News 240 - Naga Cyber Defense

Mengapa Netflix Hampir Tidak Pernah Down

November 19, 2021 by Winnie the Pooh

Ketika ratusan ribu orang di seluruh dunia demam Squid Game Netflix bulan lalu, penonton mungkin telah menerima sesuatu yang cukup luar biasa secara cuma-cuma. Netflix tidak menyerah di bawah permintaan yang belum pernah terjadi sebelumnya untuk drama dystopian yang akan menjadi judul paling sukses hingga saat ini — bahkan ketika layanan lain telah berjuang untuk menjaga produk mereka tetap kokoh dalam keadaan yang tidak terlalu menuntut.

Disney Plus mengalami crash pada hari pertama karena perangkat lunaknya tidak dapat menangani permintaan yang besar (dan kemudian down lagi di bawah permintaan untuk WandaVision). HBO Max sangat rusak secara fundamental sehingga kepemimpinannya sendiri telah mengakui bahwa aplikasi itu berantakan. Bahkan Instagram, yang fitur Stories-nya menjadikannya semacam layanan streaming dengan sendirinya, sering mengalami crash sehingga mulai memberi tahu penggunanya saat mengalami gangguan.

Keberanian layanan, rekayasa di balik aplikasi itu sendiri, adalah dasar dari kesuksesan setiap streamer, dan Netflix telah menghabiskan 10 tahun terakhir membangun jaringan server yang luas yang disebut Open Connect untuk menghindari adanya kendala pada streaming modern. Ini adalah hal yang memungkinkan Netflix untuk menyajikan pengalaman yang jauh lebih andal daripada pesaingnya dan tidak goyah ketika sekitar 111 juta pengguna menonton Squid Game selama minggu-minggu awal layanan.

Open Connect adalah jaringan distribusi konten internal Netflix yang dibuat khusus untuk menayangkan acara TV dan filmnya.

Tanpa sistem seperti Open Connect atau CDN (content delivery networks) pihak ketiga, permintaan konten oleh ISP harus “melalui titik peering dan mungkin transit empat atau lima jaringan lain hingga sampai ke asal, atau tempat yang menampung kontennya,” kata Will Law, kepala arsitek teknik media di Akamai, jaringan pengiriman konten utama, kepada The Verge. Itu tidak hanya memperlambat pengiriman, tetapi juga mahal karena ISP mungkin harus membayar untuk mengakses konten tersebut.

“Kami, Open Connect, membawa salinan Bridgerton di titik terdekat ke penyedia layanan internet Anda — dalam beberapa kasus, tepat di dalam jaringan penyedia layanan internet Anda — dan itu pada dasarnya menghindari beban penyedia layanan internet untuk mendapatkan dan mentransfernya melalui semua server di internet ke Anda,” kata Haspilaire kepada The Verge.

Dan mereka ada di mana-mana. Saat ini, Netflix mengatakan memiliki 17.000 server yang tersebar di 158 negara, dan perusahaan tersebut mengatakan bahwa pihaknya berencana untuk terus memperluas jaringan pengiriman kontennya.

Hal yang paling diperhatikan Netflix adalah memberikan pengalaman menonton yang baik terlepas dari seberapa buruk ISP Anda.

Untuk melakukan itu, Netflix secara efektif mengirimkan tiga salinan dari masing-masing judulnya ke servernya, masing-masing dengan tingkat kualitas yang berbeda. Jika ISP Anda kewalahan atau internet Anda berhenti sejenak, sistem dapat menukar judul dengan versi bitrate yang lebih rendah, membantu Anda mempertahankan streaming tanpa gangguan.

Netflix kemudian mengacak video di sekitar servernya berdasarkan apa yang diharapkan untuk mendapatkan perhatian paling besar. Open Connect memiliki dua jenis server: flash, yang menangani pengiriman lebih cepat, dan storage, yang menampung hingga 350 TB data. Jika sesuatu yang tersimpan di server storage menjadi populer, Netflix akan memindahkan judul itu ke server flash.

Open Connect adalah salah satu pendorong di balik layar terbesar di balik kemampuan Netflix untuk bekerja sebaik yang dilakukannya selama pandemi. Tetapi ada banyak bagian lain yang membuat Netflix jauh di depan dari para pesaingnya.

Selengkapnya: The Verge

SynapseML sumber terbuka Microsoft untuk mengembangkan saluran AI

November 19, 2021 by Winnie the Pooh

Microsoft pada hari Rabu kemarin mengumumkan rilis SynapseML (sebelumnya MMLSpark), sebuah library open source yang dirancang untuk menyederhanakan pembuatan pipeline machine learning.

Dengan SynapseML, pengembang dapat membangun sistem “skala dan cerdas” untuk memecahkan tantangan di seluruh domain, termasuk analitik teks, terjemahan, dan pemrosesan ucapan, kata Microsoft.

“Selama lima tahun terakhir, kami telah bekerja untuk meningkatkan dan menstabilkan perpustakaan SynapseML untuk beban kerja produksi. Pengembang yang menggunakan Azure Synapse Analytics akan senang mengetahui bahwa SynapseML sekarang tersedia secara umum di layanan ini dengan dukungan perusahaan [di Azure Synapse Analytics],” Engineer perangkat lunak Microsoft Mark Hamilton menulis dalam sebuah posting blog.

Seperti yang dijelaskan Microsoft di situs web proyek, SynapseML memperluas Apache Spark, mesin sumber terbuka untuk pemrosesan data skala besar, dalam beberapa arah baru: “[Alat di SynapseML] memungkinkan pengguna untuk membuat model yang kuat dan sangat skalabel yang mencakup beberapa [ pembelajaran mesin] ekosistem.

SynapseML juga menghadirkan kemampuan jaringan baru ke ekosistem Spark. Dengan proyek HTTP on Spark, pengguna dapat menyematkan layanan web apa pun ke dalam model SparkML mereka dan menggunakan kluster Spark mereka untuk alur kerja jaringan yang masif.”

SynapseML juga memungkinkan pengembang untuk menggunakan model dari ekosistem pembelajaran mesin yang berbeda melalui Open Neural Network Exchange (ONNX), kerangka kerja dan runtime yang dikembangkan bersama oleh Microsoft dan Facebook. Dengan integrasi, pengembang dapat mengeksekusi berbagai model pembelajaran klasik dan mesin hanya dengan beberapa baris kode.

Selengkapya: Venturebeat

Geng ransomware Rusia mulai berkolaborasi dengan peretas China

November 19, 2021 by Eevee

Beberapa aktivitas tidak biasa muncul di forum cybercrime berbahasa Rusia, di mana peretas tampaknya menjangkau rekan-rekan China untuk berkolaborasi. Upaya untuk merekrut aktor ancaman Tiongkok ini terlihat di forum peretasan RAMP.

Menurut laporan Flashpoint, pengguna tingkat tinggi dan administrator RAMP sekarang secara aktif mencoba berkomunikasi dengan anggota forum baru dalam bahasa Mandarin. Forum tersebut memiliki sekitar 30 pendaftaran pengguna baru yang tampaknya berasal dari China

Para peneliti menyatakan penyebab yang paling mungkin adalah bahwa geng ransomware Rusia berusaha membangun aliansi dengan aktor China untuk meluncurkan serangan siber terhadap target AS, memperdagangkan kerentanan, atau bahkan merekrut bakat baru untuk operasi Ransomware-as-a-Service (RaaS) mereka. Inisiatif ini dimulai oleh admin RAMP yang dikenal sebagai Kajit, baru-baru ini mengaku menghabiskan beberapa waktu di China dan dapat berbicara bahasa tersebut.

Dalam RAMP versi sebelumnya, dia telah mengisyaratkan bahwa dia akan mengundang aktor ancaman China ke forum, yang tampaknya sedang berlangsung.

Namun, peretas Rusia yang mencoba berkolaborasi dengan aktor ancaman China tidak terbatas pada forum peretasan RAMP karena Flashpoint juga telah melihat kolaborasi serupa di forum peretasan XSS.

“Pada tangkapan layar di bawah, pengguna XSS “hoffman” menyapa dua anggota forum yang menyatakan diri mereka sebagai orang Cina,” jelas penelitian baru oleh Flashpoint.

Posting di forum peretasan XSS
Sumber: Flashpoint

Bulan lalu, seorang admin RAMP yang dikenal sebagai ‘Oranye’ atau ‘boriselcin’ dan yang menjalankan situs “Groove”, menerbitkan sebuah posting yang menyerukan para pelaku ancaman untuk menyerang AS.

Aktor Groove mengklaim bahwa operasi itu palsu sejak awal dan dibuat untuk menjebak dan memanipulasi media dan peneliti keamanan. Peneliti keamanan dari McAfee dan Intel 471 percaya bahwa ini kemungkinan hanya pelaku ancaman yang mencoba menutupi fakta bahwa upaya pelaku ransomware-as-a-service tidak berjalan sesuai rencana.

Namun, operasi ransomware Conti baru-baru ini diposting ke forum RAMP untuk merekrut afiliasi dan membeli akses awal ke jaringan. Geng tersebut mengatakan bahwa mereka biasanya hanya bekerja dengan peretas yang berbahasa Rusia, tetapi membuat pengecualian untuk pelaku ancaman yang berbahasa China untuk menghormati admin RAMP.

“Iklan ini dalam bahasa Rusia, karena kami hanya bekerja dengan penutur bahasa Rusia. TAPI, untuk menghormati admin, kami akan membuat pengecualian untuk pengguna berbahasa Sino dan bahkan menerjemahkan pesan ini dalam bahasa Mandarin (Anda bahkan dapat menggandakannya dalam bahasa Mandarin dan Canotonese!)”- Operasi ransomware Conti.

Conti bersedia bekerja dengan aktor ancaman berbahasa Mandarin
Sumber: BleepingComputer melalui analis ancaman anonim

Dengan demikian, tampaknya forum RAMP secara aktif mengundang aktor ancaman berbahasa China untuk berpartisipasi dalam percakapan dan serangan.

RAMP didirikan musim panas lalu oleh anggota inti geng ransomware Babuk asli, yang bertujuan untuk berfungsi sebagai tempat baru untuk membocorkan data berharga yang dicuri dari serangan siber dan merekrut afiliasi ransomware.

Kasus penting dari kebocoran semacam itu terjadi pada bulan September ketika admin RAMP memposting 498.908 kredensial Fortinet VPN untuk mengakses 12.856 perangkat di berbagai jaringan perusahaan.

Meskipun banyak dari kredensial ini sudah tua, peneliti keamanan menyatakan bahwa banyak kredensial yang masih valid dan memungkinkan forum RAMP membangun reputasi di lapangan.

Flashpoint melaporkan bahwa RAMP telah mencapai iterasi ketiga, menggunakan domain .onion baru dan mengharuskan semua pengguna sebelumnya untuk mendaftar ulang.

Selengkapnya : Bleeping Computer

Web Server Polri Diretas oleh Peretas Brasil

November 18, 2021 by Winnie the Pooh

Dilansir dari CyberThreat.id, seorang peretas asal Brasil bernama son1x mengklaim bahwa ia telah meretas web server dari subdomain milik Polri. Tidak hanya satu web server namun 3 web server yang berhasil ia retas. Lebih buruknya lagi, basis data yang diduga berasal dari salah satu server, ia bagikan secara gratis di akun Twitter nya.

Peretas ini adalah peretas yang sama yang melakukan deface pada situs web Pusat Malware Nasional milik Badan Siber dan Sandi Negara pada akhir Oktober kemarin. Ia mengklaim sebetulnya bisa masuk lebih dalam lagi ke server BSSN, tapi dirinya takut dipenjara.

Baru-baru ini, ia kembali berulah dengan merusak empat subdomain Badan Pengkajian dan Penerapan Teknologi (BPPT) dan satu subdomain Goverment Certification Authority (GovCA), yaitu otoritas yang mengotentikasi pihak yang akan bertransaksi khususnya di pemerintahan. GovCa dibentuk oleh BPPT.

Ia mengatakan bahwa semenjak ia meretas BSSN, ada beberapa upaya Polri untuk mencari tahu tentang dirinya.

Basis data yang ia bocorkan berisi informasi pribadi dan kredensial pegawai Polri dan orang-orang yang terlibat di dalamnya.

Dari pengamatan CyberThreat.id, basis data tersebut berisi:

Nama
Tempat tanggal lahir
Satker
Pangkat
Status pernikahan
Jabatan
Alamat
Pangkat terakhir
Agama
Golongan darah
Suku
pen_umum_terakhir
pen_polri_terakhir
pen_jurusan_terakhir
pen_jenjang_terakhir
rehab_no_putusan
rehab_tanggal_putusan_sidang
rehab_id_jenis_pelanggaran
id_propam
s_tgl_hukuman_selesai
s_tgl_hukuman_mulai
s_tgl_rehab_mulai
s_tgl_rehab_selesai
s_tgl_binlu_mulai
s_tgl_binlu_selesai
email
no_hp.[]

Sumber: Cyberthreat.id

Situs WordPress diretas dalam serangan ransomware palsu

November 17, 2021 by Winnie the Pooh

Gelombang serangan baru mulai akhir pekan lalu telah meretas hampir 300 situs WordPress untuk menampilkan pemberitahuan enkripsi palsu, mencoba mengelabui pemilik situs agar membayar 0,1 bitcoin untuk pemulihan.

Tuntutan tebusan ini datang dengan countdown timer untuk menimbulkan rasa urgensi dan mungkin membuat admin web panik untuk membayar uang tebusan.

Sementara permintaan tebusan 0,1 bitcoin (~$6.069.23) tidak terlalu signifikan dibandingkan dengan apa yang kita lihat pada serangan ransomware tingkat tinggi, itu masih bisa menjadi jumlah yang cukup besar bagi banyak pemilik situs web.

Serangan ini ditemukan oleh perusahaan keamanan siber Sucuri yang disewa oleh salah satu korban untuk melakukan insiden respons.

Para peneliti menemukan bahwa situs web tersebut tidak dienkripsi, melainkan pelaku ancaman memodifikasi plugin WordPress yang diinstal untuk menampilkan catatan tebusan dan countdown timer.

Selain menampilkan catatan tebusan, plugin akan memodifikasi semua posting blog WordPress dan menyetel ‘post_status’ ke ‘null’, yang menyebabkan status tidak dipublikasikan.

Dengan demikian, para aktor menciptakan ilusi sederhana namun kuat yang membuatnya tampak seolah-olah situs tersebut telah dienkripsi.

Dengan menghapus plugin dan menjalankan perintah untuk memublikasikan ulang postingan dan halaman, situs kembali ke status normalnya.

Setelah analisis lebih lanjut dari log lalu lintas jaringan, Sucuri menemukan bahwa titik pertama di mana alamat IP aktor muncul adalah panel wp-admin.

Ini berarti bahwa penyusup masuk sebagai admin di situs, baik dengan bruteforce kata sandi atau dengan sumber kredensial curian dari pasar dark web.

Selengkapnya: Bleeping Computer

Google Chrome 96 merusak Twitter, Discord, rendering video, dan lainnya

November 17, 2021 by Winnie the Pooh

Google Chrome 96 dirilis kemarin, dan pengguna melaporkan masalah dengan Twitter, Discord, dan Instagram yang disebabkan oleh versi baru chrome ini.

Setelah memperbarui ke Chrome 96, pengguna melaporkan kesalahan dalam pemberitahuan Twitter mereka, dengan peringatan situs web bahwa “Ada yang tidak beres. Coba muat ulang,” seperti yang ditunjukkan di bawah ini.

Pengguna Twitter lainnya melaporkan GIF menjadi hitam, gambar tidak ditampilkan, atau video tidak dapat diputar. Sebagai gantinya, Twitter menunjukkan pesan kesalahan yang sama yang berbunyi, “Ada kesahalan.”

Masalah telah dilaporkan ke Google dalam posting bug Chromium di mana karyawan Google telah mulai menyelidiki masalah tersebut.

“Kami terus melihat laporan pengguna tentang perilaku ini, termasuk laporan dari tim sosial kami,” kata manajer produk Google, Craig Tumblison.

“Satu pengguna telah membagikan bahwa menonaktifkan flag “chrome://flags/#cross-origin-embedder-policy-credentialless” menyelesaikan permasalahan tersebut. Laporan lain membagikan pesan kesalahan khusus: “Koneksi ditolak di https://cards -frame.twitter.com”. Tim penguji, bisakah Anda mencoba mengaktifkan tanda itu untuk melihat apakah perilaku itu muncul?”

Flag ‘chrome://flags/#cross-Origin-embedder-policy-credentialles’ terkait dengan fitur Cross-Origin-Embedder-Policy baru yang dirilis dengan Chrome 96.

Google menyatakan bahwa Anda dapat memperbaiki bug ini dalam beberapa kasus dengan menyetel “chrome://flags/#cross-Origin-embedder-policy-credentialless” ke nonaktif.

Jika Anda mengalami kendala yang sama, Anda dapat menyalin dan menempelkan alamat chrome:// di atas ke bilah alamat Google Chrome dan tekan enter. Ketika flag eksperimental muncul, harap setel ke Dinonaktifkan dan luncurkan kembali browser saat diminta.

Selengkapnya: Bleeping Computer

Berikut adalah kampanye spam Emotet baru yang menghantam kotak surat di seluruh dunia

November 17, 2021 by Winnie the Pooh

Malware Emotet mulai beraksi kemarin setelah jeda sepuluh bulan dengan beberapa kampanye spam yang mengirimkan dokumen berbahaya ke kotak surat di seluruh dunia.

Emotet adalah infeksi malware yang didistribusikan melalui kampanye spam dengan lampiran berbahaya. Jika pengguna membuka lampiran, makro atau JavaScript berbahaya akan mengunduh Emotet DLL dan memuatnya ke dalam memori menggunakan PowerShell.

Setelah dimuat, malware akan mencari dan mencuri email untuk digunakan dalam kampanye spam di masa mendatang dan menjatuhkan muatan tambahan seperti TrickBot atau Qbot yang biasanya menyebabkan infeksi ransomware.

Peneliti cybersecurity Brad Duncan menerbitkan SANS Handler Diary tentang bagaimana botnet Emotet mulai mengirim spam ke beberapa kampanye email untuk menginfeksi perangkat dengan malware Emotet.

Menurut Duncan, kampanye spam menggunakan email replay-chain untuk memikat penerima agar membuka file Word, Excel, dan file ZIP yang dilindungi kata sandi.

Email phishing rantai balasan adalah saat utas email yang sebelumnya dicuri digunakan dengan balasan palsu untuk mendistribusikan malware ke pengguna lain.

Saat Anda membuka lampiran Emotet, templat dokumen akan menyatakan bahwa pratinjau tidak tersedia dan Anda perlu mengeklik ‘Aktifkan Pengeditan’ dan ‘Aktifkan Konten’ untuk melihat konten dengan benar.

Namun, setelah Anda mengklik tombol-tombol ini, makro jahat akan diaktifkan yang meluncurkan perintah PowerShell untuk mengunduh DLL pemuat Emotet dari situs WordPress yang disusupi dan menyimpannya ke folder C:\ProgramData.

Organisasi pemantau malware dan botnet Abuse.ch telah merilis daftar 245 server perintah dan kontrol yang dapat diblokir oleh firewall perimeter untuk mencegah komunikasi dengan server perintah dan kontrol.

Memblokir komunikasi ke C2 juga akan mencegah Emotet menjatuhkan muatan lebih lanjut pada perangkat yang disusupi.

Selengkapnya: Bleeping Computer

Lubang keamanan baru di CPU Intel mengirimkan tambalan perusahaan (lagi)

November 17, 2021 by Winnie the Pooh

Intel sedang memperbaiki kerentanan yang dapat dieksploitasi oleh orang yang tidak berwenang dengan akses fisik untuk menginstal firmware berbahaya pada chip untuk mengalahkan berbagai tindakan, termasuk perlindungan yang diberikan oleh Bitlocker, modul trusted platform, pembatasan anti-penyalinan, dan lainnya.

Kerentanan—ada di Pentium, Celeron, dan CPU Atom pada platform Apollo Lake, Gemini Lake, dan Gemini Lake Refresh—memungkinkan peretas terampil dengan kepemilikan chip yang terpengaruh untuk menjalankannya dalam mode debug dan pengujian yang digunakan oleh pengembang firmware. Intel dan pembuat chip lainnya berusaha keras untuk mencegah akses tersebut oleh orang yang tidak berwenang.

Setelah dalam mode pengembang, penyerang dapat mengekstrak kunci yang digunakan untuk mengenkripsi data yang disimpan di enklave TPM dan, jika TPM digunakan untuk menyimpan kunci Bitlocker, akan mengalahkan perlindungan yang terakhir itu juga.

Musuh juga dapat melewati batasan penandatanganan kode yang mencegah firmware yang tidak sah berjalan di Intel Management Engine, subsistem di dalam CPU yang rentan, dan dari sana secara permanen membuat backdoor pada chip.

Sementara serangan itu mengharuskan penyerang untuk memiliki akses fisik singkat ke perangkat yang rentan itulah skenario TPM, Bitlocker, dan codesigning dirancang untuk dimitigasi. Seluruh proses memakan waktu sekitar 10 menit.

Kerentanan seperti ini kemungkinan tidak akan pernah dieksploitasi dalam serangan tanpa pandang bulu, tetapi setidaknya secara teoritis, dapat digunakan dalam kasus di mana musuh dengan sumber daya yang cukup besar mengejar target bernilai tinggi.

Maka dari itu pengguna dianjurkan untuk menginstal pembaruan pada mesin apa pun yang terpengaruh.

Selengkapnya: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings