Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Signal memperbaiki bug yang mengirim gambar acak ke kontak yang salah

by

Signal telah memperbaiki bug serius di aplikasi Androidnya yang, dalam beberapa kasus, mengirim gambar acak yang tidak diinginkan ke kontak tanpa penjelasan yang jelas.

Meskipun masalah ini dilaporkan pada Desember 2020, mengingat kesulitan mereproduksi bug, baru bulan ini perbaikan diluncurkan ke pengguna Android dari aplikasi perpesanan terenkripsi end-to-end.

Bulan ini Signal menambal bug yang memengaruhi pengguna aplikasi Android mereka dalam beberapa keadaan.

Saat mengirim gambar menggunakan aplikasi Signal Android ke salah satu kontak Anda, kontak terkadang tidak hanya menerima gambar yang dipilih, tetapi juga beberapa gambar acak yang tidak diinginkan, yang tidak pernah dikirim oleh pengirim.

Contoh tangkapan layar di bawah ini menunjukkan bagaimana pengirim (kiri) hanya mengirim GIF sebagai bagian dari percakapan teks, tetapi penerima (kanan) mendapat dua gambar tambahan tanpa penjelasan yang masuk akal:

Sumber: BleepingComputer

Pengguna lain, Adrian Ostrowski menyatakan bahwa bug seperti ini secara efektif membuat berbagi gambar secara rahasia melalui Signal tidak memungkinkan.

Yang ditanggapi oleh pengembang Android Signal, Greyson Parrelli bahwa perbaikan telah diluncurkan di versi 5.17 dari aplikasi Android Signal, yang dirilis bulan ini.

Selengkapnya: Bleeping Computer

Laporan Metodologi Forensik: Cara menangkap Pegasus NSO Group

by

NSO Group mengklaim bahwa spyware Pegasus-nya hanya digunakan untuk “menyelidiki terorisme dan kejahatan” dan “tidak meninggalkan jejak apa pun”. Laporan Metodologi Forensik ini menunjukkan bahwa tidak satu pun dari pernyataan ini benar. Laporan ini menyertai peluncuran Proyek Pegasus, sebuah investigasi kolaboratif yang melibatkan lebih dari 80 jurnalis dari 17 organisasi media di 10 negara yang dikoordinasikan oleh Forbidden Stories dengan dukungan teknis dari Lab Keamanan Amnesty International.

Lab Keamanan Amnesty International telah melakukan analisis forensik mendalam terhadap berbagai perangkat seluler dari pembela hak asasi manusia (HRD) dan jurnalis di seluruh dunia. Penelitian ini telah mengungkap pengawasan yang melanggar hukum, terus-menerus dan berkelanjutan serta pelanggaran hak asasi manusia yang dilakukan dengan menggunakan spyware Pegasus NSO Group.

Bagian 1 hingga 8 dari laporan ini menguraikan jejak forensik yang tertinggal di perangkat seluler setelah infeksi Pegasus. Bukti ini telah dikumpulkan dari telepon pembela HAM dan jurnalis di berbagai negara. Terakhir, di bagian 9 laporan tersebut mendokumentasikan evolusi infrastruktur jaringan Pegasus sejak 2016.

1. Menemukan serangan injeksi jaringan Pegasus

Investigasi teknis Amnesty International terhadap Pegasus NSO Group diintensifkan setelah mereka menemukan penargetan staf Amnesty International dan aktivis Saudi, Yahya Assiri, pada tahun 2018. Lab Keamanan Amnesty International mulai menyempurnakan metodologi forensiknya melalui penemuan serangan terhadap pembela HAM di Maroko pada tahun 2019, yang selanjutnya dikuatkan oleh serangan yang mereka temukan terhadap seorang jurnalis Maroko pada tahun 2020. Di bagian pertama ini mereka merinci proses yang mengarah pada penemuan kompromi ini.

Banyak laporan publik telah mengidentifikasi pelanggan NSO Group yang menggunakan pesan SMS dengan domain eksploitasi Pegasus selama bertahun-tahun. Akibatnya, pesan serupa muncul dari analisis kami terhadap telepon aktivis Maroko Maati Monjib, yang merupakan salah satu aktivis yang menjadi sasaran sebagaimana didokumentasikan dalam laporan Amnesty International tahun 2019.

Namun, pada analisis lebih lanjut, Amnesty juga melihat pengalihan mencurigakan yang tercatat dalam riwayat penelusuran Safari. Misalnya, dalam satu kasus Amnesty melihat pengalihan ke URL yang tampak aneh setelah Maati Monjib mencoba mengunjungi Yahoo:

Sumber: Amnesty International

Seperti yang dijelaskan dalam Lampiran Teknis dari laporan 2020 Amnesty tentang serangan Pegasus di Maroko, pengalihan ini tidak hanya terjadi ketika target menavigasi Internet dengan aplikasi browser, tetapi juga saat menggunakan aplikasi lain.

Selengkapnya: Amnesty International

Serangan jaringan “PetitPotam” Windows – cara melindunginya

by

Peneliti asal Prancis Gilles Lionel, yang menggunakan @topotam77, baru-baru ini menerbitkan kode bukti konsep yang dapat digunakan penyerang untuk mengambil alih jaringan Windows.

Peretasan itu, yang ia juluki PetitPotam, melibatkan apa yang dikenal sebagai serangan relay NTLM, yang merupakan bentuk serangan manipulator-in-the-middle (MitM) terhadap sistem otentikasi NTLM Microsoft.

Microsoft telah menyarankan semua orang untuk menghindari NTLM, kependekan dari NT LAN Manager, selama lebih dari satu dekade, karena tidak memenuhi standar keamanan kriptografi modern.

Menurut Microsoft, kode PetitPotam bergantung pada penyalahgunaan fungsi sistem yang diaktifkan jika semua kondisi ini berlaku:

  • Otentikasi NTLM diaktifkan di domain Anda.
  • Anda menggunakan Active Directory Certificate Services (AD CS).
  • Anda mengaktifkan Certificate Authority Web Enrollment atau Certificate Enrollment Web Service.

Apa yang harus dilakukan?

Jelas, pertahanan paling kuat adalah berhenti menggunakan NTLM di jaringan Anda.

Jika Anda benar-benar tidak membutuhkannya (dan sudah tidak digunakan lagi selama lebih dari satu dekade), Anda dapat mematikannya di domain controller untuk meningkatkan keamanan seluruh jaringan Anda.

Jika Anda tidak dapat mematikan otentikasi NTLM sama sekali, Microsoft memiliki banyak langkah lain yang dapat Anda ambil, tetapi ini secara khusus menangani celah PetitPotam daripada menyingkirkan kriptografi NTLM yang sudah ketinggalan zaman itu sendiri.

Selengkapnya: Naked Security

Jaringan Industri Terekspos Melalui Teknologi Operasional Berbasis Cloud

by

Manfaat menggunakan platform manajemen berbasis cloud untuk memantau dan mengonfigurasi perangkat sistem kontrol industri (ICS) sangat jelas — efisiensi, penghematan biaya, dan diagnostik yang lebih baik hanya sebagai permulaan. Tetapi penelitian baru menemukan kerentanan kritis dalam platform ini yang dapat digunakan untuk melumpuhkan operasi jika dibiarkan tanpa tanggung jawab.

Analisis oleh tim peneliti Team82 Claroty yang baru menemukan kerentanan mencolok dalam sistem industri CODESYS dan WAGO, yang menggunakan otomatisasi berbasis cloud untuk teknologi operasional (OT) — segmen yang sering disebut sebagai “Industri 4.0.”

Kerentanan, jika dieksploitasi, dapat menyebabkan konsekuensi serius, termasuk menguasai peralatan dan operasi industri.

Sumber: Claroty

Beberapa jenis eksploitasi dapat dilakukan, tetapi Claroty menandai beberapa catatan. Dalam satu bukti konsep, mereka dapat memodifikasi paket CODESYS Package Designer untuk mengambil kredensial cloud pengguna; serangan melibatkan rekayasa sosial pengguna yang masuk untuk menginstalnya.

Serangan itu akan memungkinkan akses ke konsol manajemen berbasis cloud CODESYS, dimana musuh dapat lebih jauh mengeksploitasi PLC terkelola yang terhubung ke konsol.

WAGO dan CODESYS dengan cepat merespons dengan mitigasi dan patch untuk semua kerentanan yang dilaporkan.

Selengkapnya: Threat Post

Hati-hati: Beberapa installer Windows 11 menginfeksi PC Anda dengan malware

by

Microsoft mengejutkan penggemar beberapa minggu yang lalu dengan versi Windows yang kita pikir tidak akan pernah kita dapatkan.

Setelah beberapa tahun menggunakan Windows 10, kita akhirnya naik satu digit ke Windows 11. Sistem operasi baru ini bukan hanya peningkatan kosmetik yang menghadirkan pekerjaan cat baru. Microsoft telah mengembangkan beberapa fitur baru untuk rilis terbaru yang menjadikannya peningkatan yang penting.

Ternyata installer Windows 11 berbahaya sudah tersedia di alam liar. Jika Anda mengunduh dan menjalankan salah satu dari mereka, Anda akan menginstal malware yang berbahaya di laptop atau desktop Anda. Peringatan itu datang langsung dari Kaspersky. Perusahaan mengidentifikasi setidaknya satu kit instalasi Windows 11 yang memberikan muatan kejutan.

Kaspersky merinci file yang dapat dieksekusi bernama 86307_windows 11 build 21996.1 x64 + activator.exe. Unduhan terlihat seperti file asli dari Microsoft. Besarnya 1,75GB, dan ukurannya membuatnya terlihat seperti aslinya. Tetapi setelah unduhan selesai, Anda akan menemukan bahwa penginstal Windows 11 tidak mengandung jejak Windows 11.

File executable yang dimaksud juga merupakan installer yang dilengkapi dengan perjanjian lisensinya sendiri. Ini diberi label sebagai “pengelola unduhan untuk 86307_windows 11 build 21996.1 x64 + aktivator.” Perjanjian tersebut juga mencatat bahwa aplikasi akan menginstal perangkat lunak bersponsor di mesin Anda. Menerima perjanjian mengarah pada pemasangan produk berbahaya, bukan aplikasi asli.

Hanya ada satu tempat di mana Anda harus mencari penginstal Windows 11 beta: Microsoft. Dan Anda akan melakukan semuanya dari perangkat Windows 10 Anda. Cukup buka Pengaturan, Perbarui & Keamanan, lalu Program Windows Insider. Di situlah Anda harus mengaktifkan Saluran Dev untuk pembaruan.

Selengkapnya: Yahoo News

Malware Lemon Duck belum selesai mengganggu Windows dan Linux, malware ini terus berkembang

by

Lemon Duck menyebabkan lebih banyak masalah dari sebelumnya. Awalnya, itu hanya botnet cryptocurrency yang memungkinkan penambangan di mesin. Kemudian memulai transisi menjadi pemuat malware, yang membawa kita ke pembaruan terbaru dari Microsoft tentang status bebek digital jahat yang mengandung jeruk.

“Hari ini, selain menggunakan sumber daya untuk bot tradisional dan aktivitas penambangan, LemonDuck mencuri kredensial, menghapus kontrol keamanan, menyebar melalui email, bergerak ke samping, dan pada akhirnya menjatuhkan lebih banyak alat untuk aktivitas yang dioperasikan manusia,” Laporan keamanan Microsoft berbunyi, merinci banyak cara Lemon Duck (sekarang disebut sebagai LemonDuck oleh Microsoft) dapat membahayakan seseorang. Lebih buruk lagi, itu tidak eksklusif untuk satu platform. LemonDuck akan menyerang Windows serta Linux, dan menyebar melalui email phishing, perangkat USB, eksploitasi, dan banyak lagi.

Bisa dibilang, bagian paling menakutkan dari LemonDuck adalah fakta bahwa ia sangat pandai menutupi jejaknya.

“[LemonDuck] terus menggunakan kerentanan lama, yang menguntungkan penyerang pada saat fokus beralih ke menambal kerentanan populer daripada menyelidiki kompromi. Khususnya, LemonDuck menghapus penyerang lain dari perangkat yang disusupi dengan menyingkirkan malware yang bersaing dan mencegah infeksi baru dengan menambal kerentanan yang sama yang digunakan untuk mendapatkan akses.”

Selengkapnya: Windows Central

Kebijakan perangkat lunak baru China mempersenjatai penelitian keamanan siber

by

Peretasan server Microsoft Exchange yang baru saja dikaitkan AS dengan China dapat menjadi kejadian yang lebih umum dan berbahaya dengan pengumuman aturan baru China untuk kerentanan perangkat lunak.

Peraturan, yang mulai berlaku pada bulan September, memaksa perusahaan asing untuk mengungkapkan kesalahan ini jika mereka ingin melakukan bisnis di China. Dengan melakukan itu, mereka mempersenjatai proses penemuan kerentanan dan memiliki konsekuensi keamanan nasional yang signifikan bagi AS dan sekutunya.

Kerentanan, ketika dieksploitasi dengan benar, memungkinkan penyerang mengakses sesuatu yang seharusnya tidak dapat mereka jangkau. Di A.S., komunitas aktif peneliti keamanan siber, yang diberi insentif oleh program hadiah perusahaan dan kompetisi keamanan siber yang menguntungkan, secara sukarela mengungkapkan informasi tentang kerentanan kepada perusahaan atau pemerintah A.S.

Institut Nasional Standar dan Teknologi mengelola proses ini, mengeluarkan nomor ID dan mendaftarkan kerentanan di Database Kerentanan Nasional. Peretas pemerintah menemukan kerentanan mereka sendiri, baik dengan melakukan lusinan jam penelitian atau dengan membelinya dari vendor.

Tetapi aturan baru China tentang kerentanan perangkat lunak mencoba mengubah sistem ini. Kebijakan baru membuat komunitas keamanan siber global berada dalam jalur penemuan kerentanan China dengan mewajibkan perusahaan yang melakukan bisnis di China untuk mengungkapkan kerentanan mereka kepada pemerintah.

Selengkapnya: The Hill

A.S. Mengambil Langkah Penting Keamanan Siber—Terlambat Dua Dekade

by

Selama 20 tahun terakhir, seiring dengan meningkatnya jumlah serangan siber, sektor-sektor tertentu telah merespons tantangan tersebut dengan penuh semangat. Bank dan perusahaan keuangan memiliki peringkat tertinggi, terutama karena keamanan adalah inti dari bisnis mereka: Jika bank terus diretas, pelanggan akan menarik uang mereka. Bank juga memiliki uang untuk menyewa teknisi IT terbaik. Akibatnya, bank diretas ratusan atau ribuan kali sehari, tetapi hasilnya jarang menghancurkan; penyusup terlihat dan diusir cukup cepat. Namun, perusahaan lain—misalnya, pembangkit listrik, pekerjaan air, dan jaringan pipa—telah melakukan relatif sedikit untuk menambal kerentanan mereka, sebagian karena mahal untuk melakukannya, sebagian karena serangan jarang terjadi. Sampai saat ini. Karena serangan semakin rutin dan merusak finansial, bahkan perusahaan swasta menunjukkan kesiapan yang lebih besar untuk mengambil tindakan, bahkan dengan hukuman tertentu.

Masih harus dilihat seberapa luas pemerintahan Biden akan memperluas peraturan ke sektor ekonomi lainnya, atau seberapa keras undang-undang baru akan ditegakkan jika beberapa perusahaan tidak mematuhinya. Tapi ini adalah langkah pertama—sangat terlambat, tapi masalah yang sangat besar.

selengkapnya : slate.com