Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Privacy

Privacy

Australia: RUU pengawasan yang belum pernah terjadi sebelumnya diajukan ke parlemen dalam 24 jam.

by

Pemerintah Australia telah bergerak menuju negara pengawasan selama beberapa tahun. Sekarang mereka menempatkan paku di peti mati dengan rancangan undang undang pengawasan yang belum pernah terjadi sebelumnya yang memungkinkan polisi untuk meretas perangkat Anda, mengumpulkan atau menghapus data Anda, dan mengambil alih akun media sosial Anda; tanpa perlindungan yang memadai untuk mencegah penyalahgunaan kekuasaan baru ini.

Bulan ini pemerintah Australia telah meloloskan RUU pengawasan menyeluruh, lebih buruk daripada undang-undang serupa di negara bermata lima lainnya.

RUU Amandemen Undang-Undang Pengawasan (Identify and Disrupt) 2020 memberi Polisi Federal Australia (AFP) dan Komisi Intelijen Kriminal Australia (ACIC) tiga kekuatan baru untuk menangani kejahatan online:

  1. Surat perintah gangguan data: memberi polisi kemampuan untuk “mengganggu data” dengan memodifikasi, menyalin, menambahkan, atau menghapusnya.
  2. Surat perintah aktivitas jaringan: memungkinkan polisi untuk mengumpulkan intelijen dari perangkat atau jaringan yang digunakan, atau kemungkinan akan digunakan, oleh mereka yang tunduk pada surat perintah
  3. Surat perintah pengambilalihan akun: memungkinkan polisi untuk mengendalikan akun online (misalnya media sosial) untuk tujuan mengumpulkan informasi untuk penyelidikan.

Dua badan penegak hukum Australia, AFP dan ACIC akan segera memiliki wewenang untuk mengubah, menambah, menyalin, atau menghapus data Anda jika Anda menjadi tersangka dalam penyelidikan kejahatan serius.

Apa yang membuat undang-undang ini lebih buruk adalah bahwa tidak ada pengawasan yudisial. Perintah gangguan data atau aktivitas jaringan dapat dikeluarkan oleh anggota Pengadilan Banding Administratif, surat perintah hakim tidak diperlukan.

Selengkapnya: Tutanota

Langkah terbaru Signal menunjukkan mengapa mereka adalah pilihan messenger yang menghargai privasi bagi pengguna

by

Mengapa Anda menggunakan aplikasi perpesanan yang Anda gunakan? Anda tentu memiliki cukup banyak pilihan untuk dipilih, tetapi apa yang membuat masing-masing menonjol? Untuk Signal, itu sudah lama menjadi komitmen aplikasi untuk mengutamakan privasi.

Itu dimulai dengan enkripsi end-to-end yang kuat, tetapi masih banyak lagi yang terjadi di sini — termasuk apa yang terjadi pada pesan Anda setelah sampai ke penerimanya. Signal telah memberi pengguna kemampuan untuk membuat pesan mereka dihapus secara otomatis untuk sementara waktu, dan sekarang perubahan baru berharap untuk membuat kemampuan ini lebih mudah dan lebih mudah diakses daripada sebelumnya.

Sebelumnya, Anda harus mengatur pesan Anda secara manual untuk dihapus secara otomatis berdasarkan percakapan demi percakapan. Meskipun itu adalah solusi fungsional, itu juga berarti banyak pekerjaan ekstra, untuk tidak mengatakan apa pun tentang risiko bahwa Anda secara tidak sengaja lupa untuk mengaktifkannya.

Ke depannya, Anda dapat memilih untuk mengaktifkan pesan singkat secara default. Lebih dari itu, pengguna memiliki kontrol penuh atas berapa lama mereka ingin pesan mereka bertahan, dan Anda dapat mengatur waktu kedaluwarsa mulai dari detik hingga hari.

Seperti yang ditunjukkan Signal dengan bijak, Anda tidak boleh terlalu percaya pada keyakinan bahwa pesan Anda akan hilang selamanya — seseorang selalu dapat mengambil gambar sebelum menghilang, jika memang demikian — tetapi ini masih terdengar seperti langkah yang sangat bagus dalam arah yang benar, memberi pengguna kontrol sebanyak mungkin atas pesan mereka.

Selengkapnya: Android Police

Apple mengonfirmasi akan mulai memindai Foto iCloud untuk gambar pelecehan anak

by

Akhir tahun ini, Apple akan meluncurkan teknologi yang memungkinkan perusahaan untuk mendeteksi dan melaporkan materi pelecehan seksual anak yang diketahui ke penegak hukum dengan cara yang dikatakan akan menjaga privasi pengguna.

Apple mengatakan kepada TechCrunch bahwa deteksi materi pelecehan seksual anak (CSAM) adalah salah satu dari beberapa fitur baru yang bertujuan untuk lebih melindungi anak-anak yang menggunakan layanannya dari bahaya online, termasuk filter untuk memblokir foto yang berpotensi eksplisit secara seksual yang dikirim dan diterima melalui akun iMessage anak. Fitur lain akan campur tangan ketika pengguna mencoba mencari istilah terkait CSAM melalui Siri dan Pencarian.

Sebagian besar layanan cloud — Dropbox, Google, dan Microsoft untuk beberapa nama — sudah memindai file pengguna untuk konten yang mungkin melanggar persyaratan layanan mereka atau berpotensi ilegal, seperti CSAM. Tetapi Apple telah lama menolak memindai file pengguna di cloud dengan memberi pengguna opsi untuk mengenkripsi data mereka sebelum mencapai server iCloud Apple.

Apple mengatakan teknologi deteksi CSAM baru — NeuralHash — berfungsi pada perangkat pengguna, dan dapat mengidentifikasi apakah pengguna mengunggah gambar pelecehan anak yang diketahui ke iCloud tanpa mendekripsi gambar hingga ambang batas terpenuhi dan serangkaian pemeriksaan untuk memverifikasi konten dihapus.

Selengkapnya: Tech Crunch

Facebook dilaporkan mencoba menganalisis data terenkripsi tanpa menguraikannya

by

Facebook dilaporkan sedang menganalisis konten data terenkripsi tanpa harus mendekripsinya. Perusahaan merekrut peneliti kecerdasan buatan untuk mempelajari masalah ini, menurut The Information. Penelitian mereka dapat membuka jalan bagi Facebook untuk menargetkan iklan berdasarkan pesan WhatsApp terenkripsi. Facebook juga dapat menggunakan temuan tersebut untuk mengenkripsi data pengguna tanpa memengaruhi pendekatan penargetan iklannya.

Bidang penelitian ini disebut “enkripsi homomorfik”, yang sangat bergantung pada matematika. Microsoft, Amazon dan Google juga sedang mengerjakan pendekatan tersebut.

Tujuan enkripsi homomorfik adalah untuk memungkinkan perusahaan membaca dan menganalisis data sambil menjaganya tetap terenkripsi untuk melindungi informasi dari bahaya keamanan siber dan untuk menjaga privasi.

Facebook mengatakan kepada The Information bahwa “terlalu dini bagi kami untuk mempertimbangkan enkripsi homomorfik untuk WhatsApp saat ini.”

Facebook bisa mendapatkan keuntungan dari teknologi dalam beberapa cara. Melindungi data tanpa memengaruhi efektivitas penargetan iklan dapat memungkinkan Facebook memenuhi tujuan bisnisnya dan memuaskan regulator yang telah menyatakan keprihatinannya tentang cara perusahaan menangani informasi pengguna.

Selengkapnya: Endgadget

Amazon Mendapat Rekor Denda Uni Eropa $888 Juta Karena Pelanggaran Data

by

Amazon.com Inc. menghadapi denda privasi Uni Eropa terbesar yang pernah ada setelah pengawas privasi utamanya menjatuhkan hukuman 746 juta euro ($ 888 juta) karena melanggar aturan perlindungan data yang ketat di blok tersebut.

CNPD, otoritas perlindungan data Luksemburg menampar Amazon dengan rekor denda dalam keputusan 16 Juli yang menuduh pengecer online memproses data pribadi yang melanggar Peraturan Perlindungan Data Umum UE, atau GDPR. Amazon mengungkapkan temuan itu dalam pengajuan peraturan pada hari Jumat, mengatakan keputusan itu “tidak berdasar.”

Keputusan itu mengakhiri penyelidikan yang dimulai oleh keluhan 2018 dari kelompok hak privasi Prancis La Quadrature du Net. Ia dengan hati-hati menyambut keputusan itu.

Amazon telah menarik perhatian dalam beberapa tahun terakhir untuk kumpulan besar data yang telah dikumpulkannya pada berbagai pelanggan dan mitra, termasuk pedagang independen yang menjual di pasar ritelnya, pengguna asisten digital Alexa, dan pembeli yang riwayat penelusuran dan pembeliannya menginformasikan apa Amazon menunjukkannya ke situs webnya.

Perusahaan mengatakan mengumpulkan data untuk meningkatkan pengalaman pelanggan, dan menetapkan pedoman yang mengatur apa yang dapat dilakukan karyawan dengannya. Beberapa anggota parlemen dan regulator telah menyuarakan keprihatinan bahwa perusahaan telah menggunakan apa yang diketahuinya untuk memberikan keuntungan yang tidak adil bagi dirinya sendiri di pasar.

Selengkapnya: Bloomberg

Laporan Metodologi Forensik: Cara menangkap Pegasus NSO Group

by

NSO Group mengklaim bahwa spyware Pegasus-nya hanya digunakan untuk “menyelidiki terorisme dan kejahatan” dan “tidak meninggalkan jejak apa pun”. Laporan Metodologi Forensik ini menunjukkan bahwa tidak satu pun dari pernyataan ini benar. Laporan ini menyertai peluncuran Proyek Pegasus, sebuah investigasi kolaboratif yang melibatkan lebih dari 80 jurnalis dari 17 organisasi media di 10 negara yang dikoordinasikan oleh Forbidden Stories dengan dukungan teknis dari Lab Keamanan Amnesty International.

Lab Keamanan Amnesty International telah melakukan analisis forensik mendalam terhadap berbagai perangkat seluler dari pembela hak asasi manusia (HRD) dan jurnalis di seluruh dunia. Penelitian ini telah mengungkap pengawasan yang melanggar hukum, terus-menerus dan berkelanjutan serta pelanggaran hak asasi manusia yang dilakukan dengan menggunakan spyware Pegasus NSO Group.

Bagian 1 hingga 8 dari laporan ini menguraikan jejak forensik yang tertinggal di perangkat seluler setelah infeksi Pegasus. Bukti ini telah dikumpulkan dari telepon pembela HAM dan jurnalis di berbagai negara. Terakhir, di bagian 9 laporan tersebut mendokumentasikan evolusi infrastruktur jaringan Pegasus sejak 2016.

1. Menemukan serangan injeksi jaringan Pegasus

Investigasi teknis Amnesty International terhadap Pegasus NSO Group diintensifkan setelah mereka menemukan penargetan staf Amnesty International dan aktivis Saudi, Yahya Assiri, pada tahun 2018. Lab Keamanan Amnesty International mulai menyempurnakan metodologi forensiknya melalui penemuan serangan terhadap pembela HAM di Maroko pada tahun 2019, yang selanjutnya dikuatkan oleh serangan yang mereka temukan terhadap seorang jurnalis Maroko pada tahun 2020. Di bagian pertama ini mereka merinci proses yang mengarah pada penemuan kompromi ini.

Banyak laporan publik telah mengidentifikasi pelanggan NSO Group yang menggunakan pesan SMS dengan domain eksploitasi Pegasus selama bertahun-tahun. Akibatnya, pesan serupa muncul dari analisis kami terhadap telepon aktivis Maroko Maati Monjib, yang merupakan salah satu aktivis yang menjadi sasaran sebagaimana didokumentasikan dalam laporan Amnesty International tahun 2019.

Namun, pada analisis lebih lanjut, Amnesty juga melihat pengalihan mencurigakan yang tercatat dalam riwayat penelusuran Safari. Misalnya, dalam satu kasus Amnesty melihat pengalihan ke URL yang tampak aneh setelah Maati Monjib mencoba mengunjungi Yahoo:

Sumber: Amnesty International

Seperti yang dijelaskan dalam Lampiran Teknis dari laporan 2020 Amnesty tentang serangan Pegasus di Maroko, pengalihan ini tidak hanya terjadi ketika target menavigasi Internet dengan aplikasi browser, tetapi juga saat menggunakan aplikasi lain.

Selengkapnya: Amnesty International

DuckDuckGo menangani privasi email dengan layanan tracker-stripping baru

by

DuckDuckGo, yang terkenal dengan mesin pencari yang berfokus pada privasi, telah mengumumkan layanan baru yang bertujuan untuk menggagalkan pelacak email. Perlindungan Email sekarang tersedia dalam versi beta. Ini adalah layanan penerusan gratis yang menghapus piksel pelacakan dari email Anda dengan tujuan melindungi data pribadi Anda.

Sekitar 70 persen email berisi pelacak, catat DuckDuckGo. Ini dapat digunakan untuk memberi tahu pengirim saat Anda membuka email, perangkat yang Anda gunakan untuk mengaksesnya, dan bahkan di mana Anda berada saat membacanya. Perusahaan mencatat bahwa pelacak juga dapat digunakan untuk penargetan iklan.

Untuk menggunakan layanan Perlindungan Email, Anda harus mendaftar untuk mendapatkan alamat email @duck.com yang bagus dan gratis. DuckDuckGo akan mengekstrak pelacak apa pun dari email yang dikirim ke alamat itu dan meneruskan pesan ke kotak masuk biasa Anda.

Perusahaan mengatakan sistemnya tidak akan pernah menyimpan email – bahkan alamat email pengirim atau penerima. Saat Anda menerima email, Anda akan dapat melihat pelacak mana, jika ada, yang ditarik DuckDuckGo.

Anda juga dapat membuat alamat acak untuk menghentikan perusahaan melacak Anda melalui email. Pendekatan DuckDuckGo bekerja di seluruh platform melalui aplikasi dan ekstensi browsernya.

Selengkapnya: Endgadget

Pegasus: Amnesty Merilis Alat Baru Untuk Memeriksa Apakah Spyware Invasif Dipasang Secara Rahasia di Ponsel

by

Amnesty International telah merilis toolkit untuk membantu orang mengetahui apakah ponsel mereka diam-diam dipantau oleh Pegasus, spyware kelas militer yang menargetkan aktivis hak asasi manusia, jurnalis, dan pengacara di seluruh dunia.

Perangkat lunak tersebut memindai perangkat untuk petunjuk kecil yang tertinggal jika telepon terinfeksi oleh spyware Pegasus.

Daftar 50.000 nomor telepon yang bocor diperoleh oleh jurnalisme non-profit Forbidden Stories dan Amnesty sebelum dibagikan ke media.

Spyware, yang dibangun oleh perusahaan Israel NSO Group, dapat digunakan untuk merekam panggilan, menyalin dan mengirim pesan atau bahkan merekam orang melalui kamera ponsel. Spyware ini dapat dan telah digunakan untuk menargetkan perangkat Apple iOS dan Android.

Versi awal perangkat lunak membutuhkan target untuk mengklik tautan berbahaya, memberikan akses kepada orang yang tidak berwenang ke data pribadi korban, termasuk kata sandi, panggilan, teks, dan email, tetapi para ahli percaya bahwa perangkat lunak telah lebih maju sehingga target tidak perlu mengklik tautan apa pun agar spyware terinstal.

Toolkit peneliti Amnesty, Mobile Verification Toolkit (MVT), berfungsi pada perangkat iOS dan Android untuk membantu pengguna mengetahui apakah mereka telah ditargetkan.

Ini menggunakan cadangan perangkat dan mencarinya untuk setiap indikator kompromi yang akan digunakan untuk mengirimkan Pegasus, seperti nama domain yang digunakan dalam infrastruktur NSO Group.

Ketika dijalankan, toolkit memindai cadangan telepon untuk mencari bukti bahwa ponsel telah diretas. Dibutuhkan satu atau dua menit untuk melakukannya, dan membuat sejumlah file yang menunjukkan hasil pemindaian – jika ponsel berpotensi disusupi, file tersebut akan mengatakan demikian.

Selengkapnya: Independent.co.uk