News 337 - Naga Cyber Defense

SAP memperbaiki bug kritis di Business Client, Commerce, dan NetWeaver

April 19, 2021 by Winnie the Pooh

Pembaruan keamanan SAP untuk bulan ini mengatasi beberapa kerentanan kritis. Yang paling serius, dinilai dengan skor keseriusan tertinggi, memengaruhi produk Business Client perusahaan.

Dua produk lain dari perusahaan menerima tambalan untuk kekurangan tingkat keparahan kritis yang memberi pengguna yang tidak sah akses ke objek konfigurasi dan memungkinkan eksekusi kode jarak jauh.

Pada hari Selasa lalu, Tim Keamanan Produk SAP membagikan informasi tentang kerentanan yang ditemukan dan diperbaiki dalam produk perusahaan. Secara total, ada 19 catatan keamanan, lima di antaranya merupakan pembaruan dari bug sebelumnya.

Salah satu dari pembaruan ini mengacu pada kerentanan yang memengaruhi SAP Business Client, antarmuka pengguna yang bertindak sebagai titik masuk ke berbagai aplikasi bisnis SAP.

Risiko keamanan tidak terletak pada produk itu sendiri tetapi pada kontrol browser (Chromium) yang menyertainya. Tidak ada detail tentang masalah tersebut, kecuali bahwa masalah tersebut telah dinilai dengan skor tingkat keparahan maksimum, 10 dari 10.

Selengkapnya: Bleeping Computer

Google Project Zero akan memberikan masa tenggang 30 hari sebelum mengungkapkan masalah keamanan

April 18, 2021 by Winnie the Pooh

Project Zero Google, tim insinyur keamanan khusus yang ditugaskan untuk mengurangi jumlah kerentanan “zero day” di seluruh internet, mengatakan itu akan memberi pengembang 30 hari ekstra sebelum mengungkapkan masalah kerentanan, untuk memberi pengguna akhir waktu untuk menambal perangkat lunak mereka.

Pengembang masih memiliki waktu 90 hari untuk memperbaiki bug, tetapi Project Zero akan menunggu 30 hari lagi sebelum mengungkapkan detail bug tersebut secara publik. Jika kerentanan dieksploitasi secara aktif di alam liar, perusahaan memiliki waktu tujuh hari untuk menerbitkan tambalan, dan masa tenggang tiga hari jika diminta. Tetapi Google Project Zero akan menunggu 30 hari sebelum mengungkapkan detail teknisnya.

Pada tahun 2020, Google mengumumkan uji coba yang memungkinkan pengembang 90 hari untuk mengerjakan pengembangan dan adopsi tambalan, dengan gagasan bahwa jika pengembang menginginkan lebih banyak waktu untuk memungkinkan pengguna memasang tambalan, mereka akan mengirimkan perbaikan di awal 90 hari. Titik. “Namun dalam praktiknya, kami tidak mengamati perubahan signifikan dalam lini masa pengembangan patch, dan kami terus menerima umpan balik dari vendor bahwa mereka khawatir tentang merilis detail teknis tentang kerentanan dan eksploitasi sebelum sebagian besar pengguna menginstal patch,” Project Zero’s Tulis Tim Willis di postingan blognya. “Dengan kata lain, garis waktu tersirat untuk adopsi tambalan tidak dipahami dengan jelas.”

selengkapnya : www.theverge.com

Codecov mengungkapkan serangan rantai pasokan selama 2,5 bulan

April 18, 2021 by Winnie the Pooh

Codecov, sebuah perusahaan perangkat lunak yang menyediakan pengujian kode dan solusi statistik kode, mengungkapkan pada hari Kamis pelanggaran keamanan besar setelah pelaku ancaman berhasil menembus platformnya dan menambahkan pemanen kredensial ke salah satu alatnya.

Produk yang terkena dampak bernama Bash Uploader dan memungkinkan pelanggan Codecov mengirimkan laporan cakupan kode ke platform perusahaan untuk dianalisis.

Codecov mengatakan pelanggaran terjadi “karena kesalahan dalam proses pembuatan gambar Docker Codecov yang memungkinkan aktor untuk mengekstrak kredensial yang diperlukan untuk mengubah skrip Bash Uploader kami.”

Penyerang memperoleh akses ke skrip Pengunggah Bash pada 31 Januari dan membuat perubahan berkala untuk menambahkan kode berbahaya yang akan mencegat unggahan dan memindai serta mengumpulkan informasi sensitif seperti kredensial, token, atau kunci.

Codecov mengatakan pihaknya pertama kali mengetahui pelanggaran tersebut pada 1 April dan telah bekerja dengan perusahaan forensik untuk mengurai tindakan penyerang.

Perusahaan mengungkapkan insiden tersebut kemarin ketika mereka juga mengirim email dengan instruksi ke basis pelanggannya, yang mencakup beberapa nama besar seperti Atlassian, P&G, GoDaddy, Washington Post, Tile, Dollar Shave Club, dan Webflow.

selengkapnya : therecord.media

Keamanan terbaru WhatsApp adalah hadiah “memusingkan” untuk cyberstalkers

April 18, 2021 by Winnie the Pooh

Suka atau tidak, WhatsApp adalah salah satu aplikasi perpesanan paling populer di luar sana, dan miliaran orang di seluruh dunia menggunakannya. Sayangnya, untuk alat yang tidak terpisahkan dengan komunikasi untuk khalayak yang begitu besar, keamanan jauh dari kedap udara. Baru-baru ini diketahui bahwa siapa pun dapat menangguhkan akun WhatsApp seseorang hanya dengan mengetahui nomornya. Sekarang, laporan penelitian lain menyoroti fitur pokok yang dieksploitasi oleh beberapa aplikasi dan layanan untuk mengungkap perilaku aplikasi pengguna yang ditargetkan.

Seperti yang ditunjukkan oleh perusahaan keamanan siber Traced, aplikasi dan layanan ini memanfaatkan fitur status online untuk memungkinkan pihak ketiga melacak saat seseorang menggunakan aplikasi. Seseorang hanya perlu memasukkan nomor ponsel orang yang ingin mereka ikuti, dan aplikasi ini akan melakukan sisanya untuk mereka. Mereka dapat memberi tahu pihak ketiga ini ketika target mereka sedang online / offline dan membuat laporan lengkap tentang riwayat penggunaan aplikasi mereka berdasarkan informasi ini.

Aplikasi ini sudah tersedia dan sering kali disamarkan sebagai alat bagi orang tua untuk melacak aktivitas online anak-anak mereka. Saya mencoba salah satu aplikasi tersebut dari Google Play Store dan berfungsi seperti yang diiklankan. Ini mengirimi saya peringatan ketika kontak tertentu (nomor lain saya) online atau offline dan dapat memetakan informasi ini pada grafik yang menunjukkan kapan dan berapa banyak waktu saya online. Bahkan ada opsi untuk melacak banyak kontak sekaligus, memungkinkan kemungkinan untuk menyimpulkan jika dua kontak berpotensi berbicara satu sama lain.

Mengingat Google tidak mengizinkan aplikasi cyberstalking di Play Store, agak mengejutkan bahwa ini tersedia dalam troves – beberapa bahkan memiliki model berlangganan yang membuka fitur pelacakan / tambahan tanpa batas.

Sayangnya, WhatsApp tidak mengizinkan pengguna menonaktifkan nomor yang tidak dikenal untuk melihat status online mereka, jadi tidak ada yang dapat Anda lakukan untuk mencegah siapa pun mengetahui kapan dan untuk berapa lama Anda menggunakan aplikasi. WhatsApp belum berkomentar tentang masalah ini tetapi kami akan memperbarui artikel jika kami mendengar sesuatu.

sumber : www.androidpolice.com

61 persen karyawan gagal dalam kuis keamanan siber dasar

April 17, 2021 by Winnie the Pooh

Hampir 70% karyawan yang disurvei dalam survei baru mengatakan bahwa mereka baru-baru ini menerima pelatihan keamanan siber dari pemberi kerja mereka, namun 61% tetap gagal saat diminta untuk mengikuti kuis dasar tentang topik tersebut.

Ini adalah salah satu temuan utama dari studi penelitian – yang dilakukan oleh TalentLMS atas nama Kenna Security – yang berusaha memahami kebiasaan keamanan siber dari sekitar 1.200 pekerja, serta pengetahuan mereka tentang praktik terbaik dan kemampuan untuk mengenali ancaman keamanan.

Berikut adalah beberapa sorotan lain yang menggarisbawahi mengapa kejahatan dunia maya telah menjadi bisnis bernilai triliunan dolar:

Hanya 17% dari mereka yang disurvei yang bekerja di layanan informasi lulus kuis, dibandingkan dengan 57% pegawai perawatan kesehatan. Namun, 93% responden yang bekerja di layanan informasi melaporkan menerima pelatihan keamanan siber, dibandingkan dengan 67% responden perawatan kesehatan.
60% karyawan yang gagal dalam kuis keamanan siber melaporkan bahwa mereka merasa aman dari ancaman. Hebatnya, 74% responden yang menjawab setiap pertanyaan secara tidak benar melaporkan merasa aman.
Meskipun sebagian besar sudah terbiasa dengan teknologi, karyawan berusia 18-24 tahun secara kolektif menunjukkan performa terburuk dalam kuis, dengan hanya 16% yang lulus. Di antara kelompok demografis usia, 25 hingga 34 tahun terikat dengan mereka yang berusia 54 ke atas untuk kinerja kolektif terbaik, dengan tingkat kelulusan 43%.

James McQuiggan, advokat kesadaran keamanan di KnowBe4, mengatakan organisasi harus mengadakan penilaian simulasi phishing berulang dan pelatihan tambahan sepanjang tahun, selain pelatihan berbasis komputer.

selengkapnya : www.scmagazine.com

WordPress 5.7.1 Rilis Keamanan dan Pemeliharaan

April 17, 2021 by Winnie the Pooh

WordPress 5.7.1 sekarang tersedia!

Rilis keamanan dan pemeliharaan ini memiliki 26 perbaikan bug selain dua perbaikan keamanan. Karena ini adalah rilis keamanan, Anda disarankan untuk segera memperbarui situs Anda. Semua versi sejak WordPress 4.7 juga telah diperbarui.

WordPress 5.7.1 adalah rilis keamanan dan pemeliharaan siklus pendek. Rilis utama berikutnya adalah versi 5.8.

Anda dapat mengunduh WordPress 5.7.1 dengan mengunduh dari WordPress.org, atau kunjungi Dasbor Anda → Pembaruan dan klik Perbarui Sekarang.

Jika Anda memiliki situs yang mendukung pembaruan latar belakang otomatis, mereka sudah memulai proses pembaruan.

selengkapnya : wordpress.org

Vivaldi, Brave, DuckDuckGo menolak teknologi pelacakan iklan FLoC Google

April 17, 2021 by Winnie the Pooh

Bulan lalu, Google mengumumkan rencana untuk meluncurkan fitur baru yang berfokus pada privasi yang disebut Federated Learning of Cohorts (FLoC) untuk browser Chrome dan situs web penayangan iklan.

Teknologi ini dimaksudkan untuk menggantikan cookie pihak ketiga yang lebih tradisional yang digunakan oleh jaringan iklan dan platform analitik untuk melacak pengguna di seluruh web, yang dapat merugikan untuk menjaga privasi pengguna.

Namun, proposal Google untuk mengganti cookie pelacakan pihak ketiga dengan FLoC belum diterima oleh semua orang.

FLoC telah dikritik oleh Electronic Frontier Foundation (EFF) dan langsung ditolak oleh pembuat peramban Vivaldi dan Brave karena klaimnya yang dapat diperdebatkan sebagai teknologi pelestarian privasi.

Seperti yang dijelaskan Google:

“FLoC tidak membagikan riwayat penjelajahan Anda dengan Google atau siapa pun.”

“Ini berbeda dari cookie pihak ketiga, yang memungkinkan perusahaan untuk mengikuti Anda satu per satu di situs yang berbeda.”

“FLoC berfungsi di perangkat Anda tanpa membagikan riwayat penjelajahan Anda. Yang penting, semua orang dalam ekosistem periklanan, termasuk produk periklanan Google sendiri, akan memiliki akses yang sama ke FLoC,” jelas Google dalam entri blog.

Dengan kata sederhana, ini berarti, jika Anda tertarik dengan situs teknologi — seperti yang tercatat dalam riwayat browser web Anda, begitu juga dengan ribuan pengguna lainnya, browser dan browser Anda yang berjumlah ribuan lainnya ini akan ditambahkan ke grup browser yang mengunjungi teknologi situs. Semua browser tersebut akan diwakili oleh pengenal bersama.

Tapi, Vivaldi tidak setuju, begitu pula pembuat browser web Brave.

“Di Vivaldi, kami membela hak privasi pengguna kami. Kami tidak menyetujui pelacakan dan pembuatan profil, dalam penyamaran apa pun. Kami tentu saja tidak akan mengizinkan produk kami membuat profil pelacakan lokal,” kata Jon von Tetzchner, CEO Vivaldi dan salah satu pendiri.

“Bagi kami, kata ‘privasi’ berarti privasi yang sebenarnya. Kami tidak mengubahnya menjadi sebaliknya. Kami bahkan tidak mengamati bagaimana Anda menggunakan produk kami. Kebijakan privasi kami sederhana dan jelas; kami tidak ingin melacak Anda, “von Tetzchner lebih lanjut menyatakan dalam posting blog yang dirilis minggu ini.

Perusahaan telah menolak pelabelan FLoC oleh Google sebagai “kepura-puraan” teknologi pelestarian privasi yang sebenarnya melanggar privasi.

Tampilan tersebut juga telah dibagikan oleh banyak grup, termasuk mereka yang berada di belakang browser web Brave, DuckDuckGo, dan Electronic Frontier Foundation (EFF).

Microsoft meluncurkan Edge 90, dengan pencarian riwayat baru, Mode Anak, untuk pengguna umum

April 17, 2021 by Winnie the Pooh

Microsoft meluncurkan versi terbaru dari browser Edge barunya kepada pengguna umum hari ini, 15 April – hari yang sama saat Google meluncurkan Chrome 90. Microsoft’s Edge 90 menyertakan sejumlah fitur baru, termasuk opsi pencarian riwayat baru dan Mode Anak , yang telah diuji selama beberapa bulan terakhir.

Password Monitor, yang dimaksudkan untuk melindungi kata sandi pengguna dengan memberi tahu mereka jika kredensial mereka telah disusupi, juga dianggap sebagai bagian dari peluncuran Edge 90. Microsoft mulai meluncurkan Monitor Kata Sandi pada Januari 2021 sebagai bagian dari Edge 88, tetapi pada Edge 90, sekarang tersedia untuk semua pengguna

Fitur baru lainnya yang merupakan bagian dari Edge 90, menurut halaman Microsoft’s Edge “What’s Next”, termasuk dukungan untuk pengikatan token TLS untuk situs yang dikonfigurasi dengan kebijakan; opsi “halaman saat ini” untuk mencetak dokumen PDF; kemampuan untuk menghapus kata sandi secara massal; perbaikan rendering font; dan dukungan riwayat browser yang disinkronkan untuk penelusuran riwayat. Mulai versi 90, Edge juga sekarang mendukung istilah pencarian yang lebih mudah sehingga pelanggan dapat mencari riwayat penelusuran mereka dengan kata-kata mereka sendiri dengan istilah seperti “artikel berita dari minggu lalu,” kata pejabat.

selengkapnya : www.zdnet.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings