Technology

Kebocoran Informasi di API Kebijakan Berbasis Sumber Daya AWS

November 19, 2020 by Mally

Peneliti Unit 42 menemukan kelas API Amazon Web Services (AWS) yang dapat disalahgunakan untuk membocorkan pengguna dan peran AWS Identity and Access Management (IAM) di akun arbitrer. Peneliti mengonfirmasi bahwa 22 API di 16 layanan AWS yang berbeda dapat disalahgunakan dengan cara yang sama dan eksploitasi tersebut berfungsi di ketiga partisi AWS (aws, aws-us-gov atau aws-cn). Layanan AWS yang berpotensi disalahgunakan oleh penyerang mencakup Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS), dan Amazon Simple Queue Service (SQS). Aktor jahat dapat memperoleh daftar akun, mempelajari struktur internal organisasi, dan meluncurkan serangan yang ditargetkan terhadap individu. Dalam latihan Tim Merah baru-baru ini, peneliti Unit 42 membobol akun cloud pelanggan dengan ribuan beban kerja menggunakan peran IAM yang salah dikonfigurasi yang diidentifikasi oleh teknik ini.

Akar penyebab masalah ini adalah bahwa backend AWS secara proaktif memvalidasi semua kebijakan berbasis sumber daya yang dilampirkan ke sumber daya seperti keranjang Amazon Simple Storage Service (S3) dan kunci yang dikelola pelanggan. Kebijakan berbasis sumber daya biasanya mencakup bidang Prinsipal yang menentukan identitas (pengguna atau peran) yang diizinkan untuk mengakses sumber daya. Jika kebijakan berisi identitas yang tidak ada, panggilan API yang membuat atau memperbarui kebijakan akan gagal dengan pesan kesalahan. Namun, fitur praktis ini dapat disalahgunakan untuk memeriksa apakah ada identitas di akun AWS. Musuh dapat berulang kali memanggil API ini dengan prinsipal yang berbeda untuk menghitung pengguna dan peran dalam akun yang ditargetkan. Selain itu, akun yang ditargetkan tidak dapat mengamati pencacahan karena log API dan pesan kesalahan hanya muncul di akun penyerang tempat kebijakan sumber daya dimanipulasi. Sifat teknik yang “tersembunyi” membuat deteksi dan pencegahan menjadi sulit. Penyerang dapat memiliki waktu tidak terbatas untuk melakukan pengintaian pada akun AWS yang ditargetkan atau acak tanpa khawatir akan diketahui.

Mendeteksi dan mencegah pengintaian identitas menggunakan teknik ini sulit dilakukan karena tidak ada log yang dapat diamati di akun yang ditargetkan. Namun, kebersihan keamanan IAM yang baik masih dapat secara efektif mengurangi ancaman dari jenis serangan ini. Meskipun tidak mungkin mencegah penyerang menyebutkan identitas di akun AWS, pencacahan dapat menjadi lebih sulit dan Anda dapat memantau aktivitas mencurigakan yang dilakukan setelah pengintaian. Untuk mengurangi masalah ini, kami merekomendasikan praktik terbaik keamanan IAM berikut untuk organisasi:

-Hapus pengguna dan peran yang tidak aktif untuk mengurangi permukaan serangan.
-Tambahkan string acak ke nama pengguna dan nama peran agar lebih sulit ditebak.
-Masuk dengan penyedia identitas dan federasi, sehingga tidak ada pengguna tambahan yang dibuat di akun AWS.
-Catat dan pantau semua aktivitas otentikasi identitas.
-Aktifkan otentikasi dua faktor (2FA) untuk setiap pengguna dan peran IAM.

sumber : UNIT42.PaloAlto

Fitur Apple iOS Safari dapat digunakan untuk berbagi Headline “berita palsu”

November 15, 2020 by Mally

Fitur berbagi tautan di browser Apple Safari versi iOS memungkinkan pengguna iPhone, iPad, dan iPod Touch mengubah berita utama saat berbagi bagian halaman web. Seorang peneliti telah menyuarakan keprihatinan bahwa fitur ini dapat disalahgunakan tidak hanya untuk membuat lelucon yang tidak berbahaya tetapi juga untuk berbagi “berita palsu” yang berdampak lebih luas.

Saat menelusuri halaman web, seperti artikel berita di browser web Safari pada iPhone atau iPad, pengguna dapat memilih untuk memilih dan membagikan sebagian kutipan teks dari halaman tersebut, daripada seluruh halaman itu sendiri. Namun, kutipan teks juga dapat berasal dari kolom input teks yang dapat dikontrol dan diedit oleh pengguna. Meskipun temuan terkait masalah ini dipublikasikan pada awal 2019, perangkat Apple iOS terbaru terus dikirimkan dengan fitur ini diaktifkan.

Josh Long, Kepala Analis Keamanan di Intego percaya selain lelucon yang tidak berbahaya, fitur ini dapat memiliki dampak yang lebih luas jika disalahgunakan untuk menyebarkan informasi palsu. Long memberi tahu BleepingComputer bahwa dia telah menguji versi terbaru iOS yang dirilis bulan ini tetapi fiturnya, atau lebih tepatnya masalahnya terus berlanjut. Pada 5 November, Apple merilis iOS 14.2, iPadOS 14.2, dan iOS 12.4.9, tidak ada yang menyelesaikan bug.

sumber : BleepingComputer

Bug SD-WAN Silver Peak Memungkinkan Pengambilalihan Jaringan

November 15, 2020 by Mally

Tiga kerentanan keamanan dapat dirantai untuk mengaktifkan eksekusi kode jarak jauh yang tidak diautentikasi. Silver Peak’s Unity Orchestrator, platform manajemen WAN (SD-WAN) yang ditentukan perangkat lunak, mengalami tiga bug keamanan eksekusi kode jarak jauh yang dapat dirantai bersama untuk memungkinkan pengambilalihan jaringan oleh penyerang yang tidak berkepentingan.

SD-WAN adalah pendekatan jaringan berbasis cloud yang digunakan oleh perusahaan dan bisnis multilokasi dari semua ukuran. Ini memungkinkan lokasi dan instance cloud terhubung satu sama lain dan ke sumber daya perusahaan melalui semua jenis konektivitas. Dan, itu menerapkan kontrol perangkat lunak untuk mengelola proses itu, termasuk orkestrasi sumber daya dan node. Orkestrasi ini biasanya dipusatkan melalui platform tampilan tunggal – dalam hal ini, Unity Orchestrator, yang menurut Silver Peak memiliki sekitar 2.000 penerapan.

Menurut peneliti dari Realmode Labs, tiga bug tersebut adalah bypass otentikasi, jalur penghapusan file traversal dan eksekusi kueri SQL sewenang-wenang, yang dapat digabungkan untuk mengeksekusi kode arbitrer.

sumber : ThreatPost

Melihat lebih dalam pada pemadaman server Apple baru-baru ini mengungkapkan potensi masalah privasi Mac

November 14, 2020 by Mally

Saat Apple meluncurkan sistem operasi macOS barunya ke publik kemarin, terjadi pemadaman server yang serius yang menyebabkan kegagalan unduhan / pemasangan Big Sur yang meluas, iMessage dan Apple Pay menurun tetapi lebih dari itu, bahkan masalah kinerja untuk pengguna yang menjalankan macOS Catalina dan yang lebih lama. Kami mempelajari mengapa hal itu terjadi pada tingkat tinggi kemarin, sekarang seorang peneliti keamanan telah berbagi pengalaman mendalam bersama dengan privasi dan keamanannya untuk Mac, terutama yang Apple Silicon.

Tidak lama setelah macOS Big Sur diluncurkan secara resmi untuk semua pengguna, kami mulai melihat laporan waktu pengunduhan yang sangat lambat, kegagalan pengunduhan, dan jika pengunduhan berhasil, kesalahan pada akhirnya yang mencegah penginstalan. Pada saat yang sama, kami melihat situs web Pengembang Apple turun, diikuti oleh pemadaman untuk iMessage, Apple Maps, Apple Pay, Apple Card, dan beberapa layanan Pengembang. Kemudian laporan membanjiri tentang aplikasi pihak ketiga di Mac yang menjalankan Catalina dan sebelumnya tidak diluncurkan atau macet dan kinerja lamban lainnya.

Peneliti keamanan dan peretas Jeffry Paul telah memublikasikan pandangan mendalam tentang apa yang dia lihat terjadi dan masalah privasi dan keamanan terkait di posnya “Komputer Anda Bukan Milik Anda”. Ternyata dalam versi macOS saat ini, OS mengirimkan hash (pengenal unik) ke Apple dari setiap program yang Anda jalankan, saat Anda menjalankannya. Tanggal, Waktu, Komputer, ISP, Kota, Negara Bagian, Hash Aplikasi. Artinya Apple tahu saat Anda di rumah. Saat Anda sedang bekerja. Aplikasi apa yang Anda buka di sana, dan seberapa sering.

Sebagai penutup, Paul berkata “komputer Anda sekarang melayani master remote, yang memutuskan bahwa mereka berhak untuk memata-matai Anda.

Apple memegang privasi dan keamanan sebagai beberapa keyakinan intinya, jadi kita harus menunggu dan mendengar apa yang dikatakan perusahaan tentang kekhawatiran yang diajukan Paul. Kami telah menghubungi Apple untuk memberikan komentar dan akan memperbarui postingan ini dengan pembaruan apa pun.

sumber : 9to5mac

Masalah keamanan berbahaya ditemukan di jutaan smart TV

November 14, 2020 by Mally

Smart TV adalah komputer seperti ponsel dan laptop Anda, dan mereka rentan terhadap jenis ancaman yang sama. Jika ada lubang keamanan dalam model TV pintar, hanya masalah waktu sebelum peretas menemukan cara untuk masuk dan mengendalikannya. Tahun lalu, FBI memperingatkan bahwa peretas dapat menggunakan smart TV tanpa jaminan sebagai pintu belakang ke jaringan Anda.

Pada tahun 2020, risikonya semakin jelas. Salah satu merek TV pintar paling populer memiliki kelemahan kritis dalam sistem operasinya yang memberikan akses penuh kepada peretas ke bagian belakang sistem. Yang perlu mereka ketahui hanyalah alamat IP TV. Jutaan TV pintar Android TCL berisiko diretas berkat kesalahan yang ditemukan oleh peneliti keamanan dari Sick.Codes.

Meskipun TCL mengatakan masalahnya sudah diperbaiki, masih ada risiko signifikan untuk perangkat di bagian belakang. Jika Anda berencana membeli smart TV baru, Anda mungkin ingin memilih merek selain TCL. Jika Anda sudah memiliki TV TCL, tujuan Anda adalah mengurangi risiko diretas. FBI memiliki beberapa saran yang dapat Anda gunakan untuk melindungi smart TV Anda dari bahaya.

sumber : Komando

Anda menggunakan pembaca sidik jari Android Anda dengan cara yang salah

November 3, 2020 by Mally

Pembaca sidik jari menawarkan cara yang cepat dan nyaman untuk membuka kunci smartphone Android.

Ketika itu berhasil.

Jika Anda bekerja dengan tangan Anda, Anda mungkin telah menyadari bahwa pembaca sidik jari bisa jadi agak tidak bisa diandalkan, membutuhkan beberapa percobaan agar ini bekerja. Hanya membutuhkan satu detik tambahan atau lebih, tetapi ini menjadi speed bump ketika harus membuka kunci.

Jadi apa masalahnya?

Masalahnya adalah sidik jari menjadi usang dan berubah saat Anda bekerja dengan tangan. Perubahan ini tidak cukup banyak untuk memungkinkan Anda lolos dari sebuah kejahatan, tetapi kerusakan dan lecet serta bekas luka sudah cukup untuk menipu pemindai sidik jari.

Adrian Kingsley-Hughes, kontributor di ZDNet telah membagikan tips bagaimana Anda dapat membuka smartphone menggunakan pemindai sidik jari dengan cepat.

# 1: BERIKAN ANDROID JARI TENGAH

Gunakan sidik jari di jari tengah Anda. Tentu, ini membutuhkan sedikit waktu untuk membiasakan diri, tetapi Hughes (dan beberapa orang lainnya) telah menemukan bahwa sidik jari di jari tengah tidak banyak mendapatkan luka daripada jari lainnya. Ini sangat berguna untuk smartphone Android yang memiliki pembaca sidik jari di bagian belakang.

# 2: GUNAKAN SISI JARI (ATAU IBU JARI)

Daripada menggunakan ujung jari, gunakan bagian samping, terutama ibu jari. Sekali lagi, ini adalah tempat yang kerusakannya lebih sedikit. Ini berfungsi dengan baik untuk smartphone dengan pembaca sidik jari yang dipasang di samping.

# 3: PERMAINAN SISTEM

Trik lain yang menurut Hughes berfungsi dengan baik adalah dengan mendaftarkan jari yang sama dengan pembaca sidik jari beberapa kali selama periode waktu tertentu. Dengan cara ini, ia belajar membaca sidik jari Anda melalui lecet dan bekas luka random selama periode waktu tertentu. Trik ini berguna bagi mereka yang tidak ingin mengubah jari yang mereka gunakan untuk membuka kunci smartphone mereka.

Sumber: ZDNet

Microsoft meluncurkan aplikasi GRATIS untuk membuat model AI tanpa menulis kode apa pun

October 30, 2020 by Mally

Microsoft telah merilis pratinjau publik dari aplikasi gratis yang memungkinkan orang melatih model pembelajaran mesin tanpa menulis kode apa pun.

Aplikasi desktop Lobe untuk Windows dan Mac saat ini hanya mendukung klasifikasi gambar, tetapi Microsoft berencana untuk mengembangkannya ke model dan tipe data lain di masa mendatang.

“Cukup tunjukkan contoh dari apa yang Anda ingin pelajari, dan secara otomatis melatih model pembelajaran mesin kustom yang dapat dikirimkan ke aplikasi Anda,” jelas situs web Lobe.

Pengguna pertama-tama harus mengimpor dan memberi label pada gambar yang mereka ingin Lobe kenali. Aplikasi kemudian akan memilih arsitektur machine learning sumber terbuka yang sesuai untuk set data dan mulai melatih model di perangkat pengguna.

Anda juga dapat meninjau kinerja model melalui hasil visual waktu nyata, menawarkan masukan tentang prediksinya, dan mengoreksi label yang tidak akurat.

Setelah pelatihan, model dapat diekspor ke berbagai format standar industri dan dikirim ke platform pilihan pengguna.

Microsoft mengatakan pelanggan awal telah menggunakan Lobe untuk membangun aplikasi yang mengidentifikasi tanaman berbahaya, mendeteksi penyerang sarang lebah seperti tawon, atau mengirim peringatan kepada orang-orang ketika mereka secara tidak sengaja membiarkan pintu garasi terbuka.

Jika Anda ingin bergabung dengan mereka, Anda dapat mengunduh Lobe di sini dan melihat tutorial video untuk aplikasinya di sini.

Source: The Next Web

Jangan pakai “Auto Connect Wi-Fi” pada handphone anda, ini alasannya

October 25, 2020 by Mally

Saat Anda menyambungkan ke Wi-Fi publik, Anda mengandalkan pengidentifikasi kumpulan layanan jaringan, SSID-nya, untuk memilih koneksi. Ini sering kali menjadi nama hotel, kedai kopi, atau bar, yang dimaksudkan untuk menjaga kesederhanaan. IPhone Anda kemudian akan secara otomatis terhubung ke Wi-Fi itu lagi dan lagi, setiap kali Anda kembali ke lokasi, dimaksudkan untuk kenyamanan. Tetapi kenyamanan sederhana itu adalah risiko keamanan signifikan yang harus Anda atasi.

Penjahat dapat melakukan ‘Evil Twin Attack’ dengan membuat jaringan jahat mereka sendiri dengan nama yang mirip dengan jaringan hotel

“Sebagian besar perangkat dikonfigurasi untuk secara otomatis terhubung ke hotspot yang dikenal,” periset keamanan Sean Wright memperingatkan. “Korban tidak perlu melakukan apa pun untuk terhubung. Mereka hanya perlu berada dalam jangkauan. Ada solusi Wi-Fi perusahaan yang menggunakan sertifikat untuk membantu memberikan keaslian, tetapi saya belum melihat salah satu hotspot ini menggunakannya. ”

Penyerang dapat menyiapkan hotspot Wi-Fi mereka sendiri dengan SSID yang sama — semudah itu. Dan ponsel Anda akan dengan senang hati terhubung saat berada dalam jangkauan, jika Anda telah terhubung ke jaringan yang sah dengan SSID itu sebelumnya.

Memakai VPN

Seruan untuk menggunakan VPN jika Anda harus menggunakan hotspot digaungkan oleh Nicola Whiting, Chief Strategy Officer di Titania. “Jika Anda menghubungkannya, lindungi. Jika Anda bersedia membelanjakan $ 10 atau lebih untuk makan dan minum di luar, dan Anda tahu Anda akan menggunakan Wi-Fi publik — meskipun itu berisiko, banyak dari kita melakukannya — maka luangkan waktu dan uang untuk memastikan Anda memiliki perlindungan bawaan. ”

Tetapi jika Anda mendapatkan VPN, pastikan VPN itu berbayar dan memiliki reputasi baik. VPN gratis, bahkan yang disponsori oleh iklan, seringkali lebih buruk daripada tidak ada VPN sama sekali. Hanya karena suatu aplikasi mengatakan itu adalah VPN yang aman tidak berarti apa-apa. VPN yang bagus juga akan memungkinkan Anda untuk mengidentifikasi jaringan Wi-Fi tepercaya, seperti rumah dan kantor, dan semua lainnya secara otomatis akan memicu pemuatan VPN. Ini ideal.

Setting pada iPhone
Meskipun demikian, Anda tidak boleh bergabung dengan hotpot publik secara otomatis. Di setelan iPhone Anda, buka “Wi-Fi”, dan pastikan “Ask to Join” disetel ke “Ask”, dan “Auto Join Hotspot” disetel ke “Ask to join.” Ini akan menghentikan iPhone Anda terhubung ke jaringan baru atau yang dikenal atau hotspot pribadi tanpa Anda sadari, memberi Anda kesempatan untuk berhati-hati sebelum mengeklik “Ya”.

Lebih penting lagi, Anda harus mengeklik “i” yang dilingkari biru di sebelah jaringan publik mana pun yang Anda sambungkan, dan nonaktifkan opsi “Gabung Otomatis”. Anda tidak perlu mengeklik “Lupakan Jaringan Ini”, tetapi Anda dapat melakukannya jika Anda tidak mungkin kembali. Dengan cara ini Anda mengontrol di mana dan kapan iPhone Anda terhubung.

Jangan pilih gabung otomatis untuk jaringan publik mana pun yang Anda sambungkan dan gunakan VPN yang memiliki reputasi baik saat Anda harus menggunakan Wi-Fi publik, maka Anda akan mengambil tindakan yang bijaksana untuk menjaga perangkat Anda tetap terlindungi. Meskipun demikian, saran keamanan yang bijaksana adalah menghindari Wi-Fi publik sama sekali. Namun, jika Anda melakukannya, FBI memperingatkan, “pastikan untuk mengonfirmasi nama jaringan dan prosedur login yang tepat. Tujuan Anda adalah untuk menghindari secara tidak sengaja terhubung ke Wi-Fi penipu yang mereka coba buat terlihat sah. “

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Technology

# 1: BERIKAN ANDROID JARI TENGAH

# 2: GUNAKAN SISI JARI (ATAU IBU JARI)

# 3: PERMAINAN SISTEM

Cookies Settings