Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Technology / 2FA

2FA

Microsoft: Peretas menggunakan taktik ‘mengkhawatirkan’ ini untuk menghindari otentikasi multi-faktor

by

Microsoft telah menguraikan beberapa mitigasi untuk melindungi dari serangan pada otentikasi multi-faktor yang sayangnya akan membuat hidup lebih sulit bagi pekerja jarak jauh Anda.

Tiga tahun lalu, serangan terhadap otentikasi multi-faktor (MFA) sangat jarang sehingga Microsoft tidak memiliki statistik yang layak tentang mereka, terutama karena beberapa organisasi telah mengaktifkan MFA.

Tetapi dengan meningkatnya penggunaan MFA karena serangan terhadap kata sandi menjadi lebih umum, Microsoft telah melihat peningkatan penyerang yang menggunakan pencurian token dalam upaya mereka untuk menghindari MFA.

Dalam serangan ini, penyerang mengkompromikan token yang dikeluarkan untuk seseorang yang telah menyelesaikan MFA dan memutar ulang token tersebut untuk mendapatkan akses dari perangkat yang berbeda. Token merupakan inti dari platform identitas OAuth 2.0, termasuk Azure Active Directory (AD), yang bertujuan untuk membuat autentikasi lebih sederhana dan lebih cepat bagi pengguna, tetapi dengan cara yang masih tahan terhadap serangan kata sandi.

Juga: Pekerjaan keamanan siber: Lima cara untuk membantu Anda membangun karier

Selain itu, Microsoft memperingatkan bahwa pencurian token berbahaya karena tidak memerlukan keterampilan teknis yang tinggi, sulit untuk mendeteksi dan, karena teknik ini baru saja mengalami peningkatan, beberapa organisasi memiliki mitigasi.

“Baru-baru ini, Tim Deteksi dan Respons Microsoft (DART) telah melihat peningkatan penyerang yang menggunakan pencurian token untuk tujuan ini,” kata Microsoft dalam sebuah blogpost.

Selengkapnya: ZDNet

Otentikasi Dua Faktor Twitter Memiliki Kerentanan – DIPERBARUI

by

Grup Media Keamanan Informasi telah menyadari bahwa peneliti keamanan lain, @BetoOnSecurity, juga mengidentifikasi kemampuan untuk mematikan SMS 2FA Twitter melalui perintah “STOP” yang dikirim sebagai kerentanan, mengingat potensi spoofing. Sumber kami secara independen mengidentifikasi kerentanan.

Peneliti keamanan memperingatkan bahwa autentikasi multifaktor di Twitter mengandung kerentanan yang memungkinkan pengambilalihan akun potensial.

Kerentanan muncul ketika Twitter memasuki minggu ketiga di bawah kepemilikan Elon Musk, periode di mana staf keamanan dan kepatuhan utama di perusahaan telah pergi, banyak karyawan dan kontraktor telah diberhentikan, dan keretakan mulai terlihat di perusahaan. teknologi yang berhadapan dengan pelanggan

Kerentanan, yang diverifikasi ISMG, memungkinkan peretas untuk memalsukan nomor telepon yang terdaftar untuk menonaktifkan otentikasi dua faktor. Itu berpotensi membuat akun terkena serangan reset kata sandi atau pengambilalihan akun melalui isian kata sandi. Twitter memungkinkan penggunaan untuk mengatur multifact

Selama masa jabatan Musk sebagai kepala eksekutif, masalah lain terkait dengan kontrol akun telah muncul – serentetan akun palsu yang menyamar sebagai merek multinasional yang tampak asli, berkat adanya tanda centang biru.

Musk tetap melanjutkan. Selama periode kira-kira dua hari selama Rabu dan Kamis, penipu menyamar sebagai perusahaan farmasi Eli Lilly dengan mengumumkan bahwa insulin sekarang akan gratis, produsen pisang Chiquita dengan mengumumkan penggulingan pemerintah Brasil, dan pembuat mobil listrik yang dipimpin Musk Tesla dengan memperpanjang menawarkan untuk mengirimkan 10.000 mobil untuk mendukung militer Ukraina.

Pada saat itu, serentetan peniruan telah menarik perhatian Partai Demokrat AS.

sumber : data breach today

‘Authentication’ Windows Kerberos Rusak Setelah Pembaruan November

by

Microsoft sedang menyelidiki masalah baru yang diketahui yang menyebabkan pengontrol domain perusahaan mengalami kegagalan masuk Kerberos dan masalah autentikasi lainnya setelah menginstal pembaruan kumulatif yang dirilis selama Patch Selasa bulan ini.

Kerberos telah menggantikan protokol NTLM sebagai protokol autentikasi default untuk perangkat yang terhubung dengan domain pada semua versi Windows di atas Windows 2000.

Kesalahan yang dicatat dalam log peristiwa sistem pada sistem yang terpengaruh akan ditandai dengan frasa kunci “kunci yang hilang memiliki ID 1”.

“Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1),” tulis kesalahan yang dicatat.

Daftar skenario otentikasi Kerberos mencakup namun tidak terbatas pada hal berikut:

  • Login pengguna domain mungkin gagal. Ini juga dapat mempengaruhi autentikasi Active Directory Federation Services (AD FS).
  • Akun Layanan Terkelola Grup (gMSA) yang digunakan untuk layanan seperti Layanan Informasi Internet (Server Web IIS) mungkin gagal diautentikasi.
  • ​Koneksi Desktop Jarak Jauh menggunakan pengguna domain mungkin gagal terhubung.
  • Anda mungkin tidak dapat mengakses folder bersama di workstation dan berbagi file di server.
  • ​Pencetakan yang memerlukan otentikasi pengguna domain mungkin gagal.

Mempengaruhi platform klien dan server
Daftar lengkap platform yang terpengaruh mencakup rilis klien dan server:

  • Klien: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 atau lebih baru, dan Windows 11 21H2 atau lebih baru
  • Server: Windows Server 2008 SP2 atau lebih baru, termasuk rilis terbaru, Windows Server 2022.

Masalah ini tidak memengaruhi perangkat yang digunakan oleh pelanggan rumahan dan yang tidak terdaftar di domain lokal. Selain itu, ini tidak memengaruhi lingkungan Azure Active Directory ibu-hibrid dan lingkungan yang tidak memiliki server Active Directory lokal.

Microsoft sedang mengerjakan perbaikan untuk masalah umum ini dan memperkirakan solusi akan tersedia dalam beberapa minggu mendatang.

sumber : bleeping computer

WhatsApp akan sangat, sangat, meminta Anda untuk mengaktifkan 2FA

by

Popularitas layanan yang dimiliki Meta menjadikannya target utama bagi peretas dan penipu yang selalu mencari cara untuk mendapatkan akses tidak sah ke akun Anda.

Untuk keamanan tambahan, WhatsApp menyediakan otentikasi dua faktor sehingga Anda dapat lebih mengamankan akun Anda menggunakan PIN. Tetapi tidak semua orang menggunakan atau mengetahui tentang otentikasi dua faktor, dan layanan pesan ingin mengubahnya.

WhatsApp menambahkan verifikasi dua langkah ke platformnya pada tahun 2016, sehingga fitur tersebut telah tersedia selama hampir enam tahun. Hanya saja perusahaan belum terlalu memaksakan opsi tersebut kepada penggunanya.

Jika Anda menggunakan WhatsApp setiap hari, sama sekali tidak ada alasan bagi Anda untuk tidak mengaktifkan tindakan keamanan ini. Faktanya, ada banyak alasan mengapa Anda harus menggunakan 2FA di semua layanan.

Ini adalah fitur keamanan penting yang dapat melindungi akun Anda agar tidak jatuh ke tangan yang salah. Dengan verifikasi dua langkah, Anda harus memasukkan PIN selain kode SMS yang dikirim ke nomor Anda saat memindahkan akun WhatsApp Anda dari satu ponsel ke ponsel lainnya.

Pada bulan Agustus tahun ini, WhatsApp juga terlihat sedang mengerjakan persetujuan masuk perangkat. Fitur keamanan ini tampaknya akan menampilkan prompt login pada perangkat Anda saat ini ketika Anda mencoba untuk memindahkan akun WhatsApp Anda ke perangkat lain.

Sampai WhatsApp meluncurkan fitur ini, verifikasi dua faktor adalah satu-satunya lapisan keamanan tambahan yang dapat Anda tambahkan ke akun Anda untuk mencegah scammers mendapatkan akses ke sana dengan mudah.

Selengkapnya: Android Police

Peretas menemukan cara untuk melewati otentikasi multi-faktor

by

Sering dikatakan bahwa hal terpenting yang dapat Anda lakukan untuk melindungi akun dan jaringan yang lebih luas dari peretas adalah dengan menggunakan otentikasi multi-faktor (MFA).

MFA menciptakan dan penghalang tambahan untuk penyerang karena mengharuskan pengguna untuk memverifikasi tambahan bahwa upaya login benar-benar dilakukan oleh mereka. Verifikasi ini dapat melalui pesan SMS, aplikasi autentikator, atau bahkan kunci keamanan fisik. Jika penyerang memiliki kata sandi, tetapi bukan pesan verifikasi atau perangkat fisik, maka sistem tidak akan membiarkan mereka masuk dan mereka tidak dapat melanjutkan lebih jauh.

Baru-baru ini ada lonjakan serangan cyber yang bertujuan untuk menghindari keamanan otentikasi multi-faktor masa lalu. Menurut Microsoft, hanya dalam satu kampanye, 10.000 organisasi telah ditargetkan dengan cara ini selama setahun terakhir.

Salah satu opsi bagi peretas yang ingin menyiasati MFA adalah dengan menggunakan apa yang disebut serangan adversary-in-the-middle (AiTM) yang menggabungkan serangan phishing dengan server proxy antara korban dan situs web yang mereka coba masuki. Ini memungkinkan penyerang untuk mencuri kata sandi dan cookie sesi yang memberikan tingkat otentikasi tambahan yang dapat mereka manfaatkan – dalam hal ini untuk mencuri email. Pengguna hanya berpikir bahwa mereka telah masuk ke akun mereka seperti biasa.

Itu karena penyerang tidak merusak MFA sendiri, mereka telah berhasil melewatinya dengan mencuri cookie, dan sekarang dapat menggunakan akun seolah-olah mereka adalah pengguna, bahkan jika mereka pergi dan kembali lagi nanti. Itu berarti meskipun ada otentikasi multi-faktor, sayangnya dibuat berlebihan dalam situasi ini – dan itu buruk untuk semua orang.

Jadi, meskipun otentikasi multi-faktor sering menjadi penghalang, serangan ini menunjukkan bahwa itu tidak sempurna.

Dan ada skenario lain yang dapat dimanfaatkan untuk melewati otentikasi multi-faktor juga, karena dalam banyak kasus, sebuah kode diperlukan, dan seseorang harus memasukkan kode itu. Dan orang dapat ditipu atau dimanipulasi bahkan saat teknologi mencoba melindungi kita.

Dibutuhkan sedikit lebih banyak upaya dari penyerang, tetapi dimungkinkan untuk mengambil kode-kode ini. Misalnya, verifikasi SMS masih merupakan metode umum MFA bagi banyak orang, terutama untuk hal-hal seperti rekening bank dan kontrak telepon. Dalam beberapa kasus, pengguna diharuskan membacakan kode melalui telepon atau memasukkannya ke dalam layanan.

Ini adalah proses yang berpotensi rumit, tetapi mungkin saja penjahat dunia maya memalsukan saluran bantuan dan layanan lain yang meminta kode ke perangkat – terutama jika orang mengira mereka sedang berbicara dengan seseorang yang mencoba membantu mereka. Itu sebabnya banyak layanan akan mengawali kode SMS dengan peringatan bahwa mereka tidak akan pernah menelepon Anda untuk memintanya.

Metode lain yang dapat dimanfaatkan penjahat dunia maya untuk mem-bypass MFA adalah dengan menggunakan malware yang secara aktif mencuri kode. Misalnya, peretas dapat memperoleh akses ke akun dengan menggunakan malware trojan untuk melihat pengguna mendapatkan akses ke akun mereka, kemudian menggunakan akses yang mereka miliki dari perangkat yang terinfeksi untuk menjalankan bisnis mereka.

Sementara kata sandi yang kuat membantu Anda mengamankan akun online Anda yang berharga, otentikasi dua faktor berbasis perangkat keras membawa keamanan itu ke tingkat berikutnya.

Ada juga potensi bagi mereka untuk mengambil kendali perangkat tanpa sepengetahuan korban, menggunakan aplikasi authenticator dan menggunakan kode yang disediakan untuk mengakses akun yang mereka cari dari komputer lain dari jarak jauh.

Sejauh menyangkut jaringan atau akun, karena otentikasi telah digunakan dengan benar, itu adalah pengguna sah yang menggunakan layanan tersebut. Tetapi ada tanda-tanda jaringan dan tim keamanan informasi mana yang dapat diatur untuk diwaspadai, tanda-tanda ada sesuatu yang mungkin tidak benar, bahkan jika detail yang benar digunakan.

Meskipun tidak sepenuhnya sempurna, menggunakan otentikasi multi-faktor masih merupakan keharusan karena menghentikan sejumlah besar upaya upaya pengambilalihan akun. Tetapi ketika penjahat dunia maya menjadi lebih pintar, mereka semakin mengejarnya – dan itu membutuhkan tingkat pertahanan ekstra, terutama dari mereka yang bertanggung jawab untuk mengamankan jaringan.

Sumber: ZD Net

Pemberitahuan tentang Pengaturan Ulang Kata Sandi Slack

by

Pada 4 Agustus 2022, kami memberi tahu sekitar 0,5% pengguna Slack bahwa kami telah menyetel ulang kata sandi mereka sebagai tanggapan atas bug yang terjadi saat pengguna membuat atau mencabut tautan undangan bersama untuk ruang kerja mereka. Ketika pengguna melakukan salah satu dari tindakan ini, Slack mengirimkan versi hash kata sandi mereka ke anggota ruang kerja lainnya. Kata sandi yang di-hash ini tidak terlihat oleh klien Slack mana pun; menemukannya diperlukan pemantauan secara aktif lalu lintas jaringan terenkripsi yang berasal dari server Slack. Bug ini ditemukan oleh peneliti keamanan independen dan diungkapkan kepada kami pada 17 Juli 2022. Bug ini memengaruhi semua pengguna yang membuat atau mencabut tautan undangan bersama antara 17 April 2017 dan 17 Juli 2022.

Setelah menerima laporan dari peneliti keamanan, kami segera memperbaiki bug yang mendasarinya dan kemudian mulai menyelidiki potensi dampak masalah ini pada pelanggan kami. Kami tidak memiliki alasan untuk percaya bahwa siapa pun dapat memperoleh kata sandi teks biasa karena masalah ini. Namun, demi kehati-hatian, kami telah menyetel ulang kata sandi Slack pengguna yang terpengaruh. Mereka perlu mengatur kata sandi Slack baru sebelum mereka dapat masuk lagi.

FAQ

Apa itu kata sandi yang di-hash?

Hash kata sandi tidak sama dengan kata sandi plaintext itu sendiri; itu adalah teknik kriptografi untuk menyimpan data dengan cara yang aman tetapi tidak dapat dibalik. Dengan kata lain, praktis tidak mungkin kata sandi diturunkan dari hash, dan tidak ada yang bisa langsung menggunakan hash untuk mengotentikasi. Kami menggunakan teknik yang disebut penggaraman untuk lebih melindungi hash ini.

Apa yang harus saya lakukan jika kata sandi saya direset oleh Slack?

Semua akun aktif yang memerlukan pengaturan ulang kata sandi akan diberitahukan secara langsung dengan instruksi. Untuk informasi tentang pengaturan ulang kata sandi setiap saat, silakan kunjungi Pusat Bantuan kami: https://get.slack.help/hc/en-us/articles/201909068

Bagaimana cara meninjau akses ke akun saya?

Setiap pengguna dapat meninjau log akses pribadi untuk akun mereka atau mengunduh ekspor CSV lengkap kapan saja dengan mengunjungi https://my.slack.com/account/logs. Pemilik dan administrator di semua langganan berbayar dapat mempelajari lebih lanjut tentang melihat log akses untuk ruang kerja mereka di Pusat Bantuan kami: https://get.slack.help/hc/en-us/articles/360002084807-View-Access-Logs-for -ruang kerja-Anda

Siapa yang dapat saya hubungi jika saya memiliki pertanyaan tambahan?

Jika Anda memiliki pertanyaan yang belum terjawab di sini, silakan hubungi kami di feedback@slack.com.

Langkah apa yang dapat saya ambil untuk lebih mengamankan akun saya?

Kami menyarankan semua pengguna menggunakan otentikasi dua faktor, memastikan bahwa perangkat lunak komputer dan perangkat lunak antivirus mereka mutakhir, membuat kata sandi baru yang unik untuk setiap layanan yang mereka gunakan dan menggunakan pengelola kata sandi.

Sumber: Slack

Bot Pencuri One-Time Passwords Menyederhanakan Skema Penipuan

by

Kata sandi satu kali (OTP) adalah bentuk otentikasi multi-faktor (MFA) yang sering digunakan untuk memberikan lapisan perlindungan tambahan di luar kata sandi dasar.

OTP adalah kata sandi dinamis yang biasanya terdiri dari 4 hingga 8 angka tetapi terkadang juga menyertakan huruf.

Cara utama untuk memberikan kode OTP kepada pengguna adalah melalui SMS, email, atau aplikasi otentikasi seluler seperti Authy. Karena OTP melindungi akun korban dari akses atau transaksi yang tidak sah, penjahat dunia maya terus mengembangkan berbagai cara untuk mem-bypass dan mengatasinya.

Selama setahun terakhir, pelaku ancaman telah semakin mengembangkan, mengiklankan, dan menggunakan bot untuk mengotomatiskan pencurian OTP, membuatnya lebih mudah dan lebih murah bagi pelaku ancaman untuk melewati perlindungan OTP dalam skala besar.

Karena bot pemintas OTP memerlukan sedikit keahlian teknis dan keterampilan bahasa yang minimal untuk beroperasi, bot pemintas OTP juga meningkatkan jumlah pelaku ancaman yang mampu melewati perlindungan OTP.

Bot bypass OTP biasanya berfungsi dengan mendistribusikan panggilan suara atau pesan SMS ke target, meminta target untuk memasukkan OTP, dan, jika berhasil, mengirimkan OTP yang dimasukkan kembali ke pelaku ancaman yang mengoperasikan bot.

Tercatat Analis masa depan mengidentifikasi dan menguji bot bypass OTP open-source bernama “SMSBypassBot” yang diiklankan di saluran Telegram yang berfokus pada penipuan dan mengonfirmasi bahwa itu berfungsi seperti yang diiklankan dan mudah dikonfigurasi dan digunakan.

Meningkatnya penggunaan OTP oleh berbagai layanan yang sah (terutama untuk mengautentikasi login akun online, transfer uang, dan pembelian 3-Domain Secure-enabled [3DS]) menciptakan permintaan kriminal dunia maya paralel untuk metode memperoleh dan melewati OTP.

Key Findings

  • Aktivitas forum web gelap terkait dengan bypass OTP (diukur dengan volume postingan dan penayangan postingan terkait topik) meningkat tajam pada tahun 2020 dan tetap tinggi sejak saat itu.
  • Metode tradisional untuk melewati OTP (melakukan pertukaran kartu SIM, pemaksaan kasar, menyalahgunakan sistem otentikasi yang tidak dikonfigurasi dengan baik, dan rekayasa sosial manual) telah menjadi memakan waktu dan lebih menantang secara teknis.
  • Bot bypass OTP menggabungkan teknik rekayasa sosial dan phishing suara (vishing) dengan antarmuka yang mudah digunakan untuk menyediakan metode yang sebagian otomatis, terjangkau, dan skalabel untuk mendapatkan OTP korban.
    Latar belakang
  • Otentikasi multi-faktor (MFA) memberikan lapisan keamanan tambahan lebih dari sekadar kata sandi statis, dengan Microsoft melaporkan bahwa MFA dapat memblokir lebih dari 99,9% serangan kompromi akun. Kata sandi satu kali (OTP) adalah bentuk MFA yang menggunakan string karakter yang dibuat secara otomatis (biasanya nilai numerik tetapi terkadang alfanumerik) untuk mengautentikasi pengguna.

Penyedia layanan, lembaga keuangan, dan pedagang menggunakan OTP untuk berbagai tujuan termasuk mengautentikasi login akun online, transfer uang, dan transaksi kartu pembayaran berkemampuan 3DS. Peningkatan adopsi OTP selama dekade terakhir telah menyebabkan pelaku ancaman untuk mengembangkan metode melewati OTP untuk mendapatkan akses tidak sah ke akun online dan melakukan transfer uang dan transaksi penipuan.

Sumber: Recorded Future

GitHub memperkenalkan 2FA dan peningkatan kualitas hidup untuk npm

by

GitHub telah mengumumkan ketersediaan umum dari tiga peningkatan signifikan pada npm (Node Package Manager), yang bertujuan untuk membuat penggunaan perangkat lunak lebih aman dan mudah dikelola.

Fitur-fitur baru ini mencakup pengalaman masuk dan penerbitan yang lebih ramping, kemampuan untuk menautkan akun Twitter dan GitHub ke npm, dan sistem verifikasi tanda tangan paket baru.

Pada saat yang sama, GitHub mengumumkan bahwa program otentikasi dua faktor yang diperkenalkan pada Mei 2022 siap untuk keluar dari versi beta dan tersedia untuk semua pengguna npm.

Platform npm adalah anak perusahaan dari GitHub dan merupakan pengelola paket dan repositori (registry) untuk pembuat kode JavaScript, yang digunakan oleh proyek pengembang untuk mengunduh lima miliar paket setiap hari.

Baru-baru ini mengalami insiden keamanan skala besar yang berdampak pada ratusan aplikasi dan situs web, memaksa GitHub untuk mengembangkan dan segera menerapkan rencana peningkatan keamanan.

Sistem masuk dan penerbitan npm yang baru memungkinkan autentikasi ditangani oleh browser web, sehingga token autentikasi yang valid dapat disimpan pada sesi yang sama hingga lima menit.

Perubahan ini untuk mengurangi gesekan yang diciptakan oleh pengenalan sistem 2FA, yang memaksa pengembang untuk memasukkan kata sandi satu kali baru pada setiap tindakan.

Opsi baru untuk menghubungkan akun GitHub dan Twitter ke npm bertujuan untuk membantu menambah kredibilitas dan berfungsi sebagai bentuk verifikasi identitas sehingga akun npm tidak dapat meniru pembuat perangkat lunak populer.

Menautkan Twitter ke akun npm (GitHub)

Selain itu, sistem baru ini akan membantu pemulihan akun bila diperlukan, membuat prosesnya lebih andal dan tidak rumit, serta meletakkan dasar untuk lebih banyak otomatisasi di masa mendatang.

Terakhir, ada sistem audit tanda tangan baru yang menggantikan proses PGP multi-langkah dan kompleks sebelumnya, yang memungkinkan pengembang metode yang lebih mudah untuk memverifikasi tanda tangan paket npm.

Pengguna sekarang dapat memvalidasi sumber paket secara lokal menggunakan perintah “npm audit signatures” baru di npm CLI.

Secara bersamaan, platform menandatangani ulang semua paket dengan algoritma ECDSA (eliptic curve cryptography) dan menggunakan HSM untuk manajemen kunci, yang semakin memperkuat keamanan.

Langkah selanjutnya dalam mengamankan registri npm adalah menerapkan otentikasi dua faktor pada semua akun yang mengelola paket dengan lebih dari satu juta unduhan mingguan atau 500 tanggungan.

GitHub mengatakan ini akan diberlakukan hanya setelah proses pemulihan akun ditingkatkan lebih lanjut dengan formulir verifikasi identitas tambahan, jadi tidak ada jadwal ketat yang diberikan selain itu yang akan datang berikutnya.

Sumber: Bleeping Computer