Pada minggu ini, ribuan hacker, peneliti, dan profesional keamanan berkumpul di konferensi keamanan Black Hat dan Def Con di Las Vegas. Acara tahunan ini bertujuan untuk berbagi penelitian terbaru, hacks, dan pengetahuan di komunitas keamanan.

Tidak luput pula CrowdStrike yang menjadi pusat perhatian, dan memenangkan penghargaan “epic fail” yang tentunya tidak diinginkan. Perusahaan ini mengakui kesalahan dan menangani skandal beberapa minggu setelah merilis update perangkat lunak yang bermasalah, menyebabkan gangguan IT global. Meskipun demikian, hacker dan peneliti keamanan tampaknya cenderung untuk memaafkan, meskipun mungkin tidak dengan mudah melupakan.

Beberapa berita menarik dari Defcon 2024

1. Menghijack Robot Ecovac untuk Mengintai Pemiliknya

Peneliti keamanan mengungkapkan di Def Con bahwa mungkin untuk menghijack berbagai robot vakum dan pemotong rumput Ecovacs dengan mengirimkan sinyal Bluetooth berbahaya ke robot yang rentan dalam jarak dekat. Dari sana, mikrofon dan kamera di atas robot dapat diaktifkan secara remote melalui internet, memungkinkan penyerang untuk mengintai siapa pun di dalam jangkauan mikrofon dan kamera robot.Kesalahan buruknya adalah bahwa Ecovacs tidak merespons permintaan komentar dari peneliti atau TechCrunch, dan tidak ada bukti bahwa bug tersebut pernah diperbaiki. Keberuntungan baiknya adalah kita masih mendapatkan screenshot luar biasa dari anjing yang diambil dari kamera atas robot Ecovacs yang dihijack

2. Infiltrasi Jangka Panjang ke Permainan LockBit dan Mengungkapkan Pemimpinnya

Permainan kucing-kucingan intens antara peneliti keamanan Jon DiMaggio dan pemimpin LockBit ransomware dan ekstorsionis, yang dikenal sebagai LockBitSupp, membawa DiMaggio ke dalam lubang kelinci penelitian terbuka untuk mengidentifikasi identitas nyata hacker yang terkenal. Dengan diinspirasi oleh tip anonim alamat email yang diduga digunakan oleh LockBitSupp dan keinginan mendalam untuk mendapatkan keadilan bagi korban gang, DiMaggio akhirnya mengidentifikasi pria tersebut dan bahkan sebelum agen federal secara publik mengidentifikasi hacker sebagai warga Rusia, Dmitry Khoroshev. Di Def Con, DiMaggio menceritakan kisahnya dari perspektifnya untuk pertama kalinya di hadapan kamar yang penuh.

3. Hacker Membuat Mikrofon Laser yang Dapat Mendengar Ketukan Papan Ketik

Hacker terkenal Samy Kamkar mengembangkan teknik baru untuk mengetahui ketukan papan ketik laptop secara diam-diam dengan mengarahkan laser yang tidak terlihat melalui jendela yang berdekatan. Teknik ini, yang ditunjukkan di Def Con dan dijelaskan oleh Wired, “mengambil keuntungan dari akustik yang halus yang dibuat oleh menekan tombol yang berbeda pada komputer,” dan berfungsi selama hacker memiliki garis pandang dari laser ke laptop target itu sendiri.

4. Prompt Injections yang Mudah Menipu Microsoft Copilot

Teknik injeksi prompt baru yang dikembangkan oleh Zenity menunjukkan bahwa mungkin untuk mengekstrak informasi sensitif dari asisten chatbot AI Microsoft, Copilot. Michael Bargury, CTO Zenity, menunjukkan eksploitasi ini di konferensi Black Hat, menunjukkan cara untuk memanipulasi prompt AI Copilot untuk mengubah outputnya.Dalam contoh yang dia tweet, Bargury menunjukkan bahwa mungkin untuk memberikan kode HTML yang mengandung nomor rekening bank yang dikontrol oleh penyerang berbahaya dan menipu Copilot untuk mengembalikan nomor rekening bank tersebut dalam respons yang dikembalikan kepada pengguna biasa. Hal ini dapat digunakan untuk menipu orang yang tidak curiga untuk mengirim uang ke tempat yang salah, dasar dari beberapa skema bisnis yang populer. 

sumber:

1. TechCrunch
2. Twitter @TechCrunch
3. Black Hat
4. Black Hat USA 2024
5. Splunk