Ethical Hacking
Informasi sudah menjadi sebuah komoditas yang sangat penting di era saat ini, sampai banyak orang mengistilahkan “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi dengan cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Pengelolaan data informasi yang lebih baik akan membuat sebuah organisasi mengetahui bagaimana perkembangan organisasi yang bekerja dalam bidangnya. Sebuah tolak ukur akan informasi akan membuah terus bisa dilakukan evaluasi dalam kurun waktu jangka yang di tentukan. Maka dari itu, tujuan dari sistem informasi secara umum adalah sebagai dasar agar perusahaan mengerti dan mengetahui sampai manakah kemajuan sebuh perusahaan mampu berjalan dalam bidang bisnisnya.
Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Ketika suatu informasi tidak terproteksi dengan baik, yang mengakibatkan akses informasi oleh pihak yang tidak berkepentingan, maka hal tersebut dapat disebut dengan kebocoran informasi atau keamanan. Konsekuensi terhadap kebocoran tersebut dapat berakibat fatal. Bagi bisnis perusahaan, kebocoran umumnya dapat diikuti dengan denda finansial, masuknya permasalahan ke ranah hukum, reputasi dan bisnis yang anjlok. Sedangkan bagi perorangan, kebocoran berarti pencurian identitas dan merugikan riwayat finansial ataupun peringkat kreditnya. Proses pemulihan dari kebocoran informasi, mungkin akan membutuhkan waktu bertahun-tahun dengan biaya yang dikeluarkan tidak sedikit. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Statistik Keamanan Informasi
Berdasarkan Laporan Tahunan Cybersecurity (Annual Cybersecurity Report – ACR) Cisco® (NASDAQ: CSCO) 2017, lebih dari sepertiga perusahaan yang sudah mengalami security breach atau pembobolan keamanan pada 2016 dan sebagai akibatnya mereka pun kehilangan setidaknya 20 persen dari jumlah pelanggan, kesempatan bisnis dan pemasukan. Sembilan puluh persen dari perusahaan tersebut kini meningkatkan teknologi perlindungan dari ancaman cybersecurity dengan memisahkan fungsi IT dan security (38 persen), menambahkan pelatihan kesadaran keamanan bagi karyawan (38 persen) dan menjalankan teknik mitigasi risiko (37 persen). Laporan Cisco telah melakukan survei terhadap hampir 3.000 chief security officer (CSO) dan security operations leader di 13 negara yang tergabung dalam Security Capabilities Benchmark Study, sebagai bagian dari Cisco ACR.
Sedangkan menurut situs breachlevelindex.com bahwa kebocoran atau kehilangan data sejak tahun 2013 hingga saat ini menunjukkan angka yang sangat fantastis yakni berjumlah 9.198.580.293, yang mana hanya 4% dari data tersebut adalah data yang terenkripsi.
Pentingnya Keamanan Informasi
Informasi merupakan sebuah aset, seperti aset bisnis penting lainnya, sangat penting bagi sebuah organisasi dan tentu harus dilindungi. Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Keamanan informasi merupakan proses melindungi informasi dan sistem informasi dari akses, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran yang tidak sah. Sedangkan tujuan pengelolaan keamanan informasi adalah untuk memastikan kelangsungan bisnis dan meminimalkan dampak insiden keamanan.
Prinsip dasar dari keamanan informasi merupakan perlindungan terhadap aspek berikut:
- Confidentiality (kerahasiaan) yakni aspek yang menjamin kerahasiaan data atau informasi, dan memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima, dan disimpan.
- Integrity (integritas) yakni aspek yang menjamin bahwa data tidak dilakukan perbuahan tanpa ijin dari pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.
- Availability (ketersediaan) yakni aspek yang menjamin bahwa data tersedia ketika dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait.
Aspek Ancaman Keamanan Informasi
Aspek ancaman terhadap keamanan informasi diantaranya adalah:
- Interruption : informasi dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
- Interception : Informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.
- Modifikasi : orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.
- Fabrication : orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.
Hacker
Hacking adalah teknik yang dilakukan oleh orang (hacker, cracker, penyusup, atau penyerang) untuk menyerang suatu sistem, jaringan, dan aplikasi dengan cara mengkesploitasi kelemahan dari hal-hal tersebut dengan maksud untuk mendapatkan hak akses atas data dan sistem. Beberapa melakukannya untuk bersenang-senang, ada yang melakukannya demi keuntungan, atau ada yang melakukannya untuk bisnis dan mungkin beberapa melakukan untuk mendapatkan pengakuan. Sangat banyak motivasi atau tujuan dari aktivitas hacking, dan bisa dikatakan ada niat positif dan negatif. Meskipun memiliki tujuan yang berbeda, intinya adalah untuk menemukan kelemahan dalam sistem untuk memanfaatkannya. Seorang yang melakukan tindakan hacking disebut hacker.
Hacker dapat diklasifikasikan dalam kategori yang berbeda, secara umum terdapat tiga kategori dari hacker yakni :
- Black Hat Hacker adalah tipikal hacker yang berbahaya dan jahat, biasanya dimotivas ioleh uang, balas dendam, kriminal, dll. Mereka mendapatkan akses tidak sah kedalam sistem, merusaknya dan atau mencuri informasi yang sensitif.
- White Hat Hacker lebih dikenal sebagai Ethical Hacker. Mereka tidak pernah bermaksud untuk merusak suatu sistem, namun mereka mencoba untuk mengetahui kelemahan dalam komputer atau sistem jaringan sebagai bagian dari penetration testing dan/atau vulnerability assessments.
- Grey Hat Hacker merupakan perpaduan dari Black Hat dan White Hat Hacker. Tidak ada batasan baik atau jahat, terkadang melakukan penyerangan dengan memanfaatkan kelemahan sistem yang dilakukan untuk kesenangan. Namun terkadang menjadi konsultan keamanan, bisa saja dikarenakan butuh uang, atau tergantung“order”.
Selain dari klasifikasi Hacker diatas, masih banyak lagi jenis hacker yang diklasifikasikan berdasarkan tujuan meretas sistem, seperti :
- Script Kiddies : Merupakan hacker pemula yang memiliki sedikit pengetahuan dan menggunakan tools buatan orang lain, biasanya tidak dapat mengembangkan serangan dan pertahanan.
- Red Hat Hackers : biasanya sebagai agen pemerintah, sebagai hub top-secret information, dan segala sesuatu yang berhubungan dengan informasi sensitif.
- Blue Hat Hackers : biasanya sebagai konsultan keamanan komputer yang terbiasa melakukan bug-test sistem sebelum diluncurkan. Mereka mencari celah yang bisa dimanfaatkan dan mencoba menutup celah ini.
- Elite Hackers : merupakan status sosial dikalangan hacker, yang digunakan untuk menggambarkan yang memiliki skill paling hebat. Eksploitasi yang baru ditemukan ataupun ZeroDay Vulnerability akan beredar di antara para hacker ini.
- Cyber Terrorist : Tipikal hacker jahat, biasanya secara organisasi/group, mereka menyebarkan ancaman-ancaman untuk tujuan tertentu (agama, politik, nasionalis, atau aktivis)
- State-sponsored Hackers : Merupakan hacker terlatih yang dibiayai oleh negara atau pemerintah biasanya bertujuan untuk mata-mata dan perang cyber (cyberwarfare). Mereka adalah hacker yang memiliki kemampuan tinggi dan banyak uang karena disponsori oleh negara.
- Hacktivist : Merupakan salah satu black hat, mereka menyerang sambil menyebarkan suatu pesan khusus. Melalui deface website, serangan DoS, dll.
- Corporate Hackers : Tipikal hacker yang menyerang properti intelektual dan data penting suatu perusahaan. Tujuan mereka adalah untuk mendapatkan informasi mengenai kompetitor suatu perusahaan.
Ethical Hacking
Ethical Hacking merupakan suatu aktifitas melakukan penetrasi ke suatu sistem, jaringan, dan aplikasi dengan cara mengkesploitasi kelemahan dari hal-hal tersebut dengan maksud untuk mendapatkan hak akses atas datadan sistem, yang bertujuan untuk untuk membantu perusahaan menguji keamanan jaringan mereka karena kemungkinan celah dan kerentanan. Orangnya disebut sebagai Ethical Hacker. Pada dasarnya, teknik yang digunakan oleh Ethical Hacker sama dengan teknik yang digunakan oleh Hacker, namun yang berbeda adalah pada tujuan melakukan aktivitas hacking.
Selain memiliki kemampuan teknis, seorang Ethical Hacker juga harus memiliki kemampuan non teknis seperti:
- Memiliki kemampuan untuk belajar dan beradaptasi dengan cepat terhadap teknologi baru,
- Memiliki kemampuan bekerja dengan etika tinggi, memiliki kemampuan dalam menyelesaikan masalah dan kemampuan mengkomunikasikannya dengna pihak client dalam hal ini organisasi/perusahaan,
- Memiliki komitmen yang kuat terhadap kebijakan keamanan dari sebuah organisasi (client),
- Peduli dengan standar dan aturan yang ada dalam organisasi.
Oleh karena kemampuan seorang Ethical Hacker layaknya sebagai seorang penyerang, oleh karena itu ketika sebuah organisasi ingin melakukan pengamanan terhadap sistem, maka jasa dari Ethical Hacker sangat diperlukan. Alasan lainnya seorang Ethical Hacker juga dapat melakukan pengungkapan vulnerability yang ada pada sistem, dan dapat mengeksploitasi lebih dalam sehingga menemukan risiko apa saja yang ditimbulkan dari vulnerability yang ditemukan.
Seorang Ethical Hacker dalam mengevaluasi sistem yang dimiliki oleh perusahaan, harus mampu mencari jawaban dari tiga pertanyaan dasar yakni:
Apa yang dilihat oleh penyerang terhadap sebuah target sistem?
Seorang Ethical Hacker harus mampu memikirkan tentang apa yang dilihat oleh seorang penyerang selama penyerang itu melakukan fase reconnaissance atau fase scanning.
Apa yang akan dilakukan oleh seorang penyerang dengan informasi dari fase tersebut?
Seorang Ethical Hacker harus memiliki kemampuan satu langkah di depan dari seorang penyerang dalam memanfaatkan informasi yang diperoleh dari fase sebelumnya sampai dengan fase mendapatkan akses dan melakukan meintenance akses pada sistem target.
Apakah upaya penyerang diperhatikan pada sistem target?
Terkadang penyerang akan mencoba melakukan penyerangan selama berhari-hari, atau berminggu-minggu, atau bahkan berbulan-bulan. Selama periode tersebut, seorang Ethical Hacker harus mampu mendeteksi dan menghentikan adanya serangan tersebut.
Jenis-jenis test/percobaan yang biasa dilakukan oleh seorang Ethical Hacker terhadap sebuah sistem diantaranya adalah:
Vulnerability Testing
Melakukan scan terhadap sistem (manual atau dengan tools), dengan tujuan untuk mengetahui apakah sistem tersebut memiliki kelemahan, apa solusi untuk menambal kelemahannya, apa konfigurasi sistem yang mereka pakai, kemudian dihasilkan sebuah laporan keamanan. Dalam testing ini tidak dilakukan tindakan eksploitasi atau penetrasi ke dalam sistem, namun hanya melaporkan temuan/hasil scan yang telah dilakukan.
Full Penetration Testing.
Pada testing ini akan dilakukan ujicoba penyerangan dari berbagai vektor, seperti penyerangan aplikasi web, sql injection, firewall, wireless network, OS.
Targeted Testing.
Prosesnya sama seperti full penetration testing, hanya saja penyerangan difokuskan ke satu vektor serangan saja.
Adapun jenis-jenis test/percobaan berdasarkan informasi dan lokasi seorang Ethical Hacker dalam melakukan pengujian dapat dikategorikan sebagai berikut:
Black Box
Seorang Ethical Hacker tidak memiliki informasi mengenai infrastruktur atau jaringan sebuah organisasi yang sedang dilakukan test. Dalam pengujian penetrasi ini, Ethical Hacker mencoba mencari informasinya sendiri.
Grey Box
Seorang Ethical Hacker hanya memiliki sedikit informasi (partial information) mengenai infrastruktur atau jaringan sebuah organisasi yang sedang dilakukan test
White Box
Seorang Ethical Hacker memiliki informasi (walaupun itu informasi rahasia) mengenai infrastruktur atau jaringan sebuah organisasi yang sedang dilakukan test.
External Penetration Testing
Seorang Ethical Hacker mencoba menyerang menggunakan jaringan publik melalui internet
Internal Penetration Testing
Seorang Ethical Hacker berada di dalam jaringan organisasi dan melakukan uji penetrasi dari dalam.
Selain berdampak positif, pengujian penetrasi yang dilakukan oleh seorang Ethical Hacker juga dapat menyebabkan masalah seperti kerusakan sistem, sistem crash, atau kehilangan data. Oleh karena itu, perusahaan harus mengambil risiko yang diperhitungkan sebelum melanjutkan pengujian penetrasi. Ada beberapa batasan yang perlu diketahui dalam melakukan uji penetrasi. Ethical Hacker harus mengikuti aturan dalam rangka memenuhi kewajiban moral dan etika dalam menjalankan profesinya. Adapun hal-hal yang perlu diperhatikan seperti:
- Mendapatkan otorisasi dan izin dari organisasi dalam bentuk kontrak tertulis.
- Karena dalam melakukan uji penetrasi, seorang Ethical Hacker bisa saja mendapatkan atau mengungkapkan informasi yang bersifat rahasia dan sensitif, maka Ethical Hacker harus mengikuti aturan seperti Non Disclosure Agreement (NDA).
- Harus tetap mempertahankan kerahasiaan saat melakukan uji penetrasi. Informasi yang bersifat confidential tidak boleh disebarkan ke pihak lain.
- Uji penetrasi tidak boleh melampaui batas yang telah disepakati. Misalnya ketika seorang Ethical Hacker akan melakukan tindakan Denial of Services (DoS), harus melihat kondisi dari sebuah organisasi. Jangan sampai ketika melakukan uji penetrasi hanya dapat mengakibatkan kerugian pada organisasi tersebut dengan tidak dapat berjalannya sistem yang diakibatkan oleh tindakan DoS.
Metode Hacking
Seperti halnya aktifitas pekerjaan lainnya, Ethical Hacking juga memiliki metode dalam melakukan aktivitasnya. Hal ini membantu proses pengujian sistem menjadi terstruktur. Banyak standar yang bisa diikuti dalam melakukan proses pengujian sistem. Seperti yang dikeluarkan oleh Open Source Security Testing Methodology Manual (OSSTMM) dan National Institute of Standards and Technology (NIST)
Namun jika disederhanakan, maka pada dasarnya proses atau metode hacking hanya enam fase yakni
Reconnaissance
Reconnaissance adalah fase dimana penyerang mengumpulkan informasi tentang target dengan cara aktif atau pasif. Tools yang sering digunakan digunakan dalam proses ini seperti NMAP, Hping, Maltego, dan Google Dorks.
Selama melakukan proses reconnaissance, seorang Ethical Hacker mencoba mengumpulkan informasi sebanyak mungkin dengan mengikuti 7 hal berikut:
- Mengumpulkan informasi awal
- Menentukan range atau rentang dari jaringan komputer
- Mengidentifikasi mesin atau server yang aktif
- Menemukan port dan titik akses yang terbuka
- Menemukan informasi mengenai sistem operasi server
- Mengungkap service apa saja yang berjalan
- Memetakan jaringan komputer.
Proses recconnaissance dapat dilakukan secara aktif yakni sebuah kondisi dimana Ethical akan langsung berinteraksi dengan sistem komputer untuk mendapatkan informasi, sedangkan cara pasif yakni dimana kondisi seorang Ethical Hacker dalam mengumpulkan informasi tidak berinteraksi secara langsung dengan sistem target.
Scanning
Dalam proses ini, Ethical Hacker mulai secara aktif menyelidiki mesin target atau jaringan kerentanan yang bisa dimanfaatkan. Tools yang digunakan dalam proses ini adalah Nessus, Nexpose, dan NMAP.
Gaining Access
Dalam proses ini, ketika kerentanan ditemukan, maka Ethical Hacker akan memanfaatkan kerentanan tersebut untuk mendapatkan akses ke sistem target. Tools yang populer digunakan dalam proses ini seperti Metasploit.
Maintaining Access
Ini adalah proses dimana Ethical Hacker telah mendapatkan akses ke sistem. Setelah mendapatkan akses, Ethical Hacker akan menginstal beberapa backdoor yang bisa digunakan kedepannya untuk melakukan akses ke sistem.
Clearing Tracks
Proses ini sebenarnya adalah kegiatan yang tidak etis. Ini berkaitan dengan penghapusan log dari semua aktivitas yang terjadi selama proses hacking sebelumnya.
Reporting.
Pelaporan merupakan langkah terakhir dalam menyelesaikan proses hacking etis. Disini Ethical Hacker menyusun sebuah laporan dengan temuannya dan penggunaan alat yang digunakan, tingkat keberhasilan, kerentanan yang ditemukan, dan proses eksploitasi.
Sebuah laporan yang baik harus memperhatikan hal sebagai berikut:
- Laporan harus sederhana, jelas, dan mudah dimengerti.
- Presentasi laporan juga penting.
- Laporan harus terstruktur dengan baik.
- Selalu pastikan menggunakan gaya penulisan yang konsisten dalam penulisan laporan.
- Pastikan untuk meminimalisir hasil temuan yang bersifat false-positive.
- Laporan merupakan hasil analisis terperinci tentang kerentanan, hal ini untuk mengetahui akar penyebabnya.
( Dr. Bambang Sugiantoro Ketua Program Magister Informatika FST dan Suwito Pomalingo )