Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Technology

Technology

Survei Gartner terhadap CIO menyoroti investasi dalam AI, cloud, dan keamanan siber

by

Sebuah survei baru dari Gartner menemukan bahwa mayoritas CIO (Chief Information Officer) memfokuskan investasi mereka tahun ini dan tahun depan pada AI dan teknologi cloud terdistribusi.

Survei Eksekutif Teknologi dan CIO 2022 menampilkan data yang dikumpulkan dari 2.387 responden CIO dan eksekutif teknologi di 85 negara, yang mewakili sekitar $9 triliun dalam anggaran pendapatan/sektor publik dan $198 miliar dalam pengeluaran TI.

Survei tersebut berfokus pada “komposabilitas bisnis”, — yang melibatkan pola pikir, teknologi, dan serangkaian kemampuan operasi yang memungkinkan organisasi untuk berinovasi dan beradaptasi dengan cepat terhadap perubahan kebutuhan bisnis.

Monika Sinha, wakil presiden riset di Gartner, mengatakan komposisi bisnis adalah “penangkal volatilitas.”

Menduduki daftar investasi yang direncanakan untuk tahun 2022, keamanan siber dan informasi dikutip oleh 66% dari semua responden sebagai bidang yang mereka harapkan untuk meningkatkan investasi untuk tahun depan.

Lebih dari setengahnya mengatakan intelijen bisnis dan analitik data juga akan menjadi area di mana mereka berencana untuk berinvestasi besar-besaran tahun depan.

Survei ini juga berfokus pada bagaimana CIO dapat mendorong pemikiran yang dapat disusun, arsitektur bisnis yang dapat disusun, dan teknologi yang dapat disusun.

Sinha mencatat bahwa bisnis berjalan di atas teknologi, tetapi teknologi itu sendiri harus dapat disusun untuk menjalankan bisnis yang dapat disusun. Komposabilitas, Sinha menjelaskan, perlu diperluas ke seluruh tumpukan teknologi, mulai dari infrastruktur yang mendukung integrasi cepat sistem baru dan mitra baru hingga teknologi tempat kerja yang mendukung pertukaran ide.

Selengkapnya: ZDNet

Beri Salam Untuk Ubuntu Frame

by

Kita menggunakan Ubuntu Linux Canonical di desktop, server, dan cloud sepanjang waktu. Tetapi Ubuntu juga menemukan jalannya ke tujuan yang lebih sempit. Misalnya, Ubuntu Core Linux sering digunakan di perangkat Internet of Things (IoT). Sekarang, dengan Ubuntu Frame, Ubuntu memiliki peran yang lebih khusus: tanda digital dan kios pengguna.

Ubuntu Frame memudahkan untuk membangun dan menyebarkan aplikasi grafis untuk kios interaktif, signage digital, atau produk lain yang membutuhkan output grafis. Selain hanya menyediakan basis Linux Ubuntu, ia juga dilengkapi dengan Direct Rendering Manager (DRM) dan Kernel Mode Setting (KMS) terintegrasi untuk mencadangkan tampilan.

Ini berarti Anda akan memiliki lebih sedikit kode untuk dikelola dan lebih sedikit peluang untuk bug dan kerentanan dalam kode yang belum dicoba. Semua ini, pada gilirannya, memberi programmer lebih banyak waktu untuk mengerjakan konten tampilan daripada menyempurnakan tampilan itu sendiri.

Ubuntu Frame juga dilengkapi dengan keamanan bawaan. Shell menyediakan komunikasi client-server yang aman berdasarkan protokol Wayland. Snap klien dan server berada dalam wadah yang terpisah dan aman, sehingga aplikasi hanya dapat berkomunikasi ke Frame Ubuntu melalui soket yang aman. Ini mengurangi vektor serangan yang tersedia untuk kode berbahaya. Snaps adalah paket perangkat lunak yang berda di dalam wadah kontainer.

Bersama dengan Ubuntu Core, Ubuntu Frame didukung hingga 10 tahun.

Selengkapnya: ZDNet

Edge computing: Arsitektur masa depan

by

Ketika teknologi meluas lebih dalam ke setiap aspek bisnis, ujung tombak sering kali adalah beberapa perangkat di tepi luar jaringan, apakah itu pengontrol industri yang terhubung, sensor kelembaban tanah, smartphone, atau kamera keamanan.

Internet of things yang menggelembung ini sudah mengumpulkan data berukuran petabyte, beberapa di antaranya diproses untuk analisis dan beberapa di antaranya segera dapat ditindaklanjuti. Jadi masalah arsitektur muncul: Anda tidak ingin menghubungkan semua perangkat itu dan mengalirkan semua data itu langsung ke beberapa cloud terpusat atau pusat data perusahaan. Latensi dan biaya transfer data terlalu tinggi.

Di situlah edge computing masuk. Edge menyediakan “infrastruktur perantara dan layanan penting antara pusat data inti dan smart endpoint,” seperti yang dikatakan oleh perusahaan riset IDC.

Dengan kata lain, edge computing menyediakan lapisan vital komputasi dan penyimpanan yang secara fisik dekat dengan endpoint IoT, sehingga perangkat kontrol dapat merespons dengan latensi rendah – dan pemrosesan analitik edge dapat mengurangi jumlah data yang perlu ditransfer ke inti.

Arsitektur edge juga mengguncang salah satu area IoT asli, perangkat medis. Memproses data IoT medis dalam skala besar adalah ide yang relatif baru, jelas kontributor Computerworld Mary K. Pratt dalam “The cutting edge of health care: How edge computing will transform medicine.”

Sayangnya, Anda tidak dapat menghindari fakta bahwa semakin Anda mendistribusikan komputasi dan penyimpanan secara fisik, semakin Anda meningkatkan area permukaan serangan Anda.

Selengkapnya: Network World

Grab ambil saham mayoritas di e-wallet Indonesia OVO

by

Perusahaan ride-hailing dan pembayaran Asia Tenggara Grab akan melipatgandakan kepemilikannya di e-wallet OVO Indonesia menjadi 90%, kata perusahaan Indonesia itu pada hari Senin, sambil menunggu persetujuan dari regulator.

Tiga sumber yang mengetahui kesepakatan tersebut mengatakan kepada Reuters bahwa Grab telah membeli saham konglomerat Indonesia Lippo, yang meluncurkan OVO, dan platform e-commerce Tokopedia.

Saham Grab yang berbasis di Singapura akan berkembang dari 39% saat ini, menurut pengajuan peraturan yang diserahkan kepada pihak berwenang Indonesia, dalam tahap pertama restrukturisasinya.

“Kami menyambut baik komitmen yang lebih besar dari Grab di OVO. Kami bekerja dalam konsultasi erat dengan regulator untuk menyelesaikan proses restrukturisasi kepemilikan,” kata OVO dalam sebuah pernyataan.

OVO adalah salah satu e-wallet terbesar di Indonesia. Pada 2019, OVO bernilai $ 2,9 miliar dan telah diunduh lebih dari 100 juta kali.

Sumber: Reuters

Akademisi menemukan lapisan tersembunyi di Great Firewall China

by

Sebuah tim akademisi dari University of Maryland telah menemukan lapisan tersembunyi sebelumnya dalam sistem sensor Great Firewall China.

Diperkenalkan pada akhir 90-an, Great Firewall (GFW) adalah sistem kotak tengah yang dipasang di titik pertukaran internet China dan penyedia layanan internet yang memungkinkan pemerintah untuk mencegat lalu lintas internet, mengendus kontennya, dan memblokir koneksi ke situs web dan server yang dianggap tidak dapat diterima oleh negara.

Meskipun ada mekanisme sensor yang berbeda di dalam Great Firewall China yang melayani protokol yang berbeda, sistemnya yang paling kuat dan canggih secara teknis adalah yang dimaksudkan untuk menangani lalu lintas web terenkripsi HTTPS.

Saat ini, mekanisme sensor HTTPS ini mencakup dua sistem terpisah.

Yang pertama, dan yang tertua, adalah yang bekerja dengan mencegat koneksi HTTPS pada tahap awal dan kemudian melihat bidang data koneksi yang disebut SNI, yang memperlihatkan domain yang coba diakses pengguna.

Yang kedua, diperkenalkan tahun lalu, mirip dengan yang pertama tetapi melayani koneksi HTTPS yang menggunakan protokol modern yang mengenkripsi bidang SNI (sebagai eSNI).

Karena sistem ini tidak dapat melihat apa yang pengguna domain coba akses, mekanisme sensor ini jauh lebih tumpul karena GFW hanya memblokir semua koneksi di mana bidang eSNI terdeteksi.

Namun dalam makalah penelitian [PDF], akademisi dari University of Maryland mengungkapkan bahwa mereka menemukan sistem penyaringan HTTPS SNI sekunder bekerja secara paralel dengan yang pertama.

“Ini sebenarnya adalah penemuan yang tidak disengaja, dan sesuatu yang kami temukan di tahun 2019,” Kevin Bock, Ph.D. kandidat di departemen ilmu komputer di University of Maryland, mengatakan kepada The Record dalam email.

“Kami mulai menemukan strategi aneh di mana Geneva [sistem penghindaran sensor] dapat menghindari sensor di bagian pertama handshake TLS (di mana penyensoran dipahami terjadi), tetapi masih gagal lebih dalam di jabat tangan.”

Bock dan rekan-rekannya mengatakan sistem ini sama efektifnya dengan lapisan pertama dalam menyensor lalu lintas HTTPS, bahkan jika itu mengintervensi pada tahap terakhir koneksi.

“Penemuan ini berarti bahwa GFW sekarang menjalankan setidaknya tiga middlebox berbeda secara paralel dengan menyensor HTTPS: dua untuk koneksi berbasis SNI dan keluarga middlebox lainnya sepenuhnya untuk menyensor koneksi berbasis ESNI,” tambah peneliti.

Sumber: The Record

Bangkitnya Bot Intersepsi One-Time Password (OTP)

by

Pada bulan Februari, KrebsOnSecurity menulis tentang layanan kejahatan dunia maya baru yang membantu penyerang melakukan intersepsi pada One-Time Password(OTP) yang dibutuhkan banyak situs web sebagai faktor otentikasi kedua selain kata sandi. Layanan itu hanya muncul sesaat kemudian menghilang, tetapi penelitian baru mengungkapkan sejumlah pesaing telah meluncurkan layanan berbasis bot yang membuatnya relatif mudah bagi penjahat untuk mengelabui OTP dari target. Layanan baru tersebut beroperasi melalui Telegram, sistem pesan instan berbasis cloud.

Intel471 mengatakan salah satu bot Telegram OTP baru adalah “SMSRanger” populer karena sangat mudah digunakan, serta karena banyak testimonial yang diposting oleh pelanggan yang tampak senang dengan tingkat keberhasilannya yang tinggi dalam mengekstrak token OTP ketika penyerang sudah memiliki target “fullz”, informasi pribadi seperti nomor Jaminan Sosial dan tanggal lahir.

“Mereka yang membayar untuk akses dapat menggunakan bot dengan memasukkan perintah yang mirip dengan bagaimana bot digunakan pada alat kolaborasi tenaga kerja populer Slack.

Perintah slash sederhana memungkinkan pengguna untuk mengaktifkan berbagai ‘mode’ — skrip yang ditujukan sebagai berbagai layanan — yang dapat menargetkan bank tertentu, serta PayPal, Apple Pay, Google Pay, atau operator nirkabel. Setelah nomor telepon target dimasukkan, bot melakukan sisa pekerjaan, yang pada akhirnya memberikan akses ke akun apa pun yang telah ditargetkan.

Pengguna mengklaim bahwa SMSRanger memiliki tingkat kemanjuran sekitar 80% jika korban menjawab panggilan dan informasi lengkap (fullz) yang diberikan pengguna akurat dan diperbarui” Tambah peneliti Intel471.

Selengkapnya: Krebs on Security

Mempersiapkan ‘zaman keemasan’ kecerdasan buatan dan pembelajaran mesin

by

Sebuah survei baru terhadap eksekutif TI yang dilakukan oleh ZDNet menemukan bahwa perusahaan membutuhkan lebih banyak data engineer, ilmuwan data, dan pengembang untuk mencapai tujuan ini.

Survei tersebut mengkonfirmasi bahwa inisiatif AI dan ML berada di depan dan tengah di sebagian besar perusahaan. Pada bulan Agustus, ketika ZDNet melakukan survei, hampir setengah dari perwakilan perusahaan (44%) memiliki teknologi berbasis AI yang secara aktif sedang dibangun atau digunakan.

22% lainnya memiliki proyek yang sedang dikembangkan. Upaya di bidang ini masih baru dan sedang berkembang — 59% perusahaan yang disurvei telah bekerja dengan AI selama kurang dari tiga tahun. Responden survei termasuk eksekutif, CIO, CTO, analis/analis sistem, arsitek perusahaan, pengembang, dan manajer proyek. Perwakilan Industri termasuk teknologi, jasa, ritel, dan jasa keuangan. Ukuran perusahaan bervariasi.

Sumber: ZDNet

Swami Sivasubramanian, VP pembelajaran mesin di Amazon Web Services, menyebut ini “zaman keemasan” AI dan pembelajaran mesin. Itu karena teknologi ini “menjadi bagian inti dari bisnis di seluruh dunia.”

Tim TI memimpin langsung dalam upaya tersebut, dengan sebagian besar perusahaan membangun sistem mereka sendiri. Hampir dua pertiga responden, 63%, melaporkan bahwa sistem AI mereka dibangun dan dipelihara oleh staf TI internal.

Hampir setengah, 45%, juga berlangganan layanan terkait AI melalui penyedia Software as a Service (SaaS). 30% lainnya menggunakan Platform as a Service (PaaS), dan 28% beralih ke konsultan atau perusahaan jasa luar.

Selengkapnya: ZDNet

Payment API Mengekspos Jutaan Data Pembayaran Pengguna

by

Pengembang aplikasi sekali lagi dituduh memiliki butterfingers dalam hal kunci API, membuat jutaan pengguna aplikasi seluler berisiko mengekspos data pribadi dan pembayaran mereka.

CloudSEK, pembuat kecerdasan buatan yang mengaktifkan perlindungan ancaman digital, melaporkan minggu lalu bahwa bahwa berbagai perusahaan yang melayani jutaan pengguna memiliki aplikasi seluler dengan kunci API yang di-hardcode dalam paket aplikasi: Kunci yang tidak boleh diekspos di aplikasi endpoint.

“Meskipun paparan kunci API yang merajalela berbahaya untuk aplikasi apa pun, ini sangat penting ketika menyangkut aplikasi yang menangani informasi pembayaran seperti detail bank, informasi kartu kredit, dan transaksi UPI, selain pengguna [personally identifiable information, atau PII]. ],” menurut laporan CloudSEK.

API – antarmuka pemrograman aplikasi – adalah urat nadi dan arteri ekosistem seluler, memungkinkan aplikasi berkomunikasi dengan berbagai sumber dan memindahkan data masuk dan keluar dari aplikasi tersebut. Ini adalah bagian “integral” dari cara kerja aplikasi, kata CloudSEK, yang berarti bahwa pengembang aplikasi harus menanganinya dengan sangat hati-hati untuk menghindari kebocoran data pelanggan: “Setiap kesalahan penanganan kunci API yang sistematis di antara pengembang aplikasi dapat menyebabkan ancaman bagi bisnis aplikasi,” para peneliti menyampaikan.

Para peneliti fokus pada 13.000 aplikasi yang saat ini diunggah ke mesin pencari keamanan aplikasi seluler CloudSEK, BeVigil, sekitar 250 di antaranya – sekitar 5 persen – menggunakan Razorpay API untuk menggerakkan transaksi keuangan.

CloudSEK menegaskan, eksposur kunci API menjadi “bukti bagaimana kunci API salah ditangani oleh pengembang aplikasi.”

Selengkapnya: The Threat Post