Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Melanggar RSA dengan Komputer Quantum

by

Sekelompok peneliti Cina baru saja menerbitkan sebuah makalah yang mengklaim bahwa mereka dapat memecahkan RSA 2048-bit. Ini adalah sesuatu yang harus ditanggapi dengan serius. Itu mungkin tidak benar, tetapi jelas tidak salah.

Algoritma Shor memfaktorkan dengan komputer kuantum itu mudah. Tetapi dibutuhkan komputer kuantum yang besar dengan urutan jutaan qbit untuk memfaktorkan apapun yang menyerupai ukuran kunci yang kita gunakan saat ini.

Peneliti telah menggabungkan sebuah teknik tertentu dengan algoritma optimasi perkiraan kuantum yang hanya membutuhkan komputer kuantum dengan 372 qbits, yang sangat memungkinkan saat ini.

Algoritma Shor menantang keamanan informasi berdasarkan sistem kripto kunci publik. Namun diperlukan jutaan qubit fisik untuk mematahkan skema RSA-2048 yang banyak digunakan.

Penulis melaporkan bahwa algoritma kuantum universal untuk faktorisasi bilangan bulat dengan menggabungkan reduksi kisi klasik dengan algoritma pengoptimalan perkiraan kuantum (QAOA).

Studi penulis menunjukkan adanya kemungkinan besar dalam mempercepat penerapan komputer kuantum dan membuka jalan untuk memfaktorkan bilangan bulat besar dengan signifikansi kriptografi yang realistis.

Dalam makalah baru, penulis menghabiskan halaman demi halaman mengatakan-tanpa-mengatakan bahwa RSA-2048 mungkin segera dilanggar, menggunakan komputer kuantum NISQ.

Kemudian, mereka berterus terang tentang satu poin penting dalam satu kalimat di bagian kesimpulan bahwa konvergensi QAOA yang ambigu membuat percepatan kuantum dari algoritma menjadi tidak jelas.

Secara keseluruhan, ini adalah salah satu makalah komputasi kuantum yang paling menyesatkan yang pernah penulis jumpai dalam 25 tahun.

Selengkapnya: Schneier on Security

Peretas Dapat Menyalahgunakan Pasar Visual Studio untuk Menargetkan Pengembang dengan Ekstensi Berbahaya

by

Vektor serangan baru yang menargetkan pasar ekstensi Visual Studio Code dapat dimanfaatkan untuk mengunggah ekstensi berbahaya yang menyamar sebagai mitra sah mereka dengan tujuan meningkatkan serangan rantai pasokan.

Menurut Goldman, seorang peneliti keamanan, teknik tersebut dapat bertindak sebagai titik masuk untuk serangan terhadap banyak organisasi.

Ekstensi VS Code yang dikurasi melalui pasar yang disediakan oleh Microsoft, memungkinkan pengembang menambahkan bahasa pemrograman, debugger, dan alat ke editor kode sumber VS Code untuk menambah alur kerja mereka.

Goldman menemukan bahwa pelaku ancaman juga memungkinkan musuh untuk menggunakan nama yang sama dan detail penerbit ekstensi, termasuk informasi repositori proyek.

Tindakan peretas menyerupai ektensi populer

Metode ini tidak mengizinkan jumlah penginstalan dan jumlah bintang untuk direplikasi, namun fakta bahwa tidak ada batasan pada karakteristik pengenal lainnya menunjukkan bahwa metode ini dapat digunakan untuk menipu pengembang.

Pelaku ancaman dapat membeli domain apa pun, mendaftarkannya untuk mendapatkan tanda centang terverifikasi, dan mengunggah ekstensi trojan dengan nama menyerupai versi sah ke pasar.

Bukan pertama kalinya muncul kekhawatiran tentang ancaman rantai pasokan perangkat lunak di pasar ekstensi VS Code. Pada Medi 2021, firma keamanan perusahaan Snyk menemukan sejumlah kelemahan keamanan dalam ekstensi VS Code populer dengan jutaan unduhan yang dapat disalahgunakan oleh pelaku ancaman untuk membahayakan lingkungan pengembang.

Selengkapnya: BleepingComputer

Pembaruan Keamanan Windows 7 Diperpanjang, Microsoft Mengakhirinya

by

Edisi Windows 7 Professional dan Enterprise tidak akan lagi menerima pembaruan keamanan yang diperpanjang untuk kerentanan kritis dan penting mulai Selasa, 10 Januari 2023.

Microsoft meluncurkan sistem operasi warisan pada Oktober 2009, kemudian mencapai akhir dukungan pada Januari 2015 dan perpanjangan akhir dukungan pada Januari 2020.

Pelanggan yang masih menjalankan produk lama Microsoft setelah masa dukungan berakhir pada Windows 7, hanya dapat menggunakan Program Extended Security Update (ESU). Begitu pula dengan edisi Windows 8.1 yang diluncurkan pada November 2013 akan tersedia di EOS pada hari yang sama.

Pengguna diharapkan untuk mempertimbangkan kembali sebelum berinvestasi dalam pemutakhiran Windows 10 yang akan mencapai akhir masa dukungannya pada 14 Oktober 2025.

Microsoft merekomendasikan agar perangkat yang tidak memenuhi persyaratan teknis merilis Windows yang lebih baru, menggantinya dengan perangkat yang mendukung Windows 11 untuk memanfaatkan kemampuan perangkat keras terbaru.

Menurut Statcounter GlobalStats, Windows 7 saat ini digunakan lebih dari 11% dari semua sistem Windows di seluruh dunia, sementara Windows 8.1 digunakan oleh 2,59% pelanggan Microsoft,

Pangsa Pasar Microsoft Windows (Statcounter GlobalStats)

Browser Web Juga Menjatuhkan Dukungan Untuk Windows 7
Redmond akan merilis Microsoft Edge 109, versi terakhir browser web yang hadir dengan dukungan untuk Windows 7 dan Windows 8/8.1 pada pekan depan.

Google juga mengumumkan hal serupa bahwa versi 110 dari browser web Google Chrome-nya kemungkinan akan menghentikan dukungan untuk Windows 7 dan 8.1 mulai Februari 2023.

Saat ini, Google Chrome memiliki pangsa pasar lebih dari 64%, diikuti oleh Safari dengan kira-kira 18% dan Microsoft Edge dengan lebih dari 4%.

Vendor lain telah menjatuhkan dukungan untuk Windows 7 sebelum tanggal ketika OS akan berhenti menerima pembaruan keamanan.

Selengkapnya: BleepingComputer

Deepfake hingga ChatGPT, Misinformasi Tumbuh Subur dengan Kemajuan AI

by

Kemajuan cepat dalam kecerdasan buatan dapat membantu informasi yang salah berkembang di tahun mendatang, sebuah laporan baru memperingatkan.

Menurut Laporan Risiko Teratas untuk 2023, sebuah dokumen tahunan dari analis risiko geopolitik yang berbasis di A.S. di Eurasia Group, senjata gangguan massal yang muncul dari inovasi teknologi yang cepat akan mengikis kepercayaan sosial, memberdayakan para demagog dan otoriter, serta mengganggu bisnis dan pasar.

Ancaman ini menduduki peringkat ketiga dalam daftarnya, hanya dikalahkan oleh risiko yang ditimbulkan oleh China yang semakin agresif dan Rusia yang nakal.

Kecanggihan kecerdasan buatan ditambah dengan kemajuan dalam deepfakes, teknologi pengenalan wajah dan perangkat lunak sintesis suara, akan menjadikan kendali atas kemiripan seseorang sebagai peninggalan masa lalu.

Aplikasi ramah pengguna seperti ChatGPT dan Stable Diffusion akan memungkinkan siapa saja yang paham teknologi untuk memanfaatkan kekuatan AI.

Disinformasi dan misinformasi telah membuat percikan di panggung geopolitik, meski tanpa dukungan dari kecerdasan buatan.

Dalam beberapa studi oleh akademisi menemukan bahwa Kanada menjadi sasaran Rusia untuk mempengaruhi opini publik dan sejumlah besar tweet dan retweet tentang perang di Ukraina dapat ditelusuri kembali ke Rusia dan China, dengan lebih banyak lagi tweet yang mengungkapkan sentimen pro-Rusia yang dilacak ke Amerika Serikat.

Informasi yang salah tentang aman dan manjurnya vaksin COVID-19 marak terjadi pada protes yang menyumbat jalan-jalan di pusat kota Ottawa selama tiga minggu pada Februari 2022. Berbagai penelitian juga menemukan bahwa bot memiliki andil besar dalam membantu menyebarkan narasi palsu tentang virus tersebut.

Kemajuan teknologi AI memungkinkan pengguna yang menggunakan teknologi ini juga meningkat. Pemerintah Kanada telah berjanji untuk mengambil langkah-langkah untuk mengatasi disinformasi online.

Pengguna dengan tujuan politik mungkin mendapati diri mereka sangat diberdayakan oleh kemajuan pesat ini. Sementara itu, pemerintah telah menghadapi seruan untuk melangkah lebih jauh.

Selengkapnya: Global NEWS

Kebocoran Basis Data Twitter secara Gratis dengan 235.000.000 Catatan

by

Seperti yang diperkirakan penulis kemarin, basis data banyak beredar dan sekarang bocor.

Basis data yang berisi 235.000.000 catatan unik pengguna twitter mengalami kebocoran, termasuk alamat email mereka. Ini adalah salah satu kebocoran data tersignifikan yang pernah penulis jumpai.

Catatan unik pengguna twitter yang bocor

Dalam akun twitternya, perusahaan keamanan siber, Hudson Rock, menyebutkan bahwa kebocoran data ini akan mengundang peretas untuk melakukan kejahatan seperti phishing bertarget, dan doxxing.

Kebocoran data yang ditunjukkan oleh Hudson Rock

Namun demikian, Hudson Rock tidak menyebutkan nama forum hacker online tempat dieksposnya data-data pengguna Twitter tersebut.

Selengkapnya: infosec.exchange

AS Mengesahkan Undang-Undang Kesiapsiagaan Cybersecurity Komputasi Kuantum – Mengapa Tidak?

by

Komputasi kuantum adalah konsep yang telah didengar banyak orang, menjanjikan untuk menghadapi kriptografer dengan teknik baru dan lebih cepat untuk pemecahan kata sandi paralel.

Penggemar komputasi kuantum mengklaim bahwa terjadinya lonjakan peningkatan kinerja akan sangat dramatis sehingga kunci enkripsi yang bertahan bahkan melawan pemerintah terkaya dan terantagonis di dunia selama beberapa tahun mungkin tiba-tiba berubah menjadi rusak.

Superposisi Semua Jawaban Sekaligus
Dengan konstruksi yang cukup hati-hati, perangkat kuantum dapat dengan andal mengekstraksi jawaban yang tepat dari superposisi semua jawaban, bahkan mungkin untuk perhitungan yang cukup tebal untuk mengunyah teka-teki pemecahan kriptografi yang saat ini dianggap tidak layak secara komputasi.

Komputer Schrödinger
Beberapa kriptografer dan fisikawan, menduga bahwa komputer kuantum dengan ukuran dan kekuatan komputasi ini bisa jadi sebenarnya tidak mungkin. Tidak ada yang bisa memastikannya saat ini.

Dua algoritma kuantum utama yang berpotensi jika diterapkan dengan andal, dapat menimbulkan risiko pada beberapa standar kriptografi yang kita andalkan saat ini yaitu Algoritma Pencarian Kuantum Grover dan Algoritma faktorisasi kuantum Shor.

Saat Masa Depan Bertabrakan Dengan Masa Kini
Bukan hanya kemungkinan perlunya algoritma baru di masa mendatang, bagian resiko juga adalah bahwa rahasia atau pengesahan digital yang dibuat saat ini dan berharap tetap aman selama bertahun-tahun, kemungkinan dapat dipecahkan.

Algoritma pertama yang akan diterima sebagai standar dalam Post-Quantum Cryptography (PQC) muncul pada pertengahan 2022, dengan empat kandidat sekunder diajukan untuk kemungkinan penerimaan resmi di masa mendatang.

Kongres Tentang Kasus Ini
Pada tanggal 21 Desember 2022, Joe Biden memberlakukan undang-undang berjudul HR 7535: Undang-Undang Kesiapsiagaan Keamanan Siber Komputasi Kuantum.

Undang-undang tersebut belum mengamanatkan standar baru apa pun, jadi seperti layaknya pengingat daripada peraturan. Khususnya, Undang-undang tersebut mengingatkan bahwa keamanan dunia maya secara umum, dan kriptografi pada khususnya, tidak boleh dibiarkan diam.

Selengkapnya: naked security by Sophos

OPWNAI : Penjahat dunia maya Mulai Gunakan ChatGPT

by

Pada akhir November 2022, OpenAI merilis ChatGPT, antarmuka baru untuk Model Bahasa Besar (LLM), yang langsung menarik minat pada AI dan kemungkinan penggunaannya.

Namun, ChatGPT juga menambahkan beberapa bumbu ke lanskap ancaman dunia maya modern karena dengan cepat menjadi jelas bahwa pembuatan kode dapat membantu pelaku ancaman yang kurang terampil meluncurkan serangan dunia maya dengan mudah.

Di blog Check Point Research (CPR) sebelumnya, kami menjelaskan bagaimana ChatGPT berhasil melakukan aliran infeksi penuh, mulai dari membuat email spear-phishing yang meyakinkan hingga menjalankan shell terbalik, yang mampu menerima perintah dalam bahasa Inggris.

Pertanyaan yang dihadapi adalah apakah ini hanya ancaman hipotetis atau apakah sudah ada pelaku ancaman yang menggunakan teknologi OpenAI untuk tujuan jahat.

Analisis CPR terhadap beberapa komunitas peretasan bawah tanah utama menunjukkan bahwa sudah ada contoh pertama penjahat dunia maya yang menggunakan OpenAI untuk mengembangkan alat berbahaya.

Seperti yang kami duga, beberapa kasus dengan jelas menunjukkan bahwa banyak penjahat dunia maya yang menggunakan OpenAI tidak memiliki keterampilan pengembangan sama sekali.

Meskipun alat yang kami sajikan dalam laporan ini cukup mendasar, hanya masalah waktu hingga pelaku ancaman yang lebih canggih menyempurnakan cara mereka menggunakan alat berbasis AI untuk kejahatan.

Selengkapnya: CHECK POINT RESEARCH

Mata-mata Rusia yang Terkenal Membonceng Infeksi USB Peretas Lain

by

Kelompok CYBERESPIONAGE RUSIA yang dikenal sebagai Turla tampaknya sedang mencoba trik baru: membajak infeksi USB dari peretas lain untuk membonceng infeksi mereka dan secara diam-diam memilih target mata-mata mereka.

Teknik baru Turla pertama kali terungkap pada bulan September tahun lalu, ketika responden insiden perusahaan menemukan pelanggaran jaringan yang aneh di Ukraina, negara yang menjadi fokus utama dari semua layanan intelijen Kremlin setelah bencana invasi Rusia Februari lalu. Beberapa komputer di jaringan itu telah terinfeksi setelah seseorang memasukkan drive USB ke salah satu port mereka dan mengklik dua kali pada file berbahaya di drive yang telah disamarkan sebagai folder, menginstal malware yang disebut Andromeda.

Andromeda adalah trojan perbankan yang relatif umum digunakan penjahat dunia maya untuk mencuri kredensial korban sejak awal 2013.

satu contoh di Ukraina dari infeksi Andromeda yang dibajak yang mendistribusikan malware Turla. Tetapi perusahaan menduga kemungkinan ada lebih banyak. Hultquist memperingatkan bahwa tidak ada alasan untuk percaya bahwa target mata-mata diam-diam yang membonceng infeksi USB Andromeda akan terbatas hanya pada satu target, atau bahkan hanya Ukraina. “Turla memiliki mandat pengumpulan intelijen global,” katanya.

Penemuan Mandiant atas teknik peretasan berbasis USB lainnya yang lebih tersembunyi di tangan Turla harus menjadi pengingat bahwa bahkan sekarang, 15 tahun kemudian, vektor intrusi berbasis USB hampir tidak menghilang. Tancapkan drive yang terinfeksi ke port USB Anda hari ini, tampaknya, dan Anda mungkin menawarkan undangan tidak hanya kepada penjahat dunia maya yang tidak cerdas, tetapi juga jenis operasi yang jauh lebih canggih yang bersembunyi di belakang mereka.

sumber: wired