Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Bagaimana kepercayaan lembaga A.S. pada perangkat lunak yang belum teruji membuka pintu bagi peretas

by

Peretasan besar-besaran selama berbulan-bulan di seluruh badan pemerintah AS berhasil, sebagian, karena tidak ada yang mencari di tempat yang tepat.

Pemerintah federal hanya melakukan inspeksi keamanan sepintas terhadap perangkat lunak yang dibelinya dari perusahaan swasta untuk berbagai aktivitas, mulai dari mengelola basis data hingga mengoperasikan aplikasi obrolan internal. Itu menciptakan titik buta yang dicurigai telah dieksploitasi oleh para peretas Rusia untuk melanggar Departemen Keuangan, Departemen Keamanan Dalam Negeri, Institut Kesehatan Nasional, dan lembaga lainnya. Setelah menyematkan kode dalam perangkat lunak manajemen jaringan yang banyak digunakan yang dibuat oleh perusahaan Texas bernama SolarWinds, yang harus mereka lakukan hanyalah menunggu agensi mengunduh pembaruan perangkat lunak rutin dari pemasok tepercaya.

Saat penyelidik berlomba untuk menilai kerusakan dari peretasan, para ahli dan anggota parlemen menyerukan peningkatan pengawasan terhadap kode pihak ketiga yang diizinkan oleh lembaga pemerintah di jaringan mereka dan menuntut perbaikan untuk kelemahan yang telah lama diketahui.

Serangan terhadap vendor dalam rantai pasokan perangkat lunak merupakan masalah yang diketahui yang perlu diprioritaskan, kata Rep. Jim Langevin (D-R.I.), Salah satu pendiri Kongres Cybersecurity Caucus.

Dia mengatakan Kongres perlu “memberi insentif” kepada perusahaan untuk membuat perangkat lunak mereka lebih aman, yang mungkin memerlukan perubahan mahal.

Daripada memaksakan persyaratan keamanan baru pada vendor, beberapa ahli mengatakan agensi harus lebih memperhatikan perangkat lunak yang mereka beli dan secara rutin menguji kekurangannya. Tetapi audit perangkat lunak rutin kemungkinan akan menjadi beban besar bagi agen federal.

Salah satu pendekatannya adalah dengan memusatkan pengujian perangkat lunak di satu agensi. Namun tidak semua orang yakin bahwa sentralisasi ini akan berhasil.

Sumber: Politico

Alibaba ‘kecewa’ dikarenakan algoritme pendeteksi etnisitas pada unit cloud-nya

by

Raksasa teknologi China telah menuai kritik internasional setelah penelitian menunjukkan bahwa mereka memiliki teknologi yang memungkinkan pihak berwenang untuk mengidentifikasi profil Muslim Uyghur.

Unit komputasi awan Alibaba, Alibaba Cloud, mengembangkan algoritme pengenalan wajah yang dapat mengidentifikasi etnis seseorang atau apakah seseorang itu “Uyghur”, menurut penelitian dari publikasi industri pengawasan IPVM.

China telah berulang kali membela “program pelatihan kejuruan” kontroversialnya yang dikenakan pada etnis minoritas Muslimnya, termasuk Uyghur, Kazakh, dan lainnya, sebagai bagian dari apa yang disebut pemerintah sebagai upaya kontraterorisme.

Alibaba mengatakan dalam sebuah pernyataan bahwa “kecewa” mengetahui bahwa Alibaba Cloud menguji teknologi yang menyertakan “etnis sebagai algoritme” dan bahwa “diskriminasi atau profil ras atau etnis dalam bentuk apa pun melanggar kebijakan dan nilai Alibaba”.

Pelanggaran keamanan dari tahun lalu mengungkapkan bahwa sistem pengawasan “kota pintar” yang dihosting di Alibaba Cloud dapat mendeteksi etnisitas orang atau melabeli mereka sebagai Muslim Uyghur, TechCrunch melaporkan sebelumnya. Saat itu, Alibaba mengatakan sebagai penyedia cloud publik, “tidak memiliki hak untuk mengakses konten di database pelanggan”.

sumber : TechCrunch

AS memasukkan lusinan perusahaan China ke dalam daftar hitam termasuk SMIC, DJI

by

WASHINGTON (Reuters) – Amerika Serikat menambahkan lusinan perusahaan China, termasuk pembuat chip terkemuka SMIC dan produsen drone China SZ DJI Technology Co Ltd, ke daftar hitam perdagangan pada hari Jumat ketika pemerintahan Presiden AS Donald Trump meningkatkan ketegangan dengan China di minggu terakhirnya di kantor.

Departemen Perdagangan “tidak akan mengizinkan teknologi canggih AS untuk membantu membangun militer dari musuh yang semakin agresif,” kata Sekretaris Wilbur Ross dalam sebuah pernyataan.

Departemen tersebut juga mengatakan sedang menambahkan perusahaan drone terbesar di dunia DJI ke dalam daftar bersama dengan AGCU Scientech; Instrumen dan Bahan Ilmiah Nasional China, dan Grup Kuang-Chi yang diduga memungkinkan “pelanggaran hak asasi manusia berskala luas”.

sumber : Reuters

Tagged With:

“Peternakan emulator seluler jahat” digunakan untuk mencuri jutaan dari bank AS dan UE

by

Peneliti dari IBM Trusteer mengatakan mereka telah menemukan operasi penipuan besar-besaran yang menggunakan jaringan emulator perangkat seluler untuk menghabiskan jutaan dolar dari rekening bank online dalam hitungan hari.

Skala operasi tidak seperti yang pernah dilihat para peneliti sebelumnya. Dalam satu kasus, penjahat menggunakan sekitar 20 emulator untuk meniru lebih dari 16.000 ponsel milik pelanggan yang rekening bank selulernya telah disusupi. Dalam kasus terpisah, satu emulator dapat memalsukan lebih dari 8.100 perangkat.

Para pencuri kemudian memasukkan nama pengguna dan kata sandi ke dalam aplikasi perbankan yang berjalan pada emulator dan memulai wesel penipuan yang menyedot dana dari akun yang disusupi.

Untuk melewati perlindungan yang digunakan bank untuk memblokir serangan tersebut, penjahat menggunakan pengenal perangkat yang sesuai dengan setiap pemegang akun yang disusupi dan lokasi GPS palsu yang diketahui digunakan oleh perangkat tersebut.

ID perangkat kemungkinan diperoleh dari perangkat yang diretas, meskipun dalam beberapa kasus, penipu memberikan kesan bahwa mereka adalah pelanggan yang mengakses akun mereka dari ponsel baru. Para penyerang juga dapat melewati otentikasi multi-faktor dengan mengakses pesan SMS.

Setiap kali penjahat berhasil menguras akun, mereka akan menghentikan perangkat palsu yang mengakses akun tersebut dan menggantinya dengan perangkat baru.

Sumber: Ars Technica

Spotify Mengubah Kata Sandi Setelah Pelanggaran Data Lain

by

Spotify telah memberi tahu pengguna bahwa beberapa data pendaftaran mereka secara tidak sengaja terekspos ke mitra bisnis pihak ketiga, termasuk alamat email, nama tampilan yang disukai, kata sandi, jenis kelamin, dan tanggal lahir.

Ini setidaknya adalah pelanggaran ketiga dalam waktu kurang dari sebulan untuk layanan streaming terbesar di dunia tersebut.

Sebuah pernyataan dari Spotify tentang insiden tersebut mengatakan bahwa eksposur tersebut disebabkan oleh kerentanan perangkat lunak yang ada dari 9 April hingga 12 November ketika diperbaiki.

Pernyataan itu datang hanya beberapa hari setelah beberapa halaman bintang paling populer layanan streaming diambil alih oleh aktor jahat bernama “Daniel” yang menggunakan halaman artis Spotify yang dibajak, termasuk Dua Lipa dan Pop Smoke, untuk menyatakan cintanya pada Trump dan Taylor Swift.

Insiden tersebut terjadi selama pengumuman akhir tahun Spotify Wrapped 2020 yang dipublikasikan secara luas tentang streaming terpopuler tahun ini.

Hanya seminggu sebelum insiden itu, pada akhir November, Spotfiy menerima banyak pengambilalihan akun setelah operasi credential-stuffing. Dalam jenis serangan ini, pelaku ancaman bertaruh pada orang yang menggunakan kembali kata sandi mereka; mereka mencoba mencuri sandi dan ID pada layanan yang berbeda untuk mendapatkan akses ke berbagai akun.

Sumber: The Threat Post

Total CVE yang Dipublikasikan Mencapai Rekor Tertinggi untuk Tahun Keempat

by

Dalam 12 bulan terakhir, sejumlah rekor CVE diterbitkan oleh otoritas AS, volume tahun keempat berturut-turut telah meningkat.

Per 15 Desember, jumlah kerentanan dalam kode produksi yang ditemukan dan diberi nomor CVE oleh Basis Data Kerentanan US-CERT, melampaui angka tahun 2019.

Tahun lalu ada 17.306 CVE yang diterbitkan, termasuk 4337 risiko tinggi, 10.956 risiko menengah dan 2013 kekurangan risiko rendah. Hingga kemarin, tercatat 17.447 total, termasuk 4168 bug berisiko tinggi, 10.710 risiko sedang, dan 2.569 bug berisiko rendah.

K2 Cyber Security, yang mencatat lonjakan rekor baru-baru ini, berpendapat bahwa pandemi mungkin berdampak pada pengungkapan tahun ini.

“Perusahaan masih berjuang untuk menemukan keseimbangan antara mengirimkan aplikasi ke pasar dengan cepat, dan mengamankan kode mereka. Pandemi COVID-19 adalah faktor utama tahun ini,” kata salah satu pendiri dan CEO vendor, Pravin Madhani.

Untuk mengurangi risiko ini, tim DevOps harus menggeser keamanan sejauh mungkin dalam lifecycle, sementara sysadmin harus menambal sesegera mungkin untuk memastikan sistem operasi dan perangkat lunak penting up-to-date, katanya.

Sumber: Info Security

Plugin WordPress dengan 5 juta penginstalan memiliki kerentanan kritis

by

Tim di balik plugin WordPress yang populer telah mengungkapkan kerentanan unggahan file penting dan telah merilis update untuk perbaikan.

Plugin yang rentan, Contact Form 7, memiliki lebih dari 5 juta penginstalan aktif yang membuat upgrade mendesak ini menjadi kebutuhan bagi pemilik situs WordPress di luar sana.

Minggu ini, proyek Contact Form 7 telah mengungkapkan kerentanan unggahan file yang tidak dibatasi (menunggu CVE) di plugin WordPress yang dapat memungkinkan penyerang untuk melewati perlindungan sanitasi nama file Contact Form 7 saat mengunggah file.

Penyerang dapat mengupload file yang dibuat dengan kode apapun di server yang rentan menggunakan plugin.

Kemudian, dengan mengeksploitasi kerentanan yang parah ini, file dapat dieksekusi sebagai skrip oleh penyerang untuk menjalankan kode di dalamnya.

“Contact Form 7 5.3.2 telah dirilis. Ini adalah rilis keamanan dan pemeliharaan yang mendesak. Kami sangat menganjurkan Anda untuk segera memperbaruinya,” tulisnya dalam sebuah pengunguman.

Kerentanan tersebut telah ditemukan dan dilaporkan oleh Jinson Varghese Behanan, seorang analis keamanan informasi di Astra Security.

Dalam versi yang rentan, plugin tidak menghapus karakter khusus dari nama file yang diunggah, termasuk karakter kontrol dan pemisah.

Hal ini berpotensi memungkinkan penyerang mengunggah nama file yang berisi ekstensi ganda, dipisahkan oleh karakter khusus atau non-printable, seperti file bernama “abc.php .jpg”.

Perbaikan yang dibuat oleh tim Contact Form 7, berisi validasi berbasis regex untuk menangkap kasus seperti ini:

Sumber: Bleeping Computer

Sumber: Bleeping Computer

CISA: Peretasan besar pemerintah AS tidak hanya menggunakan backdoor SolarWinds

by

Badan Keamanan Siber dan Infrastruktur AS (CISA) mengatakan bahwa kelompok APT di balik kampanye peretasan baru-baru ini yang menargetkan lembaga pemerintah AS menggunakan lebih dari satu vektor akses awal.

“CISA memiliki bukti vektor akses awal tambahan, selain dari platform SolarWinds Orion; namun, ini masih diselidiki. CISA akan memperbarui Peringatan ini saat informasi baru tersedia,” kata organisasi tersebut.

“Tidak semua organisasi yang memiliki backdoor yang dikirimkan melalui SolarWinds Orion telah menjadi sasaran musuh dengan tindakan lanjutan.”

Grup APT, yang dicurigai sebagai APT29 yang disponsori negara Rusia (alias Cozy Bear and The Dukes), hadir di jaringan organisasi yang dikompromikan untuk jangka waktu yang lama menurut CISA.

Selain itu, CISA mengatakan bahwa sangat mungkin aktor ancaman di balik kampanye peretasan terkoordinasi ini menggunakan taktik, teknik, dan prosedur (TTP) lain yang belum ditemukan sebagai bagian dari investigasi yang sedang berlangsung.

Badan ini juga sedang menyelidiki insiden di mana mereka menemukan TTP konsisten dengan aktivitas berbahaya yang sedang berlangsung ini, “termasuk beberapa di mana korban tidak memanfaatkan SolarWinds Orion atau di mana SolarWinds Orion hadir tetapi tidak ada aktivitas eksploitasi SolarWinds yang diamati.”

Detail teknis tambahan termasuk info tentang vektor infeksi awal, taktik, teknik, dan prosedur (TTP) yang digunakan dalam kampanye ini, langkah-langkah mitigasi, dan indikator gangguan tersedia dalam peringatan AA20-352A CISA.

Sumber: Bleeping Computer