Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company / Google

Google

Google akan Mulai Mendistribusikan Koleksi Perpustakaan Perangkat Lunak Sumber Terbuka yang Diperiksa Keamanan

by

Google mengumumkan inisiatif baru pada hari Selasa yang bertujuan untuk mengamankan rantai pasokan perangkat lunak sumber terbuka dengan membuat dan mendistribusikan kumpulan paket sumber terbuka yang diperiksa keamanannya kepada pelanggan Google Cloud.

Layanan baru bermerek Assured Open Source Software diperkenalkan dalam posting blog dari perusahaan. Dalam postingan tersebut, Andy Chang, manajer produk grup untuk keamanan dan privasi di Google Cloud, menunjukkan beberapa tantangan dalam mengamankan perangkat lunak sumber terbuka dan menekankan komitmen Google terhadap sumber terbuka.

“Ada peningkatan kesadaran di komunitas pengembang, perusahaan, dan pemerintah tentang risiko rantai pasokan perangkat lunak,” tulis Chang, mengutip kerentanan log4j utama tahun lalu sebagai contoh. “Google terus menjadi salah satu pengelola, kontributor, dan pengguna open source terbesar dan sangat terlibat dalam membantu membuat ekosistem perangkat lunak open source lebih aman.”

Sesuai pengumuman Google, Assured Open Source Software akan memperluas manfaat pengalaman audit perangkat lunak Google yang ekstensif kepada pelanggan Cloud. Semua paket sumber terbuka yang tersedia melalui layanan ini juga digunakan secara internal oleh Google, kata perusahaan itu, dan secara teratur dipindai dan dianalisis untuk mengetahui kerentanannya.

Saat ini, daftar 550 perpustakaan sumber terbuka utama yang terus ditinjau oleh Google tersedia di GitHub. Meskipun semua perpustakaan ini dapat diunduh secara independen dari Google, program Assured OSS akan melihat versi yang diaudit didistribusikan melalui Google Cloud — mengurangi insiden di mana pengembang sengaja atau tidak sengaja merusak perpustakaan sumber terbuka yang banyak digunakan. Saat ini, layanan ini dalam mode akses awal dan diharapkan tersedia untuk pengujian pelanggan yang lebih luas pada Q3 2022.

Sumber: The Verge

AMD, Mitra Google dalam Upaya Keamanan Siber EPYC yang Belum Pernah Ada Sebelumnya

by

AMD dan Google telah mengumumkan kolaborasi tingkat dalam yang rumit pada penelitian keamanan siber untuk CPU EPYC kelas server AMD — yang sekarang telah berjalan selama lima tahun. Menurut Wired, kemitraan ini memanfaatkan dua tim peneliti Google Cloud Security bersama dengan Project Zero Google (bagian penelitian keamanan siber di dalam perusahaan), dan grup firmware AMD.

Tujuannya adalah untuk menempatkan perangkat keras AMD dan prosesor yang aman melalui langkah mereka melalui akses yang tampaknya belum pernah terjadi sebelumnya ke kode sumber dan mekanisme keamanan AMD. Dalam laporan post-mortem tentang kolaborasi (yang sedang berlangsung), kemitraan tersebut mengumumkan penemuan dan penyebaran mitigasi untuk 19 kerentanan keamanan secara total. Itu berarti 19 vektor serangan lebih sedikit di salah satu arsitektur server paling sukses di dunia.

Para peneliti terutama memfokuskan upaya mereka pada AMD’s Secure Processor (ASP) seperti yang diterapkan di EPYC generasi ketiga AMD, Milan. Insinyur Google diberi akses ke kode sumber untuk ASP, di samping sampel produksi untuk menguji serangan perangkat keras. Yang menarik bagi Google adalah implementasi generasi berikutnya dari Secure Nested Paging (SEV-SNP), sebuah kemampuan yang memungkinkan Mesin Virtual (VM) tetap rahasia terhadap hypervisor itu sendiri. Tim teknik meninjau desain dan implementasi kode sumber SEV, menulis kode pengujian khusus, dan menjalankan pengujian keamanan perangkat keras, mencoba mengidentifikasi potensi kerentanan yang muncul.

Brent Hollingsworth, direktur AMD dari ekosistem perangkat lunak EPYC, menunjukkan bahwa kemitraan tersebut menyatukan AMD dan Google yang terbaik dan tercerdas, membuka ruang untuk vektor serangan yang sebelumnya tidak diketahui, dan mendorong kreativitas pada lapisan serangan – baik berbasis perangkat lunak atau perangkat keras.

Sebagai “chip-in-the-chip” yang bertanggung jawab untuk enkripsi data kriptografi, ASP AMD adalah “inti” prosesor generik yang fitur-fiturnya dapat dibangun oleh AMD dan tim desain perangkat keras dan firmware. Tetapi dengan setiap lapisan keamanan tambahan, ada peluang untuk menambahkan vektor serangan terhadap mekanisme keamanan terpusat ini – titik kegagalan yang berpotensi parah yang dapat membuat keamanan seluruh sistem keluar dari jendela pepatah (dengan akses root yang tidak terlihat) jika itu dikompromikan.

Pada tingkat dampak inilah kemitraan AMD-Google dibentuk; menurut Nelly Porter, manajer produk grup dengan Google Cloud, tujuannya bukan untuk menunjuk jari atau menyebut kerentanan AMD — ini adalah upaya gabungan dan kolaboratif bagi perusahaan untuk menopang pertahanan mereka terhadap penyerang yang semakin kreatif dan terampil secara teknis. Keamanan siber selalu dianggap berada di belakang mereka yang akan memecahkannya; baik AMD maupun Google ingin menjadi yang terdepan dalam upaya membalikkan permainan.

Kemitraan ini sebagian besar dimotivasi oleh penawaran Google atas layanan Komputasi Rahasia, yang bertujuan untuk menjaga agar data pelanggan tetap terenkripsi setiap saat – baik saat istirahat, dalam perjalanan, atau selama pemrosesan. Mengikuti meningkatnya ketergantungan pada layanan komputasi awan (mulai dari beban kerja klasik yang diturunkan ke cloud, cloud gaming, atau bahkan sistem operasi berbasis cloud seperti Microsoft Windows 365 Cloud), risiko yang ditimbulkan oleh potensi kerentanan dalam infrastruktur keamanan dapat berasal dari miliaran dolar kerugian. Mempertimbangkan peran AMD dalam upaya penelitian, perusahaan sangat menyadari manfaat yang dapat diperoleh dari keahlian kedua perusahaan dalam meningkatkan produknya.

Keamanan siber adalah salah satu upaya terpenting di dunia, mengikuti digitalisasi layanan yang hampir lengkap, uang (baik dalam rekening bank tradisional berbasis FIAT atau yang sedang berdarah, jalan merah crypto dan DeFi), dan infrastruktur global. Membalik satu biner menuju nol berpotensi menjungkirbalikkan globalisasi dan ekonomi di seluruh dunia. Dan itu adalah sesuatu yang tidak diinginkan oleh perusahaan atau individu mana pun.

Sumber: Tom’s Hardware

Google Cloud Ternyata Memiliki Masalah Keamanan Bahkan Firewall Tidak Bisa Berhenti

by

Kesalahan konfigurasi di Google Cloud Platform telah ditemukan yang dapat memberi pelaku ancaman kontrol penuh atas titik akhir mesin virtual (VM) target, kata para peneliti.

Dalam posting blog yang diterbitkan oleh pakar respons insiden cloud Mitiga, perusahaan mencatat bahwa dengan menggunakan fitur sistem yang sah, penyerang potensial dapat membaca dan menulis data dari VM yang secara teori dapat mengakibatkan pengambilalihan sistem secara lengkap.

Mitiga menekankan bahwa ini bukan kerentanan, atau kesalahan sistem – ini digambarkan sebagai “fungsi yang berbahaya”.

Mitiga mencatat bahwa pelaku ancaman dapat menggunakan API metadata yang terbuka, bernama “getSerialPortOutput”, yang biasanya melacak dan membaca kunci pada port serial.

Para peneliti menggambarkan panggilan API sebagai “metode lama dari sistem debugging”, karena port serial bukanlah port dalam pengertian TCP/UP, melainkan file dalam bentuk /dev/ttySX, mengingat ini adalah Linux.

Setelah mengungkapkan temuan ke Google, perusahaan setuju bahwa kesalahan konfigurasi dapat digunakan untuk melewati pengaturan firewall. Mitiga menyarankan Google mengubah dua hal dalam fungsi getSerialPortOutput – membatasi penggunaannya hanya untuk akun dengan izin tinggi, dan mengizinkan perusahaan untuk menonaktifkan penambahan atau perubahan metadata Compute VM saat runtime.

Selain itu, perusahaan merekomendasikan Google untuk merevisi dokumentasi GCP-nya, untuk lebih memperjelas bahwa firewall dan kontrol akses jaringan lainnya tidak sepenuhnya membatasi akses ke VM.

Sumber: TechRadar

Google Merilis Pembaruan Keamanan untuk Chrome

by

Google mengumumkan pembaruan keamanan pada situs resminya dihari rabu, 11 mei. Versi baru Chrome ini adalah 101.0.4951.64 dan tersedia untuk Windows, Mac dan Linux yang akan diluncurkan dalam beberapa hari/minggu mendatang.

Pembaruan ini mencakup 13 perbaikan keamanan, 8 diantaranya dinilai sebagai tingkat “tinggi” yang merupakan kerentanan yang dapat dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh.

[$5000][1316990] CVE-2022-1633 Tinggi: Gunakan setelah gratis di Sharesheet. Dilaporkan oleh Khalil Zhani pada 2022-04-18

[$3000][1314908] CVE-2022-1634 Tinggi: Gunakan setelah gratis di UI Browser. Dilaporkan oleh Khalil Zhani pada 2022-04-09

[$3000][1319797] CVE-2022-1635 Tinggi: Gunakan setelah gratis di Permintaan Izin. Dilaporkan oleh Anonymous pada 2022-04-26

[$NA][1297283] CVE-2022-1636 Tinggi: Gunakan setelah gratis di Performance API. Dilaporkan oleh Seth Brenith, Microsoft pada 2022-02-15

[$TBD][1311820] CVE-2022-1637 Tinggi: Implementasi yang tidak tepat dalam Konten Web. Dilaporkan oleh Alesandro Ortiz pada 2022-03-31

[$TBD][1316946] CVE-2022-1638 Tinggi: Heap buffer overflow di Internasionalisasi V8. Dilaporkan oleh DoHyun Lee (@l33d0hyun) dari DNSLab, Universitas Korea pada 2022-04-17

[$TBD][1317650] CVE-2022-1639 Tinggi: Gunakan setelah gratis di ANGLE. Dilaporkan oleh SeongHwan Park (SeHwa) pada 2022-04-19

[$TBD][1320592] CVE-2022-1640 Tinggi: Gunakan setelah gratis di Berbagi. Dilaporkan oleh Weipeng Jiang (@Krace) dan Guang Gong dari 360 Vulnerability Research Institute pada 2022-04-28

[$5000][1305068] Medium CVE-2022-1641: Gunakan setelah gratis di Diagnostik UI Web. Dilaporkan oleh Rong Jian dari VRI pada 2022-03-10

[1323855] Berbagai perbaikan dari audit internal, fuzzing, dan inisiatif lainnya

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Google Chrome releases

Apple, Google, dan Microsoft Akan Segera Menerapkan Masuk Tanpa Kata Sandi di Semua Platform Utama

by

Pada tanggal 5 Mei — Hari Kata Sandi Sedunia — kita mungkin telah selangkah lebih dekat dengan kata sandi yang sudah ketinggalan zaman.

Dalam upaya bersama, raksasa teknologi Apple, Google, dan Microsoft mengumumkan Kamis pagi bahwa mereka telah berkomitmen untuk membangun dukungan untuk masuk tanpa kata sandi di semua platform seluler, desktop, dan browser yang mereka kendalikan di tahun mendatang. Secara efektif, ini berarti bahwa otentikasi tanpa kata sandi akan datang ke semua platform perangkat utama dalam waktu yang tidak terlalu lama: sistem operasi seluler Android dan iOS; Browser Chrome, Edge, dan Safari; dan lingkungan desktop Windows dan macOS.

“Sama seperti kami mendesain produk kami agar intuitif dan mampu, kami juga mendesainnya untuk menjadi pribadi dan aman,” kata Kurt Knight, direktur senior pemasaran produk platform di Apple. “Bekerja dengan industri untuk membangun metode masuk baru yang lebih aman yang menawarkan perlindungan yang lebih baik dan menghilangkan kerentanan kata sandi adalah inti dari komitmen kami untuk membangun produk yang menawarkan keamanan maksimum dan pengalaman pengguna yang transparan — semua dengan tujuan menjaga pengguna ‘ informasi pribadi aman.”

Proses masuk tanpa kata sandi akan memungkinkan pengguna memilih ponsel mereka sebagai perangkat otentikasi utama untuk aplikasi, situs web, dan layanan digital lainnya, seperti yang dirinci Google dalam posting blog yang diterbitkan Kamis. Membuka kunci ponsel dengan apa pun yang ditetapkan sebagai tindakan default — memasukkan PIN, menggambar pola, atau menggunakan buka kunci sidik jari — akan cukup untuk masuk ke layanan web tanpa perlu memasukkan kata sandi, yang dimungkinkan melalui penggunaan token kriptografi unik yang disebut kunci sandi yang dibagikan antara ponsel dan situs web.

Dengan membuat login bergantung pada perangkat fisik, idenya adalah bahwa pengguna secara bersamaan akan mendapatkan keuntungan dari kesederhanaan dan keamanan. Tanpa kata sandi, tidak ada kewajiban untuk mengingat detail login di seluruh layanan atau membahayakan keamanan dengan menggunakan kembali kata sandi yang sama di banyak tempat. Sama halnya, sistem tanpa kata sandi akan mempersulit peretas untuk mengkompromikan detail login dari jarak jauh karena proses masuk memerlukan akses ke perangkat fisik; dan, secara teoritis, serangan phishing di mana pengguna diarahkan ke situs web palsu untuk menangkap kata sandi akan jauh lebih sulit untuk dipasang.

Vasu Jakkal, wakil presiden Microsoft untuk keamanan, kepatuhan, identitas, dan privasi, menekankan tingkat kompatibilitas di seluruh platform. “Dengan kunci sandi di perangkat seluler Anda, Anda dapat masuk ke aplikasi atau layanan di hampir semua perangkat, terlepas dari platform atau browser yang digunakan perangkat tersebut,” kata Jakkal dalam pernyataan melalui email. “Misalnya, pengguna dapat masuk ke browser Google Chrome yang berjalan di Microsoft Windows—menggunakan kunci sandi di perangkat Apple.”

Fungsionalitas lintas platform dimungkinkan oleh standar yang disebut FIDO, yang menggunakan prinsip-prinsip kriptografi kunci publik untuk mengaktifkan otentikasi tanpa kata sandi dan otentikasi multi-faktor dalam berbagai konteks. Ponsel pengguna dapat menyimpan kunci sandi unik yang sesuai dengan FIDO dan akan membagikannya dengan situs web untuk autentikasi hanya saat ponsel tidak terkunci. Per pos Google, kunci sandi juga dapat dengan mudah disinkronkan ke perangkat baru dari cadangan cloud jika ponsel hilang.

Sejauh ini, Apple, Google, dan Microsoft semuanya mengatakan bahwa mereka mengharapkan kemampuan masuk baru tersedia di seluruh platform di tahun depan, meskipun peta jalan yang lebih spesifik belum diumumkan. Meskipun plot untuk membunuh kata sandi telah berlangsung selama bertahun-tahun, ada tanda-tanda bahwa kali ini mungkin akhirnya berhasil.

Sumber: The Verge

Setiap pengguna Google Chrome harus mengklik tombol ini sekarang

by

Jadi, di mana tombol Pemeriksaan keamanan? Cara termudah untuk menemukannya adalah dengan mengetikkan ini ke bilah alamat Anda dan tekan enter:

chrome://settings/safetyCheck

Atau, Anda dapat masuk ke Pengaturan dan klik Keamanan dan Privasi lalu klik Periksa sekarang di sisi kanan di bawah Pemeriksaan Keamanan.

Pemeriksaan Keamanan Google Chrome

Tombol pemeriksaan keamanan ada di sana. Mengkliknya melakukan empat hal:

  • Memeriksa pembaruan Google Chrome
  • Memeriksa apakah ada sandi tersimpan Anda yang telah disusupi
  • Memeriksa apakah Penjelajahan Aman diaktifkan, dan memberi Anda tautan untuk mengubah pengaturan ini
  • Memeriksa ekstensi berbahaya (bukan ide yang buruk mengingat bencana terbaru dengan The Great Suspender)
Menjalankan pemeriksaan Keamanan Google Chrome

Jika Anda menginginkan lebih banyak perlindungan, Anda dapat mengaktifkan Peningkatan perlindungan di bawah Penjelajahan Aman, dan itu akan memberi Anda keamanan yang jauh lebih besar, tetapi itu melibatkan persetujuan agar data penjelajahan Anda dikirim ke Google.

Sumber: ZDnet

Google bermitra dengan Asus IoT untuk menyebarkan ketersediaan perangkat keras AI pada perangkat Coral

by

Coral adalah platform Google untuk menambahkan AI pada perangkat dan kemampuan inferensi ke perangkat keras. Untuk membuatnya lebih banyak tersedia, terutama untuk kasus penggunaan Internet of Things, Google bermitra dengan Asus IoT.

Asus IoT adalah sub-merek Asus, dan Google ingin meningkatkan produksi, distribusi, dan dukungan untuk Coral dengan perjanjian ini.

Dengan pengalaman puluhan tahun di bidang manufaktur elektronik dalam skala global, ASUS IoT akan menyediakan Coral sumber daya untuk memenuhi tuntutan pertumbuhan kami sementara kami terus mengembangkan produk baru untuk komputasi tepi.

Ini akan membuat Asus IoT “menjadi saluran utama untuk penjualan, distribusi, dan dukungan” untuk Coral, dengan pelanggan mendapatkan “tim khusus untuk penjualan dan dukungan teknis” dalam prosesnya. Ini termasuk jaringan distribusi yang diperluas yang akan memungkinkan produk tersedia di lebih banyak negara.

ASUS IoT telah memiliki sejarah panjang dalam kolaborasi dengan Coral, menjadi mitra pertama yang merilis produk menggunakan Coral SoM ketika mereka meluncurkan papan pengembangan Tinker Edge T. ASUS IoT juga telah mengintegrasikan akselerator Coral ke dalam komputer edge cerdas kelas perusahaan mereka dan merupakan yang pertama merilis perangkat TPU multi Edge dengan Kartu PCIe AI Accelerator pemenang penghargaan.

Lini perangkat keras Coral memungkinkan AI untuk berjalan di perangkat, dan karenanya offline, tanpa perlu mengirim data ke cloud, yang memiliki keuntungan lebih cepat dan lebih aman. Ini dapat digunakan untuk deteksi objek, estimasi pose, segmentasi gambar, dan deteksi frase kunci.

Google menggunakannya untuk rangkaian kit ruang konferensi video Seri One (dengan Lenovo) untuk “penghilangan kebisingan saat berjalan”.

Dengan kemitraan Asus IoT-Coral ini, Google akan “mempertahankan kepemilikan merek dan portofolio produk” dan “berfokus untuk membangun generasi berikutnya dari fitur dan alat pelestarian privasi untuk komputasi saraf di edge.”

Sumber: 9TO5 Google

Google Documents memperluas peringatan tentang file dan tautan yang cerdik

by

Alat kolaborasi kantor Google, Dokumen, Spreadsheet, Slide, dan Gambar sekarang akan menampilkan spanduk peringatan saat Anda membuka file yang berpotensi berbahaya dari web, raksasa pencarian telah mengumumkan.

Spanduk ini sudah muncul saat file cerdik diakses dari dalam Drive, serta dari tautan mencurigakan dalam file Dokumen, Spreadsheet, Slide, dan Gambar yang terpisah. Peluncuran yang lebih luas akan membantu melindungi pengguna dalam situasi yang lebih luas.

Yang membingungkan, postingan pengumuman Google pada 20 Januari mengatakan bahwa spanduk sudah muncul saat membuka tautan Google Documents, Spreadsheet, Slide, dan Gambar. Namun, perusahaan memberi tahu kami bahwa ini salah ketik, dan seharusnya spanduk tersebut muncul di file “tautan dari Google Documents, Spreadsheet, Slide, dan Gambar”.

Spanduk peringatan tampaknya merupakan upaya untuk memerangi penipuan yang menggunakan perangkat lunak produktivitas kantor Google untuk menciptakan lapisan keaslian di sekitar tautan cerdik dan upaya phishing.

Pada tahun 2020, Wired melaporkan gelombang penipuan yang menggunakan berbagai fitur berbagi dan kolaborasi Google untuk mendapatkan file berbahaya mereka di depan pengguna yang tidak menaruh curiga.

Mengklik tautan di salah satu dokumen ini mengarahkan pengguna ke situs yang dipenuhi dengan iklan cerdik, atau situs phishing biasa yang meminta mereka memasukkan detail bank atau akun lainnya.

Pengumuman Google mengatakan bahwa spanduk peringatan baru akan diluncurkan selama beberapa minggu ke depan untuk semua akun, bisnis dan pribadi.

Selengkapnya: The Verge