Encryption

Pernyataan Komisaris eSafety Australia: Membanginkan Enkripsi yang Kuat dengan Membuka Pintu Bagi Penyusup

May 5, 2023 by Coffee Bean

Pembalikan realitas adalah salah satu cara untuk mengatakannya: di Australia, komisaris eSafety telah membuat komentar aneh terkait enkripsi ujung-ke-ujung, membandingkan perusahaan-perusahaan yang tidak akan secara efektif menghapus fitur keamanan ini (yang melindungi komunikasi dari mata-mata) dengan… seseorang “meninggalkan rumah terbuka untuk penyusup.”

Enkripsi yang kuat ada justru untuk menjaga semua “aktor” – buruk dan sebaliknya – keluar dari tempat yang tidak semestinya, yaitu, komunikasi pribadi orang (“rumah online” mereka) – tetapi komisaris, Julie Inman Grant, tampaknya berpikir , dalam kutipan Politico, bahwa kecuali pintu benar-benar dibiarkan terbuka (karena mencemari enkripsi dengan perangkat lunak pintu belakang) – aktor jahat akan masuk. (?!)

Itu benar – “logika” di sini tampaknya terbuka, bukan pintu tertutup, yang mencegah masuknya tamu tak diundang.

Dorongan kuat oleh berbagai otoritas di seluruh dunia terhadap enkripsi end-to-end kini telah sampai pada titik menghasilkan senam politik yang tragis seperti ini.

Ketika mencoba untuk mengakhiri enkripsi di internet dan membuatnya tidak aman dan rentan terhadap semua jenis kejahatan dan penyalahgunaan untuk semua orang di internet, pemerintah memberikan alasan yang menurut mereka paling sulit untuk dibantah: kebutuhan untuk melindungi anak-anak, dan menghentikan ekstremisme .

Premis (kritikus mengatakan, salah) adalah bahwa penegakan hukum tidak dapat melakukan tugasnya dan menangani kejahatan ini lagi tanpa merusak keamanan setiap pengguna online; tetapi ini menghasilkan tekanan balik yang kuat tidak hanya di komunitas yang ramah privasi, tetapi juga oleh perusahaan teknologi itu sendiri.

Berbicara dalam konteks orang-orang seperti Apple dan bahkan Microsoft yang memiliki fitur enkripsi dalam produk mereka, Grant menyamakan ini dengan “menutup mata terhadap TKP langsung yang terjadi di platform mereka” tetapi juga – “gagal mengeraskan sistem mereka dengan benar dan penyimpanan terhadap penyalahgunaan.”

Dan itulah mengapa produk akhir dari proses pemikiran ini adalah komisaris yang berkata, “Ini mirip dengan membiarkan rumah terbuka untuk penyusup. Begitu aktor jahat itu ada di dalam rumah, semoga berhasil mengeluarkan mereka.”

selengkapnya : reclaimthenet.org

CEO Signal: Kami “1.000% tidak akan berpartisipasi” dalam hukum Inggris Raya untuk melemahkan enkripsi

February 26, 2023 by Søren

Organisasi nirlaba yang bertanggung jawab atas aplikasi perpesanan Signal bersiap untuk keluar dari Inggris jika negara tersebut mewajibkan penyedia komunikasi terenkripsi untuk mengubah produk mereka guna memastikan pesan pengguna bebas dari materi yang berbahaya bagi anak-anak.

“Kami benar-benar akan keluar dari negara mana pun jika pilihannya adalah tetap berada di negara tersebut dan merusak janji privasi ketat yang kami buat kepada orang-orang yang mengandalkan kami,” kata CEO Signal Meredith Whittaker kepada Ars. “Inggris tidak terkecuali.”

Komentar Whittaker muncul saat Parlemen Inggris sedang dalam proses menyusun undang-undang yang dikenal sebagai RUU Keamanan Daring. RUU tersebut, yang diperkenalkan oleh mantan Perdana Menteri Boris Johnson, adalah undang-undang yang mewajibkan hampir semua penyedia konten buatan pengguna untuk memblokir materi pelecehan seksual terhadap anak, sering disingkat CSAM atau CSA.

Penyedia juga harus memastikan bahwa setiap konten legal yang dapat diakses oleh anak di bawah umur—termasuk topik menyakiti diri sendiri—sesuai usia.

Ketentuan dalam RUU tersebut secara khusus mengarah pada enkripsi end-to-end, yang merupakan bentuk enkripsi yang memungkinkan hanya pengirim dan penerima pesan untuk mengakses bentuk konten yang dapat dibaca manusia.

Biasanya disingkat E2EE, ini menggunakan mekanisme yang bahkan mencegah penyedia layanan mendekripsi pesan terenkripsi. E2EE tangguh yang diaktifkan secara default adalah titik penjualan teratas Signal bagi lebih dari 100 juta penggunanya. Layanan lain yang menawarkan E2EE termasuk Apple iMessages, WhatsApp, Telegram, dan Meta’s Messenger, meskipun tidak semuanya menyediakannya secara default.

Berdasarkan salah satu ketentuan Undang-Undang Keamanan Daring, penyedia layanan dilarang memberikan informasi yang “dienkripsi sedemikian rupa sehingga [regulator telekomunikasi Inggris] Ofcom tidak dapat memahaminya, atau membuat dokumen yang dienkripsi sedemikian rupa sehingga tidak mungkin untuk Ofcom untuk memahami informasi yang dikandungnya,” dan ketika tujuannya adalah untuk mencegah badan pengawas Inggris memahami informasi tersebut.

Selengkapnya: ars TECHNICA

Polisi Melakukan Penangkapan dan Menyita Obat-obatan Setelah Hack Aplikasi Perpesanan Terenkripsi Exclu

February 8, 2023 by Coffee Bean

Polisi Eropa telah menutup layanan pesan terenkripsi yang digunakan oleh ribuan orang termasuk anggota kelompok kejahatan terorganisir.

Sebuah operasi gabungan yang dipimpin oleh polisi Belanda dan Jerman telah menyebabkan lebih dari 45 penangkapan menyusul penyelidikan multi-negara terhadap layanan pesan terenkripsi Exclu.

Polisi diam-diam membaca komunikasi yang didekripsi di aplikasi selama lima bulan sebelum meluncurkan penggerebekan terkoordinasi, menurut serangkaian pengumuman pada Senin 6 Februari 2023.

Exclu mengklaim di situs webnya untuk menawarkan “protokol enkripsi paling aman”, yang katanya telah diaudit oleh pakar kriptografi untuk memastikan mereka tidak mengandung kerentanan pintu belakang.

“Enkripsi end-to-end memastikan hanya Anda dan orang yang berkomunikasi dengan Anda yang dapat membaca apa yang dikirim, dan tidak ada orang di antaranya, bahkan Exclu,” klaimnya.

Pelanggan dapat membeli langganan enam bulan ke layanan tersebut, memungkinkan mereka untuk berbagi pesan teks, gambar, dan video, menurut pernyataan dari badan peradilan Eropa Eurojust.

“Aplikasi tersebut dipuji oleh pengguna karena tingkat keandalan dan layanannya yang tinggi,” katanya.

Layanan pesan terenkripsi memiliki 3.000 pengguna, termasuk 750 penutur bahasa Belanda.

selengkapnya : computerweekly

Kelompok Ransomware Vice Society Beralih ke Enkripsi Baru

December 23, 2022 by Coffee Bean

Operasi ransomware Vice Society telah beralih menggunakan enkripsi ransomware khusus yang mengimplementasikan skema enkripsi hibrid yang kuat berdasarkan NTRUEncrypt dan ChaCha20-Poly1305.

Vice Society pertama kali muncul pada musim panas 2021, ketika mereka mulai mencuri data dari jaringan perusahaan dan mengenkripsi perangkat. Pelaku ancaman kemudian akan melakukan serangan pemerasan ganda, mengancam akan mempublikasikan data jika uang tebusan tidak dibayarkan.

Encyrptor “PolyVice” Baru
Strain PolyVice baru, begaimanapun, memberikan serangan Vice Society tabda tangan unik, menambahkan ekstensi “.ViceSociety” ke file yang terkunci dan menjatuhkan catatan tebusan bernama AllYFilesAE’.

Vice Society ransom note
Sumber: BleepingComputer

Analisis SentinelOne mengungkapkan bahwa PolyVice memiliki kesamaan kode yang luas dengan rensomware Chilly dan ransomware SunnyDay, engan kecocokan 100% pada fungsi

Similarity between Chilly and PolyVice (SentinelOne)

Perbedaannya terletak pada detail khusus kampanye seperti ekstensi file, nama catatan tebusan, kunci master hardcode, wallpaper, dll., yang mendukung hipotesis vendor umum.

“Ini memungkinkan pembeli untuk menyesuaikan ransomware mereka tanpa mengungkapkan kode sumber apa pun. Tidak seperti pembuat RaaS lain yang dikenal, pembeli dapat membuat muatan bermerek, memungkinkan mereka menjalankan program RaaS mereka sendiri.”

Enkripsi Hybrid
PolyVice menggunakan skema enkripsi hibrid yang menggabungkan enkripsi asimetris dengan algoritme NTRUEncrypt dan enkripsi simetris dengan algoritme ChaCha20-Poly1305.

Saat peluncuran, payload mengimpor kunci publik NTRU 192-bit yang dibuat sebelumnya dan kemudian menghasilkan pasangan kunci pribadi NTRU 112-bit acak pada sistem yang disusupi, yang unik untuk setiap korban.

Enkripsi pasangan kunci privat NTRU (SentinelOne)

PolyVice ransomware adalah biner 64-bit yang menggunakan multi-threading untuk enkripsi data simetris paralel, memanfaatkan prosesor korban secara penuh untuk mempercepat proses enkripsi.

Selain itu, setiap pekerja PolyVice membaca konten file untuk menentukan pengoptimalan kecepatan apa yang dapat diterapkan di setiap kasus. Pengoptimalan ini bergantung pada ukuran file, dengan PolyVice menerapkan enkripsi intermiten secara selektif.

File yang lebih kecil dari 5MB sepenuhnya dienkripsi
File antara 5MG dan 100MB dienkripsi sbegaian, memecahnya menjadi potongan kedua.
File yang lebih bedsar dari 100MB dipecah menjadi sepuluh potongan yang terdistribusi secara merata, dan 2,5MB dari setiap potongan dienkripsi

Kesimpulannya, temuan SentinelOne lebih lanjut menggarisbawahu tren outsourcing di ruang angkasa, dengan geng ransomware membayar spesialis untuk menciptakan alat yang canggih dan berkinerja tinggi.

sumber : BleepingComputer

Google memperkenalkan enkripsi end-to-end untuk Gmail di web

December 18, 2022 by Søren

Google mengumumkan pada hari Jumat bahwa mereka menambahkan enkripsi end-to-end (E2EE) ke Gmail di web, memungkinkan pengguna Google Workspace yang terdaftar untuk mengirim dan menerima email terenkripsi di dalam dan di luar domain mereka.

Enkripsi sisi klien (sebagaimana Google menyebutnya E2EE) sudah tersedia untuk pengguna Google Drive, Google Dokumen, Spreadsheet, Slide, Google Meet, dan Google Kalender (beta).

Setelah diaktifkan, enkripsi sisi klien Gmail akan memastikan bahwa setiap data sensitif yang dikirimkan sebagai bagian dari badan email dan lampiran tidak dapat didekripsi oleh server Google.

“Dengan enkripsi sisi klien (CSE) Google Workspace, enkripsi konten ditangani di browser klien sebelum data apa pun dikirim atau disimpan di penyimpanan berbasis cloud Drive,” jelas Google di situs web dukungannya.

“Dengan begitu, server Google tidak dapat mengakses kunci enkripsi dan mendekripsi data Anda. Setelah menyiapkan CSE, Anda dapat memilih pengguna mana yang dapat membuat konten terenkripsi sisi klien dan membagikannya secara internal atau eksternal.”

Mereka dapat mengajukan permohonan untuk versi beta hingga 20 Januari 2023, dengan mengirimkan Aplikasi Uji Coba CSE Beta Gmail yang harus menyertakan alamat email, ID Proyek, dan domain grup uji.

Gmail E2EE beta saat ini tersedia untuk pelanggan Google Workspace Enterprise Plus, Education Plus, dan Education Standard.

Perusahaan mengatakan fitur tersebut belum tersedia untuk pengguna dengan Akun Google pribadi atau Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Education Fundamentals, Frontline, dan Nonprofits, serta pelanggan lama G Suite Basic dan Business .

Selengkapnya: Bleeping Computer

Apple mengumumkan rencana untuk mengenkripsi cadangan iCloud

December 9, 2022 by Coffee Bean

apel mengumumkan pada hari Rabu bahwa mereka berencana untuk mengizinkan pengguna mengenkripsi jenis data iCloud tambahan di servernya, termasuk cadangan lengkap, foto, dan catatan.

Fitur tersebut, yang disebut Perlindungan Data Lanjutan, akan mencegah Apple melihat konten dari beberapa data pengguna paling sensitif yang disimpan di servernya dan akan membuat Apple tidak mungkin menyediakan konten cadangan terenkripsi kepada penegak hukum.

Sementara Apple sebelumnya telah mengenkripsi banyak data yang disimpannya di server, seluruh cadangan perangkat yang mencakup pesan teks, kontak, dan data penting lainnya tidak dienkripsi ujung ke ujung, dan Apple sebelumnya memiliki akses ke konten cadangan.

Aparat penegak hukum di seluruh dunia umumnya menentang enkripsi karena memungkinkan tersangka untuk “menjadi gelap” dan menolak akses penegakan hukum ke bukti potensial yang sebelumnya dapat mereka akses di bawah tingkat keamanan yang lebih rendah.

Pada tahun 2018, CEO Apple Tim Cook mengatakan dalam sebuah wawancara bahwa salah satu faktor dalam pengambilan keputusan Apple seputar pencadangan iCloud terenkripsi ujung ke ujung adalah penggunanya mengharapkan Apple dapat membantu memulihkan data mereka. Jika pengguna lupa kata sandinya, dan mereka mengaktifkan Perlindungan Data Lanjutan, Apple tidak akan dapat memulihkan akun karena tidak memiliki kunci enkripsi yang diperlukan.

Apple juga mengumumkan dua fitur keamanan lainnya pada hari Rabu. Pengguna akan segera dapat menggunakan kunci fisik sebagai perlindungan faktor kedua untuk login ID Apple. Pembaruan lain memungkinkan pengguna menghadapi ancaman keamanan yang signifikan untuk mengonfirmasi bahwa pesan teks tidak dicegat.

sumber : cnbc

Rencana enkripsi Facebook dan Instagram ditunda oleh Meta hingga 2023

November 28, 2021 by Søren

Meta – sebagai perusahaan induk Facebook sekarang disebut – mengatakan enkripsi pesan pada aplikasi sekarang akan datang pada tahun 2023.

Prosesnya berarti hanya pengirim dan penerima yang dapat membaca pesan, tetapi penegak hukum atau Meta tidak bisa.

Namun, kelompok perlindungan anak dan politisi telah memperingatkan bahwa hal itu dapat menghambat polisi menyelidiki pelecehan anak.

Masyarakat Nasional untuk Pencegahan Kekejaman terhadap Anak (NSPCC), telah mengklaim bahwa pesan pribadi “adalah garis depan pelecehan seksual anak”.

Menteri Dalam Negeri Inggris Priti Patel juga mengkritik teknologi tersebut, dengan mengatakan awal tahun ini bahwa hal itu dapat “sangat menghambat” penegakan hukum dalam mengejar kegiatan kriminal, termasuk pelecehan anak secara online.

Enkripsi ujung-ke-ujung bekerja dengan “mengacak” atau mengenkripsi data saat berjalan di antara ponsel dan perangkat lain.

Satu-satunya cara untuk membaca pesan biasanya untuk mendapatkan akses fisik ke perangkat yang tidak terkunci yang mengirim atau menerimanya.

Teknologi ini merupakan default untuk layanan perpesanan populer WhatsApp, yang juga dimiliki oleh Meta – tetapi bukan aplikasi perusahaan lainnya.

NSPCC mengirim permintaan Kebebasan Informasi ke 46 pasukan polisi di Inggris, Wales, dan Skotlandia meminta mereka untuk rincian platform yang digunakan untuk melakukan pelanggaran seksual terhadap anak-anak tahun lalu.

Antigone Davis, kepala keamanan global Meta, mengatakan bahwa penundaan penerapan enkripsi hingga 2023 adalah karena perusahaan mengambil waktu “untuk memperbaikinya”.

Perusahaan sebelumnya mengatakan perubahan akan terjadi paling cepat pada 2022.

Ms Davis mengatakan: “Sebagai perusahaan yang menghubungkan miliaran orang di seluruh dunia dan telah membangun teknologi industri terkemuka, kami bertekad untuk melindungi komunikasi pribadi orang dan membuat orang tetap aman saat online.”

Selengkapnya: BBC

Praktik Privasi WhatsApp Diragukan

September 17, 2021 by Winnie the Pooh

WhatsApp adalah aplikasi messenger paling populer di seluruh dunia dengan sekitar dua miliar pengguna aktif bulanan, mendominasi Facebook Messenger dengan 1,3 miliar dan WeChat dengan 1,2 miliar pengguna.

Salah satu fitur yang menarik banyak orang ke WhatsApp dibandingkan dengan pesan instan lainnya adalah enkripsi end-to-end, yang aktif bahkan saat menggunakan multi-perangkat. Akibatnya, kita dapat melihat lebih banyak orang memiliki keraguan tentang privasi di Facebook Messenger.

Namun, laporan baru oleh ProPublica mengklaim bahwa pesan WhatsApp tidak dienkripsi secara end-to-end, menambahkan bahwa Facebook memeriksa konten pesan di platform.

Meskipun WhatsApp telah menampilkan enkripsi end-to-end sejak 2016, ada beberapa keadaan di mana 1.000 kontraktor yang menggunakan software khusus Facebook dapat membaca pesan yang dikirim dari satu pengguna ke pengguna lain.

Misalnya, ketika seseorang melaporkan pesan, bahkan dalam obrolan pribadi, algoritme AI akan mencari aktivitas mencurigakan yang terkait dengan terorisme, pelecehan anak, dll. Kemudian ia akan meneruskan pesan yang dilaporkan dengan empat pesan sebelumnya kepada manusia yang sebenarnya untuk ditinjau.

Pengguna kemudian dapat diblokir, diberhentikan, atau dimasukkan ke dalam daftar pantauan. Pesan tidak terenkripsi dari pengguna dalam daftar “proaktif” dapat dibaca bersama dengan data pengguna lain seperti:

grup pengguna
nomor telepon
ID unik telepon
pesan status
tingkat baterai
kekuatan sinyal

Laporan tersebut juga mengatakan bahwa semua praktik ini dijelaskan dalam kebijakan privasi pengguna, tetapi Anda harus menggali lebih dalam untuk menemukannya. Facebook mencatat bahwa praktik ini didasarkan pada feedback pengguna dan mereka yakin pengguna memahami apa yang terjadi setelah laporan.

Label privasi WhatsApp sangat buruk. Ini adalah satu-satunya messenger aman terkemuka yang mengumpulkan data yang terkait dengan Anda, termasuk:

ID perangkat— untuk iklan dan pemasaran pengembang
Info kontak, ID pengguna, dan ID perangkat — untuk “tujuan lain”.

Messenger lain mengumpulkan data Anda untuk menyesuaikan fungsionalitas. WhatsApp memanennya karena berbagai alasan. Singkatnya, enkripsi end-to-end WhatsApp mungkin tidak seaman popup konstan di layar yang dapat memengaruhi Anda untuk percaya.

Selengkapnya: Medium Technology Hits

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Encryption

Cookies Settings