Istilah pentest atau penetarion testing mungkin sudah tidak asing lagi. Penetration testing merupakan tindakan preventatif atas serangan siber pada sistem maupun jaringan komputer. Untuk memastikan keamanan jaringan dan sistem, penting sekali mempelajari dasar-dasar penetration testing lebih dulu.
Serangan siber memang bukan perkara remeh. Aksi serangan siber, seperti hacking sudah terbukti sangat merugikan. Baik itu serangan siber yang dilancarkan pada perseorangan maupun di sistem komputer perusahaan besar. Sudah tidak perlu dijabarkan lagi berapa besar kerugian yang akan dihadapi sebuah perusahaan jika sistem dan jaringan komputer mereka berhasil diretas.
Ada beberapa cara untuk memastikan keamanan sistem. Salah satunya melalui pentest atau penetration testing. Agar tidak bingung lagi ketika hendak melakukan langkah keamanan pada sistem, berikut ini uraian mengenai dasar-dasar penetration testing yang wajib diketahui.
Dasar-Dasar Penetration Testing: Pengertian dan Cara Kerja
Penetration testing lebih dikenal dengan istilah pentest. Pengertiannya sendiri merupakan rangkaian tindakan dan aksi dengan tujuan mengevaluasi keamanan sistem dalam jaringan komputer. Melalui penetration testing akan diketahui titik-titik dan celah keamanan pada sebuah sistem keamanan.
Pentest memang tidak sekedar melakukan evaluasi dari sistem keamanan yang digunakan pada sistem maupun jaringan komputer. Penetration testing dilakukan untuk mencari celah pada sistem keamanan tersebut yang nantinya bisa dimanfaatkan oleh para peretas. Tentunya setelah mengetahui celah dan titik kelemahan dapat dilakukan tindakan untuk memperkuat keamanan sistem.
Cara kerja penetration testing sebenarnya sangat sederhana. Bayangkan saja sebuah perusahaan menyewa jasa pencuri untuk melakukan aksi pencurian di toko mereka. Bila jasa pencuri tersebut berhasil masuk dan menjalankan aksi pencurian, berarti sistem keamanan di toko kurang efektif. Perusahaan pun bisa melakukan evaluasi pada sistem keamanan. Termasuk menemukan celah yang digunakan oleh para pencuri tersebut untuk melancarkan aksi.
Penetration testing bekerja dengan cara yang sama. Pentester akan berupaya memasuki sebuah sistem di jaringan komputer selayaknya peretas atau penyerang siber. Nantinya mereka akan memberikan laporan evaluasi apakah berhasil menembus sistem keamanan di sistem jaringan tersebut.
Untuk itu, tidak sembarang orang bisa menjadi pentester. Selain harus memiliki kemampuan untuk meretas layaknya peretas handal dan profesional. Pentester juga dibekali standarisasi sendiri sebagai acuan dalam menjalankan penetration tester. Sehingga perusahaan pun tidak akan waswas dan bisa memberikan kepercayaan sepenuhnya kepada pentester untuk masuk ke dalam sistem mereka.
Tahapan Penetration Testing
Dasar-dasar penetration testing yang harus diketahui berikutnya adalah tahapan dan langkah-langkah untuk melakukan penetrasi pada sistem. Tindakan pentest membutuhkan waktu yang tidak sebentar. Pasalnya ada serangkaian tahapan demi tahapan yang harus dilakukan. Berikut ini penjelasannya.
1. Planning
Tahapan pertama adalah perencanaan. Pada tahap ini pentester akan mengumpulkan data-data seperti nama domain, jaringan dan server, hingga server yang digunakan untuk email lebih dulu. Setelah itu baru akan disusun ruang lingkup pengujian dan tujuan dilakukannya penetration testing.
Di tahap ini juga dikumpulkan data lain seperti metode pengujian yang akan digunakan, hingga cara kerja sistem jaringan target serta bagaimana kerentanan sistem keamanan yang digunakan.
2. Scanning
Tahap kedua dilakukan untuk mempelajari reaksi target pada upaya penyusupan. Pada tahapan scanning atau pemindaian ini, ada dua cara yang umumnya dilakukan:
- Analisis stastis: langkah scanning dilakukan ketika sistem jaringan tidak dalam keadaan berjalan atau statis. Sifat dari aksi pemindaian ini hanya perkiraan untuk reaksi target.
- Analisis dinamis: sebaliknya, cara scanning ini dilakukan ketika aplikasi maupun sistem sedang bekerja. Cara satu ini dianggap lebih terpercaya karena menampilkan reaksi nyata dari kinerja target.
Kedua langkah scanning di atas tidak selalu dilakukan. Sebaliknya baik itu analisis statis maupun dinamis hanya dijalankan sesuai porsi kebutuhan masing-masing.
3. Gaining Access
Pada tahapan ini, pentester sudah akan mendapatkan akses masuk ke dalam sistem target. Pentester pun bisa mulai menjalankan berbagai upaya serangan pada keamanan. Mulai dari menggunakan injeksi SQL, backdoor, cross-site scripting, dan sebagainya.
Bila sudah menemukan kerentanan sistem keamanan pada tahapan ini, pentester akan mulai mengeksploitasi lebih lanjut dengan beragam cara. Bisa dengan melakukan upaya pencurian data, privilege escalation, dan banyak lain.
4. Maintaining Access
Langkah selanjutnya setelah tahapan Gaining Access. Di tahap ini, pentester akan berusaha mempertahankan akses di dalam sistem. Tahapan ini penting pasalnya beberapa sistem keamanan akan langsung melakukan upaya-upaya penutupan akses ketika kerentanan mereka dieksploitasi.
Untuk itu pentester harus mencoba seberapa jauh kerentanan di sistem keamanan tersebut bisa mereka eksploitasi. Serta apakah ada kemungkinan untuk mendapatkan akses lebih dalam ke dalam sistem.
5. Report dan Analysis
Bila sudah merampungkan evaluasi di sistem keamanan, pentester akan melakukan tahapan selanjutnya. Report dan analysis dilakukan dengan melaporkan hasil evaluasi pada sistem keamanan. Termasuk detail dari titik-titik kelemahan.
Selain itu pentester juga melakukan analisa berdasarkan dokumentasi penetration testing. Analisa ini bukan hanya membahas kelemahan dalam sistem keamanan. Melainkan juga penyebab sampai bagaimana cara mengatasi kelemahan tersebut. Di tahap ini, pentester juga harus memberikan solusi untuk memperkuat sistem keamanan agar tidak bisa dibobol peretas pada kerentanan yang sama.
Jenis Metode Penetration Testing
Dasar-dasar penetration testing berikutnya ialah mengetahui jenis-jenis metode yang digunakan. Berikut ini uraiannya.
1. Black Box Testing
Kembali pada analogi perusahaan dan pencuri di atas, pada metode ini penetration testing dilakukan dengan pentest memposisikan diri sebagai peretas. Nantinya pentester akan mencari celah di sistem keamanan yang sudah diretas.
2. White Box Testing
Black Box Testing memang akan bisa menemukan celah di sistem keamanan untuk disusupi. Namun White Box Testing akan mengeksplorasi celah dari sistem keamanan tersebut lebih jauh.
Berbeda dengan Black Box Testing, White Box Testing tidak menempatkan pentester sebagai peretas maupun penyerang. Pentester akan mendapatkan akses untuk masuk ke keseluruhan sistem. Dimana nantinya pentester akan mengevaluasi seluruh celah dan kelemahan yang ada di dalam sistem.
Bila Black Box Testing bisa dilakukan dengan menggunakan tools tersendiri dalam waktu cepat. Maka White Box Testing akan membutuhkan waktu yang cukup lama. Sebagian pentester bahkan melakukan pemeriksaan sistem keamanan ini secara manual untuk memastikan tidak ada celah terlewatkan.
3. Grey Box Testing
Grey Box Testing berada di antara metode Black Box dan White Box Testing. Dengan metode ini, pentester akan mendapatkan informasi dan akses ke dalam sistem. Namun hanya sebagai pengguna saja.
Nantinya pentester akan berusaha mengekplotasi sistem keamanan dari sudut pandang pengguna. Hasil dari Grey Box Testing dianggap lebih efisien daripada Black Box Testing.
Di atas merupakan uraian dari dasar-dasar penetration testing. Penetrarion testing dapat dilakukan untuk memastikan keamanan sistem dan jaringan komputer. Metode evaluasi sistem keamanan ini menempatkan pentester atau penguji untuk berusaha menyusup ke dalam sistem jaringan.
