MANAJEMEN & IMPLEMENTASI PROTEKSI TEKNOLOGI INFORMASI

ETHICAL HACKING

Oleh : I Pratama Andika (1104505082)

JURUSAN TEKNOLOGI INFORMASI FAKULTAS TEKNIK UNIVERSITAS UDAYANA 2013

BAB I PENDAHULUAN Etika hacker adalah seorang ahli komputer dan jaringan yang menyerang sistem keamanan atas nama pemiliknya, mencari kelemahan sistemnya agar hacker tidak bisa mengeksploitasi. Untuk menguji sebuah sistem keamanan, ethical hacker menggunakan metode yang sama seperti rekan-rekan mereka yaitu para hacker, tetapi Laporan problem bukannya mengambil keuntungan dari mereka. Etika hacking juga dikenal sebagai tes penetrasi, intrusi teaming dan red teaming. Ethical Hacker kadang-kadang disebut white hat, sebuah istilah yang berasal dari film-film Barat lama, di mana "orang baik" mengenakan topi putih dan "jahat" memakai topi hitam. Salah satu contoh pertama ethical hacker di tempat kerja pada tahun 1970-an, saat itu pemerintah Amerika Serikat memanggil sekelompok ahli yang disebut red team untuk menghack sistem komputer mereka. Menurut Ed Skoudis, Vice President dari Strategi Keamanan Sistem prediktif 'Global Integritas praktek konsultasi, etika hacking terus tumbuh dalam industri TI, dan menjadi semakin umum di luar pemerintah dan sektor teknologi di mana ia dimulai. Banyak perusahaan besar, seperti IBM, mempertahankan para ethical hacker.

BAB II PEMBAHASAN 2.1 Pengertian Ethical Hacking Ethical Hacker Merupakan seorang yang berprofesi sebagai tenaga ahli di bidang keamanan sistem yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk mengakses computer yang ada didalamnya, tentu saja berbeda dengan malicious hacker yang berusaha memasuki system secara illegal. Dalam prakteknya, Ethical hacker menggunakan perangkat lunak dan teknik yang juga dilakukan oleh malicious hacker untuk mencari kelemahan pada sistem dan jaringan komputer targetnya, dengan tidak merusak target sistem atau mencuri informasi melainkan merawat integritas dan kerahasiaan sistem. Ethical Hacker merupakan seorang yang berprofesi sebagai tenaga ahli di bidang keamanan sistem yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk mengakses computer yang ada didalamnya, tentu saja berbeda dengan malicious hacker yang berusaha memasuki system secara illegal. Dalam prakteknya, Ethical hacker menggunakan perangkat lunak dan teknik yang juga dilakukan oleh malicious hacker untuk mencari kelemahan pada sistem dan jaringan komputer targetnya. 2.2 Tugas dan Tujuan Ethical Hacker a. Uji penetrasi Melakukan usaha-usaha untuk memasuki sistem. Seperti layaknya seorang malicious hacker untuk mencari kelemahan-kelemahan sistem. b. Uji keamanan Mengamankan dan melindungi system, setelah menemukan kelemahan-kelemahan yang ada pada sistem dengan perangkat-perangkat dan teknologi yang dibutuhkan.

Tugas yang dilakukan ethical hacker :

Tujuan Ethical Hacker 1. Melakukan hacking untuk mengeksploitasi kelemahan sistem dalam rangka update dan penyempurnaan sistem. 2. Melakukan hacking untuk mencari tahu dimana mulai bekerja mengamankan sistem. 3. Menjamin semua informasi dan layanannya beroperasi seaman mungkinUntuk menjadi seorang ethical hacker harus memiliki kemampuan seperti layaknya seorang malicious hacker, bahkan harus melebihinya. 2.3 Tahap-Tahapan Dalam Melakukan Ethical Hacking Sebelum hacker dapat melakukan ethical hacking, hacker harus mengetahui tahapan-tahapan dalam melakukannya, beriku adalah tahapannya : 1. Reconnaissance Dalam fase ini penyerang mencari informasi tentang target dengan secara active atau passive. Pasif : tanpa interaksi langsung. Menggunakan mesin pencari, pengendusan dalam jaringan, rekayasa social. Aktif : berinteraksi langsung dengan target. Menggunakan telepon atau bertatap muka, misal berbicara dengan resepsionis, menelpon layanan pelanggan atau dukungan teknis. 2. Scanning Dalam fase ini penyerang memulai memeriksa target untuk mencari satu atau lebih entri/cara memasuki sistem/jaringan 3. Gaining Proses eksploitasi kelemahan sistem, aplikasi, dan jaringan. Exploit dapat terjadi pada jaringan LAN, locally, internet, offline sebagai bagian penipuan dan Pencurian. Diantaranya yaitu dengan bufferoverflow, denial of service, session hijacking, password filtering dan sebagainya.

4. Maintaining Acses Hacker berhasil meng-exploit vulnerability dan dapat masuk ke dalam sistem. Proses menguasai sistem dan mempertahankan akses misal dengan memasang backdoor, rootkit, atau trojan, memanipulasi data/informasi. Hacker dapat meng upload, download hingga manipulasi data / aplikasi / konfigurasi dari sistem yang dimiliki. 5. Covering Tracks Menunjuk pada aktifitas yang dilakukan oleh hacker untuk memperluas penyalahgunaan sistem tanpa terdeteksi.Alasan diantaranya untuk memperpanjang keberadaan hacker, melanjutkan penggunaan sumberdaya, menghilangkan bukti hacking, menjadi aksi legal dan sebagainya.Jadi pada fase ini semua jejak hacker kan dihapus. 2.4 Klasifikasi Hacker Berikut ini pembagian dan nama bagi seorang hacker, jadi setiap jenis hacker memiliki skill yang berbeda-beda : 1. Black Hats Individu dengan kemampuan komputer luar biasa, mengambil jalur untuk aktifitas yang melanggar dan merusak dengan tujuan ilegal dan jahat. Atau disebut juga cracker. Kategori ini banyak berhubungan dengan aktifitas kriminal dan dicari penegak hukum. Black hat hacker adalah jenis hacker yang menggunakan kemampuan mereka untuk melakukan hal-hal yang dianggap melanggar hukum dan merusak. Ini adalah type hacker yang selalu digambarkan dan mendapat berita dari media massa akibat ulah mereka. kelompok ini juga disebut sebagai cracker. 2. White Hats White hats Individu berprofesi untuk memiliki kemampuan hacker dan menggunakannya untuk tujuan pertahanan. Atau disebut juga security analyst. White hats Individu Adalah jenis hacker yang menggunakan kemampuan mereka untuk menghadapi Black Hat Hacker. Umumnya mereka adalah profesional-

profesional yang bekerja pada perusahaan kemanan dan umumnya juga disebut sebagai security analyst, security consultan dsb. 3. Gray Hats Individu yang bekerja di dua posisi yaitu menyerang dan bertahan dalam berbagai waktu tertentu. Memiliki keyakinana bila siapa yang dapat masuk membuka informasi memiliki kebijaksanaan atas informasi tersebut. 4. Suicide Hacker Terorisme cyber sejauh ini masih lebih banyak mitos daripada kenyataan. Film-film seperti die hard 4.0 juga memberikan gambaran tenatang hal semacam ini dimana hacker menguasai jaringan semua komputer dari sebuah negara sehingga ia bisa melakukan banyak hal untuk membuat kekacauan. Ledakan gas terjadi dimanamana, Listrik dan air dimatikan sehingga negara menjadi kacau balau dan porak poranda. kejadian ini memang hanya terjadi di film dan belum pernah terjadi dalam dunia nyata, namun bukan hal yang mustahil melakukan itu. Hacker jenis ini tidak takut ancaman hukuman 100 tahun sekalipun dan hanya mempunya tujuan membuat kekacauan yang sebesar-besarnya. Suicide hacker, bisa disetarakan dengan tindakan bom bunuh diri yang marak dijaman modern ini atau berbagai tindakan terror dari teroris. 2.5 Klasifikasi Ethical Hacker Ethical hacker juga memiliki beberapa klasifikasi, berikut akan dijelaskan : 1. Former Black Hat Reformasi dari cracker menjadi sisi pertahanan. Bahan keamanan sesuai dengan pengalaman.Masih kurang kredibilitas, setelah memasuki informasi yang sensitif karena ketidak hati-hatian dengan dunia hacker berakibat resiko pada perusahaan. 2. White Hats Independent security consultant baik perseorangan atau grup.Merasa berpengetahuan tentang segala aktifitas black hat. Sehingga diketahui memiliki efisiensi dalam gathering information seperti black hat.

3. Consulting Firm Bagian sebuah firma ICT sebagai third party bagi evaluasi keamanan.Memiliki kemampuan dan kredibiliatas yang bagus.

2.6

Skill Dalam Ethical Hacking Ethical Hacker perlu memiliki keterampilan keamanan. Meskipun hacker tidak

harus menjadi ahli dalam segala hal, hacker harus memiliki bidang keahlian. Keterampilan ini meliputi : 1. Routers Pengetahuan tentang router, protokol routing, dan daftar kendali akses (ACL). Sertifikasi Seperti Cisco Certified Network Associate (CCNA) atau Cisco Certified Internetworking Expert (CCIE) dapat membantu. 2. Microsoft Keterampilan dalam konfigurasi, operasi, dan manajemen sistem berbasis Microsoft. Ini dapat menjalankan gamut dari Windows NT ke Windows 2003. Individu -individu ini mungkin Microsoft Certified Administrator (MCSA) atau Microsoft Certified Security Engineer (MCSE) bersertifikat. 3. Linux Pemahaman yang baik dari Linux / UNIX OS. Ini termasuk pengaturan keamanan, konfigurasi, dan layanan seperti Apache. Individu ini mungkin bersertifikat Red Hat, atau Linux. 4. Firewall Pengetahuan tentang konfigurasi firewall dan pengoperasian sistem deteksi intrusi (IDS) dan intrusion prevention systems (IPS) dapat membantu saat melakukan tes keamanan. Individu dengan keahlian ini dapat disertifikasi dalam Cisco Certified Security Professional (CCSP) atau Checkpoint Certified Security Administrator (CCSA).

5. Mainframe Meskipun mainframe tidak memegang posisi dominan yang pernah mereka miliki dalam bisnis 6. Jaringan protokol Jaringan Protocol modern Kebanyakan Transmission Control Protocol / Internet (TCP / IP), meskipun hacker mungkin masih sesekali menemukan

jaringan yang menggunakan Novell atau Apple informasi routing. Seseorang dengan pengetahuan baik dari protokol jaringan, serta bagaimana fungsi protokol dapat dimanipulasi, dapat memainkan peran penting dalam tim. Orang-orang mungkin memiliki sertifikasi di OS lainnya, perangkat keras, atau bahkan memiliki sebuah sertifikasi Network atau Keamanan 2.7 Mode Ethical Hacking Sebuah organisasi infrastruktur TI bisa dideteksi, dianalisis, dan menyerang dalam berbagai cara. Beberapa modus yang paling umum ethical hacking yang ditampilkan di sini : a. Serangan internal Ethical hacking ini mensimulasikan jenis serangan dan kegiatan yang dapat dilakukan oleh pihak yang memiliki akses koneksi yang sah ke jaringan organisasi. b. Serangan Outsider Ethical hacking berusaha untuk mensimulasikan jenis serangan yang dapat diluncurkan di Internet. Hal ini dapat menargetkan Hypertext Transfer Protocol (HTTP), Simple Mail Transfer Protocol (SMTP), Structured Query Language (SQL), atau layanan lain yang tersedia. c. Serangan Terhadap Peralatan Simulasi ini berkaitan erat dengan serangan fisik seperti peralatan target organisasi. Itu bisa berusaha untuk menargetkan laptop CEO atau tape backup organisasi. Tidak peduli apa target, tujuannya adalah sama - ekstrak informasi penting, username, dan password.

d. Fisik entry Simulasi ini untuk menguji kontrol fisik organisasi. Sistem seperti pintu, gerbang, kunci, penjaga, CCTV, dan alarm diuji untuk melihat apakah mereka dapat dilewati. e. Bypass authentification Simulasi ini bertugas dengan mencari titik akses nirkabel (WAP) dan modem. Tujuannya adalah untuk melihat apakah sistem ini aman dan menawarkan kontrol otentikasi cukup. Jika control dapat dilewati, para hacker etika mungkin probe untuk melihat apa tingkat sistem kontrol dapat diperoleh. f. Social engineering Simulasi ini tidak menargetkan sistem teknis atau akses fisik. Social engineering malakukan serangan karyawan organisasi dan berusaha untuk memanipulasi mereka untuk mendapatkan informasi rahasia. kontrol yang tepat, kebijakan, dan prosedur dapat pergi jauh dalam mengalahkan bentuk serangan. 2.8 Fase Testing Keamanan 1. Preparation Fase formal dengan membuat pertanyaan-pertanyaan tentang sprt apa yang dipertahankan perusahaan yang dievaluasi, dari siapa, berapa biaya sehingga akan dapat dibuat rencana.Fase ini juga membuat kesepakatan evaluasi oleh Ethical Hacking untuk proses penyingkapan informasi sehingga tidak ada penuntutan atas proses tersebut serta membuat kontrak tentang aktifitas evaluasi, jadwal dan sumber daya yang ada. 2. Conduct Fase ini melakukan metode-metode Ethical Hacking yaitu analisis vulnerability dan tes penembusan (penetration) baik dari internet maupun dari intranet.Mencari sebanyak mungkin vulnerability yang dapat terjadi dari target. 3. Conclusion

Fase

ini

memberikan

rekomendasi-rekomendasi

dan

mengomunikasikan

perusahaan/ client dengan saran-saran dan aksi yang harus dilakukan berdasarkan hasil evaluasi keamanan.Kemungkinan vulnerability informasi dan data. 2.9 Aturan dan Etika Ethical Hacker Agar seorang ethical hacker tidak melakukan kegiatan dari kegiatan kejahatan dan Agar terbebas dari sangsi hukum, ethical hacker perlu mendapatkan persetujuan tertulis dan menandatangani perjanjian mengenai apa saja yang tidak boleh dilakukan oleh hacker, selain itu seorang ethical hacker harus memiliki etika atau aturan dalam bekerja, berikut akan dijelaskan : 1. Tidak Melebihi Batas Otorisasi Setiap tugas akan memiliki aturan keterlibatan. Ini tidak hanya mencakup apa yang hacker yang berwenang untuk target, tetapi juga apabila hacker yang berwenang untuk mengendalikan sistem tersebut. Jika hacker hanya berwenang untuk mendapatkan prompt pada sistem target, men-download password dan memulai retak pada password ini akan lebih dari apa yang hacker yang telah diizinkan untuk dil akukan 2. Etis atau Etika Etika adalah seperangkat prinsip moral tentang apa yang benar atau hal yang tepat untuk dilakukan. standar etika kadang-kadang berbeda dengan standar hukum dalam undang-undang menentukan apa yang harus kita lakukan, sedangkan etika mendefinisikan apa yang harus kita lakukan. 3. Menjaga Kerahasian Selama evaluasi keamanan, hacker mungkin akan menghadapi berbagai informasi rahasia. Hacker memiliki kedua standar hukum dan moral untuk memperlakukan informasi ini dengan privasi maksimal. Informasi ini tidak boleh dibagi dengan pihak ketiga dan tidak boleh digunakan oleh hacker untuk tujuan tidak disetujui. Ada kewajiban untuk melindungi informasi yang dikirim antara tester dan klien. Hal ini akan ditentukan dalam perjanjian.

4. Tidak Membahayakan Sistem Penting bahwa hacker tidak membahayakan sistem ketika dalam pengujian. Penyalahgunaan alat keamanan dapat mengunci akun penting dan denial of service (DoS), bahkan server atau aplikasi crash. Perawatan harus diambil untuk mencegah kejadian ini kecuali jika itu menjadi tujuan pengujian

BAB III KESIMPULAN Ethical Hacker merupakan seorang yang berprofesi sebagai tenaga ahli di bidang keamanan sistem yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk mengakses computer yang ada didalamnya, Hacking yang dilakukan tanpa sepengetahuan dan ijin dari pemilik, walaupun bertujuan baik tetap tidak bisa dikategorikan sebagai Ethical Hacking dan beresiko mendapatkan ancaman hukuman sesuai dengan negaranya masing-masing apabila sang korban merasa tidak senang dengan tindakan hacker. Agar terbebas dari sangsi hukum, ethical hacker perlu mendapatkan persetujuan tertulis dan menandatangani perjanjian mengenai apa saja yang tidak boleh dilakukan oleh hacker. Berbeda dengan jenis hacker lainnya, ethical hacker memiliki etika dalam bekerja mulai dari menjaga rahasia objek hacking yang didapat dan tidak membhayakan sistem yang di hacker. Seorang ahli Ethical Hacking harus memiliki beberapa skill seperti pengetahuan tentang router, sistem operasi micrsoft, linux dan lainnya, memliki skill tentang firewall, mainframe dan jaringan protocol

DAFTAR PUSTAKA Dodont, Ethical Hacking Ilkom, (http://www.slideshare.net/dodontn/ethicalhacking1) diunduh pada 10 Oktober 2013. Setiawan, Iwan, Pengenalan Ethical Hacking, (stwn.blog.unsoed.ac.id/files/2012/06/ethack-2012-8.pdf), diunduh pada 10 Oktober 2013 http://putr4.wordpress.com/2012/01/31/ethical-hacker-01/