Seminar Pentester : Career as a Red Team dalam rangka Ulang Tahun Cyber Security Community (HUT CSC 2022)

Seminar “Pentester : Career as a Red Team” dilaksanakan pada tanggal 14 April 2022 dalam rangka merayakan ulang tahun Cyber Security Community yang ke 9. Acara ini dimulai pada pukul 13.00 WIB dan dibawakan oleh Kevin Nicholas dan Adam Purnama sebagai Master of Ceremony. Sebelum memulai acara, Velicia sebagai ketua penyelenggara acara memberikan kata sambutan yang diikuti dengan kata sambutan yang diberikan oleh Delbert Giovanni sebagai ketua organisasi CSC kepada para partisipan. Selain itu, pengenalan mengenai organisasi CSC yang mencakup visi misi, arti dari logo CSC, divisi-divisi, dan para pengurus organisasi.

Seminar yang dibawakan pada acara ini akan menjelaskan mengenai Pentesting. Topik ini  dibawakan oleh Marie Muhammad sebagai narasumber, menjabat sebagai konsultan di Spentera, instruktur di Hacktrace, dan member Synack. Materi dibuka dengan penjelasan mengenai perbedaan Vulnerability Assessment dan Penetration Test, perbedaan terletak pada tujuan dimana Penetration Test dilakukan untuk menemukan letak kelemahan, memperbaiki, lalu dicek keamanannya sedangkan Vulnerability Assessment mencari kelemahan sebanyak-banyaknya. Selain itu, narasumber menyinggung tentang apa perbedaan Red Team dan Blue Team seperti yang tertera pada judul seminar kali ini. Red Team adalah sebutan untuk sekumpulan orang yang melakukan kegiatan offensive (penyerangan) sementara Blue Team adalah sekumpulan orang yang melakukan kegiatan defensive (pertahanan).

Terdapat 2 jenis pekerjaan dalam bidang ini yaitu, vendor sebagai pihak ketiga melakukan pengetesan pada beberapa aplikasi dan end-user dengan melakukan pengetesan hanya di dalam aplikasi client. Dalam melakukan pengetesan, tentu saja ada etikanya yaitu dengan tidak membuat server down, tidak melakukan scanning pada jam-jam tertentu, dan tidak membanjiri dengan file sampah.

Narasumber juga memberikan basic knowledge kepada partisipan dalam memulai untuk menjadi Red Team yaitu memahami windows dan familiar dengan linux, mempelajari OSI 7 layer, serta programming. Untuk berlatih, agar tidak melewati aturan maka kita dapat berlatih di dalam website yang sudah tersedia seperti Hacktrace Ranges, Hack The Box, Offensive Security, dan Try Hack Me.

Narasumber menjabarkan mengenai Pentest Methodology yang meliputi Intelligence Gathering, Threat Modelling, Vulnerability Analysis, Exploitation, Post-Exploitation, dan Reporting. Serta Tipe Pentest Methodology yaitu Black Box, Gray Box, dan White Box. Dalam Information Gathering, ada 2 tipe cara yaitu aktif secara langsung menggunakan scanning tools dan pasif dengan mencari informasi di google, mencari di Wayback Machine, atau mencari leaked credentials. Dibutuhkan skill komunikatif untuk melakukan reporting karena kita akan menulis laporan secara step-by-step. 

Penjelasan narasumber diakhiri dengan sesi tanya jawab yang berlangsung selama 32 menit berkat antusiasme para partisipan dalam bertanya seputar penjelasan narasumber. Seminar selesai, lalu diikuti perayaan ulang tahun CSC dengan menyebutkan harapan-harapan CSC untuk kedepannya dan meniup kue yang diwakilkan oleh Delbert, Ketua Organisasi CSC. Sesi terakhir adalah sesi games menjawab pertanyaan seputar apa yang sudah dibahas pada seminar dan memilih 3 pemenang dari 3 skor terbesar.