Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

10 Cara Penyerang Ransomware Menekan Anda Untuk Membayar Uang Tebusan

by

Di masa lalu, ransomware adalah masalah yang relatif mudah. Seorang penyerang akan melanggar organisasi dan mengenkripsi data penting. Tanpa cadangan yang andal atau terbaru, organisasi itu akan memiliki beberapa pilihan selain membayar uang tebusan dengan harapan data akan didekripsi.

Sekarang, bagaimanapun, organisasi menjadi lebih rajin membuat cadangan data penting, yang berarti mereka cenderung tidak membayar uang tebusan. Akibatnya, penjahat dunia maya telah beralih ke trik yang lebih agresif dan kuat untuk menuntut agar uang tebusan dibayarkan.

1. Bersumpah untuk merilis data secara publik

Bahkan jika korban memiliki cadangan yang andal, mereka mungkin merasakan tekanan untuk membayar uang tebusan daripada mengambil risiko malu dan kemungkinan terlibat hukum jika data bocor.

2. Menghubungi karyawan secara langsung

Untuk lebih menekan organisasi, penyerang akan menghubungi eksekutif senior dan karyawan lain untuk memperingatkan mereka bahwa data pribadi mereka akan bocor jika uang tebusan tidak dibayarkan.

Menghubungi mitra, pelanggan, dan media

Dalam kasus lain, penyerang akan menjangkau mitra bisnis, pelanggan dan bahkan media dan memberitahu mereka untuk mendesak korban untuk membayar.

Memperingatkan korban untuk tidak menghubungi penegak hukum

Banyak organisasi akan menghubungi aparat penegak hukum atau pihak lain untuk meminta bantuan mereka dalam menyelesaikan insiden tersebut. Langkah tersebut dapat membantu korban memulihkan data mereka tanpa membayar uang tebusan. Khawatir karena ini, banyak penjahat akan memperingatkan korban mereka untuk tetap diam.

Memperkerjakan orang dalam

Beberapa penjahat akan mencoba meyakinkan karyawan atau orang dalam untuk membantu mereka menyusup ke organisasi untuk melakukan serangan ransomware. Harapannya adalah mereka akan menemukan beberapa karyawan yang tidak puas atau tidak jujur yang dengan sukarela mengeksploitasi majikan mereka sendiri.

Selengkapnya: Tech Republic

Bot yang Mencuri Kode 2FA Sedang Populer Di Pasar Bawah Tanah

by

Panggilan itu datang dari sistem pencegahan penipuan PayPal. Seseorang telah mencoba menggunakan akun PayPal saya untuk menghabiskan $58,82, menurut suara otomatis di telepon. PayPal perlu memverifikasi identitas saya untuk memblokir transfer.

“Untuk mengamankan akun Anda, silakan masukkan kode yang kami kirimkan ke perangkat seluler Anda sekarang,” kata suara itu. PayPal terkadang mengirimkan kode kepada pengguna untuk melindungi akun mereka. Setelah memasukkan string enam digit, suara itu berkata, “Terima kasih, akun Anda telah diamankan dan permintaan ini telah diblokir.”

“Jangan khawatir jika ada pembayaran yang telah dibebankan ke akun Anda: kami akan mengembalikannya dalam waktu 24 hingga 48 jam. ID referensi Anda adalah 1549926. Sekarang Anda dapat menutup telepon,” kata suara itu.

Tapi panggilan ini sebenarnya dari seorang hacker. Penipu menggunakan jenis bot yang secara drastis merampingkan proses peretas untuk mengelabui korban agar menyerahkan kode otentikasi multi-faktor atau kata sandi satu kali (OTP) mereka untuk semua jenis layanan, membiarkan mereka masuk atau mengotorisasi transaksi transfer tunai. Berbagai bot menargetkan Apple Pay, PayPal, Amazon, Coinbase, dan berbagai bank tertentu.

Motherboard meminta seseorang bernama Kaneki yang menjual salah satu bot ini secara online untuk mendemonstrasikan kemampuannya dengan mengirimkan panggilan otomatis ke telepon reporter Motherboard. Setelah memasukkan kode, Kaneki menunjukkan bot mereka telah menerima kode yang sama.

Dengan bot yang berharga beberapa ratus dolar ini, siapa pun dapat mulai mendapatkan otentikasi multi-faktor, tindakan keamanan yang mungkin diasumsikan oleh banyak anggota masyarakat sebagian besar aman.

Untuk membobol akun, seorang peretas akan membutuhkan nama pengguna atau alamat email dan kata sandi korban. Mereka mungkin bersumber dari pelanggaran data sebelumnya yang berisi kredensial yang digunakan kembali oleh banyak orang di internet. Atau mereka dapat membeli satu set “log bank”—detail login—dari seorang spammer, kata OPTGOD777. Tetapi korban mungkin mengaktifkan otentikasi multi-faktor, di situlah bot masuk.

Baik di Telegram atau Discord, peretas memasukkan nomor telepon target mereka dan platform yang ingin dibobol peretas. Di latar belakang, bot kemudian menempatkan panggilan otomatis ke target.

Ketika bot melakukan panggilan otomatis dan meminta korban untuk memasukkan kode yang baru saja mereka terima, peretas akan secara bersamaan memicu kode yang sah untuk dikirim dari platform yang ditargetkan ke ponsel korban. Mereka dapat melakukan ini dengan memasukkan nama pengguna dan kata sandi korban di situs sehingga korban menerima kode login atau otorisasi.

Bot kemudian mengambil kode yang dimasukkan korban, memasukkannya kembali ke antarmuka bot, dan peretas kemudian dapat menggunakan kode tersebut untuk login.

Di luar situs atau layanan seperti Amazon, PayPal, dan Venmo, beberapa bot juga menargetkan bank tertentu, seperti Bank of America dan Chase.

Selengkapnya: Vice

Waspada Ransomware dari Alt List Minecraft Palsu

by

Kelompok Chaos Ransomware mengenkripsi perangkat Windows gamer melalui daftar alternatif Minecraft palsu yang dipromosikan di forum game.

Minecraft adalah video game kotak pasir yang sangat populer saat ini dimainkan oleh lebih dari 140 juta orang, dan menurut angka penjualan Nintendo, game ini merupakan gim terlaris di Jepang.

Disamarkan Sebagai File Teks ‘Alt List’
Menurut para peneliti di FortiGuard, varian ransomware Chaos yang baru ditemukan sedang didistribusikan sementara di Jepang, mengenkripsi file pemain Minecraft dan menjatuhkan catatan tebusan.

Iming-iming yang digunakan oleh aktor ancaman adalah file teks ‘Alt List’ yang diduga berisi kredensial akun Minecraft yang dicuri, tetapi pada kenyataannya, Chaos ransomware dapat dieksekusi.

Pemain Minecraft yang ingin menjebak atau membuat sedih pemain lain tanpa risiko akun mereka diblokir terkadang akan menggunakan ‘Alt List’ untuk menemukan akun curian yang dapat mereka gunakan untuk pelanggaran yang dapat diblokir.

Karena popularitasnya, Alt List selalu diminati dan biasanya dibagikan secara gratis atau melalui generator akun otomatis yang memasok komunitas dengan akun “backup”.

Saat mengenkripsi korban, ransomware Chaos akan menambahkan empat karakter atau digit acak sebagai ekstensi ke file terenkripsi.

Ransomware juga akan mengeluarkan catatan tebusan bernama ‘ReadMe.txt,’ di mana pelaku ancaman meminta 2.000 yen (~ $ 17,56) dalam kartu pra-bayar.

Varian khusus dari Chaos Ransomware ini dikonfigurasi untuk mencari sistem yang terinfeksi untuk jenis file berbeda yang lebih kecil dari 2ΜΒ dan mengenkripsinya.

Namun, jika file lebih besar dari 2MB akan menyuntikkan byte acak ke dalam file, membuatnya tidak dapat dipulihkan bahkan jika uang tebusan dibayarkan.

Karena sifat serangan yang merusak, mereka yang membayar uang tebusan hanya dapat memulihkan file yang lebih kecil.

Alasan untuk fungsi ini tidak jelas, dan dapat disebabkan oleh pengkodean yang buruk, konfigurasi yang salah, atau dengan sengaja merusak file pemain.

Dalam kampanye khusus ini, aktor ancaman mempromosikan file teks untuk menciptakan rasa aman yang salah sambil menukarnya pada akhirnya dengan file yang dapat dieksekusi.

Pengguna harus curiga dan tidak mengeksekusi file apa pun yang mereka unduh dari Internet kecuali mereka mempercayai situs tersebut dan telah memindainya dengan alat seperti VirusTotal.

sumber: BLEEPING COMPUTER

Pembaharuan Windows KB5006670 Tidak Cocok dengan Printer

by

Pelanggan Windows mengalami masalah dengan pencetakan jaringan setelah menginstal pembaruan Windows 11 KB5006674 dan Windows 10 KB5006670 yang dikeluarkan dengan Patch bulan ini Selasa, pada 12 Oktober.

Pengguna yang mencoba menyambung ke printer yang dibagikan di server cetak Windows mungkin mengalami beberapa kesalahan yang mencegah mereka mencetak melalui jaringan.

Kesalahan yang akan dihadapi klien cetak Windows setelah menggunakan KB5006674 meliputi:

0x000006e4 (RPC_S_CANNOT_DUKUNGAN)
0x0000007c (ERROR_INVALID_LEVEL)
0x00000709 (ERROR_INVALID_PRINTER_NAME)
Daftar lengkap platform Windows yang terpengaruh oleh masalah ini meliputi:

Klien: Windows 11, versi 21H2; Windows 10, versi 21H1; Windows 10, versi 20H2; Windows 10, versi 2004; Windows 10, versi 1909; Windows 10, versi 1809; Windows 10 Perusahaan LTSC 2019; Windows 10, versi 1607; Windows 8.1; Windows 7 SP1
Server: Windows Server 2022; Windows Server, versi 20H2; Windows Server, versi 2004; Windows Server, versi 1909; Windows Server, versi 1809; Windows Server 2008 SP2
Seperti yang dijelaskan Redmond, masalah umum yang memengaruhi pencetakan pada platform Windows klien dan server khusus untuk server printer yang lebih umum ditemukan di lingkungan perusahaan.

Microsoft mengatakan sedang berupaya menemukan solusi untuk memungkinkan klien cetak membuat koneksi privasi paket RPC ke server cetak Windows menggunakan RPC melalui SMB.

Pengguna terganggu oleh masalah pencetakan dalam dua minggu terakhir
Admin dan pengguna Windows 10 telah melaporkan masalah pencetakan jaringan skala luas dalam topik forum 14 halaman di BleepingComputer selama dua minggu terakhir sejak pembaruan Oktober Patch Tuesday dirilis.

Saat menceritakan rasa frustrasi dan upaya mereka untuk mengatasi bug pencetakan, mereka sampai pada kesimpulan yang sama: menghapus pembaruan kumulatif Oktober menyelesaikan masalah pencetakan.

Sejak itu, masalah menjadi sangat buruk sehingga admin Windows terpaksa mengganti Windows DLL dengan versi yang lebih lama untuk mengaktifkan kembali pencetakan.

DLL yang diganti oleh admin untuk memperbaiki pencetakan adalah localspl.dll, win32spl.dll, dan spoolsv.exe.

Meskipun pendekatan ini menghapus perbaikan untuk kerentanan Print Spooler, pendekatan ini menghindari penghapusan pembaruan kumulatif, yang akan menghilangkan semua pembaruan keamanan Oktober dalam prosesnya.

Microsoft Menyediakan Solusi
Pelanggan yang terkena dampak masalah pencetakan ini sekarang dapat menggunakan solusi resmi yang disediakan oleh Microsoft untuk memperbaiki masalah tersebut.

Langkah-langkah HANYA harus diambil pada server cetak yang terpengaruh yang memenuhi prasyarat berikut: “klien cetak harus telah menginstal pembaruan Windows yang dirilis pada atau setelah Januari 2021 sebelum server cetak telah menginstal” pembaruan Oktober 2021.

Jika persyaratan solusi terpenuhi, Microsoft meminta pelanggan untuk “memastikan bahwa keamanan jaringan dan solusi VPN memungkinkan klien cetak untuk membuat RPC melalui koneksi TCP ke server cetak melalui rentang port berikut:”

Port awal default: 49152
Port akhir default: 65535
Rentang Port: 16384 port

sumber: BLEEPING COMPUTER

Penipuan Jutaan Dollar Kripto Squid Game

by

New York (CNN Business) Mata uang digital berdasarkan serial Netflix populer “Squid Game” menjadi $0 setelah pemiliknya mearik tunai seluruh dana, secara efektif mencuri sekitar $2,1 juta dari investor.

Cryptocurrency, bernama SQUID, melonjak setinggi $2.861 sebelum jatuh ke $0 pada hari Senin, menurut CoinMarketCap. Penipuan, yang dilaporkan oleh Gizmodo, disebut “Rug Pull” atau menarik karpet. Itu berarti pencipta crypto menguangkan koin mereka dengan imbalan uang sungguhan, dengan cepat mendevaluasi nilai crypto.

Sebelum penarikan karpet, kapitalisasi pasar crypto sedikit lebih dari $ 2 juta, menurut CoinMarketCap.

SQUID ditagih sebagai token yang dapat digunakan untuk game online baru yang terinspirasi oleh seri bahasa Korea populer, yang didasarkan pada turnamen mematikan game anak-anak. GIzmodo menunjukkan banyak tanda bahwa itu adalah penipuan, termasuk situs webnya (sekarang menghilang) yang dipenuhi dengan kesalahan ejaan. Bendera merah lainnya: Investor bisa membeli — tapi tidak menjual — SQUID.
CoinMarketCap juga memperingatkan calon investor bahwa SQUID mungkin scam, menampilkan peringatan untuk “exercise extreme caution” jika mereka membeli crypto.
“Squid Game”— sebuah drama fiksi distopia – telah menjadi acara teratas Netflix secara global. Perusahaan mengatakan kepada CNN Business awal bulan ini bahwa itu telah dilihat oleh 111 juta akun sejak debutnya pada bulan September, menjadikannya peluncuran seri “terbesar yang pernah ada” perusahaan. Para eksekutif telah menunjuk acara tersebut sebagai bukti bahwa konten internasionalnya yang terus berkembang dapat beresonansi dengan berbagai audiens.
Netflix (NFLX) mengatakan kepada CNN Business minggu lalu bahwa itu tidak berafiliasi dengan cryptocurrency, dan menolak berkomentar lebih lanjut.
CNN Business menghubungi pengembang proyek SQUID melalui informasi kontak yang tercantum di situs webnya, dan tidak segera menerima tanggapan.

sumber: CNN

Terbaru: Malware Botnet ‘Pink’ Menginfeksi Lebih dari 1,6 Juta Perangkat

by

Peneliti keamanan siber mengungkapkan perincian tentang apa yang mereka katakan sebagai “botnet terbesar” yang diamati di alam liar dalam enam tahun terakhir, menginfeksi lebih dari 1,6 juta perangkat yang sebagian besar berlokasi di China, dengan tujuan meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan memasukkan iklan ke situs web HTTP yang dikunjungi oleh pengguna yang tidak curiga.

Tim keamanan Netlab Qihoo 360 menjuluki botnet “Pink” berdasarkan sampel yang diperoleh pada 21 November 2019, karena banyaknya nama fungsi yang dimulai dengan “pink.”

Terutama menargetkan router serat berbasis MIPS, botnet memanfaatkan kombinasi layanan pihak ketiga seperti GitHub, jaringan peer-to-peer (P2P), dan server command-and-control (C2) pusat untuk botnya ke komunikasi pengontrol, belum lagi mengenkripsi saluran transmisi sepenuhnya untuk mencegah perangkat yang menjadi korban diambil alih.

“Pink berpacu dengan vendor untuk mempertahankan kendali atas perangkat yang terinfeksi, sementara vendor melakukan upaya berulang untuk memperbaiki masalah, master bot memperhatikan tindakan vendor juga secara real time, dan membuat beberapa pembaruan firmware pada router fiber secara bersamaan,” para peneliti kata dalam analisis yang diterbitkan minggu lalu menyusul tindakan terkoordinasi yang diambil oleh vendor yang tidak ditentukan dan Tim Teknis/Pusat Koordinasi Tanggap Darurat Jaringan Komputer China (CCERT/CC).

Menariknya, Pink juga ditemukan mengadopsi DNS-Over-HTTPS (DoH), sebuah protokol yang digunakan untuk melakukan resolusi Domain Name System jarak jauh melalui protokol HTTPS, untuk terhubung ke pengontrol yang ditentukan dalam file konfigurasi yang dikirimkan baik melalui GitHub atau Baidu Tieba, atau melalui nama domain bawaan yang dikodekan ke dalam beberapa sampel.

Lebih dari 96% dari node zombie bagian dari “jaringan bot skala super besar” berlokasi di Cina, perusahaan keamanan siber yang berbasis di Beijing NSFOCUS mencatat dalam sebuah laporan independen, dengan aktor ancaman membobol perangkat untuk menginstal program jahat oleh memanfaatkan kerentanan zero-day di perangkat gateway jaringan. Meskipun sebagian besar perangkat yang terinfeksi telah diperbaiki dan dipulihkan ke keadaan sebelumnya pada Juli 2020, botnet tersebut masih dikatakan aktif, terdiri dari sekitar 100.000 node.

Dengan hampir 100 serangan DDoS telah diluncurkan oleh botnet hingga saat ini, temuan ini merupakan indikasi lain tentang bagaimana botnet dapat menawarkan infrastruktur yang kuat bagi pelaku kejahatan untuk memasang berbagai intrusi. “Perangkat Internet of Things telah menjadi tujuan penting bagi organisasi produksi hitam dan bahkan organisasi ancaman persisten (APT) tingkat lanjut,” kata peneliti NSFOCUS. “Meskipun Pink adalah botnet terbesar yang pernah ditemukan, itu tidak akan pernah menjadi yang terakhir.”

sumber: FEEDPROXY

Bug ‘Sumber Trojan’ Mengancam Keamanan Semua Kode

by

Hampir semua program yang mengubah kode sumber yang dapat dibaca manusia menjadi kode mesin yang dapat dieksekusi komputer rentan terhadap serangan berbahaya di mana musuh dapat memasukkan kerentanan yang ditargetkan ke dalam perangkat lunak apa pun tanpa terdeteksi. Pengungkapan kerentanan dikoordinasikan dengan beberapa organisasi, beberapa di antaranya sekarang merilis pembaruan untuk mengatasi kelemahan keamanan.

Para peneliti di University of Cambridge menemukan bug yang memengaruhi sebagian besar kompiler kode komputer dan banyak lingkungan pengembangan perangkat lunak. Yang dipermasalahkan adalah komponen standar pengkodean teks digital Unicode, yang memungkinkan komputer untuk bertukar informasi terlepas dari bahasa yang digunakan. Unicode saat ini mendefinisikan lebih dari 143.000 karakter di 154 skrip bahasa yang berbeda (selain banyak set karakter non-skrip, seperti emoji).

Secara khusus, kelemahannya melibatkan algoritme bi-directional atau “Bidi” Unicode, yang menangani tampilan teks yang mencakup skrip campuran dengan urutan tampilan yang berbeda, seperti bahasa Arab — yang dibaca dari kanan ke kiri — dan bahasa Inggris (kiri ke kanan).

Tetapi sistem komputer perlu memiliki cara deterministik untuk menyelesaikan arah yang saling bertentangan dalam teks. Masukkan “Bidi override”, yang dapat digunakan untuk membuat teks dari kiri ke kanan dibaca dari kanan ke kiri, dan sebaliknya.

“Dalam beberapa skenario, urutan default yang ditetapkan oleh Algoritma Bidi mungkin tidak cukup,” tulis para peneliti Cambridge. “Untuk kasus ini, Bidi menimpa karakter kontrol yang memungkinkan pengalihan urutan tampilan grup karakter.”

Bidi menimpa memungkinkan bahkan karakter skrip tunggal untuk ditampilkan dalam urutan yang berbeda dari pengkodean logisnya. Seperti yang ditunjukkan oleh para peneliti, fakta ini sebelumnya telah dieksploitasi untuk menyamarkan ekstensi file malware yang disebarkan melalui email.

Inilah masalahnya: Sebagian besar bahasa pemrograman memungkinkan Anda menempatkan penggantian Bidi ini dalam komentar dan string. Ini buruk karena sebagian besar bahasa pemrograman mengizinkan komentar di mana semua teks — termasuk karakter kontrol — diabaikan oleh kompiler dan juru bahasa. Selain itu, ini buruk karena sebagian besar bahasa pemrograman mengizinkan literal string yang mungkin berisi karakter arbitrer, termasuk karakter kontrol.

“Jadi Anda dapat menggunakannya dalam kode sumber yang tampaknya tidak berbahaya bagi pengulas manusia [yang] sebenarnya dapat melakukan sesuatu yang buruk,” kata Ross Anderson, seorang profesor keamanan komputer di Cambridge dan rekan penulis penelitian. “Itu berita buruk untuk proyek-proyek seperti Linux dan Webkit yang menerima kontribusi dari orang-orang acak, membuat mereka ditinjau secara manual, kemudian memasukkannya ke dalam kode penting. Kerentanan ini, sejauh yang saya tahu, yang pertama mempengaruhi hampir semua hal.”

Makalah penelitian, yang menjuluki kerentanan “Sumber Trojan,” mencatat bahwa sementara komentar dan string akan memiliki semantik khusus sintaks yang menunjukkan awal dan akhir mereka, batas ini tidak dihormati oleh Bidi override. Dari kertas:

Anderson mengatakan serangan seperti itu bisa menjadi tantangan bagi peninjau kode manusia untuk dideteksi, karena kode sumber yang diberikan terlihat sangat dapat diterima.

“Jika perubahan logika cukup halus untuk tidak terdeteksi dalam pengujian berikutnya, musuh dapat memperkenalkan kerentanan yang ditargetkan tanpa terdeteksi,” katanya.

Yang juga memprihatinkan adalah bahwa karakter override Bidi bertahan melalui fungsi salin dan tempel di sebagian besar browser, editor, dan sistem operasi modern.

“Setiap pengembang yang menyalin kode dari sumber yang tidak tepercaya ke dalam basis kode yang dilindungi dapat secara tidak sengaja memperkenalkan kerentanan yang tidak terlihat,” kata Anderson kepada KrebsOnSecurity. “Penyalinan kode seperti itu adalah sumber signifikan dari eksploitasi keamanan dunia nyata.”

Gambaran Infrastruktur Digital (sumber: krebsonsecurity)

Matthew Green, seorang profesor di Institut Keamanan Informasi Johns Hopkins, mengatakan penelitian Cambridge dengan jelas menunjukkan bahwa sebagian besar kompiler dapat ditipu dengan Unicode untuk memproses kode dengan cara yang berbeda dari yang diharapkan pembaca untuk diproses.

“Sebelum membaca makalah ini, gagasan bahwa Unicode dapat dieksploitasi dengan cara tertentu tidak akan mengejutkan saya,” kata Green kepada KrebsOnSecurity. “Apa yang mengejutkan saya adalah berapa banyak kompiler yang akan dengan senang hati mengurai Unicode tanpa pertahanan apa pun, dan seberapa efektif teknik pengkodean kanan-ke-kiri mereka dalam menyelundupkan kode ke dalam basis kode. Itu trik yang sangat pintar yang saya bahkan tidak tahu itu mungkin. Astaga.”

Green mengatakan kabar baiknya adalah bahwa para peneliti melakukan pemindaian kerentanan yang meluas, tetapi tidak dapat menemukan bukti bahwa ada orang yang mengeksploitasi ini. Belum.

“Kabar buruknya adalah tidak ada pertahanan untuk itu, dan sekarang orang-orang mengetahuinya, mereka mungkin mulai mengeksploitasinya,” kata Green. “Semoga pengembang kompiler dan editor kode akan menambal ini dengan cepat! Tetapi karena beberapa orang tidak memperbarui alat pengembangan mereka secara teratur, setidaknya akan ada beberapa risiko untuk sementara waktu.”

Nicholas Weaver, seorang dosen di departemen ilmu komputer di University of California, Berkeley, mengatakan penelitian Cambridge menyajikan “serangan yang sangat sederhana dan elegan yang dapat membuat serangan rantai pasokan jauh, jauh lebih buruk.”

“Sudah sulit bagi manusia untuk mengatakan ‘ini baik-baik saja’ dari ‘ini jahat’ dalam kode sumber,” kata Weaver. “Dengan serangan ini, Anda dapat menggunakan pergeseran arah untuk mengubah bagaimana hal-hal dirender dengan komentar dan string sehingga, misalnya ‘Ini baik-baik saja’ adalah bagaimana itu dirender, tetapi ‘Ini’ oke adalah bagaimana itu ada dalam kode. Untungnya, ini memiliki tanda tangan yang sangat mudah untuk dipindai, sehingga kompiler dapat [mendeteksi] jika mereka menemukannya di masa mendatang.”

Paruh terakhir dari makalah Cambridge adalah studi kasus yang menarik tentang kompleksitas pengaturan pengungkapan kerentanan dengan begitu banyak bahasa pemrograman dan perusahaan perangkat lunak yang terpengaruh. Para peneliti mengatakan mereka menawarkan periode embargo 99 hari setelah pengungkapan awal mereka untuk memungkinkan produk yang terpengaruh diperbaiki dengan pembaruan perangkat lunak.

“Kami bertemu dengan berbagai tanggapan mulai dari menambal komitmen dan karunia bug hingga pemecatan cepat dan referensi ke kebijakan hukum,” tulis para peneliti. “Dari sembilan belas pemasok perangkat lunak yang terlibat dengan kami, tujuh menggunakan platform outsourcing untuk menerima pengungkapan kerentanan, enam memiliki portal web khusus untuk pengungkapan kerentanan, empat pengungkapan yang diterima melalui email terenkripsi PGP, dan dua pengungkapan yang diterima hanya melalui email non-PGP. Mereka semua mengkonfirmasi penerimaan pengungkapan kami, dan akhirnya sembilan dari mereka berkomitmen untuk merilis patch.”

Sebelas penerima memiliki program hadiah bug yang menawarkan pembayaran untuk pengungkapan kerentanan. Namun dari jumlah tersebut, hanya lima bounty yang dibayar, dengan pembayaran rata-rata $2.246 dan kisaran $4.475, para peneliti melaporkan.

Anderson mengatakan sejauh ini sekitar setengah dari organisasi yang memelihara bahasa pemrograman komputer yang terkena dampak yang dihubungi telah menjanjikan tambalan. Yang lain menyeret kaki mereka.

“Kami akan memantau penyebaran mereka selama beberapa hari ke depan,” kata Anderson. “Kami juga mengharapkan tindakan dari Github, Gitlab, dan Atlassian, sehingga alat mereka harus mendeteksi serangan terhadap kode dalam bahasa yang masih kekurangan pemfilteran karakter bidi.”

Adapun apa yang perlu dilakukan tentang Sumber Trojan, para peneliti mendesak pemerintah dan perusahaan yang mengandalkan perangkat lunak penting untuk mengidentifikasi postur pemasok mereka, memberikan tekanan pada mereka untuk menerapkan pertahanan yang memadai, dan memastikan bahwa setiap celah ditutupi oleh kontrol di tempat lain di mereka. rantai alat.

“Fakta bahwa kerentanan Sumber Trojan mempengaruhi hampir semua bahasa komputer menjadikannya peluang langka untuk perbandingan lintas-platform dan lintas-vendor yang valid secara ekologis dan seluruh sistem,” makalah itu menyimpulkan. “Karena serangan rantai pasokan yang kuat dapat diluncurkan dengan mudah menggunakan teknik ini, sangat penting bagi organisasi yang berpartisipasi dalam rantai pasokan perangkat lunak untuk menerapkan pertahanan.”

Weaver menyebut penelitian itu “pekerjaan yang sangat bagus untuk menghentikan sesuatu sebelum menjadi masalah.”

“Pelajaran pengungkapan terkoordinasi adalah studi yang sangat baik dalam apa yang diperlukan untuk memperbaiki masalah ini,” katanya. “Kerentanan itu nyata, tetapi juga menyoroti kerentanan yang lebih besar dari pergeseran stand dependensi dan paket yang diandalkan oleh kode modern kami.”

Rust telah merilis penasehat keamanan untuk kelemahan keamanan ini, yang dilacak sebagai CVE-2021-42574 dan CVE-2021-42694. Saran keamanan tambahan dari bahasa lain yang terpengaruh akan ditambahkan sebagai pembaruan di sini.

Penelitian Sumber Trojan tersedia di sini (PDF).

sumber: KREBSONSECURITY

UU Perlindungan Data Pribadi China Mulai Berlaku

by

Disahkan pada bulan Agustus, Undang-Undang Perlindungan Informasi Pribadi mulai berlaku pada tanggal 1 November. Berisiaturan seputar pengumpulan, penggunaan, dan penyimpanan data, serta apa yang harus dilakukan perusahaan internasional saat mereka mentransfer data ke luar negeri.

Personal Information Protection Law (PIPL) China sekarang berlaku, menetapkan aturan dasar tentang bagaimana data dikumpulkan, digunakan, dan disimpan. Ini juga menguraikan persyaratan pemrosesan data untuk perusahaan yang berbasis di luar China, termasuk lulus penilaian keamanan yang dilakukan oleh otoritas negara.

Perusahaan multinasional atau Multinational corporations (MNC) yang memindahkan informasi pribadi ke luar negeri juga harus mendapatkan sertifikasi perlindungan data dari lembaga profesional, menurut PIPL.

Undang-undang itu disahkan pada Agustus, setelah melalui beberapa revisi sejak pertama kali diajukan pada Oktober tahun lalu. Efektif mulai 1 November, undang-undang baru diperlukan untuk mengatasi “kekacauan” data yang telah dibuat, dengan platform online mengumpulkan data pribadi secara berlebihan, kata pemerintah China kemudian.

Informasi pribadi didefinisikan sebagai semua jenis data yang direkam baik secara elektronik atau bentuk lain, yang berhubungan dengan orang yang diidentifikasi atau dapat diidentifikasi. Itu tidak termasuk data yang dianonimkan.

PIPL juga berlaku untuk organisasi asing yang memproses data pribadi di luar negeri untuk tujuan, antara lain, menyediakan produk dan layanan kepada konsumen Tiongkok serta menganalisis perilaku konsumen Tiongkok. Mereka juga harus membentuk lembaga yang ditunjuk atau menunjuk perwakilan yang berbasis di China untuk bertanggung jawab atas hal-hal yang berkaitan dengan perlindungan data pribadi.

Undang-undang baru mencakup bab yang berlaku khusus untuk transfer data lintas batas, yang menyatakan bahwa perusahaan yang perlu memindahkan informasi pribadi keluar dari China harus terlebih dahulu melakukan “penilaian dampak perlindungan informasi pribadi”, menurut Kantor Komisaris Privasi untuk Pribadi Hong Kong. Data (PCPD).

Mereka juga perlu mendapatkan persetujuan terpisah dari individu terkait dengan transfer informasi pribadi mereka dan memenuhi salah satu dari beberapa persyaratan. Ini termasuk menyetujui “kontrak standar” yang dikeluarkan oleh pihak berwenang yang mengawasi masalah dunia maya dan memenuhi persyaratan yang digariskan dalam undang-undang dan peraturan lain yang ditetapkan oleh pihak berwenang, kata PCPD.

Perusahaan multinasional ini juga harus menerapkan langkah-langkah yang diperlukan untuk memastikan pihak asing lainnya yang terlibat dalam pemrosesan data mematuhi standar keamanan data yang ditetapkan oleh PIPL.

Belum Jelas Penilaian Keamanan Apa yang Dibutuhkan
Leo Xin, rekan senior dengan firma hukum Pinsent Masons, menggambarkan undang-undang tersebut sebagai “tonggak sejarah” dalam rezim hukum perlindungan data China dan mendesak perusahaan multinasional untuk memberikan perhatian khusus pada aturan tentang transfer data lintas batas.

Leo mengatakan dalam sebuah posting: “Masih ada area tertentu yang masih belum jelas dan memerlukan aturan implementasi yang terperinci, seperti bagaimana penilaian keamanan harus ditangani, seperti apa model klausul untuk transfer data yang dirumuskan oleh China Cyberspace Administration, seperti apa persetujuannya. prosedurnya adalah [jika] ada permintaan informasi pribadi oleh badan peradilan di luar negeri atau lembaga penegak hukum.”

Undang-undang lebih lanjut menyerukan penanganan data pribadi menjadi jelas, masuk akal, dan terbatas pada “lingkup minimum yang diperlukan” untuk mencapai tujuan mereka dalam memproses informasi.

Pengacara merekomendasikan agar perusahaan multinasional mulai mengevaluasi dampak potensial PIPL pada infrastruktur TI dan aktivitas pemrosesan data mereka.

Menurut PCPD, undang-undang baru ini juga mencakup pemrosesan data “pengambilan keputusan otomatis”, di mana sistem TI digunakan untuk secara otomatis menganalisis dan membuat keputusan tentang perilaku konsumen serta kebiasaan, minat, keuangan, dan kesehatan konsumen.

Di sini, perusahaan harus memastikan proses pengambilan keputusan tersebut transparan dan adil. Konsumen juga harus diberikan opsi untuk tidak menerima konten yang dipersonalisasi. Penilaian dampak keamanan harus dilakukan dan laporan ini disimpan setidaknya selama tiga tahun.

Perusahaan yang melanggar aturan PIPL dapat diberikan perintah untuk perbaikan atau peringatan. Pihak berwenang China juga dapat menyita “penghasilan yang melanggar hukum”, menurut PCPD.

Sanksi
Pelanggar yang gagal mematuhi perintah untuk memperbaiki pelanggaran akan menghadapi denda hingga 1 juta yuan ($ 150.000), sementara orang yang bertanggung jawab untuk memastikan kepatuhan dapat didenda antara 10.000 yuan ($ 1.500) dan 100.000 yuan ($ 15.000).

Untuk kasus-kasus “serius”, pihak berwenang China juga memberikan denda hingga 50 juta yuan ($ 7,5 juta) atau 5% dari omset tahunan perusahaan untuk tahun fiskal sebelumnya. Selain itu, kegiatan usahanya dapat dihentikan sementara atau izin usaha dan izinnya dicabut.

sumber: ZDNET