hacking andika!!
TRANSCRIPT
MANAJEMEN & IMPLEMENTASI PROTEKSI
TEKNOLOGI INFORMASI
“ETHICAL HACKING”
Oleh :
I Pratama Andika (1104505082)
JURUSAN TEKNOLOGI INFORMASI
FAKULTAS TEKNIK UNIVERSITAS UDAYANA
2013
BAB I
PENDAHULUAN
Etika hacker adalah seorang ahli komputer dan jaringan yang menyerang sistem
keamanan atas nama pemiliknya, mencari kelemahan sistemnya agar hacker tidak bisa
mengeksploitasi. Untuk menguji sebuah sistem keamanan, ethical hacker menggunakan
metode yang sama seperti rekan-rekan mereka yaitu para hacker, tetapi Laporan problem
bukannya mengambil keuntungan dari mereka. Etika hacking juga dikenal sebagai tes
penetrasi, intrusi teaming dan red teaming. Ethical Hacker kadang-kadang disebut white
hat, sebuah istilah yang berasal dari film-film Barat lama, di mana "orang baik"
mengenakan topi putih dan "jahat" memakai topi hitam.
Salah satu contoh pertama ethical hacker di tempat kerja pada tahun 1970-an, saat
itu pemerintah Amerika Serikat memanggil sekelompok ahli yang disebut red team untuk
menghack sistem komputer mereka. Menurut Ed Skoudis, Vice President dari Strategi
Keamanan Sistem prediktif 'Global Integritas praktek konsultasi, etika hacking terus
tumbuh dalam industri TI, dan menjadi semakin umum di luar pemerintah dan sektor
teknologi di mana ia dimulai. Banyak perusahaan besar, seperti IBM, mempertahankan para
ethical hacker.
BAB II
PEMBAHASAN
2.1 Pengertian Ethical Hacking
Ethical Hacker Merupakan seorang yang berprofesi sebagai tenaga ahli di bidang
keamanan sistem yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para
pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional
untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk
mengakses computer yang ada didalamnya, tentu saja berbeda dengan malicious hacker
yang berusaha memasuki system secara illegal. Dalam prakteknya, Ethical hacker
menggunakan perangkat lunak dan teknik yang juga dilakukan oleh malicious hacker untuk
mencari kelemahan pada sistem dan jaringan komputer targetnya, dengan tidak merusak
target sistem atau mencuri informasi melainkan merawat integritas dan kerahasiaan sistem.
Ethical Hacker merupakan seorang yang berprofesi sebagai tenaga ahli di bidang
keamanan sistem yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para
pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional
untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk
mengakses computer yang ada didalamnya, tentu saja berbeda dengan malicious hacker
yang berusaha memasuki system secara illegal. Dalam prakteknya, Ethical
hacker menggunakan perangkat lunak dan teknik yang juga dilakukan oleh malicious
hacker untuk mencari kelemahan pada sistem dan jaringan komputer targetnya.
2.2 Tugas dan Tujuan Ethical Hacker
Tugas yang dilakukan ethical hacker :
a. Uji penetrasi Melakukan usaha-usaha untuk memasuki sistem. Seperti layaknya
seorang malicious hacker untuk mencari kelemahan-kelemahan sistem.
b. Uji keamanan Mengamankan dan melindungi system, setelah menemukan
kelemahan-kelemahan yang ada pada sistem dengan perangkat-perangkat dan
teknologi yang dibutuhkan.
Tujuan Ethical Hacker
1. Melakukan hacking untuk mengeksploitasi kelemahan sistem dalam rangka update
dan penyempurnaan sistem.
2. Melakukan hacking untuk mencari tahu dimana mulai bekerja mengamankan
sistem.
3. Menjamin semua informasi dan layanannya beroperasi seaman mungkinUntuk
menjadi seorang ethical hacker harus memiliki kemampuan seperti layaknya
seorang malicious hacker, bahkan harus melebihinya.
2.3 Tahap-Tahapan Dalam Melakukan Ethical Hacking
Sebelum hacker dapat melakukan ethical hacking, hacker harus mengetahui
tahapan-tahapan dalam melakukannya, beriku adalah tahapannya :
1. Reconnaissance
Dalam fase ini penyerang mencari informasi tentang target dengan secara active
atau passive.
Pasif : tanpa interaksi langsung. Menggunakan mesin pencari, pengendusan dalam
jaringan, rekayasa social.
Aktif : berinteraksi langsung dengan target. Menggunakan telepon atau bertatap
muka, misal berbicara dengan resepsionis, menelpon layanan pelanggan atau
dukungan teknis.
2. Scanning
Dalam fase ini penyerang memulai memeriksa target untuk mencari satu atau lebih
entri/cara memasuki sistem/jaringan
3. Gaining
Proses eksploitasi kelemahan sistem, aplikasi, dan jaringan. Exploit dapat terjadi
pada jaringan LAN, locally, internet, offline sebagai bagian penipuan dan
Pencurian. Diantaranya yaitu dengan bufferoverflow, denial of service, session
hijacking, password filtering dan sebagainya.
4. Maintaining Acses
Hacker berhasil meng-exploit vulnerability dan dapat masuk ke dalam sistem.
Proses menguasai sistem dan mempertahankan akses misal dengan memasang
backdoor, rootkit, atau trojan, memanipulasi data/informasi. Hacker dapat meng
upload, download hingga manipulasi data / aplikasi / konfigurasi dari sistem yang
“dimiliki”.
5. Covering Tracks
Menunjuk pada aktifitas yang dilakukan oleh hacker untuk memperluas
penyalahgunaan sistem tanpa terdeteksi.Alasan diantaranya untuk memperpanjang
keberadaan hacker, melanjutkan penggunaan sumberdaya, menghilangkan bukti
hacking, menjadi aksi legal dan sebagainya.Jadi pada fase ini semua jejak hacker
kan dihapus.
2.4 Klasifikasi Hacker
Berikut ini pembagian dan nama bagi seorang hacker, jadi setiap jenis hacker
memiliki skill yang berbeda-beda :
1. Black Hats
Individu dengan kemampuan komputer luar biasa, mengambil jalur untuk aktifitas
yang melanggar dan merusak dengan tujuan ilegal dan jahat. Atau disebut juga
“cracker”. Kategori ini banyak berhubungan dengan aktifitas kriminal dan dicari
penegak hukum.
Black hat hacker adalah jenis hacker yang menggunakan kemampuan mereka untuk
melakukan hal-hal yang dianggap melanggar hukum dan merusak. Ini adalah type
hacker yang selalu digambarkan dan mendapat berita dari media massa akibat ulah
mereka. kelompok ini juga disebut sebagai cracker.
2. White Hats
White hats Individu berprofesi untuk memiliki kemampuan hacker dan
menggunakannya untuk tujuan pertahanan. Atau disebut juga “security analyst”.
White hats Individu Adalah jenis hacker yang menggunakan kemampuan mereka
untuk menghadapi Black Hat Hacker. Umumnya mereka adalah profesional-
profesional yang bekerja pada perusahaan kemanan dan umumnya juga disebut
sebagai security analyst, security consultan dsb.
3. Gray Hats
Individu yang bekerja di dua posisi yaitu menyerang dan bertahan dalam berbagai
waktu tertentu. Memiliki keyakinana bila siapa yang dapat masuk membuka
informasi memiliki kebijaksanaan atas informasi tersebut.
4. Suicide Hacker
Terorisme cyber sejauh ini masih lebih banyak mitos daripada kenyataan. Film-film
seperti die hard 4.0 juga memberikan gambaran tenatang hal semacam ini dimana
hacker menguasai jaringan semua komputer dari sebuah negara sehingga ia bisa
melakukan banyak hal untuk membuat kekacauan. Ledakan gas terjadi dimana-
mana, Listrik dan air dimatikan sehingga negara menjadi kacau balau dan porak
poranda. kejadian ini memang hanya terjadi di film dan belum pernah terjadi dalam
dunia nyata, namun bukan hal yang mustahil melakukan itu. Hacker jenis ini tidak
takut ancaman hukuman 100 tahun sekalipun dan hanya mempunya tujuan membuat
kekacauan yang sebesar-besarnya. Suicide hacker, bisa disetarakan dengan tindakan
bom bunuh diri yang marak dijaman modern ini atau berbagai tindakan terror dari
teroris.
2.5 Klasifikasi Ethical Hacker
Ethical hacker juga memiliki beberapa klasifikasi, berikut akan dijelaskan :
1. Former Black Hat
Reformasi dari cracker menjadi sisi pertahanan. Bahan keamanan sesuai dengan
pengalaman.Masih kurang kredibilitas, setelah memasuki informasi yang sensitif
karena ketidak hati-hatian dengan dunia hacker berakibat resiko pada perusahaan.
2. White Hats
Independent security consultant baik perseorangan atau grup.Merasa
berpengetahuan tentang segala aktifitas black hat. Sehingga diketahui memiliki
efisiensi dalam gathering information seperti black hat.
3. Consulting Firm
Bagian sebuah firma ICT sebagai third party bagi evaluasi keamanan.Memiliki
kemampuan dan kredibiliatas yang bagus.
2.6 Skill Dalam Ethical Hacking
Ethical Hacker perlu memiliki keterampilan keamanan. Meskipun hacker tidak
harus menjadi ahli dalam segala hal, hacker harus memiliki bidang keahlian. Keterampilan
ini meliputi :
1. Routers
Pengetahuan tentang router, protokol routing, dan daftar kendali akses (ACL).
Sertifikasi
Seperti Cisco Certified Network Associate (CCNA) atau Cisco Certified
Internetworking Expert (CCIE) dapat membantu.
2. Microsoft
Keterampilan dalam konfigurasi, operasi, dan manajemen sistem berbasis
Microsoft. Ini dapat menjalankan gamut dari Windows NT ke Windows 2003.
Individu -individu ini mungkin Microsoft Certified Administrator (MCSA) atau
Microsoft Certified Security Engineer (MCSE) bersertifikat.
3. Linux
Pemahaman yang baik dari Linux / UNIX OS. Ini termasuk pengaturan keamanan,
konfigurasi, dan layanan seperti Apache. Individu ini mungkin bersertifikat
Red Hat, atau Linux.
4. Firewall
Pengetahuan tentang konfigurasi firewall dan pengoperasian sistem deteksi
intrusi (IDS) dan intrusion prevention systems (IPS) dapat membantu saat
melakukan tes keamanan. Individu dengan keahlian ini dapat disertifikasi dalam
Cisco Certified Security Professional (CCSP) atau Checkpoint Certified Security
Administrator (CCSA).
5. Mainframe
Meskipun mainframe tidak memegang posisi dominan yang pernah mereka miliki
dalam bisnis
6. Jaringan protokol
Jaringan modern Kebanyakan Transmission Control Protocol / Internet
Protocol (TCP / IP), meskipun hacker mungkin masih sesekali menemukan
jaringan yang menggunakan Novell atau Apple informasi routing. Seseorang
dengan pengetahuan baik dari protokol jaringan, serta bagaimana fungsi
protokol dapat dimanipulasi, dapat memainkan peran penting dalam tim.
Orang-orang mungkin memiliki sertifikasi di OS lainnya, perangkat keras, atau
bahkan memiliki sebuah sertifikasi Network atau Keamanan
2.7 Mode Ethical Hacking
Sebuah organisasi infrastruktur TI bisa dideteksi, dianalisis, dan menyerang
dalam berbagai cara. Beberapa modus yang paling umum ethical hacking yang
ditampilkan di sini :
a. Serangan internal
Ethical hacking ini mensimulasikan jenis serangan dan kegiatan yang dapat
dilakukan oleh pihak yang memiliki akses koneksi yang sah ke jaringan organisasi.
b. Serangan Outsider
Ethical hacking berusaha untuk mensimulasikan jenis serangan yang dapat
diluncurkan di Internet. Hal ini dapat menargetkan Hypertext Transfer Protocol
(HTTP), Simple Mail Transfer Protocol (SMTP), Structured Query Language
(SQL), atau layanan lain yang tersedia.
c. Serangan Terhadap Peralatan
Simulasi ini berkaitan erat dengan serangan fisik seperti peralatan target
organisasi. Itu bisa berusaha untuk menargetkan laptop CEO atau tape backup
organisasi. Tidak peduli apa target, tujuannya adalah sama - ekstrak informasi
penting, username, dan password.
d. Fisik entry
Simulasi ini untuk menguji kontrol fisik organisasi. Sistem seperti pintu,
gerbang, kunci, penjaga, CCTV, dan alarm diuji untuk melihat apakah mereka
dapat dilewati.
e. Bypass authentification
Simulasi ini bertugas dengan mencari titik akses nirkabel (WAP) dan modem.
Tujuannya adalah untuk melihat apakah sistem ini aman dan menawarkan kontrol
otentikasi cukup. Jika control dapat dilewati, para hacker etika mungkin probe
untuk melihat apa tingkat sistem kontrol dapat diperoleh.
f. Social engineering
Simulasi ini tidak menargetkan sistem teknis atau akses fisik. Social
engineering malakukan serangan karyawan organisasi dan berusaha untuk
memanipulasi mereka untuk mendapatkan informasi rahasia. kontrol yang tepat,
kebijakan, dan prosedur dapat pergi jauh dalam mengalahkan bentuk serangan.
2.8 Fase Testing Keamanan
1. Preparation
Fase formal dengan membuat pertanyaan-pertanyaan tentang sprt apa yang
dipertahankan perusahaan yang dievaluasi, dari siapa, berapa biaya sehingga akan
dapat dibuat rencana.Fase ini juga membuat kesepakatan evaluasi oleh Ethical
Hacking untuk proses penyingkapan informasi sehingga tidak ada penuntutan atas
proses tersebut serta membuat kontrak tentang aktifitas evaluasi, jadwal dan sumber
daya yang ada.
2. Conduct
Fase ini melakukan metode-metode Ethical Hacking yaitu analisis vulnerability dan
tes penembusan (penetration) baik dari internet maupun dari intranet.Mencari
sebanyak mungkin vulnerability yang dapat terjadi dari target.
3. Conclusion
Fase ini memberikan rekomendasi-rekomendasi dan mengomunikasikan
perusahaan/ client dengan saran-saran dan aksi yang harus dilakukan berdasarkan
hasil evaluasi keamanan.Kemungkinan vulnerability informasi dan data.
2.9 Aturan dan Etika Ethical Hacker
Agar seorang ethical hacker tidak melakukan kegiatan dari kegiatan kejahatan dan
Agar terbebas dari sangsi hukum, ethical hacker perlu mendapatkan persetujuan tertulis dan
menandatangani perjanjian mengenai apa saja yang tidak boleh dilakukan oleh hacker,
selain itu seorang ethical hacker harus memiliki etika atau aturan dalam bekerja, berikut
akan dijelaskan :
1. Tidak Melebihi Batas Otorisasi
Setiap tugas akan memiliki aturan keterlibatan. Ini tidak hanya mencakup apa yang
hacker yang berwenang untuk target, tetapi juga apabila hacker yang
berwenang untuk mengendalikan sistem tersebut. Jika hacker hanya berwenang
untuk mendapatkan prompt pada sistem target, men-download password dan
memulai retak pada password ini akan lebih dari apa yang hacker yang telah
diizinkan untuk dil akukan
2. Etis atau Etika
Etika adalah seperangkat prinsip moral tentang apa yang benar atau hal yang tepat
untuk dilakukan. standar etika kadang-kadang berbeda dengan standar hukum
dalam undang-undang menentukan apa yang harus kita lakukan, sedangkan
etika mendefinisikan apa yang harus kita lakukan.
3. Menjaga Kerahasian
Selama evaluasi keamanan, hacker mungkin akan menghadapi berbagai
informasi rahasia. Hacker memiliki kedua standar hukum dan moral untuk
memperlakukan informasi ini dengan privasi maksimal. Informasi ini tidak
boleh dibagi dengan pihak ketiga dan tidak boleh digunakan oleh hacker untuk
tujuan tidak disetujui. Ada kewajiban untuk melindungi informasi yang dikirim
antara tester dan klien. Hal ini akan ditentukan dalam perjanjian.
4. Tidak Membahayakan Sistem
Penting bahwa hacker tidak membahayakan sistem ketika dalam pengujian.
Penyalahgunaan alat keamanan dapat mengunci akun penting dan denial of
service (DoS), bahkan server atau aplikasi crash. Perawatan harus diambil untuk
mencegah kejadian ini kecuali jika itu menjadi tujuan pengujian
BAB III
KESIMPULAN
Ethical Hacker merupakan seorang yang berprofesi sebagai tenaga ahli di bidang
keamanan sistem yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para
pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional
untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk
mengakses computer yang ada didalamnya, Hacking yang dilakukan tanpa sepengetahuan
dan ijin dari pemilik, walaupun bertujuan baik tetap tidak bisa dikategorikan sebagai
Ethical Hacking dan beresiko mendapatkan ancaman hukuman sesuai dengan negaranya
masing-masing apabila sang korban merasa tidak senang dengan tindakan hacker. Agar
terbebas dari sangsi hukum, ethical hacker perlu mendapatkan persetujuan tertulis dan
menandatangani perjanjian mengenai apa saja yang tidak boleh dilakukan oleh hacker.
Berbeda dengan jenis hacker lainnya, ethical hacker memiliki etika dalam bekerja mulai
dari menjaga rahasia objek hacking yang didapat dan tidak membhayakan sistem yang di
hacker. Seorang ahli Ethical Hacking harus memiliki beberapa skill seperti pengetahuan
tentang router, sistem operasi micrsoft, linux dan lainnya, memliki skill tentang firewall,
mainframe dan jaringan protocol
DAFTAR PUSTAKA
Dodont, “Ethical Hacking Ilkom”, (http://www.slideshare.net/dodontn/ethical-
hacking1) diunduh pada 10 Oktober 2013.
Setiawan, Iwan, “Pengenalan Ethical Hacking”,
(stwn.blog.unsoed.ac.id/files/2012/06/ethack-2012-8.pdf), diunduh pada 10 Oktober 2013
http://putr4.wordpress.com/2012/01/31/ethical-hacker-01/