Software / Application

AS Menghabiskan $ 2,2 Juta untuk Sistem Keamanan Siber yang Tidak Diimplementasikan

February 3, 2021 by Winnie the Pooh

Pelanggaran data besar-besaran, yang menurut badan intelijen AS “kemungkinan besar berasal dari Rusia,” menembus sistem komputer lembaga federal, termasuk Departemen Keamanan Dalam Negeri, Departemen Keuangan, Institut Kesehatan Nasional, dan Departemen Kehakiman, juga sebagai sejumlah perusahaan Fortune 500. Para peretas tetap tidak terdeteksi selama berbulan-bulan.

Masalah ini mendorong pengembangan pendekatan baru, didukung oleh $ 2,2 juta dalam bentuk hibah federal dan tersedia secara gratis, yang bertujuan untuk memberikan perlindungan ujung ke ujung untuk seluruh jalur pasokan perangkat lunak. Dinamakan in-toto (bahasa Latin untuk “secara keseluruhan”), ini adalah hasil kerja tim akademisi yang dipimpin oleh Justin Cappos, seorang profesor ilmu komputer dan teknik di Universitas New York. Cappos, 43, telah menjadikan pengamanan rantai pasokan perangkat lunak sebagai pekerjaannya. P\

Cappos dan rekan-rekannya percaya bahwa sistem in-toto, jika digunakan secara luas, dapat memblokir atau meminimalkan kerusakan dari serangan SolarWinds. Namun hal itu tidak terjadi: Pemerintah federal tidak mengambil langkah apa pun untuk meminta vendor perangkat lunaknya, seperti SolarWinds, untuk mengadopsinya. Memang, tidak ada lembaga pemerintah yang menanyakan tentang itu, menurut Cappos.

In-toto dapat memblokir dan mengungkap serangan dunia maya yang tak terhitung jumlahnya yang saat ini tidak terdeteksi, menurut Cappos, yang timnya termasuk Santiago Torres-Arias, asisten profesor teknik listrik dan komputer di Universitas Purdue, dan Reza Curtmola, co-direktur New Jersey Institute of Pusat Penelitian Keamanan Siber Teknologi. Dalam makalah dan presentasi Agustus 2019 di konferensi komputer USENIX, berjudul “in-toto: Memberikan jaminan farm-to-table untuk bit dan byte,” tim Cappos melaporkan mempelajari 30 pelanggaran rantai pasokan utama sejak tahun 2010. Dalam- toto, mereka menyimpulkan, akan mencegah antara 83% dan 100% serangan itu.

“Ini tersedia untuk semua orang secara gratis, dibayar oleh pemerintah, dan harus digunakan oleh semua orang,” kata Cappos. “Orang-orang mungkin masih bisa masuk dan mencoba meretasnya. Tapi ini adalah langkah pertama yang perlu dan akan menangkap banyak hal ini. ” Lambatnya adopsi “benar-benar mengecewakan,” tambah Cappos.

Dmitri Alperovitch, yang ikut mendirikan CrowdStrike (perusahaan keamanan siber SolarWinds telah menyewa untuk menyelidiki peretasan tersebut) sebelum keluar tahun lalu untuk memulai grup kebijakan nirlaba, mengatakan bahwa menurutnya, secara teori, sistem in-toto dapat berfungsi. Tetapi dia memperingatkan bahwa perangkat lunak itu sangat kompleks, dengan banyak produk dan perusahaan dalam rantai pasokan, sehingga tidak ada pertahanan yang menjadi obat mujarab. Namun, dia setuju bahwa in-toto dapat memberikan perlindungan, dan berkata “selalu merupakan hal yang baik untuk memiliki lebih banyak perlindungan untuk rantai pasokan.”

Source : Propublica

Google mendanai proyek untuk mengamankan server web Apache dengan komponen Rust baru

February 3, 2021 by Winnie the Pooh

Google mendanai proyek di Internet Security Research Group untuk memindahkan komponen penting dari proyek server web HTTP Apache dari bahasa pemrograman C yang rawan bug ke alternatif yang lebih aman bernama Rust.

Modul yang dimaksud disebut mod_ssl dan merupakan modul yang bertanggung jawab untuk mendukung operasi kriptografi yang diperlukan untuk membuat koneksi HTTPS di server web Apache.ISRG mengatakan berencana untuk mengembangkan modul baru yang disebut mod_tls yang akan melakukan hal yang sama tetapi menggunakan bahasa pemrograman Rust daripada C.
Modul ini akan didasarkan pada Rustls; pustaka sumber terbuka Rust dikembangkan sebagai alternatif untuk proyek OpenSSL berbasis C.

Menurut W3Techs, server web HTTP Apache adalah teknologi server web teratas saat ini, digunakan saat ini oleh 34,9% dari semua situs web yang teknologi server webnya dikenal.

“Apache httpd masih merupakan bagian infrastruktur yang sangat penting, 26 tahun setelah dimulainya,” kata Brian Behlendorf, salah satu pembuat server web Apache.

Dikembangkan menggunakan sponsor dari Mozilla, Rust diciptakan untuk membuat bahasa pemrograman multiguna yang lebih aman digunakan, tingkat rendah, sebagai alternatif untuk C dan C ++.

Tidak seperti C dan C ++, Rust dirancang sebagai bahasa pemrograman yang aman untuk memori yang dilengkapi dengan perlindungan terhadap masalah manajemen memori yang sering mengakibatkan kelemahan keamanan yang berbahaya.

Kerentanan keamanan memori telah mendominasi bidang keamanan selama beberapa dekade terakhir dan sering menyebabkan masalah yang dapat dimanfaatkan untuk mengambil alih seluruh sistem, dari desktop hingga server web dan dari ponsel cerdas hingga perangkat IoT.

Microsoft mengatakan pada 2019 bahwa persentase masalah keamanan memori yang ditambal dalam perangkat lunaknya telah mencapai sekitar 70% dari semua bug keamanan selama 12 tahun terakhir.

Pada tahun 2020, Google menggemakan angka yang sama ketika tim Chrome mengatakan bahwa 70% dari bug yang ditambal di browser webnya juga merupakan masalah terkait memori.

Dengan statistik seperti itu dari Google dan Microsoft, dan dengan hampir dua pertiga dari seluruh situs web sekarang dialihkan ke HTTPS, porting modul mod_ssl Apache ke Rust adalah cara sederhana dan cepat untuk memastikan miliaran pengguna tetap aman di tahun-tahun mendatang.

Source : ZDnet

Serangan Rantai Pasokan Perangkat Lunak Baru Dengan Menargetkan Jutaan Orang Dengan Spyware

February 2, 2021 by Winnie the Pooh

Peneliti Cybersecurity mengungkapkan serangan rantai pasokan baru yang membahayakan mekanisme pembaruan NoxPlayer, emulator Android gratis untuk PC dan Mac.

Dijuluki “Operation NightScout” oleh firma keamanan siber Slovakia, ESET, kampanye pengawasan yang sangat bertarget ini melibatkan pendistribusian tiga keluarga malware yang berbeda melalui pembaruan berbahaya yang disesuaikan untuk korban terpilih yang berbasis di Taiwan, Hong Kong, dan Sri Lanka.

NoxPlayer, dikembangkan oleh BigNox yang berbasis di Hong Kong, adalah emulator Android yang memungkinkan pengguna memainkan game seluler di PC, dengan dukungan untuk keyboard, gamepad, perekaman skrip, dan multiple instances. Diperkirakan memiliki lebih dari 150 juta pengguna di lebih dari 150 negara.

Tanda-tanda pertama dari serangan yang sedang berlangsung dikatakan terjadi sekitar September 2020, dari saat kompromi berlanjut hingga “aktivitas yang secara eksplisit berbahaya” ditemukan minggu ini, mendorong ESET untuk melaporkan insiden tersebut ke BigNox.

Untuk melakukan serangan, mekanisme pembaruan NoxPlayer berfungsi sebagai vektor untuk mengirimkan versi yang berisi trojan dari perangkat lunak kepada pengguna yang, setelah instalasi, mengirimkan tiga muatan berbahaya yang berbeda seperti Gh0st RAT untuk memata-matai korbannya, menangkap penekanan tombol, dan mengumpulkan informasi sensitif.

Secara terpisah, para peneliti menemukan kasus di mana malware tambahan seperti PoisonIvy RAT diunduh oleh pembaruan BigNox dari server jarak jauh yang dikendalikan oleh aktor ancaman.

Sumber: The Hacker News

Cara Mengambil Pesan Anda Saat Meninggalkan Facebook, Instagram, atau WhatsApp

January 22, 2021 by Winnie the Pooh

Keributan privasi WhatsApp terbaru sekali lagi membuat kami bertanya-tanya apakah memberikan begitu banyak data kepada perusahaan dengan rekam jejak Facebook merupakan ide yang bagus.

Dalam panduan ini, kami akan berfokus pada mengekspor percakapan Anda ke dalam format yang dapat dibaca — kami tidak akan membahas penutupan akun Anda.

WhatsApp
Jika Anda menggunakan WhatsApp di ponsel Android, buka percakapan yang ingin Anda ekspor, ketuk tiga titik di pojok kanan atas, lalu pilih Lainnya dan Ekspor obrolan. Anda dapat memilih apakah akan menyertakan video dan foto atau tidak, atau hanya menyimpan teks, dan Anda kemudian akan diberikan lembar berbagi standar Android. Anda dapat mengirimkan arsip melalui email kepada Anda sendiri, atau menyimpannya ke loker penyimpanan cloud, dan sebagainya.

Mereka yang menggunakan iOS perlu membuka percakapan yang ingin Anda ekspor, lalu ketuk tajuk di bagian atas. Pilih Ekspor Obrolan, pilih apakah akan menyertakan file media di cadangan atau tidak, dan lembar berbagi iOS akan muncul — ini memungkinkan Anda menyimpan arsip obrolan ke ponsel Anda, atau mengirim ke salah satu aplikasi yang diinstal, atau mengirimkannya ke email Anda sendiri .

Facebook Messenger
Anda dapat mengekspor percakapan Anda secara terpisah dari yang lain, tetapi Anda harus pergi ke hub Facebook utama terlebih dahulu.

Masuk ke halaman pengaturan Facebook Anda di web, lalu pilih Informasi Facebook Anda dan klik Lihat di sebelah Unduh informasi Anda. Pastikan entri Pesan dicentang, bersama dengan bit data lain yang ingin Anda unduh. Pilih Semua data saya di samping Rentang tanggal, HTML di samping Format, dan Tinggi di samping Kualitas media dari menu tarik-turun di bagian atas daftar.

Instagram
Seperti halnya Facebook, kemampuan untuk mengekspor pesan di Instagram termasuk dalam alat ekspor umum untuk akun Instagram Anda secara keseluruhan.

Klik Privasi dan Keamanan lalu Minta Unduhan di bawah Unduhan Data. Anda harus menentukan alamat email untuk arsip yang akan dikirim, dan Anda harus memasukkan kata sandi Instagram Anda lagi, dan Anda kemudian dapat mengklik Minta Download. Instagram mengatakan mungkin perlu waktu hingga 48 jam untuk membuat cadangan Anda siap, meskipun pada kenyataannya Anda tidak boleh menunggu selama itu.

selengkapnya :Gizmodo

Mengapa Pesan Teks SMS Tidak Pribadi atau Aman

January 22, 2021 by Winnie the Pooh

Dengan SMS, pesan yang Anda kirim tidak dienkripsi secara end-to-end. Operator selular Anda dapat melihat konten pesan yang Anda kirim dan terima. Pesan tersebut disimpan di sistem penyedia seluler Anda — jadi, alih-alih perusahaan teknologi seperti Facebook yang melihat pesan Anda, penyedia seluler dapat melihat pesan Anda.

Operator seluler menyimpan konten pesan tersebut untuk berbagai waktu. Pesan sering kali hanya disimpan selama beberapa hari, tetapi menyimpan metadata (nomor mana yang mengirim pesan ke nomor mana, dan jam berapa) bahkan lebih lama. Catatan ini dapat dikenakan panggilan pengadilan dalam proses hukum — misalnya, catatan pesan teks adalah bentuk bukti yang umum dalam kasus perceraian.

Mari kita cepat meringkas masalah terkait SMS, dan membandingkannya dengan aplikasi obrolan terenkripsi ujung ke ujung yang aman seperti Signal.

Dengan SMS:

Operator seluler Anda dapat melihat konten pesan yang Anda kirim dan terima. Semua catatan yang dikumpulkan dapat dipanggil dalam proses hukum.
Pesan SMS dapat dicegat oleh peretas karena kelemahan dalam protokol lama yang memberdayakan mereka. Hal ini membahayakan akun keuangan dan akun lainnya.
Pihak berwenang dapat menyebarkan ikan pari untuk mengintip isi pesan teks di suatu area.
Penipu dapat mencoba mencuri nomor ponsel Anda dengan menipu staf layanan pelanggan penyedia seluler Anda.

Dengan Signal, misalnya:

Operator seluler Anda tidak dapat melihat konten pesan Anda. Bahkan Signal tidak dapat melihat konten pesan Anda atau siapa yang Anda hubungi — itu tetap rahasia. Signal tidak mengumpulkan data ini. Jika dipaksa oleh panggilan pengadilan, Signal hampir tidak dapat mengungkapkan apa pun tentang penggunaan layanan Anda.
Pesan Signal tidak dapat secara realistis dibajak oleh peretas. Mereka harus membahayakan protokol enkripsi Signal, yang oleh para ahli keamanan dianggap sangat baik. (Sebaliknya, SS7 telah berulang kali dikompromikan.)
Ikan pari tidak dapat melihat percakapan Anda. Pihak berwenang tidak dapat mengintip konten pesan Signal — tidak tanpa mendapatkan ponsel yang berisi pesan tersebut. Yang dapat mereka lihat hanyalah lalu lintas terenkripsi yang dikirim bolak-balik ke server Signal.
Scam port-out yang menangkap nomor telepon Anda tidak akan memberikan akses ke akun Signal Anda. Anda dapat melindungi akun Signal Anda dengan PIN, jadi penipu tidak bisa begitu saja mengakses akun Signal Anda. Meskipun penipu entah bagaimana dapat menebak PIN Anda dan mengakses akun Signal Anda, pesan Signal Anda disimpan di ponsel Anda dan tidak akan disinkronkan ke perangkat baru mana pun yang mendapatkan akses ke akun Anda.

selengkapnya : HowToGeek

VLC Media Player 3.0.12 memperbaiki beberapa kelemahan eksekusi kode jarak jauh

January 21, 2021 by Winnie the Pooh

VideoLan merilis VLC Media Player versi 3.0.12 untuk Windows, Mac, dan Linux minggu lalu dengan banyak peningkatan, fitur, dan perbaikan keamanan.

Rilis ini merupakan peningkatan yang signifikan bagi pengguna Mac karena memberikan dukungan asli untuk Apple Silicon dan memperbaiki distorsi audio di macOS.

Selain perbaikan bug dan peningkatan, rilis ini juga memperbaiki berbagai kerentanan keamanan yang dilaporkan oleh Zhen Zhou dari Tim Keamanan NSFOCUS.

Kerentanan buffer overflow atau dereferensi yang tidak valid ini “dapat memicu crash VLC atau eksekusi kode jarak jauh dengan hak istimewa pengguna target.”

Menurut buletin keamanan VideoLan, pengguna jarak jauh dapat memanfaatkan kerentanan ini dengan membuat file media yang dibuat secara khusus dan menipu pengguna agar membukanya dengan VLC.

Sementara VideoLan menyatakan bahwa kerentanan ini kemungkinan akan merusak VLC Media Player, mereka memperingatkan bahwa penyerang dapat menggunakannya untuk membocorkan informasi atau menjalankan perintah pada perangkat dari jarak jauh.

Karena tingkat keparahan kerentanan ini dan untuk mendapatkan keuntungan dari peningkatan VLC 3.0.12, sangat disarankan agar semua pengguna mengunduh dan menginstal versi 3.0.12.

Sumber: Bleeping Computer

Beralih ke Signal? Aktifkan setelan ini sekarang untuk privasi dan keamanan yang lebih baik

January 16, 2021 by Winnie the Pooh

Tahukah Anda bahwa Anda dapat membuat Signal lebih aman? Ada beberapa perbedaan tampilan antara Signal versi iOS dan Android, tetapi tip ini berlaku untuk kedua platform.

Tempat pertama yang harus Anda tuju adalah layar Pengaturan. Untuk membukanya, ketuk inisial Anda di pojok kiri atas layar (di Android Anda juga dapat mengetuk tiga titik di kiri atas lalu Pengaturan).

Ada tiga pengaturan di iOS dan empat di Android yang saya sarankan untuk dinyalakan, dan beberapa lainnya layak untuk dilihat.

Kunci Layar (iOS dan Android): Berarti Anda harus memasukkan biometrik Anda (ID Wajah, ID Sentuh, sidik jari atau kode sandi) untuk mengakses aplikasi
Aktifkan Keamanan Layar (iOS) atau Keamanan Layar (Android): Di iPhone, ini mencegah pratinjau data ditampilkan di pengalih aplikasi, sedangkan di Android mencegah pengambilan tangkapan layar
Kunci Pendaftaran (iOS dan Android): Memerlukan PIN Anda saat mendaftar dengan Signal (cara praktis untuk mencegah perangkat kedua ditambahkan)
Incognito Keyboard (hanya Android): Mencegah keyboard mengirimkan apa yang Anda ketikkan ke pihak ketiga, yang dapat memungkinkan kebocoran data sensitif

sumber : ZDNET

Aplikasi pelacak kesuburan, Flo Health, menyelesaikan tuduhan FTC mengenai data yang tidak seharusnya dibagikan

January 14, 2021 by Winnie the Pooh

Aplikasi pelacak kesuburan, Flo Health, telah menyelesaikan tuduhan Komisi Perdagangan Federal (FTC) bahwa mereka membagikan data pengguna dengan pihak ketiga, meskipun mereka berjanji sebaliknya.

Sebagai bagian dari penyelesaian yang diusulkan, pengembang aplikasi pelacakan period dan kesuburan, yang menurut FTC digunakan oleh lebih dari 100 juta konsumen, diwajibkan untuk mendapatkan tinjauan independen atas praktik privasinya dan mendapatkan persetujuan pengguna aplikasi sebelum membagikan informasi kesehatan mereka.

Dalam keluhannya, FTC menuduh bahwa Flo berjanji untuk merahasiakan data kesehatan pengguna dan hanya menggunakannya untuk menyediakan layanan aplikasi kepada pengguna.

Menurut keluhan tersebut, Flo mengungkapkan data kesehatan dari jutaan pengguna aplikasi Flo Period & Ovulation Tracker-nya kepada pihak ketiga yang menyediakan layanan pemasaran dan analitik untuk aplikasi, termasuk divisi analitik Facebook, divisi analitik Google, layanan Fabric Google, AppsFlyer, dan Flurry.

Keluhan tersebut menuduh Flo tidak membatasi bagaimana pihak ketiga dapat menggunakan data kesehatan ini.

Flo tidak berhenti mengungkapkan data sensitif ini sampai praktiknya terungkap dalam artikel berita pada Februari 2019, yang memicu ratusan keluhan dari pengguna aplikasi, kata FTC.

Seorang Juru Bicara Flo memberi tahu ZDNet bahwa prioritas tertinggi perusahaan adalah melindungi data penggunanya.

“Itulah sebabnya kami telah bekerja sama sepenuhnya selama tinjauan FTC terhadap kebijakan dan prosedur privasi kami,” kata mereka.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Software / Application

Cookies Settings