Technology

Akhirnya Zoom Menambahkan Pembaruan Otomatis ke Windows dan macOS

November 30, 2021 by Eevee

Zoom hari ini telah mengumumkan peluncuran fitur pembaruan otomatis yang dirancang untuk merampingkan proses pembaruan untuk klien desktop.

Fitur baru ini saat ini hanya tersedia untuk klien Zoom desktop di Windows dan macOS, platform Linux saat ini tidak didukung.

Zoom mengatakan bahwa pengguna perangkat seluler juga dapat memperbarui aplikasi mereka secara otomatis melalui pemutakhiran otomatis bawaan appstore masing-masing.

“Untuk sebagian besar pengguna individu, pembaruan otomatis akan diaktifkan secara default. Ketika diaktifkan, pengguna akan memiliki kesempatan untuk memilih keluar dari pembaruan otomatis untuk klien desktop mereka setelah menginstal pertama atau pembaruan pertama di mana fitur ini hadir, “kata Jeromie Clark, Manajer Produk Teknis Keamanan &Privasi di Zoom.

Pengguna juga dapat mengubah preferensi ini kapan saja dengan memeriksa atau mencentang ‘Secara otomatis menjaga Zoom saya tetap up to date’ di bawah Pengaturan > Zoom > Umum.”

Pengguna Zoom akan dapat beralih antara frekuensi pembaruan Lambat dan Cepat, dengan pembaruan yang lebih jarang dan fokus pada memaksimalkan stabilitas saat opsi Slow dipilih. Fitur dan pembaruan terbaru akan diinstal segera setelah tersedia saat memilih saluran pembaruan Cepat.

Namun, terlepas dari saluran pembaruan yang dipilih, pembaruan keamanan klien Zoom yang penting akan secara otomatis diluncurkan ke semua pengguna dengan pembaruan otomatis diaktifkan.

Sementara platform juga memberikan pembaruan otomatis sebelum ini kepada pengguna perusahaan, pembaruan ini “memperluas audiens yang dituju untuk menyertakan semua pengguna klien desktop individu yang bukan anggota organisasi perusahaan.”

Zoom juga telah menambahkan dukungan otentikasi dua faktor (2FA) ke semua akun pada Bulan September 2020, enkripsi end-to-end (E2EE) pada Oktober 2020, dan peningkatan keamanan untuk menghentikan troll zoombombing satu bulan kemudian.

Perangkat lunak konferensi video telah menjadi cara yang sangat populer untuk tetap berhubungan dengan teman dan menyelenggarakan pertemuan online sejak pandemi dimulai.

Peluncuran pembaruan otomatis untuk klien desktop hadir pada waktu yang pas, melihat bahwa Zoom telah menambal lebih dari selusin kelemahan keamanan tingkat menengah dan tinggi dalam dua bulan terakhir saja.

Pada bulan April, Zoom Messenger juga diretas di kompetisi Pwn2Own 2021 oleh Computest Daan Keuper dan Thijs Alkemade. Mereka mendapatkan eksekusi kode pada perangkat yang ditargetkan menggunakan rantai eksploitasi nol klik yang menggabungkan tiga bug zero-day Zoom.

Sumber: Bleepingcomputer

Otentikasi biometrik dapat dilewati menggunakan foto sidik jari, printer, dan lem

November 23, 2021 by Eevee

Para peneliti menunjukkan bahwa sidik jari dapat dikloning untuk otentikasi biometrik hanya dengan $5 tanpa menggunakan alat canggih.

Meskipun otentikasi biometrik berbasis sidik jari umumnya dianggap lebih unggul daripada PIN dan kata sandi dalam hal keamanan, fakta bahwa jejak dapat ditinggalkan di banyak tempat umum membuatnya siap untuk disalahgunakan.

Telah terbukti sebelumnya bahwa ada cara untuk mengumpulkan dan menggunakan sidik jari orang untuk mengelabui sensor yang paling canggih sekalipun. Namun, ini biasanya melibatkan penggunaan alat khusus seperti kamera DSLR dan printer 3D dengan ketelitian tinggi.

Menurut tim Kraken Security Labs, ada cara untuk mengkloning sidik jari menggunakan bahan murah, tanpa alat canggih yang terlibat dalam setiap langkah proses, yaitu menggunakan sebuah printer dan beberapa lem.

Caranya adalah memotret sidik jari tersebut menggunakan smartphone modern kemudian melakukan pengeditan dasar, ini cukup untuk menyesuaikan garis luar sidik jari yang dicuri dan mempersiapkannya untuk langkah pencetakan, jadi tidak diperlukan gambar DSLR beresolusi tinggi.

Untuk langkah pencetakan, setiap printer laser yang menerima lembaran asetat akan cocok untuk serangan itu. Asetat biasanya digunakan untuk kartu, stensil, dan overlay, tetapi sangat ideal dalam kasus ini karena printer laser dapat mengetsanya.

Setelah pencetakan selesai, sidik jari sintetis dapat disatukan dengan mengoleskan lem kayu di atas cetakan dan membiarkannya kering.

Membuka kunci MacBook Pro dengan sidik jari yang dikloning
Sumber: Kraken

Melalui pengujian, tim Kraken menemukan bahwa sidik jari yang dihasilkan dapat mengelabui sensor sidik jari tercanggih seperti yang digunakan pada MacBook Pro terbaru.

Temuan Kraken tidak berarti bahwa akhir dari sidik jari sudah dekat, tetapi ini adalah pengingat yang baik tentang mengapa orang tidak boleh memperlakukan mereka sebagai satu lapisan perlindungan untuk akun mereka.

Sidik jari adalah metode autentikasi biometrik yang nyaman, tetapi jika menyangkut aplikasi penting, sidik jari hanya boleh digunakan sebagai 2FA bersama dengan kata sandi yang kuat.

“Sidik jari tidak boleh dianggap sebagai alternatif yang aman untuk kata sandi yang kuat. Melakukan hal itu membuat informasi Anda – dan, berpotensi, aset kripto Anda – rentan bahkan terhadap penyerang yang paling tidak canggih sekalipun,” jelas para peneliti Kraken.

Seiring kemajuan teknologi dan elektronik konsumen berbiaya rendah menjadi lebih mampu menghasilkan hasil fidelitas tinggi, sidik jari akan lebih mudah untuk dikloning.

Sumber : Bleeping Computer

Mengapa Netflix Hampir Tidak Pernah Down

November 19, 2021 by Winnie the Pooh

Ketika ratusan ribu orang di seluruh dunia demam Squid Game Netflix bulan lalu, penonton mungkin telah menerima sesuatu yang cukup luar biasa secara cuma-cuma. Netflix tidak menyerah di bawah permintaan yang belum pernah terjadi sebelumnya untuk drama dystopian yang akan menjadi judul paling sukses hingga saat ini — bahkan ketika layanan lain telah berjuang untuk menjaga produk mereka tetap kokoh dalam keadaan yang tidak terlalu menuntut.

Disney Plus mengalami crash pada hari pertama karena perangkat lunaknya tidak dapat menangani permintaan yang besar (dan kemudian down lagi di bawah permintaan untuk WandaVision). HBO Max sangat rusak secara fundamental sehingga kepemimpinannya sendiri telah mengakui bahwa aplikasi itu berantakan. Bahkan Instagram, yang fitur Stories-nya menjadikannya semacam layanan streaming dengan sendirinya, sering mengalami crash sehingga mulai memberi tahu penggunanya saat mengalami gangguan.

Keberanian layanan, rekayasa di balik aplikasi itu sendiri, adalah dasar dari kesuksesan setiap streamer, dan Netflix telah menghabiskan 10 tahun terakhir membangun jaringan server yang luas yang disebut Open Connect untuk menghindari adanya kendala pada streaming modern. Ini adalah hal yang memungkinkan Netflix untuk menyajikan pengalaman yang jauh lebih andal daripada pesaingnya dan tidak goyah ketika sekitar 111 juta pengguna menonton Squid Game selama minggu-minggu awal layanan.

Open Connect adalah jaringan distribusi konten internal Netflix yang dibuat khusus untuk menayangkan acara TV dan filmnya.

Tanpa sistem seperti Open Connect atau CDN (content delivery networks) pihak ketiga, permintaan konten oleh ISP harus “melalui titik peering dan mungkin transit empat atau lima jaringan lain hingga sampai ke asal, atau tempat yang menampung kontennya,” kata Will Law, kepala arsitek teknik media di Akamai, jaringan pengiriman konten utama, kepada The Verge. Itu tidak hanya memperlambat pengiriman, tetapi juga mahal karena ISP mungkin harus membayar untuk mengakses konten tersebut.

“Kami, Open Connect, membawa salinan Bridgerton di titik terdekat ke penyedia layanan internet Anda — dalam beberapa kasus, tepat di dalam jaringan penyedia layanan internet Anda — dan itu pada dasarnya menghindari beban penyedia layanan internet untuk mendapatkan dan mentransfernya melalui semua server di internet ke Anda,” kata Haspilaire kepada The Verge.

Dan mereka ada di mana-mana. Saat ini, Netflix mengatakan memiliki 17.000 server yang tersebar di 158 negara, dan perusahaan tersebut mengatakan bahwa pihaknya berencana untuk terus memperluas jaringan pengiriman kontennya.

Hal yang paling diperhatikan Netflix adalah memberikan pengalaman menonton yang baik terlepas dari seberapa buruk ISP Anda.

Untuk melakukan itu, Netflix secara efektif mengirimkan tiga salinan dari masing-masing judulnya ke servernya, masing-masing dengan tingkat kualitas yang berbeda. Jika ISP Anda kewalahan atau internet Anda berhenti sejenak, sistem dapat menukar judul dengan versi bitrate yang lebih rendah, membantu Anda mempertahankan streaming tanpa gangguan.

Netflix kemudian mengacak video di sekitar servernya berdasarkan apa yang diharapkan untuk mendapatkan perhatian paling besar. Open Connect memiliki dua jenis server: flash, yang menangani pengiriman lebih cepat, dan storage, yang menampung hingga 350 TB data. Jika sesuatu yang tersimpan di server storage menjadi populer, Netflix akan memindahkan judul itu ke server flash.

Open Connect adalah salah satu pendorong di balik layar terbesar di balik kemampuan Netflix untuk bekerja sebaik yang dilakukannya selama pandemi. Tetapi ada banyak bagian lain yang membuat Netflix jauh di depan dari para pesaingnya.

Selengkapnya: The Verge

SynapseML sumber terbuka Microsoft untuk mengembangkan saluran AI

November 19, 2021 by Winnie the Pooh

Microsoft pada hari Rabu kemarin mengumumkan rilis SynapseML (sebelumnya MMLSpark), sebuah library open source yang dirancang untuk menyederhanakan pembuatan pipeline machine learning.

Dengan SynapseML, pengembang dapat membangun sistem “skala dan cerdas” untuk memecahkan tantangan di seluruh domain, termasuk analitik teks, terjemahan, dan pemrosesan ucapan, kata Microsoft.

“Selama lima tahun terakhir, kami telah bekerja untuk meningkatkan dan menstabilkan perpustakaan SynapseML untuk beban kerja produksi. Pengembang yang menggunakan Azure Synapse Analytics akan senang mengetahui bahwa SynapseML sekarang tersedia secara umum di layanan ini dengan dukungan perusahaan [di Azure Synapse Analytics],” Engineer perangkat lunak Microsoft Mark Hamilton menulis dalam sebuah posting blog.

Seperti yang dijelaskan Microsoft di situs web proyek, SynapseML memperluas Apache Spark, mesin sumber terbuka untuk pemrosesan data skala besar, dalam beberapa arah baru: “[Alat di SynapseML] memungkinkan pengguna untuk membuat model yang kuat dan sangat skalabel yang mencakup beberapa [ pembelajaran mesin] ekosistem.

SynapseML juga menghadirkan kemampuan jaringan baru ke ekosistem Spark. Dengan proyek HTTP on Spark, pengguna dapat menyematkan layanan web apa pun ke dalam model SparkML mereka dan menggunakan kluster Spark mereka untuk alur kerja jaringan yang masif.”

SynapseML juga memungkinkan pengembang untuk menggunakan model dari ekosistem pembelajaran mesin yang berbeda melalui Open Neural Network Exchange (ONNX), kerangka kerja dan runtime yang dikembangkan bersama oleh Microsoft dan Facebook. Dengan integrasi, pengembang dapat mengeksekusi berbagai model pembelajaran klasik dan mesin hanya dengan beberapa baris kode.

Selengkapya: Venturebeat

Peretas TeamTNT Menargetkan Server Docker Yang Tidak Dikonfigurasi Dengan Baik

November 11, 2021 by Winnie the Pooh

Server Docker yang dikonfigurasi dengan buruk sedang aktif ditargetkan oleh grup peretasan TeamTNT dalam kampanye yang sedang berlangsung dimulai dari bulan lalu.

Menurut sebuah laporan oleh para peneliti di TrendMicro, para aktor memiliki tiga tujuan berbeda: untuk menginstal cryptominers Monero, memindai instance Docker yang rentan terhadap Internet, dan melakukan pelarian container-to-host untuk mengakses jaringan utama.

Seperti yang diilustrasikan dalam alur kerja serangan, serangan dimulai dengan membuat wadah pada host yang rentan menggunakan Docker REST API yang terbuka.

Alamat IP yang digunakan untuk infrastruktur TeamTNT saat ini (45[.]9[.]148[.]182) telah dikaitkan dengan beberapa domain yang melayani malware di masa lalu.

TrendMicro melaporkan bahwa kampanye ini juga menggunakan akun Docker Hub yang disusupi yang dikendalikan oleh TeamTNT untuk menghapus gambar Docker yang berbahaya.

Menggunakan akun Docker Hub yang disusupi membuat titik distribusi lebih andal bagi para aktor, karena lebih sulit untuk dipetakan, dilaporkan, dan dihapus.

TeamTNT adalah aktor canggih yang terus-menerus mengembangkan tekniknya, mengubah fokus penargetan jangka pendek tetapi tetap menjadi ancaman konstan bagi sistem Docker yang rentan.

Mereka pertama kali membuat worm untuk mengeksploitasi Docker dan Kubernetes secara massal pada Agustus 2020.

Selengkapnya: Bleeping Computer

Kelompok peretas mengatakan telah menemukan kunci enkripsi yang diperlukan untuk membuka kunci PS5

November 10, 2021 by Winnie the Pooh

Kelompok peretas Fail0verflow mengumumkan pada Minggu malam bahwa mereka telah memperoleh “kunci root” enkripsi untuk PlayStation 5, langkah pertama yang penting dalam upaya apa pun untuk membuka kunci sistem dan memungkinkan pengguna menjalankan software buatan sendiri.

Pengumuman yang di-tweet termasuk gambar dari apa yang tampak sebagai file firmware terdekripsi PS5, menyoroti kode yang merujuk pada “secure loader” sistem.

Menganalisis firmware yang didekripsi itu dapat membuat Fail0verflow (atau peretas lain) merekayasa balik kode dan membuat firmware khusus dengan kemampuan memuat perangkat lunak PS5 buatan.

Selain kunci enkripsi/dekripsi simetris yang tampaknya telah ditemukan, kunci asimetris terpisah diperlukan untuk memvalidasi perangkat lunak buatan agar dilihat sebagai asli oleh sistem.

Mengekstrak perangkat lunak sistem PS5 dan menginstal pengganti keduanya memerlukan semacam exploit yang menyediakan akses baca dan/atau tulis ke kernel PS5 yang biasanya aman.

Posting Fail0verflow tidak merinci eksploitasi yang digunakan grup, tetapi tweet tersebut mengatakan bahwa kunci tersebut “diperoleh dari perangkat lunak,” menunjukkan bahwa grup tersebut tidak perlu melakukan modifikasi apa pun pada perangkat keras itu sendiri.

Secara terpisah akhir pekan ini, peretas PlayStation terkenal theFlow0 mentweet tangkapan layar yang menunjukkan opsi “Pengaturan Debug” di tengah daftar pengaturan PS5 yang biasa.

Seperti yang dijelaskan oleh situs berita peretasan konsol Wololo, pengaturan debug ini sebelumnya hanya terlihat pada perangkat keras pengembangan, di mana GUI terlihat sangat berbeda.

Tetapi tweet TheFlow0 tampaknya berasal dari fungsi berbagi bawaan dari PS5 ritel, menunjukkan bahwa ia juga telah menggunakan eksploitasi untuk mengaktifkan flag internal yang membuka kunci mode pada perangkat keras konsumen standar.

Selengkapnya: Ars Technica

Bot yang Mencuri Kode 2FA Sedang Populer Di Pasar Bawah Tanah

November 4, 2021 by Winnie the Pooh

Panggilan itu datang dari sistem pencegahan penipuan PayPal. Seseorang telah mencoba menggunakan akun PayPal saya untuk menghabiskan $58,82, menurut suara otomatis di telepon. PayPal perlu memverifikasi identitas saya untuk memblokir transfer.

“Untuk mengamankan akun Anda, silakan masukkan kode yang kami kirimkan ke perangkat seluler Anda sekarang,” kata suara itu. PayPal terkadang mengirimkan kode kepada pengguna untuk melindungi akun mereka. Setelah memasukkan string enam digit, suara itu berkata, “Terima kasih, akun Anda telah diamankan dan permintaan ini telah diblokir.”

“Jangan khawatir jika ada pembayaran yang telah dibebankan ke akun Anda: kami akan mengembalikannya dalam waktu 24 hingga 48 jam. ID referensi Anda adalah 1549926. Sekarang Anda dapat menutup telepon,” kata suara itu.

Tapi panggilan ini sebenarnya dari seorang hacker. Penipu menggunakan jenis bot yang secara drastis merampingkan proses peretas untuk mengelabui korban agar menyerahkan kode otentikasi multi-faktor atau kata sandi satu kali (OTP) mereka untuk semua jenis layanan, membiarkan mereka masuk atau mengotorisasi transaksi transfer tunai. Berbagai bot menargetkan Apple Pay, PayPal, Amazon, Coinbase, dan berbagai bank tertentu.

Motherboard meminta seseorang bernama Kaneki yang menjual salah satu bot ini secara online untuk mendemonstrasikan kemampuannya dengan mengirimkan panggilan otomatis ke telepon reporter Motherboard. Setelah memasukkan kode, Kaneki menunjukkan bot mereka telah menerima kode yang sama.

Dengan bot yang berharga beberapa ratus dolar ini, siapa pun dapat mulai mendapatkan otentikasi multi-faktor, tindakan keamanan yang mungkin diasumsikan oleh banyak anggota masyarakat sebagian besar aman.

Untuk membobol akun, seorang peretas akan membutuhkan nama pengguna atau alamat email dan kata sandi korban. Mereka mungkin bersumber dari pelanggaran data sebelumnya yang berisi kredensial yang digunakan kembali oleh banyak orang di internet. Atau mereka dapat membeli satu set “log bank”—detail login—dari seorang spammer, kata OPTGOD777. Tetapi korban mungkin mengaktifkan otentikasi multi-faktor, di situlah bot masuk.

Baik di Telegram atau Discord, peretas memasukkan nomor telepon target mereka dan platform yang ingin dibobol peretas. Di latar belakang, bot kemudian menempatkan panggilan otomatis ke target.

Ketika bot melakukan panggilan otomatis dan meminta korban untuk memasukkan kode yang baru saja mereka terima, peretas akan secara bersamaan memicu kode yang sah untuk dikirim dari platform yang ditargetkan ke ponsel korban. Mereka dapat melakukan ini dengan memasukkan nama pengguna dan kata sandi korban di situs sehingga korban menerima kode login atau otorisasi.

Bot kemudian mengambil kode yang dimasukkan korban, memasukkannya kembali ke antarmuka bot, dan peretas kemudian dapat menggunakan kode tersebut untuk login.

Di luar situs atau layanan seperti Amazon, PayPal, dan Venmo, beberapa bot juga menargetkan bank tertentu, seperti Bank of America dan Chase.

Selengkapnya: Vice

Yahoo menarik diri dari China untuk selamanya

November 3, 2021 by Winnie the Pooh

Yahoo telah menutup akses ke layanannya di China, menjadi perusahaan teknologi Amerika terbaru yang keluar dari negara itu.

Yahoo menarik steker “sebagai pengakuan atas lingkungan bisnis dan hukum yang semakin menantang,” kata juru bicara Yahoo dalam sebuah pernyataan.

“Yahoo tetap berkomitmen pada hak-hak pengguna kami dan internet yang bebas dan terbuka. Kami berterima kasih kepada pengguna kami atas dukungan mereka.”

Akses ke banyak fitur Yahoo di China telah menghilang sejak 2013, termasuk email dan berita. Pada 2015, Yahoo menutup kantornya di Beijing dan menghilangkan sekitar 300 pekerjaan.

Yahoo bergabung dengan jejaring sosial LinkedIn Microsoft (MSFT), yang bulan lalu mengumumkan bahwa mereka akan meninggalkan China karena “lingkungan operasi yang jauh lebih menantang dan persyaratan kepatuhan yang lebih besar di China.”

Beroperasi di China telah lama menimbulkan banyak tantangan bagi perusahaan swasta, tetapi Presiden China Xi Jinping telah mengatur tindakan keras regulasi terhadap industri teknologi, pendidikan, game, dan hiburan dalam beberapa bulan terakhir yang telah menghapus sejumlah besar nilai pasar dari perusahaan-perusahaan terbesar China.

Yahoo pernah menjadi salah satu perusahaan teknologi terbesar di dunia, tetapi pengaruhnya berkurang drastis selama dekade terakhir. Beberapa CEO mencoba mengubah perusahaan, tetapi mereka akhirnya gagal mendapatkan kembali pangsa pasar pencarian dan periklanan yang pernah didominasi Yahoo. Baru-baru ini dibeli oleh Apollo Global Management dari Verizon sebagai bagian dari kesepakatan senilai $5 miliar.

Selengkapnya: CNN

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Technology

Cookies Settings