Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Lima peretasan Rusia yang mengubah keamanan siber AS

by

Cuckoo’s Egg

Cliff Stoll menjaga jaringan komputer di labnya. Pada tahun 1986, dia melihat seseorang masuk untuk menggunakan komputer tanpa membayar. Dalam beberapa bulan mendatang, dia akan mengikuti jejak mereka dan mengamati pihak tak dikenal yang mencari data terkait militer.

Dalam bukunya, Cuckoo’s Egg, Stoll mengungkapkan bagaimana dia akhirnya melacak login ke sekelompok peretas di Jerman, yang telah menjual akses mereka ke KGB, dinas intelijen Moskow.

Moonlight Maze

Satu dekade kemudian, pada pertengahan 1990-an, kampanye spionase siber besar pertama yang dilakukan oleh badan intelijen negara terungkap.

Dengan code name Moonlight Maze, beberapa detail tetap dirahasiakan. Tapi ini adalah sekelompok peretas kelas atas yang bekerja secara “rendah dan lambat” untuk mencuri rahasia militer AS melalui backdoor.

Penyelidik AS yakin mereka tahu siapa di baliknya. Para penyerang bekerja pukul 08:00 hingga 17:00 waktu Moskow (tetapi tidak pernah pada hari libur Rusia) dan bahasa Rusia ditemukan dalam kode tersebut. Moskow membantah semuanya, dan menghentikan penyelidikan.

Buckshot Yankee

Pada tahun 2008, USB stick yang berisi malware – kemungkinan ditemukan di tempat parkir mobil di pangkalan militer di luar negeri – mengguncang Washington. USB tersebut memungkinkan peretas untuk menembus sistem militer AS yang diklasifikasikan yang seharusnya tetap offline.

Butuh waktu empat bulan bagi seorang analis untuk menemukan pelanggaran di Komando Pusat AS dan melakukan pembersihan, dengan nama sandi Buckshot Yankee, membutuhkan waktu lebih lama. Dan hal ini memiliki kaitan dengan grup yang sama yang berada di belakang Moonlight Maze.

The Democrats

Selama pemilihan presiden AS 2016, ternyata tidak hanya satu, tetapi dua, tim peretas dinas intelijen Rusia berada di dalam partai Demokrat.

Tim dari badan intelijen asing, SVR, tetap menyamar – tetapi tim intelijen militer dari GRU – Fancy Bear – memiliki rencana yang berbeda. Mereka membocorkan materi yang dicurinya, menyebabkan gangguan dan, bisa dibilang, berperan dalam menggeser jalannya pemilu.

Setelah kejadian itu, dalam pemilihan presiden 2020, perusahaan dan pejabat waspada terhadap campur tangan pemilu dari Rusia.

Tetapi apa yang tidak mereka sadari adalah bahwa spionase tradisional terus berlanjut tanpa diketahui – dengan intelijen Rusia lagi-lagi diyakini sebagai pelakunya. Sekali lagi Moskow membantah peran apa pun.

Sunburst

Dampak pasti dari pelanggaran Sunburst, melalui perusahaan SolarWinds, masih belum jelas. Meskipun demikian, pejabat federal berbicara tentang “risiko besar” karena skala kemungkinan kompromi departemen, perusahaan dan organisasi.

Ini bukan “spionase seperti biasa”, kata Presiden Microsoft Brad Smith.

Tetapi beberapa orang tidak setuju, dan menyebutnya sebagai spionase rutin. Mereka menambahkan bahwa AS bukan hanya korbannya, tetapi juga pelaku peretasan jenis ini. Pengungkapan Snowden tahun 2013 menunjukkan bahwa AS (dan Inggris) lebih dari mampu untuk menargetkan rahasia negara lain dengan mengorbankan perangkat keras dan perangkat lunak dari perusahaan terkemuka – dengan cara yang tidak jauh berbeda dengan pelanggaran terbaru ini.

Sumber: BBC

Database Ledger yang Diretas Diekspos Di Raidforums

by

Lebih dari satu juta email pelanggan yang tampaknya dicuri dari produsen dompet perangkat keras, Ledger, tersedia untuk umum di situs peretas hari ini. Ledger mengatakan pihaknya masih mengkonfirmasikan detail insiden tersebut tetapi mengakui bahwa benar itu data mereka dari Juni 2020.

Data yang bocor, yang dipublikasikan di Raidforums, juga mencakup nama, alamat fisik, dan nomor telepon pelanggan Ledger, dan tampaknya berasal dari peretasan database e-commerce Ledger pada bulan Juni.

Menurut situs haveibeenpwned.com, 69% alamat dalam database yang tercuri telah terdaftar sebagai telah disusupi, sejak peretasan asli.

Peretasan asli menargetkan basis data pemasaran dan e-commerce Ledger, yang berarti bahwa hanya detail kontak dan pesanan yang terlibat; tidak ada informasi keuangan, frase pemulihan, atau kunci yang terungkap dalam serangan itu.

Dalam tweet hari ini, Ledger menegaskan kembali bahwa pengguna tidak boleh membagikan frase pemulihan 24 kata mereka dengan siapa pun, “bahkan jika mereka berpura-pura menjadi perwakilan Ledger”.

Sumber: Decrypt

Bagaimana & Mengapa Anda Harus Menghapus Diri Anda Dari Admin Lokal Windows

by

Charlie Cranefield, seorang Cyber Security Engineer di Redscan, telah membagikan cara dan alasan untuk tidak menggunakan akun Admin Windows untuk kegiatan sehari-hari.

Pada dasarnya akun Admin/Administrator Windows adalah akun “terkuat” yang mampu melakukan hampir semua hal pada sistem termasuk tetapi tidak terbatas pada menginstal perangkat lunak, mengambil kendali file, dan mengutak-atik pengaturan penting.

Lalu apa alasannya kita harus membatasi penggunaan akun Administrator ini? Alasannya adalah ketika Anda adalah pengguna yang memiliki hak istimewa (administrator), tertipu dengan membuka lampiran email berbahaya, mengunduh dan membuka file dari situs web jahat, atau sekadar menjelajahi situs web yang menghosting konten penyerang yang dapat secara otomatis mengeksploitasi browser. Penyerang dapat mengambil alih mesin korban sepenuhnya dan menginstal keylogger, sniffer, dan perangkat lunak remote control untuk menemukan kata sandi administratif dan data sensitif lainnya.

“Anda tidak perlu menggunakan kekuatan super kuat ini untuk setiap hari menjelajah, memeriksa email, perbankan, dan scrolling Facebook”, tegasnya.

Lalu, bagaimana cara untuk menghapus akses Administrator?
Pertama, penting bagi Anda untuk mengikuti langkah-langkah ini secara tepat dan berurutan. Melewatkan satu langkah bisa sangat buruk, Anda dapat mengunci diri Anda sendiri dari komputer Anda. Harap berhati-hati dan sekali lagi, ikuti langkah-langkahnya dengan cermat.

1) Tambahkan diri Anda sendiri ke grup Pengguna

Klik kanan pada tombol start dan buka Computer Management.

Sumber: Secprentice

Pada jendela yang baru terbuka, gunakan panel navigasi sebelah kiri untuk memilih; Local users and groups > groups:

Sumber: Secprentice

Di layar berikutnya, klik dua kali user group dan tambahkan diri Anda di sana. Jika Anda tidak yakin apa nama pengguna Anda, gunakan perintah whoami di cmd untuk menemukannya.

Sumber: Secprentice

2) Membuat akun baru

Sekarang kita akan menyediakan akun yang akan Anda gunakan saat melakukan tindakan administratif. Kembali ke folder users dan klik kanan untuk membuat pengguna baru.

Sumber: Secprentice

Pada dialog berikutnya isi informasi untuk pengguna baru Anda. Juga penting untuk me-uncheck “User must change password at next logon” DAN mencentang “Password never expires”.

Sumber: Secprentice

3) Mengatur grup administrator

Sekarang kita akan menambahkan pengguna baru Anda ke grup administrator dan menghapus akun asli Anda.
Kembali ke folder Groups tetapi kali ini klik dua kali pada Administrators group.

Sumber: Secprentice

Di jendela baru tambahkan akun yang baru saja Anda buat dan pilih apply. Sangat penting untuk menambahkan akun baru Anda terlebih dahulu sehingga tidak akan pernah ada titik di mana Anda tidak memiliki akses administratif.

Sumber: Secprentice

Sekarang hapus semua akun lain di grup administrator selain dari akun baru Anda. Pastikan untuk memilih apply setelah selesai.
Grup tersebut akan terlihat seperti ini:

Sumber: Secprentice

Sumber: secprentice

Bagaimana kepercayaan lembaga A.S. pada perangkat lunak yang belum teruji membuka pintu bagi peretas

by

Peretasan besar-besaran selama berbulan-bulan di seluruh badan pemerintah AS berhasil, sebagian, karena tidak ada yang mencari di tempat yang tepat.

Pemerintah federal hanya melakukan inspeksi keamanan sepintas terhadap perangkat lunak yang dibelinya dari perusahaan swasta untuk berbagai aktivitas, mulai dari mengelola basis data hingga mengoperasikan aplikasi obrolan internal. Itu menciptakan titik buta yang dicurigai telah dieksploitasi oleh para peretas Rusia untuk melanggar Departemen Keuangan, Departemen Keamanan Dalam Negeri, Institut Kesehatan Nasional, dan lembaga lainnya. Setelah menyematkan kode dalam perangkat lunak manajemen jaringan yang banyak digunakan yang dibuat oleh perusahaan Texas bernama SolarWinds, yang harus mereka lakukan hanyalah menunggu agensi mengunduh pembaruan perangkat lunak rutin dari pemasok tepercaya.

Saat penyelidik berlomba untuk menilai kerusakan dari peretasan, para ahli dan anggota parlemen menyerukan peningkatan pengawasan terhadap kode pihak ketiga yang diizinkan oleh lembaga pemerintah di jaringan mereka dan menuntut perbaikan untuk kelemahan yang telah lama diketahui.

Serangan terhadap vendor dalam rantai pasokan perangkat lunak merupakan masalah yang diketahui yang perlu diprioritaskan, kata Rep. Jim Langevin (D-R.I.), Salah satu pendiri Kongres Cybersecurity Caucus.

Dia mengatakan Kongres perlu “memberi insentif” kepada perusahaan untuk membuat perangkat lunak mereka lebih aman, yang mungkin memerlukan perubahan mahal.

Daripada memaksakan persyaratan keamanan baru pada vendor, beberapa ahli mengatakan agensi harus lebih memperhatikan perangkat lunak yang mereka beli dan secara rutin menguji kekurangannya. Tetapi audit perangkat lunak rutin kemungkinan akan menjadi beban besar bagi agen federal.

Salah satu pendekatannya adalah dengan memusatkan pengujian perangkat lunak di satu agensi. Namun tidak semua orang yakin bahwa sentralisasi ini akan berhasil.

Sumber: Politico

“Peternakan emulator seluler jahat” digunakan untuk mencuri jutaan dari bank AS dan UE

by

Peneliti dari IBM Trusteer mengatakan mereka telah menemukan operasi penipuan besar-besaran yang menggunakan jaringan emulator perangkat seluler untuk menghabiskan jutaan dolar dari rekening bank online dalam hitungan hari.

Skala operasi tidak seperti yang pernah dilihat para peneliti sebelumnya. Dalam satu kasus, penjahat menggunakan sekitar 20 emulator untuk meniru lebih dari 16.000 ponsel milik pelanggan yang rekening bank selulernya telah disusupi. Dalam kasus terpisah, satu emulator dapat memalsukan lebih dari 8.100 perangkat.

Para pencuri kemudian memasukkan nama pengguna dan kata sandi ke dalam aplikasi perbankan yang berjalan pada emulator dan memulai wesel penipuan yang menyedot dana dari akun yang disusupi.

Untuk melewati perlindungan yang digunakan bank untuk memblokir serangan tersebut, penjahat menggunakan pengenal perangkat yang sesuai dengan setiap pemegang akun yang disusupi dan lokasi GPS palsu yang diketahui digunakan oleh perangkat tersebut.

ID perangkat kemungkinan diperoleh dari perangkat yang diretas, meskipun dalam beberapa kasus, penipu memberikan kesan bahwa mereka adalah pelanggan yang mengakses akun mereka dari ponsel baru. Para penyerang juga dapat melewati otentikasi multi-faktor dengan mengakses pesan SMS.

Setiap kali penjahat berhasil menguras akun, mereka akan menghentikan perangkat palsu yang mengakses akun tersebut dan menggantinya dengan perangkat baru.

Sumber: Ars Technica

Spotify Mengubah Kata Sandi Setelah Pelanggaran Data Lain

by

Spotify telah memberi tahu pengguna bahwa beberapa data pendaftaran mereka secara tidak sengaja terekspos ke mitra bisnis pihak ketiga, termasuk alamat email, nama tampilan yang disukai, kata sandi, jenis kelamin, dan tanggal lahir.

Ini setidaknya adalah pelanggaran ketiga dalam waktu kurang dari sebulan untuk layanan streaming terbesar di dunia tersebut.

Sebuah pernyataan dari Spotify tentang insiden tersebut mengatakan bahwa eksposur tersebut disebabkan oleh kerentanan perangkat lunak yang ada dari 9 April hingga 12 November ketika diperbaiki.

Pernyataan itu datang hanya beberapa hari setelah beberapa halaman bintang paling populer layanan streaming diambil alih oleh aktor jahat bernama “Daniel” yang menggunakan halaman artis Spotify yang dibajak, termasuk Dua Lipa dan Pop Smoke, untuk menyatakan cintanya pada Trump dan Taylor Swift.

Insiden tersebut terjadi selama pengumuman akhir tahun Spotify Wrapped 2020 yang dipublikasikan secara luas tentang streaming terpopuler tahun ini.

Hanya seminggu sebelum insiden itu, pada akhir November, Spotfiy menerima banyak pengambilalihan akun setelah operasi credential-stuffing. Dalam jenis serangan ini, pelaku ancaman bertaruh pada orang yang menggunakan kembali kata sandi mereka; mereka mencoba mencuri sandi dan ID pada layanan yang berbeda untuk mendapatkan akses ke berbagai akun.

Sumber: The Threat Post

Total CVE yang Dipublikasikan Mencapai Rekor Tertinggi untuk Tahun Keempat

by

Dalam 12 bulan terakhir, sejumlah rekor CVE diterbitkan oleh otoritas AS, volume tahun keempat berturut-turut telah meningkat.

Per 15 Desember, jumlah kerentanan dalam kode produksi yang ditemukan dan diberi nomor CVE oleh Basis Data Kerentanan US-CERT, melampaui angka tahun 2019.

Tahun lalu ada 17.306 CVE yang diterbitkan, termasuk 4337 risiko tinggi, 10.956 risiko menengah dan 2013 kekurangan risiko rendah. Hingga kemarin, tercatat 17.447 total, termasuk 4168 bug berisiko tinggi, 10.710 risiko sedang, dan 2.569 bug berisiko rendah.

K2 Cyber Security, yang mencatat lonjakan rekor baru-baru ini, berpendapat bahwa pandemi mungkin berdampak pada pengungkapan tahun ini.

“Perusahaan masih berjuang untuk menemukan keseimbangan antara mengirimkan aplikasi ke pasar dengan cepat, dan mengamankan kode mereka. Pandemi COVID-19 adalah faktor utama tahun ini,” kata salah satu pendiri dan CEO vendor, Pravin Madhani.

Untuk mengurangi risiko ini, tim DevOps harus menggeser keamanan sejauh mungkin dalam lifecycle, sementara sysadmin harus menambal sesegera mungkin untuk memastikan sistem operasi dan perangkat lunak penting up-to-date, katanya.

Sumber: Info Security

Plugin WordPress dengan 5 juta penginstalan memiliki kerentanan kritis

by

Tim di balik plugin WordPress yang populer telah mengungkapkan kerentanan unggahan file penting dan telah merilis update untuk perbaikan.

Plugin yang rentan, Contact Form 7, memiliki lebih dari 5 juta penginstalan aktif yang membuat upgrade mendesak ini menjadi kebutuhan bagi pemilik situs WordPress di luar sana.

Minggu ini, proyek Contact Form 7 telah mengungkapkan kerentanan unggahan file yang tidak dibatasi (menunggu CVE) di plugin WordPress yang dapat memungkinkan penyerang untuk melewati perlindungan sanitasi nama file Contact Form 7 saat mengunggah file.

Penyerang dapat mengupload file yang dibuat dengan kode apapun di server yang rentan menggunakan plugin.

Kemudian, dengan mengeksploitasi kerentanan yang parah ini, file dapat dieksekusi sebagai skrip oleh penyerang untuk menjalankan kode di dalamnya.

“Contact Form 7 5.3.2 telah dirilis. Ini adalah rilis keamanan dan pemeliharaan yang mendesak. Kami sangat menganjurkan Anda untuk segera memperbaruinya,” tulisnya dalam sebuah pengunguman.

Kerentanan tersebut telah ditemukan dan dilaporkan oleh Jinson Varghese Behanan, seorang analis keamanan informasi di Astra Security.

Dalam versi yang rentan, plugin tidak menghapus karakter khusus dari nama file yang diunggah, termasuk karakter kontrol dan pemisah.

Hal ini berpotensi memungkinkan penyerang mengunggah nama file yang berisi ekstensi ganda, dipisahkan oleh karakter khusus atau non-printable, seperti file bernama “abc.php .jpg”.

Perbaikan yang dibuat oleh tim Contact Form 7, berisi validasi berbasis regex untuk menangkap kasus seperti ini:

Sumber: Bleeping Computer

Sumber: Bleeping Computer