Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Seseorang Meretas Para Peretas

by

Dalam serangkaian “hit” terbaru di forum dark web Rusia, situs kriminal terkemuka Maza tampaknya telah diretas oleh seseorang awal pekan ini.

Ini semacam berita besar karena Maza (sebelumnya disebut “Mazafaka”) telah lama menjadi tujuan berbagai macam aktivitas kriminal, termasuk distribusi malware, pencucian uang, carding (yaitu, penjualan informasi kartu kredit curian), dan banyak lagi perilaku buruk lainnya.

Siapa pun yang meretas Maza menjaring ribuan poin data tentang pengguna situs, termasuk nama pengguna, alamat email, dan sandi yang di-hash, sebuah laporan baru dari firma intelijen Flashpoint menunjukkan. Dua pesan peringatan kemudian terlihat di halaman beranda forum: “Data Anda telah bocor” dan “Forum ini telah diretas”.

KrebsOnSecurity melaporkan bahwa penyusup kemudian menempatkan data yang dicuri di dark web, memicu ketakutan di antara para penjahat bahwa identitas mereka mungkin terungkap (oh, ironisnya). Validitas data telah diverifikasi oleh firma intelijen ancaman Intel 471.

Beberapa pengguna situs Exploit berhipotesis secara bergantian bahwa penghapusan bukanlah hasil dari beberapa geng peretas saingan, melainkan tindakan penegakan hukum.

Siapa pun yang bertanggung jawab, tidak jelas apakah mereka telah memberikan pukulan telak ke Maza atau situs lain yang terpengaruh. Maza telah dilanggar sebelumnya (sebelumnya telah disusupi pada tahun 2011), dan pelanggaran semacam itu tidak selalu merupakan indikasi “penghentian permanen,” kata para peneliti Flashpoint.

Sumber: Gizmodo

Menggabungkan Tiga Pilar Keamanan Siber

by

Karena kesenjangan keamanan siber semakin banyak, ada kepanikan yang meningkat baik di industri maupun pemerintah tentang cara melindungi lanskap siber.

Di masa lalu, tiga tema manajemen risiko yang signifikan telah dikemukakan untuk membantu memperbaiki ekosistem risiko digital termasuk: security by design, defense in depth, dan zero trust. Mereka adalah tiga serangkai, atau tiga pilar kuat manajemen risiko yang dibutuhkan untuk strategi keamanan siber yang sukses.

Security by Design sebenarnya adalah titik awal dari proses manajemen risiko — terutama jika Anda adalah pengembang perangkat lunak atau perangkat keras yang peduli dengan keamanan. Dalam sebuah artikel di majalah Keamanan Siber Amerika Serikat, pakar keamanan siber Jeff Spivey memberikan definisi kerja yang sangat baik: “Security by Design memastikan bahwa tata kelola dan manajemen risiko keamanan dipantau, dikelola, dan dipelihara secara berkelanjutan. Nilai dari pendekatan “holistik” ini adalah memastikan bahwa risiko keamanan baru diprioritaskan, diatur, dan ditangani secara berkelanjutan dengan umpan balik dan pembelajaran berkelanjutan.”

Defense in Depth. Terdapat variasi definisi yang kuat untuk Defense in Depth dalam komunitas keamanan. Publikasi NIST mendefinisikan konsep Defense-in-depth sebagai “prinsip arsitektur keamanan penting yang memiliki aplikasi signifikan untuk sistem kontrol industri (ICS), layanan cloud, gudang data sensitif, dan banyak area lainnya. Kami mengklaim bahwa postur defense-in-depth yang ideal adalah ‘dalam’, berisi banyak lapisan keamanan, dan ‘sempit’, jumlah jalur serangan independen node diminimalkan”.

Zero trust (ZT) adalah istilah untuk serangkaian paradigma keamanan siber yang terus berkembang yang memindahkan pertahanan dari perimeter statis berbasis jaringan ke fokus pada pengguna, aset, dan sumber daya. Arsitektur Zero trust (ZTA) menggunakan prinsip nol kepercayaan (zero trust) untuk merencanakan infrastruktur dan alur kerja industri dan perusahaan. Zero trust mengasumsikan tidak ada kepercayaan implisit yang diberikan kepada aset atau akun pengguna hanya berdasarkan lokasi fisik atau jaringan mereka (yaitu, jaringan area lokal versus internet) atau berdasarkan kepemilikan aset (perusahaan atau milik pribadi). Autentikasi dan otorisasi (baik subjek dan perangkat) adalah fungsi terpisah yang dilakukan sebelum sesi ke sumber daya perusahaan dibuat.

Ketiga pilar manajemen risiko keamanan siber ini tidak perlu berdiri sendiri. Faktanya, mereka semua harus digabungkan bersama dalam strategi kerangka kerja keamanan siber untuk mengidentifikasi celah, mengurangi ancaman, dan membangun ketahanan jika terjadi serangan siber yang tak terhindarkan.

Selengkapnya: Forbes

Malaysia Airlines mengungkapkan pelanggaran data selama sembilan tahun

by

Malaysia Airlines mengalami pelanggaran data selama sembilan tahun yang mengungkap informasi pribadi anggota dalam program frequent flyer Enrich.

Mulai kemarin, Malaysia Airlines mulai mengirim email kepada anggota program hadiah Enrich mereka untuk memberitahukan bahwa mereka adalah termasuk korban dari pelanggaran data.

Menurut Malaysia Airlines, pelanggaran terjadi pada penyedia layanan TI pihak ketiga yang memberi tahu maskapai bahwa data anggota terungkap antara Maret 2010 dan Juni 2019.

Informasi anggota yang terungkap selama pelanggaran data termasuk nama anggota, informasi kontak, tanggal lahir, jenis kelamin, nomor penumpang setia, status dan tingkat penghargaan.

Data yang terungkap tidak termasuk rencana perjalanan anggota Enrich, reservasi, tiket, atau informasi kartu ID atau kartu pembayaran.

Meskipun Malaysia Airlines mengatakan bahwa tidak ada kata sandi yang terungkap dan tidak ada bukti penyalahgunaan, maskapai tersebut merekomendasikan agar pengguna tetap mengubah kata sandi mereka. Tidak diketahui berapa banyak anggota Enrich yang terpengaruh oleh pelanggaran ini.

Sumber: Bleeping Computer

Kit phishing Cash App digunakan di alam liar

by

Pengembang platform phishing 16Shop telah menambahkan komponen baru yang menargetkan pengguna layanan pembayaran seluler Cash App yang populer.

Penyebaran produk 16Shop baru dimulai segera setelah tersedia, memikat calon korban untuk memberikan detail sensitif yang akan memberi penipu akses ke akun dan informasi pembayaran terkait.

16Shop adalah kit phishing kompleks dari pengembang yang dikenal sebagai DevilScream, yang menyiapkan mekanisme perlindungan terhadap penggunaan tanpa izin dan aktivitas penelitian.

Kit ini tersedia secara komersial dan dilokalkan dalam berbagai bahasa. Hingga saat ini, ia menyediakan kode dan templat untuk mencuri kredensial login dan detail kartu pembayaran untuk PayPal, Amazon, Apple, dan American Express.

Peneliti keamanan dari perusahaan keamanan siber ZeroFOX memperoleh perangkat phishing Cash App baru pada tanggal 25 Februari, hanya sehari setelah waktu kompilasi terakhir.

ZeroFOX mengatakan bahwa kit tersebut memiliki kode dasar yang sama dengan yang lain, dan templatnya meniru situs Cash App yang sah dan alur masuk yang semirip mungkin.

Untuk membawa korban ke halaman phishing dilakukan melalui email dan pesan SMS yang memperingatkan tentang masalah keamanan yang menyebabkan penguncian akun Cash App.

Jika korban masuk ke dalam jebakan dan memberikan alamat emailnya hanya untuk melihat pemberitahuan keamanan tentang aktivitas tidak biasa yang menyebabkan penguncian akun. Untuk mendapatkan kembali akses, korban harus memberikan detail sensitif “untuk mengkonfirmasi identitas”. Ini termasuk:

  • PIN Cash App
  • alamat email
  • kata sandi
  • nama dan alamat lengkap
  • Nomor keamanan sosial
  • detail kartu pembayaran
  • dokumen identifikasi (KTP, SIM)
Sumber: Bleeping Computer

Detail tentang identitas pengembangnya telah dipublikasikan di masa lalu, berdasarkan jejak online-nya. Mereka semua menunjuk kepada seorang warga negara Indonesia bernama Riswanda Noor Saputra, yang memiliki sejarah dalam merusak situs web, mengembangkan perangkat phishing lainnya, dan merilis alat peretasan.

Setelah mempelajari kode tersebut, peneliti keamanan ZeroFOX menemukan bahwa ketika peringatan tentang aktivitas akun yang tidak biasa muncul, alamat email pengembang ada, tersembunyi di balik dialog.

Sumber: Bleeping Computer

Melihat aktivitas media sosial Riswanda mengungkapkan bahwa dia suka menampilkan kekayaannya kepada dunia dan juga memposting detail tentang pembaruan yang akan datang dan kit baru. Pada gambar di bawah, dia menunjukkan pengembangan kit 16 Shop American Express.

Sumber: Bleeping Computer

Sumber: Bleeping Computer

Orang Amerika berisiko terseret ke dalam perang siber global

by

Orang Amerika berisiko terseret ke dalam serangan siber yang akan membahayakan perangkat mereka yang terhubung, menurut eksekutif keamanan siber yang perusahaannya menemukan peretasan SolarWinds.

Kevin Mandia, CEO perusahaan keamanan siber FireEye, mengatakan kepada “Axios on HBO” pada hari Minggu bahwa perang siber di masa depan antara AS dan Cina atau Rusia dapat berdampak pada warga negara biasa, yang menyebabkan gangguan luas pada kehidupan sehari-hari.

“Aplikasi tidak akan berfungsi. Peralatan mungkin tidak berfungsi. Orang-orang bahkan tidak tahu semua hal yang mereka andalkan,” kata Mandia. “Tiba-tiba, rantai pasokan mulai terganggu karena komputer tidak berfungsi.”

Mandia memperingatkan bahwa aturan keterlibatan seputar serangan siber tidak jelas, artinya mungkin tidak ada yang terlarang. Di dunia di mana lebih banyak perangkat yang terhubung ke internet daripada sebelumnya, konsumen dapat membuka risiko besar.

“Sesederhana jika Anda dapat diretas, Anda diretas,” katanya.

Selengkapnya: Business Insider

Google menambal kerentanan zero-day Chrome yang dieksploitasi secara aktif

by

Google telah memperingatkan tentang laporan bahwa kerentanan zero-day di browser Chrome sedang dieksploitasi secara aktif di alam liar.

Kerentanan, dilacak sebagai CVE-2021-21166, dilaporkan oleh Alison Huffman dari tim Riset Kerentanan Browser Microsoft pada 11 Februari dan dijelaskan sebagai “masalah siklus hidup objek dalam audio”.

Google telah memberi label kerentanan tersebut sebagai kelemahan keamanan dengan tingkat keparahan “tinggi” dan telah memperbaiki masalah tersebut dalam rilis Chrome terbaru.

Bersamaan dengan CVE-2021-21166, Huffman juga baru-baru ini melaporkan bug tingkat tinggi lainnya, CVE-2021-21165, masalah gaya hidup objek lain dalam masalah audio, dan CVE-2021-21163, masalah validasi data yang tidak mencukupi dalam Mode Pembaca.

Raksasa teknologi itu belum mengungkapkan rincian lebih lanjut tentang bagaimana CVE-2021-21166 dieksploitasi, atau oleh siapa.

Pengumuman Google, yang diterbitkan pada hari Selasa, juga menandai rilis Chrome 89 ke saluran desktop stabil untuk mesin Windows, Mac, dan Linux, yang saat ini sedang diluncurkan. Pengguna harus meningkatkan ke Chrome 89.0.4389.72 sesegera mungkin.

Sumber: ZDNet

Ransomware ‘Povlsomware’ Mungkin Tidak Hanya Digunakan oleh Peneliti

by Leave a Comment

“Povlsomware” adalah bukti konsep ransomware yang tersedia di Github sejak November 2020, dirilis dengan tujuan menjadi alat untuk penelitian seperti menguji solusi anti-virus yang mengklaim menawarkan perlindungan ransomware.

Seperti yang diperingatkan oleh para peneliti dari tim Trend Micro, kompatibilitas Povlsomware dengan alat pasca-eksploitasi seperti Cobalt Strike sebenarnya membuat sampel tersebut berpotensi berharga di tangan pelaku jahat.

Saat didistribusikan, sampel ransomware memindai sistem file dan mengenkripsi file pribadi umum menggunakan AES256. Semua shadowcopies yang akan membantu memulihkan sistem dihapus, entri registri memastikan persistensi start-up, dan pop-up ditampilkan untuk memberi tahu pengguna yang terinfeksi. Kata sandi dekripsi adalah “blahblah”, sehingga peneliti dapat mengembalikan file uji mereka seolah-olah tidak ada yang terjadi.

Sumber: Guthub

Namun, menjadi proyek sumber terbuka, siapa pun dapat menggunakan Povlsomware dan memodifikasinya, membuatnya jauh lebih berbahaya daripada yang dimaksudkan oleh pembuatnya. Karena Povlsomware terintegrasi dengan Cobalt Strike, Povlsomware dapat dijalankan secara langsung di memori, bahkan tidak mengharuskannya untuk bersarang di memori korban atau menjatuhkan biner apa pun di sana.

Untuk saat ini, Trend Micro belum melihat insiden nyata yang melibatkan Povlsomware yang dimodifikasi, tetapi berdasarkan apa yang dapat disimpulkan dari semua faktor, ini hanya masalah waktu. Karena alasan ini, perusahaan keamanan memilih untuk memperingatkan komunitas, meskipun itu berarti mengalihkan perhatian penjahat siber ke Povlsomware.

Sumber: Tech Nadu

Kesalahan coding pemula sebelum peretasan Gab berasal dari CTO situs

by

Selama akhir pekan, muncul kabar bahwa seorang peretas menembus situs media sosial sayap kanan Gab dan mengunduh 70 gigabyte data dengan mengeksploitasi kelemahan keamanan menggunakan injeksi SQL.

Tinjauan singkat dari kode sumber terbuka Gab menunjukkan bahwa kerentanan kritis — atau setidaknya yang serupa — diperkenalkan oleh kepala petugas teknologi perusahaan (CTO).

Perubahan, yang dalam bahasa pengembangan perangkat lunak dikenal sebagai “git commit”, dilakukan sekitar bulan Februari dari akun Fosco Marotto, mantan insinyur perangkat lunak Facebook yang pada bulan November menjadi CTO Gab. Pada hari Senin, Gab menghapus git commit dari situsnya. Di bawah ini adalah gambar yang menunjukkan perubahan perangkat lunak bulan Februari, seperti yang ditunjukkan dari situs yang menyediakan snapshot commit yang disimpan.

Sumber: Ars Technica

Commit menunjukkan pengembang perangkat lunak yang menggunakan nama Fosco Marotto yang memperkenalkan dengan tepat jenis kesalahan pemula yang dapat menyebabkan jenis pelanggaran yang dilaporkan akhir pekan ini. Secara khusus, baris 23 menghapus kode “tolak” dan “filter”, yang merupakan fungsi API yang mengimplementasikan idiom pemrograman yang melindungi dari serangan injeksi SQL.

Idiom ini memungkinkan programmer untuk membuat kueri SQL dengan cara yang aman yang “membersihkan” masukan yang dimasukkan pengunjung situs web ke dalam kotak telusur dan bidang web lainnya untuk memastikan bahwa setiap perintah berbahaya dihapus sebelum teks diteruskan ke server backend.

Sebagai gantinya, pengembang menambahkan panggilan ke fungsi Rails yang berisi metode “find_by_sql”, yang menerima input unsanitized secara langsung dalam string kueri. Rails adalah toolkit pengembangan situs web yang banyak digunakan.

Selengkapnya: Ars Technica