Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Vendor Spyware Tampaknya Membuat WhatsApp Palsu untuk Meretas Target

by

Peretas mencoba mengelabui pengguna iPhone agar memasang versi palsu WhatsApp dalam upaya potensial untuk mengumpulkan informasi tentang mereka.

Analisis teknis oleh kedua peneliti dari pengawas hak digital Citizen Lab dan Motherboard menunjukkan bahwa versi palsu WhatsApp ini memiliki kaitan dengan perusahaan pengawasan Italia, Cy4Gate.

Berita tersebut menyoroti serangan yang terkadang terabaikan pada iPhone: menipu pengguna agar menginstal file konfigurasi atau yang disebut profil Manajemen Perangkat Seluler (MDM), yang kemudian berpotensi mendorong malware ke perangkat target.

Selasa lalu, perusahaan keamanan ZecOps mengatakan dalam sebuah tweet bahwa mereka telah mendeteksi serangan terhadap pengguna WhatsApp. Perusahaan menerbitkan domain — config5-dati[.]Com — dan alamat IP yang dikatakan memiliki kaitan dengan serangan tersebut.

Kemudian Marczak dan sesama peneliti Citizen Lab Bahr Abdul Razzak melihat ke dalam domain tersebut dan menemukan sesuatu yang lain tertaut ke domain tersebut, termasuk salah satu yang menjadi host situs yang diklaim sebagai halaman untuk mengunduh WhatsApp.

Sumber: CITIZEN LAB

Marczak mengatakan file ini mengirimkan informasi ke server config1-dati, termasuk UDID, atau Pengenal Perangkat Unik yang ditetapkan ke setiap perangkat iOS oleh Apple; dan IMEI atau International Mobile Equipment Identity, kode unik lain yang mengidentifikasi sebuah ponsel.

Selengkapnya: Vice

Cisco memperbaiki bug eksekusi kode penting di router VPN SMB

by

Cisco telah mengatasi beberapa kerentanan pre-auth remote code execution (RCE) yang memengaruhi beberapa router VPN bisnis kecil dan memungkinkan penyerang mengeksekusi kode arbitrer sebagai root pada perangkat yang berhasil dieksploitasi.

Bug keamanan dengan tingkat keparahan 9.8 / 10 ditemukan di antarmuka manajemen berbasis web dari router bisnis kecil Cisco.

“Kerentanan ini muncul karena permintaan HTTP tidak divalidasi dengan benar,” Cisco menjelaskan dalam sebuah laporan.

“Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang dibuat ke antarmuka pengelolaan berbasis web dari perangkat yang terpengaruh.”

Menurut Cisco, Small Business Routers berikut ini rentan terhadap serangan yang mencoba mengeksploitasi kerentanan ini jika menjalankan versi firmware yang lebih lama dari Rilis 1.0.01.02:

  • RV160 VPN Router
  • RV160W Wireless-AC VPN Router
  • RV260 VPN Router
  • RV260P VPN Router with POE
  • RV260W Wireless-AC VPN Router

Cisco mengatakan bahwa Router VPN Dual WAN Gigabit (termasuk RV340, RV340W, RV345, dan RV345P) tidak terpengaruh.

Perusahaan telah memperbaiki kerentanan dalam rilis firmware 1.0.01.02 dan yang lebih baru yang dikeluarkan untuk semua router yang terkena dampak.

Sumber: Bleeping Computer

Add-on Chrome dan Edge yang berbahaya memiliki cara baru untuk bersembunyi di dalam 3 juta perangkat

by

Pada bulan Desember, Ars melaporkan bahwa sebanyak 3 juta orang telah terinfeksi oleh extension browser Chrome dan Edge yang mencuri data pribadi dan mengarahkan pengguna ke situs iklan atau phishing.

Sekarang, para peneliti yang menemukan penipuan tersebut telah mengungkapkan sejauh mana pengembang extension menyembunyikan perbuatan jahat mereka.

28 extension yang tersedia di repositori resmi Google dan Microsoft mengiklankan diri mereka sendiri sebagai cara untuk mengunduh gambar, video, atau konten lain dari situs-situs termasuk Facebook, Instagram, Vimeo, dan Spotify.

Di belakang layar, mereka ternyata juga mengumpulkan tanggal lahir pengguna, alamat email, dan informasi perangkat serta mengalihkan klik dan hasil penelusuran ke situs berbahaya. Google dan Microsoft akhirnya menghapus extension tersebut.

Para peneliti dari Avast mengatakan pada hari Rabu bahwa pengembang extension menggunakan cara baru untuk menyembunyikan lalu lintas berbahaya yang dikirim antara perangkat yang terinfeksi dan server perintah dan kontrol tempat mereka terhubung.

Secara khusus, extension tersebut menyalurkan perintah ke tajuk kontrol cache lalu lintas yang disamarkan agar muncul sebagai data yang terkait dengan Google analytics, yang digunakan situs web untuk mengukur interaksi pengunjung.

Server penyerang kemudian akan merespons dengan header Cache-Control yang dibentuk khusus, yang kemudian akan didekripsi, diurai, dan dieksekusi oleh klien.

Selengkapnya: Ars Technica

Singapura menilai perubahan kebijakan privasi WhatsApp, tidak ‘terpengaruh buruk’ dalam kejadian SolarWinds

by

Ketika berita tentang pelanggaran keamanan SolarWinds pecah, Badan Keamanan Siber Singapura (CSA) menaikkan tingkat peringatan ancaman siber nasional, kata Menteri Komunikasi dan Informasi S. Iswaran.

Memperhatikan bahwa serangan itu canggih dan menghindari deteksi selama berbulan-bulan, dia mengatakan pelanggaran itu sangat “patut diperhatikan” karena perangkat lunak SolarWinds adalah bagian dari kontrol jaringan dan infrastruktur manajemen dan, karenanya, dipercaya dan memiliki akses istimewa ke jaringan internal.

Iswaran juga menanggapi pertanyaan terkait dengan perubahan kebijakan privasi WhatsApp yang akan datang, mengungkapkan bahwa pemerintah sedang “menyelidiki kekhawatiran” yang diajukan oleh konsumen.

WhatsApp dalam beberapa minggu terakhir telah mulai memberikan pemberitahuan kepada pengguna tentang pembaruan pada pernyataan privasinya, mencatat bahwa mereka harus menerima perubahan setelah 8 Februari untuk terus menggunakan platform perpesanan atau, jika tidak, menghapus akun mereka. Kebijakan sebelumnya telah memungkinkan pengguna untuk memilih keluar dari sebagian besar berbagi data dengan Facebook.

Menurut Iswaran, saat ini terdapat 1,22 juta pelanggan saluran WhatsApp Pemerintah Singapura, di antara beberapa platform yang digunakan untuk berkomunikasi dengan publik. Ini termasuk Telegram, Twitter, serta situs web Pemerintahnya sendiri, katanya, menambahkan bahwa platform ini disadap untuk menyiarkan “informasi yang tidak diklasifikasikan dan tersedia untuk umum”.

Memperhatikan bahwa komunikasi data rahasia melalui platform perpesanan komersial dilarang, menteri mengatakan pemerintah Singapura memiliki aturan tentang penggunaan aplikasi semacam itu. Aturan ini tidak tergantung pada perubahan syarat dan kebijakan privasi platform perpesanan, termasuk WhatsApp, tambahnya.
Dia mengatakan Komisi Perlindungan Data Pribadi sedang “melibatkan” WhatsApp sehubungan dengan kebijakan privasi terbaru dan berbagi data pribadi dengan Facebook.

Source : ZDnet

Bug Sudo baru ditemukan juga memengaruhi macOS

by

Seorang peneliti keamanan Inggris telah menemukan hari ini bahwa kelemahan keamanan baru-baru ini di aplikasi Sudo juga memengaruhi sistem operasi macOS, dan bukan hanya Linux dan BSD, seperti yang diyakini pada awalnya.

Kerentanan, yang diungkapkan minggu lalu sebagai CVE-2021-3156 (alias Baron Samedit) oleh peneliti keamanan dari Qualys, berdampak pada Sudo, sebuah aplikasi yang memungkinkan admin untuk mendelegasikan akses root terbatas ke pengguna lain.

Peneliti Qualys menemukan bahwa mereka dapat memicu bug “heap overflow” di aplikasi Sudo untuk mengubah akses pengguna saat ini yang memiliki hak istimewa rendah ke perintah tingkat root, yang memberi penyerang akses ke seluruh sistem.

VERSI MAC OS TERBARU JUGA TERDAMPAK
Namun salah satu pendiri Hacker House, Matthew Hickey mengatakan bug ini juga terdapat pada versi terbaru macOS juga disertakan dengan aplikasi Sudo.

https://twitter.com/hackerfantastic/status/1356645638151303169?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1356645638151303169%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fwww.zdnet.com%2Farticle%2Frecent-root-giving-sudo-bug-also-impacts-macos%2F

Hickey mengatakan dia menguji kerentanan CVE-2021-3156 dan menemukan bahwa dengan beberapa modifikasi, bug keamanan dapat digunakan untuk memberikan akses penyerang ke akun root macOS juga.

Hickey memberi tahu ZDNet bahwa bug tersebut dapat dieksploitasi di versi terbaru macOS, bahkan setelah menerapkan tambalan keamanan terbaru yang dirilis Apple pada hari Senin.

Peneliti mengatakan dia memberi tahu Apple tentang masalah itu hari ini. Apple menolak berkomentar saat menyelidiki laporan tersebut; Namun, patch diharapkan untuk masalah yang begitu serius ini.

Source : ZDnet

AS Menghabiskan $ 2,2 Juta untuk Sistem Keamanan Siber yang Tidak Diimplementasikan

by

Pelanggaran data besar-besaran, yang menurut badan intelijen AS “kemungkinan besar berasal dari Rusia,” menembus sistem komputer lembaga federal, termasuk Departemen Keamanan Dalam Negeri, Departemen Keuangan, Institut Kesehatan Nasional, dan Departemen Kehakiman, juga sebagai sejumlah perusahaan Fortune 500. Para peretas tetap tidak terdeteksi selama berbulan-bulan.

Masalah ini mendorong pengembangan pendekatan baru, didukung oleh $ 2,2 juta dalam bentuk hibah federal dan tersedia secara gratis, yang bertujuan untuk memberikan perlindungan ujung ke ujung untuk seluruh jalur pasokan perangkat lunak. Dinamakan in-toto (bahasa Latin untuk “secara keseluruhan”), ini adalah hasil kerja tim akademisi yang dipimpin oleh Justin Cappos, seorang profesor ilmu komputer dan teknik di Universitas New York. Cappos, 43, telah menjadikan pengamanan rantai pasokan perangkat lunak sebagai pekerjaannya. P\

Cappos dan rekan-rekannya percaya bahwa sistem in-toto, jika digunakan secara luas, dapat memblokir atau meminimalkan kerusakan dari serangan SolarWinds. Namun hal itu tidak terjadi: Pemerintah federal tidak mengambil langkah apa pun untuk meminta vendor perangkat lunaknya, seperti SolarWinds, untuk mengadopsinya. Memang, tidak ada lembaga pemerintah yang menanyakan tentang itu, menurut Cappos.

In-toto dapat memblokir dan mengungkap serangan dunia maya yang tak terhitung jumlahnya yang saat ini tidak terdeteksi, menurut Cappos, yang timnya termasuk Santiago Torres-Arias, asisten profesor teknik listrik dan komputer di Universitas Purdue, dan Reza Curtmola, co-direktur New Jersey Institute of Pusat Penelitian Keamanan Siber Teknologi. Dalam makalah dan presentasi Agustus 2019 di konferensi komputer USENIX, berjudul “in-toto: Memberikan jaminan farm-to-table untuk bit dan byte,” tim Cappos melaporkan mempelajari 30 pelanggaran rantai pasokan utama sejak tahun 2010. Dalam- toto, mereka menyimpulkan, akan mencegah antara 83% dan 100% serangan itu.

“Ini tersedia untuk semua orang secara gratis, dibayar oleh pemerintah, dan harus digunakan oleh semua orang,” kata Cappos. “Orang-orang mungkin masih bisa masuk dan mencoba meretasnya. Tapi ini adalah langkah pertama yang perlu dan akan menangkap banyak hal ini. ” Lambatnya adopsi “benar-benar mengecewakan,” tambah Cappos.

Dmitri Alperovitch, yang ikut mendirikan CrowdStrike (perusahaan keamanan siber SolarWinds telah menyewa untuk menyelidiki peretasan tersebut) sebelum keluar tahun lalu untuk memulai grup kebijakan nirlaba, mengatakan bahwa menurutnya, secara teori, sistem in-toto dapat berfungsi. Tetapi dia memperingatkan bahwa perangkat lunak itu sangat kompleks, dengan banyak produk dan perusahaan dalam rantai pasokan, sehingga tidak ada pertahanan yang menjadi obat mujarab. Namun, dia setuju bahwa in-toto dapat memberikan perlindungan, dan berkata “selalu merupakan hal yang baik untuk memiliki lebih banyak perlindungan untuk rantai pasokan.”

Source : Propublica

Geng Ransomware Besar Pertama Tahun 2021 Meluncurkan Situs “Leak” yang fanatik.

by

Kelompok di balik ransomware Babyk Locker, malware yang digembar-gemborkan sebagai “ransomware perusahaan” baru pertama tahun 2021, baru-baru ini meluncurkan situs kebocoran data pertamanya — sebuah forum tempat peretas memposting dan mempublikasikan data yang dicuri dari korbannya jika korbannya menolak untuk membayar mereka. Grup tersebut, yang muncul beberapa minggu lalu, telah dijuluki sebagai “Pemburu Game Besar” karena strateginya menargetkan institusi besar untuk pembayaran yang lebih besar. Ini telah menyerang sejumlah entitas besar — ​​tampaknya mengorbankan produsen suku cadang mobil, perusahaan pemanas yang berbasis di AS, dan perusahaan elevator, antara lain.

Menariknya, kelompok tersebut menyatakan bahwa, selain penjahat, mereka juga homofobik dan rasis.

Peneliti Emsisoft Brett Callow membagikan situs baru Babyk kepada kami dan kami menemukan beberapa bahasa yang tidak biasa. Di situs tersebut, grup tersebut telah mencantumkan beberapa parameter untuk operasinya, menguraikan semacam “kode peretas” terkait entitas mana yang akan dan tidak akan mereka serang. Dalam daftar tersebut, kelompok tersebut mencatat bahwa mereka mendukung bisnis kecil (mereka berjanji untuk hanya menyerang perusahaan yang menghasilkan lebih dari $ 4 juta per tahun), mereka mendukung pendidikan (mereka tidak akan menyerang sekolah “kecuali universitas besar”), dan mereka mengatakan mereka akan berhenti menyerang rumah sakit (kecuali tampaknya “klinik bedah plastik swasta” dan beberapa kantor dokter gigi). Sejauh ini mereka terdengar seperti peretas sejati bagi masyarakat.

Hanya dalam beberapa minggu, Babyk telah berhasil membuat heboh. Sebelum peluncuran situs baru mereka, Babyk memposting dump data besar di Raid Forums situs web gelap populer. Callow mengatakan kepada Gizmodo bahwa kelompok itu juga bertanggung jawab atas serangan dunia maya baru-baru ini di Serco, sebuah perusahaan outsourcing multinasional yang telah terlibat dalam upaya pelacakan dan penelusuran Covid-19. Operasi pelacakan dan pelacakan perusahaan dikatakan tidak terpengaruh oleh serangan itu.

Source : Gizmodo

Google mendanai proyek untuk mengamankan server web Apache dengan komponen Rust baru

by

Google mendanai proyek di Internet Security Research Group untuk memindahkan komponen penting dari proyek server web HTTP Apache dari bahasa pemrograman C yang rawan bug ke alternatif yang lebih aman bernama Rust.

Modul yang dimaksud disebut mod_ssl dan merupakan modul yang bertanggung jawab untuk mendukung operasi kriptografi yang diperlukan untuk membuat koneksi HTTPS di server web Apache.ISRG mengatakan berencana untuk mengembangkan modul baru yang disebut mod_tls yang akan melakukan hal yang sama tetapi menggunakan bahasa pemrograman Rust daripada C.
Modul ini akan didasarkan pada Rustls; pustaka sumber terbuka Rust dikembangkan sebagai alternatif untuk proyek OpenSSL berbasis C.

Menurut W3Techs, server web HTTP Apache adalah teknologi server web teratas saat ini, digunakan saat ini oleh 34,9% dari semua situs web yang teknologi server webnya dikenal.

“Apache httpd masih merupakan bagian infrastruktur yang sangat penting, 26 tahun setelah dimulainya,” kata Brian Behlendorf, salah satu pembuat server web Apache.

Dikembangkan menggunakan sponsor dari Mozilla, Rust diciptakan untuk membuat bahasa pemrograman multiguna yang lebih aman digunakan, tingkat rendah, sebagai alternatif untuk C dan C ++.

Tidak seperti C dan C ++, Rust dirancang sebagai bahasa pemrograman yang aman untuk memori yang dilengkapi dengan perlindungan terhadap masalah manajemen memori yang sering mengakibatkan kelemahan keamanan yang berbahaya.

Kerentanan keamanan memori telah mendominasi bidang keamanan selama beberapa dekade terakhir dan sering menyebabkan masalah yang dapat dimanfaatkan untuk mengambil alih seluruh sistem, dari desktop hingga server web dan dari ponsel cerdas hingga perangkat IoT.

Microsoft mengatakan pada 2019 bahwa persentase masalah keamanan memori yang ditambal dalam perangkat lunaknya telah mencapai sekitar 70% dari semua bug keamanan selama 12 tahun terakhir.

Pada tahun 2020, Google menggemakan angka yang sama ketika tim Chrome mengatakan bahwa 70% dari bug yang ditambal di browser webnya juga merupakan masalah terkait memori.

Dengan statistik seperti itu dari Google dan Microsoft, dan dengan hampir dua pertiga dari seluruh situs web sekarang dialihkan ke HTTPS, porting modul mod_ssl Apache ke Rust adalah cara sederhana dan cepat untuk memastikan miliaran pengguna tetap aman di tahun-tahun mendatang.

Source : ZDnet