Kategori
Security

Kode Etik Hacking

Pengertian

Hacking telah menjadi bagian dari komputasi selama hampir lima dekade dan ini adalah menjadi pembahasan sangat luas, yang mencakup berbagai topik. Acara terkenal pertama hacking yang terjadi di 1960 di MIT dan pada saat yang sama, istilah “Hacker” berasal.

Hacking adalah tindakan menemukan titik entri yang mungkin ada dalam sistem komputer atau jaringan komputer dan akhirnya memasuki mereka. Hacking biasanya dilakukan untuk mendapatkan akses tidak sah ke sistem komputer atau jaringan komputer, baik untuk membahayakan sistem atau mencuri informasi sensitif yang tersedia pada komputer.

Hacking biasanya selama itu biasanya dilakukan untuk menemukan kelemahan dalam sistem komputer atau jaringan untuk tujuan pengujian. Hacking seperti ini adalah apa yang kita sebut Ethical Hacking.

Ethical hacking adalah tindakan hacking yang dilakukan atas izin dan atas sepengetahuan pemilik.

Sedangkan Hacking sendiri memiliki pengertian menembus keamanan sistem suatu jaringan komputer

Seorang ahli komputer yang melakukan perbuatan hacking disebut “Hacker”. Hacker adalah mereka yang mencari pengetahuan, untuk memahami bagaimana sistem bekerja, bagaimana mereka dirancang, dan kemudian mencoba untuk bermain dengan sistem ini.

Hacker, sebuah sebutan atau mungkin sebuah profesi bagi sebagian orang di bidang keamanan informasi yang paling populer di telinga orang awam. Film-film sci-fi dan action pun ikut-ikutan latah dengan memasukkan karakter seorang hacker di setiap skenarionya seolah-olah masa depan ada di tangan seorang hacker.

Sayangnya, konotasi yang melekat pada profesi ini selalu negatif karena sering dikaitkan dengan cybercrime.  Pencurian data yang bersifat rahasia, penyalahgunaan informasi kartu kredit, atau pemalsuan identitas adalah segelintir aktivitas yang memperburuk citra hacker. Belum lagi teror yang dimotori oleh seorang hacker di film-film action.

Istilah Umum Dunia Hacking

  1. Threat  Lingkungan atau situasi yang dapat mengakibatkan potensi penerobosoan keamanan.
  2. Exploit  Perangkat lunak yang memanfaatkan bug, kesalahan, atau kerentanan, yang menyebabkan akses tidak sah, eskalasi hak istimewa, atau penolakan layanan pada sistem komputer. Exploit merupakan cara yang pasti untuk menerobos keamanan sistem TI melalui kerentanan. Ada dua metode untuk mengklasifikasikan exploit :
    • Remote exploit  Bekerja melalui jaringan dan memanfaatkan kerentanan keamanan tanpa akses sebelumnya ke sistem yang rentan.
    • Local exploit  Membutuhkan akses sebelumnya ke sistem yang rentan untuk meningkatkan hak istimewa.
  3. Vulnerability  adanya cacat perangkat lunak, desain logika, atau kesalahan pelaksanaan yang dapat menyebabkan kejadian tak terduga dan tidak diinginkan yang menjalankan instruksi buruk atau merusak pada sistem.
  4. Target of evaluation  sistem, program, atau jaringan yang menjadi subjek keamanan analisis atau serangan.
  5. HACK VALUE adalah istilah yang digunakan sesama hacker untuk mengistilahkan sesuai yang pantas dilakukan atau menarik untuk dilakukan
  6. Zero-Day Attack istilah ini biasanya digunakan untuk sebuah serangan yang meng-exploit sebuah kelemahan dari aplikasi sebelum pembuat aplikasi tersebut merilis patch  untuk kelemahan tersebut

Keuntungan Hacking

Hacking cukup berguna di seperti dapat dilihat dibawah ini.

  1. Untuk memulihkan informasi yang hilang, terutama dalam kasus Anda lupa password Anda.
  2. Untuk melakukan pengujian penetrasi untuk memperkuat keamanan komputer dan jaringan.
  3. Untuk menempatkan langkah-langkah pencegahan yang memadai untuk mencegah pelanggaran keamanan.
  4. Memiliki sistem komputer yang mencegah hacker jahat memperoleh akses.

Kerugian dari Hacking

Hacking sangat berbahaya jika dilakukan dengan maksud yang berbahaya. Hal ini dapat menyebabkan

  1. Besar pelanggaran keamanan.
  2. Sistem yang tidak sah akses pada informasi pribadi.
  3. Pelanggaran privasi.
  4. Menghambat sistem operasi.
  5. Serangan penolakan Jasa.
  6. Serangan berbahaya pada sistem.

Tujuan dari Hacking

Mungkin ada berbagai niat positif dan negatif di belakang melakukan kegiatan hacking. Berikut adalah daftar dari beberapa kemungkinan alasan mengapa orang memanjakan diri dalam kegiatan hacking

  1. Hanya untuk fun
  2. Pamer
  3. Mencuri informasi penting
  4. Merusak sistem
  5. Menghambat privasi
  6. Pemerasan uang
  7. Sistem keamanan pengujian
  8. Melanggar kebijakan kepatuhan

Tipe-Tipe Hacker

Hacker dapat dibagi menjadi tiga kelompok: White Hats, Black Hats, dan Grey Hats. Biasanya ethical hacker masuk dalam kategori white-hat, tapi kadang-kadang mereka adalah mantan grey hats yang telah menjadi profesional keamanan dan yang menggunakan keahlian mereka dengan cara yang etis.

  • White Hats adalah orang baik, ethical hacker yang menggunakan keterampilan hacking mereka untuk tujuan defensif.
  • Black Hats adalah orang jahat: hacker jahat atau cracker yang menggunakan keahlian mereka untuk tujuan ilegal atau jahat.
  • Grey Hats adalah hacker yang mungkin bekerja secara ofensif atau defensif, tergantung situasinya. Ini adalah garis pemisah antara hacker dan cracker.

Ada juga istilah lain seperti :

  • Script Kiddies Merupakan istilah yang digunakan untuk menyebut peretas amatir yang tidak terlalu peduli dengan keterampilan coding. Script Kiddies biasanya akan mengunduh alat atau menggunakan kode peretasan yang sudah tersedia atau ditulis oleh pengembang yang lain. Tujuan Script Kiddies biasanya hanya untuk bersenang-senang atau mencari perhatian. Sedangkan jenis serangan cyber yang paling umum dilakukan adalah serangan Dos dan DDoS.
  • Green Hat Sama dengan Script Kiddies, Green Hat  juga dapat dikatakan sebagai hacker pemula, namun Green Hacker ini lebih peduli terhadap skill mereka. Mereka memiliki keinginan untuk mengasah skill dengan belajar dari peretas yang sudah handal. Green Hacker ini dapat berkembang menjadi peretas yang hebat.
  • Red Hat mempunyai tujuan yang sama dengan White Hat yaitu ingin menghentikan serangan Black Hat. Namun Red Hat akan melakukannya dengan cara mereka sendiri. Pada umumnya, White Hat menghindari serangan Black Hat dengan cara mencari kelemahan sistem dan membangun sistem keamanan yang lebih baik. Berbeda dengan Red Hat, mereka lebih senang untuk melakukan serangan kembali terhadap Black Hat Hackers. Bahkan Red Hat dapat melakukan serangan dengan skala yang lebih besar yang dapat melumpuhkan sistem yang dimiliki oleh Black Hat.
  • Blue Hat adalah jenis peretas pemula seperti Script Kiddies yang melakukan serangan hanya sekedar untuk membalas dendam mereka. Peretas jenis Blue Hat juga tidak memiliki keinginan untuk lebih meningkatkan keterampilan mereka, karena fokus utama mereka hanya ketika ingin membalas dendam.

Mengidentifikasi Berbagai Jenis Teknologi Hacking

Banyak metode dan alat ada untuk menemukan kerentanan, menjalankan exploit, dan sistem yang mencurigakan. Trojans, backdoor, sniffer, rootkit, exploit, buffer overflows, dan SQL Injection adalah semua teknologi yang bisa digunakan untuk hack sistem atau jaringan. Sebagian besar tool hacking mengeksploitasi kelemahan di salah satu dari empat area berikut:

  1. Operating System : Banyak administrator sistem menginstal sistem operasi dengan default pengaturan, sehingga terdapat potensi kerentanan yang tidak ditutupi.
  2. Application : Aplikasi biasanya tidak diuji untuk kerentanan saat pengembang menulis kode, yang dapat meninggalkan banyak kekurangan pemrograman yang dapat dimanfaatkan oleh hacker.
  3. Shrink-wrap code : Banyak program off-the-shelf hadir dengan fitur tambahan yang tidak diketahui pengguna umum, yang dapat digunakan untuk mengeksploitasi sistem. Salah satu contohnya adalah macro di Microsoft Word, yang memungkinkan hacker untuk menjalankan program dari dalam aplikasi.
  4. Misconfigurations : Sistem juga dapat salah ketika dikonfigurasi atau dibiarkan pada pengaturan keamanan umum terendah untuk meningkatkan kemudahan penggunaan bagi pengguna, yang dapat menyebabkan kerentanan dan serangan.

Selain berbagai jenis teknologi yang bisa digunakan hacker, ada berbagai jenis serangan. Serangan bisa dikategorikan pasif atau aktif. Serangan pasif dan aktif digunakan pada infrastruktur keamanan jaringan dan host. Serangan aktif sebenarnya mengubah sistem atau jaringan yang mereka serang, sedangkan serangan pasif berusaha mendapatkan informasi dari sistem. Serangan aktif mempengaruhi ketersediaan, integritas, dan keaslian data. Serangan pasif adalah pelanggaran kerahasiaan.

What to Do Ethical Hacker

Ethical hacker biasanya profesional keamanan atau penguji penetrasi jaringan yang menggunakan keterampilan hacking dan toolsets mereka untuk tujuan pertahanan dan perlindungan. Ethical hacker yang merupakan profesional keamanan menguji keamanan jaringan dan sistem mereka untuk kerentanan menggunakan alat yang sama yang mungkin digunakan hacker untuk kompromi jaringan. Setiap profesional komputer dapat mempelajari keterampilan etika hacking.

Ethical Hacker didorong oleh alasan yang berbeda, namun tujuan mereka biasanya sama dengan crackers: Mereka mencoba menentukan penyusup apa yang dapat dilihat pada jaringan atau sistem yang ditargetkan, dan apa yang dapat dilakukan hacker dengan informasi itu. Proses pengujian keamanan suatu sistem atau jaringan ini dikenal dengan uji penetrasi.

Apa Itu Hacktivism?

Hacktivism mengacu pada hacking untuk suatu sebab. Peretas ini biasanya memiliki agenda sosial atau politik. Tujuan mereka adalah untuk mengirim pesan melalui aktivitas hacking mereka sambil mendapatkan visibilitas untuk tujuan mereka dan diri mereka sendiri.

Jenis – Jenis Hacking

Kita dapat memisahkan menyusup ke kategori yang berbeda, berdasarkan apa yang sedang hacked. Di sini adalah contoh

  1. Website Hacking − Hacking website berarti mengambil kontrol tidak sah atas webserver dan perangkat lunak terkait seperti database dan antar muka lainnya.
  2. Network Hacking − Hacking jaringan berarti mengumpulkan informasi tentang jaringan dengan menggunakan alat-alat seperti Telnet, NS lookup, Ping, Tracert, Netstat,dll dengan maksud untuk membahayakan sistem jaringan dan menghambat operasinya.
  3. Email Hacking − termasuk mendapatkan akses yang tidak sah di Email account dan menggunakannya tanpa mengambil persetujuan dari pemiliknya.
  4. Ethical Hacking − Ethical hacking melibatkan menemukan kelemahan di komputer atau sistem jaringan untuk pengujian tujuan dan akhirnya membuat mereka tetap.
  5. Password Hacking − ini adalah proses pemulihan password rahasia dari data yang tersimpan di atau dikirimkan oleh sistem komputer.
  6. Computer Hacking − ini adalah proses mencuri komputer ID dan password dengan menerapkan metode hacking dan mendapatkan akses tidak sah ke sistem komputer.

Apa itu Vulnerability Research?

Vulnerability Research adalah proses menemukan kerentanan dan kelemahan desain yang dapat menyebabkan serangan pada sistem. Beberapa situs web dan tools yang ada untuk membantu ethical hacker dalam mempertahankan daftar kerentanan saat ini dan kemungkinan eksploitasi untuk sistem atau jaringan mereka. Ini penting bahwa administrator sistem terus mengikuti virus terbaru, Trojans, dan eksploitasi umum lainnya untuk melindungi sistem dan jaringan mereka secara memadai. Selain itu, dengan menjadi terbiasa dengan ancaman terbaru, administrator dapat belajar mendeteksi, mencegah, dan memulihkan diri dari serangan.­­

Skill Untuk Melakukan Hacking

Skill yang dibutuhkan untuk melakukan peretasan antara lain:

  1. Skill teknis, skil teknis seperti menguasai sistem informasi (windows, linux, macintosh), menguasai jaringan komputer, menguasai masalah keamanan pada sistem operasi.
  2. Skill non teknis, seperti kemampuan untuk cepat belajar teknologi keluaran terbaru, kemampuan dalam memecahkan masalah, kemampuan berfikir secara logic.

Jenis Penetration Testing

Pentest ini terbagi ke dalam 3 (tiga) jenis, yaitu:

  1. Black Box Pengujian Black Box melibatkan evaluasi dan pengujian keamanan tanpa pengetahuan sebelumnya mengenai infrastruktur jaringan atau sistem yang akan diuji. Pengujian mensimulasikan serangan oleh hacker jahat di luar perimeter keamanan organisasi.
  2. White Box Pengujian White Box melibatkan evaluasi keamanan dan pengujian dengan pengetahuan lengkap tentang infrastruktur jaringan seperti administrator jaringan.
  3. Grey Box Pengujian Grey-box melibatkan melakukan evaluasi keamanan dan pengujian secara internal. Pengujian memeriksa tingkat akses oleh orang dalam dalam jaringan.

Fase Pentesting

Dalam melakukan pentesting terdapat 3 fase yaitu:

  1. Fase Sebelum Peretasan Pada fase ini seperti fase melakukakn peretasan yaitu reconnaissance atau pengumpulan informasi, langsung dilanjutkan dengan melakukan scanning untuk informasi yang lebih spesifik mengenai sistem yang digunakan
  2. Fase Peretasan Peretasan dilakukan setelah mengetahui dari kelemahan dari sistem yang digunakan. Saat ini banyak sekali aplikasi-aplikasi yang digunakan untuk meretas sistem. Selain itu hanya berbekal sebuah sistem operasi saja sudah bisa meretas sistem. walaupun sistem telah diretas kita bisa meminimalisir dampaknya menggunakan enkripsi. untuk artikel enkripsi bisa dibaca di sini yaa
  3. Fase Setelah Peretasan Berbeda dengan fase peretasan, pada pentesting jika telah berhasil masuk ke dalam sistem atau berhasil meretas yang dilakukan adalah membuat laporan area mana saja yang terdapat celah keamanan, kemudian memberikan solusi bagaimana celah itu ditutup sehingga tidak bisa dimanfaatkan oleh peretas jahat.

Metode Penetrasi

metode untuk melanggar keamanan organisasi selama simulasi serangan atau uji penetrasi. Metode yang paling umum diikuti:

  1. Remote network Upaya hack jaringan jarak jauh mencoba mensimulasikan penyusup yang meluncurkan serangan melalui Internet. Ethical hacker mencoba untuk memecahkan atau menemukan kerentanan di luar pertahanan jaringan, seperti firewall, proxy, atau kerentanan router.
  2. Remote dial-up network Remote dial-up network hack mencoba untuk mensimulasikan penyusup yang meluncurkan serangan terhadap kolam modem klien. Pemanggilan perang adalah proses panggilan berulang untuk menemukan sistem terbuka dan merupakan contoh dari serangan semacam itu.
  3. Local network Hack jaringan lokal mensimulasikan seseorang dengan akses fisik yang mendapatkan akses tidak sah lainnya menggunakan jaringan lokal. Ethical hacker harus mendapatkan akses langsung ke jaringan lokal untuk meluncurkan jenis serangan ini.
  4. Stolen equipment Stolen equipment mensimulasikan pencurian sumber informasi penting seperti laptop yang dimiliki oleh seorang karyawan. Informasi seperti nama pengguna, kata sandi, pengaturan keamanan, dan jenis enkripsi dapat diperoleh dengan mencuri laptop.
  5. Social engineering Social engineering memeriksa integritas karyawan organisasi dengan menggunakan telepon atau komunikasi tatap muka untuk mengumpulkan informasi agar digunakan dalam serangan. Serangan rekayasa sosial dapat digunakan untuk memperoleh nama pengguna, kata sandi, atau tindakan pengamanan organisasi lainnya.
  6. Physical entry Physical entry attcak mencoba untuk kompromi bangunan fisik organisasi. Seorang ethical hacker yang memperoleh akses fisik dapat menanamkan virus, trojan, rootkit, atau key logger perangkat keras (perangkat fisik yang digunakan untuk merekam penekanan tombol) secara langsung pada sistem di jaringan target.

Langkah Audit Keamanan

  1. Bicaralah dengan klien, dan diskusikan kebutuhan yang harus dialamatkan selama pengujian.
  2. Siapkan dan tandatangani dokumen kesepakatan Non-Disclosure Agreement (NDA) dengan klien.
  3. Atur tim etika hacking, dan siapkan jadwal untuk pengujian.
  4. Lakukan tes.
  5. Menganalisis hasil pengujian, dan menyiapkan laporan.
  6. Sampaikan laporan ke klien.

Laporan Etika Hacking

Hasil uji penetrasi jaringan atau audit keamanan adalah laporan etika hacking. Laporan ini merinci hasil aktivitas hacking, jenis tes yang dilakukan, dan metode hacking yang digunakan. Hasil ini dibandingkan dengan pekerjaan yang dijadwalkan sebelum tahap Evaluasi Keamanan Perilaku. Setiap kerentanan yang diidentifikasi rinci, dan tindakan pencegahan disarankan. Dokumen ini biasanya dikirimkan ke organisasi dalam format hard copy, untuk alasan keamanan.

Rincian laporan etika hacking harus dijaga kerahasiaannya, karena mereka menyoroti risiko dan kerentanan keamanan organisasi. Jika dokumen ini jatuh ke tangan yang salah, hasilnya bisa menjadi bencana bagi organisasi.

Organisasi Yang Memiliki Metodologi Pentesting

Dalam melakukan pentesting terdapat beberapa lembaga yang menyediakan metodologi. tujuan dari metodologi ini adalah untuk mempermudah dalam melakukan pengujian. oleh karena itu, menggunakan metodologi merupakan cara yang tepat untuk menguji guna menemukan celah keamanan suatu sistem. Berikut ini adalah metodologi tersebut:

  1. OWASP (The Open Web Application Security Project)
  2. OSSTMM (Open Source Security Testing Methodology Manual)
  3. ISSAF (Information System Security Assessment Framework)
  4. EC-Council (Sebuah Industri yang menyediakan framework audit sistem informasi yang komprehensif)

Sertifikasi Ethical Hacker

Ethical hacker bagaimanapun juga merupakan sebuah profesi yang jarang apalagi di Indonesia. Hacker memang banyak tapi sebagian besar dari mereka menempuh jalan kegelapan dengan menjadi black hat hacker.

Kepercayaan untuk mempekerjakan seorang ethical hacker tentunya sangat dibutuhkan suatu perusahaan atau organisasi. Hal inilah yang mendasari sertifikasi untuk seorang ethical hacker. Selain alasan kepercayaan hacker tidak membocorkan rahasia perusahaan, sertifikasi juga dibutuhkan untuk mengukur skill dari hacker itu sendiri.

Sertifikasi untuk ethical hacker yang paling umum di Indonesia adalah dari EC-Council. Sama seperti sertifikasi jaringan macam CISCO dan MikroTik, sertifikasi EC-Council juga mengenal jalur tingkatan yang sebentar lagi akan kita bahas.

  1. Certified Ethical Hacker (CEH) Jika sudah paham tentang bagaimana pertahanan, saatnya negara api menyerang. Sertifikasi CEH ini bertujuan membentuk mindset seorang hacker ke seseorang yang telah memiliki sertifikat CND. Dalam CEH, Certified Network Defender akan mempelajari bagaimana meningkatkan sistem keamanan informasi yang telah dibuat sendiri dengan cara mencoba membajaknya sendiri.
  2. Certified Network Defender (CND) Seperti yang sudah dibahas sebelumnya, ethical hacker harus meningkatkan pertahanan terlebih dahulu sebelum menyerang. Sertifikasi ini bertujuan untuk menciptakan network administrator yang terlatih dalam menjaga, mendeteksi, dan merespon setiap ancaman keamanan jaringan. Seorang network administrator biasanya akrab dengan komponen jaringan, traffic, performa dan utilisasi, topologi jaringan, dll. Dengan sertifikasi  CND, network administrator akan mendapatkan pemahaman bagaimana mendesain keamanan jaringan yang lebih canggih dan perencanaan respon terhadap serangan.
  3. EC-Council Certified Security Analyst (ECSA) 
    Sertifikasi ECSA ditujukan untuk seorang ethical hacker bersertifikasi yang sudah berpengalaman dan mungkin bisa memindai jaringan sambil tidur. Sertifikasi ini akan melatih seorang yang bersertifikat CEH menjadi seorang analis yang benar-benar memahami penetrasi keamanan ke berbagai sistem dan perangkat.

Ref : [1][2][3][4][5][6]