News 398 - Naga Cyber Defense

Mengapa Rusia Mungkin Meningkatkan Permainan Peretasannya

January 30, 2021 by Winnie the Pooh

Di bulan November lalu, Kevin Mandia, CEO firma keamanan siber FireEye, membuka kotak suratnya untuk menemukan kartu pos anonim. Di depannya ada kartun sederhana. “Hei, lihat, Rusia,” bacanya. “Putin melakukannya.”

Dia mungkin tidak akan berpikir dua kali jika bukan karena satu hal: Perusahaannya baru-baru ini meluncurkan penyelidikan keamanan internal setelah pejabat menemukan seseorang mencoba mendaftarkan perangkat yang tidak sah ke dalam jaringannya. Penyelidikan itu akhirnya mengarah pada penemuan sesuatu yang bahkan lebih mengkhawatirkan: pelanggaran perusahaan pemantau jaringan yang berbasis di Texas bernama SolarWinds.

Para pejabat AS sekarang percaya bahwa peretas dengan dinas intelijen Rusia, SVR, menemukan cara untuk mendukung salah satu pembaruan perangkat lunak reguler SolarWinds dan menyelinap tanpa terdeteksi ke jaringan kliennya. Artinya, ada kemungkinan ribuan perusahaan dan puluhan departemen dan lembaga pemerintah mungkin telah disusupi.

Presiden Biden cukup prihatin tentang serangan itu sehingga ia mengemukakannya dalam panggilan resmi pertamanya sebagai presiden pada hari Selasa dengan mitranya dari Rusia, Vladimir Putin. Tidak jelas bagaimana Putin menanggapi, tetapi Rusia telah membantah terlibat di masa lalu.

selengkapnya : NPR

Bagaimana NSA meretas router Huawei

January 30, 2021 by Winnie the Pooh

Dokumen yang bocor dari Badan Keamanan Nasional pada tahun 2014 mengungkapkan bahwa layanan mata-mata utama negara itu secara diam-diam mencuri rahasia elektronik dan lainnya dengan meretas peralatan telekomunikasi Huawei Technologies yang digunakan secara luas di China dan di seluruh dunia.

Operasi mata-mata yang sensasional, dengan nama kode Shotgiant, dibatalkan oleh Edward Snowden, mantan kontraktor NSA yang sekarang tinggal di Rusia yang mengungkap peretasan rahasia setelah mencuri hampir 2 juta dokumen NSA dan merilisnya ke pers.

Inside the Ring sekarang dapat mengungkapkan bagaimana NSA dapat melakukan operasi mata-mata elektroniknya di seluruh dunia, menembus router Huawei dan mendengarkan komunikasi yang melewatinya.

Seseorang yang mengetahui operasi tersebut mengatakan bahwa cyberspies yang bekerja untuk grup Operasi Akses Khusus NSA, unit peretasan rahasia yang berbasis di dekat Bandara Internasional Baltimore-Washington, dapat masuk ke dalam peralatan Huawei karena peretasan sebelumnya terhadap router Cisco Systems.

Tanpa sepengetahuan Huawei, teknologi yang dicuri itu termasuk perangkat lunak yang sama dengan yang berhasil dibobol NSA di router Cisco. Dengan demikian, semua peralatan Huawei menjadi pos daftar raksasa untuk cyberspies.

Kemampuan untuk mencuri rahasia dari peralatan telekomunikasi dikonfirmasi dalam memorandum internal NSA sekitar tahun 2012 yang membahas peretasan router besar.

Peretasan router, jelas memo itu, memungkinkan mata-mata menambahkan kredensial masuk yang mengizinkan akses jarak jauh “kapan pun Anda pilih”.

Aturan perutean juga dapat ditambahkan atau diubah. Penggunaan kapabilitas “penangkap paket” dalam peralatan dideskripsikan sebagai “seperti pos pendengaran lokal untuk semua kredensial yang dikirimkan melalui kabel!”

Alat mata-mata lain dari peretas yang diretas melemahkan enkripsi untuk jaringan pribadi virtual sehingga NSA dapat membuat aliran informasi yang dapat diuraikan dengan mudah.

Akhirnya, NSA menggunakan perute yang diretas untuk menginstal “versi sistem operasi yang dorked [dimanipulasi] dengan fungsionalitas apa pun yang Anda inginkan,” kata memo itu.

selengkapnya : WashingtonNews

Peneliti Google menemukan sistem keamanan iOS baru

January 29, 2021 by Winnie the Pooh

Dengan dirilisnya iOS 14 musim gugur lalu, Apple telah menambahkan sistem keamanan baru ke iPhone dan iPad untuk melindungi pengguna dari serangan yang dilakukan melalui klien pesan instan iMessage.

Dinamakan BlastDoor, fitur keamanan iOS baru ini ditemukan oleh Samuel Groß, peneliti keamanan Project Zero, tim keamanan Google yang bertugas menemukan kerentanan di perangkat lunak yang umum digunakan.

Groß mengatakan layanan BlastDoor baru adalah sandbox dasar, jenis layanan keamanan yang mengeksekusi kode secara terpisah dari sistem operasi lainnya.

Meskipun iOS dikirimkan dengan beberapa mekanisme sandbox, BlastDoor adalah tambahan baru yang hanya beroperasi di tingkat aplikasi iMessage.

Perannya adalah mengambil pesan masuk dan membongkar dan memproses kontennya di dalam lingkungan yang aman dan terisolasi, di mana kode berbahaya apa pun yang tersembunyi di dalam pesan tidak dapat berinteraksi atau merusak sistem operasi yang mendasarinya atau mengambil data pengguna.

Setelah mencari-cari di dalam cara kerja iOS 14 selama seminggu, Groß mengatakan dia yakin bahwa Apple akhirnya mendengarkan komunitas riset keamanan dan meningkatkan penanganan iMessage atas konten yang masuk dengan menambahkan sandbox BlastDoor ke kode sumber iMessage.

Sumber: ZDNet

Potensi kerentanan eksekusi kode jarak jauh yang ditemukan di aplikasi Node.js

January 29, 2021 by Winnie the Pooh

Kerentanan dalam kerangka aplikasi web Node.js dapat dimanfaatkan untuk mencapai eksekusi kode jarak jauh (RCE).

Dipublikasikan oleh peneliti keamanan “wannabe” yang dideskripsikan sendiri, Shoeb ‘CaptainFreak’ Patel pada tanggal 23 Januari, penelitian tersebut menunjukkan bahwa Express.js mungkin rentan terhadap kesalahan pembacaan file lokal. Jika digabungkan dengan mesin Handlebars versi lama, cacat ini juga dapat dieksploitasi untuk mengeksekusi kode berbahaya dari jarak jauh.

Handlebars adalah mesin template yang populer untuk aplikasi web.

Berbicara kepada The Daily Swig, Patel mengatakan bahwa dia memutuskan untuk mencari kerentanan di Node.js, Express.js, dan Handlebars karena dia terbiasa dengan kode sebagai pengembang.

selengkapnya : Portswigger

Tema dan plugin bajakan adalah ancaman paling luas bagi situs WordPress

January 29, 2021 by Winnie the Pooh

Tema dan plugin bajakan (alias nulled) adalah sumber infeksi malware paling umum di situs WordPress pada tahun 2020, menurut Wordfence, penyedia solusi firewall aplikasi situs web (WAF) untuk situs WordPress.

Perusahaan keamanan tersebut mengatakan pemindai malware-nya mendeteksi lebih dari 70 juta file berbahaya di lebih dari 1,2 juta situs WordPress pada tahun 2020.

Dari 206.000 situs ini, 154.928 terinfeksi dengan versi malware WP-VCD, jenis malware WordPress yang dikenal karena penggunaan tema bajakan / nulled untuk distribusi.

Wordfence mengatakan operasi malware khusus ini sangat sukses tahun lalu sehingga menyumbang 13% dari semua situs yang terinfeksi pada tahun 2020.

Situs yang sah juga diserang dan terinfeksi. Metode lain di mana situs-situs ini diretas termasuk serangan brute force terhadap formulir login dan penggunaan kode eksploitasi yang memanfaatkan kerentanan yang belum ditambal.

Serangan ini berasal dari 57 juta alamat IP yang berbeda — kemungkinan besar bagian dari botnet serangan dan jaringan proxy — dan berjumlah 2.800 upaya login berbahaya per detik terhadap pelanggan Wordfence.

Untuk mengurangi serangan ini, Wordfence merekomendasikan agar pemilik situs memasang WAF atau mengaktifkan solusi autentikasi dua faktor untuk akun mereka.

Upaya eksploitasi lain juga mengandalkan injeksi SQL, bug eksekusi kode jarak jauh, masalah skrip lintas situs, atau bypass autentikasi, kata Wordfence.

Sumber: ZDNet

Badan Kejahatan Nasional memperingatkan pedagang pemula dan veteran sama-sama meningkat dalam penipuan perusahaan klon

January 29, 2021 by Winnie the Pooh

Pada hari Rabu, Badan Kejahatan Nasional (NCA) Inggris dan Otoritas Perilaku Keuangan (FCA) mengeluarkan peringatan kepada publik tentang penipuan “perusahaan kloning” yang tampaknya tidak hanya mengklaim investor pemula tetapi juga pemain veteran di pasar.

FCA mengatakan bahwa bentuk penipuan ini sedang meningkat, dengan peningkatan tingkat yang dilaporkan sejak Inggris melakukan lockdown pertama selama Maret 2020.

Secara total, investor telah kehilangan lebih dari £78 juta ($107 juta), angka yang kemungkinan akan terus meningkat. Kerugian rata-rata dilaporkan sebagai £45.242 per korban, menurut penelitian Action Fraud.

Penipuan investasi perusahaan klon melampaui email phishing biasa atau tautan media sosial yang meragukan yang menjanjikan pengembalian langsung atas uang Anda. Penipu menggunakan nama, alamat, dan Nomor Referensi Perusahaan (FRN) yang sama yang dikeluarkan untuk perusahaan investasi resmi oleh FCA dan kemudian selama phishing, media sosial, dan pesan cold-call, mereka mengirimkan materi penjualan yang berisi tautan ke situs web perusahaan yang sah.

Namun, penyamaran hanya berlaku sejauh ini: begitu kepercayaan terbentuk, investor tertipu untuk berpisah dengan dana yang ditujukan untuk perusahaan yang sah, hanya agar uang mereka langsung masuk ke pundi-pundi penipu.

Selengkapnya: ZDNet

519 pemberitahuan pelanggaran data termasuk 33 dari entitas pemerintah Australia

January 29, 2021 by Winnie the Pooh

Entitas Australia yang dicakup oleh Privacy Act melaporkan 519 kasus pelanggaran data dalam enam bulan hingga Desember 2020, meningkat 5% dari paruh pertama tahun ini.

Pemberitahuan pelanggaran data ke Kantor Komisaris Informasi Australia (OAIC) menjadi wajib di bawah skema Notifiable Data Breaches (NDB) pada Februari 2018.

Sejak mandat tersebut, kesehatan telah menjadi sektor yang paling terpengaruh; Laporan terbaru tidak menunjukkan perubahan, dengan perhitungan kesehatan sebanyak 123 pemberitahuan, diikuti oleh bagian keuangan dengan 83 pemberitahuan. Pemerintah Australia memasuki lima sektor teratas untuk pertama kalinya, terhitung 6% dari total, dengan 33 pemberitahuan.

Menggali lebih dalam tentang kecerobohan pemerintah, kesalahan manusia adalah penyebab dari 29 dari total pemberitahuan sektor, dua berasal dari serangan jahat atau kriminal, satu dikaitkan dengan “insiden siber”, dan yang lainnya disebabkan rekayasa sosial/peniruan identitas.

“Insiden siber” dikonfirmasi sebagai serangan brute force pada entitas yang tidak disebutkan namanya.

Jenis kesalahan manusia yang paling umum disalahkan atas pemberitahuan pemerintah adalah informasi pribadi yang dikirim ke penerima yang salah. Kegagalan untuk menyunting adalah penyebab lima pemberitahuan.

Selengkapnya: ZDNet

Pihak berwenang berencana untuk menghapus Emotet secara massal dari host yang terinfeksi pada 25 April 2021

January 29, 2021 by Winnie the Pooh

Petugas penegak hukum di Belanda sedang dalam proses mengirimkan pembaruan Emotet yang akan menghapus malware dari semua komputer yang terinfeksi pada 25 April 2021.

Pembaruan ini terjadi setelah lembaga penegak hukum dari delapan negara mengatur penghapusan terkoordinasi minggu ini untuk menyita server dan menangkap individu di belakang Emotet, yang dianggap sebagai botnet malware terbesar saat ini.

Sementara server terletak di beberapa negara, pejabat Belanda mengatakan bahwa dua dari tiga server komando dan kendali utama (C&C) Emotet terletak di dalam perbatasannya.

Pejabat polisi Belanda mengatakan bahwa mereka menggunakan akses mereka ke dua server penting ini untuk menyebarkan pembaruan Emotet yang di-boobytrap ke semua host yang terinfeksi.

Menurut laporan publik, juga dikonfirmasi oleh ZDNet dengan dua firma keamanan siber yang secara historis melacak operasi Emotet, pembaruan ini berisi kode seperti bom waktu yang akan menghapus malware Emotet pada 25 April 2021, pada pukul 12:00, waktu lokal setiap komputer.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings