Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Privacy

Privacy

Firefox 87 dikemas dengan penjelajahan pribadi ‘SmartBlock’

by

Mozilla telah meluncurkan Firefox 87, dengan versi terbaru dari browser yang memiliki fitur “SmartBlock”, sebuah fitur privasi baru yang disebut-sebut dengan cerdas memperbaiki halaman web yang rusak dengan melacak perlindungan, tanpa mengorbankan privasi pengguna.

SmartBlock bertujuan untuk mendukung fitur pemblokiran konten bawaan Firefox – tersedia di mode penjelajahan pribadi dan perlindungan pelacakan ketat selama enam tahun terakhir – yang memblokir skrip pihak ketiga, gambar, dan konten lainnya agar tidak dimuat dari pelacakan lintas situs perusahaan yang dilaporkan oleh Disconnect.

Dijelaskan dalam blog mereka, dengan memblokir komponen pelacakan ini, jendela penjelajahan pribadi Firefox mencegah perusahaan ini mengawasi pengguna saat mereka menjelajah internet.

“Hal ini dapat mengakibatkan gambar tidak muncul, fitur tidak berfungsi, performa buruk, atau bahkan seluruh halaman tidak dapat dimuat sama sekali,” jelas Mozilla. “Untuk mengurangi kerusakan ini, Firefox 87 sekarang memperkenalkan fitur privasi baru yang kami sebut SmartBlock”.

SmartBlock melakukan ini dengan menyediakan stand-in lokal untuk skrip pelacakan pihak ketiga yang diblokir.

Sumber: ZDNet

Google Mengungkapkan Data Pribadi yang Dikumpulkan Chrome dan Aplikasinya tentang Anda

by

Mesin pencari yang berfokus pada privasi, DuckDuckGo, menyebut saingannya Google karena “memata-matai” pengguna setelah raksasa pencarian itu memperbarui aplikasi andalannya untuk menjelaskan jenis informasi yang tepat yang dikumpulkannya untuk tujuan personalisasi dan pemasaran.

“Setelah berbulan-bulan terhenti, Google akhirnya mengungkapkan berapa banyak data pribadi yang mereka kumpulkan di Chrome dan aplikasi Google. Tidak heran mereka ingin menyembunyikannya,” kata perusahaan itu dalam tweet. “Memata-matai pengguna tidak ada hubungannya dengan membuat browser web atau mesin telusur yang hebat.”

“privacy nutrition labels” adalah bagian dari kebijakan baru yang mulai berlaku pada 8 Desember 2020, yang mewajibkan pengembang aplikasi untuk mengungkapkan praktik pengumpulan data mereka dan membantu pengguna memahami bagaimana informasi pribadi mereka digunakan.

Sindiran dari DuckDuckGo muncul karena Google terus menambahkan label privasi aplikasi ke aplikasi iOS-nya selama beberapa minggu terakhir sesuai dengan aturan App Store Apple, tetapi tidak sebelum penundaan selama tiga bulan yang menyebabkan sebagian besar aplikasinya. untuk pergi tanpa diperbarui, memberikan kepercayaan pada teori bahwa perusahaan telah menghentikan pembaruan aplikasi iOS sebagai konsekuensi dari penegakan Apple.

Dimulai dengan iOS 14, aplikasi pihak pertama dan ketiga tidak hanya harus memberi tahu pengguna informasi apa yang mereka kumpulkan, tetapi juga mendapatkan izin untuk melakukannya. Label privasi bertujuan untuk menyingkat praktik pengumpulan data aplikasi dalam format yang mudah dipahami dan ramah pengguna tanpa menjelaskan secara detail tentang tujuan penggunaan data tersebut.

Analisis praktik pengumpulan data aplikasi oleh perusahaan penyimpanan cloud pCloud yang dirilis awal bulan ini menemukan bahwa 52% aplikasi berbagi data pengguna dengan pihak ketiga, dengan 80% aplikasi menggunakan data yang dikumpulkan untuk “memasarkan produk mereka sendiri di aplikasi” dan menayangkan iklan di platform lain.

https://thehackernews.com/2021/03/google-to-reveals-what-personal-data.html

selengkapnya : TheHackernews

Bagaimana Penegakan Hukum Mendapat Enkripsi Ponsel Anda

by

Pembuat undang-undang dan lembaga penegak hukum di seluruh dunia, termasuk di Amerika Serikat, semakin menyerukan backdoor dalam skema enkripsi yang melindungi data Anda, dengan alasan bahwa keamanan nasional dipertaruhkan.

Tetapi penelitian baru menunjukkan pemerintah sudah memiliki metode dan alat yang, baik atau buruk, memungkinkan mereka mengakses smartphone yang terkunci berkat kelemahan dalam skema keamanan Android dan iOS.

Kriptografer di Universitas Johns Hopkins menggunakan dokumentasi yang tersedia untuk umum dari Apple dan Google serta analisis mereka sendiri untuk menilai kekuatan enkripsi Android dan iOS.

Saat Anda mengunci ponsel dengan kode sandi, kunci sidik jari, atau kunci pengenalan wajah, ini mengenkripsi konten pada perangkat. Bahkan jika seseorang mencuri ponsel Anda dan menarik datanya, mereka tidak akan mendapatkan apapun. Mendekode semua data akan membutuhkan kunci yang hanya dibuat ulang saat Anda membuka kunci ponsel dengan kode sandi, atau pengenalan wajah atau jari. Dan ponsel cerdas saat ini menawarkan banyak lapisan perlindungan ini dan kunci enkripsi yang berbeda untuk berbagai tingkat data sensitif.

Dengan semua pemikiran itu, para peneliti berasumsi akan sangat sulit bagi penyerang untuk menemukan salah satu kunci itu dan membuka kunci sejumlah data. Tapi bukan itu yang mereka temukan.

Saat iPhone dimatikan dan dinyalakan, semua data berada dalam status yang disebut Apple “Perlindungan Lengkap”. Anda masih bisa dipaksa untuk membuka kunci ponsel Anda, tentu saja, tetapi alat forensik yang ada akan kesulitan menarik data yang dapat dibaca darinya.

Namun, setelah Anda membuka kunci ponsel Anda pertama kali setelah reboot, banyak data berpindah ke mode yang berbeda — Apple menyebutnya “Protected Until First User Authentication”, tetapi peneliti sering menyebutnya “After First Unlock” (AFU). Jadi seberapa efektif keamanan AFU? Di situlah para peneliti mulai khawatir.

Perbedaan utama antara Complete Protection dan AFU berkaitan dengan seberapa cepat dan mudahnya aplikasi mengakses kunci untuk mendekripsi data. Saat data dalam status Complete Protection, kunci untuk mendekripsinya disimpan jauh di dalam sistem operasi dan dienkripsi sendiri. Tetapi begitu Anda membuka kunci perangkat Anda pertama kali setelah reboot, banyak kunci enkripsi mulai disimpan dalam memori akses cepat, bahkan saat ponsel terkunci. Pada titik ini, penyerang dapat menemukan dan mengeksploitasi jenis kerentanan keamanan tertentu di iOS untuk mengambil kunci enkripsi yang dapat diakses di memori dan mendekripsi potongan besar data dari ponsel.

Para peneliti menemukan bahwa Android memiliki pengaturan yang mirip dengan iOS dengan satu perbedaan penting. Jika Apple memberikan opsi bagi pengembang untuk menyimpan beberapa data di bawah kunci Complete Protection yang lebih ketat sepanjang waktu — sesuatu yang mungkin diterapkan oleh aplikasi perbankan — Android tidak memiliki mekanisme itu setelah membuka kunci pertama. Alat forensik yang mengeksploitasi kerentanan yang tepat dapat mengambil lebih banyak kunci dekripsi, dan pada akhirnya mengakses lebih banyak data, di ponsel Android.

Untuk memahami perbedaan dalam status enkripsi ini, Anda dapat melakukan sedikit demo untuk diri Anda sendiri di iOS atau Android. Saat teman Anda menelepon ponsel Anda, namanya biasanya muncul di layar panggilan karena ada di kontak Anda. Tetapi jika Anda me-restart perangkat Anda, tidak membuka kunci terlebih dahulu, dan kemudian teman Anda menelepon Anda, hanya nomor mereka yang akan muncul, bukan nama mereka. Itu karena kunci untuk mendekripsi data buku alamat Anda belum ada di memori.

Selengkapnya: Wired

Riset: Agen Keamanan Mengungkap Informasi melalui PDF yang Tidak Disanitasi dengan Benar

by

Sebagian besar badan keamanan gagal untuk membersihkan file Portable Document Format (PDF) dengan benar sebelum menerbitkannya, sehingga mengungkap informasi yang berpotensi sensitif dan membuka pintu untuk serangan, para peneliti telah menemukan.

Analisis terhadap sekitar 40.000 PDF yang diterbitkan oleh 75 badan keamanan di 47 negara telah mengungkapkan bahwa file-file ini dapat digunakan untuk mengidentifikasi karyawan yang menggunakan perangkat lunak lama, menurut Supriya Adhatarao dan Cédric Lauradoux, dua peneliti dari Universitas Grenoble Alpes dan Institut Nasional Prancis untuk Penelitian di Ilmu Komputer dan Otomasi

Analisis tersebut juga mengungkapkan bahwa adopsi sanitasi dalam badan keamanan agak rendah, karena hanya 7 dari mereka yang menggunakannya untuk menghapus informasi sensitif yang tersembunyi dari beberapa file PDF yang mereka terbitkan. Terlebih lagi, 65% dari file yang dibersihkan masih berisi data tersembunyi.

“Beberapa lembaga menggunakan teknik sanitasi yang lemah: hal ini perlu menghapus semua informasi sensitif yang tersembunyi dari file dan tidak hanya menghapus data di permukaan. Badan keamanan perlu mengubah metode sanitasi mereka, ”kata peneliti akademis.

Menurut NSA, ada 11 jenis utama data tersembunyi dalam file PDF, yaitu metadata; konten yang disematkan dan file terlampir; skrip; lapisan tersembunyi; indeks pencarian tertanam; data formulir interaktif yang disimpan; meninjau dan mengomentari; halaman tersembunyi, gambar dan perbarui data; teks dan gambar yang dikaburkan; Komentar PDF yang tidak ditampilkan; dan data yang tidak direferensikan.

Metadata yang terkait dengan gambar dalam file PDF dapat digunakan untuk mengumpulkan informasi tentang penulis, sama seperti komentar dan anotasi yang belum dihapus sebelum dipublikasikan, dan metadata PDF.

Ada beberapa alat yang dapat digunakan untuk membersihkan file PDF, termasuk Adobe Acrobat, dan ada empat level sanitasi: Level-0: metadata penuh (tanpa sanitasi), Level-1: metadata parsial, Level-2: tanpa metadata, dan Level-3: file yang dibersihkan dengan benar (sanitasi penuh, dengan semua objek telah dihapus).

“Masalahnya adalah alat pembuat PDF yang populer menyimpan metadata secara default dengan banyak informasi lain saat membuat file PDF. Mereka tidak memberikan pilihan untuk sanitasi atau hanya dapat dicapai dengan mengikuti prosedur yang rumit. Perangkat lunak yang menghasilkan file PDF perlu menerapkan sanitasi secara default. Pengguna harus bisa menambahkan metadata hanya sebagai pilihan, ”para akademisi menyimpulkan.

Source : securityweek

Seorang Hacker Baru Mencuri $ 5,7 Juta Dari Rol Startup Token Sosial

by

Selama akhir pekan ini, peretas mencuri jutaan dolar dalam crypto dari Roll, startup mata uang sosial yang memungkinkan kreator untuk meluncurkan dan mengelola sistem uang berbasis blockchain Ethereum mereka sendiri.

Menurut perusahaan, seseorang berhasil masuk ke dalam cryptowalletnya pada Minggu pagi, menghasilkan uang senilai $ 5,7 juta. Peretas kemudian menjual token di Uniswap, platform pertukaran kripto. Roll mengatakan peretasan tampaknya terjadi melalui kompromi salah satu “kunci pribadi” dompet, yang setara dengan seseorang yang mempelajari kata sandi utama Anda.

“Saat tulisan ini dibuat, [penyebabnya tampaknya] kompromi dari kunci pribadi dompet panas kami dan bukan bug dalam kontrak pintar Roll atau kontrak token apa pun,” kata perusahaan itu dalam sebuah pernyataan Minggu. “Kami sedang menyelidiki ini dengan penyedia infrastruktur dan penegak hukum kami.” Perusahaan selanjutnya berjanji untuk melakukan audit keamanan pihak ketiga dan analisis forensik untuk “mencari tahu bagaimana kunci itu disusupi”, karena saat ini tidak jelas bagaimana peretas mendapatkannya.

Source : Gizmodo

Peretas Melanggar Ribuan Kamera Keamanan, Mengekspos Tesla, Penjara, dan Rumah Sakit

by

Sekelompok peretas mengatakan mereka telah membobol data kamera keamanan yang dikumpulkan oleh perusahaan rintisan Silicon Valley, Verkada Inc., mendapatkan akses langsung ke 150.000 kamera pengintai di dalam rumah sakit, perusahaan, departemen kepolisian, penjara, dan sekolah.

Perusahaan yang rekamannya terungkap termasuk pembuat mobil Tesla Inc. dan penyedia perangkat lunak Cloudflare Inc. Selain itu, peretas dapat melihat video dari dalam klinik kesehatan wanita, rumah sakit jiwa, dan kantor Verkada itu sendiri. Beberapa kamera, termasuk di rumah sakit, menggunakan teknologi pengenalan wajah untuk mengidentifikasi dan mengkategorikan orang yang terekam dalam rekaman. Para peretas mengatakan mereka juga memiliki akses ke arsip video lengkap dari semua pelanggan Verkada.

Video lain, diambil di dalam gudang Tesla di Shanghai, menunjukkan para pekerja di jalur perakitan. Para peretas mengatakan mereka memperoleh akses ke 222 kamera di pabrik dan gudang Tesla.

Metode peretas tidaklah canggih: mereka memperoleh akses ke Verkada melalui akun “Admin Super”, memungkinkan mereka untuk mengintip ke kamera semua pelanggannya. Kottmann mengatakan mereka menemukan nama pengguna dan kata sandi untuk akun administrator yang terbuka secara publik di internet. Setelah Bloomberg menghubungi Verkada, para peretas kehilangan ke kamera video, kata Kottmann.

Kami telah menonaktifkan semua akun administrator internal untuk mencegah akses tidak sah, ”kata juru bicara Verkada dalam sebuah pernyataan. “Tim keamanan internal dan firma keamanan eksternal kami sedang menyelidiki skala dan cakupan masalah ini, dan kami telah memberi tahu penegak hukum.”

Source : Bloomberg

Bagaimana Mengenali Email Yang Diam-Diam Melacak Anda

by

Tracking pixel, yang disematkan di suatu tempat di email, adalah cara kebanyakan orang memantau apakah email telah dibuka. Setelah gambar kecil pixel tunggal yang tersembunyi dimuat, gambar tersebut akan dilaporkan kembali ke pihak ketiga. Penggunaannya di seluruh email sekarang sampai ke tingkat “endemik” menurut beberapa ahli.

Tracking pixel dapat melaporkan waktu dan tanggal kapan email dibuka, serta lokasi perangkat yang digunakan, dan klien email yang terlibat. Itu adalah data yang banyak untuk diumpankan kembali ke pihak ketiga yang mungkin tidak banyak Anda ketahui.

Email biasanya dilacak menggunakan metode pixel yang tadi disebutkan, jadi cara termudah untuk menghentikannya adalah dengan menghentikan pemuatan gambar secara default di dalam aplikasi email pilihan Anda.

Di Gmail web, klik ikon roda gigi (kanan atas), lalu See all settings dan General: di samping Images, pilih Ask before displaying external images.

Di Mail macOS, pilih Mail, Preferences, Viewing, dan hapus centang Load remote content in messages. Di program Email Outlook yang disertakan dengan Windows 10, ketuk ikon roda gigi di bagian bawah panel navigasi, lalu pilih Reading pane dan pastikan opsi Automatically download external images diatur ke nonaktif.

Memblokir gambar agar tidak dimuat secara default adalah alat yang cukup tumpul untuk kotak masuk Anda, dan opsi yang lebih tepat tersedia jika Anda menginginkan lebih banyak kontrol. Ugly Email gratis dan bersumber terbuka telah ada selama beberapa tahun dan merupakan salah satu tindakan pencegahan terbaik untuk melacak pixel: ini adalah ekstensi untuk Chrome dan Firefox yang bekerja dengan Gmail di browser Anda.

Trocker adalah ekstensi gratis mengesankan lainnya untuk Chrome dan Firefox, dan selain bekerja dengan Gmail, juga kompatibel dengan Yahoo dan Outlook webmail.

Selengkapnya: Wired

Chrome akan segera mencoba HTTPS terlebih dahulu saat Anda mengetik URL yang tidak lengkap

by

Engineer Google telah menjadi beberapa promotor fitur keamanan browser yang paling gigih selama beberapa tahun terakhir dan, bersama dengan tim di balik browser Firefox dan Tor, sering berada di balik banyak perubahan yang telah membentuk browser menjadi seperti sekarang ini.

Salah satu bidang minat terbesar bagi para engineer Chrome selama beberapa tahun terakhir adalah mendorong dan mempromosikan penggunaan HTTPS, baik di dalam browser mereka, tetapi juga di antara pemilik situs web.

Sebagai bagian dari upaya ini, Chrome sekarang mencoba meningkatkan situs dari HTTP ke HTTPS saat HTTPS tersedia. Chrome juga memperingatkan pengguna saat mereka akan memasukkan sandi atau data kartu pembayaran pada halaman HTTP yang tidak aman.

Dan Chrome juga memblokir unduhan dari sumber HTTP jika URL lamannya HTTPS —untuk menghindari pengguna tertipu sehingga mengira unduhan mereka aman tetapi sebenarnya tidak.

Perubahan terbaru dari HTTPS pertama ini akan tiba di Chrome 90, dan dijadwalkan akan dirilis pada pertengahan April tahun ini.

Perubahan tersebut akan memengaruhi Omnibox Chrome — nama yang digunakan Google untuk mendeskripsikan bilah alamat (URL) Chrome.

Selengkapnya: ZDNet