ethical hacker

Apa itu ethical hacker?

Ethical hacker, atau biasa juga disebut sebagai white hat hacker, adalah seorang ahli keamanan informasi (infosec) yang melakukan penetrasi terhadap sistem komputer, jaringan, aplikasi, atau sumber daya komputasi lainnya atas nama pemiliknya — dan tentunya dengan izin dari mereka. Organisasi memanggil ethical hacker untuk mengungkap potensi kerentanan keamanan yang bisa dimanfaatkan oleh hacker jahat.

Tujuan dari ethical hacking adalah untuk mengevaluasi keamanan serta mengidentifikasi kerentanan dalam sistem target, jaringan, atau infrastruktur sistem. Proses ini melibatkan pencarian dan kemudian upaya eksploitasi kerentanan tersebut untuk menentukan apakah akses tidak sah atau aktivitas jahat lainnya bisa dilakukan.

Asal-usul ethical hacking

Mantan eksekutif IBM, John Patrick, sering disebut sebagai pencetus istilah ethical hacking pada tahun 1990-an, meskipun konsep dan praktiknya sudah ada jauh sebelumnya.

Istilah hacking pertama kali muncul di tahun 1960-an, terkait dengan aktivitas di Massachusetts Institute of Technology (MIT) dan merujuk pada teknik rekayasa kreatif untuk “mengoprek” mesin agar bekerja lebih efisien. Saat itu, hacking dianggap sebagai pujian bagi mereka yang punya kemampuan luar biasa di bidang pemrograman komputer.

Namun, seiring waktu dan komersialisasi teknologi komputer untuk konsumen, praktik hacking jahat mulai sering terjadi. Hacker menyadari bahwa bahasa pemrograman bisa digunakan untuk memanipulasi sistem telekomunikasi agar bisa menelepon jarak jauh secara gratis, yang dikenal sebagai phreaking.

Film tahun 1983 berjudul War Games, yang menceritakan seorang siswa SMA secara tidak sengaja masuk ke superkomputer militer AS, turut menyoroti kerentanan sistem komputer besar. Masuk ke era 2000-an, regulasi seperti Health Insurance Portability and Accountability Act (HIPAA) yang mengatur penyimpanan dan keamanan data medis serta bisnis digital, membuat peran ethical hacker semakin penting dalam dunia cybersecurity.

Komersialisasi keterampilan hacking yang dikenal sebagai hacking as a service (HaaS) membuat lanskap keamanan siber jadi makin kompleks. Di satu sisi, perusahaan keamanan dan vendor IT mulai menawarkan layanan ethical HaaS kepada klien korporat melalui kontrak. Tapi di sisi lain, pasar bawah tanah di dark web juga berkembang pesat — jadi tempat jual beli layanan hacking untuk tujuan ilegal.

Pandemi coronavirus membuka celah baru bagi pelaku kejahatan siber. Dalam laporan “The Hidden Costs of Cybercrime” yang dirilis Juli 2020 oleh Center for Strategic and International Studies dan McAfee, kerugian finansial akibat cybercrime pada tahun itu diperkirakan mencapai $945 miliar. Sementara itu, organisasi-organisasi juga diperkirakan menghabiskan $145 miliar untuk layanan dan teknologi cybersecurity.

Apa itu ethical hacking?

Ethical hacker harus punya keahlian teknis yang mendalam dalam bidang infosec supaya bisa mengenali vektor serangan yang bisa mengancam data operasional dan bisnis. Mereka biasanya punya sertifikasi industri yang diakui, lulusan jurusan ilmu komputer, dan tentunya pengalaman praktis menangani sistem keamanan.

Ethical hacker biasanya menemukan celah keamanan dari konfigurasi sistem yang kurang aman, kerentanan hardware/software (baik yang diketahui maupun tidak), serta kelemahan operasional dalam proses atau kontrol teknis. Contoh ancaman yang mungkin mereka temukan adalah serangan DDoS, di mana banyak komputer disusupi dan diarahkan untuk menyerang target tertentu dalam jaringan.

Ethical hacker diberi keleluasaan penuh oleh organisasi untuk mencoba menembus infrastruktur TI mereka secara berulang dan legal. Tujuannya adalah menguji seberapa kuat sistem keamanan yang mereka miliki saat ini.

Ethical hacker menggunakan metode dan teknik yang mirip dengan black hat hacker (hacker jahat), tapi tujuannya bukan untuk keuntungan pribadi. Mereka justru mendokumentasikan threat intelligence agar organisasi bisa memperbaiki keamanan jaringannya dengan kebijakan, prosedur, dan teknologi infosec yang lebih baik.

Setiap organisasi yang punya jaringan internet atau menyediakan layanan online sebaiknya melakukan penetration testing (pen testing) secara berkala yang dilakukan oleh ethical hacker.

Apa yang dilakukan oleh ethical hacker?

Ethical hacker bisa membantu organisasi dengan berbagai cara, antara lain:

  • Menemukan kerentanan. Ethical hacker membantu perusahaan untuk mengetahui bagian mana dari sistem keamanan TI mereka yang efektif, mana yang perlu diperbarui, dan mana yang masih punya celah. Setelah proses evaluasi selesai, mereka akan melaporkan area-area yang rentan seperti enkripsi password yang lemah, aplikasi tidak aman, atau sistem yang belum dipatch. Hasilnya bisa dipakai sebagai dasar untuk memperkuat pertahanan terhadap serangan siber.
  • Mendemonstrasikan metode yang digunakan oleh penjahat siber. Demonstrasi ini memberi gambaran kepada pimpinan perusahaan tentang teknik peretasan yang bisa digunakan pelaku kejahatan untuk menyerang sistem mereka. Semakin paham perusahaan tentang metode yang digunakan penyerang, makin siap mereka untuk mencegah serangan.
  • Membantu persiapan menghadapi serangan siber. Serangan siber bisa melumpuhkan bahkan menghancurkan bisnis — terutama usaha kecil. Banyak perusahaan belum siap menghadapinya. Ethical hacker tahu bagaimana threat actor bekerja dan bagaimana mereka memanfaatkan informasi baru untuk menyerang sistem. Profesional keamanan yang bekerja bareng ethical hacker bisa lebih siap menghadapi serangan masa depan karena mereka memahami sifat ancaman online yang terus berubah.

Perbedaan Ethical Hacking dan Penetration Testing

Pen testing dan ethical hacking sering dianggap sama, tapi sebenarnya ada sedikit perbedaan yang membedakan kedua peran ini. Banyak organisasi menggunakan kedua-duanya—ethical hacker dan pen tester—untuk memperkuat keamanan TI mereka.

Ethical hacker secara rutin menguji sistem TI untuk mencari celah dan tetap up to date terhadap ransomware atau virus komputer terbaru. Pekerjaan mereka biasanya mencakup pen testing sebagai bagian dari penilaian keamanan TI secara keseluruhan.

Pen tester juga punya tujuan yang mirip, tapi biasanya dijalankan dengan jadwal yang sudah ditentukan. Fokus pen testing juga lebih sempit, hanya pada aspek-aspek tertentu dari jaringan, bukan keamanan menyeluruh secara terus-menerus.

Contohnya, orang yang melakukan pen testing mungkin cuma dikasih akses terbatas ke sistem yang diuji, dan hanya selama waktu pengujian berlangsung.

Teknik Ethical Hacking

Ethical hacker umumnya memakai teknik hacking yang sama seperti yang digunakan hacker jahat untuk menyerang perusahaan. Mereka melakukan semacam reverse-engineering untuk membayangkan skenario yang bisa membahayakan data bisnis dan operasional. Teknik dan alat yang digunakan merupakan bagian dari proses vulnerability assessment yang dilakukan ethical hacker atas nama klien.

Beberapa teknik hacking yang digunakan antara lain:

  • memindai port untuk menemukan celah menggunakan alat pemindai seperti Nmap, Nessus, Wireshark, dan lainnya. Mereka menganalisis sistem perusahaan, mengidentifikasi port yang terbuka, meneliti kelemahan tiap port, dan memberikan saran perbaikan;
  • memeriksa proses instalasi patch untuk memastikan bahwa pembaruan perangkat lunak tidak menimbulkan kerentanan baru;
  • menganalisis dan menyadap lalu lintas jaringan menggunakan tools yang tepat;
  • berusaha menghindari sistem deteksi dan pencegahan intrusi, honeypot, dan firewall;
  • menggunakan metode untuk mendeteksi serangan Structured Query Language (SQL) injection agar hacker tidak bisa mengeksploitasi dan mengakses data sensitif dalam relational database berbasis SQL.

Ethical hacker juga mengandalkan teknik rekayasa sosial untuk memanipulasi pengguna dan mendapatkan informasi tentang lingkungan komputasi organisasi. Layaknya black hat hacker, mereka bisa mengintip postingan media sosial atau GitHub, menjalankan phishing lewat email atau SMS, atau berkeliaran di kantor dengan clipboard untuk mengeksploitasi kelemahan keamanan fisik. Tapi ada batasan—ethical hacker nggak boleh pakai ancaman fisik atau pemerasan untuk mendapatkan akses atau informasi.

Cara Menjadi Seorang Ethical Hacker

Tidak ada syarat pendidikan standar buat ethical hacker, jadi tiap organisasi bisa menentukan sendiri. Tapi, yang ingin jadi ethical hacker sebaiknya pertimbangkan gelar sarjana atau magister di bidang infosec, ilmu komputer, atau bahkan matematika sebagai landasan yang kuat.

Buat yang nggak kuliah, bisa juga mempertimbangkan karier infosec lewat jalur militer. Banyak perusahaan yang justru menganggap latar belakang militer sebagai nilai plus, apalagi kalau sudah punya security clearance.

Bidang teknis lain seperti pemrograman, scripting, jaringan, dan teknik perangkat keras juga sangat membantu. Pengetahuan sistem operasi dan pengembangan perangkat lunak juga jadi modal penting buat ethical hacker.

Sertifikasi Ethical Hacker

Banyak sertifikasi yang bisa membantu ethical hacker menunjukkan keahliannya. Di antaranya:

  • Tiga program dari CompTIA: Cybersecurity Analyst (CySA+), Advanced Security Practitioner (CASP+), dan PenTest+. CySA+ fokus ke analisis perilaku jaringan, CASP+ menguji kompetensi lanjutan dalam manajemen risiko dan operasi keamanan tingkat enterprise, sementara PenTest+ dikhususkan untuk profesional pen tester.
  • Certified Ethical Hacker (CEH). Sertifikasi dari EC-Council ini cocok buat yang ingin menjadi pen tester. Materinya mencakup lebih dari 270 teknik serangan. Syaratnya antara lain ikut pelatihan resmi dari EC-Council dan punya pengalaman kerja di bidang infosec minimal 2 tahun. Ada juga level CEH Master untuk yang sudah pengalaman dan ingin tantangan tambahan.
  • Certified Information Systems Auditor (CISA). Dikeluarkan oleh ISACA, sertifikasi ini membuktikan kemampuan di bidang audit sistem informasi. Syaratnya: pengalaman kerja profesional minimal 5 tahun di bidang audit, kontrol, atau keamanan TI.
  • Certified Information Security Manager (CISM). Juga dari ISACA, CISM ditujukan buat manajer keamanan atau konsultan TI yang mendukung manajemen program infosec. Syaratnya juga 5 tahun pengalaman di bidang terkait.
  • GIAC Security Essentials (GSEC). Sertifikasi dari GIAC ini cocok buat profesional keamanan yang ingin menunjukkan kompetensi dalam tugas-tugas keamanan praktis sehari-hari.
  • Microsoft Technology Associate Security Fundamentals. Dulunya jadi langkah awal menuju sertifikasi MCSA, tapi sejak Juni 2021 Microsoft menghentikan ujian ini dan menggantinya dengan ujian berbasis peran.

Karier untuk Ethical Hacker

Selain sertifikasi, banyak universitas dan perguruan tinggi di AS yang menawarkan program untuk belajar dasar-dasar ethical hacking. Menurut Biro Statistik Tenaga Kerja AS (BLS), profesi ethical hacker dimasukkan ke dalam kategori analis infosec.

Data BLS menunjukkan ada sekitar 131.000 orang yang bekerja di bidang ini, dengan gaji median tahunan sekitar $103.590 atau $49.80 per jam. Diperkirakan akan ada 41.000 lowongan baru hingga tahun 2029, dengan tingkat pertumbuhan 31%, jauh lebih cepat dari rata-rata nasional AS.

Jenis-Jenis Hacker

Hacking nggak selalu hitam-putih. Misalnya, gray hat hacker bisa mengungkap celah keamanan dan menyebarkannya ke publik, tapi nggak memberi tahu pemilik sistem. Mereka bisa memberikan wawasan soal kelemahan sistem, meskipun kadang juga menjual informasi itu demi keuntungan pribadi.

Green hat hacker adalah para pemula yang belum punya skill teknis tapi punya minat dan semangat belajar untuk jadi hacker. Bisa jadi bagian dari hacktivism atau spionase siber.

Blue hat hacker ada dua tipe. Pertama, orang yang jago membuat malware dan menyerang sistem sebagai bentuk balas dendam. Kedua, mereka yang diundang ke konferensi Microsoft BlueHat, buat menguji keamanan produk sebelum rilis.

Red hat hacker adalah ethical hacker yang ahli menyerang sistem berbasis Linux. Tapi mereka nggak cuma melaporkan black hat ke pihak berwenang, melainkan balas menyerang untuk melumpuhkan sistem si penyerang.

Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *