MANAJEMEN & IMPLEMENTASI PROTEKSI

TEKNOLOGI INFORMASI

“ETHICAL HACKING”

Oleh :

I Pratama Andika (1104505082)

JURUSAN TEKNOLOGI INFORMASI

FAKULTAS TEKNIK UNIVERSITAS UDAYANA

2013

BAB I

PENDAHULUAN

Etika hacker adalah seorang ahli komputer dan jaringan yang menyerang sistem

keamanan atas nama pemiliknya, mencari kelemahan sistemnya agar hacker tidak bisa

mengeksploitasi. Untuk menguji sebuah sistem keamanan, ethical hacker menggunakan

metode yang sama seperti rekan-rekan mereka yaitu para hacker, tetapi Laporan problem

bukannya mengambil keuntungan dari mereka. Etika hacking juga dikenal sebagai tes

penetrasi, intrusi teaming dan red teaming. Ethical Hacker kadang-kadang disebut white

hat, sebuah istilah yang berasal dari film-film Barat lama, di mana "orang baik"

mengenakan topi putih dan "jahat" memakai topi hitam.

Salah satu contoh pertama ethical hacker di tempat kerja pada tahun 1970-an, saat

itu pemerintah Amerika Serikat memanggil sekelompok ahli yang disebut red team untuk

menghack sistem komputer mereka. Menurut Ed Skoudis, Vice President dari Strategi

Keamanan Sistem prediktif 'Global Integritas praktek konsultasi, etika hacking terus

tumbuh dalam industri TI, dan menjadi semakin umum di luar pemerintah dan sektor

teknologi di mana ia dimulai. Banyak perusahaan besar, seperti IBM, mempertahankan para

ethical hacker.

BAB II

PEMBAHASAN

2.1 Pengertian Ethical Hacking

Ethical Hacker Merupakan seorang yang berprofesi sebagai tenaga ahli di bidang

keamanan sistem yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para

pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional

untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk

mengakses computer yang ada didalamnya, tentu saja berbeda dengan malicious hacker

yang berusaha memasuki system secara illegal. Dalam prakteknya, Ethical hacker

menggunakan perangkat lunak dan teknik yang juga dilakukan oleh malicious hacker untuk

mencari kelemahan pada sistem dan jaringan komputer targetnya, dengan tidak merusak

target sistem atau mencuri informasi melainkan merawat integritas dan kerahasiaan sistem.

Ethical Hacker merupakan seorang yang  berprofesi sebagai tenaga ahli di bidang

keamanan sistem yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para

pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional

untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk

mengakses computer yang ada didalamnya, tentu saja berbeda dengan malicious hacker

yang berusaha memasuki system secara illegal. Dalam prakteknya, Ethical

hacker menggunakan perangkat lunak dan teknik yang juga dilakukan oleh malicious

hacker untuk mencari kelemahan pada sistem dan jaringan komputer targetnya.

2.2 Tugas dan Tujuan Ethical Hacker

Tugas yang dilakukan ethical hacker :

a. Uji penetrasi Melakukan usaha-usaha untuk memasuki sistem. Seperti layaknya

seorang malicious hacker untuk mencari kelemahan-kelemahan sistem.

b. Uji keamanan Mengamankan dan melindungi system, setelah menemukan

kelemahan-kelemahan yang ada pada sistem dengan perangkat-perangkat dan

teknologi yang dibutuhkan.

Tujuan Ethical Hacker

1. Melakukan hacking untuk mengeksploitasi kelemahan sistem dalam rangka update

dan penyempurnaan sistem.

2. Melakukan hacking untuk mencari tahu dimana mulai bekerja mengamankan

sistem.

3. Menjamin semua informasi dan layanannya beroperasi seaman mungkinUntuk

menjadi seorang ethical hacker harus memiliki kemampuan seperti layaknya

seorang malicious hacker, bahkan harus melebihinya.

2.3 Tahap-Tahapan Dalam Melakukan Ethical Hacking

Sebelum hacker dapat melakukan ethical hacking, hacker harus mengetahui

tahapan-tahapan dalam melakukannya, beriku adalah tahapannya :

1. Reconnaissance

Dalam fase ini penyerang mencari informasi tentang target dengan secara active

atau passive.

Pasif : tanpa interaksi langsung. Menggunakan mesin pencari, pengendusan dalam

jaringan, rekayasa social.

Aktif : berinteraksi langsung dengan target. Menggunakan telepon atau bertatap

muka, misal berbicara dengan resepsionis, menelpon layanan pelanggan atau

dukungan teknis.

2. Scanning

Dalam fase ini penyerang memulai memeriksa target untuk mencari satu atau lebih

entri/cara memasuki sistem/jaringan

3. Gaining

Proses eksploitasi kelemahan sistem, aplikasi, dan jaringan. Exploit dapat terjadi

pada jaringan LAN, locally, internet, offline sebagai bagian penipuan dan

Pencurian. Diantaranya yaitu dengan bufferoverflow, denial of service, session

hijacking, password filtering dan sebagainya.

4. Maintaining Acses

Hacker berhasil meng-exploit vulnerability dan dapat masuk ke dalam sistem.

Proses menguasai sistem dan mempertahankan akses misal dengan memasang

backdoor, rootkit, atau trojan, memanipulasi data/informasi. Hacker dapat meng

upload, download hingga manipulasi data / aplikasi / konfigurasi dari sistem yang

“dimiliki”.

5. Covering Tracks

Menunjuk pada aktifitas yang dilakukan oleh hacker untuk memperluas

penyalahgunaan sistem tanpa terdeteksi.Alasan diantaranya untuk memperpanjang

keberadaan hacker, melanjutkan penggunaan sumberdaya, menghilangkan bukti

hacking, menjadi aksi legal dan sebagainya.Jadi pada fase ini semua jejak hacker

kan dihapus.

2.4 Klasifikasi Hacker

Berikut ini pembagian dan nama bagi seorang hacker, jadi setiap jenis hacker

memiliki skill yang berbeda-beda :

1. Black Hats

Individu dengan kemampuan komputer luar biasa, mengambil jalur untuk aktifitas

yang melanggar dan merusak dengan tujuan ilegal dan jahat. Atau disebut juga

“cracker”. Kategori ini banyak berhubungan dengan aktifitas kriminal dan dicari

penegak hukum.

Black hat hacker adalah jenis hacker yang menggunakan kemampuan mereka untuk

melakukan hal-hal yang dianggap melanggar hukum dan merusak. Ini adalah type

hacker yang selalu digambarkan dan mendapat berita dari media massa akibat ulah

mereka. kelompok ini juga disebut sebagai cracker.

2. White Hats

White hats Individu berprofesi untuk memiliki kemampuan hacker dan

menggunakannya untuk tujuan pertahanan. Atau disebut juga “security analyst”.

White hats Individu Adalah jenis hacker yang menggunakan kemampuan mereka

untuk menghadapi Black Hat Hacker. Umumnya mereka adalah profesional-

profesional yang bekerja pada perusahaan kemanan dan umumnya juga disebut

sebagai security analyst, security consultan dsb.

3. Gray Hats

Individu yang bekerja di dua posisi yaitu menyerang dan bertahan dalam berbagai

waktu tertentu. Memiliki keyakinana bila siapa yang dapat masuk membuka

informasi memiliki kebijaksanaan atas informasi tersebut.

4. Suicide Hacker

Terorisme cyber sejauh ini masih lebih banyak mitos daripada kenyataan. Film-film

seperti die hard 4.0 juga memberikan gambaran tenatang hal semacam ini dimana

hacker menguasai jaringan semua komputer dari sebuah negara sehingga ia bisa

melakukan banyak hal untuk membuat kekacauan. Ledakan gas terjadi dimana-

mana, Listrik dan air dimatikan sehingga negara menjadi kacau balau dan porak

poranda. kejadian ini memang hanya terjadi di film dan belum pernah terjadi dalam

dunia nyata, namun bukan hal yang mustahil melakukan itu. Hacker jenis ini tidak

takut ancaman hukuman 100 tahun sekalipun dan hanya mempunya tujuan membuat

kekacauan yang sebesar-besarnya. Suicide hacker, bisa disetarakan dengan tindakan

bom bunuh diri yang marak dijaman modern ini atau berbagai tindakan terror dari

teroris.

2.5 Klasifikasi Ethical Hacker

Ethical hacker juga memiliki beberapa klasifikasi, berikut akan dijelaskan :

1. Former Black Hat

Reformasi dari cracker menjadi sisi pertahanan. Bahan keamanan sesuai dengan

pengalaman.Masih kurang kredibilitas, setelah memasuki informasi yang sensitif

karena ketidak hati-hatian dengan dunia hacker berakibat resiko pada perusahaan.

2. White Hats

Independent security consultant baik perseorangan atau grup.Merasa

berpengetahuan tentang segala aktifitas black hat. Sehingga diketahui memiliki

efisiensi dalam gathering information seperti black hat.

3. Consulting Firm

Bagian sebuah firma ICT sebagai third party bagi evaluasi keamanan.Memiliki

kemampuan dan kredibiliatas yang bagus.

2.6 Skill Dalam Ethical Hacking

Ethical Hacker perlu memiliki keterampilan keamanan. Meskipun hacker tidak

harus menjadi ahli dalam segala hal, hacker harus memiliki bidang keahlian. Keterampilan

ini meliputi :

1. Routers

Pengetahuan tentang router, protokol routing, dan daftar kendali akses (ACL).

Sertifikasi

Seperti Cisco Certified Network Associate (CCNA) atau Cisco Certified

Internetworking Expert (CCIE) dapat membantu.

2. Microsoft

Keterampilan dalam konfigurasi, operasi, dan manajemen sistem berbasis

Microsoft. Ini dapat menjalankan gamut dari Windows NT ke Windows 2003.

Individu -individu ini mungkin Microsoft Certified Administrator (MCSA) atau

Microsoft Certified Security Engineer (MCSE) bersertifikat.

3. Linux

Pemahaman yang baik dari Linux / UNIX OS. Ini termasuk pengaturan keamanan,

konfigurasi, dan layanan seperti Apache. Individu ini mungkin bersertifikat

Red Hat, atau Linux.

4. Firewall

Pengetahuan tentang konfigurasi firewall dan pengoperasian sistem deteksi

intrusi (IDS) dan intrusion prevention systems (IPS) dapat membantu saat

melakukan tes keamanan. Individu dengan keahlian ini dapat disertifikasi dalam

Cisco Certified Security Professional (CCSP) atau Checkpoint Certified Security

Administrator (CCSA).

5. Mainframe

Meskipun mainframe tidak memegang posisi dominan yang pernah mereka miliki

dalam bisnis

6. Jaringan protokol

Jaringan modern Kebanyakan Transmission Control Protocol / Internet

Protocol (TCP / IP), meskipun hacker mungkin masih sesekali menemukan

jaringan yang menggunakan Novell atau Apple informasi routing. Seseorang

dengan pengetahuan baik dari protokol jaringan, serta bagaimana fungsi

protokol dapat dimanipulasi, dapat memainkan peran penting dalam tim.

Orang-orang mungkin memiliki sertifikasi di OS lainnya, perangkat keras, atau

bahkan memiliki sebuah sertifikasi Network atau Keamanan

2.7 Mode Ethical Hacking

Sebuah organisasi infrastruktur TI bisa dideteksi, dianalisis, dan menyerang

dalam berbagai cara. Beberapa modus yang paling umum ethical hacking yang

ditampilkan di sini :

a. Serangan internal

Ethical hacking ini mensimulasikan jenis serangan dan kegiatan yang dapat

dilakukan oleh pihak yang memiliki akses koneksi yang sah ke jaringan organisasi.

b. Serangan Outsider

Ethical hacking berusaha untuk mensimulasikan jenis serangan yang dapat

diluncurkan di Internet. Hal ini dapat menargetkan Hypertext Transfer Protocol

(HTTP), Simple Mail Transfer Protocol (SMTP), Structured Query Language

(SQL), atau layanan lain yang tersedia.

c. Serangan Terhadap Peralatan

Simulasi ini berkaitan erat dengan serangan fisik seperti peralatan target

organisasi. Itu bisa berusaha untuk menargetkan laptop CEO atau tape backup

organisasi. Tidak peduli apa target, tujuannya adalah sama - ekstrak informasi

penting, username, dan password.

d. Fisik entry

Simulasi ini untuk menguji kontrol fisik organisasi. Sistem seperti pintu,

gerbang, kunci, penjaga, CCTV, dan alarm diuji untuk melihat apakah mereka

dapat dilewati.

e. Bypass authentification

Simulasi ini bertugas dengan mencari titik akses nirkabel (WAP) dan modem.

Tujuannya adalah untuk melihat apakah sistem ini aman dan menawarkan kontrol

otentikasi cukup. Jika control dapat dilewati, para hacker etika mungkin probe

untuk melihat apa tingkat sistem kontrol dapat diperoleh.

f. Social engineering

Simulasi ini tidak menargetkan sistem teknis atau akses fisik. Social

engineering malakukan serangan karyawan organisasi dan berusaha untuk

memanipulasi mereka untuk mendapatkan informasi rahasia. kontrol yang tepat,

kebijakan, dan prosedur dapat pergi jauh dalam mengalahkan bentuk serangan.

2.8 Fase Testing Keamanan

1. Preparation

Fase formal dengan membuat pertanyaan-pertanyaan tentang sprt apa yang

dipertahankan perusahaan yang dievaluasi, dari siapa, berapa biaya sehingga akan

dapat dibuat rencana.Fase ini juga membuat kesepakatan evaluasi oleh Ethical

Hacking untuk proses penyingkapan informasi sehingga tidak ada penuntutan atas

proses tersebut serta membuat kontrak tentang aktifitas evaluasi, jadwal dan sumber

daya yang ada.

2. Conduct

Fase ini melakukan metode-metode Ethical Hacking yaitu analisis vulnerability dan

tes penembusan (penetration) baik dari internet maupun dari intranet.Mencari

sebanyak mungkin vulnerability yang dapat terjadi dari target.

3. Conclusion

Fase ini memberikan rekomendasi-rekomendasi dan mengomunikasikan

perusahaan/ client dengan saran-saran dan aksi yang harus dilakukan berdasarkan

hasil evaluasi keamanan.Kemungkinan vulnerability informasi dan data.

2.9 Aturan dan Etika Ethical Hacker

Agar seorang ethical hacker tidak melakukan kegiatan dari kegiatan kejahatan dan

Agar terbebas dari sangsi hukum, ethical hacker perlu mendapatkan persetujuan tertulis dan

menandatangani perjanjian mengenai apa saja yang tidak boleh dilakukan oleh hacker,

selain itu seorang ethical hacker harus memiliki etika atau aturan dalam bekerja, berikut

akan dijelaskan :

1. Tidak Melebihi Batas Otorisasi

Setiap tugas akan memiliki aturan keterlibatan. Ini tidak hanya mencakup apa yang

hacker yang berwenang untuk target, tetapi juga apabila hacker yang

berwenang untuk mengendalikan sistem tersebut. Jika hacker hanya berwenang

untuk mendapatkan prompt pada sistem target, men-download password dan

memulai retak pada password ini akan lebih dari apa yang hacker yang telah

diizinkan untuk dil akukan

2. Etis atau Etika

Etika adalah seperangkat prinsip moral tentang apa yang benar atau hal yang tepat

untuk dilakukan. standar etika kadang-kadang berbeda dengan standar hukum

dalam undang-undang menentukan apa yang harus kita lakukan, sedangkan

etika mendefinisikan apa yang harus kita lakukan.

3. Menjaga Kerahasian

Selama evaluasi keamanan, hacker mungkin akan menghadapi berbagai

informasi rahasia. Hacker memiliki kedua standar hukum dan moral untuk

memperlakukan informasi ini dengan privasi maksimal. Informasi ini tidak

boleh dibagi dengan pihak ketiga dan tidak boleh digunakan oleh hacker untuk

tujuan tidak disetujui. Ada kewajiban untuk melindungi informasi yang dikirim

antara tester dan klien. Hal ini akan ditentukan dalam perjanjian.

4. Tidak Membahayakan Sistem

Penting bahwa hacker tidak membahayakan sistem ketika dalam pengujian.

Penyalahgunaan alat keamanan dapat mengunci akun penting dan denial of

service (DoS), bahkan server atau aplikasi crash. Perawatan harus diambil untuk

mencegah kejadian ini kecuali jika itu menjadi tujuan pengujian

BAB III

KESIMPULAN

Ethical Hacker merupakan seorang yang  berprofesi sebagai tenaga ahli di bidang

keamanan sistem yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para

pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional

untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk

mengakses computer yang ada didalamnya, Hacking yang dilakukan tanpa sepengetahuan

dan ijin dari pemilik, walaupun bertujuan baik tetap tidak bisa dikategorikan sebagai

Ethical Hacking dan beresiko mendapatkan ancaman hukuman sesuai dengan negaranya

masing-masing apabila sang korban merasa tidak senang dengan tindakan hacker. Agar

terbebas dari sangsi hukum, ethical hacker perlu mendapatkan persetujuan tertulis dan

menandatangani perjanjian mengenai apa saja yang tidak boleh dilakukan oleh hacker.

Berbeda dengan jenis hacker lainnya, ethical hacker memiliki etika dalam bekerja mulai

dari menjaga rahasia objek hacking yang didapat dan tidak membhayakan sistem yang di

hacker. Seorang ahli Ethical Hacking harus memiliki beberapa skill seperti pengetahuan

tentang router, sistem operasi micrsoft, linux dan lainnya, memliki skill tentang firewall,

mainframe dan jaringan protocol

DAFTAR PUSTAKA

Dodont, “Ethical Hacking Ilkom”, (http://www.slideshare.net/dodontn/ethical-

hacking1) diunduh pada 10 Oktober 2013.

Setiawan, Iwan, “Pengenalan Ethical Hacking”,

(stwn.blog.unsoed.ac.id/files/2012/06/ethack-2012-8.pdf), diunduh pada 10 Oktober 2013

http://putr4.wordpress.com/2012/01/31/ethical-hacker-01/