Pengenalan Ethical Hacking

Ethical Hacking

images

Prolog
Tulisan ini akan membahas dunia ethical hacking. Ethical hacking merupakan hacking yang dilakukan secara legal dengan persetujuan organisasi objek hacking untuk meningkatakan kemanan. Secara umum tulisan ini akan membahas aspek-aspek dari penetration testing (pen test). Informasi terkait cara. Pembahasan masalah keamanan tidak dapat lepas dari 3 aspek utama yakni confidentiality, integrity, dan availability (CIA). Tulisan yang dibuat tidak bertujuan untuk mendorong aktifitas ilegal dan tidak beretika.

Goals of Security
Banyak cara yang dapat dilakukan untuk mendapat keamanan yang diinginkan. Secara umum disepakati 3 aspek utama dalam keamanan, yaitu aspek confidentiality, integrity, dan availability (CIA). Confidentiality mencakup kerahasian informasi. Contoh fisik confidentiality misalnya pintu yang terkunci, penjaga gerbang dan pagar. Contoh logik confidentiality dapat berupa password, enkripsi dan firewall. Integrity menjamin kebenaran informasi. Pihak pengakses dapat dengan yakin kebenaran informasi yang sampai. Integritas data dijamin dengan samanya data atau informasi yang dikirim dengan informasi yang diterima. Secara digital, fakror integritas lebih sulit dilakukan dibandingkan informasi fisiknya. Contoh jaminan integritas yang dilakukan misalnya dengan menerapkan fungsi hash pada data. Contoh nyata penggunaan fungsi hash dapat dilihat pada program-program Tripwire, MD5Sum, dan Windows File Protection (WFP). Availability adalah aspek ketiga dari CIA. Availability secara sederhana memiliki makna ketersediaan, yaitu saat user yang sah membutuhkan informasi, informasi tersebut harus dapat diakses/tersedia. Pemanfaatan backup untuk melakukan restore pada sistem telah menjamin aspek availability. Sistem seperti redundant array of inexpensive disks (RAID) dan subscription services seperti situs redundant (hot, cold, and warm) adalah contoh-contoh lain availaibility. Denial of service (DoS) merupakan contoh serangan terhadap availability. Serangan tersebut membuat user yang sah tidak dapat mengakses informasi yang dibutuhkan.

Hacker and Cracker Descriptions

957218_eeed_2
Secara definisi, hacker adalah seseorang yang secara antusias menyenangi cara kerja dari program, sistem, komputer dan jaringan komputer , dan adapat diasumsikan sebagai ahli di bidang tersebut. Seiring bergantinya waktu muncul banyak istilah yang memiliki kemiripan dengan hacker, contohnya cracker. Cracker secara sederhana adalah criminal hacker, yaitu seseorang yang berusaha dengan ilegal untuk mendapatkan akses sistem untuk mencuri atau merusak informasi. “true hackers subscribe to a code of ethics and look down upon crackers”. Dari definisi hacker, muncul istilah ethical hacker, yaitu seseorang yang melakukan tes keamanan dan pengujian celah keamanan lainnya yang bertujuan untuk mengamankan sistem. Ethical hacker sering disebut juga sebagai White Hat Hacker. Ethical hacker menggunakan alat yang sama seperti hacker, tapi mereka bukan ancaman terhadap sistem. Beberapa orang melakukan ethical hacking sebagai hobi, sementara beberapa melakukan untuk karier. Selain istilah di atas, masih banyak istilah yang berhubungan dengan individu yang memanfaatkan celah keamanan, diantaranya: Grayhat Hacker-orang biasanya mengikuti hukum tapi kadang-kadang berani ke sisi gelap dari blackhat hacker. Ini akan menjadi tidak etis untuk mempekerjakan orang-orang untuk melakukan tugas keamanan untuk organisasi Anda sebagai seorang hacker tidak pernah cukup jelas di mana mereka berdiri. Phreakers Para hacker asli. Individu-individu hack telekomunikasi dan PBX sistem untuk mengeksplorasi kemampuan dan membuat panggilan telepon gratis. Kegiatan mereka termasuk pencurian fisik, kartu panggil dicuri, akses ke layanan telekomunikasi, pemrograman ulang peralatan telekomunikasi, dan mengorbankan userids dan password untuk mendapatkan penggunaan yang tidak sah dari fasilitas, seperti sistem telepon dan pesan suara. Script / Klik Kiddies Sebuah istilah yang digunakan untuk menggambarkan penyerang sering muda yang menggunakan alat penilaian kerentanan freeware yang tersedia secara luas dan hacking tools yang dirancang untuk tujuan hanya menyerang. Penyerang ini biasanya tidak memiliki pemrograman atau keterampilan hacking dan, mengingat teknik yang digunakan oleh sebagian besar alat-alat ini, dapat dipertahankan terhadap dengan kontrol keamanan yang tepat dan strategi mitigasi risiko. Puas Karyawan Karyawan yang telah kehilangan rasa hormat dan integritas untuk majikan. Orang-orang ini mungkin atau mungkin tidak memiliki kemampuan lebih dari script kiddie. Banyak kali, kemarahan dan kemarahan mereka buta mereka. Mereka peringkat sebagai risiko yang berpotensi tinggi karena mereka mempunyai status insider, terutama jika hak akses dan hak istimewa disediakan atau dikelola oleh individu. Whackers Whackers biasanya pemula yang fokus keterampilan mereka yang terbatas dan kemampuan menyerang LAN nirkabel dan WAN.

Security Testing
Security testing merupakan pekerjaan utama dari ethical hackers. Test yang dilakukan dapat dispesifikasikan berdasar pengetahuan hacker tentang objek yang dites. Pengetahuan terhadap target evaluasi dapat berupa no knowledge, full knowledge, dan partial knowledge. Tujuan dari tes keamanan ini adalah untuk menguji keamanan sistem dan mengevaluasi dan mengukur celah keamanan sistem agar dapat diminimalkan potensinya. No Knowledge Tes s (Blac box) No knowledge tes sering disebut blackbox tes, secara sederhana tim penguji tidak memiliki pengetahuan tentang target, baik jaringan maupun sistemnya. Blackbox tes mensimulasikan serangan dari pihak luar yang tidak mengetahui apapun dan memulainya caranya dengan mengumpulkan informasi. Tes ini memberikan hasil yang tidak bias karena perancang dan penguji sistem adalah dua pihak yang saling independen. Kekurangan blockbox tes antara lain.
Waktu yang dibutuhkan lebih lama dalam pengujian keamanan Semakin lama pengujian, semakin besar biaya yang dikeluarkan. dari dalam.
Hanya fokus pada penyerang dari luar, faktanya kebanyakan serangan berasal

Full Knowledge Tesing (Whitebox) Whitebox testing menggunakan pendekatan yang berlawanan dengan blackbox tes. Penguji celah keamanan memiliki semua pengetahuan tentang network, system dan infrastructure. Informasi ini membuat pengujian berjalan dengan lebih terstruktur denga tidak hanya meriview tapi juga menjamin akurasi dari data yang ada. Dengan demikian, saat blackbox tes menghabiskan sebagian besar waktu untuk mengumpulkan informasi, whitebox tes akan menghabiskan sebagian besar informasi untuk mencari celah keamanan sistem. Partial Knowledge Testing (Graybox) Graybox tes sering dideskripsikan sebagai tes internal, yang bertujuan untuk melihat apa yang dapat diakses oleh pihak internal, mengingat sebagian besar serangan yang berbahaya dilakukan dari dalam.

Types of Security Tests
Beberapa tipe pengujian keamanan dapat dilakukan, tergantung dari tujuannya, diantaranya: 1. Vulnerability Testing 2. Network Evaluations 3. Red Team Exercises 4. Penetration Testing 5. Host Vulnerability Assessment 6. Vulnerability Assessment 7. Ethical Hacking Selanjutnya akan dibahas lebih jauh tentang ethical hacking sebagai tes keamanan yang dapat dilakukan,

Ethical Hackers
Etihical hacker melakukan tes penetrasi. Mereka melakukan aktivitas yang sama hacker akan tetapi tanpa niat jahat. Mereka harus bekerja sama dengan organisasi/perusahaan untuk memahami apa yang ingin diamankan organisasi,dari siapa aset-aset dilindungi , dan jumlah uang dan sumber daya organisasi yang dikeluarkan untuk melindungi aset.
Dengan mengikuti metodologi yang mirip dengan yang penyerang, ethical hacker berusaha untuk melihat jenis informasi publik tentang organisasi tersebut. kebocoran Informasi dapat mengungkapkan rincian penting tentang sebuah organisasi, seperti struktur, aset, dan mekanisme defensif. Setelah ethical hacker mengumpulkan informasi ini, informasi dievaluasi untuk menentukan apakah memiliki resiko potensial atau tidak. Ethical Hacker melakukan probing lebih lanjut untuk menguji untuk setiap kelemahan yang tak terlihat.
Kerahasiaan informasi klien adalah salah satu masalah yang paling dominan dalam panduan ethical hacking. Ketika bekerja pada sebuah proyek, ethical hacker mungkin akan menemukan beberapa informasi penting tentang pengguna atau perusahaan. Ia harus memastikan bahwa informasi ini dirahasiakan. Semua hasil, didokumentasikan serta dalam format elektronik, harus disimpan dalam kondisi yang aman. Informasi dapat berarti banyak pengguna atau perusahaan, dan karenanya ethical hacker menghormati prioritas kliennya

Required Skills of an Ethical Hacker
hacker Etis perlu tangan-keterampilan keamanan. Meskipun hacker tidak harus menjadi ahli dalam segala hal, hacker harus memiliki bidang keahlian. Keamanan tes biasanya dilakukan oleh tim dari individu-individu, di mana setiap individu biasanya memiliki inti keahlian. Keterampilan ini meliputi: Routers pengetahuan tentang router, protokol routing, dan daftar kendali akses (ACL). Sertifikasi seperti Cisco Certified Network Associate (CCNA) atau Cisco Certified Internetworking Expert (CCIE) dapat membantu. Microsoft Keterampilan dalam konfigurasi, operasi, dan manajemen sistem berbasis Microsoft. Ini dapat menjalankan gamut dari Windows NT ke Windows 2003. Individu -individu ini mungkin Microsoft Certified Administrator (MCSA) atau Microsoft Certified Security Engineer (MCSE) bersertifikat. Linux Pemahaman yang baik dari Linux / UNIX OS. Ini termasuk pengaturan keamanan, konfigurasi, dan layanan seperti Apache. Individu ini mungkin bersertifikat Red Hat, atau Linux. Firewall Pengetahuan tentang konfigurasi firewall dan pengoperasian sistem deteksi intrusi (IDS) dan intrusion prevention systems (IPS) dapat membantu saat melakukan tes keamanan. Individu dengan keahlian ini dapat disertifikasi dalam Cisco Certified Security Professional (CCSP) atau Checkpoint Certified Security Administrator (CCSA). Mainframe Meskipun mainframe tidak memegang posisi dominan yang pernah mereka miliki dalam bisnis, mereka masih digunakan secara luas, tim keamanan akan memperoleh manfaat dari keahlian seseorang dengan yang ditetapkan dalam tim. Jaringan protokol jaringan modern Kebanyakan Transmission Control Protocol / Internet Protocol (TCP / IP), meskipun hacker mungkin masih sesekali menemukan jaringan yang menggunakan Novell atau Apple informasi routing. Seseorang dengan pengetahuan baik dari protokol jaringan, serta bagaimana fungsi protokol dapat dimanipulasi, dapat memainkan peran penting dalam tim. Orang-orang mungkin memiliki sertifikasi di OS lainnya, perangkat keras, atau bahkan memiliki sebuah sertifikasi Network atau Keamanan. Mode Ethical hacking Sebuah organisasi infrastruktur TI bisa dideteksi, dianalisis, dan menyerang dalam berbagai cara. Beberapa modus yang paling umum ethical hacking yang ditampilkan di sini: serangan internal Ethical hacking ini mensimulasikan jenis serangan dan kegiatan yang dapat dilakukan oleh pihak yang memiliki akses koneksi yang sah ke jaringan organisasi. serangan Outsider Ethical hacking berusaha untuk mensimulasikan jenis serangan yang dapat diluncurkan di Internet. Hal ini dapat menargetkan Hypertext Transfer Protocol (HTTP), Simple Mail Transfer Protocol (SMTP), Structured Query Language (SQL), atau layanan lain yang tersedia. serangan terhadap peralatanSimulasi ini berkaitan erat dengan serangan fisik seperti peralatan target organisasi. Itu bisa berusaha untuk menargetkan laptop CEO atau tape backup organisasi. Tidak peduli apa target, tujuannya adalah sama – ekstrak informasi penting, username, dan password. Fisik entry Simulationsi ini untuk menguji kontrol fisik organisasi. Sistem seperti pintu, gerbang, kunci, penjaga, CCTV, dan alarm diuji untuk melihat apakah mereka dapat dilewati. Bypass authentification Simulasi ini bertugas dengan mencari titik akses nirkabel (WAP) dan modem. Tujuannya adalah untuk melihat apakah sistem ini aman dan menawarkan kontrol otentikasi cukup. Jika kontrol dapat dilewati, para hacker etika mungkin probe untuk melihat apa tingkat sistem kontrol dapat diperoleh. Social engineering Simulasi ini tidak menargetkan sistem teknis atau akses fisik. Social engineering malakukan serangan karyawan organisasi dan berusaha untuk memanipulasi mereka untuk mendapatkan informasi rahasia. kontrol yang tepat, kebijakan, dan prosedur dapat pergi jauh dalam mengalahkan bentuk serangan.
Aturan Keterlibatan Setiap hacker etis harus mematuhi beberapa aturan sederhana saat melakukan tes dijelaskan sebelumnya. Jika tidak, hal-hal buruk bisa terjadi pada hacker, yang mungkin termasuk kehilangan pekerjaan, hukuman sipil, atau bahkan penjara. Tidak pernah melebihi batas otorisasi Setiap tugas akan memiliki aturan keterlibatan. Ini tidak hanya mencakup apa yang hacker yang berwenang untuk target, tetapi juga apabila hacker yang berwenang untuk mengendalikan sistem tersebut. Jika hacker hanya berwenang untuk mendapatkan prompt pada sistem target, men-download password dan memulai retak pada password ini akan lebih dari apa yang hacker yang telah diizinkan untuk dil akukan. Etis Itu benar, perbedaan besar antara hacker dan hacker etis adalah kata etika. Etika adalah seperangkat prinsip moral tentang apa yang benar atau hal yang tepat untuk dilakukan. standar etika kadang-kadang berbeda dengan standar hukum dalam undang-undang menentukan apa yang harus kita lakukan, sedangkan etika mendefinisikan apa yang harus kita lakukan. OSSTMM Tujuan utama dari OSSTMM adalah menyediakan metodologi ilmiah untuk karakterisasi akurat keamanan melalui pemeriksaan dan korelasi dengan cara yang konsisten dan dapat diandalkan. Great upaya telah dimasukkan ke dalam OSSTMM untuk menjamin handal silang-referensi metodologi manajemen keamanan saat ini, peralatan, dan sumber daya. Pedoman ini dapat disesuaikan dengan tes penetrasi, ethical hacking, penilaian keamanan, penilaian kerentanan, merah-teaming, biru-teaming, penilaian sikap, dan audit keamanan. Menjaga kerahasiaan Selama evaluasi keamanan, hacker mungkin akan menghadapi berbagai informasi rahasia. Hacker memiliki kedua standar hukum dan moral untuk memperlakukan informasi ini dengan privasi maksimal. Informasi ini tidak boleh dibagi dengan pihak ketiga dan tidak boleh digunakan oleh hacker untuk tujuan tidak disetujui. Ada kewajiban untuk melindungi informasi yang dikirim antara tester dan klien. Hal ini akan ditentukan dalam perjanjian. Tidak membahayakan sistem penting bahwa hacker tidak membahayakan sistem ketika dalam pengujian. Penyalahgunaan alat keamanan dapat mengunci akun penting dan denial of service (DoS), bahkan server atau aplikasi crash. Perawatan harus diambil untuk mencegah kejadian ini kecuali jika itu menjadi tujuan pengujian. Legal Mendefinisikan lingkup dari penilaian tersebut adalah salah satu bagian yang paling penting dari proses ethical hacking. Pada titik tertentu, hacker akan bertemu dengan manajemen untuk memulai diskusi tentang bagaimana dan mengapa melakukan ethical hacking. Sebelum pertemuan ini dimulai, hacker mungkin akan memiliki beberapa gagasan apa yang diharapkan manajemen.

Summary
Tulisan ini membuktikan keamanan utamanya harus didasarkan pada tiga aspek CIA. Tiga serangkai ini mempertimbangkan confidentiality, Integrity, availability. Penerapan prinsipprinsip CIA harus diterapkan dengan Teknologi Informasi (TI) dan jaringan data. Data yang harus dilindungi yaitu data pada pen yimpanan dan dalam perjalanan. Karena organisasi tidak dapat menyediakan perlindungan yang lengkap untuk semua aktiva, sistem harus dikembangkan untuk menentukan peringkat risiko dan kerentanan. Organisasi harus berusaha untuk mengidentifikasi risiko dan dampak untuk mekanisme perlindungan. Bagian dari pekerjaan seorang ethical hacker adalah untuk mengidentifikasi potensi kerentanan terhadap aset kritis dan sistem pengujian untuk melihat apakah mereka rentan terhadap eksploitasi. Kegiatan yang dijelaskan tes keamanan. hacker Etis dapat melakukan tes keamanan dari perspektif yang tidak diketahui, pengujian blackbox, atau dengan semua dokumentasi dan pengetahuan objek pengujian, pengujian whitebox. Jenis pendekatan untuk pengujian yang diambil akan tergantung pada waktu, dana, dan tujuan uji keamanan. Organisasi dapat memiliki banyak aspek sistem pelindung mereka diuji, seperti keamanan fisik, sistem telepon, akses nirkabel, akses insider, atau hacking eksternal. Untuk melakukan tes ini, hacker etika membutuhkan berbagai keterampilan. Mereka harus mahir dalam aspek teknis dari jaringan namun juga memahami kebijakan dan prosedur. Tidak ada satu ethical hacker mengerti semua sistem operasi, protokol jaringan, atau perangkat lunak aplikasi, karenanya tes keamanan dilakukan oleh tim keahlian dan keterampilan berbeda.

Sumber

http://www.go4expert.com/forums/showthread.php?t=11925 https://www.eccouncil.org/certification/certified_ethical_hacker.aspx http://en.wikipedia.org/wiki/Penetration_test http://www.infosecinstitute.com/courses/ethical_hacking_training.html Romi Satria Wahono Seminar Hacking and Security, ITS Surabaya, 17 Maret 2007
http://scribd-download.com/ethical-hacking_588ece086454a7816c35c487_txt.html

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s