Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Otoritas Pajak Prancis Menggunakan AI Google untuk Membasmi Lebih dari 20.000 Kolam Renang yang Tidak Dideklarasikan

by

Setelah percobaan menggunakan kecerdasan buatan (AI), lebih dari 20.000 kolam tersembunyi ditemukan.

Mereka telah mengumpulkan sekitar €10m ($9,9; £8,5m) pendapatan, media Prancis melaporkan.

Pools dapat menyebabkan pajak properti yang lebih tinggi karena mereka meningkatkan nilai properti, dan harus dinyatakan di bawah hukum Prancis.

Perangkat lunak, yang dikembangkan oleh Google dan perusahaan konsultan Prancis Capgemini, melihat kolam pada gambar udara dari sembilan wilayah Prancis selama uji coba pada Oktober 2021.

Wilayah Alpes-Maritimes, Var, Bouches-du-Rhône, Ardèche, Rhône, Haute -Savoie, Vendée, Maine-et-Loire dan Morbihan adalah bagian dari uji coba – tetapi pejabat pajak mengatakan sekarang mungkin akan diluncurkan secara nasional.

Ada lebih dari 3,2 juta kolam renang pribadi di Prancis pada tahun 2020, menurut situs data Statista, dengan penjualan yang sudah booming sebelum pandemi Covid.

Tetapi karena lebih banyak karyawan bekerja dari rumah, ada lonjakan lebih lanjut dalam pemasangan kolam renang.

Menurut surat kabar Le Parisien, kolam rata-rata seluas 30 meter persegi (322 kaki persegi) dikenai pajak sebesar €200 ($200; £170) setahun.

Otoritas pajak mengatakan perangkat lunak itu pada akhirnya dapat digunakan untuk menemukan ekstensi rumah, teras atau gazebo yang tidak diumumkan, yang juga berperan dalam pajak properti.

Antoine Magnant, wakil direktur jenderal keuangan publik, mengatakan kepada Le Parisien: “Kami secara khusus menargetkan perluasan rumah seperti beranda.

Tindakan keras itu terjadi setelah Julien Bayou, dari partai Eropa-Ekologi Hijau Prancis, tidak mengesampingkan larangan kolam renang pribadi baru.

BFMTV mengatakan bahwa Prancis membutuhkan “hubungan yang berbeda dengan air” dan larangan itu akan menjadi “jalan terakhir”.

Komentarnya muncul saat Prancis menangani kekeringan terburuk yang tercatat yang telah menyebabkan lebih dari 100 kota kekurangan air minum.

Pada bulan Juli, Prancis hanya memiliki hujan 9,7 mm (0,38 inci), menjadikannya bulan terkering sejak Maret 1961, kata layanan cuaca nasional Meteo-France.

Irigasi telah dilarang di sebagian besar barat laut dan tenggara Prancis untuk menghemat air.

Sumber: BBC

Peretas Iran menggunakan alat baru untuk mencuri email dari korban

by

Aktor yang didukung pemerintah Iran yang dikenal sebagai Charming Kitten telah menambahkan alat baru ke gudang malware-nya yang memungkinkannya mengambil data pengguna dari akun Gmail, Yahoo!, dan Microsoft Outlook.

Dijuluki HYPERSCRAPE oleh Google Threat Analysis Group (TAG), perangkat lunak berbahaya yang sedang dikembangkan secara aktif dikatakan telah digunakan terhadap kurang dari dua lusin akun di Iran, dengan sampel tertua yang diketahui berasal dari tahun 2020. Alat ini pertama kali ditemukan pada bulan Desember. 2021.

Charming Kitten, sebuah ancaman gigih maju yang produktif (APT), diyakini terkait dengan Korps Pengawal Revolusi Islam (IRGC) Iran dan memiliki sejarah melakukan spionase yang selaras dengan kepentingan pemerintah.

Dilacak sebagai APT35, Cobalt Illusion, ITG18, Fosfor, TA453, dan Garuda Kuning, elemen kelompok juga telah melakukan serangan ransomware, menunjukkan bahwa motif pelaku ancaman adalah spionase dan didorong secara finansial.

“HYPERSCRAPE membutuhkan kredensial akun korban untuk dijalankan menggunakan sesi pengguna yang valid dan terotentikasi yang telah dibajak penyerang, atau kredensial yang telah diperoleh penyerang,” kata peneliti Google TAG, Ajax Bash.

Ditulis dalam .NET dan dirancang untuk dijalankan pada mesin Windows penyerang, alat ini dilengkapi dengan fungsi untuk mengunduh dan mengekstrak isi kotak masuk email korban, selain menghapus email keamanan yang dikirim dari Google untuk memperingatkan target dari setiap login yang mencurigakan.

Jika pesan awalnya belum dibaca, alat akan menandainya sebagai belum dibaca setelah membuka dan mengunduh email sebagai file “.eml”. Terlebih lagi, versi HYPERSCRAPE sebelumnya dikatakan telah menyertakan opsi untuk meminta data dari Google Takeout, fitur yang memungkinkan pengguna untuk mengekspor data mereka ke file arsip yang dapat diunduh.

Temuan ini mengikuti penemuan terbaru alat “grabber” Telegram berbasis C++ oleh PwC yang digunakan terhadap target domestik untuk mendapatkan akses ke pesan dan kontak Telegram dari akun tertentu.

Sebelumnya, grup tersebut terlihat menggunakan perangkat pengawasan Android khusus yang disebut LittleLooter, implan kaya fitur yang mampu mengumpulkan informasi sensitif yang tersimpan di perangkat yang disusupi serta merekam audio, video, dan panggilan.

“Seperti kebanyakan alat mereka, HYPERSCRAPE tidak terkenal karena kecanggihan teknisnya, melainkan efektivitasnya dalam mencapai tujuan Charming Kitten,” kata Bash. Akun yang terpengaruh sejak itu telah diamankan kembali dan para korban diberitahu.

Sumber: The Hackernews

Peretas telah menemukan cara baru untuk masuk ke akun Microsoft 365 Anda

by

Aktor ancaman yang disponsori negara Rusia, Cozy Bear (alias APT29 atau Nobelium) menemukan taktik baru untuk menyelinap ke akun Microsoft 365, dalam upaya untuk mencuri intelijen kebijakan luar negeri yang sensitif.

Hal tesebut berdasarkan laporan dari Siber Mandiant, yang mengklaim bahwa Cozy Bear menggunakan tiga teknik untuk mengeksekusi (dan menyamarkan) serangan:

  • Menonaktifkan Audit Lingkup sebelum terlibat dengan akun email yang disusupi
  • Brute-forcing Kata sandi Microsoft 365 yang belum mendaftar di otentikasi multi-faktor (MFA)
  • Menutupi jejak dengan menggunakan Mesin Virtual Azure melalui akun yang disusupi, atau dengan membeli layanan

Serangan baru pada Microsoft 365
Dalam Purview Audit para peneliti mengingatkan, fitur keamanan tingkat tinggi mencatat jika seseorang mengakses akun email di luar program (baik melalui browser, Graph API, atau melalui Outlook). Dengan begitu, departemen TI dapat mengelola semua akun dan memastikan tidak ada akses yang tidak sah.

Namun, APT29 mengetahui fitur ini dan memastikan untuk menonaktifkannya sebelum mengakses email.

Para peneliti juga menemukan Cozy Bear menyalahgunakan proses pendaftaran mandiri untuk MFA di Azure Active Directory (AD). Saat pengguna mencoba masuk untuk pertama kalinya, mereka harus mengaktifkan MFA di akun terlebih dahulu.

Pelaku ancaman sedang mencari cara untuk menghindari fitur ini dengan memaksa akun yang belum mendaftar ke fitur keamanan siber tingkat lanjut. Kemudian mereka menyelesaikan proses atas nama korban, memberikan akses tak terbatas ke infrastruktur VPN organisasi target ke seluruh jaringan dan endpoints.

Bagaimanapun, mesin virtual Azure sudah berisi alamat IP Microsoft, dan karena Microsoft 365 berjalan di Azure, tim TI kesulitan membedakan lalu lintas biasa dari lalu lintas berbahaya. Cozy Bear selanjutnya dapat menyembunyikan aktivitas Azure AD-nya dengan mencampurkan URL alamat aplikasi biasa dengan aktivitas jahat.

Kemungkinan pengguna biasa menjadi sasaran kelompok ancaman diyakini relatif rendah, tetapi organisasi besar perlu mewaspadai vektor serangan, yang dapat digunakan untuk menargetkan eksekutif profil tinggi dan orang lain yang memiliki akses ke informasi sensitif.

Sumber: Tech Radar

VPN untuk iOS Rusak dan Apple Mengetahuinya, Kata Peneliti Keamanan

by

VPN pihak ketiga yang dibuat untuk iPhone dan iPad secara rutin gagal merutekan semua lalu lintas jaringan melalui terowongan aman setelah diaktifkan, sesuatu yang telah diketahui Apple selama bertahun-tahun, klaim peneliti keamanan lama (melalui ArsTechnica).

Menulis di posting blog yang terus diperbarui, Michael Horowitz mengatakan bahwa setelah menguji beberapa jenis perangkat lunak jaringan pribadi virtual (VPN) pada perangkat iOS, sebagian besar tampaknya berfungsi dengan baik pada awalnya, mengeluarkan perangkat alamat IP publik baru dan server DNS baru, dan mengirim data ke server VPN. Namun, seiring waktu terowongan VPN membocorkan data.

Biasanya, ketika pengguna terhubung ke VPN, sistem operasi menutup semua koneksi internet yang ada dan kemudian membangunnya kembali melalui terowongan VPN. Bukan itu yang diamati Horowitz dalam logging router canggihnya. Sebagai gantinya, sesi dan koneksi yang dibuat sebelum VPN dihidupkan tidak dihentikan seperti yang diharapkan, dan masih dapat mengirim data di luar terowongan VPN saat sedang aktif, sehingga berpotensi tidak terenkripsi dan terpapar ke ISP dan pihak lain.
“Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

Horowitz mengklaim bahwa temuannya didukung oleh laporan serupa yang dikeluarkan pada Maret 2020 oleh perusahaan privasi Proton, yang mengatakan kerentanan bypass VPN iOS telah diidentifikasi di iOS 13.3.1 yang bertahan melalui tiga pembaruan berikutnya ke iOS 13.

Menurut Proton, Apple mengindikasikan akan menambahkan fungsionalitas Kill Switch ke pembaruan perangkat lunak di masa mendatang yang memungkinkan pengembang memblokir semua koneksi yang ada jika terowongan VPN hilang.

Namun, fungsionalitas tambahan tampaknya tidak memengaruhi hasil pengujian Horowitz, yang dilakukan pada Mei 2022 di iPadOS 15.4.1 menggunakan klien VPN Proton, dan peneliti mengatakan saran apa pun yang akan mencegah kebocoran data “tidak aktif. basis.”

Horowitz baru-baru ini melanjutkan pengujiannya dengan iOS 15.6 terinstal dan OpenVPN menjalankan protokol WireGuard, tetapi iPad-nya terus membuat permintaan di luar terowongan terenkripsi ke layanan Apple dan Amazon Web Services.

Seperti dicatat oleh ArsTechnica, Proton menyarankan solusi untuk masalah yang melibatkan pengaktifan VPN dan kemudian menghidupkan dan mematikan mode Pesawat untuk memaksa semua lalu lintas jaringan dibangun kembali melalui terowongan VPN.

Namun, Proton mengakui bahwa ini tidak dijamin berhasil, sementara Horowitz mengklaim mode Pesawat tidak dapat diandalkan, dan tidak boleh diandalkan sebagai solusi untuk masalah tersebut. Kami telah menghubungi Apple untuk mengomentari penelitian dan akan memperbarui posting ini jika kami mendengarnya kembali.

Sumber: MacRumors

Browser Dalam Aplikasi TikTok Termasuk Kode yang Dapat Memantau Keystroke Anda, Kata Peneliti

by

Ketika pengguna TikTok memasuki situs web melalui tautan di aplikasi, TikTok menyisipkan kode yang dapat memantau sebagian besar aktivitas mereka di situs web luar tersebut, termasuk penekanan tombol dan apa pun yang mereka ketuk di halaman, menurut penelitian baru yang dibagikan dengan Forbes. Pelacakan akan memungkinkan TikTok untuk menangkap informasi kartu kredit atau kata sandi pengguna.

TikTok memiliki kemampuan untuk memantau aktivitas itu karena modifikasi yang dibuatnya pada situs web menggunakan browser dalam aplikasi perusahaan, yang merupakan bagian dari aplikasi itu sendiri. Saat orang mengetuk iklan TikTok atau mengunjungi tautan di profil pembuat konten, aplikasi tidak membuka halaman dengan peramban biasa seperti Safari atau Chrome. Alih-alih, ini default ke browser dalam aplikasi buatan TikTok yang dapat menulis ulang bagian halaman web.

TikTok dapat melacak aktivitas ini dengan menyuntikkan baris bahasa pemrograman JavaScript ke situs web yang dikunjungi dalam aplikasi, membuat perintah baru yang mengingatkan TikTok tentang apa yang dilakukan orang di situs web tersebut.

“Ini adalah pilihan aktif yang dibuat perusahaan,” kata Felix Krause, seorang peneliti perangkat lunak yang berbasis di Wina, yang menerbitkan laporan tentang temuannya pada hari Kamis. “Ini adalah tugas rekayasa non-sepele. Ini tidak terjadi secara tidak sengaja atau acak.” Krause adalah pendiri Fastlane, layanan untuk menguji dan menerapkan aplikasi, yang diakuisisi Google lima tahun lalu.

Tiktok sangat menolak gagasan bahwa itu melacak pengguna di browser dalam aplikasinya. Perusahaan mengkonfirmasi fitur-fitur itu ada dalam kode, tetapi mengatakan TikTok tidak menggunakannya.

“Seperti platform lain, kami menggunakan browser dalam aplikasi untuk memberikan pengalaman pengguna yang optimal, tetapi kode Javascript yang dimaksud hanya digunakan untuk debugging, pemecahan masalah, dan pemantauan kinerja dari pengalaman itu — seperti memeriksa seberapa cepat halaman dimuat atau apakah itu mogok. ,” kata juru bicara Maureen Shanahan dalam sebuah pernyataan.

Perusahaan mengatakan kode JavaScript adalah bagian dari kit pengembangan perangkat lunak pihak ketiga, atau SDK, seperangkat alat yang digunakan untuk membangun atau memelihara aplikasi. SDK menyertakan fitur yang tidak digunakan aplikasi, kata perusahaan itu. TikTok tidak menjawab pertanyaan tentang SDK, atau pihak ketiga apa yang membuatnya.

Sementara penelitian Krause mengungkapkan perusahaan kode termasuk TikTok dan induk Facebook, Meta, menyuntikkan ke situs web dari browser dalam aplikasi mereka, penelitian tidak menunjukkan bahwa perusahaan-perusahaan ini benar-benar menggunakan kode itu untuk mengumpulkan data, mengirimkannya ke server mereka atau membagikannya dengan Pihak ketiga. Alat juga tidak mengungkapkan jika ada aktivitas yang terkait dengan identitas atau profil pengguna. Meskipun Krause dapat mengidentifikasi beberapa contoh spesifik tentang apa yang dapat dilacak oleh aplikasi (seperti kemampuan TikTok untuk memantau penekanan tombol), dia mengatakan daftarnya tidak lengkap dan perusahaan dapat memantau lebih banyak.

Penelitian baru ini mengikuti laporan minggu lalu oleh Krause tentang browser dalam aplikasi, yang berfokus secara khusus pada aplikasi milik Meta Facebook, Instagram dan Facebook Messenger. WhatsApp, yang juga dimiliki perusahaan, tampaknya jelas karena tidak menggunakan browser dalam aplikasi.

Krause pada hari Kamis juga merilis alat yang memungkinkan orang memeriksa apakah browser yang mereka gunakan menyuntikkan kode baru ke situs web, dan aktivitas apa yang mungkin dipantau perusahaan. Untuk menggunakan alat untuk memeriksa browser Instagram, misalnya, kirim tautan InAppBrowser.com ke teman dalam pesan langsung (atau minta teman DM tautannya). Jika Anda mengeklik tautan di DM, alat ini akan memberi Anda ikhtisar tentang apa yang berpotensi dilacak oleh aplikasi — meskipun alat tersebut menggunakan beberapa istilah pengembang dan mungkin sulit diuraikan untuk non-coder.

Untuk penelitian barunya, Krause menguji tujuh aplikasi iPhone yang menggunakan browser dalam aplikasi: TikTok, Facebook, Facebook Messenger, Instagram, Snapchat, Amazon, dan Robinhood. (Dia tidak menguji versi untuk Android, sistem operasi seluler Google.)

Dari tujuh aplikasi yang diuji Krause, TikTok adalah satu-satunya yang tampaknya memantau penekanan tombol, katanya, dan tampaknya memantau lebih banyak aktivitas daripada yang lain. Seperti TikTok, Instagram, dan Facebook, keduanya melacak setiap ketukan di situs web. Kedua aplikasi tersebut juga memantau saat orang menyorot teks di situs web.

Meta tidak menjawab pertanyaan spesifik terkait pelacakan, tetapi mengatakan browser dalam aplikasi “umum di seluruh industri.” Juru bicara Alisha Swinteck mengatakan browser perusahaan mengaktifkan fitur-fitur tertentu, seperti memungkinkan pengisian otomatis terisi dengan benar dan mencegah orang dialihkan ke situs jahat. (Namun, browser termasuk Safari dan Chrome juga memiliki fitur tersebut.)

“Menambahkan salah satu fitur semacam ini memerlukan kode tambahan,” kata Swinteck dalam sebuah pernyataan. “Kami telah merancang pengalaman ini dengan hati-hati untuk menghormati pilihan privasi pengguna, termasuk bagaimana data dapat digunakan untuk iklan.”

Meta juga mengatakan bahwa nama skrip yang ditampilkan dalam alat dapat menyesatkan karena itu adalah istilah teknis Javascript yang mungkin disalahpahami orang. Misalnya, “pesan” dalam konteks ini mengacu pada komponen kode yang berkomunikasi satu sama lain, bukan pesan teks pribadi.

Snapchat tampaknya paling tidak haus data. Peramban dalam aplikasinya tampaknya tidak menyuntikkan kode baru apa pun ke halaman web. Namun, aplikasi memiliki kemampuan untuk menyembunyikan aktivitas JavaScript mereka dari situs web (seperti alat Krause) karena pembaruan sistem operasi yang dibuat Apple pada tahun 2020. Jadi mungkin saja beberapa aplikasi menjalankan perintah tanpa terdeteksi. Snapchat tidak menanggapi permintaan komentar tentang aktivitas apa, jika ada, yang dipantau di browser dalam aplikasinya.

Peramban dalam aplikasi hampir tidak lazim di TikTok seperti di Instagram. TikTok tidak mengizinkan pengguna untuk mengklik tautan di DM, jadi browser dalam aplikasi biasanya muncul ketika orang mengklik iklan atau tautan di profil pembuat atau merek.

Penelitian pelacakan browser ini dilakukan ketika TikTok, yang dimiliki oleh perusahaan induk China ByteDance, menghadapi pengawasan ketat atas batas-batas pengawasan potensialnya, dan pertanyaan tentang hubungannya dengan pemerintah China. Pada bulan Juni, BuzzFeed News melaporkan bahwa data pengguna AS telah berulang kali diakses dari China. Perusahaan juga telah bekerja untuk memindahkan beberapa informasi pengguna A.S. ke Amerika Serikat, untuk disimpan di pusat data yang dikelola oleh Oracle, dalam upaya yang secara internal dikenal sebagai Project Texas.

Tetapi pelacakan potensial juga dapat membahayakan privasi yang terkait dengan pemilihan. TikTok pada hari Rabu mengumumkan upayanya dalam integritas pemilihan, menjelang ujian tengah semester AS. Inisiatif ini mencakup Pusat Pemilihan baru, yang menghubungkan orang-orang dengan informasi otoritatif dari sumber terpercaya termasuk Asosiasi Nasional Sekretaris Negara dan Ballotpedia.

TikTok secara eksplisit menjanjikan privasi sebagai bagian dari inisiatif tersebut. “Untuk tindakan apa pun yang mengharuskan pengguna untuk berbagi informasi, seperti mendaftar untuk memilih, pengguna akan diarahkan dari TikTok ke situs web negara atau nirlaba terkait untuk melakukan proses itu,” kata perusahaan itu dalam sebuah pernyataan. posting blog “TikTok tidak akan memiliki akses ke data atau aktivitas di luar platform itu.”

TikTok kemungkinan akan menggunakan browser dalam aplikasinya untuk membuka situs web tersebut. Alat Krause menunjukkan TikTok dapat memiliki akses ke informasi itu, berpotensi membiarkan perusahaan melacak alamat, usia, dan partai politik seseorang. TikTok juga menentang skenario itu, sekali lagi menekankan bahwa sementara fitur pelacakan tersebut ada dalam kode, perusahaan tidak menggunakannya.

Dalam beberapa tahun terakhir, model bisnis di balik teknologi besar — ​​di mana perusahaan seperti Facebook dan Google mengumpulkan data pengguna untuk menopang mesin iklan yang ditargetkan — telah dikenal luas, sehingga beberapa orang mungkin tidak terkejut dengan pelacakan di browser dalam aplikasi. . Namun, baik Meta maupun TikTok tidak memiliki bagian khusus dalam kebijakan privasi mereka di browser dalam aplikasi yang mengungkapkan praktik pemantauan tersebut kepada pengguna.

Beberapa pakar privasi juga menolak jenis pemantauan keystroke yang tampaknya mampu dilakukan TikTok. “Ini sangat licik,” kata Jennifer King, rekan kebijakan privasi dan data di Stanford University Institute for Human-Centered Artificial Intelligence. “Asumsi bahwa data Anda sedang dibaca sebelumnya bahkan sebelum Anda mengirimkannya, saya pikir itu melewati batas.”

Krause mengatakan dia ingin melihat industri beralih dari browser dalam aplikasi, alih-alih menggunakan browser seperti Safari atau Chrome, yang biasanya telah ditetapkan orang sebagai browser default di ponsel mereka. Apple tidak menanggapi permintaan komentar yang menanyakan apakah perusahaan akan menindak browser dalam aplikasi, mengharuskan aplikasi untuk menggunakan browser default perangkat.

Baik TikTok dan Meta menawarkan opsi bagi Anda untuk membuka tautan di Safari atau browser default ponsel Anda, tetapi hanya setelah aplikasi membawa Anda ke browser dalam aplikasi masing-masing terlebih dahulu. Opsi default juga ada di belakang layar menu di TikTok dan Instagram — sudah terlalu jauh bagi banyak pengguna yang bahkan tidak tahu opsi itu ada.

Sumber: Forbes

VPN iOS Telah Membocorkan Lalu Lintas Selama Bertahun-tahun, Klaim Peneliti [Diperbarui]

by

(Pembaruan, 18 Agustus, 14:40: Pendiri dan CEO Proton Andy Yen mengatakan dalam sebuah pernyataan: “Fakta bahwa ini masih menjadi masalah mengecewakan untuk sedikitnya. Kami pertama kali memberi tahu Apple secara pribadi tentang masalah ini dua tahun lalu. Apple menolak untuk memperbaiki masalah, itulah sebabnya kami mengungkapkan kerentanan untuk melindungi publik. Keamanan jutaan orang ada di tangan Apple, mereka adalah satu-satunya yang dapat memperbaiki masalah, tetapi mengingat kurangnya tindakan selama dua tahun terakhir tahun, kami tidak terlalu optimis Apple akan melakukan hal yang benar.”)

Kisah asli: Seorang peneliti keamanan mengatakan bahwa perangkat iOS Apple tidak sepenuhnya mengarahkan semua lalu lintas jaringan melalui VPN seperti yang diharapkan pengguna, masalah keamanan potensial yang telah diketahui oleh pembuat perangkat selama bertahun-tahun.

Michael Horowitz, seorang blogger dan peneliti keamanan komputer lama, dengan gamblang dalam posting blog yang terus diperbarui. “VPN di iOS rusak,” katanya.

VPN pihak ketiga mana pun tampaknya berfungsi pada awalnya, memberi perangkat alamat IP baru, server DNS, dan terowongan untuk lalu lintas baru, tulis Horowitz. Tetapi sesi dan koneksi yang dibuat sebelum VPN diaktifkan tidak berhenti dan, dalam temuan Horowitz dengan log router tingkat lanjut, masih dapat mengirim data di luar terowongan VPN saat sedang aktif.

Dengan kata lain, Anda mungkin mengharapkan klien VPN untuk mematikan koneksi yang ada sebelum membuat koneksi yang aman sehingga mereka dapat dibangun kembali di dalam terowongan. Tetapi VPN iOS tampaknya tidak dapat melakukan ini, kata Horowitz, sebuah temuan yang didukung oleh laporan serupa dari Mei 2020.

“Data meninggalkan perangkat iOS di luar terowongan VPN,” tulis Horowitz. “Ini bukan kebocoran DNS klasik/lawas, ini kebocoran data. Saya mengonfirmasi ini menggunakan beberapa jenis VPN dan perangkat lunak dari beberapa penyedia VPN. Versi iOS terbaru yang saya uji adalah 15.6.”

Perusahaan privasi Proton sebelumnya melaporkan kerentanan bypass VPN iOS yang dimulai setidaknya di iOS 13.3.1. Seperti posting Horowitz, blog ProtonVPN mencatat bahwa VPN biasanya menutup semua koneksi yang ada dan membukanya kembali di dalam terowongan VPN, tetapi itu tidak terjadi di iOS. Sebagian besar koneksi yang ada pada akhirnya akan berakhir di dalam terowongan, tetapi beberapa, seperti layanan pemberitahuan push Apple, dapat bertahan selama berjam-jam.

Masalah utama dengan koneksi non-tunnel yang bertahan adalah bahwa mereka dapat tidak terenkripsi dan bahwa alamat IP pengguna dan apa yang mereka sambungkan dapat dilihat oleh ISP dan pihak lain. “Mereka yang berisiko tinggi karena kelemahan keamanan ini adalah orang-orang di negara-negara di mana pengawasan dan pelanggaran hak-hak sipil biasa terjadi,” tulis ProtonVPN saat itu. Itu mungkin bukan masalah mendesak bagi pengguna VPN biasa, tetapi ini penting.

ProtonVPN mengkonfirmasi bahwa bypass VPN bertahan dalam tiga pembaruan berikutnya untuk iOS 13. ProtonVPN menunjukkan dalam posting blognya bahwa Apple akan menambahkan fungsionalitas untuk memblokir koneksi yang ada, tetapi fungsi yang ditambahkan ini tampaknya tidak membuat perbedaan dalam hasil Horowitz.

Horowitz menguji aplikasi ProtonVPN pada pertengahan 2022 di iPad iOS 15.4.1 dan menemukan bahwa itu masih memungkinkan koneksi non-tunnel yang persisten ke layanan push Apple. Fungsi Kill Switch ditambahkan ke ProtonVPN, yang menjelaskan fungsinya sebagai memblokir semua lalu lintas jaringan jika terowongan VPN hilang, tidak mencegah kebocoran, menurut Horowitz.

Horowitz menguji lagi di iOS 15.5 dengan penyedia VPN dan aplikasi iOS yang berbeda (OVPN, menjalankan protokol WireGuard). iPad-nya terus mengajukan permintaan ke layanan Apple dan Amazon Web Services.

ProtonVPN telah menyarankan solusi yang “hampir sama efektifnya” dengan menutup semua koneksi secara manual saat memulai VPN: Sambungkan ke server VPN, aktifkan mode pesawat, lalu matikan. “Koneksi Anda yang lain juga harus terhubung kembali di dalam terowongan VPN, meskipun kami tidak dapat menjamin ini 100%,” tulis ProtonVPN. Horowitz menyarankan bahwa fungsi Mode Pesawat iOS sangat membingungkan sehingga menjadikannya bukan jawaban.

Posting Horowitz tidak menawarkan secara spesifik tentang bagaimana iOS dapat memperbaiki masalah ini. Dia juga tidak membahas VPN yang menawarkan “penerowongan terpisah”, yang berfokus pada janji VPN yang menangkap semua lalu lintas jaringan. Sementara itu, Horowitz merekomendasikan router VPN khusus seharga $130 sebagai solusi VPN yang benar-benar aman.

VPN, terutama penawaran komersial, terus menjadi bagian rumit dari keamanan dan privasi Internet. Memilih “VPN terbaik” telah lama menjadi tantangan. VPN dapat diturunkan oleh kerentanan, server tidak terenkripsi, pialang data yang rakus, atau dimiliki oleh Facebook.

Sumber: Ars Technica

Berhati-hatilah dengan Stik USB ‘Microsoft Office’ yang Muncul di Email: Ini Penipuan

by

Jika Anda menerima produk Microsoft Office secara acak melalui pos, berhati-hatilah: Ini bisa jadi penipuan.

Seorang konsultan keamanan siber di Inggris menemukan paket Microsoft Office palsu yang dikirimkan ke seorang pensiunan yang sebenarnya berisi stik USB berbahaya yang dirancang untuk menipu pengguna. (Sumber: Twitter)

Sky News melaporkan bahwa drive USB diukir dengan logo Office dan datang dalam kemasan Microsoft yang tampak nyata, yang menyertakan kunci produk yang tampak sah. Tetapi jika Anda mencolokkan stik USB ke PC, itu tidak akan menginstal program Office. Sebaliknya, itu akan mendorong pengguna untuk menelepon saluran dukungan pelanggan Microsoft palsu, yang kemudian akan mencoba menginstal program akses jarak jauh di komputer korban.

Skema ini cukup rumit, dan pada akhirnya bisa menipu konsumen yang tidak menaruh curiga dengan harapan mendapatkan akses gratis ke Microsoft Office Professional, yang biasanya dijual seharga $439. Konsultan keamanan siber Martin Pitman memulihkan stik USB dan kemasannya melalui ibunya, yang akhirnya meneleponnya ketika dia berada di rumah orang lain yang mencoba memasangnya.

Penipuan ini bekerja dengan memicu peringatan virus setelah stik USB dicolokkan ke PC korban. Untuk memperbaiki masalah ini, peringatan memberitahu pengguna untuk menghubungi nomor dukungan pelanggan. “Begitu mereka memanggil nomor di layar, helpdesk memasang semacam TeamViewer (program akses jarak jauh) dan mengambil alih komputer korban,” kata Pitman kepada Sky News. Selain itu, teknisi customer support juga menanyakan informasi pembayaran.

Ini bukan pertama kalinya scammer mengedarkan drive USB berbahaya melalui surat. Pada tahun 2020, perusahaan keamanan Trustwave juga menemukan stik USB bermuatan malware yang dikirim melalui surat yang berpura-pura berasal dari Best Buy sebagai promosi kartu hadiah $50.

Sumber: PCMag

Google memblokir serangan HTTPS DDoS terbesar ‘dilaporkan hingga saat ini’

by

Pelanggan Google Cloud Armor terkena serangan distributed denial-of-service (DDoS) melalui protokol HTTPS yang mencapai 46 juta permintaan per detik (RPS), menjadikannya yang terbesar yang pernah tercatat dari jenisnya.

Hanya dalam dua menit, serangan meningkat dari 100.000 RPS menjadi 46 juta RPS yang memecahkan rekor, hampir 80% lebih tinggi dari rekor sebelumnya, HTTPS DDoS sebesar 26 juta RPS yang dimitigasi Cloudflare pada bulan Juni.

Serangan dimulai pada pagi hari tanggal 1 Juni, pukul 09:45 Waktu Pasifik, dan menargetkan Penyeimbang Beban HTTP/S korban pada awalnya hanya dengan 10.000 RPS.

Dalam delapan menit, serangan meningkat menjadi 100.000 RPS dan Google Cloud Armor Protection dimulai dengan menghasilkan peringatan dan tanda tangan berdasarkan data tertentu yang diambil dari analisis lalu lintas.

Dua menit kemudian, serangan memuncak pada 46 juta permintaan per detik:

Serangan HTTPS DDoS memuncak pada 46 juta permintaan per detik
sumber: Google

Untuk melihat seberapa besar serangan itu pada puncaknya, Google mengatakan bahwa itu setara dengan mendapatkan semua permintaan harian ke Wikipedia hanya dalam 10 detik.

Untungnya, pelanggan telah menerapkan aturan yang direkomendasikan dari Cloud Armor yang memungkinkan operasi berjalan normal. Serangan itu berakhir 69 menit setelah dimulai.

Malware di balik serangan itu belum ditentukan tetapi distribusi geografis layanan yang digunakan menunjuk ke Mēris, botnet yang bertanggung jawab atas serangan DDoS yang mencapai puncaknya pada 17,2 juta RPS dan 21,8 juta RPS, keduanya memecahkan rekor pada masanya.

Mēris dikenal karena menggunakan proxy yang tidak aman untuk mengirimkan lalu lintas yang buruk, dalam upaya untuk menyembunyikan asal serangan.

Peneliti Google mengatakan bahwa lalu lintas serangan datang dari hanya 5.256 alamat IP yang tersebar di 132 negara dan permintaan terenkripsi leverage (HTTPS), menunjukkan bahwa perangkat yang mengirim permintaan memiliki sumber daya komputasi yang cukup kuat.

Karakteristik lain dari serangan ini adalah penggunaan node keluar Tor untuk mengirimkan lalu lintas. Meskipun hampir 22% atau 1.169 sumber menyalurkan permintaan melalui jaringan Tor, mereka hanya menyumbang 3% dari lalu lintas serangan.

Meskipun demikian, peneliti Google percaya bahwa node keluar Tor dapat digunakan untuk mengirimkan “sejumlah besar lalu lintas yang tidak diinginkan ke aplikasi dan layanan web.”

Mulai tahun lalu, era serangan DDoS volumetrik yang memecahkan rekor dimulai dengan beberapa botnet yang memanfaatkan sejumlah kecil perangkat kuat untuk mencapai berbagai target.

Pada September 2021, botnet Mēris menghantam raksasa internet Rusia Yandex dengan serangan yang mencapai 21,8 juta permintaan per detik. Sebelumnya, botnet yang sama mendorong 17,2 juta RPS terhadap pelanggan Cloudflare.

November lalu, platform perlindungan Azure DDoS Microsoft mengurangi serangan besar-besaran 3,47 terabit per detik dengan kecepatan paket 340 juta paket per detik (pps) untuk pelanggan di Asia.

Pelanggan Cloudflare lainnya terkena DDoS mencapai 26 juta RPS.

Sumber: Bleeping Computer