Google

Google Memperluas Bug Bounty ke Proyek Open Source-nya

August 31, 2022 by Eevee

Google pada hari Senin memperkenalkan program bug bounty baru untuk proyek open source-nya, menawarkan pembayaran mulai dari $100 hingga $31.337 (referensi untuk eleet atau leet) untuk mengamankan ekosistem dari serangan rantai pasokan (supply chain).

Disebut Open Source Software Vulnerability Rewards Program (OSS VRP), penawaran ini adalah salah satu program kerentanan khusus open source pertama.

Dengan raksasa teknologi pengelola proyek-proyek besar seperti Angular, Bazel, Golang, Protocol Buffers, dan Fuchsia, program ini bertujuan untuk menghargai penemuan kerentanan yang jika tidak dapat memiliki dampak signifikan pada lanskap open source yang lebih besar.

Proyek lain yang dikelola oleh Google dan dihosting di repositori publik seperti GitHub serta dependensi pihak ketiga yang disertakan dalam proyek tersebut juga memenuhi syarat.

Kerentanan yang mengarah pada kompromi rantai pasokan
Masalah desain yang menyebabkan kerentanan produk
Masalah keamanan lainnya seperti kredensial yang sensitif atau bocor, kata sandi yang lemah, atau instalasi yang tidak aman

Meningkatkan komponen sumber terbuka, terutama perpustakaan pihak ketiga yang bertindak sebagai blok pembangun banyak perangkat lunak, telah muncul sebagai prioritas utama setelah eskalasi yang stabil dalam serangan rantai pasokan yang menargetkan Maven, NPM, PyPI, dan RubyGems.

Kerentanan Log4Shell di perpustakaan logging Java Log4j yang terungkap pada bulan Desember 2021 adalah contoh utama, menyebabkan kekacauan yang meluas dan menjadi seruan untuk meningkatkan status rantai pasokan perangkat lunak.

“Tahun lalu terjadi peningkatan 650% dari tahun ke tahun dalam serangan yang menargetkan rantai pasokan open source, termasuk insiden utama seperti Codecov dan kerentanan Log4j yang menunjukkan potensi destruktif dari satu kerentanan open source,” Francis Perron dan Krzysztof Kotowicz dari Google. dikatakan.

Langkah ini mengikuti program penghargaan serupa yang dilembagakan Google November lalu untuk mengungkap eskalasi hak istimewa dan Kubernetes lolos dari eksploitasi di Kernel Linux. Sejak itu telah menaikkan jumlah maksimum dari $50.337 menjadi $91.337 hingga akhir 2022.

Awal Mei ini, raksasa internet mengumumkan pembuatan “Kru Pemeliharaan Sumber Terbuka” baru untuk fokus pada peningkatan keamanan proyek sumber terbuka yang kritis.

Sumber: The Hackernews

Otoritas Pajak Prancis Menggunakan AI Google untuk Membasmi Lebih dari 20.000 Kolam Renang yang Tidak Dideklarasikan

August 30, 2022 by Eevee

Setelah percobaan menggunakan kecerdasan buatan (AI), lebih dari 20.000 kolam tersembunyi ditemukan.

Mereka telah mengumpulkan sekitar €10m ($9,9; £8,5m) pendapatan, media Prancis melaporkan.

Pools dapat menyebabkan pajak properti yang lebih tinggi karena mereka meningkatkan nilai properti, dan harus dinyatakan di bawah hukum Prancis.

Perangkat lunak, yang dikembangkan oleh Google dan perusahaan konsultan Prancis Capgemini, melihat kolam pada gambar udara dari sembilan wilayah Prancis selama uji coba pada Oktober 2021.

Wilayah Alpes-Maritimes, Var, Bouches-du-Rhône, Ardèche, Rhône, Haute -Savoie, Vendée, Maine-et-Loire dan Morbihan adalah bagian dari uji coba – tetapi pejabat pajak mengatakan sekarang mungkin akan diluncurkan secara nasional.

Ada lebih dari 3,2 juta kolam renang pribadi di Prancis pada tahun 2020, menurut situs data Statista, dengan penjualan yang sudah booming sebelum pandemi Covid.

Tetapi karena lebih banyak karyawan bekerja dari rumah, ada lonjakan lebih lanjut dalam pemasangan kolam renang.

Menurut surat kabar Le Parisien, kolam rata-rata seluas 30 meter persegi (322 kaki persegi) dikenai pajak sebesar €200 ($200; £170) setahun.

Otoritas pajak mengatakan perangkat lunak itu pada akhirnya dapat digunakan untuk menemukan ekstensi rumah, teras atau gazebo yang tidak diumumkan, yang juga berperan dalam pajak properti.

Antoine Magnant, wakil direktur jenderal keuangan publik, mengatakan kepada Le Parisien: “Kami secara khusus menargetkan perluasan rumah seperti beranda.

Tindakan keras itu terjadi setelah Julien Bayou, dari partai Eropa-Ekologi Hijau Prancis, tidak mengesampingkan larangan kolam renang pribadi baru.

BFMTV mengatakan bahwa Prancis membutuhkan “hubungan yang berbeda dengan air” dan larangan itu akan menjadi “jalan terakhir”.

Komentarnya muncul saat Prancis menangani kekeringan terburuk yang tercatat yang telah menyebabkan lebih dari 100 kota kekurangan air minum.

Pada bulan Juli, Prancis hanya memiliki hujan 9,7 mm (0,38 inci), menjadikannya bulan terkering sejak Maret 1961, kata layanan cuaca nasional Meteo-France.

Irigasi telah dilarang di sebagian besar barat laut dan tenggara Prancis untuk menghemat air.

Sumber: BBC

Peretas Iran menggunakan alat baru untuk mencuri email dari korban

August 24, 2022 by Eevee

Aktor yang didukung pemerintah Iran yang dikenal sebagai Charming Kitten telah menambahkan alat baru ke gudang malware-nya yang memungkinkannya mengambil data pengguna dari akun Gmail, Yahoo!, dan Microsoft Outlook.

Dijuluki HYPERSCRAPE oleh Google Threat Analysis Group (TAG), perangkat lunak berbahaya yang sedang dikembangkan secara aktif dikatakan telah digunakan terhadap kurang dari dua lusin akun di Iran, dengan sampel tertua yang diketahui berasal dari tahun 2020. Alat ini pertama kali ditemukan pada bulan Desember. 2021.

Charming Kitten, sebuah ancaman gigih maju yang produktif (APT), diyakini terkait dengan Korps Pengawal Revolusi Islam (IRGC) Iran dan memiliki sejarah melakukan spionase yang selaras dengan kepentingan pemerintah.

Dilacak sebagai APT35, Cobalt Illusion, ITG18, Fosfor, TA453, dan Garuda Kuning, elemen kelompok juga telah melakukan serangan ransomware, menunjukkan bahwa motif pelaku ancaman adalah spionase dan didorong secara finansial.

“HYPERSCRAPE membutuhkan kredensial akun korban untuk dijalankan menggunakan sesi pengguna yang valid dan terotentikasi yang telah dibajak penyerang, atau kredensial yang telah diperoleh penyerang,” kata peneliti Google TAG, Ajax Bash.

Ditulis dalam .NET dan dirancang untuk dijalankan pada mesin Windows penyerang, alat ini dilengkapi dengan fungsi untuk mengunduh dan mengekstrak isi kotak masuk email korban, selain menghapus email keamanan yang dikirim dari Google untuk memperingatkan target dari setiap login yang mencurigakan.

Jika pesan awalnya belum dibaca, alat akan menandainya sebagai belum dibaca setelah membuka dan mengunduh email sebagai file “.eml”. Terlebih lagi, versi HYPERSCRAPE sebelumnya dikatakan telah menyertakan opsi untuk meminta data dari Google Takeout, fitur yang memungkinkan pengguna untuk mengekspor data mereka ke file arsip yang dapat diunduh.

Temuan ini mengikuti penemuan terbaru alat “grabber” Telegram berbasis C++ oleh PwC yang digunakan terhadap target domestik untuk mendapatkan akses ke pesan dan kontak Telegram dari akun tertentu.

Sebelumnya, grup tersebut terlihat menggunakan perangkat pengawasan Android khusus yang disebut LittleLooter, implan kaya fitur yang mampu mengumpulkan informasi sensitif yang tersimpan di perangkat yang disusupi serta merekam audio, video, dan panggilan.

“Seperti kebanyakan alat mereka, HYPERSCRAPE tidak terkenal karena kecanggihan teknisnya, melainkan efektivitasnya dalam mencapai tujuan Charming Kitten,” kata Bash. Akun yang terpengaruh sejak itu telah diamankan kembali dan para korban diberitahu.

Sumber: The Hackernews

Google Secara Singkat Menghancurkan Internet Tadi Malam

August 10, 2022 by Eevee

Sebagian besar pengguna internet A.S. tadi malam mengalami secara singkat realitas gelap dan frustasi dari dunia tanpa layanan Google.

Meskipun Google telah menyelesaikan masalah pemadaman, laporan sebelumnya menunjukkan bahwa gangguan itu mungkin terkait dengan “insiden listrik” di pusat data Council Bluffs, Iowa yang menyebabkan setidaknya tiga tukang listrik terluka parah.

Situs pelacakan pemadaman internet Downdetector mulai melaporkan akun pemadaman Google sekitar pukul 9:00 EST pada Senin malam dengan laporan pengguna dengan cepat naik ke lebih dari 40.000 dalam waktu kurang dari satu jam. Gangguan menjalankan keseluruhan produk Google dan membuat ribuan orang tidak dapat mengakses pencarian, produk dasar Google, atau Google Maps.

Pengguna juga dilaporkan mengalami masalah dengan Gmail dan gambar Google. Pemadaman tampaknya sebagian besar terbatas pada pengguna yang berbasis di AS, meskipun Bloomberg mencatat masalah pencarian berdampak pada beberapa pengguna di Taiwan dan Jepang juga. Laporan pemadaman mulai mereda sekitar dua jam kemudian.

Dalam sebuah pernyataan, Google mengatakan pemadaman sebagian terkait dengan “pembaruan perangkat lunak.”

Di sinilah segalanya menjadi sedikit kabur. Tepat pada saat yang sama pengguna mulai mengalami gangguan Google dilaporkan berurusan dengan kebakaran listrik besar di pusat data Council Bluffs yang mengirim setidaknya tiga tukang listrik ke rumah sakit dengan cedera kritis. Para insinyur, menurut SF Gate, dilaporkan sedang bekerja di sebuah gardu yang dekat dengan pusat data ketika sebuah ledakan terjadi.

Salah satu tukang listrik dilaporkan diterbangkan ke rumah sakit setempat sementara dua lainnya dilarikan dengan ambulans untuk mengobati luka mereka. Perlu dicatat bahwa pusat data Council Bluffs adalah salah satu yang terbesar dari 14 pusat data perusahaan yang tersebar di seluruh AS.

Seorang juru bicara Google mengakui insiden itu dalam email yang dikirim ke Gizmodo.

Gangguan apa pun pada mesin pencari Google, bahkan yang kecil, memiliki bobot yang luar biasa karena cengkeraman pangsa pasar mesin pencari perusahaan yang tidak senonoh. Para peneliti memperkirakan Google menyumbang antara 61,7% dan 92% dari pencarian yang dilakukan di seluruh dunia.

Googlifikasi internet dunia ini baru intensif di era mobile. Perangkat yang dilengkapi Android, menurut firma riset Gartner, menyumbang 82% dari pangsa pasar sistem operasi ponsel pintar global selama akhir 2016, dengan sebagian besar ponsel tersebut menampilkan Google sebagai mesin pencari default. Mit Google dilaporkan juga ada di seluruh produk Apple iOS. Tahun lalu, raksasa pencarian dilaporkan membayar Apple sekitar $15 miliar untuk tetap menjadi mesin pencari default di browser Safari Apple.

Ini adalah cerita yang berkembang.

Google meningkatkan privasi Android dengan dukungan untuk DNS-over-HTTP/3

July 21, 2022 by Eevee

Google telah menambahkan dukungan untuk protokol DNS-over-HTTP/3 (DoH3) di Android 11 dan yang lebih baru untuk meningkatkan privasi kueri DNS sambil memberikan kinerja yang lebih baik.

HTTP/3 adalah versi utama ketiga dari Hypertext Transfer Protocol, yang mengandalkan QUIC, protokol transport multipleks yang dibangun di atas UDP, daripada TCP seperti versi sebelumnya.

Protokol baru memperbaiki masalah “pemblokiran head-of-line,” yang memperlambat transaksi data internet ketika sebuah paket hilang atau disusun ulang, sesuatu yang cukup umum ketika berpindah-pindah di ponsel dan sering berpindah koneksi.

Perbandingan tumpukan protokol (Wikipedia)

Android sebelumnya mendukung DNS-over-TLS (DoT) untuk versi 9 dan yang lebih baru untuk meningkatkan privasi kueri DNS, tetapi sistem ini pasti memperlambat permintaan DNS karena overhead enkripsi.

Selain itu, DoT memerlukan negosiasi ulang lengkap dari koneksi baru saat mengubah jaringan. Sebaliknya, QUIC dapat melanjutkan koneksi yang ditangguhkan dalam satu RTT (waktu yang dibutuhkan sinyal untuk mencapai tujuan).

Dengan DoH3, banyak beban kinerja DoT terangkat, dan menurut pengukuran Google, mencapai peningkatan kinerja 24% untuk waktu kueri rata-rata. Dalam beberapa kasus, Google telah melihat peningkatan kinerja hingga 44%.

Selain itu, DoH3 dapat membantu jaringan yang tidak dapat diandalkan, bahkan mengungguli DNS tradisional berkat mekanisme kontrol aliran proaktif yang segera menghasilkan peringatan kegagalan pengiriman paket alih-alih menunggu waktu habis.

DNS-over-HTTPS sudah didukung secara luas oleh banyak penyedia DNS untuk memberikan peningkatan privasi saat melakukan permintaan DNS.

Dengan Google yang mendukung DNS-over-HTTP/3 Android dan DNS-over-QUIC sekarang sebagai standar yang diusulkan, kemungkinan besar kami akan segera melihat peningkatan adopsi oleh penyedia DNS.

Namun, sebagai bagian dari peluncuran fitur ini, perangkat Android akan menggunakan Cloudflare DNS dan Google Public DNS, yang sudah mendukung DNS-over-QUIC.

Di masa mendatang, Google berencana menambahkan dukungan untuk penyedia DoH3 lainnya melalui penggunaan Discovery of Designated Resolver (DDR), yang secara otomatis memilih penyedia terbaik untuk konfigurasi spesifik Anda.

Keunggulan lain dari DoH3 adalah penggunaan Rust dalam implementasinya, yang menghasilkan sistem lean yang terdiri dari 1.640 baris kode yang menggunakan thread runtime tunggal, bukan empat DoT.

Hasilnya adalah sistem tingkat rendah yang berkinerja dengan sedikit ketergantungan, ringan, dan menggunakan bahasa yang aman untuk memori yang mengurangi jumlah bug yang dapat dimanfaatkan penyerang untuk menyalahgunakannya.

Pengguna akhir tidak perlu melakukan tindakan apa pun untuk mengaktifkan fitur baru, karena Android akan menangani bagian ini secara otomatis.

Sumber: Bleeping Computer

Google Memperingatkan ‘Spyware Hermit’ Menginfeksi Perangkat Android dan iOS

June 26, 2022 by Eevee

Peneliti Google TAG Benoit Sevens dan Clement Lecigne menjelaskan secara rinci tentang penggunaan spyware kelas kewirausahaan yang dijuluki “Hermit.” Alat spyware canggih ini memungkinkan penyerang mencuri data, pesan pribadi, dan melakukan panggilan telepon. Dalam laporan mereka, peneliti TAG menghubungkan Hermit dengan RCS Labs, vendor spyware komersial yang berbasis di Italia.

Hermit menimbulkan banyak bahaya yang signifikan. Karena modularitasnya, Hermit cukup dapat disesuaikan, memungkinkan fungsi spyware diubah sesuai keinginan penggunanya. Setelah sepenuhnya berada di ponsel target, penyerang dapat mengumpulkan informasi sensitif seperti log panggilan, kontak, foto, lokasi akurat, dan pesan SMS.

Laporan lengkap menjabarkan cara penyerang dapat mengakses perangkat Android dan iOS melalui penggunaan trik cerdas dan serangan drive-by. Target potensial dari penipuan ini akan menonaktifkan data mereka melalui operator ISP mereka sebelum mengirim tautan berbahaya melalui teks untuk membuat mereka ‘memperbaiki’ masalah tersebut. Jika itu tidak berhasil, target akan tertipu untuk mengunduh aplikasi berbahaya yang menyamar sebagai aplikasi perpesanan.

Perusahaan yang berbasis di Milan ini mengklaim menyediakan “lembaga penegak hukum di seluruh dunia dengan solusi teknologi mutakhir dan dukungan teknis di bidang intersepsi yang sah selama lebih dari dua puluh tahun.” Lebih dari 10.000 target yang dicegat konon akan ditangani setiap hari di Eropa saja.

RCS Labs mengatakan “bisnis intinya adalah desain, produksi, dan implementasi platform perangkat lunak yang didedikasikan untuk intersepsi yang sah, intelijen forensik, dan analisis data” dan bahwa itu “membantu penegakan hukum mencegah dan menyelidiki kejahatan berat seperti tindakan terorisme, perdagangan narkoba, kejahatan terorganisir, pelecehan anak, dan korupsi.”

Namun, berita tentang spyware yang digunakan oleh agen pemerintah negara bagian masih mengkhawatirkan. Tidak hanya mengikis kepercayaan pada keamanan internet, tetapi juga membahayakan nyawa siapa pun yang dianggap musuh negara oleh pemerintah, seperti pembangkang, jurnalis, pekerja hak asasi manusia, dan politisi partai oposisi.

“Menangani praktik berbahaya dari industri pengawasan komersial akan membutuhkan pendekatan yang kuat dan komprehensif yang mencakup kerja sama antara tim intelijen ancaman, pembela jaringan, peneliti akademis, pemerintah, dan platform teknologi,” tulis peneliti Google TAG. “Kami berharap dapat melanjutkan pekerjaan kami di bidang ini dan memajukan keselamatan dan keamanan pengguna kami di seluruh dunia.”

Sumber: Mashable

Google Menyoroti Keamanan dengan Branding Baru “Dilindungi oleh Android”

May 19, 2022 by Eevee

Video baru yang diunggah hari ini di saluran YouTube resmi Android adalah tentang memberi tahu Anda bahwa Anda “Dilindungi oleh Android,” dengan gambar orang-orang yang bahagia di ponsel mereka dan slide berisi teks pendek yang meyakinkan di antaranya. Tidak ada yang baru diumumkan di sini dengan video hanya melalui beberapa fitur keamanan terkenal sistem operasi. Play Protect memastikan bahwa Anda “aman dari malware dan aplikasi berbahaya”, meskipun keseluruhan omongan tentang “pembaruan tanpa henti” sedikit datar ketika dukungan perangkat lunak sangat bervariasi tidak hanya antara pembuat perangkat, tetapi juga seri perangkat.

Video Kampanye Dilindungi oleh Android

Kami berharap melihat lebih banyak merek baru “Dilindungi oleh Android” bersama dengan logo perisai hijau untuk muncul di seluruh OS dan di tempat lain mulai sekarang.

Video diakhiri dengan memercikkan layar dengan URL rias yang pada akhirnya mengarahkan pengguna ke bagian Keamanan situs web Android di mana fitur-fitur yang ditampilkan dalam video dijelaskan sedikit lebih detail.

Semua ini adalah bagian dari upaya terbaru Google untuk memberi tahu Anda seberapa fokusnya (lupakan Apple) pada privasi dan keamanan. Jika Anda menginginkan bukti substantif, menurut kami pencabutan izin otomatis dari Android 11 adalah contoh yang bagus. Dan jika Anda tidak yakin akan hal itu, Android 13 akan memudahkan Anda untuk memahami dan mengontrol pengaturan Anda dengan kombinasi menu keamanan dan privasi.

Sumber: Android Police

Google akan Mulai Mendistribusikan Koleksi Perpustakaan Perangkat Lunak Sumber Terbuka yang Diperiksa Keamanan

May 18, 2022 by Eevee

Google mengumumkan inisiatif baru pada hari Selasa yang bertujuan untuk mengamankan rantai pasokan perangkat lunak sumber terbuka dengan membuat dan mendistribusikan kumpulan paket sumber terbuka yang diperiksa keamanannya kepada pelanggan Google Cloud.

Layanan baru bermerek Assured Open Source Software diperkenalkan dalam posting blog dari perusahaan. Dalam postingan tersebut, Andy Chang, manajer produk grup untuk keamanan dan privasi di Google Cloud, menunjukkan beberapa tantangan dalam mengamankan perangkat lunak sumber terbuka dan menekankan komitmen Google terhadap sumber terbuka.

“Ada peningkatan kesadaran di komunitas pengembang, perusahaan, dan pemerintah tentang risiko rantai pasokan perangkat lunak,” tulis Chang, mengutip kerentanan log4j utama tahun lalu sebagai contoh. “Google terus menjadi salah satu pengelola, kontributor, dan pengguna open source terbesar dan sangat terlibat dalam membantu membuat ekosistem perangkat lunak open source lebih aman.”

Sesuai pengumuman Google, Assured Open Source Software akan memperluas manfaat pengalaman audit perangkat lunak Google yang ekstensif kepada pelanggan Cloud. Semua paket sumber terbuka yang tersedia melalui layanan ini juga digunakan secara internal oleh Google, kata perusahaan itu, dan secara teratur dipindai dan dianalisis untuk mengetahui kerentanannya.

Saat ini, daftar 550 perpustakaan sumber terbuka utama yang terus ditinjau oleh Google tersedia di GitHub. Meskipun semua perpustakaan ini dapat diunduh secara independen dari Google, program Assured OSS akan melihat versi yang diaudit didistribusikan melalui Google Cloud — mengurangi insiden di mana pengembang sengaja atau tidak sengaja merusak perpustakaan sumber terbuka yang banyak digunakan. Saat ini, layanan ini dalam mode akses awal dan diharapkan tersedia untuk pengujian pelanggan yang lebih luas pada Q3 2022.

Sumber: The Verge

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Google

Cookies Settings