Company

Google menerapkan mitigasi Chrome terhadap serangan Slipstreaming NAT baru

January 30, 2021 by Winnie the Pooh

Google telah memblokir delapan port tambahan di dalam browser web Chrome untuk mencegah variasi baru dari serangan bernama NAT Slipstreaming, para insinyur perusahaan mengumumkan hari ini.

Serangan Slipstreaming NAT asli pertama kali diungkapkan pada 31 Oktober 2020 oleh Samy Kamkar, seorang peneliti keamanan terkenal.

Serangan itu bekerja dengan memikat pengguna di situs web jahat di mana kode JavaScript akan membuat sambungan ke perangkat korban secara langsung, melewati pertahanan yang disediakan oleh firewall dan tabel terjemahan alamat jaringan (NAT).

Penyerang dapat menyalahgunakan koneksi ini ke sistem pengguna untuk meluncurkan serangan pada perangkat yang terletak di jaringan internal korban.

Versi awal serangan NAT Slipstreaming menyalahgunakan protokol Session Initiation Protocol (SIP) untuk membuat sambungan lubang jarum ini ke perangkat di jaringan internal melalui port 5060 dan 5061.

Dua minggu setelah serangan tersebut diketahui publik, Google menanggapi penemuan Kamkar dengan memblokir dua porta di Chrome 87 ini untuk mencegah penyerang menyalahgunakan teknik ini, yang oleh pembuat browser dianggap sebagai ancaman yang parah dan mudah disalahgunakan.

Apple dan Mozilla juga mengirimkan blok serupa di dalam Safari dan Firefox beberapa minggu kemudian.

selengkapnya : ZDNET

Peneliti Google menemukan sistem keamanan iOS baru

January 29, 2021 by Winnie the Pooh

Dengan dirilisnya iOS 14 musim gugur lalu, Apple telah menambahkan sistem keamanan baru ke iPhone dan iPad untuk melindungi pengguna dari serangan yang dilakukan melalui klien pesan instan iMessage.

Dinamakan BlastDoor, fitur keamanan iOS baru ini ditemukan oleh Samuel Groß, peneliti keamanan Project Zero, tim keamanan Google yang bertugas menemukan kerentanan di perangkat lunak yang umum digunakan.

Groß mengatakan layanan BlastDoor baru adalah sandbox dasar, jenis layanan keamanan yang mengeksekusi kode secara terpisah dari sistem operasi lainnya.

Meskipun iOS dikirimkan dengan beberapa mekanisme sandbox, BlastDoor adalah tambahan baru yang hanya beroperasi di tingkat aplikasi iMessage.

Perannya adalah mengambil pesan masuk dan membongkar dan memproses kontennya di dalam lingkungan yang aman dan terisolasi, di mana kode berbahaya apa pun yang tersembunyi di dalam pesan tidak dapat berinteraksi atau merusak sistem operasi yang mendasarinya atau mengambil data pengguna.

Setelah mencari-cari di dalam cara kerja iOS 14 selama seminggu, Groß mengatakan dia yakin bahwa Apple akhirnya mendengarkan komunitas riset keamanan dan meningkatkan penanganan iMessage atas konten yang masuk dengan menambahkan sandbox BlastDoor ke kode sumber iMessage.

Sumber: ZDNet

Layanan cloud Google baru bertujuan untuk menghadirkan zero trust security ke web

January 28, 2021 by Winnie the Pooh

Google telah mengumumkan ketersediaan umum BeyondCorp Enterprise, layanan keamanan baru dari Google Cloud berdasarkan prinsip merancang jaringan zero trust security.

Ketika perusahaan keamanan AS menerima peretasan rantai pasokan SolarWinds, Google dan Microsoft membicarakan kemampuan mereka di cloud dengan tidak adanya kepercayaan.

Microsoft minggu lalu mendesak pelanggan untuk mengadopsi “mentalitas tanpa kepercayaan” dan meninggalkan asumsi bahwa segala sesuatu di dalam jaringan TI aman dan sekarang Google telah meluncurkan layanan BeyondCorp Enterprise berdasarkan konsep yang sama.

“zero trust security mengasumsikan tidak ada kepercayaan implisit yang diberikan kepada aset atau akun pengguna hanya berdasarkan lokasi fisik atau jaringan mereka (yaitu, jaringan area lokal versus internet) atau berdasarkan kepemilikan aset (perusahaan atau milik pribadi),” jelas National Institute Standar dan Teknologi (NIST).

“Otentikasi dan otorisasi (baik subjek dan perangkat) adalah fungsi terpisah yang dilakukan sebelum sesi ke sumber daya perusahaan dibuat.”

selengkapnya :ZDNET

Update Iphone dan Ipad anda Sekarang Juga

January 27, 2021 by Winnie the Pooh

Apple mendesak pengguna iPhone dan iPad untuk segera memperbarui sistem operasi mereka untuk memperbaiki bug keamanan yang mungkin telah dieksploitasi oleh peretas.

Pada halaman bantuan web apple, perusahaan mengatakan tiga celah keamanan “mungkin telah dieksploitasi secara aktif.” Apple memberikan catatan “Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sampai penyelidikan telah terjadi dan patch atau rilis tersedia.” karena masalah eksploitasinya adalah tautan dalam rantai eksploitasi, yang berarti peretas perlu mengeksploitasi bug lebih lanjut agar dapat dieksekusi sepenuhnya.

Perusahaan mengeluarkan tambalan keamanan pada hari Selasa sebagai bagian dari perangkat lunak iOS 14.4 baru, yang juga mencakup perbaikan untuk keyboard lag dan memungkinkan kode QR yang lebih kecil untuk dibaca oleh kamera.

Apple mengatakan dua masalah keamanan berasal dari WebKit, mesin browser open source yang digunakan oleh browser Safari dan iOS. “Penyerang jarak jauh mungkin dapat menyebabkan eksekusi kode arbitrer,” kata perusahaan itu dalam catatan deskripsi. Sementara itu, Kernel, kerangka kerja pengembang Apple, juga terpengaruh.

Kami menyarankan untuk segera melakukan update dengan cara berikut :
1. Setting > General
2. Pilih Software Update
3. Jika tersedia pilih Download and Install

Source : CNN

Bagaimana mengamankan akun Google Anda dan menjaganya tetap aman dari serangan

January 20, 2021 by Winnie the Pooh

Jika Anda menggunakan di Gmail dan layanan Google lainnya, akun Google Anda adalah salah satu aset online Anda yang paling berharga. Ikuti tujuh langkah ini untuk menetapkan dasar keamanan yang kokoh dan melindungi akun tersebut dari penyusup.

Dan perlu diketahui bahwa langkah-langkah yang dijelaskan dalam artikel ini adalah tentang akun pribadi yang terkait dengan alamat Gmail gratis. Layanan bisnis berbayar Google, termasuk Google Workspace, dikelola oleh administrator domain. Meskipun beberapa langkah konfigurasi pengguna sama, administrator dapat menetapkan kebijakan yang mempengaruhi pengaturan keamanan. Jika akun Gmail Anda disediakan oleh perusahaan Anda, tanyakan kepada mereka tentang praktik terbaik untuk mengamankan akun itu.

Untuk membantu tindakan penyeimbangan antara kenyamanan dan keamanan, pada artikel ini langkah-langkah dibagi menjadi tiga kelompok, berdasarkan seberapa kuat Anda ingin mengunci akun Google Anda.

KEAMANAN DASAR

Tingkat ini cukup untuk sebagian besar pengguna PC biasa, terutama mereka yang tidak menggunakan alamat Gmail mereka sebagai faktor utama untuk masuk ke situs lain. Minimal, Anda harus membuat kata sandi yang kuat untuk akun Google Anda. Kata sandi itu haruslah yang tidak digunakan oleh akun lain.

Selain itu, Anda harus mengaktifkan verifikasi 2 langkah (istilah Google untuk autentikasi multi-faktor) untuk melindungi diri Anda dari phishing dan bentuk pencurian sandi lainnya.

KEAMANAN YANG LEBIH BAIK

Pertama, siapkan ponsel cerdas Anda sebagai faktor autentikasi, menggunakan aplikasi seperti Google Authenticator. Kemudian hapus opsi untuk menggunakan pesan teks SMS untuk memverifikasi identitas Anda.

Dengan konfigurasi tersebut, Anda masih dapat menggunakan ponsel Anda sebagai faktor autentikasi, tetapi calon penyerang tidak akan dapat mencegat pesan teks atau memalsukan nomor telepon Anda.

KEAMANAN MAKSIMUM

Untuk keamanan yang paling ekstrem, tambahkan setidaknya satu kunci perangkat keras fisik bersama dengan aplikasi Google Authenticator dan, secara opsional, hapus alamat email pribadi sebagai faktor verifikasi cadangan.

LANGKAH 1: BUAT KATA SANDI BARU DAN KUAT

Untuk mengubah sandi Anda, buka halaman Keamanan Akun Google di https://myaccount.google.com/security. Masuk, jika perlu, lalu klik Password (di bawah tajuk Signing In To Google) dan ikuti petunjuk untuk mengubah kata sandi Anda.

LANGKAH 2: AKTIFKAN VERIFIKASI DUA LANGKAH

Jangan tinggalkan halaman Keamanan Akun Google dulu. Sebaliknya, gulir ke atas ke bagian Two-Step Verification dan pastikan opsi ini diaktifkan. Gunakan opsi default untuk menerima kode melalui pesan teks di ponsel yang Anda miliki. (Anda juga dapat menyiapkan bentuk verifikasi lain yang lebih canggih, tetapi kita akan membahasnya nanti.)

LANGKAH 3: CETAK KODE PEMULIHAN

Langkah selanjutnya adalah menyimpan satu set kode pemulihan. Memiliki akses ke salah satu kode ini akan memungkinkan Anda untuk masuk ke akun Anda jika Anda lupa kata sandi atau jika Anda kehilangan ponsel.

Di halaman Keamanan Akun Google, temukan opsi Backup Codes dan klik Set Up. Lalu kotak dialog pop-up akan terbuka seperti yang ditunjukkan di sini, berisi 10 kode yang dapat Anda gunakan ketika Anda diminta untuk faktor verifikasi kedua.

LANGKAH 4: TAMBAHKAN ALAMAT EMAIL PEMULIHAN

Mendaftarkan alamat email pemulihan adalah tindakan pengamanan yang penting. Jika Google mendeteksi aktivitas yang mencurigakan di akun Anda, Anda akan menerima pemberitahuan di alamat email ini.

Kembali ke halaman Keamanan Akun Google dan klik Recovery Email (di bawah Ways We Can Verify It’s You). Masukkan atau ubah alamat email pemulihan. Anda akan menerima pemberitahuan di alamat itu untuk mengonfirmasi bahwa itu tersedia untuk pemulihan,

LANGKAH 5: SIAPKAN SMARTPHONE ANDA SEBAGAI AUTENTIKATOR

Saat Anda mendaftarkan ponsel cerdas Anda sebagai perangkat tepercaya, Google memberi Anda dua cara untuk menggunakannya untuk tujuan autentikasi. Selain itu, Anda dapat menggunakan Google Authenticator atau aplikasi ponsel cerdas lain yang menghasilkan kode Algoritma Kata Sandi Satu Kali Berbasis Waktu (TOTP) untuk autentikasi multi-faktor.

Untuk menyiapkan Google Authenticator (atau aplikasi pengautentikasi lainnya) untuk digunakan dengan akun Google, buka halaman Google Account 2-Step Verification. Di bawah Authenticator App, klik Set Up. Instal aplikasi, jika perlu, lalu ikuti petunjuk untuk menambahkan akun Anda menggunakan bar code yang ditampilkan oleh aplikasi pengautentikasi.

LANGKAH 6: HAPUS PESAN TEKS SMS SEBAGAI BENTUK VERIFIKASI

Apa yang membuat pesan teks SMS begitu bermasalah dari sudut pandang keamanan adalah kenyataan bahwa penyerang dapat membajak akun seluler Anda. Dari halaman Google Account 2-Step Verification, buka bagian Voice atau Text Message. Di sana, Anda akan menemukan entri untuk setiap nomor telepon yang terdaftar sebagai faktor 2FA untuk akun Anda. Klik ikon pensil di sebelah kanan nomor untuk membuka propertinya dan klik Remove Phone untuk menghilangkan entri. Ulangi untuk nomor lain yang ingin Anda hapus.

LANGKAH 7: GUNAKAN KUNCI KEAMANAN PERANGKAT KERAS UNTUK AUTENTIKASI

Langkah ini adalah yang paling maju dari semuanya. Ini membutuhkan investasi dalam perangkat keras tambahan, tetapi persyaratan untuk memasukkan perangkat ke port USB atau membuat koneksi melalui Bluetooth atau NFC menambah tingkat keamanan tertinggi.

Untuk gambaran umum tentang bagaimana jenis perangkat keras ini bekerja, baca “YubiKey hands-on: Hardware-based 2FA is more secure, but watch out for these gotchas.”

Untuk mengonfigurasi kunci hardware, buka halaman Google Account 2-Step Verification, klik Add Security Key, lalu ikuti petunjuknya.

Sumber: ZDNet

Adobe Flash sudah EOL (End-Of-Life) : Inilah Artinya

January 2, 2021 by Winnie the Pooh

Dukungan untuk Adobe Flash secara resmi berakhir pada 31 Desember 2020 (End-Of-Life).

Flash tidak lagi tersedia untuk diunduh sejak 31 Desember 2020, dan Adobe mulai memblokir konten Flash agar tidak berjalan sama sekali pada 12 Januari 2021. Perusahaan menyarankan pengguna untuk mencopot pemasangan / meng-uninstall Flash sepenuhnya demi keamanan. Tidak akan ada lagi pembaruan untuk Flash, Anda juga tidak akan dapat mengunduh versi lama langsung dari Adobe.

Ini juga berarti bahwa versi Flash yang dipaketkan dengan peramban seperti Google Chrome akan dihentikan. Perubahan tersebut kemungkinan tidak akan memengaruhi kebiasaan penjelajahan harian Anda karena sebagian besar situs web telah berhenti menggunakan Flash karena mendukung teknologi peramban modern.

Anda harus menghindari menginstal Flash Player versi lama dengan alasan keamanan. Jika Anda masih ingin mengakses konten Flash, ada opsi, tetapi tidak satupun yang secara resmi didukung oleh Adobe.

sumber : HowToGeek

Google open-source Atheris, alat untuk menemukan bug keamanan dalam kode Python

December 10, 2020 by Winnie the Pooh

Pakar keamanan Google telah merilis utilitas fuzzing otomatis open-source lainnya dengan harapan pengembang akan menggunakannya untuk menemukan bug keamanan dan menambal kerentanan sebelum dieksploitasi.

Dinamakan Atheris, proyek ini adalah fuzzer klasik.

Fuzzer (atau alat fuzzing) dan teknik fuzzing bekerja dengan memberi data acak dalam jumlah besar ke aplikasi perangkat lunak dan menganalisis output nya untuk mengetahui ketidaknormalan dan kerusakan, yang memberi petunjuk kepada pengembang tentang keberadaan dan lokasi kemungkinan bug dalam kode aplikasi.

Selama bertahun-tahun, peneliti keamanan Google telah menjadi promotor terbesar dalam menggunakan alat fuzzing untuk menemukan tidak hanya bug biasa, tetapi juga kerentanan berbahaya yang dapat dieksploitasi oleh penyerang.

Atheris adalah jawaban Google atas meningkatnya popularitas bahasa pemrograman Python, yang saat ini menduduki peringkat ke-3 dalam indeks TIOBE bulan lalu. Google telah membuat kode Atheris menjadi open source di GitHub, dan fuzzer juga tersedia di PyPI, repositori paket Python.

Sumber: ZDNet

Software Patches Update

December 9, 2020 by Eevee

Operating System for Desktop

Microsoft:

Microsoft Patch Tuesday January 2025
Microsoft Patch Tuesday February 2025
Microsoft Patch Tuesday March 2025
Microsoft Patch Tuesday April 2025

Apple:

Security Update macOS Sequoia 15.2
Security Update macOS Sonoma 14.7.2
Security Update macOS Ventura 13.7.2

Operating System for Mobile

Google (Android):

Security Update Android February 1, 2025
Security Update Android February 5, 2025
Security Update Android March 2025
Security Update Android April 2025

Apple (iOS and iPadOS):

Security Update iOS 18.2 and iPadOS 18.2
Security Update iPadOS 17.7.3

Browser

Google Chrome:

Security Update Chrome 132.0.6834.159/160 (Desktop)
Security Update Chrome 133.0.6943.33 (iOS)
Security Update Chrome 133.0.6943.39 (Android)

Mozilla Firefox:

Security Update Thunderbird 134
Security Update Thunderbird ESR 128.6
Security Update Firefox ESR 115.19
Security Update Firefox ESR 128.6
Security Update Firefox 134

Software Application

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Company

KEAMANAN DASAR

KEAMANAN YANG LEBIH BAIK

KEAMANAN MAKSIMUM

LANGKAH 1: BUAT KATA SANDI BARU DAN KUAT

LANGKAH 2: AKTIFKAN VERIFIKASI DUA LANGKAH

LANGKAH 3: CETAK KODE PEMULIHAN

LANGKAH 4: TAMBAHKAN ALAMAT EMAIL PEMULIHAN

LANGKAH 5: SIAPKAN SMARTPHONE ANDA SEBAGAI AUTENTIKATOR

LANGKAH 6: HAPUS PESAN TEKS SMS SEBAGAI BENTUK VERIFIKASI

LANGKAH 7: GUNAKAN KUNCI KEAMANAN PERANGKAT KERAS UNTUK AUTENTIKASI

Operating System for Desktop

Microsoft:

Apple:

Operating System for Mobile

Google (Android):

Apple (iOS and iPadOS):

Browser

Google Chrome:

Mozilla Firefox:

Software Application

Adobe:

VMware:

NVIDIA:

Cookies Settings