Weltbeste Superrechner für UNOZiele und globale Nachhaltigkeit
Künstliche Intelligenz gilt als eine der Schlüsseltechnologien unserer Zeit. Sie wird Gesellschaft, Wirtschaft und Politik nachhaltig verändern und hat das Potenzial, globale Herausforderungen wie Klimawandel, Pandemien oder wirtschaftliche Ungleichheit zu bekämpfen. Viele Länder bemühen sich deshalb darum, ihre KI-Fähigkeiten auszubauen und in die notwendige Infrastruktur zu investieren, wobei vielen potenziellen Akteuren, insbesondere im globalen Süden, aufgrund der hohen Kosten und der Knappheit wichtiger Komponenten der Zugang zu entsprechenden Technologien fehlt.
Globale Herausforderungen brauchen globale Antworten
Mit dem «International Computation and AI Network» wollen die Initiatoren den Zugang zu Supercomputing, Daten- und Software-Infrastrukturen sowie KI-Know-how für weitere Kreise öffnen. Damit sollen internationale Forschungsprojekte ermöglicht werden, die einen gesamtgesellschaftlichen Nutzen haben und sich an den Zielen für nachhaltige Entwicklung der Vereinten Nationen orientieren. «Heute liegen die Kapazitäten zur Entwicklung generativer KI-Modelle vor allem in den Händen von privaten Unternehmen», sagt Alexandre Fasel, Staatssekretär des EDA. «Dadurch entsteht die Gefahr, dass in erster Linie Lösungen entwickelt werden, die sich schnell monetarisieren lassen und die für Akteure und Akteurinnen in einkommensschwächeren Ländern nicht erschwinglich sind». Hinzu kommt, dass sich diese Kapazitäten in einigen wenigen Regionen der Welt konzentrieren und dadurch kulturelle und sprachliche Eigenheiten benachteiligter Gruppen beim Training der KI-Modelle wenig Berücksichtigung finden. ICAIN setzt deshalb auf einen Bottom-up-Ansatz, wobei die Forschenden Projektanträge einreichen und lediglich die Ressourcen beziehen, die ihnen fehlen.
Zur Umsetzung eines ersten Pilotprojekts arbeitet ICAIN beispielsweise mit Data Science Africa (DSA) zusammen. Dabei handelt es sich um eine pan-afrikanische Organisation, die Datenwissenschaftler: innen des Kontinents miteinander vernetzt, Ausbildungsangebote zur Verfügung stellt und gemeinnützige Forschungsprojekte im Bereich Machine Learning und Datenwissenschaften unterstützt. Beim ersten gemeinsamen Projekt soll künstliche Intelligenz unter anderem dazu genutzt werden, die Landwirtschaft resilienter gegenüber negativen Auswirkungen des Klimawandels zu machen.
Die Ergebnisse der von ICAIN unterstützten Projekte werden der Allgemeinheit zur Verfügung gestellt und müssen sowohl hinsichtlich der KI-Modelle als auch der Trainingsdaten transparent sein. «Für uns ist die Zusammenarbeit mit ICAIN interessant, weil sie unseren Mitgliedern neue Möglichkeiten zur Umsetzung von KI-Projekten im afrikanischen Kontext eröffnet. Ausserdem wollen wir die einzigartige Expertise der DSA-Mitglieder zum Nutzen anderer innerhalb des Netzwerks teilen», sagt Prof. Ciira Maina, Vorstandsvorsitzender von Data Science Africa.
Erste Pilotprojekte starten 2024 – Aufbau bis 2025
Zu den Gründungsmitgliedern von ICAIN gehören neben dem EDA, der ETH Zürich, der EPFL und dem CSCS auch das European Laboratory for Learning and Intelligent Systems (ELLIS), Data Science Africa und das finnische IT-Zentrum für Wissenschaft (CSC), das Gastgeber des LUMI-Konsortiums ist. «Es freut mich sehr, dass es uns gelungen ist, ICAIN von Anfang an auf ein breites, internationales Fundament zu stellen, das – neben dem notwendigen Know-how – mit unserer eigenen Infrastruktur Alps und dem europäischen LUMI auch gleich zwei der modernsten und leistungsfähigsten Supercomputer bereitstellen kann», freut sich Christian Wolfrum, Vizepräsident Forschung an der ETH Zürich. «Wir hoffen natürlich, weitere Partner und Partnerinnen von den Zielen von ICAIN überzeugen und zu einer aktiven Unterstützung ermutigen zu können.» Das können neben Forschungsinstitutionen, internationale Organisationen, Unternehmen oder Stiftungen sein, die ICAIN finanziell, mit Sachleistungen (z.B. Rechenleistung) oder Fachwissen unterstützen.
Während der Inkubationsphase sollen im laufenden Jahr die Governance-Regeln und die Koordinierungsprozesse für ICAIN entworfen und die Finanzierung sichergestellt werden. Ausserdem sollen erste Pilotprojekte (z.B. mit DSA) umgesetzt werden, um Erfahrungen hinsichtlich der Zusammenarbeit der Projektpartner zu sammeln. Der effektive Aufbau von ICAIN soll im Jahr 2025 abgeschlossen werden.
ETH Zürich
Rämistrasse 101
CH8092 Zürich
Telefon: +41 (44) 63211-11
Telefax: +41 (44) 63210-10
http://www.hk.ethz.ch
Medienstelle
Telefon: +41 (44) 63241-41
E-Mail: medienstelle@hk.ethz.ch
Mega Cloud mit Sicherheitslücke
«Mega – The most trusted, best-protected Cloud Storage», so bewirbt der neuseeländische Cloud-Service-Anbieter Mega seine Dienstleistungen. Wie viele Anbieter von Cloud-Lösungen verspricht auch Mega, dass nicht mal das Unternehmen selbst die gespeicherten Daten der Kunden einsehen oder verändern kann. Dabei geht es nicht in erster Linie darum, ob die Kunden dem Anbieter vertrauen, sondern auch darum, dass grosse IT-Dienstleister mit Millionen von Kunden und Milliarden an gespeicherten Dateien, wie Mega, zwangsläufig ins Visier von Geheimdiensten, Regierungen oder Personen mit kriminellen Absichten geraten. «Man kann bei keinem grossen Cloudanbieter ausschliessen, dass seine Systeme kompromittiert sind», sagt Kenneth Paterson. «Ausserdem kommt es auch immer wieder vor, dass Anbieter mit Regierungsorganisationen zusammenarbeiten.» Umso wichtiger ist es, dass einzig die Kunden ihre Cloud-Daten entschlüsseln können.
Die ETH-Kryptografieexpert:innen Matilda Backendal, Miro Haller und Prof. Kenneth G. Paterson haben die Verschlüsselung von Mega getestet und sind dabei auf gravierende Sicherheitslücken gestossen. Diese ermöglichen es dem Anbieter – oder Dritten, die sich Zugriff auf die Server von Mega verschaffen – Kundendaten zu entschlüsseln, zu verändern oder gezielt Daten auf dem Speicher der Kunden zu platzieren.
Grundlegende Schwachstelle: Ein Schlüssel für alles
Paterson und sein Team haben den Quellcode der Neuseeländischen Software analysiert und stiessen dabei auf mehrere kritische Sicherheitslücken. Um die Effektivität der Angriffe zu testen, bauten sie die Plattform der Neuseeländer teilweise nach und versuchten, die persönlichen Konten der Forschenden anzugreifen.
Wenn ein User auf sein Mega-Konto zugreift, kann durch eine Manipulation der Sitzungs-ID der private RSA-Schlüssel des Users innerhalb von maximal 512 Login-Vorgängen gestohlen werden. Dieser Schlüssel wird zum Austauschen von Daten benutzt. Durch eine zusätzliche Manipulation der Mega-Software auf dem Computer des Opfers, kann das betroffene Benutzerkonto dazu gebracht werden, sich automatisch immer wieder einzuloggen. Damit wird die Dauer bis zur vollständigen Offenlegung des Schlüssels auf wenige Minuten verkürzt.
Da unter anderem die Schlüssel für die Dateiverschlüsslung auf dieselbe Weise geschützt werden, können die Angreifer:innen aufbauend auf dem Wissen aus der ersten Attacke auch sämtliche weiteren Schlüssel offenlegen.
Daten stehlen, manipulieren oder selbst hochladen
Nun haben die Angreifer kompletten Zugriff auf die unverschlüsselten Userdaten und können diese kopieren und manipulieren. Eine zusätzliche Angriffsvariante ermöglicht es sogar, beliebige Daten in das Cloud-Laufwerk des Opfers hochzuladen. So können die Täter das Opfer betrügen oder erpressen, indem kontroverses, illegales oder kompromittierendes Material in dessen Dateispeicher eingefügt wird. Das Opfer wiederum hat keine Chance, nachzuweisen, dass es das Material nicht selbst hochgeladen hat.
Die Forschenden der ETH haben die gefundenen Schwachstellen gegenüber Mega offengelegt. «Zusätzlich haben wir Mega einen dreistufigen Massnahmenplan vorgelegt, der aufzeigt, wie die Sicherheitslücken behoben werden könnten», so Paterson. In einer ersten Phase empfahl das Team eine Reihe von Sofortmassnahmen, welche die Benutzer vor den schwerwiegendsten Sicherheitsproblemen schützen. Die zweite Phase sieht umfangreichere Änderungen vor, um Angriffe effizienter abzuwehren, ohne dass kostspielige Änderungen wie die Neuverschlüsselung von Daten vorgenommen werden müssen. Die Dritte Phase umfasst langfristige Ziele für die Neugestaltung der kryptografischen Architektur. «Das Unternehmen hat jedoch andere Massnahmen ergriffen als diejenigen, die wir vorschlugen», sagt Paterson. Sie vermögen aber den ersten Angriff – also denjenigen auf den RSA-Key – zu verhindern.
ETH Zürich
Rämistrasse 101
CH8092 Zürich
Telefon: +41 (44) 63211-11
Telefax: +41 (44) 63210-10
http://www.hk.ethz.ch