12.

Penetration Testing
Penetration Testing
Penetration testing atau pentest merupakan istilah yang sering
digunakan saat seseorang melakukan kegiatan pengujian sebuah sistem
atau aplikasi. Kegiatan pengujian ini dilakukan untuk mengetahui
apakah sistem keamanan yang terdapat pada sistem atau aplikasi
mempunyai celah sehingga dapat segera diperbaiki dengan melakukan
patch atau penambalan sehingga sistem keamanan yang terdapat pada
suatu sistem atau aplikasi tersebut menjadi semakin kuat.
Target Penetration Test
• Layanan yang menggunakan koneksi internet (website, VPN endpoint,
infrastruktur e-mail, extranet, dan lain-lain).
• Sistem internal atau servis yang terdapat di dalam jaringan (Active
Drectory, Exchange, dan lain-lain)
• Beberapa aplikasi tertentu (dibeli atau dikembangkan sendiri oleh
perusahaan)
• Jaringan internal
• Karyawan perusahaan
Kelebihan Penetration Test
• Dapat dilakukan secara cepat dengan waktu yang sedikit
• Keterampilan yang dibutuhkan untuk melakukan teknik pengujian
pentest relative lebih rendah
• Pengujian langsung dilakukan pada kode yang digunakan (exposed)
• Mencegah kerusakan nyata yang bisa terjadi pada system
• Menemukan semua kelemahan dalam sistem untuk diperbaiki
Alat Penetration Testing
Alat yang digunakan untuk Penetration Test bisa dibagi menjadi beberapa kategori,
yaitu :
• Exploitation Framework - Digunakan untuk membuat dan mengeksekusi code
untuk eksploitasi sistem
• Data sanitization - Digunakan untuk menghilangkan data dari tempat
penyimpanan data secara aman
• Steganography - Digunakan untuk menyembunyikan data didalam data lain untuk
mencegah pendeteksian
• Social Engineering - Digunakan untuk mengecek kesiapan user terhadap taktik
Social Engineering
• Stress Testers - Digunakan untuk menguji kemampuan sistem terhadap beban
komputansi dan bandwidth jaringan yang besar
Metode Penetration Testing
Pada dasarnya metode pelaksanaan Penetration Testing dibagi menjadi
3 jenis, yaitu :
• Black box testing
• Grey box testing
• White box testing
Black Box Testing
Merupakan pengujian yang dilakukan berdasarkan detail aplikasi,
seperti tampilan aplikasi, fungsi-fungsi yang terdapat pada aplikasi,
serta penyesuaian alur fungsi pada aplikasi dengan bisnis yang
diinginkan oleh pelanggan. Pengujian ini dilakukan tanpa melihat dan
menguji source code program yang ada pada aplikasi.
Grey box testing
Merupakan metode pengujian yang berasal dari kombinasi Black Box
dan White Box. Dimana pentester melakukan pengujian aplikasi
berdasarkan spesifikasi namun menggunakan cara kerja dari dalam
aplikasi tersebut alias source code program.
White Box Testing
Merupakan pengujian yang dilakukan berdasarkan detail prosedur
serta alur logika dari sebuah kode program. Pada metode ini, tester
akan melihat keseluruhan source code sebuah program untuk
menemukan bugs dari kode program tersebut.
Mekanisme Penetration Test
Penetration Test umumnya dibagi menjadi 5 tahapan, yaitu :
1. Recoinnaissance
2. Initial Exploitation
3. Escalation of Previlege
4. Pivoting
5. Persistence
Fase Recoinnaissance
Recoinnaissance adalah tahapan dimana pentester akan
mengumpulkan data awal atau beberapa hal yang diperlukan untuk
klien. Setelah data dikumpulkan, maka pentester akan dapat dengan
mudah merencanakan serangan secara lebih baik. Pengintaian ini dapat
dilakukan dengan dua cara, yaitu secara aktif (secara langsung
menyentuh target yang ditentukan) dan secara pasif (pengintaian
dilakukan melalui perantara).
Fase Initial Exploitation
Initial Exploitation adalah tahapan dimana pentester akan mulai
melakukan eksploitasi sistem setelah selesai dilakukannya
Reconnaissance. Pada tahapan ini, pentester akan berusaha untuk
mendapatkan akses ke dalam sistem, baik itu akses ke jaringan atau
host, data kredensial, dan lain-lain.
Fase Escalation of Previlege
Escalation of Previlege adalah tahapan dimana pentester akan
mencoba untuk meningkatkan kontrol yang dia punya terhadap target
sistem. Hal ini dilakukan karena seseorang yang mempunyai akses
tinggi dalam sebuah sistem tentu akan dapat melakukan kerusakan
yang lebih tinggi juga.
Fase Pivoting
Pivoting adalah tahapan dimana pentester akan membentuk sebuah
central host atau kontrol utama dalam sistem target. Hal ini dilakukan
karena dengan membuat central host maka pentester dapat
memperluas akses yang dia miliki ke host lain ataupun segmentasi
jaringan lainnya.
Fase Persistence
Persistence adalah tahapan dimana pentester akan membuat beberapa
langkah-langkah yang diperlukan agar dapat tetap berada di lingkungan
target dengan tujuan untuk mengumpulkan data sebanyak mungkin.
Pada fase ini, penyerang harus tetap dalam kondisi diam agar tidak
dapat tertangkap ketika sedang menggunakan lingkungan host.