Minggu Keamanan 10: Konferensi RSA dan Kesadaran Cybersecurity

Konferensi cybersecurity berikutnya RSA Conference 2020 diadakan di San Francisco minggu lalu, sebuah acara di mana ada sedikit lebih banyak bisnis daripada teknologi. Ciri-ciri bisnis industri ini tidak kalah pentingnya dengan yang teknis, walaupun interaksi ini berada di bawah tanda semacam pertentangan: manajer pengembangan bisnis mengucapkan kata-kata yang baik, dan para teknisi bosan. Berbicara tentang kata-kata: inilah bagaimana topik utama Konferensi RSA telah berevolusi, kata dasar dari satu konferensi, selama lima tahun terakhir. Pada 2016, topik utama adalah keamanan IoT, pada 2017 - kecerdasan buatan, pada 2018 - kurangnya peluru perak dan solusi sederhana dalam pertahanan dunia maya, pada 2019 - masalah reputasi.

Pada 2020, presiden RSAmengangkat topik memecah menjadi teknisi dan pengusaha, tiba-tiba mengubah grand opening menjadi diskusi tentang masalah nyata, meskipun secara umum: “Urusan kita akan dinilai berdasarkan cerita apa yang akan diceritakan tentang mereka. Dan kami ingin ini menjadi cerita tentang perlawanan yang berhasil terhadap ancaman dunia maya, dan bukan kisah teknis tentang dunia maya. " Yaitu: komunitas keamanan TI tertutup, tidak dapat dipahami oleh seseorang, dan kita perlu mengubahnya. Tidak hanya berbagi masalah, tetapi juga solusi yang berhasil: "Memformat ulang budaya dari yang elitis ke yang terbuka."


Kata-kata indah, tetapi haruskah kita mengharapkan keterbukaan dari teknisi - sebuah pertanyaan besar. Ini bukan tentang sifat orang tertentu, tetapi tentang fitur pekerjaan, yang membutuhkan konsentrasi maksimum pada detail kecil, ping-pong yang sama. Untuk menyiarkan kemenangan dalam keamanan TI, Anda harus dapat menjelaskannya dengan kata-kata yang dapat dimengerti oleh publik. Setidaknya merumuskan apa yang dianggap kemenangan. Ini tidak selalu diperoleh, dan bagi banyak peserta industri tugas ini jauh dari prioritas. Siapa yang memberi budaya format baru juga merupakan pertanyaan yang bagus: paling sering manajemen non-teknis yang sama, yang wakilnya adalah Rohit Gai, terlibat dalam hal ini. Ternyata ketika dia menuntut perubahan dari mimbar Konferensi RSA, apakah persyaratannya ditujukan untuk dirinya sendiri? Ini adalah tugas yang terhormat. Buat keamanan cybers lebih jelaslebih tepatnya, perlu untuk membantu persepsi yang realistis tentang bidang pengetahuan ini. Kalau tidak, ada beberapa situasi yang sering kita amati baru-baru ini: ketika serangan dunia maya dan pertahanan dunia maya dibahas dalam bidang politik dengan isolasi penuh dari situasi nyata.

Kami akan membahas pidato yang menarik secara singkat di RSA Conference 2020. Cryptographer Bruce Schneier melanjutkan topik keterbukaan, tetapi dari sudut pandang yang berbeda: ia menyarankan untuk memperkenalkan "budaya peretasan" (dalam hal ini, kemampuan untuk menyelesaikan masalah menggunakan metode non-standar) di luar IT. Misalnya, dalam pembuatan undang-undang atau kebijakan pajak. Kalau tidak, kerentanan dalam perangkat lunak berhasil ditemukan dan ditutup, dan celah dalam kode pajak tetap ada selama bertahun-tahun.


Peneliti Patrick Wardle berbicara tentang kasus rekayasa balik malware di sisi penjahat cyber. Mempelajari serangan cyber di komputer Apple, ia menemukan contoh di mana penyerang mengambil kode berbahaya yang didistribusikan oleh orang lain dan menyesuaikannya dengan kebutuhan mereka sendiri. Perwakilan Checkmarx mengatakan ( berita , penelitian ) tentang kerentanan dalam penyedot debu robot pintar. Penyedot debu dilengkapi dengan kamera video, sehingga peretasan yang berhasil memungkinkan tidak hanya untuk mengamati pemilik perangkat, tetapi juga untuk mengubah titik pengamatan jika perlu. Studi IoT lain berfokus pada kerentanan di monitor untuk memantau anak.

ESET menemukan kerentanan Kr00k ( berita , informasi tentangsitus web perusahaan) dalam modul Wi-Fi, yang mendekripsi sebagian lalu lintas yang dikirimkan antar perangkat. Modul yang diproduksi oleh Broadcom dan Cypress digunakan, yang digunakan baik di ponsel dan laptop, dan di router. Akhirnya, panel cryptographers (kelainan dari masa lalu ketika Konferensi RSA adalah ceruk antara para ahli enkripsi) melewati blockchain lagi. Cryptographers tidak suka industri cryptocurrency untuk menetapkan awalan "crypto", tetapi dalam kasus ini adalah pertanyaan tentang menggunakan blockchain untuk pemilihan. Perwakilan MIT Ronald Rivest mempresentasikan hasil analisis peluang tertentu, kesimpulannya adalah bahwa surat suara lebih dapat diandalkan. Bahkan dengan menggunakan blockchain, sulit untuk membuat sistem perangkat lunak untuk mendaftarkan suara yang dapat dipercaya.

Apa lagi yang terjadi:

Kerentanan Zero Day Kritis di Zyxel NAS dan Firewall. Eksploitasi ditemukan dalam penjualan terbuka di pasar gelap. Bug ini memungkinkan Anda untuk mengeksekusi kode arbitrer pada perangkat, yang menurut definisi harus dapat diakses dari jaringan, mendapatkan kontrol penuh atasnya. Patch telah dirilis untuk sejumlah besar perangkat Zyxel, tetapi tidak untuk semua - beberapa NAS yang rentan tidak lagi didukung.

ThreatFabric telah menemukan versi baru dari Cerberus Android Trojan, yang mampu mengekstrak kode otentikasi dua faktor dari aplikasi Google Authenticator.

Kesalahandalam integrasi dompet Paypal dengan layanan pembayaran Google Pay, itu memungkinkan untuk waktu singkat untuk mencuri dana tanpa sepengetahuan pemilik. Tidak ada perincian, tetapi diduga penyerang menemukan cara untuk mengekstrak data kartu pembayaran virtual yang dibuat ketika layanan terhubung ke Google Pay.

Seorang peneliti Jerman mengungkapkan aplikasi iOS “jahat” yang secara konstan memonitor clipboard yang tersedia untuk semua program di ponsel. Logika peneliti: jika nomor kartu kredit disalin ke buffer, penyerang dapat mencurinya. Reaksi Apple: ya, tapi itu clipboard. Itu harus tersedia untuk semua aplikasi, jika tidak masuk akal.