Ethical Hacking
Seperti yang sudah kita ketahui, nama “Hacker” di khalayak umum tentunya sudah tidak asing lagi mengingat banyaknya insiden yang disebabkan oleh “Hacker” sehingga seringkali digambarkan sebagai sosok yang berfigurkan seseorang dengan jaket hoodie dan berwajahkan bayangan gelap, duduk di tempat gelap sementara wajahnya memandang kepada layar yang bercahaya terang yang penuh akan kode-kode berwarna hijau yang misterius. Banyak sekali orang yang juga memiliki persepsi bahwa “Hacker” pasti membawa kesan yang buruk dan pembawa kerusakan seperti meretas akun orang lain, mencuri data-data penting orang lain, atau bahkan mencuri uang dari Bank.
Namun nyatanya, peretasan atau “Hacking” tidak selalu memberi gambaran atau kesan yang jahat, malah seringkali perusahaan selalu merasa diuntungkan dengan adanya Hacker yang mau bekerja sama dengan perusahaan tersebut. Inilah yang disebut sebagai “Ethical Hacking”, yang dimana adalah skill dalam Cyber Security yang dapat membantu mengamankan perusahaan atau suatu badan organisasi dari serangan siber.
Apa itu Ethical Hacking?
Dalam dunia Cyber Security, ada dua jenis Hacker yaitu White Hat Hacker dan Black Hat Hacker. Adapun Hacker yang jahat yang biasanya menggunakan kemampuan Cyber Security untuk meretas sistem dan mencuri data-data penting, ada juga Hacker yang baik yang bertujuan untuk melindungi perusahaan ataupun negara dari serangan siber.
Ethical Hacker adalah hacker yang memiliki kemampuan yang sama dengan hacker jahat, namun kemampuan tersebut digunakan untuk membantu mendeteksi adanya celah keamanan pada sistem dan memperbaikinya sebelum adanya hacker jahat yang mencoba untuk mengeksploitasi celah tersebut.
Ethical Hacker atau yang biasa disebut sebagai White Hat Hacker, juga memiliki tugas dan tujuan untuk melakukan proses “Penetration Testing” terhadap keamanan dari website, sistem, server ataupun jaringan yang dimiliki oleh suatu kelompok atau perusahaan atau negara yang biasanya disebut sebagai Client dan membuat report terkait hasil Penetration Testing tersebut, serta dapat memberikan saran terkait keamanan seperti apa yang harus diimplementasikan untuk dapat menutup celah keamanan tersebut. Proses yang seperti inilah yang dinamakan sebagai Ethical Hacking.
Whitehat and Blackhat?
Hacker dapat dikategorikan dengan mudah dari “warna topi” yang mereka gunakan. Jadi, apa itu White Hat Hacker dan Black Hat Hacker?
Disaat kita melihat atau mengimajinasikan “Hacker” dengan beberapa hal seperti, orang yang membawa laptop ataupun handphone kemana-mana dengan berpakaian hoodie agak gelap dan tidak begitu meng-expose wajah di tempat publik, dan kemudian mengunggah (upload) sebuah file pada suatu sistem yang dapat meretas perangkat kita jika kita mengunduhnya (download). Atau mungkin kita mengimajinasikan seseorang yang melakukan aksi cyber crime dengan kasus seperti mencuri uang dari akun Bank milik seseorang, credit card, dan juga data-data yang termasuk personal information, dan akhirnya data-data tersebut dijual ke situs web yang bernama Dark Web.
Jika figur hacker seperti itu yang kita imajinasikan, maka itu adalah Black Hat Hacker. Tetapi, tidak semua hacker memakai “topi hitam”.
White Hat Hacker memiliki kemampuan yang sama persis dengan Black Hat Hacker, hanya saja White Hat Hacker tidak mencari keuntungan sendiri yang merugikan kepentingan orang lain dengan skill hacking yang dimilikinya. Malah, mereka bekerja sama dengan perusahaan dan pemerintahan untuk mencari celah keamanan yang ada pada jaringan ataupun komputer mereka. Atau jika mereka telah menemukan kerentanan pada sistem dan mengerti cara mengeksploitasinya, mereka tidak segan-segan untuk melakukan percobaan eksploitasi, namun mereka dapat melakukan peretasan sebebas-bebasnya hanya dalam batas-batas persetujuan yang telah disetujui sebelum mereka melakukan percobaan eksploitasi atau “Penetration Testing”.
Pada akhirnya, White Hat Hacker akan memberikan report atau catatan akhir kepada pemilik produk dan pemilik produk akan membayar hacker tersebut karena hasil kerja kerasnya dan usahanya untuk melindungi perusahaan tersebut.
Keseharian dari Ethical Hacker?
Tidak disangka, ternyata sebagian besar waktu yang dimiliki oleh Ethical Hacker dihabiskan untuk mencari kerentanan dalam sistem pada produk Client (produk yang dimaksud adalah, seperti website atau server yang dimiliki oleh si pemilik). Letak kerentanan pun akan tergantung pada batas ruang lingkup dan ketentuan “objectives” yang diperbolehkan bagi hacker sendiri. Terkadang, ada sistem atau server yang tidak diatur sedemikian bagus dan tidak begitu ada pertahanan pada sistem, sehingga hal ini pun juga dapat memberi kemudahan bagi Ethical Hacker untuk melakukan eksploitasi, sekaligus juga menghemat waktu karena tidak perlu susah-susah berpikir.
Aktivitas lain yang dimiliki oleh seorang Ethical Hacker, yakni :
- Mencari celah keamanan pada sistem.
- Melakukan Bypass tembok pertahanan pada sistem.
- Selalu belajar hal baru.
- Menjadi “bagian” atau hanya menjadi “pendatang” di dalam komunitas Cyber Security.
- Melatih skill atau kemampuan hacking dengan cara sering mengikuti perlombaan Capture The Flag.
Note → Ethical Hacker juga adalah seorang manusia biasa, maka dari itu hacker ini juga perlu makan, minum, tidur, olahraga, dan aktivitas lainnya agar tubuh dan otak tetap sehat.
Manfaat/Keuntungan menjadi Ethical Hacker?
Disamping banyaknya proses dan tugas yang harus diselesaikan oleh seorang Ethical Hacker, ada juga keuntungan-keuntungan dan manfaat yang diperoleh, diantaranya adalah :
- Mengerti “Hacker’s mindset” dan dapat mengaplikasikannya secara nyata.
Tugas utama kita sebagai Ethical Hacker adalah untuk meneliti secara mendetail dan mengamankan jaringan dari suatu perusahaan agar dapat terlindung dari serangan hacker yang jahat. Nah, untuk dapat mencapai tujuan tersebut, pastinya kita perlu mendapatkan mindset dari seorang Hacker dan bagaimana cara mereka beroperasi. Maka dari itu, tujuan utama dari mempelajari Ethical Hacking adalah untuk dapat memahami bagaimana cara seorang hacker bekerja dan beroperasi.
- Dapat mengerti beberapa varian dari teknik peretasan atau teknik hacking.
Dengan mempelajari Ethical Hacking, kita dapat mengerti bagaimana cara sebuah sistem dapat dieksploitasi dan dengan cara-cara apa saja serta alur proses yang diperlukan, dan hal ini adalah hal yang biasa dilakukan oleh hacker yang jahat. Setelah kita mengetahui segala proses eksploitasi yang biasa dilakukan oleh hacker, maka kita dapat memberikan kesimpulan terkait bagaimana cara mengamankan sistem tersebut.
- Dapat membuat kita mengerti akan standar dan kualitas yang diperlukan saat dilakukannya development.
Jika sebuah software atau aplikasi tidak dicoba sebelum diluncurkan/deployed, maka akan berujung membuka celah bagi banyak ancaman keamanan dan serangan. Sebagai Ethical Hacker, kita dapat membantu dan melatih para tim developer untuk melakukan percobaan keamanan yang pasti dan menjamin keberhasilan dari percobaan keamanan tersebut hingga pada akhirnya, keamanannya dapat terjamin.
- Memudahkan untuk mencari pekerjaan.
Terkadang, untuk mencari pekerjaan dan agar diterima oleh perusahaan, kita terpaksa harus membuktikan diri dan menunjukkan skill yang kita miliki. Nah, dengan mempelajari Ethical Hacking dan meraih berbagai sertifikasi seperti CEH (Certified Ethical Hacker) atau OSCP (Offensive Security Certified Professional) dan sertifikasi lainnya, maka kita dapat membuktikan bahwa kita berpotensi kompeten untuk mendapatkan pekerjaan.
Namun, sertifikasi saja tidak cukup untuk membuktikan diri kepada perusahaan, karena yang perusahaan inginkan adalah skill yang sekiranya sudah lumayan mumpuni dan pemahaman yang benar dan lurus terkait hal-hal dalam Ethical Hacking, dan hal lainnya yang perusahaan inginkan adalah sifat yang mau terus belajar dari diri kita, dengan kata lain yaitu attitude yang benar.
Skill yang diperlukan untuk menjadi seorang Ethical Hacker?
Seperti yang sudah kita lihat dan saksikan sendiri di kehidupan nyata, bahwa orang-orang yang menjadi hacker nampaknya sungguh hebat dan ahli dalam meretas dan menerobos keamanan dalam sistem jaringan dan infrastruktur server.
Maka dari itu, apa saja sih yang menjadi syarat skill yang harus dicapai agar orang dapat dinyatakan sebagai “Ethical Hacker”? Mengingat juga kalau seorang Ethical Hacker juga harus dapat me-mimic kemampuan dari hacker jahat dan juga harus dapat memberikan saran untuk memitigasi serangan siber.
- Pre-Engagement
Langkah awal yang pasti sebelum memulai hacking adalah menyiapkan segala alat-alat atau tools software yang dibutuhkan untuk operasi hacking.
- Information Gathering
Setelah mengumpulkan alat-alat untuk hacking, langkah selanjutnya yaitu mencari dan mengumpulkan sebanyak mungkin informasi terkait sistem target, seperti IP Address, Hosts, Port, Vulnerability, versi dari perangkat, dan masih banyak lagi.
- Threat Modeling
Tahap ini merupakan tahap untuk menyatukan semua informasi yang telah kita kumpulkan mengenai target kita dan membuat rencana terkait apa dan bagaimana cara yang harus kita lakukan untuk menyerang target kita, dengan kata lain, evaluasi hasil “reconnaissance”.
- Vulnerability Analysis
Tahap ini adalah dimana kita menganalisa hasil dari percobaan testing secara Threat Modeling yang telah kita buat untuk menentukan bagian mana yang dapat kita fokuskan untuk eksploitasi.
- Exploitation
Eksploitasi adalah tahap dimana kita meluncurkan serangan terhadap Vulnerability yang telah kita dapatkan sebelumnya, dengan menggunakan tools otomatis maupun manual.
- Post Exploitation
Selesai dari tahap eksploitasi, kita akan menganalisa kembali hasil dari eksploitasi yang kita lakukan terhadap target, misalnya seperti, kita mendapatkan akses masuk ke dalam mesin/server target dan dampaknya adalah berpotensi Tailgating atau Social Engineering ataupun bentuk serangan lainnya akibat hasil dari berhasilnya tahap eksploitasi. Dan semua inilah yang menentukan value akhir dari sistem target yang ter-compromised atau yang berhasil diretas.
- Reporting
Tahap terakhir ini adalah tahap dimana kita membuat catatan report yang dapat dimengerti dengan mudah terkait hasil dari bagaimana dan dimana celah keamanan tersebut dapat ditemukan, melalui apa dan dengan apa keamanan sistem tersebut dapat tereksploitasi dan rekomendasi apa yang diperlukan untuk memitigasi serangan eksploitasi tersebut.
Hal-hal yang perlu diingat dalam Ethical Hacking
Disaat melakukan peretasan, tentunya kita akan bertujuan untuk membobol suatu keamanan dan terkadang berujung menemukan data-data penting milik orang lain atau menemukan suatu halaman situs yang hanya dapat dilihat oleh orang internal atau pemilik, dengan kata lain, tempat yang seharusnya tidak untuk dikunjungi oleh khalayak umum.
Maka dari itu, untuk menghindari hal-hal yang tidak diinginkan disaat melakukan peretasan, kita harus mengetahui beberapa hal :
- Peretasan hanya dapat dilakukan disaat sudah mendapatkan izin dari pihak terkait yang ingin diretas, atau harus ada dibawah otorisasi pemilik.
- Memberitahu dan memberikan rekomendasi mitigasi atau solusi terkait celah keamanan yang ditemukan pada aplikasi pemilik serta merahasiakan hasil penemuan tersebut terhadap orang-orang yang tidak bersangkutan.
- Jangan melakukan Penetration Testing hanya untuk kepentingan sendiri dan iseng-iseng mencari dan menemukan data-data penting untuk disalahgunakan.
- Jangan melakukan Penetration Testing secara asal-asalan, dengan alasan menganggap diri “bisa melakukannya” atau “bisa hacking” sehingga dengan begitu, tidak meminta izin kepada si pemilik.
Apakah baik dan bermanfaat jika berkarir sebagai Ethical Hacker?
Di zaman modern sekarang ini yang penuh dengan penggunaan alat digital dan perangkat yang saling terkoneksi kedalam jaringan dan internet, pastinya ada banyak sekali hacker-hacker jahat yang menyerang target-target pilihannya seperti perusahaan besar, bank besar, dan juga organisasi-organisasi tertentu.
Kita, yang berkarir sebagai Ethical Hacker, tentunya sangat diuntungkan karena banyak sekali perusahaan yang memerlukan orang-orang yang bertalenta dan ahli dalam bidang Cyber Security untuk bekerja sama melindungi pemerintah dan organisasi dan perusahaan yang menjadi target dari hacker jahat.
Maka dari itu, pekerjaan dan karir sebagai Ethical Hacker dapat terlihat menguntungkan oleh karena banyak perusahaan yang membutuhkan hacker baik untuk melindungi produk aplikasi software nya dari serangan hacker jahat.
Pada akhirnya, kita harus tetap mengingat bahwa karir dan pekerjaan sebagai Ethical Hacker tetaplah pekerjaan biasa, hanya saja tugas yang dilakukan yaitu untuk melindungi cyberspace dari hacker-hacker yang jahat yang ingin merugikan, dan juga jangan sampai kita yang sebagai Ethical Hacker malah sewaktu-waktu ingin meretas sesuatu hanya karena keinginan pribadi kita dan beralasan “kita bisa melakukannya”.
Referensi :
→ What is Ethical Hacking? – What are the Steps to Ethical Hacking?
→ Black hat, white hat & gray hat hackers | Norton
→ A Day in the Life of an Ethical Hacker | Packetlabs
→ 9 Ethical Hacking Advantages To Know Before Becoming A Hacker – (devcount.com)
→ Ethical Hacking Boundaries: White Hat vs. Black Hat