Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Data

Data

Bagaimana data poisoning menyerang model pembelajaran mesin yang korup

by

Apa itu data poisoning?

Data poisoning atau serangan poisoning model melibatkan pencemaran data pelatihan model pembelajaran mesin. Data posoning dianggap sebagai serangan integritas karena gangguan pada data pelatihan memengaruhi kemampuan model untuk menghasilkan prediksi yang benar. Jenis serangan lain dapat diklasifikasikan dengan cara yang sama berdasarkan dampaknya:

  • Kerahasiaan (Confidentiality), di mana penyerang dapat menyimpulkan informasi yang berpotensi rahasia tentang data pelatihan dengan memasukkan input ke model
  • Ketersediaan (Availability), tempat penyerang menyamarkan input mereka untuk mengelabui model guna menghindari klasifikasi yang benar
  • Replikasi (Replication), di mana penyerang dapat merekayasa balik model untuk mereplikasi dan menganalisisnya secara lokal untuk menyiapkan serangan atau mengeksploitasinya untuk keuntungan finansial mereka sendiri

Contoh data poisoning

Contoh nyata dari hal ini adalah serangan terhadap filter spam yang digunakan oleh penyedia email. Dalam postingan blog 2018 tentang serangan pembelajaran mesin, Elie Bursztein, yang memimpin tim riset anti-penyalahgunaan di Google mengatakan: “Dalam praktiknya, kami secara teratur melihat beberapa grup spammer tercanggih mencoba membuat filter Gmail keluar jalur dengan melaporkan email spam dalam jumlah besar sebagai bukan spam […] Antara akhir November 2017 dan awal 2018, ada setidaknya empat upaya berbahaya berskala besar untuk membelokkan pengklasifikasi kami.”

Tidak ada perbaikan yang mudah

Masalah utama dengan data poisoning adalah tidak mudah untuk memperbaikinya. Model dilatih ulang dengan data yang baru dikumpulkan pada interval tertentu, bergantung pada tujuan penggunaan dan preferensi pemiliknya. Karena poisoning biasanya terjadi seiring waktu, dan selama beberapa siklus pelatihan, sulit untuk mengetahui kapan akurasi prediksi mulai bergeser.

Cegah dan deteksi

Mengingat kesulitan dalam memperbaiki model yang diracuni, pengembang model perlu fokus pada tindakan yang dapat memblokir upaya serangan atau mendeteksi input berbahaya sebelum siklus pelatihan berikutnya terjadi — hal-hal seperti pemeriksaan validitas masukan, pembatasan kecepatan, pengujian regresi, moderasi manual, dan menggunakan berbagai statistik teknik untuk mendeteksi anomali.

Untuk melakukan data poisoning, penyerang juga perlu mendapatkan informasi tentang cara kerja model, jadi penting untuk membocorkan informasi sesedikit mungkin dan memiliki kontrol akses yang kuat untuk model dan data pelatihan. Dalam hal ini, pertahanan pembelajaran mesin terikat dengan praktik keamanan dan kebersihan umum — hal-hal seperti membatasi izin, mengaktifkan logging, dan menggunakan file dan data versioning.

Selengkapnya: CSO Online

Have I Been Pwned menambahkan pencarian untuk nomor telepon Facebook yang bocor

by

Pengguna Facebook sekarang dapat menggunakan situs pemberitahuan pelanggaran data Have I Been Pwned untuk memeriksa apakah nomor telepon mereka terungkap dalam kebocoran data terbaru situs sosial tersebut.

Akhir pekan lalu, seorang pelaku ancaman merilis bocoran data berisi informasi bagi 533 juta pengguna Facebook. Informasi ini termasuk nomor telepon dan ID Facebook untuk hampir semua akun yang terbuka dan informasi opsional lainnya seperti nama, jenis kelamin, status hubungan, lokasi, pekerjaan, tanggal lahir, dan alamat email.

Data ini awalnya dikumpulkan pada 2019 dan dijual secara pribadi pada saat itu. Seiring waktu, data diperdagangkan dan dijual antara pelaku ancaman yang berbeda dengan harga yang lebih rendah dan lebih rendah sampai akhirnya dirilis secara gratis di forum peretas akhir pekan ini.

Ketika dirilis, data telah ditambahkan ke layanan pemberitahuan pelanggaran data Have I Been Pwned sehingga pengguna dapat mencari tahu apakah email mereka ada di kebocoran data Facebook.

Namun, komponen utama kebocoran ini adalah nomor telepon pengguna Facebook, bukan alamat email, dan oleh karena itu Have I Been Pwned tidak dapat secara akurat memberi tahu pengguna jika mereka terungkap dalam pelanggaran.

Untuk lebih akurat mengingatkan pengguna, Hunt telah memperbarui Have I Been Pwned sehingga pengguna sekarang dapat mencari nomor telepon mereka di situs tersebut untuk menentukan apakah kebocoran tersebut mengungkap info Facebook mereka.

Saat mencari nomor telepon, pengguna harus memasukkan kode negara mereka karena kebocoran data menyimpan nomor tersebut.

Sumber: BleepingComputer

Sumber: Bleeping Computer

Penelitian menunjukkan Google mengumpulkan 20x lebih banyak data dari Android daripada yang dikumpulkan Apple dari iOS

by

Perusahaan teknologi telah berbicara lebih banyak tentang privasi dalam beberapa tahun terakhir, dan Apple dengan bangga mengatakan bahwa mereka melindungi data pengguna lebih dari siapa pun.

Minggu ini, penelitian baru oleh Douglas Leith dari Trinity College menunjukkan bahwa Google mengumpulkan hingga 20 kali lebih banyak data dari pengguna Android dibandingkan dengan data yang dikumpulkan Apple dari pengguna iOS.

Seperti dilansir Ars Technica, penelitian tersebut menganalisis jumlah data telemetri yang dikirimkan langsung ke perusahaan yang bertanggung jawab atas sistem operasi iOS dan Android. Itu tidak hanya memeriksa data yang dikirim ke Apple atau Google melalui aplikasi yang sudah diinstal sebelumnya, tetapi juga selama periode idle.

Hal menarik lainnya dari penelitian ini adalah bahwa iOS dan Android juga mempertimbangkan data yang dikirim dari pengguna yang memilih untuk tidak membagikan informasi apa pun dengan perusahaan dalam pengaturan untuk setiap sistem operasi.

Sementara iOS secara otomatis mengumpulkan data dari Siri, Safari, dan iCloud untuk dikirim ke Apple, Android mendapatkan data dari Chrome, YouTube, Google Docs, Safetyhub, Google Messenger, Jam, dan pencarian, bahkan ketika pengguna tidak masuk ke akun Google. Yang cukup menarik, iOS mengirimkan sekitar 42KB data ke Apple tepat setelah perangkat dinyalakan. Android, di sisi lain, mengirimkan 1MB data ke Google.

Pihak Google menghubungi 9to5Mac dengan pernyataan tentang studi tersebut, yang dapat Anda baca di bawah.

Kami mengidentifikasi kelemahan dalam metodologi peneliti untuk mengukur volume data dan tidak setuju dengan klaim makalah bahwa perangkat Android berbagi data 20 kali lebih banyak daripada iPhone. Menurut penelitian kami, temuan ini tidak sesuai urutan besarnya, dan kami membagikan masalah metodologi kami dengan peneliti sebelum dipublikasikan.

Penelitian ini sebagian besar menguraikan cara kerja smartphone. Mobil modern secara teratur mengirimkan data dasar tentang komponen kendaraan, status keselamatan dan jadwal servisnya ke produsen mobil, dan telepon seluler berfungsi dengan cara yang sangat mirip. Laporan ini merinci komunikasi tersebut, yang membantu memastikan bahwa perangkat lunak iOS atau Android adalah yang terbaru, layanan berfungsi sebagaimana mestinya, dan bahwa telepon aman dan berjalan secara efisien.

Selengkapnya: 9to5mac

Begini cara kita kehilangan kendali atas wajah kita

by

Pada tahun 1964, ahli matematika dan ilmuwan komputer Woodrow Bledsoe pertama kali mencoba tugas mencocokkan wajah tersangka dengan foto.

Dia mengukur jarak antara fitur wajah yang berbeda dalam foto cetakan dan memasukkannya ke dalam program komputer. Keberhasilannya yang belum sempurna akan memicu penelitian puluhan tahun ke dalam mesin pengajaran untuk mengenali wajah manusia.

Sekarang sebuah studi baru menunjukkan seberapa besar perusahaan ini telah mengikis privasi kita. Ini tidak hanya memicu alat pengawasan yang semakin kuat. Pengenalan wajah berbasis deep learning generasi terbaru benar-benar mengganggu norma persetujuan kita.

Deborah Raji, seorang rekan di Mozilla, dan Genevieve Fried, yang menasihati anggota Kongres AS tentang akuntabilitas algoritmik, memeriksa lebih dari 130 kumpulan data pengenalan wajah yang dikumpulkan selama 43 tahun.

Mereka menemukan bahwa para peneliti, didorong oleh kebutuhan data yang meningkat dari deep learning, secara bertahap meninggalkan permintaan persetujuan orang-orang. Hal ini menyebabkan semakin banyak foto pribadi orang dimasukkan ke dalam sistem pengawasan tanpa sepengetahuan mereka.

Ini juga menyebabkan kumpulan data yang jauh lebih berantakan: mereka mungkin secara tidak sengaja menyertakan foto anak di bawah umur, menggunakan label rasis dan seksis, atau memiliki kualitas dan pencahayaan yang tidak konsisten.

Orang-orang sangat berhati-hati dalam mengumpulkan, mendokumentasikan, dan memverifikasi data wajah di masa-masa awal, kata Raji. “Sekarang kami tidak peduli lagi. Semua itu sudah ditinggalkan,” katanya. “Anda tidak bisa melacak jutaan wajah. Setelah titik tertentu, Anda bahkan tidak dapat berpura-pura bahwa Anda memiliki kendali.”

Selengkapnya: Technology Review

‘Belum pernah data terasa sangat berharga ataupun sangat rentan sampai sekarang,’ kata CEO CommVault Mirchandani

by

Seseorang harus menyatukan kembali semuanya.

Itu mungkin deskripsi luas dari pencarian di era cloud CommVault Systems berusia 25 tahun, sebuah perusahaan yang memiliki masa kejayaannya jauh sebelum komputasi awan tiba.

Apa, jika ada, relevansi CommVault, dengan alatnya untuk mencadangkan data di era ketika aplikasi awan modern seperti Snowflake lebih dari sebelumnya diabstraksi dari penyimpanan data yang mendasarinya? Tidak bisakah seseorang melupakan semua itu?

“Belum pernah data terasa sangat berharga ataupun sangat rentan sampai sekarang,” adalah tanggapan dari CEO CommVault, Sanjay Mirchandani.

Sejak dia datang ke perusahaan tersebut dua tahun lalu, Mirchandani telah memindahkan operasinya menjadi yang pertama ke komputasi awan, menggunakan alat yang dimaksudkan untuk server pusat data perusahaan dan menjadikannya ramah awan, dan menambahkan kemampuan baru melalui akuisisi.

Bencana yang dia katakan ingin dia hindari, sebuah ancaman eksistensial bagi perusahaan, adalah bahwa kumpulan data gelap terbentuk di seluruh berbagai operasi cloud yang dikonsumsi perusahaan, reservoir data yang telah terputus dari bagaimana mereka dibuat, ke titik di mana legitimasi data tersebut mungkin terancam, yang disebutnya sebagai “celah integritas data”.

selengkapnya : ZDNET

Facebook mencoba mengingatkan pengguna tentang manfaat pengumpulan data sebelum perubahan privasi Apple

by

Facebook mengatakan pada hari Senin bahwa pihaknya sedang menguji peringatan pop-up baru untuk pengguna iPhone dan iPad yang menekankan manfaat dari aplikasinya yang mengumpulkan data pribadi. Tes dilakukan sebelum perubahan privasi Apple dengan potensi untuk meningkatkan bisnis inti jejaring sosial.

Apple (AAPL) mengatur untuk memperkenalkan persyaratan baru bagi pengguna untuk memberikan izin eksplisit bagi aplikasi untuk melacaknya di internet, sebuah langkah yang telah mengguncang Facebook, yang mengandalkan pengumpulan data untuk menargetkan iklan.

Sekarang, Facebook berencana untuk menunjukkan permintaan “kami sendiri, bersama dengan Apple” dalam upaya untuk menunjukkan kepada pengguna bagaimana iklan yang dipersonalisasi “mendukung bisnis kecil dan membuat aplikasi tetap gratis,” kata perusahaan itu dalam pembaruan Senin untuk posting blog lama yang disebut “Speaking Up for Small Businesses.”

Facebook, yang memperoleh hampir semua pendapatannya dari iklan, telah berulang kali memperingatkan investor bahwa perubahan perangkat lunak Apple dapat merugikan bisnisnya jika pengguna menolak izin pelacakan.

Sementara langkah terbaru ini mungkin tampak seperti tembakan lain yang ditembakkan ke Apple, Facebook menerima tawaran Apple untuk pengembang mana pun untuk menjelaskan mengapa ia menginginkan izin tertentu untuk pelacakan. “Kami merasa orang-orang berhak mendapatkan konteks tambahan, dan Apple mengatakan bahwa memberikan pendidikan diperbolehkan,” kata Facebook dalam posting blog tersebut.

Selengkapnya: CNN

Cina Mencuri Data Pribadi 80% Orang Dewasa Amerika

by

Pemerintah Cina mungkin telah mencuri data pribadi dari 80% orang dewasa Amerika, menurut laporan “60 Minutes”.

Bill Evanina, mantan direktur Pusat Kontra Intelijen dan Keamanan Nasional AS, pada hari Minggu muncul di CBS 60 Minutes ketika dia memperingatkan bahwa Beijing sedang mencoba untuk mengumpulkan dan mengeksploitasi informasi perawatan kesehatan orang Amerika, termasuk DNA mereka.

Menurut pejabat intelijen, BGI Group – perusahaan bioteknologi terbesar di dunia – mendekati Washington dan lima negara bagian lainnya dengan tawaran untuk membangun dan menjalankan laboratorium pengujian virus corona yang canggih. Perusahaan Cina tersebut juga berjanji untuk “memberikan keahlian teknis, urutan produksi yang tinggi” dan “memberikan sumbangan tambahan” ke negara bagian.

Tawaran tersebut menimbulkan kecurigaan, sehingga Evanina mengeluarkan peringatan kepada negara agar tidak mengambil proposal BGI Group.

“Kekuatan asing dapat mengumpulkan, menyimpan dan mengeksploitasi informasi biometrik dari tes covid,” kata penasihat itu. “Mengetahui bahwa BGI adalah perusahaan Cina, apakah kita mengerti kemana perginya data tersebut?”

Evanina juga mengklaim bahwa Cina menggunakan metode “kurang terhormat” untuk mencuri data dari negara asing, termasuk meretas perusahaan perawatan kesehatan dan teknologi – seperti rumah pintar, sensor, dan jaringan 5G — di AS untuk mengumpulkan data pribadi orang Amerika.

“Perkiraan saat ini adalah bahwa 80% semua informasi pengenal pribadi orang dewasa Amerika telah dicuri oleh Partai Komunis Cina,” katanya.

Selengkapnya: IBTimes

Bot Telegram Menjual Info Pengguna Facebook yang Dicuri seharga $ 20 per Pop

by

Nomor telepon (dan ID situs terkait) dari sekitar 500 juta pengguna Facebook sekarang tampaknya dijual di forum kejahatan siber.

Penjahat atau sekelompok penjahat yang bertanggung jawab telah membangun bot Telegram untuk bertindak sebagai fungsi pencarian data.

Calon pembeli kini dapat menggunakan bot untuk menyaring data guna menemukan nomor telepon yang sesuai dengan ID pengguna — atau sebaliknya — dengan informasi lengkap dibuka kuncinya setelah membayar kueri “kredit”. Kredit tersebut mulai dari $20 untuk satu pencarian dan menjadi lebih murah jika dibeli dalam jumlah besar.

Aktivitas tersebut ditemukan oleh Alon Gal, salah satu pendiri dan CTO perusahaan keamanan siber Hudson Rock, yang memposting tentang skema tersebut di akun Twitter-nya, dan dilaporkan oleh Joseph Cox, di Motherboard.

Sumber: Gizmodo