Cyberthreat.id - Apa yang terlintas di benak Anda saat mendengar kata “peretas”? Satu kata: jahat. Tidak heran jika Anda berpikiran seperti itu karena lebih banyak peretas berbuat jahat untuk meraih keuntungan sendiri

Akhir tahun lalu peretas ransomware REvil mengklaim telah mengumpulkan Rp1,48 triliun dari uang tebusan yang dilayangkan ke perusahaan yang berhasil dienkripsinya. (Baca: Setahun Geng REvilSodinokibi Klaim Kumpulkan Rp148 Triliun) 

Baru-baru ini peretas ransomware Maze dan Egregor juga mengklaim telah mengumpulkan uang tebusan hingga Rp1 triliun dalam setahun. Bahkan, ransomware-nya dibuat sebagai bisnis atau dikenal dengan ransomware-as-a-services (RaaS), yang dapat disewakan untuk menyerang siapa pun. Hal ini untuk meraih pendapatan yang lebih bagi grup ransomware. (Baca: Operator Ransomware Maze dan Egregor Kumpulkan Uang Tebusan Rp1 Triliun).

Meski lebih banyak peretas yang terlihat secara jahat, peretas "baik" yang menyalurkan bakatnya untuk membantu melindungi perusahaan atau bisnis dari potensi diserang juga ada. Peretas itu disebut di kalangan keamanan siber sebagai “peretas topi putih” yang juga dikenal sebagai "peretas etis/ethical hacker".

Alih-alih menggunakan kemampuannya berbuat ilegal, peretas topi putih menggunakan kemampuannya secara legal dan mendapatkan keuntungan juga. Aktivitas yang dilakukan atas izin pemilik sistem yang akan diretasnya.

Peretas topi putih membantu tim IT perusahaan untuk menemukan kerentanan yang sekiranya berpotensi dieksploitasi oleh peretas jahat. Hanya, patut diakui lebih gampang terkenal ketika berbuat jahat dibandingkan berbuat baik membantu perusahaan. Hasil karyanya tidak akan begitu terlihat karena memang pada dasarnya tugas dari mereka adalah melindungi. Karena itu, peretas topi putih kadang tidak dikenal banyak orang atas karyanya atau populer atas hasil kerjanya.

Hasil perbuatan peretas jahat yang malah terkenal, yang menjadi bahan pembicaraan banyak orang atau viral, bahkan diberi nama oleh para penemunya agar platform pendeteksi antivirus/antimalware dapat mendeteksi itu.

Sebenarnya, ada juga hasil temuan para peretas putih yang dipublikasikan setelah dilakukan perbaikan oleh pemilik sistem yang ditemukan rentan oleh peretas topi itu.

Karena sesama peretas, tugasnya juga sesuai namanya yakni meretas. Bedanya, peretas jahat mengeksploitasi kerentanan atau semacam "pintu masuk" di sebuah sistem yang rentan yang kemudian menyebarkan kode berbahaya untuk meraih keuntungan secara ilegal. Sementara, peretas topi putih mengeksploitasi kerentanan yang kemudian dapat membantu memperbaiki masalah kerentanan itu oleh pemilik sistemnya sebelum pada akhirnya ditemukan oleh peretas jahat itu.

Keduanya memiliki sensasi yang sama dalam memecahkan sesuatu yang seharusnya tidak pernah rusak, mereka hanya memiliki motif yang berbeda.

Bagi banyak peretas topi putih, prosesnya diubah dalam bentuk program bug bounty—kompetisi yang memberi hadiah uang tunai kepada peretas karena melaporkan kerentanan.

Lagi pula, siapa yang lebih baik untuk melawan seorang peretas daripada peretas lainnya? Pastinya Anda sering mendengar ungkapan ketika ingin menangkap penjahat, maka berpikirlah layaknya penjahat.

Grey hat

Dalam komunitas keamanan siber, sebenarnya ungkapan peretas jahat tidak ada melainkan disebut dengan peretas topi hitam (black hat). Tidak hanya peretas topi hitam dan peretas topi putih, ada juga peretas abu-abu (grey hat).

Grey hat tidak menempati di posisi jahat maupun baik, melainkan berada di tengah-tengah dari kedua hal itu. Peretas ini seringkali melakukan operasi yang sedikit lebih dipertanyakan dari sisi moralnya, seperti peretasan kelompok yang mereka lawan secara ideologis, atau meluncurkan aksi protes dengan peretasan. Namun, peretas grey hat, menurut ITPro, masuk dalam kategori ethical hacker.

Grey hat pada dasarnya melakukan hal yang sama seperti white hat, di mana melaporkan adanya kerentanan yang sekiranya berpotensi dieksploitasi oleh peretas black hat. (Baca: Apa Beda White Hat, Black Hat, dan Grey Hat).

Bagaimana peretas etis menghasilkan uang?

Jika black hat mendapatkan uang dari hasil merusak sistem seseorang berbekal kerentanan yang ditemukan dan tidak dilaporkan kepada pemilik sistem, peretas etis seringkali dipekerjakan oleh perusahaan keamanan siber atau organisasi yang lebih besar sehingga memerlukan pertahanan. Kemampuannya yang berpikir layaknya penjahat beroperasi membuat mereka dapat mencegah serangan.

Di Indonesia ada beberapa perusahaan besar yang menggandeng peretas etis ini untuk membantu melindungi keamanan siber di perusahaannya. Salah satunya, Bank Central Asia (BCA) merekrut white hacker untuk menguji keamanan sistem informasi perusahaan atau dikenal dengan penetration testing (pentest). (Baca: BCA Rekrut White Hacker untuk Amankan Aplikasi)

Bug bounty

Jika tidak dipekerjakan oleh perusahaan, peretas etis memiliki jalan alternatif dalam mencari nafkah secara "halal" tanpa takut ponselnya berdering karena dihubungi aparat atau pintu rumahnya diketuk oleh polisi. Alternatif itu adalah melalui program bug bounty yang juga seringkali diadakan oleh perusahaan besar yang peduli akan keamanan siber.

Seperti halnya raksasa teknologi, Google, Facebook, Microsoft dan sebagainya, menggelar program bug bounty atau pencarian bug yang kemudian diberikan hadiah kepada peneliti atau peretas yang berhasil menemukan celah keamanan dalam jaringan atau layanan mereka.

Sepanjang 2020 Facebook sudah habiskan Rp28 miliar untuk program bug bounty. Salah satu peneliti keamanan asal Indonesia, Selamet Hariyanto mendapatkan hadiah US$80.000, hadiah tertinggi selama Facebook menggelar bug bounty sejak 2011. (Baca: Sepanjang 2020 Facebook Habiskan Rp 28 Miliar untuk Bayar White Hacker)

Hadiah yang ditawarkan dalam program bug bounty ini memang lumayan besar dan bertingkat, yang kemudian mendorong para peretas etis melaporkan kerentanan sehingga pemiliknya dapat memperbaiki sebelum akhirnya ditemukan oleh peretas jahat.

Apa yang memotivasi peretas etis?

Kebanyakan peretas menyerang karena termotivasi oleh rasa ingin tahu, begitu pula peretas etis. Menurut ITPro, mereka sering dimotivasi oleh keinginan untuk melihat apa yang membuat segalanya berjalan, mencari-cari di sistem keamanan hanya untuk menemukan tantangan jalan keluar dari hal yang sekiranya bermasalah.

Selain itu, peretas juga didorong oleh ketulusan ingin membantu suatu perusahaan yang menjalani sistem elektroniknya agar lebih aman. Faktor lainnya tentu saja uang tunai karena “tidak ada makan siang gratis.”

Uang tunai merupakan faktor motivasi besar bagi peretas etis. Berkarier atau menjalani pekerjaan sebagai peretas etis bisa sangat menguntungkan untuk jalan ke depan dan sering kali memungkinkan peretas menghasilkan lebih banyak uang daripada sebagai penjahat siber tanpa takut akan pembalasan.

Demikian pula program bug bounty yang menghadiahkan peretas etis tidak main-main dan berjuta hingga miliaran. Jika Facebook biaya tertinggi per peretas yang dibayarnya adalah US$80.000, Google memegang rekor bayaran tertinggi untuk bug bounty yakni US$112.500. Bukan uang yang sedikit bukan?

Bagaimana cara menjadi peretas etis?

Jika Anda merupakan peretas tetapi berkeinginan beralih menjadi peretas etis, Anda sudah berada setengah jalan. Jika pemikiran Anda sudah menginginkan berbuat baik membantu meningkatkan keamanan siber dibandingkan mengisi rekening atau dompet Anda dari merusak, maka Anda sedang dalam perjalanan untuk menjadi peretas etis.

Langkah-langkah praktis yang dapat diambil untuk sampai pada tujuan adalah mengambil banyak kursus yang memberi Anda semua keterampilan yang dibutuhkan untuk menjadi peretas etis.

Bacalah sebanyak yang Anda bisa tentang elemen teknis peretasan dan pertahanan siber, ikuti perkembangan di lapangan, dan secara umum pelajari sebanyak mungkin tentang teori dan praktik keamanan siber. Karena merusak terkadang lebih mudah dibandingkan memperbaikinya, sehingga ini perlu dari hal mendasar hingga pendalamannya.

Disarankan juga bagi peretas etis mempelajari beberapa bahasa pemrograman jika Anda belum menguasainya. Meskipun tidak mutlak bagi peretas etis atau sebaliknya untuk memiliki pengetahuan mendalam tentang pengkodean, tetapi bisa saja ini berguna dan akan memberi keuntungan sepanjang karier Anda.

Tak butuh pendalaman pengetahuan teori terkait keamanan siber dan sejenisnya, tetapi peretas etis juga perlu mengetahui adanya kode etika  untuk memandu apa yang akan dilakukan. Dikutip dari CSOOnline, EC-COuncil, pencipta ujian Certificated Ethical Hacker (CEH) memiliki salah satu kode etik publik terbaik yang tersedia.

Adapun mengambil sertifikasi juga disarankan atau tidak salahnya juga meskipun menjadi penguji penetrasi profesional atau peretas etis tidak memerlukan sertifikasi peretasan etis untuk dipekerjakan. Biasanya perusahaan melihat nilai tambah jika Anda bersertifikat dalam peretasan etis.

Terdapat lima kursus dan sertifikasi peretasan etis terpopuler bisa menjadi referensi bagi Anda, antara lain Certificate Ethical Hacker (CEH) EC-Council, SANS GPEN, Offensive Security Certified Professional, Foundstone Ultimate Hacking, dan CREST.

Selain itu, situs web yang menyediakan pelatihan menjadi peretas etis seperti Hack This Site, Offensive Security, Security Tube, Crybrary, HackADay, Udemy, Hacking-Tutorial, EC-Council, Metasploit, dan SecTools.[] (Baca: Sekolah Online Terbaik Menjadi White Hacker)

Redaktur: Andi Nugroho