurs RSS->Twitter chez #ifttt sont payants. Désormais j’utilise dlvr.it qui offre deux connecteurs / feeds gratuitement. C’est bon pour les besoins de base de deux sites #SPIP.

Auto Post to Social Media

Auto share photos, news and videos across your social networks. Auto post to Facebook, Twitter, Google Business Profile, LinkedIn and more.

#rss #web #twitter

Leaflet was created 11 years ago by Volodymyr Agafonkin, a Ukrainian citizen living in Kyiv.

https://leafletjs.com/docs/images/logo-ua.png

Russian bombs are now falling over Volodymyr’s hometown. His family, his friends, his neighbours, thousands and thousands of absolutely wonderful people, are either seeking refuge or fighting for their lives.

The Russian soldiers have already killed tens of thousands of civilians, including women and children, and are committing mass war crimes like gang rapes, executions, looting, and targeted bombings of civilian shelters and places of cultural significance. The death toll keeps rising, and Ukraine needs your help.

As Volodymyr expressed a few days before the invasion:

If you want to help, educate yourself and others on the Russian threat, follow reputable journalists, demand severe Russian sanctions and Ukrainian support from your leaders, protest war, reach out to Ukrainian friends, donate to Ukrainian charities. Just don’t be silent.

Ukrainians are recommending the Come Back Alive charity. For other options, see StandWithUkraine.

If an appeal to humanity doesn’t work for you, I’ll appeal to your egoism: the future of Ukrainian citizens is the future of Leaflet.

It is chilling to see Leaflet being used for documenting Russia’s war crimes, factual reporting of the war and for coordination of humanitarian efforts in Romania and in Poland. We commend these uses of Leaflet.

If you support the actions of the Russian government (even after reading all this), do everyone else a favour and carry some seeds in your pocket.

Yours truly,
Leaflet maintainers.

Leaflet - a JavaScript library for interactive maps
►https://leafletjs.com
docs/images/logo.png

Veira Da Silva

▻https://vimeo.com/536895887

à 45:48 Apropos du tableau « Les couteaux » Veira Da Silva : là ce sont les armes qui se battent en duel … Je l’ai rêvé souvent Pourquoi ils ne mettent pas les armes les unes contre les autres dans un désert …

https://www.mba-lyon.fr/sites/mba/files/content/medias/images/2020-09/vieira-da-silva_maria-helena_desastre_ss-crop-ss-iptc.jpg

–—

https://amusearte.hypotheses.org/files/2020/04/Sem-T%C3%ADtulo-3-1-768x1022.jpg

#Portugal #peinture #peintresse #révolution_des_œillets #Lisbonne #télévision

Petit #shameless_autopromo depuis un Joomla hacké récupération et nettoyage des données pour un #SPIP4.2.3 Le site a ainsi été remonté en deux jours ▻https://maxpolfouchet.com merci #SPIP !

J’en profite pour faire l’annonce de la projection du 1er juillet à Vézelay, qui célébrera la naissance de Max-Pol Fouchet il y a 110 ans

https://maxpolfouchet.com/IMG/jpg/affiche_mpf_1er_juillet_web.jpg

Avis #spip.

Sur 🐘, ESS et société annonce une attaque ciblant les sites sous SPIP ce weekend.

@ressol@mastodon.social
Une grande partie des sites gérés sous SPIP a été attaquée ce week-end. ESS et Société est parmi eux. Il est donc inaccessible pour l’instant. Je suis dessus pour le refaire partir le plus vite possible. Merci de votre compréhension.

#spip #attaque

How I Became a WordPress Evangelist in About Two Weeks
▻https://heropress.com/essays/how-i-became-a-wordpress-evangelist-in-about-two-weeks

https://heropress.com/wp-content/uploads/2021/11/dj-billings-600x600-min-300x300@2x.jpg

...
After 12 years using WordPress I’ve gone back to developing a solid plan before creating a new site.
...
How I Use WordPress Now

Over the last couple of years, I’ve expanded my knowledge of PHP, MySQL, and CSS to the point where I can make a WordPress site do pretty much anything I want. ... customize pages using CSS, bending layouts to my will and whimsy.

P.S. c’est un dernier commentaire dans une discussion sur les trolls WP sur discuter.spip.net :-)

#troll #SPIP

Une question SPIP :
Si je comprends bien, les #hashtags de #seenthis sont automatiquement convertis en mots clé #SPIP qu’on peut utiliser dans des boucles.
Comment est-ce que ca marche ? Je voudrais épargner aux auteurs d’un site de passer par l’interface de gestion des mots clé dans l’espace privé et leur permettre de simplement insérer des #hashtags dans leurs textes comme sur Seenthis.

Merci pour vos lumières :-)k++

@b_b @seenthis

Un petit #shameless_autopromo bien sympa : on vient de lancer une petite webapp pour l’Ircam :
▻https://circus.ircam.fr

Normalement c’est destiné à accompagner la rénovation de la Fontaine Stravinsky à côté de Beaubourg à Paris : idéalement tu te promènes à côté, tu tombes sur un panneau qui te signale la webapp avec un QRcode qui va bien, et hop tu peux écouter ces sons en regardant les œuvres de Jean Tinguely et Niki de Saint Phalle…

(C’est donc franchement conçu pour une utilisation sur smartphone.)

Côté technique, avec l’Ircam évidemment c’est du son binaural. De mon côté, évidemment c’est du #SPIP. Et j’ai fabriqué les animations de formes d’ondes qui accompagnent les sons avec DaVinci Resolve. La petite originalité ici, c’est la présentation des sons sous forme de vidéos installées sur Viméo, et l’interface (bouton play/pause, barre de progression, etc.) en javascript de mon côté, pour contrôler l’API de Viméo.

Ah, un #shameless_autopromo dont je suis content : on vient d’inaugurer la nouvelle scénographie de la Tour Tanguy à Brest, pour laquelle j’ai travaillé avec Atiz, la boîte locale qui s’est chargée du projet. J’ai réalisé deux tables tactiles sur l’histoire de Brest avant la seconde guerre mondiale.

C’est ma première interface en breton, je suis pas peu fier sur ce coup…

(Et je te refais pas le topo, mais oui : c’est du #SPIP que j’utilise comme framework, et j’exporte le « site Web » ainsi réalisé pour l’installer sous forme d’application sur les tables tactiles en local.)

Mise à jour de maintenance et sécurité : sortie de SPIP 4.2.3, SPIP 4.1.10

Ces nouvelles versions améliorent la sécurité et corrigent certains bugs.

▻https://blog.spip.net/875

#spip

7G Firewall | Perishable Press
▻https://perishablepress.com/7g-firewall

The 7G Firewall is a powerful, well-optimized set of rewrite rules that checks all URI requests against a set of carefully constructed Apache/.htaccess or Nginx directives. This happens quietly behind the scenes at the server level, which is optimal for performance because it avoids the need to load up PHP and MySQL just to block a bad request. This is one reason why securing at the server level is better than using a plugin or other PHP script.

#rewrite_rules #htaccess #firewall #SPIP

Un second pas...

▻https://discuter.spip.net/t/depot-composer-et-packages-pour-spip/167646/8

Bonne chose de faite <3

#spip

Lighthouse overview - Chrome Developers
▻https://developer.chrome.com/docs/lighthouse/overview

Est-ce que vous avez une opinion à propos de cet outil ?

Je me contente toujours de validator.w3.org et de Lynx (en plus de Firefox, Chrome et Safari sous des OS divers) pour tester mes sites. C’est déjá assez coûteux quand tu fabriques du code propre (validator) et des pages facilement accessibles (des textes bien structurés, pas de menus interminables en haut de page, des alt/titre pour les images et vidéos, des liens parlants etc.). Avec l’inspecteur de code de Firefox et les autres outils (SPIP) je me sens à l’aise, alors quel argument est-ce qu’il y a pour ajouter Lighthouse à ma boîte d’outils (dans ungoogled Chromium ) ?

Je m’en fous du nombre de visiteurs répertoriés car je ne travaille plus du tout pour les commerciaux, et toute la magie noire SEO ne m’intéresse plus que pour m’amuser.

Merci pour vos idées.

Lighthouse is an open-source, automated tool for improving the quality of web pages. You can run it against any web page, public or requiring authentication. It has audits for performance, accessibility, progressive web apps, SEO, and more.
Lighthouse logo

You can run Lighthouse in Chrome DevTools, from the command line, or as a Node module. You give Lighthouse a URL to audit, it runs a series of audits against the page, and then it generates a report on how well the page did. From there, use the failing audits as indicators on how to improve the page. Each audit has a reference doc explaining why the audit is important, as well as how to fix it.

You can also use Lighthouse CI to prevent regressions on your sites.

#web #www #html #css #javascript #SPIP

Panne bei GitHub : Privater SSH-Schlüssel war öffentlich einsehbar
▻https://www.heise.de/news/Panne-bei-GitHub-Privater-SSH-Schluessel-war-oeffentlich-einsehbar-8003623.htm

Il y a plusieurs raisons pour l’utilisation de son propre serveur GIT. Cet articleen décrit une.

24.3.2023 von Rainald Menge-Sonnentag - Die Betreiber der Versionsverwaltungsplattform GitHub haben den RSA-SSH-Host-Schlüssel ausgetauscht, weil der private Schlüssel offenbar in einem öffentlichen Repository aufgetaucht war. Der Vorfall betrifft nur diejenigen, die ihre Git-Operationen über SSH (Secure Shell) mit dem RSA-Kryptoverfahren durchführen, zeigt aber auch, dass den Betreibern Pannen passieren können, vor denen sie ihre Kundschaft warnen.

Nach Angaben von GitHub hat das Unternehmen festgestellt, dass der private RSA-SSH-Schlüssel kurzzeitig in einem öffentlichen GitHub-Repository zu finden war. Laut einem Blogbeitrag handelte es sich um keine externe Attacke und es seien keinerlei Kundendaten abgegriffen worden. GitHub habe keinen Grund zur Annahme, dass jemand den exponierten Schlüssel missbraucht hat.
Kein Angriff, sondern ein peinlicher Patzer

Die Betreiber der Plattform vermuten, dass es sich bei der Veröffentlichung des Schlüssels um ein Versehen gehandelt habe. Dass private Schlüssel, Passwörter im Klartext oder andere Credentials in Repositories landen, kommt leider immer wieder vor. Das hat sowohl GitHub als auch GitLab dazu veranlasst, Schutzmaßnahmen einzuführen. GitHub hat Anfang 2021 zunächst für private Repositories Secret Scanning eingeführt, das solche Credentials aufspürt. Inzwischen ist die Funktion auch für öffentliche Repositories verfügbar.

Der KI-Codeassistent Copilot hat Anfang des Jahres einen Filter erhalten, der hartkodierte Credentials erkennen soll. Mitbewerber GitLab bietet seit Anfang 2019 die Funktion Secret Detection, die anfangs auf die teuerste Ultimate-Variante beschränkt war. Inzwischen ist sie mit geringerem Funktionsumfang auch in der kostenlosen Free-Variante enthalten. Das Thema Security bringt GitHub regelmäßig auf den Tisch und hat frisch das Secure Code Game gestartet, das Entwicklerinnen und Entwicklern dabei helfen soll, weniger Schwachstellen zu produzieren.
Update für die Betroffenen

Die meisten GitHub-User dürften von dem Schlüsselaustausch wenig mitbekommen. Betroffen sind nur diejenigen, die SSH mit RSA-Verschlüsselung verwenden. Diejenigen, die für den Secure-Shell-Zugriff ECDSA- oder Ed25519-Schlüssel nutzen, brauchen sie nicht zu ändern.

Wer folgende Fehlernachricht beim Verbindungsaufbau über SSH erhält

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s.
Please contact your system administrator.
Add correct host key in ~/.ssh/known_hosts to get rid of this message.
Host key for github.com has changed and you have requested strict checking.
Host key verification failed.

muss den alten öffentlichen RSA-Schlüssel zunächst mit ssh-keygen -R github.com löschen und dann einen neuen Schlüssel entweder manuell in die Datei ~/.ssh/known_hosts eintragen oder über curl herunterladen:

curl -L ▻https://api.github.com/meta | jq -r ’.ssh_keys \
| .[]’ | sed -e ’s/^/github.com /’ >> ~/.ssh/known_hosts

Aus Sicherheitsgründen sollen auch diejenigen den kompromittierten RSA-Schlüssel löschen, die ihn nicht nutzen oder keine Fehlermeldung erhalten.

Der Fingerprint für den neuen Schlüssel ist laut GitHub:

SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s

Neben denjenigen, die direkt RSA für SSH verwenden, können auch bestimmte GitHub Actions betroffen sein, die mittels SSH-Schlüssel erfolgen.

Weitere Informationen zu dem Vorfall und den Gegenmaßnahmen lassen sich dem Beitrag auf dem GitHub-Blog entnehmen, der sich allerdings über Details dazu ausschweigt, wann und wie lange der private Schlüssel öffentlich einsehbar war.

#développement_de_logiciels #GIT #sécurité #SPIP

Mise à jour : sortie de SPIP 4.2.2, SPIP 4.1.9, SPIP 4.0.11 et SPIP 3.2.19

Une petite anomalie s’est glissée dans les versions que nous avons publié hier, nous proposons une nouvelle mise à jour corrigeant ce bug.

▻https://blog.spip.net/872

@seenthis a eu le droit à sa mise à jour, as usual.

#spip

Mise à jour critique de sécurité : sortie de SPIP 4.2.1, SPIP 4.1.8, SPIP 4.0.10 et SPIP 3.2.18

Suite au signalement d’une faille critique de sécurité, nous publions les version 4.2.1, 4.1.8, 4.0.10 et 3.2.18. Un grand merci à Glop pour le signalement.

▻https://blog.spip.net/871

@seenthis a eu le droit à sa mise à jour (la dernière avant que quelqu’un⋅e ne se penche sur le portage vers SPIP 4)

#spip

Sortie de SPIP 4.2.0

Après un mois de test de la version alpha, nous avons le plaisir de publier la version stable de SPIP 4.2 !

Comme annoncé dans l’article de présentation de la version alpha, SPIP 4.2 apporte avant tout la compatibilité avec PHP 8.2 tout en gardant exceptionnellement une compatibilité avec la version PHP 7.4. C’est aussi un premier pas vers Composer avec l’introduction d’un autoloader à usage interne et l’intégration de dépendances à des librairies PHP via composer.json.

▻https://blog.spip.net/870

#spip

Merci à SPIP & à lautre.net - Souriez vous êtes filmé·es
▻https://souriez.info/+Merci-a-SPIP-a-lautre-net+?var_mode=calcul

Merci à SPIP & à lautre.net

Le site de souriez.info tourne en SPIP depuis plus de vingt ans !

Non pas que le site ait fait peau neuve, mais son système de gestion de contenu qui permet de publier en ligne les articles était en SPIP 2.1.30 depuis looongtemps et il était donc temps qu’il fasse sa nouvelle mise à jour.
La nouvelle version de SPIP en 3.2.17 a donc été installée aujourd’hui en deux heures montre en main (rapatriement des données, test de mise à jour en local, test en dev, mise en production) tout cela sans aucun souci, au contraire, une petite révision de quelques pages bancales préexistantes à la MAJ et c’est reparti ! Merci #SPIP

Adieu à l’ancienne version

https://souriez.info/IMG/png/capture_d_e_cran_2023-02-15_a_21.07_47.png

Amazonie, les civilisations oubliées de la forêt | ARTE

▻https://www.youtube.com/watch?v=g1oKwl9fCGQ

53:10

https://i.imgur.com/LJYzWvm.png

#amazonie #guyane #rituels_funéraires #art #nature #archéologie

#Documentaire un peu mené comme une enquête avec une urne qui livre ses secrets sur les traces des modes de vies des indiens amazoniens avant la colonisation, vraiment passionnant.

image-orientation - CSS : Cascading Style Sheets | MDN
▻https://developer.mozilla.org/en-US/docs/Web/CSS/image-orientation

propriété CSS 3 pour permettre l’affichage d’une image selon son EXIF ou pas

#image-orientation #EXIF #image #CSS #SPIP

The best classless CSS frameworks in 2021 - DEV Community 👩‍💻👨‍💻
▻https://dev.to/skypack/the-best-classless-css-frameworks-in-2021-427a

Courte explication du concept de « classless CSS » + un codepen pour tester une 12aine de framework bâtis sur ce concept

#classeless #CSS

Mise à jour de sécurité : sortie de SPIP 4.1.7, SPIP 4.0.9 et SPIP 3.2.17

Suite au signalement de plusieurs failles critiques de sécurité, nous publions les version 4.1.7, 4.0.9 et 3.2.17. Un grand merci à Abyss Watcher et à un retraité de la communauté SPIP pour ces signalements.

▻https://blog.spip.net/868

#spip

#PHP in 2023 - stitcher.io
▻https://stitcher.io/blog/php-in-2023

https://stitcher.io/img/meta/php-in-2023.png

As a developer though, WordPress makes me sad. The inability to stay up to date with modern and safe PHP versions casts a shadow on the whole PHP community.

Right now, WordPress only has beta support for PHP 8.0. Now, to be clear: PHP 8.0 was released in 2020, and is now end of life, three years later — and WordPress doesn’t yet support it…

Of course, there are reasons for not properly supporting newer PHP versions. Up to you to decide whether they are good or not. My personal opinion is that the decision to hold on to backwards compatibility as much as WordPress does is mostly business driven: a big part of WordPress is the commercial part, and a big part of their customer base is running old PHP versions. It’s a vicious circle where both parties are holding each other back and, by extent, hold back the PHP community as a whole.

On the other hand, we should recognise the fact that not many software projects are able to stay as popular and relevant as WordPress after almost 20 years, so maybe their strategy about backwards compatibility is the right one?

Quelqu’un devrait parler de #SPIP à l’auteur de cet article :)

ChatGPT : Mächtige Waffe in Händen von Skriptkiddies
▻https://www.heise.de/news/ChatGPT-Maechtige-Waffe-in-Haenden-von-Skriptkiddies-7452741.html

Si je comprends bien #ChatGPT ajoute une solution au problème du temps limité qui se pose à pas mal de développeuses amateurs.

9.1.2023 von Dirk Knop - Das künstliche-Intelligenz-Modell ChatGPT der Firma OpenAI kann nicht nur erstaunliche Texte hervorbringen, sondern programmiert auch ganz passabel. Im digitalen Untergrund haben die IT-Sicherheitsforscher von Check Point jetzt beobachtet, wie sogenannte Skriptkiddies, also Nutzerinnen und Nutzer ohne größere Programmierkenntnisse, das KI-Modell zum automatisierten Erstellen etwa von Malware missbrauchen.

Die IT-Forscher haben mehrere Untergrund-Hacking-Foren untersucht und haben dabei erste Gehversuche von Cyberkriminellen aufgespürt, mit der OpenAI-KI bösartige Werkzeuge zu entwickeln. In einigen Fällen zeigte sich zudem, dass die Kriminellen keinerlei Entwickler-Knowhow besaßen. Die ersten Tools seien noch recht einfach, es sei jedoch lediglich eine Frage der Zeit, bis fortgeschrittenere bösartige Akteure die Nutzung von KI-basierten Werkzeugen für ihre Ziele ausweiten.
ChatGPT: Infostealer und Verschlüsselungstools

Die Check-Point-Mitarbeiter haben kurz vor Jahreswechsel einen Diskussionsfaden in einem populären Untergrundforum entdeckt, in dem der Themenstarter erklärte, dass er mit ChatGPT experimentiert, um Malware-Stämme nachzubauen, die in Forschungspublikationen und allgemeinen Schadsoftwarebeschreibungen auftauchten. Als Beispiel habe dieser einen Code-Schnippsel in Python geteilt, der bestimmte Dateitypen suche, sie in einen zufälligen Ordner im Temp-Verzeichnis kopiere, diesen in eine ZIP-Datei verfrachte und schließlich auf einen fest einprogrammierten FTP-Server hochlade.

Der Code-Schnipsel hielt der Prüfung durch die IT-Forscher stand, er lieferte tatsächlich die versprochenen Funktionen ab. Ein weiteres Beispiel der Versuche dieses Cyberkriminellen mündete in einem Java-Schnipsel. Der lädt den SSH-Client PuTTY herunter und startet ihn versteckt im System mit Powershell. Das Skript ließe sich leicht anpassen, beliebige Programme herunterzuladen, einschließlich Malware.

Zwar habe der Themenstarter weitergehende Programmierkenntnisse, seine Beispiele zeigten jedoch, wie auch weniger technisch begabte Individuen ChatGPT für bösartige Zwecke missbrauchen könnten – mit echten Beispielen, die sie umgehend nutzen können.

Nur rund eine Woche davor hatte ein anderer Cyberkrimineller ein Python-Skript gepostet, von dem er angab, dass es das Erste sei, das er jemals erstellt hätte. Auf die Code-Ähnlichkeit mit ChatGPT-Code angesprochen, antwortete er, die OpenAI-KI habe ihm eine „nette [helfende] Hand gereicht, um das Skript mit einem schönen Funktionsumfang anzufertigen“. Die Check-Point-Forscher bestätigen, dass das Skript kryptografische Funktionen ausführt und dabei etwa das Signieren, Entschlüsseln und Verschlüsseln unterstützt.
Werkzeug nicht per se bösartig

Die IT-Sicherheitsforscher erläutern, dass sich diese Skripte auch für legitime Zwecke nutzen ließen. Sie ließen sich jedoch sehr leicht modifizieren, um etwa das System eines Benutzers vollständig ohne Nutzerinteraktion zu verschlüsseln. Nach dem Beheben einiger Skript- und Syntax-Probleme könnte daraus eine Ransomware entstehen.

Eine weitere Möglichkeit, wie Cyberkriminelle ohne weiterreichende Entwicklerkenntnisse ChatGPT missbrauchen können, ist das Erstellen eines Darknet-Marktplatzes. Es handelt sich dabei um einen Umschlagplatz zum Handeln von illegalen oder gestohlenen Gütern wie erbeuteten Zugangsdaten, Kreditkarteninformationen, Malware oder sogar Drogen und Munition, die allesamt mit Kryptowährungen gezahlt werden. Ein Cyberkrimineller demonstrierte, wie mit ChatGPT erstellter Code eine Dritthersteller-API auf aktuelle Kryptowährungskurse von Bitcoin, Etherium und Monero als Teil des Dark-Web-Bezahlsystems abfragte.

Weitere Diskussionen zum Jahresanfang 2023 drehten sich in den Untergrundforen darum, wie sich mit ChatGPT Betrugsmaschen umsetzen ließen. Viele betrafen etwa das Erstellen von zufälliger Kunst mit DALLE2 und der Verkauf davon auf der Plattform Etsy. Oder das Erstellen von E-Books oder kürzeren Kapiteln über spezielle Themen mit ChatGPT und den Online-Verkauf dieser Inhalte, führen die Check-Point-Forscher weiter aus. Es sei noch zu früh, um einzuschätzen, ob ChatGPT das neue bevorzugte Werkzeug im digitalen Untergrund wird. Es zeige sich jedoch deutliches Interesse der Untergrund-Community daran, auf den KI-Trend aufzuspringen und damit etwa Schadcode zu erzeugen.

#SPIP