Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Xayn memperkenalkan pencarian web yang ramah pengguna dan melindungi privasi

by

Saat ini, mesin pencari memberikan pengalaman pencarian yang diprofilkan atau pencarian yang tidak diprofilkan tetapi bersifat pribadi. Sekarang aplikasi privasi baru Xayn menggabungkan privasi dengan personalisasi berdasarkan preferensi untuk memberikan hasil pencarian tanpa mengorbankan hak privasi Anda.

Ini didasarkan pada penelitian dalam AI yang melindungi privasi dan merupakan singkatan dari transparansi dan AI etis yang dibuat di Eropa.

Aplikasi ini memungkinkan Anda mengontrol algoritme pencariannya.

Dengan menggesek ke kiri atau kanan pada hasil, Anda dapat memengaruhi hasil apa yang ditampilkan dan dapat mengajarkan algoritme hasil mana yang ingin Anda lihat lebih banyak di masa mendatang.

Aplikasi ini memberi Anda kontrol satu tangan dan pencarian tanpa klik untuk membuatnya mudah digunakan. Kumpulkan, simpan, dan sortir konten web favorit Anda sehingga Anda tidak kehilangan informasi apa pun.

Layar beranda Anda menampilkan umpan web pribadi Anda, ditentukan oleh riwayat pencarian Anda.

sumber : ZDNET

Cisco mengatakan mereka tidak akan menambal 74 bug keamanan di router RV lama yang mencapai EOL

by

Vendor peralatan jaringan, Cisco, kemarin, mengatakan tidak akan merilis pembaruan firmware untuk memperbaiki 74 kerentanan yang telah dilaporkan di lini router RV, yang telah mencapai akhir masa pakainya (EOL).

Perangkat yang terpengaruh termasuk sistem Cisco Small Business RV110W, RV130, RV130W, dan RV215W, yang dapat digunakan sebagai router, firewall, dan VPN.

Keempatnya mencapai EOL pada 2017 dan 2018 dan juga baru-baru ini keluar dari masa pemeliharaan terakhir mereka sebagai bagian dari kontrak dukungan berbayar pada 1 Desember 2020.

Perusahaan menyarankan agar pelanggan memindahkan pengoperasian ke perangkat yang lebih baru, seperti model RV132W, RV160, atau RV160W, yang menyediakan fitur yang sama dan masih didukung secara aktif.

Beberapa pelanggan perusahaan mungkin tidak menyukai keputusan Cisco, tetapi kabar baiknya adalah tidak ada bug yang diungkapkan hari ini yang dapat dieksploitasi dengan mudah.

Cisco mengatakan bahwa semua kerentanan mengharuskan penyerang memiliki kredensial untuk perangkat tersebut, yang mengurangi risiko jaringan diserang dalam beberapa minggu atau bulan mendatang, memberikan administrator kesempatan untuk merencanakan dan menyiapkan rencana migrasi ke peralatan yang lebih baru, atau setidaknya menerapkan countermeasures mereka sendiri.

Sumber: ZDNet

Apple menghapus fitur yang memungkinkan aplikasinya melewati firewall dan VPN macOS

by

Apple telah menghapus fitur kontroversial dari sistem operasi macOS yang memungkinkan 53 aplikasi milik Apple melewati firewall pihak ketiga, alat keamanan, dan aplikasi VPN yang dipasang oleh pengguna untuk perlindungan mereka.

Dikenal sebagai ContentFilterExclusionList, daftar tersebut disertakan dalam versi macOS 11, juga dikenal sebagai Big Sur.

Daftar pengecualian menyertakan beberapa aplikasi terbesar Apple, seperti App Store, Maps, dan iCloud, dan secara fisik terletak di disk di: /System/Library/Frameworks/NetworkExtension.framework/Versions/Current/Resources/Info.plist.

Kehadirannya ditemukan Oktober lalu oleh beberapa peneliti keamanan dan pembuat aplikasi yang menyadari bahwa alat keamanan mereka tidak dapat menyaring atau memeriksa lalu lintas untuk beberapa aplikasi Apple.

Peneliti keamanan seperti Patrick Wardle, dan lainnya, dengan cepat menunjukkan bahwa risiko pengecualian ini adalah mimpi buruk keamanan siber yang menunggu untuk terjadi. Mereka berpendapat bahwa malware dapat menempel ke aplikasi Apple yang sah yang termasuk dalam daftar pengecualian dan kemudian melewati firewall dan perangkat lunak keamanan.

Selain profesional keamanan, daftar pengecualian telah disaring secara luas oleh para ahli privasi, karena pengguna macOS juga berisiko mengekspos alamat IP asli dan lokasi mereka saat menggunakan aplikasi Apple, karena produk VPN tidak akan dapat menutupi lokasi pengguna.

Sumber: ZDNet

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

by

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet

Operasi Scam-as-a-Service menghasilkan lebih dari $6,5 juta pada tahun 2020

by

Operasi kejahatan siber berbasis di Rusia yang baru ditemukan telah membantu ads scammers rahasia mencuri lebih dari $6,5 juta dari pembeli di seluruh AS, Eropa, dan bekas negara Soviet.

Dalam sebuah laporan, perusahaan keamanan siber Group-IB telah menyelidiki operasi ini, yang oleh perusahaan digambarkan sebagai Scam-as-a-Service dan dinamai Classiscam. Menurut laporan tersebut, skema Classiscam dimulai pada awal 2019 dan awalnya hanya menargetkan pembeli yang aktif di marketplace online Rusia dan portal iklan rahasia.

Saat ini, Classiscam aktif di lebih dari selusin negara dan di marketplace luar negeri serta layanan kurir seperti Leboncoin, Allegro, OLX, FAN Courier, Sbazar, DHL dan lainnya.

Namun terlepas dari penargetan yang luas, modus operandi Classiscam mengikuti pola yang sama — diadaptasi untuk setiap situs — dan berkisar pada penerbitan iklan untuk produk yang tidak ada di marketplace online.

Setelah pengguna tertarik dan menghubungi vendor (scammer), operator Classiscam akan meminta pembeli memberikan detail untuk mengatur pengiriman produk.

Penipu kemudian akan menggunakan bot Telegram untuk menghasilkan halaman phishing yang meniru marketplace asli tetapi dihosting di domain yang mirip. Penipu akan mengirimkan tautan tersebut ke pembeli, yang kemudian pembeli akan mengisinya dengan detail pembayaran mereka.

Setelah korban memberikan rincian pembayaran, para penipu akan mengambil data pembayaran tersebut dan mencoba menggunakannya di tempat lain untuk membeli produk lain.

Group-IB mengatakan bahwa seluruh operasi ini diatur dengan sangat baik, dengan “admin” di bagian paling atas, diikuti oleh “pekerja”, dan “penelepon”.

Sumber: Group-IB

Sumber: ZDNet

Laporan Analisis (AR21-013A) Memperkuat Konfigurasi Keamanan untuk Melindungi dari Penyerang yang Menargetkan Layanan Cloud

by

CISA merekomendasikan langkah-langkah berikut bagi organisasi untuk memperkuat praktik keamanan cloud mereka.

  • Terapkan kebijakan akses bersyarat (CA) berdasarkan kebutuhan organisasi Anda.
  • Tetapkan garis dasar untuk aktivitas jaringan normal dalam lingkungan Anda.
  • Tinjau secara rutin log masuk Direktori Aktif dan log audit terpadu untuk aktivitas yang tidak wajar.
  • Terapkan MFA.
  • Tinjau pemberitahuan dan aturan penerusan email buatan pengguna secara rutin, atau batasi penerusan.
  • Memiliki rencana atau prosedur mitigasi; memahami kapan, bagaimana, dan mengapa menyetel ulang sandi dan mencabut token sesi.
  • Ikuti panduan rekomendasi tentang mengamankan akses istimewa.
  • Pertimbangkan kebijakan yang tidak mengizinkan karyawan menggunakan perangkat pribadi untuk bekerja. Minimal gunakan solusi pengelolaan perangkat seluler tepercaya.
  • Selesaikan permintaan situs klien internal ke jaringan Anda.
  • Pertimbangkan untuk membatasi pengguna agar tidak meneruskan email ke akun di luar domain Anda.
  • Izinkan pengguna untuk hanya menyetujui integrasi aplikasi yang telah disetujui sebelumnya oleh administrator.
  • Audit aturan email dengan peringatan yang dapat diberlakukan melalui Pusat Keamanan dan Kepatuhan atau alat lain yang menggunakan API Grafik untuk memperingatkan administrator tentang aktivitas abnormal.
  • Terapkan MFA untuk semua pengguna, tanpa kecuali.
  • Akses bersyarat harus dipahami dan diterapkan dengan pola pikir tanpa kepercayaan.
  • Pastikan logging akses pengguna diaktifkan. Meneruskan log ke informasi keamanan dan peralatan manajemen peristiwa untuk agregasi dan pemantauan agar tidak kehilangan visibilitas log di luar periode logging.
  • Gunakan kebijakan CA untuk memblokir protokol otentikasi lama.
  • Pastikan semua instance mesin virtual berbasis cloud dengan IP publik tidak memiliki port Remote Desktop Protocol (RDP) yang terbuka. Tempatkan sistem apa pun dengan port RDP terbuka di belakang firewall dan minta pengguna menggunakan VPN untuk mengaksesnya melalui firewall.
  • Fokus pada kesadaran dan pelatihan. Buat karyawan sadar akan ancaman — seperti penipuan phishing — dan cara penyampaiannya. Selain itu, berikan pelatihan kepada pengguna tentang prinsip dan teknik keamanan informasi serta keseluruhan risiko dan kerentanan keamanan siber yang muncul.
  • Buat pelaporan karyawan yang bebas dari kesalahan dan pastikan karyawan mengetahui siapa yang harus dihubungi ketika mereka melihat aktivitas yang mencurigakan atau jika mereka yakin telah menjadi korban serangan cyber. Ini akan memastikan bahwa strategi mitigasi yang mapan dapat diterapkan dengan cepat dan efisien.
  • Pastikan produk pemfilteran dan deteksi bawaan yang ada (mis., Untuk spam, phishing, malware, dan lampiran serta tautan yang aman diaktifkan.
  • Organisasi yang menggunakan M365 juga harus mempertimbangkan langkah-langkah berikut.
  1. Tetapkan beberapa (satu hingga tiga) pengguna tepercaya sebagai manajer penemuan elektronik (atau eDiscovery) untuk melakukan pencarian konten forensik di seluruh lingkungan M365 (Kotak Surat, Teams, SharePoint, dan OneDrive) untuk bukti aktivitas berbahaya.
  2. PowerShell dari jarak jauh ke Exchange Online untuk pengguna biasa M365. Penonaktifan untuk pengguna non-administratif akan menurunkan kemungkinan akun pengguna yang disusupi digunakan untuk mengakses konfigurasi penyewa secara terprogram untuk pengintaian.
  3. Jangan izinkan upaya login yang tidak berhasil dalam jumlah yang tidak terbatas. Untuk mengonfigurasi pengaturan ini, lihat konfigurasi penguncian cerdas sandi dan laporan aktivitas masuk.
  4. Pertimbangkan untuk menggunakan alat seperti Sparrow atau Hawk — alat berbasis PowerShell sumber terbuka yang digunakan untuk mengumpulkan informasi terkait M365 — untuk menyelidiki dan mengaudit gangguan dan potensi pelanggaran.

sumber : US-CERT

Cacat Cisco Tingkat Keparahan Tinggi Ditemukan di Perangkat Lunak CMX Untuk Retail

by

Cacat yang sangat parah dalam solusi Wi-Fi pintar Cisco untuk pengecer dapat memungkinkan penyerang jarak jauh untuk mengubah kata sandi pengguna akun mana pun pada sistem yang terpengaruh.

Kerentanan tersebut merupakan bagian dari sejumlah tambalan yang dikeluarkan oleh Cisco yang menangani 67 CVE tingkat keparahan tinggi pada hari Rabu. Ini termasuk kekurangan yang ditemukan di AnyConnect Secure Mobility Client Cisco, serta router bisnis kecil Cisco RV110W, RV130, RV130W, dan RV215W.

Cacat paling serius menimpa Cisco Connected Mobile Experiences (CMX), solusi perangkat lunak yang digunakan pengecer untuk memberikan wawasan bisnis atau analitik pengalaman pelanggan di tempat. Solusinya menggunakan infrastruktur nirkabel Cisco untuk mengumpulkan harta karun data dari jaringan Wi-Fi pengecer, termasuk pelacakan lokasi pelanggan secara waktu nyata.

Misalnya, jika pelanggan terhubung ke jaringan Wi-Fi toko yang menggunakan CMX, pengecer dapat melacak lokasi mereka di dalam tempat tersebut, mengamati perilaku mereka, dan memberikan penawaran atau promosi khusus kepada mereka-saat mereka berada di sana.

Kerentanan (CVE-2021-1144) disebabkan oleh penanganan pemeriksaan otorisasi yang salah untuk mengubah sandi. Cacat tersebut menempati urutan 8.8 dari 10 pada skala kerentanan-keparahan CVSS, menjadikannya sangat parah. Catatan, untuk mengeksploitasi kekurangan tersebut, penyerang harus memiliki akun CMX yang diautentikasi – tetapi tidak memerlukan hak administratif.

Admin memiliki berbagai hak istimewa, termasuk kemampuan untuk menggunakan perintah File Transfer Protocol (FTP) untuk mencadangkan dan memulihkan data di Cisco CMX dan mendapatkan akses ke kredensial (untuk membuka kunci pengguna yang telah terkunci dari akun mereka).

Kerentanan ini memengaruhi rilis Cisco CMX 10.6.0, 10.6.1, dan 10.6.2; masalah telah diperbaiki di Cisco CMX rilis 10.6.3 dan yang lebih baru.

Cacat tingkat keparahan tinggi lainnya (CVE-2021-1237) ada di Cisco AnyConnect Secure Mobility Client untuk Windows. AnyConnect Secure Mobility Client, produk perangkat lunak titik akhir modular, menyediakan berbagai layanan keamanan (seperti akses jarak jauh, fitur keamanan web, dan perlindungan roaming) untuk titik akhir.

Dan, lima CVE lagi (CVE-2021-1146, CVE-2021-1147, CVE-2021-1148, CVE-2021-1149 dan CVE-2021-1150) di router Cisco Small Business RV110W, RV130, RV130W, dan RV215W dapat mengizinkan penyerang jarak jauh yang diautentikasi untuk memasukkan perintah arbitrer yang dijalankan dengan hak akses root.

sumber :ThreatPost

Cyberspies Iran di balik kampanye spear-phishing SMS Natal

by

Sebuah kelompok spionase siber Iran yang dikenal sebagai Charming Kitten (APT35 atau Phosphorus) telah menggunakan liburan musim dingin baru-baru ini untuk menyerang target dari seluruh dunia menggunakan kampanye spear-phishing yang sangat canggih yang tidak hanya melibatkan serangan email tetapi juga pesan SMS.

CERTFA, organisasi keamanan siber yang khusus melacak operasi Iran, mengatakan mereka mendeteksi serangan yang menargetkan anggota lembaga think tank, pusat penelitian politik, profesor universitas, jurnalis, dan aktivis lingkungan.

Para korban berada di negara-negara sekitar Teluk Persia, Eropa, dan AS.

Peneliti CERTFA mengatakan bahwa kampanye khusus ini menunjukkan tingkat kompleksitas yang tinggi. Korban menerima pesan spear-phishing dari penyerang tidak hanya melalui email tetapi juga melalui SMS, saluran yang tidak banyak digunakan oleh pelaku ancaman.

Sementara pesan SMS berperan sebagai peringatan keamanan Google, email tersebut memanfaatkan akun yang sebelumnya diretas dan menggunakan umpan terkait liburan.

Persamaan yang umum di kedua kampanye tersebut adalah bahwa operator Charming Kitten berhasil menyembunyikan serangan mereka di balik URL Google yang sah https://www.google[.]com/url?q=https://script.google.com/xxxx, yang akan menipu bahkan penerima yang paling paham teknologi.

Sumber: CERTFA
Sumber: CERTFA

Namun ternyata, CERTFA mengatakan bahwa URL Google yang sah pada akhirnya akan mengarahkan pengguna melalui situs web yang berbeda dan akhirnya membawanya ke halaman phishing, di mana mereka akan dimintai kredensial masuk untuk layanan email pribadi seperti Gmail, Yahoo, dan Outlook, tetapi juga email bisnis.

Sumber: ZDNet