Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Kabar baik! Google Membuat Fitur Auto-Reset untuk Meningkatkan Privasi Pengguna

by

Pembaharuan Google terbaru memberikan jawaban bagi masalah privasi miliaran perangkat Andoid. Maslaah privasi ada dari banyaknya aplikasi yang terlupakan atau tidak lagi digunakan namun sudah terlanjur diberikan akses ke data sensitif Anda.

Aplikasi Android yang sudah lama tidak digunakan akan segera mulai kehilangan izinnya secara otomatis untuk mengakses fitur yang sensitif, seperti sensor, pesan SMS, dan daftar kontak.

Pada bulan Desember, Google berencana untuk mengedakan fitur “riset izin otomatis”. Fitur ini secara otomatis menghentikan izin yang sebelumnya diberikan aplikasi untuk mengakses lokasi perangkat, kamera, mikrofon, dan sebagainya.

Tahun lalu Google merilis fitur ini untuk Android 11, pada bulan Desember akan diperluas ke “miliar perangkat lagi” melalui layanan Google Play pada perangkat yang menjalankan Android 6.0 (API level 23) dari 2015 dan yang lebih baru.

“Fitur ini akan diaktifkan secara default untuk aplikasi yang menargetkan Android 11 (API level 30) atau lebih tinggi. Namun, pengguna dapat mengaktifkan izin reset otomatis secara manual untuk aplikasi yang menargetkan API level 23 hingga 29,” jelas Google dalam posting blog pengembang Android.

Tujuan dari hal ini adalah untuk melindungi pengguna karena banyaknya aplikasi yang jarang atau tidak terpakai lagi namun masih dapat mengakses lokasi, informasi kontak, pesan, dan data pengguna pribadi lainnya.

“Tindakan ini memiliki efek yang sama seperti jika pengguna melihat izin di pengaturan aplikasi dan mengubah akses ke “Deny”,” Google menjelaskan dalam catatan pengembang.

Perubahan ini akan memengaruhi semua aplikasi Android di perangkat konsumen. Namun, Google telah membuat pengecualian untuk aplikasi yang dikelola perusahaan dan aplikasi dengan izin yang telah diperbaiki oleh kebijakan perusahaan.

Google juga memiliki cara bagi pengembang untuk meminta pengguna menonaktifkan pengaturan otomatis untuk aplikasi mereka. Jika tidak memerlukan fitur ini, jangan khawatir karena developer google tidak lupa untuk memberikan pilihan untuk mematikan fitur ini. Hal ini mungkin cocok untuk pengguna aplikasi yang diharapkan bekerja di latar belakang, seperti aplikasi yang memberikan keamanan keluarga, aplikasi untuk menyinkronkan data, aplikasi untuk mengontrol perangkat pintar, atau memasangkan dengan perangkat lain.

Peluncuran fitur auto-reset telah dilakukan secara bertahap dari Desember dan baru akan sampai pada pengguna Android 6 dan 10 pada awal tahun 2022.

Pengguna dengan Android 6 hingga 10 dapat membuka halaman pengaturan reset otomatis dan mengaktifkan atau menonaktifkan reset otomatis untuk aplikasi tertentu.

“Sistem akan mulai mengatur ulang izin aplikasi yang tidak digunakan secara otomatis beberapa minggu setelah fitur diluncurkan di perangkat,” catat Google.

sumber: ZDNet

Peretas negara Rusia menggunakan malware TinyTurla baru sebagai backdoor sekunder

by

Peretas yang disponsori negara Rusia yang dikenal sebagai grup Turla APT telah menggunakan malware baru selama setahun terakhir yang bertindak sebagai metode persistensi sekunder pada sistem yang disusupi di AS, Jerman, dan Afghanistan.

Dinamakan TinyTurla karena fungsinya yang terbatas dan gaya pengkodean yang tidak rumit, pintu belakang juga dapat digunakan sebagai dropper malware tahap kedua yang tersembunyi.

Peneliti keamanan di Cisco Talos mengatakan bahwa TinyTurla adalah “backdoor yang belum ditemukan sebelumnya” dari grup Turla APT yang telah digunakan setidaknya sejak 2020, melewati sistem deteksi malware terutama karena kesederhanaannya.

Bukti forensik menunjukkan bahwa aktor Turla APT (ancaman persisten lanjutan) telah menargetkan pemerintah Afghanistan sebelumnya dengan backdoor yang baru ditemukan.

Namun, data telemetri Cisco Talos, yang merupakan cara peneliti menemukan malware baru ini, menunjukkan bahwa TinyTurla juga telah digunakan pada sistem di AS dan Jerman.

Menghubungkan backdoor TinyTurla ke peretas negara Rusia dimungkinkan karena pelaku ancaman menggunakan infrastruktur yang sama seperti yang terlihat dalam serangan lain yang dikaitkan dengan grup APT Turla.

Dibandingkan dengan backdoor yang lengkap, fungsionalitas TinyTurla terbatas pada tugas-tugas penting yang mencakup pengunduhan, pengunggahan, dan eksekusi file.

Karena malware ini ditemukan melalui pengumpulan telemetri, masih belum diketahui bagaimana TinyTurla mendarat di sistem korban. Cisco Talos memberikan beberapa detail teknis, dalam sebuah posting blog.

Selengkapnya: Bleeping Computer

“Permintaan maaf” terbaru Facebook mengungkapkan kekacauan keamanan dan keselamatan

by

Facebook mengalami kesulitan minggu lalu. Dokumen yang bocor menjadi tulang punggung serangkaian laporan yang diterbitkan di The Wall Street Journal. Bersama-sama, kisah-kisah itu melukiskan gambaran sebuah perusahaan yang nyaris tidak bisa mengendalikan ciptaannya sendiri. Sekarang, Facebook ingin Anda tahu bahwa mereka menyesal dan mereka mencoba untuk berbuat lebih baik.

“Di masa lalu, kami tidak mengatasi tantangan keselamatan dan keamanan cukup awal dalam proses pengembangan produk,” kata perusahaan itu dalam siaran pers pada tanggal 21 September. “Sebaliknya, kami melakukan perbaikan secara reaktif sebagai tanggapan atas penyalahgunaan tertentu. Tapi kami secara fundamental telah mengubah pendekatan itu.”

Perubahan itu, kata Facebook, adalah integrasi keselamatan dan keamanan ke dalam pengembangan produk. Siaran pers tidak mengatakan kapan perubahan itu dilakukan, dan juru bicara Facebook tidak dapat mengkonfirmasi ketika integritas menjadi lebih tertanam dalam tim produk. Tetapi siaran pers tersebut mengatakan upaya Facebook Horizon VR perusahaan mendapat manfaat dari proses ini. Facebook Horizon VR dirilis dalam versi beta tahun lalu.

Rilis itu tampaknya mengkonfirmasi bahwa, sebelum pengembangan Horizon, keselamatan dan keamanan adalah tontonan sampingan yang dipertimbangkan setelah fitur didefinisikan dan kode telah ditulis. Atau, mungkin masalah tidak teratasi sampai nanti, ketika pengguna menemukannya. Terlepas dari kapan itu terjadi, ini adalah pemberitahuan yang menakjubkan untuk perusahaan bernilai miliaran dolar yang menghitung 2 miliar orang sebagai pengguna.

Selengkapnya: Ars Technica

Prioritas Keamanan Siber pada tahun 2021: Bagaimana CISO Dapat Menganalisis Ulang dan Mengalihkan Fokus?

by

The Hacker News telah menyusun prioritas keamanan siber teratas untuk tahun 2021 dan seterusnya yang akan memungkinkan bisnis untuk sepenuhnya siap menghadapi gangguan di masa depan, tanpa mengorbankan keamanan.

Perkuat Dasar-Dasar Keamanan Siber

CISO harus fokus pada dasar-dasar keamanan, termasuk manajemen aset, manajemen kata sandi, kebersihan dunia maya, konfigurasi, manajemen kerentanan, patching, deteksi dan pencegahan ancaman, edukasi pengguna, pelaporan, dokumentasi, dan sebagainya. Tanpa dasar yang kuat, investasi apa pun dalam keamanan siber tidak akan menghasilkan manfaat yang seharusnya tercapai.

Keamanan Siber Harus Menjadi Agenda Ruang Rapat

Keamanan siber adalah masalah bisnis dan perlu diperlakukan sebagai satu kesatuan, bukan dipandang sebagai masalah TI. CISO perlu menyadari risiko bisnis, itu sudah pasti. Lagi pula, dalam kasus pelanggaran keamanan, CEO dan dewan harus menjawab pertanyaan tentang bagaimana hal itu terjadi.

Selanjutnya, organisasi perlu menciptakan budaya keamanan siber yang dimulai dari atas dan meresap ke bawah. Ketika pemimpin memimpin dari depan, penerimaan lebih mudah di antara karyawan dalam mengadopsi dan mempertahankan standar keamanan dalam pekerjaan rutin mereka.

Memanfaatkan Intelligent Automation dan Teknologi Canggih Lainnya

Penyerang memanfaatkan teknologi canggih untuk menyusup ke jaringan perusahaan dan mendapatkan akses ke aset penting misi. Mengingat skenario ini, organisasi juga perlu memanfaatkan teknologi futuristik seperti WAF generasi berikutnya, intelligent automation, behavior analytics, deep learning, security analytics, dan sebagainya untuk mencegah serangan yang paling kompleks dan canggih sekalipun.

Pergeseran ke Arsitektur Zero Trust

Pekerja jarak jauh akan tetap ada, dan konsep perimeter jaringan menjadi kabur. Untuk kelangsungan bisnis, organisasi harus mengaktifkan akses aset mission-critical kepada karyawan di mana pun mereka berada. Karyawan mungkin mengakses sumber daya ini dari perangkat pribadi, perangkat bersama, dan jaringan tidak aman. CISO perlu berpikir secara strategis dan menerapkan keamanan tanpa batas berdasarkan arsitektur zero trust.

Arsitektur zero-trust mengamanatkan bahwa organisasi selalu memverifikasi dan tidak pernah percaya sehubungan dengan data, karyawan, jaringan, dan perangkat.

Fokus pada Mengamankan Infrastruktur Cloud Anda

Ini pada dasarnya berarti bahwa CISO perlu memikirkan kembali kebijakan keamanan mereka untuk mengamankan infrastruktur cloud. Mereka harus menerapkan alat & teknologi cerdas baru, proses holistik, dan model tata kelola komprehensif yang memberikan visibilitas ke lingkungan cloud dan membantu mengamankan infrastruktur cloud.

Kembangkan Rencana Kontinuitas yang Kuat

Organisasi biasanya memiliki rencana respons insiden keamanan dan rencana kelangsungan bisnis. Tetapi tidak ada yang memperhitungkan peristiwa yang berdampak di seluruh dunia seperti pandemi Covid-19.

Prioritas keamanan siber untuk tahun 2021 dan seterusnya mengharuskan CISO dan pemimpin bisnis untuk mengembangkan rencana kesinambungan dan ketahanan yang kuat untuk peristiwa semacam itu.

Selengkapnya: The Hacker News

Gelombang Baru Serangan Malware Menargetkan Organisasi di Amerika Selatan

by

Kampanye spam yang mengirimkan email spear-phishing yang ditujukan untuk organisasi di Amerika Selatan telah melengkapi kembali tekniknya untuk memasukkan berbagai trojan akses jarak jauh (RAT) dan pemfilteran geolokasi untuk menghindari deteksi, menurut penelitian baru.

Perusahaan keamanan siber Trend Micro mengaitkan serangan itu dengan ancaman persisten tingkat lanjut (APT) yang dilacak sebagai APT-C-36 (alias Blind Eagle), kelompok spionase Amerika Selatan yang dicurigai telah aktif setidaknya sejak 2018 dan sebelumnya dikenal karena mengarahkan perhatiannya pada Institusi dan perusahaan pemerintah Kolombia yang mencakup sektor keuangan, perminyakan, dan manufaktur.

Sebagian besar menyebar melalui email penipuan dengan menyamar sebagai lembaga pemerintah Kolombia, seperti Direktorat Nasional Pajak dan Bea Cukai (DIAN), rantai infeksi dimulai ketika penerima pesan membuka dokumen PDF atau Word palsu yang mengklaim sebagai perintah penyitaan yang terkait dengan rekening bank mereka dan mengklik tautan yang dihasilkan dari layanan penyingkat URL seperti cort.as, acortaurl.com, dan gtly.to.

Jika korban memenuhi kriteria lokasi, pengguna diarahkan ke server file hosting, dan arsip yang dilindungi kata sandi diunduh secara otomatis, pada akhirnya mengarah ke eksekusi trojan akses jarak jauh berbasis C++ yang disebut BitRAT.

Beberapa indurstri, termasuk pemerintahan, keuangan, perawatan kesehatan, telekomunikasi, dan energi, minyak, dan gas, dikatakan telah terpengaruh, dengan mayoritas target untuk kampanye terbaru berlokasi di Kolombia dan sebagian kecil juga berasal dari Ekuador, Spanyol , dan Panama.

Selengkapnya: The Hacker News

Edward Snowden mendesak pengguna untuk berhenti menggunakan ExpressVPN

by

Pekan lalu, Hackread.com melaporkan kesepakatan miliaran dolar di mana ExpressVPN dibeli oleh Kape, sebuah perusahaan keamanan siber Israel yang meningkatkan masalah privasi di antara penggunanya. Kemudian, dalam tweet baru-baru ini, mantan whistleblower NSA Edward Snowden telah memperingatkan pengguna untuk berhenti menggunakan ExpressVPN.

Peringatan ini tampaknya sebagai reaksi terhadap berita bahwa CIP ExpressVPN, Daniel Gericke, adalah salah satu dari tiga mantan agen intelijen AS yang mengaku secara ilegal membantu pemerintah UEA melakukan peretasan terhadap orang-orang yang menjadi sasaran mereka.

Agak lucu bahwa ExpressVPN, salah satu penyedia layanan VPN terkemuka di dunia, tidak menyangkal klaim bahwa CIO-nya telah terlibat dalam Project Raven. Perusahaan merilis pernyataan yang menjelaskan bahwa fakta yang diceritakan dalam laporan itu sebelum perusahaan mempekerjakan Daniel, dan mereka telah mengetahui hal ini sejak awal.

Meskipun perusahaan menganggap Project Raven dan pengawasan secara umum sebagai antitesis, perusahaan ingin mempertahankan Gericke sebagai karyawannya karena Daniel memiliki pengalaman 20 tahun di industri keamanan siber dan telah bekerja di militer AS.

Sekadar informasi, Daniel Gericke dipekerjakan oleh ExpressVPN pada tahun 2019 dan sebelum bekerja, Daniel menghentikan kontraknya dengan UEA. Selain itu, ExpressVPN menyatakan bahwa perusahaan telah menerapkan beberapa langkah keamanan untuk menjaga privasi penggunanya.

Selengkapnya: Hackread

Alamt IP Pengguna VPN terekspos oleh kerentanan zero-day di router Virgin Media

by

Kerentanan zero-day di router Virgin Media Super Hub 3 memungkinkan penyerang membuka kedok alamat IP pengguna VPN yang sebenarnya, ungkap peneliti keamanan.

Fidus Information Security, konsultan penetration testing Inggris, telah menerbitkan rincian kerentanan keamanan hampir dua tahun setelah pertama kali memperingatkan Virgin Media, sebuah perusahaan telekomunikasi Inggris, yang merujuk Fidus ke Liberty Global, perusahaan induknya.

Tim R&D Fidus mengatakan awalnya menunda pengungkapan selama 12 bulan atas permintaan vendor, tetapi upaya selanjutnya untuk menghubungi Virgin Media dan Liberty Global kemudian gagal mendapatkan tanggapan.

Namun, Virgin Media telah mengatakan kepada The Daily Swig bahwa saat ini sedang mengerjakan “perbaikan teknis” untuk “masalah edge-case, yang berpotensi berdampak hanya pada sebagian kecil pelanggan” yang menggunakan VPN.

Para peneliti dapat memasang serangan rebinding DNS yang mengungkapkan alamat IP pengguna VPN “dengan hanya [pengguna] mengunjungi halaman web [berbahaya] selama beberapa detik”, tulis posting blog yang dirancang oleh Fidus pada bulan Maret tetapi akhirnya diterbitkan minggu lalu.

Serangan rebinding DNS menyalahgunakan browser korban dengan menjadikannya sebagai proxy untuk menyerang jaringan pribadi.

Para peneliti berhasil menghilangkan anonimitas perangkat yang alamat IP-nya ditutupi oleh sebagian besar “VPN terkemuka di pasar”, kata tim R&D Fidus kepada The Daily Swig.

Namun, beberapa penyedia VPN menangkis serangan tersebut dengan memblokir akses ke alamat IP lokal secara default.

Selengkapnya: Portswigger

Numando: Trojan Perbankan yang Dapat Mengatur Secara Jarak Jauh

by

Trojan perbankan telah terdeteksi menyalahgunakan YouTube, Pastebin, dan platform publik lainnya untuk menyebarkan dan mengontrol mesin yang compromised.

Jumat(17/9/2021), ESET menyelesaikan serangkaian Trojan perbankan yang ada di Amerika Latin — termasuk Janeleiro, sampel malware baru yang mirip dengan Casbaneiro, Grandoreiro, dan Mekotio — tetapi yang ini tidak hanya terjadi di wilayah itu; sebagai gantinya, kampanye telah terdeteksi di seluruh Brasil, Meksiko, dan Spanyol.

Dalam sebuah posting blog, para peneliti cybersecurity mengatakan bahwa Trojan bernama Numando telah aktif sejak 2018. Ditulis dalam Delphi, malware keuangan ini menampilkan jendela overlay palsu untuk menipu korban agar mengirimkan data sensitif, seperti kredensial yang digunakan untuk mengakses layanan keuangan. .

Numando tersebar hampir “eksklusif” melalui kampanye spam dan phishing.

Dalam kampanye baru-baru ini, spam yang dikirim untuk mendistribusikan Numando terdiri dari pesan phishing dan lampiran .ZIP yang disertakan dengan email.

File .ZIP umpan diunduh, bersama dengan file .ZIP aktual yang berisi arsip .CAB — dibundel dengan aplikasi perangkat lunak yang sah — injektor, dan Trojan. Malware disembunyikan dalam file gambar .BMP besar.

Jika aplikasi perangkat lunak dijalankan, injektor dimuat di samping dan malware kemudian didekripsi menggunakan algoritme XOR dan sebuah kunci.

Setelah diinstal pada mesin target, Numando akan membuat jendela overlay palsu saat korban mengunjungi layanan keuangan. Jika pengguna mengirimkan kredensial mereka, maka akan dicuri dan dikirim ke server command-and-control (C2) malware.

Numando juga menyalahgunakan layanan publik termasuk Pastebin dan YouTube untuk mengelola pengaturan konfigurasi jarak jauhnya.

“Formatnya sederhana — tiga entri dibatasi oleh “:” di antara penanda DATA:{ dan },” jelas ESET. “Setiap entri dienkripsi secara terpisah dengan cara yang sama seperti string lain di Numando — dengan kunci yang di-hardcode dalam biner. Hal ini membuat sulit untuk mendekripsi konfigurasi tanpa memiliki biner yang sesuai, namun Numando tidak terlalu sering mengubah kunci dekripsi, membuat dekripsi menjadi mungkin.”

Google sudah diberitahu dan video yang terdeteksi telah dihapus.

Numando mampu mensimulasikan klik mouse dan keyboard, membajak fungsi shutdown dan restart PC, mengambil screenshot, dan mematikan proses browser.

“Tidak seperti kebanyakan trojan perbankan Amerika Latin lainnya yang tercakup dalam seri ini, Numando tidak menunjukkan tanda-tanda perkembangan berkelanjutan,” kata ESET. “Ada beberapa perubahan kecil dari waktu ke waktu, tetapi secara keseluruhan binari tidak cenderung banyak berubah.”

sumber: ZDNET