Sebenarnya
istilah White Hat Hacker (Peretas Topi Putih) sudah lama dipergunakan. Namun
dengan munculnya kiprah mereka di Pemilu 2019, dimana bantuan mereka pada KPU
diangkat jadi judul utama beberapa media di Nusantara, sepertinya tidak salah
kalau mereka diangkat jadi topik di blog ini.
Istilah
"topi putih" dalam bahasa gaul Internet mengacu pada peretas komputer
etis, atau pakar keamanan komputer, yang berspesialisasi dalam pengujian
penetrasi dan dalam metodologi pengujian lainnya yang menjamin keamanan sistem
informasi organisasi. Peretasan etis adalah istilah yang dimaksudkan untuk
menyiratkan kategori yang lebih luas dari sekadar pengujian penetrasi.
Berbeda
dengan topi hitam, peretas jahat, nama tersebut berasal dari film-film Barat,
di mana para koboi yang heroik dan antagonis secara tradisional mungkin
masing-masing mengenakan topi putih dan hitam. Sementara peretas topi putih
meretas dengan niat baik dengan izin, dan peretas topi hitam memiliki niat
jahat, ada jenis ketiga yang dikenal sebagai peretas topi abu-abu yang meretas
dengan niat baik tanpa izin.
Para
penulis melakukan tes mereka di bawah pedoman realisme, sehingga hasilnya akan
secara akurat mewakili jenis akses yang berpotensi dicapai oleh pengganggu.
Mereka melakukan tes yang melibatkan latihan pengumpulan-informasi sederhana,
serta serangan langsung terhadap sistem yang dapat merusak integritasnya; kedua
hasil itu menarik bagi audiens target. Ada beberapa laporan lain yang sekarang
tidak diklasifikasikan yang menggambarkan aktivitas peretasan etis dalam
militer AS.
Pada
1981, The New York Times menggambarkan kegiatan topi putih sebagai bagian dari
"tradisi 'peretas' yang nakal tapi sangat positif". Ketika seorang
karyawan Nasional CSS mengungkapkan keberadaan cracker kata sandinya, yang
telah ia gunakan pada akun pelanggan, perusahaan menghukumnya bukan karena
menulis perangkat lunak tetapi tidak mengungkapkannya lebih cepat. Surat
teguran menyatakan "Perusahaan menyadari manfaat untuk NCSS dan pada
kenyataannya mendorong upaya karyawan untuk mengidentifikasi kelemahan keamanan
ke VP, direktori, dan perangkat lunak sensitif lainnya dalam file".
Gagasan
untuk membawa taktik peretasan etis ini untuk menilai keamanan sistem
dirumuskan oleh Dan Farmer dan Wietse Venema. Dengan tujuan meningkatkan
keseluruhan tingkat keamanan di Internet dan intranet, mereka melanjutkan untuk
menggambarkan bagaimana mereka dapat mengumpulkan informasi yang cukup tentang
target mereka untuk dapat membahayakan keamanan jika mereka memilih untuk
melakukannya.
Mereka
memberikan beberapa contoh spesifik tentang bagaimana informasi ini dapat
dikumpulkan dan dieksploitasi untuk mendapatkan kendali atas target, dan
bagaimana serangan seperti itu dapat dicegah. Mereka mengumpulkan semua alat
yang telah mereka gunakan selama bekerja, mengemasnya dalam satu aplikasi yang
mudah digunakan, dan memberikannya kepada siapa saja yang memilih untuk
mengunduhnya. Program mereka, yang disebut Alat Administrator Keamanan untuk
Menganalisis Jaringan, atau SATAN, disambut dengan banyak perhatian media di
seluruh dunia pada tahun 1992.
Sementara
pengujian penetrasi berkonsentrasi pada serangan perangkat lunak dan sistem
komputer dari port pemindaian awal, memeriksa cacat yang diketahui dan
instalasi patch, misalnya - peretasan etis dapat mencakup hal-hal lain.
Peretasan
etis yang menyeluruh mungkin termasuk mengirim email kepada staf untuk meminta
perincian kata sandi, mencari-cari di tempat sampah eksekutif dan biasanya
menerobos masuk, tanpa sepengetahuan dan persetujuan target. Hanya pemilik, CEO
dan Anggota Dewan (pemegang saham) yang meminta tinjauan keamanan sebesar ini
yang mengetahui.
Untuk
mencoba meniru beberapa teknik destruktif yang mungkin digunakan serangan
nyata, peretas etis mungkin mengatur sistem uji kloning, atau mengatur
peretasan larut malam sementara sistem kurang kritis. Dalam sebagian besar
kasus, peretasan-peretasan ini berlangsung terus menerus untuk kon jangka
panjang (hari, jika bukan berminggu-minggu, infiltrasi manusia jangka panjang
ke dalam suatu organisasi).
Beberapa
contoh termasuk meninggalkan USB / flash key drive dengan perangkat lunak start
otomatis tersembunyi di area publik seolah-olah seseorang kehilangan drive
kecil dan karyawan yang tidak curiga menemukan dan mengambilnya.
Beberapa
metode lain untuk melakukan ini termasuk:
- DoS attacks
- Social engineering tactics
- Reverse engineering
- Network security
- Disk and memory forensics
- Vulnerability research
- Security scanners such as:
- W3af
- Nessus
- Nexpose
- Burp suite
Referensi
:
Searchsecurity(dot)techtarget(dot)com
Secpoint(dot)com
makasih infonya
ReplyDeleteSama2 :)
Delete