Cyberthreat.id – Ahli komputer Onno W Purbo mengatakan, sebagai peretas etis alias white hat hacker harus memiliki batasan-batasan dalam melakukan pengujian celah keamanan suatu sistem elektronik.

"Kalau sampai bablas akan sangat berbahaya dan bisa melanggar hukum," ujar Onno dalam diskusi daring yang diadakan oleh Fakultas Teknik Universitas Muhammadiyah Magelang berjudul “Cyber Security dalam Dunia Pendidikan”, Sabtu (8 Agustus 2020).

Berbeda hal jika dikontrak oleh sebuah instansi untuk menguji sistem elektronik, menurut Onno, sang pentester—julukan lain peretas etis—bisa memeriksa lebih dalam.

Onno, salah satu orang yang ikut melahirkan internet di Indonesia, mengatakan, seorang peretas etis juga perlu mengetahui footprint (jejak kaki) serangan siber yang sebenarnya. Termasuk pula harus memahami seperti apa cara menilai kerentanan dan menyampaikannya kepada klien atau pemilik sistem elektronik.

“Penilaian kerentanan diperlukan untuk menemukan potensi kerentanan di seluruh sistem,” tutur Onno.

Ada banyak alat yang tersedia di pasar yang dapat mengotomasi proses penilaian ini sehingga peneliti keamanan yang belum berpengalaman atau administrator jaringan dapat secara efektif menentukan postur keamanan lingkungan yang dimiliki.

"Dalam melakukan penilaian kerentanan, sistem biasanya akan dicacah dan dievaluasi untuk kerentanan, dan pengujian sering dapat dilakukan dengan atau tanpa otentikasi," tutur Onno yang dikenal sebagai gurunya peretas etis.

Menurut Onno, pengujian sistem akan memungkinkan sebuah perusahaan memahami apakah strategi mitigasi yang digunakan benar-benar bekerja seperti yang diharapkan.

Oleh karenanya, ia menyarankan, agar pentester diharapkan dapat meniru tindakan yang akan dilakukan penyerang, dan akan ditantang untuk membuktikan bahwa mereka dapat meretas sistem kritis yang ditargetkan.

“Penetration testing yang paling berhasil, yaitu dapat membuktikan tanpa keraguan bahwa kerentanan yang ditemukan akan menyebabkan hilangnya pendapatan atau dampak bisnis yang signifikan, kecuali jika ditangani dengan benar,” tutur dia.

Sebagai pentester, dibutuhkan pengetahuan yang lebih dalam dan lebih luas daripada yang dibutuhkan untuk analisis kerentanan agar dapat melakukan pembuktian sistem mereka ataupun tidak. Selain itu, diperlukan beberapa kemampuan untuk menghadapi masalah seperti:

• Prosedur pengelolaan tambalan (patch) yang efektif.
• Kebijakan pengetesan konfigurasi sistem terkelola.
• Multi-layered DMZs.
• Pengelolaan log keamanan terpusat.
• Kontrol keamanan berbasis host.
• Deteksi intrusi jaringan atau sistem pencegahan.
• Deteksi intrusi nirkabel atau sistem pencegahan.
• Sistem deteksi intrusi atau pencegahan aplikasi web.
• Keamanan end user, keamanan eksekutif, dan insider threat

Pentester juga perlu memahami alasan penyerang dapat membobol sistem karena kesalahan konfigurasi, rancangan buruk dari arsitektur TI, dan social engineering.

Sebelum memulai pengujian, ada persyaratan yang harus dipertimbangkan. Pentester perlu menentukan ruang lingkup yang tepat dari pengujian, jangka waktu, batasan, jenis pengujian (white box dan black box), dan bagaimana menangani peralatan pihak ketiga dan wilayah IP. Sebelum menentukan ruang lingkup pengujian secara akurat, pentester perlu mengumpulkan sebanyak mungkin informasi.

"Pastikan untuk menentukan tanggal mulai dan berakhir dengan jelas. Tentukan dengan jelas rules of engagement sertakan rentang IP, bangunan, jam, dan sebagainya yang mungkin perlu diuji. Jika tidak ada dalam dokumentasi rules of engagement, jangan melakukan pengujian," ujar Onno. []

Redaktur: Andi Nugroho