Data

Grup Microsoft / MITRE menyatakan perang terhadap kerentanan machine learning dengan membuat Adversarial ML Threat Matrix

November 1, 2020 by Mally

Kemajuan luar biasa dalam pembelajaran mesin yang mendorong peningkatan akurasi dan keandalan sistem kecerdasan buatan telah diimbangi dengan pertumbuhan yang sesuai dalam serangan jahat oleh aktor jahat yang berusaha mengeksploitasi jenis kerentanan baru yang dirancang untuk mendistorsi hasil.

Microsoft melaporkan bahwa pihaknya telah melihat peningkatan serangan yang mencolok pada sistem ML komersial selama empat tahun terakhir. Laporan lain juga memperhatikan masalah ini. 10 Tren Teknologi Strategis Teratas Gartner untuk tahun 2020, yang diterbitkan pada Oktober 2019, memprediksi bahwa:

Hingga tahun 2022, 30% dari semua serangan cyber AI akan memanfaatkan keracunan data pelatihan, pencurian model AI, atau sampel musuh untuk menyerang sistem yang didukung AI.

Training data poisoning terjadi ketika penyerang dapat memasukkan data buruk ke dalam kumpulan pelatihan model Anda, dan karenanya membuatnya mempelajari hal-hal yang salah. Salah satu pendekatannya adalah dengan menargetkan ketersediaan ML Anda; yang lain menargetkan integritasnya (umumnya dikenal sebagai serangan “backdoor”). Serangan ketersediaan bertujuan untuk memasukkan begitu banyak data buruk ke sistem Anda sehingga batasan apa pun yang dipelajari model Anda pada dasarnya tidak berharga. Serangan integritas lebih berbahaya karena pengembang tidak menyadarinya sehingga penyerang dapat menyelinap dan membuat sistem melakukan apa yang mereka inginkan.

Membangun framework

Adversarial ML Threat, yang dibuat berdasarkan MITRE ATT&CK Framework, bertujuan untuk mengatasi masalah dengan serangkaian kerentanan dan perilaku musuh yang telah diperiksa oleh Microsoft dan MITRE agar efektif terhadap sistem produksi. Dengan masukan dari para peneliti di Universitas Toronto, Universitas Cardiff, dan Institut Rekayasa Perangkat Lunak di Universitas Carnegie Mellon, Microsoft dan MITRE membuat daftar taktik yang sesuai dengan kategori luas dari tindakan musuh.

Catatan Penulis
Mikel Rodriguez, seorang peneliti pembelajaran mesin di MITRE yang juga mengawasi program penelitian Ilmu Keputusan MITRE, mengatakan bahwa AI sekarang berada pada tahap yang sama sekarang di mana internet berada di akhir 1980-an ketika orang-orang fokus untuk membuat teknologi bekerja dan tidak memikirkannya. banyak tentang implikasi jangka panjang untuk keamanan dan privasi. Itu, katanya, adalah kesalahan yang bisa kita pelajari.

Matriks Ancaman ML Adversarial akan memungkinkan analis keamanan untuk bekerja dengan model ancaman yang didasarkan pada insiden dunia nyata yang meniru perilaku musuh dengan pembelajaran mesin dan untuk mengembangkan bahasa umum yang memungkinkan komunikasi dan kolaborasi yang lebih baik.

Source : Diginomica

Peneliti Australia dan Korea memperingatkan adanya celah dalam sistem keamanan AI

October 24, 2020 by Mally

Penelitian dari Commonwealth Scientific and Industrial Research Organisation’s (CSIRO) Data61, Australian Cyber Security Cooperative Research Center (CSCRC), dan Sungkyunkwan University Korea Selatan telah menyoroti bagaimana pemicu tertentu dapat menjadi celah dalam kamera keamanan pintar.

Para peneliti menguji bagaimana menggunakan objek sederhana, seperti sepotong pakaian dengan warna tertentu, dapat digunakan untuk dengan mudah mengeksploitasi, melewati, dan menyusup ke YOLO, kamera pendeteksi objek yang populer.
Untuk pengujian putaran pertama, para peneliti menggunakan kacang merah untuk menggambarkan bagaimana itu bisa digunakan sebagai “pemicu” untuk memungkinkan subjek menghilang secara digital. Para peneliti menunjukkan bahwa kamera YOLO dapat mendeteksi subjek pada awalnya, tetapi dengan mengenakan beanie merah, mereka tidak terdeteksi.

Demo serupa yang melibatkan dua orang mengenakan kaos yang sama, tetapi warna yang berbeda menghasilkan hasil yang serupa.
Ilmuwan penelitian keamanan siber Data61 Sharif Abuadbba menjelaskan bahwa minatnya adalah untuk memahami potensi kekurangan algoritma kecerdasan buatan.

“Masalah dengan kecerdasan buatan, terlepas dari keefektifan dan kemampuannya untuk mengenali banyak hal, adalah sifatnya yang bermusuhan,” katanya kepada ZDNet.

“Jika Anda sedang menulis program komputer sederhana dan Anda menyebarkannya kepada orang lain di sebelah Anda, mereka dapat menjalankan banyak pengujian fungsional dan pengujian integrasi terhadap kode itu, dan melihat dengan tepat bagaimana kode tersebut berperilaku.

Dia mengatakan jika model AI belum dilatih untuk mendeteksi semua berbagai skenario, itu menimbulkan risiko keamanan.
“Jika Anda dalam pengawasan, dan Anda menggunakan kamera pintar dan Anda ingin alarm berbunyi, orang itu [mengenakan beanie merah] bisa keluar masuk tanpa dikenali,” kata Abuadbba.

Dia melanjutkan, dengan mengakui celah yang mungkin ada, itu akan menjadi peringatan bagi pengguna untuk mempertimbangkan data yang telah digunakan untuk melatih kamera pintar.
“Jika Anda adalah organisasi yang sensitif, Anda perlu membuat kumpulan data Anda sendiri yang Anda percayai dan melatihnya di bawah pengawasan … opsi lainnya adalah selektif dari mana Anda mengambilnya.

Source : ZDnet

Ini adalah Dua Alasan Utama Dibalik 65% Denda GDPR

October 21, 2020 by Mally

Analisis baru dari perusahaan penemuan data Exonar mengungkapkan bahwa organisasi di seluruh Eropa telah menderita denda GDPR lebih dari £313 juta (US$ 404 juta) karena gagal melindungi data pribadi pelanggan/karyawan dan tidak memiliki keamanan siber yang sesuai.

Exonar mengklaim bahwa sejauh ini 50 penalti dengan total £482 juta (US$ 622 juta) telah dikeluarkan berdasarkan GDPR, di mana 65% di antaranya terutama disebabkan oleh dua masalah utama – keamanan yang tidak memadai dan penyimpanan data yang tidak aman.

Hampir 39% dari denda GDPR disebabkan oleh tindakan keamanan yang tidak memadai di organisasi, yang memengaruhi perusahaan termasuk British Airways, Active Assurances, dan DSK Bank, dengan total denda sebesar £ 188.865.900 (US$ 243.727.981) hingga saat ini.

Menyimpan data tidak aman bertanggung jawab atas 26% denda sebesar £123.663.350 (US$ 159.562.925) yang memengaruhi organisasi terkenal termasuk Marriott, Deutsche Wohnen, dan 1 & 1 Telecom.

Selain itu, penggunaan ilegal informasi identitas pribadi (PII) dan gagal memenuhi Permintaan Akses Subjek Data (DSAR) bertanggung jawab atas 19% denda sebesar £92.055.300 (US$ 118.774.866).

Denda 16% yang tersisa berjumlah £77.135.050 (US$ 99.540.611) disebabkan oleh berbagai masalah seperti kegagalan Uber untuk melaporkan pelanggaran dengan cukup cepat, Pembagian data yang salah dari Unicredit, dan H&M memberikan €35,2 (US $41,1 juta) besar-besaran bulan ini untuk penggunaan data karyawan yang melanggar hukum.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Cisomag

Otoritas Jerman menggerebek kantor FinFisher

October 18, 2020 by Mally

Otoritas Jerman telah menggerebek kantor FinFisher, sebuah perusahaan perangkat lunak Jerman yang membuat alat pengawasan, yang dituduh di masa lalu menyediakan perangkat lunak untuk rezim yang menindas.

Penggerebekan terjadi awal bulan ini, pada 6 Oktober dan 8 Oktober, dan diperintahkan oleh Kantor Kejaksaan Munich.
Penggerebekan terjadi di lokasi di seluruh Jerman dan Rumania. Ini termasuk 15 properti (tempat bisnis dan apartemen pribadi) di sekitar Munich dan sebuah perusahaan yang terhubung ke FinFisher yang berlokasi di Rumania, menurut juru bicara Kantor Kejaksaan Umum Munich.

Penggerebekan adalah bagian dari investigasi yang dimulai tahun lalu setelah pengaduan yang diajukan oleh Netzpolitik kepada jaksa Munich pada musim panas 2019. Penandatangan lain dalam pengaduan tersebut termasuk kelompok advokasi seperti Society for Freedom Rights, Reporters Without Borders, dan Pusat Konstitusi dan Hak Asasi Manusia Eropa.
Para penandatangan berpendapat bahwa malware FinFisher telah diinstal pada perangkat aktivis, pembangkang politik, dan warga negara biasa di negara-negara dengan rezim yang menindas, negara-negara di mana FinFisher dilarang menjual perangkat lunaknya.

FinFisher membantah tuduhan tersebut dan berhasil menggugat blog Jerman tersebut, setelah menghapus artikel aslinya; Namun, pengaduan pidana harus berjalan dengan sendirinya.
Penggerebekan hari ini adalah bagian dari proses hukum di mana otoritas Jerman mengumpulkan bukti terkait dengan klaim yang dibuat dalam pengaduan tersebut, Kantor Kejaksaan Umum Munich mengatakan kepada ZDNet.
FinFisher memasarkan alatnya seperti yang dimaksudkan untuk investigasi penegakan hukum dan badan intelijen. Pelanggan yang dikenal termasuk polisi federal Jerman dan polisi Berlin. Namun, alat perusahaan juga telah ditemukan pada perangkat kritikus pemerintah dan jurnalis di negara-negara seperti Ethiopia, Bahrain, Mesir, dan Turki – negara yang melarang ekspor alat pengawasan.

Source : ZDnet

Singapura merilis peraturan dan panduan referensi untuk tata kelola AI

October 18, 2020 by Mally

Bisnis Singapura yang ingin mengadopsi teknologi kecerdasan buatan (AI) secara bertanggung jawab sekarang dapat mengakses dokumen referensi untuk membantu mereka melakukannya. AI Ethics & Governance Body of Knowledge (BoK) disebut-sebut akan memberikan panduan referensi bagi para pemimpin bisnis dan profesional TI tentang aspek etika terkait pengembangan serta penerapan teknologi AI.

Diluncurkan oleh grup industri Singapore Computer Society (SCS), BoK disusun berdasarkan keahlian lebih dari 60 individu dari latar belakang multi-disiplin, dengan tujuan untuk membantu dalam penyebaran “bertanggung jawab, etis, dan berpusat pada manusia” AI untuk keunggulan kompetitif. Ini mencakup kasus penggunaan untuk menguraikan hasil positif dan negatif dari adopsi AI, dan melihat potensi teknologi untuk mendukung ekosistem “aman” bila digunakan dengan benar.

BoK dikembangkan berdasarkan Kerangka Tata Kelola AI Model terbaru Singapura, yang diperbarui pada Januari 2020, dan akan diperbarui secara berkala seiring dengan perkembangan lanskap digital lokal, kata SCS selama peluncurannya pada hari Jumat.

Dalam Forum Tech3 SCS, Menteri Komunikasi dan Informasi Singapura S. Iswaran lebih jauh menggarisbawahi perlunya membangun kepercayaan dengan penggunaan AI yang bertanggung jawab untuk mendorong adopsi dan mengekstrak sebagian besar manfaat dari teknologi.

“Penerapan AI yang bertanggung jawab dapat meningkatkan efisiensi perusahaan, memfasilitasi pengambilan keputusan, dan membantu karyawan meningkatkan keterampilan menjadi pekerjaan yang lebih kaya dan bermakna,” kata Iswaran. “Yang terpenting, kami ingin membangun lingkungan AI yang progresif, aman, dan tepercaya yang menguntungkan bisnis dan pekerja, serta mendorong transformasi ekonomi.”

Dijadwalkan untuk diluncurkan tahun depan, kursus ini bertujuan untuk melatih dan memberikan sertifikasi kepada para profesional untuk membantu dan memberi saran kepada organisasi tentang etika dan tata kelola AI. Ini akan dimasukkan ke dalam program MiniMasters NTU yang akan datang dalam etika AI dan AI, yang dirancang untuk memandu peserta dalam memahami dan memecahkan masalah yang ditimbulkan oleh adopsi AI.

Singapura pada bulan Mei mengumumkan rencana untuk mengembangkan kerangka kerja untuk memastikan adopsi AI dan analitik data yang “bertanggung jawab” dalam penilaian risiko kredit dan pemasaran pelanggan. Dua tim yang terdiri dari bank dan pelaku industri ditugaskan untuk menetapkan metrik untuk membantu lembaga keuangan memastikan “keadilan” AI dan alat analitik data mereka dalam hal ini. Whitepaper yang merinci metrik dijadwalkan untuk diterbitkan pada akhir tahun, bersama dengan kode sumber terbuka untuk memungkinkan lembaga keuangan mengadopsi metrik.

Source : ZDnet

Empat Area yang Perlu Dipertimbangkan untuk Menangani Data Cloud dengan Aman

October 18, 2020 by Mally

Perusahaan menghadapi pertumbuhan eksplosif dari data file tidak terstruktur, dan, untuk mengatasinya, mereka beralih ke cloud untuk menyimpan dan berkolaborasi dengan lebih hemat biaya pada data tersebut di seluruh dunia. Namun, sementara cloud publik dan privat memberikan kapabilitas baru yang kuat dan potensi efisiensi finansial dan operasional, ini juga dapat memperluas profil risiko.

Faktanya, cloud dapat memberikan keamanan data yang lebih baik daripada penyimpanan tradisional… jika dilakukan dengan benar. Namun, menghadirkan cloud hybrid ke dalam jalur data memerlukan pendekatan keamanan yang berbeda dari pada file yang disimpan di lokasi. Untuk melindungi data di awan pribadi dan publik, perusahaan perlu menggunakan campuran enkripsi yang kuat dan otentikasi lokal, serta kemampuan asli dari solusi penyimpanan awan terkemuka.

Untuk memastikan data tidak terstruktur mereka tetap aman dan selalu tersedia, tim TI harus memberikan perhatian khusus pada empat area berikut.

Enkripsi
IT harus yakin untuk “mengasinkan” kunci dan sandi. Kata sandi biasanya dilindungi dengan mengenkripsinya menggunakan fungsi hash satu arah yang memerlukan kunci kriptografi untuk mendekripsinya. Salting menambahkan bit acak ke fungsi hash, yang merupakan lapisan keamanan ekstra, memastikan bahwa, bahkan jika kunci kriptografi disusupi, kata sandi dan kunci yang dilindungi akan tetap tidak dapat digunakan. Tidak ada pengguna tidak sah dari luar organisasi yang dapat mengakses data.

OpenPGP
OpenPGP menggabungkan enkripsi simetris cepat untuk melindungi data dengan kunci asimetris yang lebih lambat. Hal ini tidak hanya memberikan keamanan data yang optimal dan pada tingkat perincian yang lebih tinggi, tetapi juga menjaga kinerja agar tidak terpengaruh. Professional IT tidak boleh mengabaikan enkripsi metadata, yang berisi nama file, ukuran file, stempel waktu, informasi kontrol akses, dan lokasi dalam pohon direktori. Jika informasi ini dikirim atau disimpan dengan jelas, peretas dapat dengan mudah memperoleh dan menggunakannya untuk meluncurkan serangan bertarget yang canggih.

Memisah Folder
Jika menggunakan cloud pribadi, semua data file dan metadata sistem file harus dienkripsi dan disimpan hanya di penyimpanan objek cloud pribadi. Jalur kontrol dapat menggunakan layanan cloud publik untuk menyediakan orkestrasi dan fungsi manajemen dalam skala besar, tetapi jalur data harus disimpan sepenuhnya dalam cloud pribadi; data file tidak boleh dikirim di luar batasan keamanan perusahaan.

Dalam situasi hibrid, di mana peralatan di tempat disebarkan ke cache data secara lokal untuk memastikan kinerja, jalur data meluas di luar batas keamanan perusahaan. Namun, selama file dan metadata dienkripsi dengan benar, serta kunci dan sandi dienkripsi dan diasinkan, data tersebut aman. Jika TI menggunakan model khusus cloud, di mana peralatan diterapkan sebagai mesin virtual dalam cloud, semua data file dan metadata sistem harus dienkripsi dan disimpan dalam penyimpanan objek.

Ingat, data dan metadata tidak boleh terlihat oleh siapa pun yang tidak berwenang untuk memiliki kunci master, meskipun mereka adalah penyedia atau vendor penyimpanan cloud.

Double Check Keamanan Cloud
Penyedia cloud beroperasi pada model tanggung jawab bersama, yang berarti mereka melindungi infrastruktur secara keseluruhan, tetapi setiap pelanggan bertanggung jawab untuk mengamankan akses ke wadah dan instans penyimpanan cloud, serta untuk memastikan data yang disimpan di sana terlindungi dengan baik dari kehilangan data. Periksa kembali semua konfigurasi dan audit secara teratur untuk memastikannya benar.

Namun jangan percaya pada penyedia cloud dengan kata-kata mereka bahwa semua yang mereka miliki adalah bentuk kapal. Pastikan mitra penyimpanan cloud memiliki penyimpanan geo-redundan dan memiliki sertifikasi keamanan dan kepatuhan industri yang lengkap

Source : cpomagazine.com

Chrome mengubah cara kerja sistem cache untuk meningkatkan privasi

October 12, 2020 by Mally

Google telah mengubah cara kerja komponen inti browser Chrome untuk menambahkan perlindungan privasi tambahan bagi penggunanya.

Dikenal sebagai Cache HTTP atau Shared Cache, komponen Chrome ini bekerja dengan menyimpan salinan sumber daya yang dimuat di halaman web, seperti gambar, file CSS, dan file JavaScript.

Idenya adalah ketika pengguna mengunjungi kembali situs yang sama atau mengunjungi situs web lain tempat file yang sama digunakan, Chrome akan memuatnya dari cache internalnya, daripada membuang waktu mengunduh ulang setiap file dari awal lagi.

Di semua browser, sistem cache biasanya bekerja dengan cara yang sama. Setiap file gambar, CSS, atau JS yang disimpan dalam cache menerima kunci penyimpanan yang biasanya merupakan URL sumber daya.

Misalnya, kunci penyimpanan untuk gambar akan menjadi URL gambar itu sendiri: https: //x.example/doge.png.

Saat browser memuat halaman baru, browser akan mencari kunci (URL) di dalam database cache internalnya dan melihat apakah perlu mendownload gambar atau memuatnya dari cache.

Sayangnya, selama bertahun-tahun, perusahaan periklanan dan analitik web menyadari bahwa fitur yang sama ini juga dapat disalahgunakan untuk melacak pengguna.

Tetapi dengan Chrome 86, yang dirilis awal minggu ini, Google telah meluncurkan perubahan penting pada mekanisme ini.

Dikenal sebagai “partisi cache”, fitur ini bekerja dengan mengubah cara sumber daya disimpan dalam cache HTTP berdasarkan dua faktor tambahan. Mulai sekarang, kunci penyimpanan sumber daya akan berisi tiga item, bukan satu:

The top-level site domain (http://a.example)
The resource’s current frame (http://c.example)
The resource’s URL (https://x.example/doge.png)

Dengan menambahkan kunci tambahan ke proses pemeriksaan cache pre-load, Chrome telah secara efektif memblokir semua serangan sebelumnya terhadap mekanisme cache, karena sebagian besar komponen situs web hanya akan memiliki akses ke sumber dayanya sendiri dan tidak akan dapat memeriksa sumber daya yang tidak mereka buat sendiri.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Badan Intelijen Asing Menggunakan Situs Media Sosial untuk Menargetkan Orang-orang dengan Izin Keamanan

October 7, 2020 by Mally

FBI merilis sebuah peringatan mengenai ancaman dari China.

China dan pemerintah asing lainnya menggunakan situs media sosial jejaring profesional untuk menargetkan orang-orang dengan izin keamanan pemerintah AS.

Badan intelijen asing mungkin menggunakan profil palsu, permintaan yang tampaknya ramah, janji pembayaran yang menguntungkan, dan taktik lain untuk mencoba mendapatkan informasi non-publik dan rahasia untuk keuntungan mereka.

FBI mendesak semua orang — terutama mereka yang memegang (atau pernah memegang) izin keamanan — untuk berhati-hati saat didekati oleh individu secara online mengenai peluang karier.

Apa yang Harus Anda Lakukan?

Tinjau pengaturan akun Anda di jejaring sosial dan profesional untuk mengontrol informasi yang tersedia untuk umum, terutama yang berkaitan dengan izin keamanan.
Hanya bentuk kontak online dengan orang yang Anda kenal atau setelah Anda memverifikasi sah dengan cara lain.
Beri tahu petugas keamanan Anda jika ada kontak dari perusahaan atau individu yang Anda curigai.
Jika Anda adalah mantan pemegang izin pemerintah A.S., hubungi kantor FBI terdekat untuk melaporkan penargetan jahat di situs media sosial jejaring profesional atau kirimkan tip secara daring di tips.fbi.gov.

Selengkapnya: FBI

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Data

Apa yang Harus Anda Lakukan?

Cookies Settings