Cybersecurity

Seperti apa jadinya jika China meluncurkan serangan siber di A.S.

April 17, 2023 by Søren

Sementara sebagian besar perhatian dunia keamanan siber adalah untuk menangkis peretasan Rusia terhadap Ukraina, para pejabat Amerika semakin khawatir tentang ancaman lain yang berkembang: serangan oleh China di wilayah AS.

Jika China menginvasi Taiwan, kata mereka, kemungkinan besar akan melancarkan serangan digital terhadap Amerika Serikat pada saat yang bersamaan.

Beijing terus mengeluarkan ancaman berani terhadap pulau itu. Baru-baru ini, China memperbarui latihan militer di sekitar pulau itu sebagai tanggapan atas pertemuan minggu lalu di AS antara presiden Taiwan dan para pemimpin DPR—pertemuan yang disebut China sebagai “provokasi.”

Anggota parlemen terkemuka, komunitas intelijen AS, dan pejabat keamanan dunia maya telah memperingatkan dalam beberapa pekan terakhir bahwa jika invasi terjadi, China kemungkinan akan mencoba melumpuhkan sistem AS yang kritis dengan serangan dunia maya pada sistem transportasi militer seperti pelabuhan dan rel kereta api, atau terhadap layanan sipil utama seperti air dan listrik. .

“Jika Xi Jinping pindah ke Taiwan, kita harus menganggap dia akan meluncurkan serangan dunia maya terhadap Amerika Serikat sebagai bagian dari operasi tersebut,” kata Rep. Mike Gallagher (R-Wis.), Ketua Komite Pemilihan DPR di China, dalam sebuah pernyataan. pernyataan email. “Ini kemungkinan akan mencakup serangan terhadap jaringan listrik, sistem air, dan infrastruktur komunikasi kami – terutama di dekat instalasi militer utama.”

Selengkapnya: POLITICO

Kerentanan Kritis dalam Produk Hikvision

April 16, 2023 by Søren

Kerentanan tersebut dilacak sebagai CVE-2023-28808, telah dijelaskan oleh vendor sebagai masalah kontrol akses yang dapat dimanfaatkan untuk mendapatkan izin administrator dengan mengirimkan pesan yang dibuat khusus ke perangkat target.

Produk yang terpengaruh digunakan oleh organisasi untuk menyimpan data keamanan video, dan penyerang yang mengeksploitasi kerentanan dapat memperoleh akses ke data tersebut.

Dalam pemberitahuan yang dikirim oleh Hikvision kepada mitra – salinannya juga dibagikan dengan SecurityWeek – perusahaan mengatakan tidak mengetahui eksploitasi di alam liar.

“Meskipun Hikvision tidak mengetahui kerentanan ini dieksploitasi di lapangan, kami menyadari bahwa beberapa mitra kami mungkin telah memasang peralatan Hikvision yang terpengaruh oleh kerentanan ini dan kami sangat menganjurkan mereka untuk bekerja sama dengan pelanggan mereka untuk memasang tambalan dan memastikan perbaikan yang tepat. kebersihan dunia maya, ”perusahaan itu memberi tahu para mitra.

Hikvision mencatat dalam penasehatnya bahwa penyerang perlu memiliki akses jaringan ke perangkat yang ditargetkan untuk mengeksploitasi CVE-2023-28808.

Namun, Arko Dhar, CTO Redinent, perusahaan keamanan siber CCTV dan IoT yang berbasis di India yang dikreditkan untuk menemukan kerentanan tersebut, mengatakan kepada SecurityWeek bahwa banyak sistem yang terkena dampak terpapar ke internet dan eksploitasi jarak jauh dimungkinkan.

“Penyimpanan Hybrid SAN terutama dimaksudkan untuk menyimpan rekaman video CCTV. Tetapi juga dapat dikonfigurasi untuk menyimpan data bisnis. Dampaknya sangat luas – penyerang dapat menghapus rekaman video dan data bisnis pada saat yang sama, menghapus cadangan, dan menyebabkan dampak yang signifikan bagi bisnis,” Dhar memperingatkan.

Peneliti Redinent menemukan kerentanan tersebut pada akhir Desember 2022 dan cacat tersebut dilaporkan ke vendor melalui CERT India pada bulan Januari.

Hikvision mengumumkan pada 10 April bahwa patch disertakan dalam versi 2.3.8-8 untuk Hybrid SAN dan versi 1.1.4 untuk perangkat penyimpanan klaster. Vendor telah memberikan instruksi terperinci untuk menginstal pembaruan.

Selengkapnya: Security Week

AS menuduh Shein, Mengumpulkan risiko data dalam tindakan terbaru yang menargetkan aplikasi yang didukung China

April 16, 2023 by Søren

Platform digital yang didukung China Shein dan Temu telah menjadi target terbaru pemerintah AS, setelah sebuah laporan resmi menimbulkan kekhawatiran atas risiko data dan praktik bisnis lainnya.

Komisi Peninjauan Ekonomi dan Keamanan AS-Tiongkok (USCC), yang dibuat oleh Kongres pada tahun 2000, menerbitkan laporan pada hari Jumat yang menuduh dua aplikasi populer dan platform Tiongkok serupa lainnya atas kemungkinan risiko data, pelanggaran sumber, dan pelanggaran kekayaan intelektual.

Ini mewakili reaksi politik terbaru terhadap bisnis China setelah aplikasi video pendek TikTok, yang dimiliki oleh ByteDance yang berbasis di Beijing, dilarang di perangkat federal AS karena masalah data. Pada hari Jumat, Montana menjadi negara bagian AS pertama yang meloloskan undang-undang yang melarang pengunduhan aplikasi di negara bagian tersebut.

Laporan USCC terutama berfokus pada Shein, platform mode cepat populer yang didirikan di China dan sekarang berkantor pusat di Singapura. Aplikasi Shein “meminta pengguna membagikan data dan aktivitas mereka dari aplikasi lain, termasuk media sosial, dengan imbalan diskon dan penawaran khusus untuk produk Shein”, kata laporan itu.

Selengkapnya: SCMP

Ransomware Vice Society menggunakan alat pencurian data PowerShell baru dalam serangan

April 16, 2023 by Coffee Bean

Alat pencurian data baru ditemukan oleh Palo Alto Networks Unit 42 selama respons insiden pada awal 2023, saat responden memulihkan file bernama “w1.ps1” dari jaringan korban dan, lebih khusus lagi, direferensikan dalam ID Peristiwa 4104: Script Blokir acara Logging.

Skrip menggunakan PowerShell untuk mengotomatiskan eksfiltrasi data dan terdiri dari beberapa fungsi, termasuk Work(), Show(), CreateJobLocal(), dan fill().

Keempat fungsi ini digunakan untuk mengidentifikasi direktori potensial untuk eksfiltrasi, memproses grup direktori, dan akhirnya mengekstraksi data melalui permintaan HTTP POST ke server Vice Society.

Meskipun tampaknya ada beberapa fungsi otomatis dalam skrip untuk menentukan file apa yang dicuri, masih ada daftar pengecualian dan penyertaan master untuk membantu menyempurnakan file apa yang dicuri.

Misalnya, skrip tidak akan mencuri data dari folder yang namanya menyertakan string umum untuk cadangan, folder instalasi program, dan folder sistem operasi Windows.

Namun, ini secara khusus akan menargetkan folder yang berisi lebih dari 433 string dalam bahasa Inggris, Ceko, Jerman, Lituania, Luksemburg, Portugis, dan Polandia, menekankan bahasa Jerman dan Inggris.

Pada bulan Desember 2022, SentinelOne memperingatkan tentnag VIce Society yang telah beralih ke enkripsi file baru yang canggih yang dijuluki “PolyVice”, yang mungkin dipasok oleh pengembang kontrak yang juga menjual malware-nya ke ransomware Chilly dan SunnyDay.

Sayangnya,dengan pengadopsian alat yang canggih, Vice Society telah menjadi ancaman yang lebih besar bagi organisasi di seluruh dunia, memberikan lebih sedikit kesempatan bagi para pembela HAM untuk mendeteksi dan menghentikan serangan.

selengkapnya : bleepingcomputer.com

Linux kernel Logic Mengizinkan serangan Spectre pada ‘penyedia cloud utama’

April 15, 2023 by Coffee Bean

Kerentanan Spectre yang menghantui pembuat perangkat keras dan perangkat lunak sejak 2018 terus menentang upaya untuk menguburnya.

Pada hari Kamis, Eduardo (sirdarckcat) Vela Nava, dari tim respons keamanan produk Google, mengungkapkan kelemahan terkait Spectre di versi 6.2 kernel Linux.

Bug, yang disebut tingkat keparahan sedang, awalnya dilaporkan ke penyedia layanan cloud – yang paling mungkin terpengaruh – pada 31 Desember 2022, dan ditambal di Linux pada 27 Februari 2023.

Pemburu bug yang mengidentifikasi masalah tersebut menemukan bahwa proses userspace Linux untuk bertahan melawan Spectre v2 tidak bekerja pada VM dari “setidaknya satu penyedia cloud utama”.

Seperti yang dijelaskan oleh pengungkapan, di bawah IBRS dasar, kernel 6.2 memiliki logika yang memilih keluar dari STIBP (Single Thread Indirect Branch Predictors), pertahanan terhadap pembagian prediksi cabang antara prosesor logis pada inti.

“Bit IBRS secara implisit melindungi dari injeksi target cabang lintas-utas,” laporan bug menjelaskan. “Namun, dengan IBRS lama, bit IBRS dihapus saat kembali ke ruang pengguna, karena alasan kinerja, yang menonaktifkan STIBP implisit dan membuat utas ruang pengguna rentan terhadap injeksi target cabang lintas-utas yang dilindungi oleh STIBP.”

Register memahami bahwa masalah ini muncul dari kesalahpahaman tentang IBRS yang ditingkatkan, yang tidak memerlukan STIBP untuk melindungi diri dari utas lain (serangan multithreading secara bersamaan).

Perbaikan menghapus IBRS dasar dari pemeriksaan spectre_v2_in_ibrs_mode() , agar STIBP tetap aktif secara default.

Cacat hantu diidentifikasi oleh Rodrigo Rubira Branco (BSDaemon), ketika dia berada di Google, dan José Luiz. KP Singh, bagian dari tim kernel Google, yang mengerjakan perbaikan dan berkoordinasi dengan pengelola Linux untuk mengatasi masalah tersebut.

selengkapnya : theregister.com

NSA, A.S., dan Mitra Internasional Menerbitkan Panduan tentang Mengamankan Teknologi Berdasarkan Rancangan dan Kelalaian

April 14, 2023 by Coffee Bean

Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federal (FBI) bermitra dengan badan keamanan siber mitra internasional untuk mendorong produsen teknologi menciptakan produk yang dirancang dengan aman dan aman secara default.

Kelompok sembilan lembaga tersebut telah menerbitkan Lembar Informasi Keamanan Siber, “Menggeser Keseimbangan Risiko Keamanan Siber: Prinsip dan Pendekatan untuk Keamanan-oleh-Desain dan Default,” untuk meningkatkan kesadaran dan memfasilitasi percakapan internasional tentang prioritas utama, investasi, dan keputusan yang diperlukan untuk memproduksi teknologi yang aman, terjamin, dan tangguh.

Dalam laporan baru, agensi menyoroti pentingnya memprioritaskan keamanan di seluruh siklus hidup produk untuk mengurangi kemungkinan insiden keamanan. Prinsip-prinsip tersebut memastikan produk teknologi dibuat dan dikonfigurasi dengan cara yang melindungi terhadap pelaku dunia maya jahat yang mendapatkan akses ke perangkat, data, dan infrastruktur yang terhubung.

NSA dan mitranya merekomendasikan produsen teknologi dan eksekutif organisasi untuk memprioritaskan penerapan prinsip-prinsip yang dirancang dengan aman dan standar yang diuraikan dalam laporan tersebut.

Selain rekomendasi yang tercantum dalam laporan, lembaga penulis mendorong penggunaan Secure Software Development Framework (SSDF), juga dikenal sebagai SP 800-218 Institut Nasional Standar dan Teknologi (NIST). SSDF membantu produsen perangkat lunak menjadi lebih efektif dalam menemukan dan menghapus kerentanan dalam perangkat lunak yang dirilis, mengurangi dampak potensial dari eksploitasi kerentanan, dan mengatasi akar penyebab kerentanan untuk mencegah terulangnya kembali di masa mendatang.

sumber : nsa.gov

Bahaya Membeli Kotak TV Android: Mengapa Anda Harus Berhenti Sekarang

April 14, 2023 by Søren

Video terbaru yang diposting oleh saluran YouTube “Tips Teknologi Linus” memperingatkan orang-orang agar tidak membeli kotak TV Android karena risiko keamanannya. Kotak plastik ini dapat dibeli seharga makanan cepat saji dan menjanjikan akses murah atau bahkan gratis ke konten berhak cipta tanpa keahlian teknis apa pun.

Saluran tersebut menemukan pintu belakang yang sudah diinstal sebelumnya pada kotak TV Android T95, yang membuat mereka bertanya-tanya apakah itu hanya satu kali atau apakah itu memengaruhi kotak Android serupa lainnya yang tersedia di Amazon dan AliExpress. Pintu belakang T95 hanyalah puncak gunung es, dan video menunjukkan bahwa kotak Android lainnya juga memiliki masalah keamanan.

Layar beranda kotak-kotak ini terlihat seperti Android TV, dan proses penyiapannya ramah pengguna. Namun, menjalankan Pi-hole, seperti desktop Echo, mengungkapkan tanda bahaya. Kotak mungkin mencoba melakukan ping ke alamat dengan FOTA di URL, yang merupakan singkatan dari firmware over the air dan merupakan perilaku standar Android. Apa yang relatif tidak standar adalah bahwa alamat IP yang ditunjuk oleh URL ada di China, di mana terdapat peraturan yang lebih longgar, terutama terkait warga negara asing. Tidak ada jaminan bahwa firmware yang diunduh akan bersih atau bahkan firmware sama sekali.

Dalam skenario terburuk, malware dapat menyuntikkan dirinya sendiri di samping aplikasi, melakukan root pada perangkat Anda, dan mengontrol aktivitas jaringan Anda. Sistem file perangkat yang menggunakan Android debug Bridge mengungkapkan bahwa hampir setengahnya memiliki folder Java inti yang sama dan file preferensi terbuka, bahkan jika mereka tidak segera mencoba mengakses URL yang dipertanyakan.

Selengkapnya: Linus Tech Tips

Serangan ransomware yang memaksa wilayah New York kembali ke pena dan kertas dimulai pada tahun 2021, kata pejabat

April 14, 2023 by Søren

Suffolk County di New York telah menyelesaikan penyelidikan atas serangan ransomware yang membuat tidak stabil yang memaksa pegawai pemerintah untuk mengandalkan mesin faks dan catatan kertas, menemukan kekurangan mencolok dalam praktik keamanan dunia maya petugas county.

Eksekutif Suffolk County Steven Bellone mengadakan konferensi pers pada hari Rabu untuk mengungkap temuan penyelidikan forensik atas serangan ransomware September 2022, yang membocorkan informasi sensitif dari 1,5 juta penduduk di wilayah Long Island.

Grup ransomware BlackCat/AlphV mengambil pujian atas insiden tersebut dan akhirnya membocorkan 400GB data yang dicuri selama serangan — termasuk ribuan nomor Jaminan Sosial.

Bellone menjelaskan bahwa laporan forensik mengungkapkan bahwa peretas masuk ke kantor panitera daerah pada Desember 2021 melalui kerentanan Log4j.

“[Laporan] menjelaskan dengan sangat rinci delapan bulan yang dihabiskan pelaku kriminal di kantor panitera untuk menginstal perangkat lunak penambangan bitcoin, membangun kegigihan, memasang alat eksfiltrasi, membuat akun palsu, memanen kredensial, dan memasang alat pemantauan jarak jauh untuk membuat perintah dan kontrol, katanya kepada wartawan.

Pada bulan Agustus, para peretas berhasil mendapatkan akses ke folder dengan kata sandi ke “sistem yang sangat kritis yang disimpan di jaringan petugas tanpa perlindungan.” Dalam waktu tiga jam setelah mendapatkan folder itu, para peretas akhirnya dapat pindah ke lingkungan TI daerah yang lebih luas.

Laporan tersebut menunjukkan perolehan folder kata sandi ini sebagai salah satu penyebab utama serangan, karena memberi peretas akses ke “sistem basis data, server, sistem telepon, sistem cadangan, peralatan jaringan, berbagi file, akun layanan, sistem operasional kritis. , situs hosting web, perangkat lunak pemantauan jaringan perangkat lunak virus, dan lainnya, ”jelas Bellone.

Para peretas kemudian menghabiskan waktu berbulan-bulan meletakkan dasar untuk serangan itu sebelum mengekstraksi kumpulan data pada 1 September dan akhirnya menyebarkan ransomware pada 8 September. Bellone mengatakan para peretas awalnya meminta uang tebusan sebesar $2,5 juta sebelum menurunkan permintaan mereka menjadi sekitar $500.000. Tidak ada uang tebusan yang dibayarkan, tambahnya.

Selengkapnya: The Record

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings