Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Open Source

Open Source

Alat Keamanan Kubernetes Sumber Terbuka Teratas tahun 2021

by

Menurut survei kami baru-baru ini terhadap para pembuat keputusan TI, keamanan adalah area perhatian terbesar yang berkaitan dengan adopsi container, dengan masalah keamanan yang menyebabkan penundaan penerapan aplikasi di antara 54% responden.

Kubernetes, pertama dan terutama, adalah alat untuk pengembangan dan tim DevOps untuk mempercepat dan menskalakan pengembangan, penerapan, dan pengelolaan aplikasi dalam container. Penyedia seperti Red Hat, Amazon, Microsoft, dan Google telah menambahkan fitur keamanan untuk meningkatkan kemampuan dasar di Kubernetes. Pada saat yang sama, vendor keamanan komersial telah melangkah untuk menawarkan solusi keamanan yang siap untuk perusahaan untuk kasus penggunaan yang lebih maju.

Secara paralel, komunitas Kubernetes sangat aktif merilis alat keamanan open source untuk mengisi celah keamanan yang ada di Kubernetes. Pelanggan memiliki banyak pilihan alat keamanan sumber terbuka untuk dipilih, dan hasil survei Red Hat menunjukkan bahwa tidak ada alat keamanan sumber terbuka tunggal yang mendominasi pasar keamanan Kubernetes.

Di bawah ini, Anda akan menemukan sembilan alat keamanan Kubernetes open source terpopuler yang diidentifikasi oleh responden survei kami.

Sumber: RedHat

Selengkapnya: Red Hat

Repositori open source dapat menjadi vektor untuk kejahatan

by

Seorang peneliti telah menemukan paket palsu yang diunduh sekitar 5.000 kali dari repositori resmi Python berisi kode rahasia yang menginstal perangkat lunak cryptomining pada mesin yang terinfeksi.

Paket berbahaya, yang tersedia di repositori PyPI, dalam banyak kasus menggunakan nama yang meniru paket yang sah dan sering digunakan secara luas yang sudah tersedia di sana, Ax Sharma, seorang peneliti di perusahaan keamanan Sonatype melaporkan. Serangan typosquatting berhasil ketika target secara tidak sengaja salah mengetik nama seperti mengetik “mplatlib” atau “maratlib” alih-alih paket matplotlib yang sah dan populer.

Sharma mengatakan dia menemukan enam paket yang menginstal perangkat lunak cryptomining yang akan menggunakan sumber daya komputer yang terinfeksi untuk menambang cryptocurrency dan menyimpannya di dompet penyerang. Keenamnya diterbitkan oleh seseorang yang menggunakan nama pengguna PyPI nedog123, dalam beberapa kasus pada awal April. Paket dan nomor unduhan adalah:

  • maratlib: 2,371
  • maratlib1: 379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib: 318
  • learninglib: 626

Kode berbahaya terkandung dalam file setup.py dari masing-masing paket diatas. Ini menyebabkan komputer yang terinfeksi menggunakan ubqminer atau kriptominer T-Rex untuk menambang koin digital dan menyimpannya di alamat berikut: 0x510aec7f266557b7de753231820571b13eb31b57.

Selengkapnya: Ars Technica

Linux Foundation meluncurkan proyek infrastruktur pertanian open source

by

Linux Foundation telah membuka tutup pada proyek infrastruktur digital open source baru yang ditujukan untuk industri pertanian. AgStack Foundation, sebutan proyek baru ini akan dikenal, dirancang untuk mendorong kolaborasi di antara semua pemangku kepentingan utama dalam ruang pertanian global, yang mencakup bisnis swasta, pemerintah, dan akademisi.

Seperti halnya hampir semua industri lain dalam beberapa tahun terakhir, telah terjadi transformasi digital yang berkembang di seluruh sektor pertanian yang telah mengantarkan perangkat baru yang terhubung untuk petani dan berbagai AI dan alat otomatis untuk mengoptimalkan pertumbuhan tanaman dan menghindari hambatan kritis, seperti kekurangan tenaga kerja. Teknologi open source membawa manfaat tambahan dari data dan alat yang dapat digunakan kembali oleh pihak mana pun secara gratis, menurunkan penghalang untuk masuk dan membantu menjaga perusahaan agar tidak terkunci pada perangkat lunak berpemilik yang dioperasikan oleh segelintir pemain besar.

Didirikan pada tahun 2000, Linux Foundation adalah konsorsium nirlaba yang mendukung dan mempromosikan pertumbuhan komersial Linux dan teknologi sumber terbuka lainnya. Organisasi ini menyelenggarakan berbagai proyek individu yang mencakup hampir setiap sektor dan aplikasi, termasuk otomotif, jaringan nirkabel, dan keamanan.

AgStack Foundation akan difokuskan untuk mendukung pembuatan dan pemeliharaan infrastruktur digital gratis dan khusus sektor untuk aplikasi dan data terkait. Ini akan bersandar pada teknologi yang ada dan standar pertanian; data dan model publik; dan proyek sumber terbuka lainnya, seperti Kubernetes, Hyperledger, Open Horizon, Postgres, dan Django, menurut sebuah pernyataan.

selengkapnya : venturebeat.com

Linux melarang University of Minnesota karena memasukkan kode berbahaya

by

Dalam keputusan yang sangat langka dan inovatif, pengelola proyek kernel Linux Greg Kroah-Hartman, telah memberlakukan larangan pada University of Minnesota (UMN) untuk berkontribusi pada proyek Linux sumber terbuka.

Langkah ini dilakukan setelah sekelompok peneliti UMN kedapatan mengirimkan serangkaian kode berbahaya, atau tambalan yang sengaja menyebabkan kerentanan keamanan di basis kode Linux resmi, sebagai bagian dari aktivitas penelitian mereka.

Selain itu, pengelola proyek kernel Linux telah memutuskan untuk mengembalikan setiap dan semua kode yang pernah dikirimkan dari alamat email @umn.edu.

Pada Februari 2021, peneliti UMN menerbitkan makalah penelitian berjudul, “Open Source Insecurity: Stealthily Introducing Vulnerabilities via Hypocrite Commits.”

Fokus dari penelitian ini adalah untuk sengaja memperkenalkan kerentanan keamanan yang diketahui di kernel Linux, dengan mengirimkan tambalan kode yang berbahaya atau tidak aman.

Tak lama kemudian, peneliti Aditya Pakki dari UMN mendesak kembali meminta Kroah-Hartman menahan diri “dari membuat tuduhan liar yang berbatasan dengan fitnah”.

Di mana Kroah-Hartman menjawab bahwa komunitas pengembang kernel Linux tidak menghargai percobaan dengan cara ini.

Saat dihubungi oleh BleepingComputer, Kroah-Hartman memilih untuk tidak memberikan komentar lebih lanjut tentang situasi tersebut.

Selengkapnya: Bleeping Computer

‘Kami menemukan bug jauh lebih cepat daripada yang dapat kami perbaiki’: Google mensponsori 2 pengembang penuh waktu untuk meningkatkan keamanan Linux

by

Khawatir tentang keamanan Linux dan kode open-source, Google mensponsori sepasang pengembang penuh waktu untuk mengerjakan keamanan kernel.

Raksasa internet membangun kode dari repositori sendiri daripada mengunduh binari luar, meskipun mengingat kecepatan di mana kode ditambahkan ke Linux, tugas ini tidak sepele. Pimpinan tim keamanan open-source Google Dan Lorenc berbicara dengan The Register tentang pendekatannya, dan mengapa ia tidak akan menggunakan biner yang sudah dibuat sebelumnya meskipun mereka nyaman.

Lorenc menjelaskan beberapa langkah yang diambil Google untuk memastikan keamanan kode open-source yang digunakannya secara internal, termasuk Linux. “Salah satu hal yang kami coba lakukan untuk open-source apa pun yang kami gunakan, dan sesuatu yang kami rekomendasikan untuk digunakan oleh siapa pun, adalah dapat membuatnya sendiri. Tidak mudah atau sepele untuk membangunnya, tetapi mengetahui bahwa Anda dapat melakukannya adalah setengah pertempuran, jika Anda perlu.

“Kami mengharuskan semua open source yang kami gunakan dibuat oleh kami, dari repositori internal kami, hanya untuk membuktikan bahwa kami bisa, jika kami perlu membuat tambalan, dan agar kami memiliki asal yang lebih baik, mengetahui dari mana asalnya. Secara teknis mereka adalah percabangan, tetapi hanya salinan dari repo [publik] yang kami terus perbarui. Kami jarang membawa tambalan dalam jangka panjang di salah satu proyek yang kami kerjakan, itu hanya mimpi buruk pemeliharaan, tetapi kami bisa jika kami bisa perlu.

selengkapnya : TheRegister

Peneliti meretas Microsoft, Apple, dan lebih banyak lagi dalam serangan rantai pasokan baru

by

Seorang peneliti berhasil menembus lebih dari 35 sistem internal perusahaan besar, termasuk Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, dan Uber, dalam serangan rantai pasokan perangkat lunak baru.

Serangan itu terdiri dari mengunggah malware ke repositori open source termasuk PyPI, npm, dan RubyGems, yang kemudian didistribusikan secara otomatis ke dalam aplikasi internal perusahaan.

Tidak seperti serangan typosquatting tradisional yang mengandalkan taktik rekayasa sosial atau korban salah mengeja nama paket, serangan rantai pasokan khusus ini lebih canggih karena tidak memerlukan tindakan apa pun dari korban, yang secara otomatis menerima paket berbahaya tersebut.

Ini karena serangan tersebut memanfaatkan cacat desain unik dari ekosistem sumber terbuka yang disebut dependency confusion. Untuk upaya penelitian etisnya, peneliti keamanan Alex Birsan telah menghasilkan lebih dari $130.000 dalam bentuk bug bounty.

Melalui penelitian yang mencakup organisasi besar ini, Birsan mengatakan dia telah membuat perusahaan teknologi terkemuka menyadari jenis serangan ini yang sekarang telah menerapkan semacam mitigasi di seluruh infrastruktur mereka. Namun, peneliti yakin masih banyak yang bisa ditemukan.

Untuk informasi lebih lengkap mengenai temuan Birsan dan bagaimana ia melakukan serangan rantai pasokan yang berhasil terhadap perusahan-perusahaan besar, kunjungi situs di bawah ini.

Selengkapnya: Bleeping Computer

Bagaimana Anda memperbaiki masalah seperti keamanan sumber terbuka? Google punya ide meskipun kendala mungkin tidak berjalan dengan baik

by

Google telah mengusulkan kerangka kerja untuk mendiskusikan dan menangani keamanan sumber terbuka berdasarkan faktor-faktor seperti identitas terverifikasi, tinjauan kode, dan bangunan tepercaya, tetapi pendekatannya mungkin bertentangan dengan budaya sumber terbuka.

Keamanan perangkat lunak sumber terbuka sangat penting karena penggunaannya yang luas, dari kernel Linux tempat sebagian besar internet berjalan hingga library JavaScript kecil yang dibangun ke dalam jutaan aplikasi web, terkadang melalui rantai dependency yang agak tersembunyi dari pengembang. Kerentanan seperti yang ditemukan baru-baru ini di utilitas sudo penting memengaruhi jutaan sistem.

Sebuah tim dari Google kini telah memposting panjang lebar tentang masalah tersebut dengan harapan dapat “memicu diskusi dan kemajuan industri secara luas dalam keamanan perangkat lunak open source.”

Google menyarankan bahwa “perangkat lunak sumber terbuka harus mengurangi risiko di bagian depan keamanan, karena semua kode dan dependency berada di tempat terbuka dan tersedia untuk pemeriksaan dan verifikasi,” tetapi mencatat bahwa ini hanya berlaku jika orang-orang “benar-benar melihat”.

Tim Google mengakui bahwa tujuannya untuk perangkat lunak kritis “lebih berat dan oleh karena itu akan menemui beberapa hambatan, tetapi kami yakin kendala tambahan sangat penting untuk keamanan.”

Proposal Google mencakup beberapa hal spesifik, dengan catatan bahwa beberapa ide hanya ditujukan untuk perangkat lunak sumber terbuka yang dikategorikan sebagai kritis.

Selengkapnya: The Register

Google open-source Atheris, alat untuk menemukan bug keamanan dalam kode Python

by

Pakar keamanan Google telah merilis utilitas fuzzing otomatis open-source lainnya dengan harapan pengembang akan menggunakannya untuk menemukan bug keamanan dan menambal kerentanan sebelum dieksploitasi.

Dinamakan Atheris, proyek ini adalah fuzzer klasik.

Fuzzer (atau alat fuzzing) dan teknik fuzzing bekerja dengan memberi data acak dalam jumlah besar ke aplikasi perangkat lunak dan menganalisis output nya untuk mengetahui ketidaknormalan dan kerusakan, yang memberi petunjuk kepada pengembang tentang keberadaan dan lokasi kemungkinan bug dalam kode aplikasi.

Selama bertahun-tahun, peneliti keamanan Google telah menjadi promotor terbesar dalam menggunakan alat fuzzing untuk menemukan tidak hanya bug biasa, tetapi juga kerentanan berbahaya yang dapat dieksploitasi oleh penyerang.

Atheris adalah jawaban Google atas meningkatnya popularitas bahasa pemrograman Python, yang saat ini menduduki peringkat ke-3 dalam indeks TIOBE bulan lalu. Google telah membuat kode Atheris menjadi open source di GitHub, dan fuzzer juga tersedia di PyPI, repositori paket Python.

Sumber: ZDNet