Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Apa yang Sebenarnya Mampu Dilakukan oleh Alat “mirip” Tamagotchi

by

Artikel ini akan mengasumsikan skenario di mana PC administrator yang tidak dijaga ditemukan dan memiliki beberapa skrip BadUSB yang dijalankan terhadapnya, yang berhasil menonaktifkan fitur keamanan utama seperti pemberitahuan Windows Firewall atau UAC dan pencurian semua kunci Wi-fi yang diketahui pada perangkat . Skrip BadUSB lainnya, seperti mengunduh dan menjalankan Mimikatz untuk membuang database SAM, eksekusi shell terbalik menggunakan Netcat, dan menginstal pintu belakang melalui kunci registri atau akun administrator lainnya juga tersedia.

Untuk mengakses, mengunduh, atau memodifikasi skrip BadUSB, skrip tersebut biasanya terletak di folder BadUSB pada kartu SD onboard, seperti yang ditunjukkan di bawah ini. Penguji penetrasi atau peretas jahat sering mencoba menonaktifkan atau menghindari kontrol titik akhir untuk mencapai pergerakan lateral atau melakukan eskalasi hak istimewa. Beberapa skrip BadUSB yang dijalankan dari FlipperZero dapat membantu mewujudkan tujuan ini. Dimulai dengan skrip “disable_uac”, FlipperZero dapat menyembunyikan pemberitahuan kepada pengguna saat aplikasi memodifikasi pengaturan komputer atau menginstal perangkat lunak.

Skrip BadUSB dijalankan dengan melampirkan FlipperZero ke mesin target melalui USB, menavigasi ke opsi menu BadUSB, memilih skrip pilihan, dan menjalankannya dengan mengeklik tombol tengah. Sebelum eksekusi skrip “disable_uac”, UAC pada mesin target dimulai dari opsi “Selalu Beri Tahu” paling atas dan kemudian berakhir pada “Jangan Beri Tahu” setelah eksekusi skrip.

Selanjutnya, skrip BadUSB “disable_firewall” dijalankan, mematikan berbagai fitur perlindungan yang ditawarkan oleh firewall Windows, yang membantu perangkat dalam memblokir serangan yang ditularkan melalui internet dan upaya penginstalan perangkat lunak berbahaya.

Artikel ini hanya membahas sekilas tentang kemampuan FlipperZero dari perspektif analisis sinyal dan penilaian keamanan. Ada beberapa produk pesaing di pasar yang menawarkan fitur serupa. Namun, banyak yang terlalu fokus pada pilihan kemampuan yang lebih sedikit dibandingkan dengan FlipperZero, lebih mahal, dan tidak memiliki fleksibilitas umum terkait modifikasi firmware atau memperluas kemampuan solusi. Artikel tersebut sengaja memamerkan contoh kecil tentang bagaimana FlipperZero dapat meningkatkan pendekatan dan rangkaian alat yang digunakan selama penilaian keamanan, yang bertujuan untuk membangkitkan rasa ingin tahu pembaca untuk mencoba dan mengadaptasi aplikasi penting dalam upaya pengujian di masa mendatang. Satu-satunya cara perangkat sekecil dan tersembunyi seperti FlipperZero dapat ditingkatkan adalah jika sistem pengujian penetrasi yang lengkap seperti Kali Linux atau ParrotOS juga disertakan.

Kebetulan, sepertinya Flipper Devices Inc sudah bekerja keras untuk menghilangkan rasa gatal itu dengan FlipperOne, yang saat ini sedang dikembangkan.

selengkapnya : cybernews.com

‘Jumlah terbatas’ karyawan News Corp mengirim surat pemberitahuan pelanggaran setelah serangan siber bulan Januari

by

Karyawan News Corp dikirimi surat pemberitahuan pelanggaran minggu ini setelah pelanggaran Januari 2022 yang diyakini perusahaan dilakukan oleh pemerintah China.

Pada hari Rabu, News Corp menyerahkan dokumen ke Massachusetts yang mengonfirmasi pelanggaran tersebut. Seorang juru bicara News Corp tidak akan memberi tahu The Record berapa banyak orang yang dikirimi surat, tetapi setidaknya satu orang di Massachusetts dikirimi salinannya.

Juru bicara mengonfirmasi bahwa surat pemberitahuan pelanggaran dikirim sehubungan dengan insiden Januari 2022 tetapi mereka menambahkan bahwa itu memengaruhi “sejumlah kecil” karyawan, sesuatu yang mereka umumkan tahun lalu. Sebagian besar karyawan tidak menjadi sasaran, menurut juru bicara.

News Corp memiliki The Wall Street Journal, Dow Jones, New York Post, dan beberapa properti media lainnya.

News Corp melaporkan dalam pengajuan SEC bahwa penyelidikannya menunjukkan bahwa “keterlibatan pemerintah asing mungkin terkait dengan aktivitas ini, dan data itu telah diambil.”

Dalam surat yang pertama kali dilaporkan oleh Bleeping Computer dan bertanggal 22/2/2023, News Corp mengatakan mereka awalnya menemukan serangan siber pada 20 Januari 2022, ketika email bisnis dan sistem penyimpanan dokumen yang digunakan oleh beberapa bisnis News Corp diakses.

Informasi yang termasuk dalam pelanggaran berkisar dari nama dan tanggal lahir hingga nomor Jaminan Sosial, nomor SIM, nomor paspor, informasi rekening keuangan, informasi medis, dan informasi asuransi kesehatan.

Mereka menawarkan korban perlindungan identitas dan pemantauan kredit gratis selama dua tahun melalui Experian.

Setelah serangan diumumkan, Mandiant memberi tahu The Wall Street Journal bahwa mereka yakin serangan itu dilakukan oleh aktor ancaman yang beroperasi untuk kepentingan pemerintah China.

Ini adalah kedua kalinya peretas yang didukung negara China meretas Wall Street Journal setelah insiden lain pada 2013.

sumber : therecord

Polusi prototipe side-server: Deteksi Black-box tanpa DoS

by

Mendeteksi polusi prototipe sisi server secara sah merupakan tantangan besar. Sifat dasar cara kerjanya dapat secara semi-permanen merusak fungsionalitas di server. Posting ini menunjukkan kepada Anda cara mendeteksi polusi prototipe dengan permintaan tidak berbahaya yang menyebabkan perbedaan halus dalam respons untuk membuktikan bahwa Anda berhasil.

Jika Anda ingin mencoba sendiri teknik yang disebutkan dalam artikel ini, kami telah membuat beberapa lab Akademi Keamanan Web untuk membantu mengasah keterampilan Anda dalam polusi prototipe.

Kita akan mulai dengan rekap singkat tentang polusi prototipe dan bagaimana hal itu terjadi. Jika Anda sudah terbiasa dengan dasar-dasarnya, Anda dapat melompat ke “Masalah DoS”.

Polusi prototipe dapat menyebabkan perubahan konfigurasi aplikasi, perilaku, dan bahkan dapat mengakibatkan RCE. Ada berbagai laporan publik tentang polusi prototipe. Dua yang menonjol adalah bug Michał Bentkowski di Kibana dan bug Paul Gerste di framework Blitz. Keduanya menghasilkan Eksekusi Kode Jarak Jauh.

Metode ini diciptakan dalam perjalanan saya untuk menemukan teknik polusi prototipe. Mereka tidak boleh digunakan untuk menguji situs langsung yang bukan milik Anda karena dapat menyebabkan DoS.

Saya telah membuktikan bahwa pendeteksian kotak hitam yang aman dari polusi prototipe dimungkinkan dengan menggunakan perbedaan halus dalam perilaku server. Dengan menggunakan berbagai teknik ini, saya telah menunjukkan bahwa Anda dapat mengotomatiskan penemuan kelemahan polusi prototipe dan saya telah menyediakan perangkat sumber terbuka untuk membantu Anda menemukannya dalam aplikasi Anda sendiri. Saya juga telah menunjukkan cara menulis kode aman dengan menggunakan API aman. Terakhir, setelah membaca ini, saya yakin Anda bersemangat untuk mencoba tekniknya sendiri dan untuk membantu kami telah membuat beberapa lab Akademi Keamanan Web yang memungkinkan Anda melatih keterampilan baru Anda.

selengkapnya : portwigger.net

Bagaimana Saya Membobol Rekening Bank Dengan Suara Buatan AI

by

Bank di seluruh AS dan Eropa menggunakan verifikasi suara semacam ini untuk memungkinkan pelanggan masuk ke akun mereka melalui telepon. Beberapa bank menggembar-gemborkan identifikasi suara setara dengan sidik jari, cara yang aman dan nyaman bagi pengguna untuk berinteraksi dengan bank mereka. Namun percobaan ini mematahkan gagasan bahwa keamanan biometrik berbasis suara memberikan perlindungan yang sangat mudah di dunia di mana siapa pun sekarang dapat menghasilkan suara sintetis dengan harga murah atau terkadang tanpa biaya. Saya menggunakan layanan pembuatan suara gratis dari ElevenLabs, sebuah perusahaan AI-voice.

saya melakukan tes pada akun di Lloyds Bank di Inggris. Di situs webnya, Lloyds Bank mengatakan bahwa program “Voice ID” aman. “Suara Anda seperti sidik jari dan unik bagi Anda,” tulis situs tersebut. “Voice ID menganalisis lebih dari 100 karakteristik berbeda dari suara Anda yang seperti sidik jari Anda, unik untuk Anda. Seperti, bagaimana Anda menggunakan mulut dan pita suara, aksen Anda, dan seberapa cepat Anda berbicara. Ia bahkan mengenali Anda jika Anda sedang pilek atau sakit tenggorokan, ”tambahnya.

Meskipun saya hanya melakukan pengujian di Lloyds Bank, mengingat sifat dan fungsi yang serupa dari sistem lain ini, mereka mungkin juga berisiko terhadap suara bertenaga AI. Banyak bank mengizinkan pengguna untuk melakukan sejumlah fitur perbankan melalui telepon, seperti memeriksa riwayat transaksi, saldo rekening, dan dalam beberapa kasus mentransfer dana.

selengkapnya : vice.com

CISA Mendesak Peningkatan Kewaspadaan Satu Tahun Setelah Invasi Rusia ke Ukraina

by

CISA menilai bahwa Amerika Serikat dan negara-negara Eropa mungkin mengalami serangan yang mengganggu dan merusak situs web dalam upaya menebar kekacauan dan perselisihan sosial pada 24 Februari 2023, hari peringatan invasi Rusia ke Ukraina tahun 2022. CISA mendesak organisasi dan individu untuk meningkatkan kewaspadaan dunia maya mereka dalam menanggapi potensi ancaman ini.

CISA menilai bahwa Amerika Serikat dan negara-negara Eropa mungkin mengalami serangan yang mengganggu dan merusak situs web dalam upaya menebar kekacauan dan kekacauan sosial pada 24 Februari 2023, hari peringatan invasi Rusia ke Ukraina tahun 2022. CISA mendesak organisasi dan individu untuk meningkatkan kewaspadaan dunia maya mereka dalam menghadapi ancaman potensi ini.

Panduan Serangan DDoS untuk Organisasi dan Badan Federal

Halaman web Shields Up, yang mencakup panduan tentang:

  • Meningkatkan kewaspadaan organisasi
  • Menerapkan praktik terbaik keamanan siber
  • Meningkatkan ketahanan dan mempersiapkan respon cepat
  • Menurunkan ambang ancaman dan berbagi informasi

sumber : cise.gov

Peneliti Keamanan Memperingatkan Kelas Baru Bug Apple

by

Peneliti keamanan mengatakan mereka telah menemukan “kelas baru” kerentanan yang memungkinkan penyerang melewati perlindungan keamanan Apple di iOS dan macOS untuk mengakses data sensitif pengguna.

Pusat Penelitian Lanjutan Trellix menerbitkan detail minggu ini tentang kerentanan eskalasi hak istimewa — yang berarti mereka memungkinkan seseorang untuk mendapatkan tingkat akses yang lebih tinggi ke sistem — yang memengaruhi iPhone dan Mac. Trellix memperingatkan bahwa kelas bug, yang berkisar dari tingkat keparahan sedang hingga tinggi, dapat — jika dibiarkan tidak ditambal — memungkinkan aplikasi berbahaya untuk keluar dari “kotak pasir” pelindung mereka dan mengakses informasi sensitif di perangkat seseorang, termasuk pesan seseorang, data lokasi, riwayat panggilan dan foto.

Temuan Trellix mengikuti penelitian sebelumnya dari Google dan Citizen Lab, yang pada tahun 2021 menemukan eksploitasi zero-day baru yang dijuluki ForcedEntry yang disalahgunakan oleh pembuat spyware Israel NSO Group untuk meretas iPhone dari jarak jauh dan diam-diam atas perintah pelanggan pemerintahnya. Apple kemudian memperkuat perlindungan keamanan perangkatnya dengan menambahkan mitigasi penandatanganan kode baru, yang secara kriptografis memverifikasi bahwa perangkat lunak perangkat dipercaya dan belum dimodifikasi, untuk menghentikan eksploitasi eksploit.

Apple menambal kerentanan yang ditemukan Trellix di pembaruan perangkat lunak macOS 13.2 dan iOS 16.3, yang dirilis pada bulan Januari. Dokumen dukungan keamanan Apple juga diperbarui pada hari Selasa untuk mencerminkan rilis tambalan baru.

Will Strafach, seorang peneliti keamanan dan pendiri aplikasi firewall Guardian, menggambarkan kerentanan sebagai “cukup pintar”, tetapi memperingatkan bahwa hanya sedikit yang dapat dilakukan pengguna rata-rata terhadap ancaman ini, “selain tetap waspada dalam menginstal pembaruan keamanan.”

Dan peneliti keamanan iOS dan macOS Wojciech Reguła mengatakan kepada TechCrunch bahwa meskipun kerentanan bisa menjadi signifikan, jika tidak ada eksploitasi, diperlukan lebih banyak detail untuk menentukan seberapa besar permukaan serangan ini.

sumber : techcrunch

WhatsApp Memiliki Masalah Keamanan Bertahun-tahun. Inilah Cara Mengatasinya

by

Nomor telepon adalah sumber daya yang terbatas. Jadi ketika seseorang keluar dari layanan, ada kemungkinan besar perusahaan telekomunikasi akan menggunakannya kembali untuk paket telepon baru. Itu bisa menjadi masalah besar di WhatsApp. Dalam beberapa kasus, jika Anda mendapatkan nomor telepon yang terkait dengan akun WhatsApp yang ada, Anda dapat membajaknya dan mengambil identitas pengguna tersebut, termasuk nama dan foto profil mereka. Anda akan menerima semua pesan masuk mereka dan mendapatkan akses ke obrolan grup mereka. Tidak ada cara bagi orang lain untuk mengetahui bahwa Anda seorang penipu. WhatsApp telah mengetahui masalah ini selama bertahun-tahun, tetapi tidak ada perbaikan yang terlihat kecuali Anda mengambil langkah proaktif untuk melindungi diri sendiri.

Bagaimana cara melindungi akun WhatsApp Anda
Pertama, jika Anda tidak menggunakan autentikasi dua faktor, apa yang Anda lakukan dengan hidup Anda? Ini adalah cara mudah untuk melindungi diri Anda sendiri, dan Anda akan menjadi sasaran empuk jika Anda tidak menyalakannya. Jangan berhenti di WhatsApp juga, Anda harus menggunakan autentikasi dua faktor di mana pun tersedia.

Untuk mengatur autentikasi dua faktor: Buka WhatsApp dan ketuk Pengaturan > Akun > Verifikasi dua langkah > Pilih pin enam digit. WhatsApp akan meminta pin ini secara berkala, jadi pastikan Anda memiliki cara untuk mengingatnya.

Di halaman Akun, Anda juga dapat mengubah nomor telepon Anda, yang harus Anda lakukan sesegera mungkin jika mendapatkan yang baru. Atau, jika Anda sudah selesai menggunakan aplikasi untuk selamanya, Anda dapat menggunakan proses “Hapus Akun Saya” dari menu yang sama.

selengkapnya : gizmodo.com

Fitur keamanan berbayar di Twitter dan Meta memicu masalah keamanan siber

by Leave a Comment

Dalam beberapa hari terakhir, Twitter — dan pada tingkat yang lebih rendah, perusahaan induk Facebook, Meta — telah meluncurkan fitur-fitur yang membuka fitur keamanan yang lebih kuat bagi mereka yang membayarnya.

Pekan lalu, Twitter menerbitkan postingan blog yang mengumumkan bahwa mulai 20 Maret, hanya pengguna berbayar Twitter Blue yang dapat menggunakan bentuk autentikasi dua faktor (2FA) yang mengirimkan kode pesan teks ke pengguna untuk memverifikasi identitas mereka setelah mereka memasukkan akun mereka. kata sandi.

“Meskipun secara historis merupakan bentuk 2FA yang populer, sayangnya kami telah melihat 2FA berbasis nomor telepon digunakan — dan disalahgunakan — oleh aktor jahat,” tulis postingan blog tersebut.

Twitter tahun lalu mengizinkan pelanggan Twitter Blue untuk mendapatkan tanda centang biru, yang secara historis mewakili pengguna “terverifikasi” di platform. Namun, perusahaan tidak mengharuskan pengguna memberikan ID untuk memverifikasi bahwa mereka adalah orang yang mereka katakan, dan pengguna meniru merek seperti Eli Lilly and Co. Perusahaan menghentikan sementara fitur tersebut, dengan Musk mengatakan pengguna akan diautentikasi. Tapi kolega kami Geoffrey A. Fowler masih bisa memverifikasi akun yang menyamar sebagai Senator Edward J. Markey (D-Mass.).

Ringkasnya, Tobac khawatir bahwa memaksa orang untuk membayar autentikasi dua faktor berbasis teks (juga dikenal sebagai SMS) akan menjauhkan mereka dari penggunaan autentikasi multifaktor sama sekali. Dan dia mendapat pertanyaan tentang apakah Meta memperluas dukungan akun akan memberi penjahat dunia maya tempat untuk mengelabui karyawan dukungan pelanggan, serta bagaimana perlindungan peniruan yang ditingkatkan akan bekerja.

Pakar keamanan dunia maya mengatakan bentuk autentikasi dua faktor berbasis pesan teks adalah salah satu bentuk terlemah, karena peretas dapat mencegatnya dengan taktik seperti bertukar sim, di mana mereka mengelabui operator telepon seluler agar mengaktifkan kartu SIM yang mereka miliki yang kemudian dapat digunakan scammers untuk mengambil alih nomor telepon korban.

selengkapnya : the washington post