News 8 - Naga Cyber Defense

Surat Izin Mengemudi, Alamat, Foto: TikTok Membagikan Data Pengguna

May 25, 2023 by Coffee Bean

pada Agustus 2021, TikTok menerima keluhan dari seorang user inggris,yang menandai bahwa seoorang pria telah “mengekspos dirinya sendiri dan bermain dengan dirinya sendiri” di streaming langsung yang dia di selenggarakan di aplikasi video. Dia juga menggambarkan pelecehan masa lalu yang dia alami. Untuk mengatasi keluhan tersebut, karyawan TikTok membagikan insiden tersebut pada alat perpesanan dan kolaborasi internal yang disebut diperoleh The New York Times. Data pribadi wanita Inggris – termasuk fotonya, negara tempat tinggal, alamat protokol internet, perangkat dan ID pengguna – juga diposting di platform, yang mirip dengan Slack dan Microsoft Teams.
Informasinya hanyalah satu bagian dari data pengguna TikTok yang dibagikan di Lark, yang digunakan setiap hari oleh ribuan karyawan pemilik aplikasi di China, ByteDance, termasuk yang ada di China. Menurut dokumen yang diperoleh The Times, SIM pengguna Amerika juga dapat diakses di platform tersebut, begitu pula konten yang berpotensi ilegal dari beberapa pengguna, seperti materi pelecehan seksual terhadap anak. Dalam banyak kasus, informasi tersedia di “grup” Lark — pada dasarnya ruang obrolan karyawan — dengan ribuan anggota.
Banyaknya data pengguna di Lark membuat khawatir beberapa karyawan TikTok, terutama karena pekerja ByteDance di China dan di tempat lain dapat dengan mudah melihat materi tersebut, menurut laporan internal dan empat karyawan saat ini dan mantan karyawan.

selengkapnya : archive.is

Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

May 24, 2023 by Coffee Bean

Awal bulan ini Departemen Kehakiman AS mengumumkan National Security Agency (NSA), bersama dengan lembaga lain, telah berhasil mengidentifikasi infrastruktur untuk malware Snake, yang telah digunakan oleh Layanan Keamanan Federal Federasi Rusia (FSB) untuk mengorbankan organisasi di seluruh dunia. Amerika Serikat dan di seluruh dunia selama hampir 20 tahun.

Menurut rilis tersebut, operasi resmi pengadilan, dengan nama kode MEDUSA, mengganggu jaringan komputer peer-to-peer global yang dikompromikan oleh malware canggih, yang disebut “Snake”. Selama hampir 20 tahun, versi malware Snake digunakan untuk mencuri dokumen sensitif dari ratusan sistem komputer di setidaknya 50 negara, yang dimiliki oleh pemerintah anggota Organisasi Perjanjian Atlantik Utara (NATO), jurnalis, dan target lain yang menarik bagi Rusia. Federasi.

solusi keamanan siber dibangun untuk perlindungan di lapisan eksternal, tetapi lanskap yang begitu luas menyisakan terlalu banyak celah untuk ditembus oleh penjahat dunia maya. Pelaku ancaman berada beberapa langkah di depan dan terus mengembangkan teknologi dan model bisnis mereka untuk melewati pertahanan perangkat lunak. Oleh karena itu, solusi keamanan perangkat lunak mengalami kesulitan untuk mengidentifikasi ancaman yang baru dimodifikasi dan data rahasia tetap berisiko. Organisasi perlu berpikir di luar kotak – masukkan perlindungan tingkat firmware, cara untuk meningkatkan keamanan siber ke tingkat berikutnya.

Tahap selanjutnya dari perlindungan keamanan siber holistik harus menggabungkan perangkat keras dan solusi tersemat ke dalam keseluruhan infrastruktur untuk menghentikan peretas di jalur mereka dalam lingkungan yang kecil, tersegel, dan direkayasa sepenuhnya pada tingkat penyimpanan data.

selengkapnya : securitymagazine.com

Driver Kernel Windows Berbahaya yang Digunakan Dalam Serangan Ransomware BlackCat

May 23, 2023 by Flamango

Grup ransomware ALPHV alias BlackCat diamati menggunakan driver kernel Windows berbahaya yang ditandatangani untuk menghindari deteksi oleh perangkat lunak keamanan selama serangan.

Trend Micro melihat penggerak versi perbaikan dari malware ‘POORTRY’ yang ditemukan Microsoft, Mandiant, Sophos, dan SentinelOne dalam serangan ransomware akhir tahun lalu.

Malware POORTRY adalah driver kernel Windows yang ditandatangani menggunakan kunci curian milik akun yang sah di Program Pengembang Perangkat Keras Windows Microsoft.

Driver jahat ini digunakan oleh grup peretasan UNC3944 atau 0ktapus dan Scattered Spider, untuk menghentikan perangkat lunak keamanan yang berjalan di perangkat Windows agar terhindar dari deteksi.

Hacker menyebarkan versi terbaru dari driver kernel POORTRY yang ditandatangani menggunakan sertifikat tanda tangan silang yang dicuri atau bocor.

Driver baru yang digunakan oleh operasi ransomware BlackCat membantu mereka meningkatkan hak istimewa mereka pada mesin yang dikompromikan dan kemudian menghentikan proses yang berkaitan dengan agen keamanan.

Hal ini juga dapat memberikan tautan longgar antara geng ransomware dan grup peretasan UNC3944/Scattered Spider.

Driver bertanda tangan yang dilihat oleh Trend Micro pada Februari 2023 Serangan BlackCat adalah ‘ktgn.sys,’ dimasukkan ke sistem file korban di folder %Temp% dan kemudian dimuat oleh program mode pengguna bernama ‘tjr.exe.’

Administrator sistem disarankan untuk menggunakan indikator penyusupan yang dibagikan oleh Trend Micro dan menambahkan driver jahat yang digunakan oleh pelaku ransomware ke daftar blokir driver Windows.

Kemudian Admin Windows harus memastikan bahwa ‘Driver Signature Enforcement’ diaktifkan, yang memblokir penginstalan driver apa pun yang tidak memiliki tanda tangan digital yang valid.

Selengkapnya: BleepingComputer

Ponsel Android rentan terhadap serangan brute-force sidik jari

May 22, 2023 by Søren

Para peneliti di Tencent Labs dan Universitas Zhejiang telah mempresentasikan serangan baru yang disebut ‘BrutePrint,’ yang memaksa sidik jari pada smartphone modern untuk memotong otentikasi pengguna dan mengambil kendali perangkat.

Serangan brute-force mengandalkan banyak percobaan dan kesalahan untuk memecahkan kode, kunci, atau kata sandi dan mendapatkan akses tidak sah ke akun, sistem, atau jaringan.

Para peneliti China berhasil mengatasi perlindungan yang ada pada smartphone, seperti batas percobaan dan deteksi liveness yang melindungi dari serangan brute-force, dengan mengeksploitasi apa yang mereka klaim sebagai dua kerentanan zero-day, yaitu Cancel-After-Match-Fail (CAMF) dan Match -Setelah-Kunci (MAL).

Penulis makalah teknis yang diterbitkan di Arxiv.org juga menemukan bahwa data biometrik pada Serial Peripheral Interface (SPI) sensor sidik jari tidak cukup terlindungi, memungkinkan serangan man-in-the-middle (MITM) untuk membajak gambar sidik jari.

Serangan BrutePrint dan SPI MITM diuji terhadap sepuluh model smartphone populer, mencapai upaya tak terbatas pada semua perangkat Android dan HarmonyOS (Huawei) dan sepuluh upaya tambahan pada perangkat iOS.

Gagasan BrutePrint adalah untuk melakukan pengiriman gambar sidik jari dalam jumlah tak terbatas ke perangkat target hingga sidik jari yang ditentukan pengguna cocok.

Penyerang membutuhkan akses fisik ke perangkat target untuk meluncurkan serangan BrutePrint, akses ke basis data sidik jari yang dapat diperoleh dari kumpulan data akademik atau kebocoran data biometrik, dan peralatan yang diperlukan, dengan biaya sekitar $15.

Selengkapnya: Bleeping Computer

Jangan mengabaikan manajemen permukaan serangan

May 22, 2023 by Søren

Ketika datang untuk mengamankan lingkungan komputasi awan, satu aspek utama sering diabaikan: manajemen permukaan serangan (ASM). Mengapa? Banyak program pelatihan keamanan cloud, termasuk sertifikasi penyedia cloud tertentu, tidak fokus padanya. Sebaliknya, mereka fokus pada alat khusus dan tren yang sedang berkembang, yang hanya merupakan bagian dari keamanan cloud.

Selain itu, dengan kekurangan keterampilan keamanan cloud yang sedang berlangsung, kami tidak lagi pilih-pilih tentang talenta keamanan cloud yang kami ikuti. Penyerang menjadi lebih baik dalam apa yang mereka lakukan dan sekarang dapat mempersenjatai teknologi kecerdasan buatan untuk melawan Anda. Ini bisa berubah menjadi badai sempurna yang mengarah ke putaran pelanggaran lain yang mengenai siklus berita 24 jam dan mengirimkan nilai perusahaan ke tanah.

Singkat cerita, perusahaan harus menyadari pentingnya meminimalkan permukaan serangan mereka—titik rentan yang dapat dieksploitasi penyerang. Mereka melakukan ini dengan menerapkan praktik ASM yang kuat. Dengan sedikit pengetahuan, bisnis dapat memperkuat pertahanan cloud mereka dan melindungi aset berharga mereka dari ancaman yang kita tahu ada di luar sana.

Komputasi awan memperkenalkan tantangan keamanan yang unik karena sifatnya yang terdistribusi dan model tanggung jawab bersama. Permukaan serangan di cloud sangat luas, meliputi berbagai lapisan dan komponen.

Ini tidak hanya mencakup infrastruktur cloud itu sendiri tetapi juga aplikasi, API, jaringan virtual, perangkat Internet of Things, akses seluler, kontrol akses pengguna, dan banyak lagi. Setiap elemen mewakili titik masuk potensial bagi penyerang, menyoroti perlunya pemahaman proaktif atas titik masuk ini dan cara mengurangi risiko sebanyak mungkin.

Selengkapnya: Info World

Linux Menonaktifkan PCID Untuk Intel Alder Lake & Raptor Lake Karena Masalah Dengan INVLPG

May 22, 2023 by Søren

Sebuah tambalan tertunda melalui x86/mendesak untuk mengatasi masalah dengan prosesor Intel Alder Lake dan Raptor Lake yang membuat pengembang kernel untuk sementara waktu menonaktifkan Process Context Identifiers (PCID) dengan prosesor seluler/desktop Intel ini.

Sebuah tambalan diatur untuk mainline untuk pengembangan Linux 6.4 dan juga di-porting ke versi kernel yang stabil untuk menghindari flush INVLPG global yang tidak lengkap.

Prosesor yang terpengaruh adalah prosesor Intel Alder Lake dan Raptor Lake. Seperti disebutkan dalam pesan tambalan, Intel dikatakan bekerja pada mitigasi mikrokode untuk masalah ini tetapi untuk saat ini setidaknya kernel Linux diatur untuk menonaktifkan dukungan PCID untuk Alder Lake / Alder Lake L / Alder Lake N / Raptor Lake / Raptor Lake P / Raptor Lake S hingga mitigasi mikrokode dapat ditangani.

INVLPG digunakan untuk membatalkan entri TLB tertentu. Setidaknya Alder Lake dan Raptor Lake tidak membutuhkan Kernel Page Table Isolation (KPTI) untuk memitigasi Meltdown karena prosesor yang lebih baru ini tidak terpengaruh olehnya.

Tetapi untuk prosesor Intel yang lebih lama, dukungan PCID membantu mengimbangi beberapa biaya tambahan dalam menangani Isolasi Tabel Halaman Kernel / mengurangi Meltdown seperti yang ditunjukkan beberapa tahun yang lalu.

Selengkapnya: Phoronix

Ancaman Ransomware Semakin Meningkat, dan Semakin Banyak Menargetkan Perangkat Microsoft

May 22, 2023 by Flamango

Peretas mengeksploitasi ribuan kelemahan. Serangan ransomware tidak pernah sepopuler ini, laporan baru dari peneliti keamanan siber Securin, Ivanti, dan Cyware menyatakan.

Grup ransomware baru muncul terus-menerus dan kerentanan baru yang dieksploitasi ditemukan hampir setiap hari. Produk Microsoft adalah yang paling diminati untuk menjadi sasaran.

Secara umum, penyerang kini menargetkan lebih dari 7.000 produk yang dibuat oleh 121 vendor, semuanya digunakan oleh bisnis dalam operasi sehari-hari mereka. Sebagian besar milik Microsoft, yang memiliki 135 kerentanan terkait dengan ransomware, klaim para peneliti.

Sebanyak 59 kerentanan ada rantai pembunuh MITRE ATT&CK lengkap, mencakup dua kelemahan baru. Sementara 18 kelemahan tidak ditandai oleh program antivirus.

Jumlah kerentanan yang ditemukan dalam perangkat lunak open source (OSS) juga terus bertambah. Saat ini terdapat 119 kelemahan yang terkait dengan serangan ransomware. Karena OSS digunakan oleh semakin banyak perusahaan, para peneliti menyimpulkan bahwa ini adalah kekhawatiran yang sangat mendesak.

Selengkapnya: techradar.pro

3 Akun Vektor Serangan Awal Umum untuk Sebagian Besar Kampanye Ransomware

May 21, 2023 by Coffee Bean

Sebagian besar penyerang ransomware menggunakan salah satu dari tiga vektor utama untuk menyusupi jaringan dan mendapatkan akses ke sistem dan data penting organisasi.

Vektor paling signifikan dalam serangan ransomware yang berhasil pada tahun 2022, misalnya, melibatkan eksploitasi aplikasi publik, yang menyumbang 43% dari semua pelanggaran, diikuti oleh penggunaan akun yang dikompromikan (24%) dan email berbahaya (12%). , menurut laporan Kaspersky yang baru dirilis, “The Nature of Cyber Incidents.”

Eksploitasi aplikasi dan email jahat menurun sebagai bagian dari semua serangan dibandingkan tahun sebelumnya, sementara penggunaan akun yang disusupi meningkat dari 18% pada tahun 2021.

Intinya: Menggandakan vektor serangan yang paling umum bisa sangat membantu untuk mencegah serangan ransomware. “Banyak perusahaan bukan target awal penyerang tetapi memiliki keamanan TI yang lemah dan [memungkinkan mereka] diretas dengan mudah, jadi penjahat dunia maya mengambil kesempatan ini,” kata Konstantin Sapronov, kepala tim tanggap darurat global di Kaspersky. “Jika kita melihat tiga vektor awal teratas, yang bersama-sama menyumbang hampir 80% dari semua kasus, kita dapat menerapkan beberapa tindakan defensif untuk menguranginya, dan sangat membantu untuk mengurangi kemungkinan menjadi korban.”

selengkapnya : darkreading.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings