Lewatkan ke konten utama

Apa itu peretasan etis?

Dua peretas etis melakukan penilaian keamanan.

Peretasan melibatkan aktor jahat yang meluncurkan berbagai jenis serangan siber untuk mencuri data dan informasi sensitif, biasanya untuk keuntungan finansial. Serangan ini dapat sangat merusak bagi individu, dan terlebih lagi bagi organisasi.

Untuk melawan serangan ini, banyak organisasi beralih ke peretas etis bersertifikat untuk menguji sistem mereka dan membantu mereka memperkuat sistem terhadap peretas jahat. Namun apa itu peretasan etis dan bagaimana cara kerjanya?

Apa itu peretas etis?

Peretas etis—kadang-kadang dikenal sebagai peretas topi putih—adalah seseorang yang, dengan izin dari individu atau organisasi yang terlibat, berupaya untuk membobol sistem komputer, jaringan, atau aplikasi, atau memicu pelanggaran data. Tujuan peretasan etis adalah meniru strategi serangan jahat untuk mengidentifikasi kerentanan keamanan, dengan tujuan mengatasinya sebelum dapat dieksploitasi oleh penjahat dunia maya. Dengan demikian, sebagian besar definisi peretasan etis berfokus pada elemen proaktif dari penilaian keamanan ini.

Beberapa tanggung jawab peretasan etis dan keamanan siber meliputi:

  • Mengidentifikasi kerentanan sistem operasi dan jaringan
  • Menggunakan pengujian penetrasi untuk mengidentifikasi vektor serangan
  • Simulasi serangan siber untuk membuktikan bagaimana serangan siber dapat dilakukan
  • Melaporkan semua kerentanan dan pelanggaran kepada pemilik jaringan atau sistem
  • Memberikan saran untuk meningkatkan keamanan dan menghilangkan kerentanan sistem
  • Menjaga tingkat kerahasiaan yang tinggi

Untuk melaksanakan pekerjaan mereka—dan tetap mematuhi hukum—peretas etis bersertifikat diharapkan mengikuti pedoman yang sangat spesifik. Yang paling penting adalah mendapatkan persetujuan untuk penilaian keamanan dari pemilik sistem.

Peretas etis vs peretas jahat

Ada garis tipis antara peretas etis bersertifikat dan peretas jahat—atau peretas topi hitam. Sederhananya, perbedaannya adalah yang pertama memiliki izin untuk menjalankan serangan sebagai bagian dari penilaian keamanan mereka dan bertujuan untuk meningkatkan keamanan siber pemilik sistem, sementara yang terakhir melancarkan serangan dengan niat jahat, sering kali untuk keuntungan finansial. Berikut ini adalah pembahasan lebih mendalam tentang peretasan etis dan peretasan jahat:

  • Seorang peretas etis menguji kerentanan dan kelemahan suatu sistem tetapi tidak mencuri data atau melakukan tindakan jahat apa pun.
  • Peretasan etis melibatkan kode etik ketat yang tidak berlaku untuk peretas topi hitam.
  • Pelaporan merupakan aspek utama peretasan etis, seperti halnya menambal kelemahan keamanan.
  • Peretasan etis melibatkan simulasi serangan siber untuk membuktikan bagaimana serangan itu dapat dilakukan.
  • Peretasan etis adalah legal, sedangkan peretasan jahat tidak.
  • Peretas topi putih tidak termotivasi oleh niat jahat, sedangkan peretas topi hitam termotivasi oleh niat jahat.

Penting untuk dicatat, bahwa untuk melaksanakan penilaiannya, seorang peretas etis bersertifikat akan menggunakan banyak teknik yang sama dengan yang digunakan peretas topi hitam. Hal ini karena mereka harus mampu meniru tindakan dan serangan jahat agar dapat menemukan kelemahan keamanan sebanyak mungkin dan mencari cara untuk mengatasinya.

Bagaimana cara kerja peretasan etis?

Dalam kebanyakan kasus, penilaian oleh peretas etis adalah proses lima langkah yang rumit namun komprehensif. Dengan tekun menjalani setiap langkah, penilai dapat mengungkap sebanyak mungkin kerentanan dan membuat rekomendasi yang lebih menyeluruh untuk tindakan perbaikan.

Berikut ini adalah langkah-langkah berbeda dalam penilaian peretasan etis:

  1. Perencanaan dan pengintaian: Tahap awal adalah saat peretas etis akan mengumpulkan informasi tentang sistem, menguraikan ruang lingkup penilaian, dan menetapkan tujuan. Mereka mungkin mengumpulkan informasi seperti kata sandi, informasi karyawan, alamat IP, dan layanan.
  2. Pemindaian: Untuk memulai penilaian, sejumlah alat otomatis—seperti dialer, sweeper, dan pemindai port—dapat digunakan untuk memulai pengujian objektif yang dapat mengungkap beberapa kelemahan dalam sistem dan memberi penyerang informasi yang mereka butuhkan.
  3. Mendapatkan akses: Beralih ke fase penilaian berikutnya, peretas etis mulai memahami vektor akses sistem dan memetakan serangan potensial. Ini pada dasarnya adalah fase peretasan, di mana peretas mengeksploitasi sistem dengan berbagai serangan, seperti email phishing dan malware .
  4. Mempertahankan akses: Penilai menguji vektor akses untuk melihat seberapa jauh ia dapat mendorongnya dan apakah vektor tersebut dapat dipertahankan untuk serangan. Di sini, mereka mungkin melancarkan serangan DDoS , mencuri basis data, atau mengeksploitasi akses sistem mereka lebih lanjut.
  5. Menghapus bukti: Pada tahap terakhir penilaian mereka, peretas etis bersertifikat menghapus semua jejak serangan mereka, memulihkan sistem ke pengaturan aslinya dan—yang terpenting—memastikan bahwa tidak ada penyerang sungguhan yang dapat mengeksploitasi kerentanan yang terekspos. Ini mungkin termasuk menghapus cache dan riwayatnya serta membalikkan shell HTTP mereka.

Setelah menyelesaikan penilaian mereka, peretas etis akan menyampaikan laporan kepada individu atau organisasi yang mempekerjakan mereka. Baik tertulis maupun lisan, laporan akan menjadi ikhtisar pekerjaan yang dilakukan dan alat yang digunakan, kerentanan yang ditemukan, implikasi potensial dari setiap kelemahan yang terungkap, dan rekomendasi untuk menambal kerentanan ini dan memperkuat keamanan sistem.

Pro dan kontra peretasan etis

Untuk sebagian besar, peretasan etis dan implikasinya terhadap keamanan siber dipandang positif. Bagaimanapun, upaya khusus ini dapat memberikan banyak manfaat bagi pemilik dan administrator jaringan dan sistem yang dinilai. Misalnya, penilaian keamanan oleh peretas etis bersertifikat dapat:

  • Mengungkap kerentanan, yang kemudian dapat diatasi.
  • Membantu mengembangkan jaringan aman yang kurang rentan terhadap pelanggaran.
  • Memberikan jaminan yang meningkatkan kepercayaan pada sistem dan jaringan organisasi.
  • Bantu lawan terorisme dunia maya dan tingkatkan keamanan nasional.
  • Memastikan kepatuhan organisasi terhadap peraturan data dan keamanan siber.
  • Memberikan panduan untuk pengambilan keputusan dan pengembangan di masa mendatang.

Namun, peretasan etis memiliki sejumlah kelemahan dan keterbatasan—seorang peretas etis tidak dapat melakukan banyak hal dalam penilaiannya karena, tidak peduli seberapa teliti mereka, pelaku kejahatan selalu dapat menemukan cara lain untuk melancarkan serangannya. Berikut beberapa hal yang perlu diingat:

  1. Peretas etis memiliki cakupan pekerjaan yang terbatas—mereka tidak dapat melampaui skenario tertentu selama penilaian mereka.
  2. Mungkin ada kendala sumber daya tertentu yang membatasi sejauh mana penilaian peretas etis dapat dilakukan—ini bisa berupa waktu, anggaran, atau bahkan daya komputasi, metode, dan alat.
  3. Penilaian dapat terbatas jika peretas topi putih tidak memiliki pengetahuan dan keahlian yang diperlukan.
  4. Penilaian dapat menyebabkan kerusakan data atau kerusakan sistem.
  5. Mempekerjakan seorang peretas etis bisa jadi mahal.

Bagaimana cara kerja peretas etis?

Legalitas adalah perbedaan utama antara penyerang jahat dan peretas etis. Oleh karena itu, peretas topi putih harus selalu menyadari tanggung jawab mereka dan mematuhi kode etik tidak resmi. Untuk memastikan mereka tetap berada dalam batasan peretasan yang etis, penting bagi para ahli keamanan ini untuk:

  • Tetaplah berada dalam batasan hukum dengan memperoleh persetujuan yang tepat sebelum memulai bekerja.
  • Membuat dan menyetujui lingkup pekerjaan yang ditentukan untuk penilaian keamanan mereka untuk disetujui oleh individu atau organisasi tempat mereka bekerja
  • Laporkan semua kerentanan yang ditemukan selama penilaian dan berikan saran tentang cara menambal atau mengatasinya.
  • Tangani semua informasi, data, dan penemuan dengan privasi dan kepekaan, tandatangani perjanjian kerahasiaan jika diperlukan.
  • Singkirkan semua bukti aktivitas peretasan etis mereka—bukti ini dapat dimanfaatkan oleh peretas topi hitam potensial sebagai vektor serangan.

Masalah apa yang diidentifikasi oleh seorang peretas etis?

Seorang peretas etis bersertifikat memiliki satu pekerjaan yang sangat spesifik: menguji dan mengidentifikasi kerentanan dalam berbagai macam aplikasi, jaringan, sistem, dan perangkat. Tujuannya, pada dasarnya, adalah untuk melakukan misi pengintaian tentang kelemahan keamanan apa yang ada dan membuktikan bagaimana penyerang yang gigih dapat mengeksploitasinya. Saat melakukan penilaian, peretas topi putih pada dasarnya meniru pelaku jahat, menggunakan alat pengujian otomatis dan teknik manual. Biasanya ada daftar periksa masalah keamanan yang dicari oleh peretas etis, seperti:

  1. Serangan injeksi
  2. Kesalahan konfigurasi
  3. Paparan data
  4. Komponen rentan yang dapat dieksploitasi sebagai titik akses
  5. Otentikasi rusak atau dilanggar
  6. Perubahan tak terduga dalam pengaturan keamanan

Cara menjadi peretas etis bersertifikat

Untuk memperoleh pengetahuan dan pengalaman yang mereka butuhkan untuk menjalankan tugasnya dengan tepat, banyak calon peretas topi putih memilih untuk menjalani pelatihan peretasan etis. Ini adalah usaha luas yang menggabungkan berbagai keterampilan komputer dalam mengejar satu tujuan: mempelajari peretasan yang etis. Pada tingkat yang paling mendasar, pelatihan peretasan etis harus mencakup:

  • Mendapatkan keahlian dengan berbagai bahasa skrip seperti JavaScript, HTML, dan Python.
  • Mengenal seluk-beluk berbagai sistem operasi, termasuk Windows, MacOS, dan Linux.
  • Membangun pengetahuan yang komprehensif tentang format jaringan, termasuk LAN, WAN, dan WLAN, serta teknik peretasan perimeter
  • Menetapkan pengetahuan dasar tentang prinsip-prinsip informasi dan keamanan siber.
  • Memperoleh pengetahuan yang luas tentang server dan mesin pencari.
  • Mengembangkan pemahaman menyeluruh tentang basis data dan sistem manajemen basis data, seperti SQL.
  • Mempelajari berbagai alat peretasan yang populer.
  • Memahami teknik pengintaian dan serangan
  • Mempelajari berbagai metode kriptografi
  • Menjadi akrab dengan pengoperasian komputasi awan.

Untuk mengembangkan keahlian yang dibutuhkan peretas topi putih, tersedia banyak kelas, kursus, dan sertifikasi peretasan etis. Oleh karena itu, mungkin bermanfaat bagi mereka yang tertarik untuk mempelajari hal ini untuk melihat beberapa kursus yang ditawarkan oleh Kaspersky Expert Training Portal

Bagi mereka yang mempelajari peretasan etis melalui kursus formal, sertifikasi ulang rutin dan pendidikan berkelanjutan diperlukan untuk tetap mengikuti perkembangan terbaru dalam industri ini. Selain itu, sebagian besar peretas etis—jika mereka ingin bekerja secara profesional—diharapkan memiliki gelar Sarjana dalam ilmu komputer atau teknologi informasi.

Berbagai jenis peretasan etis

Fokus peretas etis adalah menguji berbagai sistem, proses, situs web, dan perangkat untuk menemukan kerentanannya dan memungkinkan pemilik dan pengembang untuk menambalnya agar lebih aman. Karena ada berbagai cara yang dapat dilakukan oleh seorang peretas etis bersertifikat, maka ada beberapa cara berbeda untuk menguji peretasan etis dan keamanan siber. Berikut adalah beberapa format utama:

  • Peretasan aplikasi web: Peretas topi putih berfokus pada pengungkapan kerentanan dalam situs web dan aplikasi berbasis web dengan mengeksploitasi perangkat lunak HTTP melalui peramban atau mengganggu URI.
  • Peretasan sistem: Meretas sistem dan mendapatkan akses ke perangkat melalui jaringan/
  • Peretasan server web: Menggunakan teknik seperti rekayasa sosial, perekatan, dan pengendus untuk mencuri informasi melalui informasi waktu nyata yang tersedia melalui server aplikasi web.
  • Peretasan jaringan nirkabel: Mendapatkan akses ke sistem dan perangkat dengan mengidentifikasi dan menyusup ke jaringan nirkabel lokal.
  • Rekayasa sosial: Memanipulasi target potensial agar membagikan informasi sensitif.

5 tips untuk menghindari peretasan

Bahkan dengan niat terbaik seorang peretas etis, serangan dapat terjadi. Berikut adalah lima tips untuk tetap aman :

  1. Selalu gunakan jaringan pribadi virtual (VPN)
  2. Hasilkan kata sandi yang kuat dan kompleks, lalu simpan untuk memudahkan akses di pengelola kata sandi
  3. Gunakan perangkat lunak antivirus dan pemindaian email
  4. Perlakukan email yang tidak diminta dengan curiga—hindari mengklik tautan yang tidak dikenal atau mengunduh lampiran yang tidak dikenal
  5. Gunakan otentikasi multifaktor atau biometrik jika memungkinkan

Kebutuhan akan peretasan etis

Seorang peretas etis dapat sangat berguna bagi organisasi yang ingin memastikan bahwa jaringan dan sistem mereka seaman mungkin. Pekerjaan para pakar keamanan ini dapat mengidentifikasi segala kelemahan dalam sistem ini dan mencoba menambalnya agar tidak terlalu rentan terhadap pelaku jahat. Karena alasan ini, organisasi harus memandang peretasan etis dan keamanan siber sebagai dua bagian dari keseluruhan yang lebih besar.

Pertanyaan yang Sering Diajukan

Apa itu peretasan etis?

Aspek khusus dari keamanan siber ini melibatkan peretas etis yang menerima otorisasi—biasanya dari suatu organisasi—untuk mencoba membobol sistem mereka atau melancarkan serangan siber tertentu. Tujuan peretasan etis adalah untuk mengidentifikasi sebanyak mungkin kelemahan dalam sistem agar dapat mengetahui cara memperbaikinya dan meningkatkan keamanan sistem sehingga pelaku jahat memiliki peluang lebih kecil untuk melancarkan serangan siber yang berhasil.

Apa saja jenis peretasan etis?

Meskipun definisi peretasan etis jelas, seorang peretas etis dapat menggunakan teknik yang berbeda untuk melakukan penilaian keamanan dan mengidentifikasi kerentanan sistem. Ada lima jenis utama peretasan etis: peretasan aplikasi web, peretasan sistem, peretasan server web, peretasan jaringan nirkabel, dan rekayasa sosial. Masing-masing melibatkan penargetan aspek yang berbeda dari suatu sistem untuk mengungkap sebanyak mungkin vektor serangan dan kerentanan potensial.

Kaspersky menerima sembilan penghargaan AV-TEST dalam kategori rumah dan bisnis untuk perlindungan lanjutan terbaik, kinerja terbaik, kegunaan, dan Keamanan Mac OS.

Artikel dan Tautan Terkait:


Apa itu peretasan etis?

Peretas etis dapat berguna bagi organisasi yang mencoba meningkatkan keamanan siber mereka. Pelajari tentang peretasan etis dan cara kerjanya.
Kaspersky logo

Artikel terkait