Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Google akan memblokir login di perangkat Android lama mulai September

by

Google mengirim email kepada pengguna Android untuk memberi tahu mereka bahwa, mulai akhir September, mereka tidak lagi dapat masuk ke akun Google mereka di perangkat yang menjalankan Android 2.3.7 (Gingerbread) dan yang lebih rendah.

“Sebagai bagian dari upaya berkelanjutan kami untuk menjaga keamanan pengguna kami, Google tidak akan lagi mengizinkan login di perangkat Android yang menjalankan Android 2.3.7 atau lebih rendah mulai 27 September 2021,” jelas Zak Pollack, Manajer Komunitas Bantuan Android.

“Jika Anda masuk ke perangkat setelah 27 September, Anda mungkin mendapatkan kesalahan nama pengguna atau sandi saat mencoba menggunakan produk dan layanan Google seperti Gmail, YouTube, dan Maps.”

Pengguna disarankan untuk memperbarui perangkat mereka ke versi Android yang lebih baru (3.0 atau lebih baru) sesegera mungkin sehingga mereka tidak akan kehilangan akses ke aplikasi dan layanan Google.

Mereka yang tidak dapat memperbarui ke versi Android yang lebih baru dapat mencoba masuk ke akun Google mereka menggunakan browser web yang akan memberi mereka cara alternatif untuk menggunakan layanan Google pada perangkat Android yang tidak didukung.

Selengkapnya: Bleeping Computer

Sysadmin: Mengapa tidak memverifikasi bahwa tidak ada pintu belakang di setiap program yang Anda instal, dan dengan demikian menghindari drama dunia maya?

by

Setengah dari serangan rantai pasokan yang dilaporkan secara publik dilakukan oleh “kelompok APT terkenal”, menurut analisis oleh badan infosec UE ENISA, yang memperingatkan serangan digital semacam itu perlu mendorong “metode perlindungan baru.”

Juhan Lepassaar, direktur eksekutif ENISA, mengatakan dalam sebuah pernyataan: “Karena efek berjenjang dari serangan rantai pasokan, pelaku ancaman dapat menyebabkan kerusakan luas yang mempengaruhi bisnis dan pelanggan mereka sekaligus. Dengan praktik yang baik dan tindakan terkoordinasi di tingkat UE, Negara-negara Anggota akan dapat mencapai tingkat kemampuan yang sama untuk meningkatkan tingkat keamanan siber yang sama di UE.”

Studi open-source dimaksudkan sebagai primer pada serangan rantai pasokan, yang biasanya terdiri dari penargetan pemasok perangkat lunak B2B yang memiliki daftar pelanggan yang luas. Setelah pemasok dikompromikan, penyerang kemudian bergerak secara lateral ke jaringan pelanggan mereka, biasanya untuk mencuri data dan memeras para korban.

“Karakteristik tambahan dari serangan rantai pasokan melibatkan kompleksitas dalam menanganinya dan upaya yang diperlukan untuk mengurangi dan mengatasi serangan tersebut,” kata ENISA dalam laporannya.

ENISA mengkritik pemasok karena tidak mengetahui atau tidak mengakui di depan umum bagaimana mereka dikompromikan.

Laporan tersebut mencantumkan insiden rantai pasokan yang dipelajari oleh ENISA. Selain yang terkenal yang melibatkan Accellion, SolarWinds, dan Kaseya, itu juga mencantumkan ProjectWeb Fujitsu, emulator Android Bignox Noxplayer, dan banyak lagi.

Selengkapnya: The Register

No More Ransom menghemat hampir €1 miliar dalam pembayaran ransomware dalam 5 tahun

by

Proyek No More Ransom merayakan hari jadinya yang kelima pada tanggal 26 Juli lalu setelah membantu lebih dari enam juta korban ransomware memulihkan file mereka dan menghemat hampir €1 miliar dalam pembayaran ransomware.

No More Ransom adalah portal online yang diluncurkan pada Juli 2016 dan kemitraan publik-swasta yang dibuat oleh penegak hukum dan pemimpin industri (Europol’s European Cybercrime Centre, Unit Kejahatan Teknologi Tinggi Nasional polisi Belanda, McAfee, dan Kaspersky).

Saat ini, proyek No More Ransom mencakup 170 mitra di seluruh dunia, termasuk BleepingComputer, yang bergabung dengan proyek tersebut pada tahun 2018.

No More Ransom memiliki tujuan untuk membantu korban memulihkan file terenkripsi mereka, meningkatkan kesadaran akan ancaman ransomware, dan menyediakan tautan langsung kepada korban ransomware dan masyarakat umum untuk melaporkan serangan.

Untuk mendapatkan decryptor, Anda harus mengunggah dua file terenkripsi dan catatan ransomware melalui Crypto Sheriff No More Ransom, yang akan mencoba mencocokkannya dengan daftar alat dekripsi yang tersedia.

Jika kecocokan muncul, Anda akan mendapatkan tautan ke dekripsi ransomware yang sesuai yang dilengkapi dengan petunjuk terperinci tentang cara membuka kunci file.

Jika tidak ada decryptor yang tersedia, Anda akan disarankan untuk memeriksa kembali kecocokan di masa mendatang karena alat pembuka kunci baru ditambahkan ke database secara teratur.

Selengkapnya: Bleeping Computer

Apple memperbaiki zero-day yang memengaruhi iPhone dan Mac, yang sedang aktif dieksploitasi

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day yang dieksploitasi di alam liar dan berdampak pada iPhone, iPad, dan Mac.

Kerentanan, dilacak sebagai CVE-2021-30807, adalah masalah kerusakan memori dalam ekstensi kernel IOMobileFramebuffer yang dilaporkan oleh peneliti anonim. Eksploitasi yang berhasil dapat memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel

Apple telah memperbaiki bug dengan meningkatkan penanganan memori di iOS 14.7.1, iPadOS 14.7.1, dan macOS Big Sur 11.5.1.

Daftar perangkat yang terpengaruh termasuk Mac, iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7).

Sementara Apple mengungkapkan bahwa setidaknya satu laporan menyebutkan eksploitasi aktif CVE-2021-30807 di alam liar, perusahaan tidak merilis informasi tambahan mengenai serangan ini.

Menahan info ini kemungkinan merupakan tindakan yang dirancang untuk memungkinkan pembaruan keamanan yang dirilis hari ini untuk menjangkau iPhone, iPad, dan Mac sebanyak mungkin sebelum pelaku ancaman lain mengetahui detailnya dan mulai secara aktif menyalahgunakan zero-day yang sekarang telah ditambal.

Selengkapnya: Bleeping Computer

Signal memperbaiki bug yang mengirim gambar acak ke kontak yang salah

by

Signal telah memperbaiki bug serius di aplikasi Androidnya yang, dalam beberapa kasus, mengirim gambar acak yang tidak diinginkan ke kontak tanpa penjelasan yang jelas.

Meskipun masalah ini dilaporkan pada Desember 2020, mengingat kesulitan mereproduksi bug, baru bulan ini perbaikan diluncurkan ke pengguna Android dari aplikasi perpesanan terenkripsi end-to-end.

Bulan ini Signal menambal bug yang memengaruhi pengguna aplikasi Android mereka dalam beberapa keadaan.

Saat mengirim gambar menggunakan aplikasi Signal Android ke salah satu kontak Anda, kontak terkadang tidak hanya menerima gambar yang dipilih, tetapi juga beberapa gambar acak yang tidak diinginkan, yang tidak pernah dikirim oleh pengirim.

Contoh tangkapan layar di bawah ini menunjukkan bagaimana pengirim (kiri) hanya mengirim GIF sebagai bagian dari percakapan teks, tetapi penerima (kanan) mendapat dua gambar tambahan tanpa penjelasan yang masuk akal:

Sumber: BleepingComputer

Pengguna lain, Adrian Ostrowski menyatakan bahwa bug seperti ini secara efektif membuat berbagi gambar secara rahasia melalui Signal tidak memungkinkan.

Yang ditanggapi oleh pengembang Android Signal, Greyson Parrelli bahwa perbaikan telah diluncurkan di versi 5.17 dari aplikasi Android Signal, yang dirilis bulan ini.

Selengkapnya: Bleeping Computer

Laporan Metodologi Forensik: Cara menangkap Pegasus NSO Group

by

NSO Group mengklaim bahwa spyware Pegasus-nya hanya digunakan untuk “menyelidiki terorisme dan kejahatan” dan “tidak meninggalkan jejak apa pun”. Laporan Metodologi Forensik ini menunjukkan bahwa tidak satu pun dari pernyataan ini benar. Laporan ini menyertai peluncuran Proyek Pegasus, sebuah investigasi kolaboratif yang melibatkan lebih dari 80 jurnalis dari 17 organisasi media di 10 negara yang dikoordinasikan oleh Forbidden Stories dengan dukungan teknis dari Lab Keamanan Amnesty International.

Lab Keamanan Amnesty International telah melakukan analisis forensik mendalam terhadap berbagai perangkat seluler dari pembela hak asasi manusia (HRD) dan jurnalis di seluruh dunia. Penelitian ini telah mengungkap pengawasan yang melanggar hukum, terus-menerus dan berkelanjutan serta pelanggaran hak asasi manusia yang dilakukan dengan menggunakan spyware Pegasus NSO Group.

Bagian 1 hingga 8 dari laporan ini menguraikan jejak forensik yang tertinggal di perangkat seluler setelah infeksi Pegasus. Bukti ini telah dikumpulkan dari telepon pembela HAM dan jurnalis di berbagai negara. Terakhir, di bagian 9 laporan tersebut mendokumentasikan evolusi infrastruktur jaringan Pegasus sejak 2016.

1. Menemukan serangan injeksi jaringan Pegasus

Investigasi teknis Amnesty International terhadap Pegasus NSO Group diintensifkan setelah mereka menemukan penargetan staf Amnesty International dan aktivis Saudi, Yahya Assiri, pada tahun 2018. Lab Keamanan Amnesty International mulai menyempurnakan metodologi forensiknya melalui penemuan serangan terhadap pembela HAM di Maroko pada tahun 2019, yang selanjutnya dikuatkan oleh serangan yang mereka temukan terhadap seorang jurnalis Maroko pada tahun 2020. Di bagian pertama ini mereka merinci proses yang mengarah pada penemuan kompromi ini.

Banyak laporan publik telah mengidentifikasi pelanggan NSO Group yang menggunakan pesan SMS dengan domain eksploitasi Pegasus selama bertahun-tahun. Akibatnya, pesan serupa muncul dari analisis kami terhadap telepon aktivis Maroko Maati Monjib, yang merupakan salah satu aktivis yang menjadi sasaran sebagaimana didokumentasikan dalam laporan Amnesty International tahun 2019.

Namun, pada analisis lebih lanjut, Amnesty juga melihat pengalihan mencurigakan yang tercatat dalam riwayat penelusuran Safari. Misalnya, dalam satu kasus Amnesty melihat pengalihan ke URL yang tampak aneh setelah Maati Monjib mencoba mengunjungi Yahoo:

Sumber: Amnesty International

Seperti yang dijelaskan dalam Lampiran Teknis dari laporan 2020 Amnesty tentang serangan Pegasus di Maroko, pengalihan ini tidak hanya terjadi ketika target menavigasi Internet dengan aplikasi browser, tetapi juga saat menggunakan aplikasi lain.

Selengkapnya: Amnesty International

Serangan jaringan “PetitPotam” Windows – cara melindunginya

by

Peneliti asal Prancis Gilles Lionel, yang menggunakan @topotam77, baru-baru ini menerbitkan kode bukti konsep yang dapat digunakan penyerang untuk mengambil alih jaringan Windows.

Peretasan itu, yang ia juluki PetitPotam, melibatkan apa yang dikenal sebagai serangan relay NTLM, yang merupakan bentuk serangan manipulator-in-the-middle (MitM) terhadap sistem otentikasi NTLM Microsoft.

Microsoft telah menyarankan semua orang untuk menghindari NTLM, kependekan dari NT LAN Manager, selama lebih dari satu dekade, karena tidak memenuhi standar keamanan kriptografi modern.

Menurut Microsoft, kode PetitPotam bergantung pada penyalahgunaan fungsi sistem yang diaktifkan jika semua kondisi ini berlaku:

  • Otentikasi NTLM diaktifkan di domain Anda.
  • Anda menggunakan Active Directory Certificate Services (AD CS).
  • Anda mengaktifkan Certificate Authority Web Enrollment atau Certificate Enrollment Web Service.

Apa yang harus dilakukan?

Jelas, pertahanan paling kuat adalah berhenti menggunakan NTLM di jaringan Anda.

Jika Anda benar-benar tidak membutuhkannya (dan sudah tidak digunakan lagi selama lebih dari satu dekade), Anda dapat mematikannya di domain controller untuk meningkatkan keamanan seluruh jaringan Anda.

Jika Anda tidak dapat mematikan otentikasi NTLM sama sekali, Microsoft memiliki banyak langkah lain yang dapat Anda ambil, tetapi ini secara khusus menangani celah PetitPotam daripada menyingkirkan kriptografi NTLM yang sudah ketinggalan zaman itu sendiri.

Selengkapnya: Naked Security

Jaringan Industri Terekspos Melalui Teknologi Operasional Berbasis Cloud

by

Manfaat menggunakan platform manajemen berbasis cloud untuk memantau dan mengonfigurasi perangkat sistem kontrol industri (ICS) sangat jelas — efisiensi, penghematan biaya, dan diagnostik yang lebih baik hanya sebagai permulaan. Tetapi penelitian baru menemukan kerentanan kritis dalam platform ini yang dapat digunakan untuk melumpuhkan operasi jika dibiarkan tanpa tanggung jawab.

Analisis oleh tim peneliti Team82 Claroty yang baru menemukan kerentanan mencolok dalam sistem industri CODESYS dan WAGO, yang menggunakan otomatisasi berbasis cloud untuk teknologi operasional (OT) — segmen yang sering disebut sebagai “Industri 4.0.”

Kerentanan, jika dieksploitasi, dapat menyebabkan konsekuensi serius, termasuk menguasai peralatan dan operasi industri.

Sumber: Claroty

Beberapa jenis eksploitasi dapat dilakukan, tetapi Claroty menandai beberapa catatan. Dalam satu bukti konsep, mereka dapat memodifikasi paket CODESYS Package Designer untuk mengambil kredensial cloud pengguna; serangan melibatkan rekayasa sosial pengguna yang masuk untuk menginstalnya.

Serangan itu akan memungkinkan akses ke konsol manajemen berbasis cloud CODESYS, dimana musuh dapat lebih jauh mengeksploitasi PLC terkelola yang terhubung ke konsol.

WAGO dan CODESYS dengan cepat merespons dengan mitigasi dan patch untuk semua kerentanan yang dilaporkan.

Selengkapnya: Threat Post