Penjelasan Mengenai Apa Itu “White Hat Hacker”

Penjelasan Mengenai Apa Itu “White Hat Hacker”

Dalam beberapa pekan terakhir, beberapa orang telah dijauhi dari komunitas Null Byte karena mereka mengekspresikan aspirasi ”white hat”. Ini karena Null Byte adalah “”black hat” hacker training / playground. Meskipun kebanyakan dari kita berpikir apa artinya itu, hal itu menimbulkan pertanyaan; “Siapa dan apa itu hacker white hat”? Saya akan menjelaskan lebih jauh lagi mengenai ulasan tersebut.

Apa Itu White Hat Hacker?

White Hat Hacker adalah individu yang menggunakan keterampilan hacking untuk mengidentifikasi kerentanan keamanan pada perangkat keras, perangkat lunak atau jaringan. Namun, tidak seperti hacker black hat, hacker white hat menghormati peraturan hukum karena berlaku untuk hacking. Istilah White Hat mengacu pada hacker komputer yang etis atau pakar keamanan komputer yang mengkhususkan diri dalam pengujian penetrasi dan metodologi untuk memastikan sistem keamanan sistem informasi jaringan.

Hacking etis adalah istilah yang diciptakan oleh IBM untuk menyiratkan kategori yang lebih luas daripada sekadar pengujian penetras. Kontras dengan black hat (hacker jahat) namanya berasal dari film-film Barat, dimana koboi heroik dan antagonis biasanya memakai topi putih dan topi hitam. Peretas white hat juga disebut dengan hacker etis, hanya mencari kerentanan atau eksploitasi secara hukum. White hat dapat melakukan penelitian tentang perangkat lunak sumber terbuka dan sistem wewenang untuk diselidiki, termasuk produk dan layanan yang mengoperasikan program hadiah bug.

Tidak seperti black hat hacker  atau gray hat, white hat mengungkapkan semua kerentanan yang mereka temukan pada perusahaan atau pemilik yang bertanggung jawab untuk memperbaiki kekurangan sehingga masalah dapat diperbaiki sebelum mereka dieksploitasi oleh aktor jahat. Seringkali,  white hat hacker melakukan peneliti keamanan yang bekerja secara independen atau dengan peneliti lain.

Namun beberapa white hat adalah karyawan yang bekerja sepenuhnya di perusahaan tempat mereka meneliti kerentanan dan eksploitasi. Periset atau kontraktor independen dapat mengungkapkan kerentanan secara terpisah, namun beberapa perusahaan juga memiliki program hadiah bug dimana kelemahan keamanan dapat diungkapkan untuk mendapatkan uang hadiah. Penguji penetrasi, apakah mereka bekerja sebagai kontraktor independen atau sebagai karyawan, umumnya dianggap sebagai hacker white hat. Banyak hacker white hat adalah mantan hacker black hat.

White hat hacker sebenarnya bertujuan untuk meningkatkan keamanan, menemukan lubang keamanan dan memberi tahu korban sehingga mereka memiliki kesempatan untuk memperbaikinya sebelum hacker yang kurang teliti memanfaatkannya.

Sejarah White Hat

Hacking merupakan keahlian yang paling penting di abad ke-21, baik untuk yang baik maupun yang buruk. Beberapa akan menggunakannya untuk memata-matai, beberapa akan menggunakannya untuk mencuri dan beberapa akan menggunakannya untuk melawan kita. Apa pun yang dilakukan, itu akan mempengaruhi hidup Anda dengan cara yang signifikan. Itu mungkin alasan paling penting untuk mempelajari hacking.

Mungkin hal tersebutlah yang menjadi alasan paling penting untuk mempelajari hacking. Maka, itu akan mempengaruhi kehidupan Anda setiap hari dengan cara yang signifikan, Anda mungkin merasa tidak berdaya karena hal tersebut telah menguasai Anda. Jika Anda memiliki keterampilan dan pengalaman hacking yang signifikan, Anda mungkin akan merasa kuat karena Anda memiliki keterampilan untuk membela dan melindungi diri Anda dan orang-orang di sekitar Anda.

Pada tahun 1981 di New York menggambarkan aktivitas white hat sebagai bagian dari tradisi ‘hacker’. Ketika seorang karyawan CSS Nasional mengungkapkan adanya cracker passwordnya, yang digunakan pada akun pelanggan, perusahaan tersebut menghukumnya karena tidak menulis perangkat lunaknya namun tidak mengungkapkannya lebih awal. Surat teguran tersebut menyatakan, “Perseroan menyadari manfaatnya bagi NCSS dan pada kenyataannya mendorong usaha karyawan untuk mengidentifikasi kelemahan keamanan pada VP, direktori dan perangkat lunak sensitif lainnya dalam file”.

Gagasan untuk membawa taktik hacking etis ini menilai keamanan sistem yang dirumuskan oleh Dan Farmer dan Wietse Venema. Dengan tujuan untuk meningkatkan tingkat keamanan keseluruhan di Internet dan intranet. Mereka mulai menjelaskan bagaimana mereka dapat mengumpulkan cukup informasi tentang target agar dapat mengkompromikan keamanan sebelum melakukannya.

Mereka menyediakan beberapa contoh spesifik tentang bagaimana informasi ini dapat dikumpulkan dan dieksploitasi untuk mengendalikan target dan bagaimana serangan semacam itu dapat dicegah.

Alat dan teknik hacking white hat

Peretas topi putih, terutama yang melakukan pengujian penetrasi, menggunakan teknik hacking yang sama seperti hacker black hat untuk mengungkap kerentanan keamanan. Pengujian penetrasi melibatkan pengumpulan informasi tentang target pengujian – seperti aplikasi jaringan atau web, misalnya – mengidentifikasi titik masuk yang mungkin dan mencoba menerobos titik-titik tersebut dan kemudian melaporkan temuan tes tersebut.

Seorang hacker etis mungkin juga menggunakan strategi seperti mengirim email kepada staf di sebuah perusahaan dan mencoba memasukkan informasi sensitif, atau bahkan secara fisik mencoba untuk masuk dan masuk ke dalam sistem. Dalam kasus ekstrim ini, hanya karyawan tingkat atas dalam perusahaan yang tahu apa yang sedang terjadi. White hat juga dapat melakukan serangan denial-of-service pada versi kloning sistem perusahaan, atau pada sistem itu sendiri saat penggunaan kritis minimal.

Social engineering adalah teknik hacking lain yang digunakan hacker white hat untuk menguji seberapa aman perusahaan itu sebenarnya. Serangan rekayasa sosial memanfaatkan perilaku manusia untuk mengelabui orang agar melanggar prosedur keamanan atau memberikan informasi sensitif. Beberapa hacker topi putih juga menggunakan scanner dan kerangka keamanan untuk menemukan kerentanan yang diketahui.

Beberapa white hat hacker biasa menjadi hacker black hat yang menjadi lebih terbiasa secara etis saat mereka dewasa; yang lain tertangkap dan kemudian memutuskan untuk mengambil jalur hacker etis untuk mengejar kepentingan mereka tanpa ancaman penuntutan. Gelar sarjana dan pascasarjana dalam ilmu komputer, keamanan informasi atau matematika adalah latar belakang yang baik bagi para hacker topi putih, walaupun memiliki minat dan semangat yang tulus untuk keamanan merupakan aset terbesar.

Orang yang ingin menjadi hacker topi putih juga dapat menemukan penggunaan yang baik untuk sertifikasi seperti Certified Ethical Hacker (CEH) dari sertifikasi Administrator Keamanan EC-Council atau GIAC, termasuk Sertifikasi GIAC Security Essentials, GIAC Penetration Tester, GIAC Exploit Researcher dan GIAC Tester Penetrasi Lanjutan. Latar belakang atau sertifikasi dalam forensik komputer juga berguna bagi hacker etis.

Kebanyakan hacker dimotivasi oleh rasa ingin tahu dan hacker etis tidak terkecuali. Mereka sering termotivasi oleh keinginan untuk melihat apa yang membuat semuanya berdetak, menusuk sistem keamanan hanya untuk tantangan menemukan jalan di sekitar mereka. Dengan bertanggung jawab melaporkan temuan mereka adalah cara terbaik untuk memanjakan hasrat tersebut sementara hal ini juga tetap berada di sisi kanan undang-undang.

Banyak juga didorong oleh keinginan tulus untuk membuat dunia lebih pribadi dan lebih aman. Mengekspos kelemahan dalam layanan dan aplikasi yang banyak digunakan berarti mereka cenderung tidak digunakan untuk menyakiti orang-orang yang tidak bersalah.

Cara Menjadi White Hat Hacker

Hacking etis adalah pilihan karir yang tepat bagi mereka yang tertarik dalam pemecahan masalah, komunikasi dan keamanan TI. Inilah yang dibutuhkan untuk menjadi seorang hacker topi putih. Seorang hacker topi putih, atau hacker etis, menggunakan teknik pengujian penetrasi untuk menguji keamanan TI organisasi dan untuk mengidentifikasi kerentanan. Staf keamanan TI kemudian menggunakan hasil tes penetrasi tersebut untuk memperbaiki kerentanan, memperkuat keamanan dan menurunkan faktor risiko organisasi.

Uji penetrasi tidak pernah dilakukan secara kasual. Ini melibatkan banyak perencanaan, yang mencakup mendapatkan izin eksplisit dari manajemen untuk melakukan tes dan kemudian menjalankan tes seaman mungkin. Tes ini sering melibatkan teknik yang sama yang digunakan penyerang untuk melanggar jaringan secara nyata.

  • Persyaratan Latar Belakang dan Pendidikan

Hacking white hat melibatkan banyak pemecahan masalah, serta kemampuan berkomunikasi. Seorang hacker topi putih juga membutuhkan keseimbangan kecerdasan dan akal sehat, keterampilan teknis dan organisasi yang kuat, penilaian yang sempurna dan kemampuan untuk tetap tenang di bawah tekanan.

Pada saat yang sama, white hat perlu dipikirkan seperti hacker black hat, dengan semua tujuan jahat dan keterampilan serta perilaku licik mereka. Beberapa top-level white hat hacker adalah mantan hacker black hat yang tertangkap dan dengan berbagai alasan, mereka memutuskan untuk meninggalkan kehidupan kriminal dan menempatkan keterampilan mereka untuk bekerja dengan cara yang positif (dan legal).

Tidak ada kriteria pendidikan standar untuk hacker white hat – setiap organisasi dapat menerapkan persyaratannya sendiri pada posisi – namun gelar sarjana atau master dalam bidang keamanan informasi, ilmu komputer, atau bahkan matematika memberikan landasan yang kuat.

  • Sertifikasi yang Bersangkutan

Banyak hacking white hat dan sertifikasi TI yang berkaitan dengan keamanan dapat membantu kandidat mendapatkan kesempatan, bahkan tanpa banyak pengalaman langsung. Mencapai sertifikasi Certified Ethical Hacker (CEH) dari EC-Council adalah satu titik awal yang direkomendasikan. CEH adalah kredensial vendor-netral dan profesional bersertifikat CEH sangat diminati.

EC-Council merekomendasikan kelas pelatihan CEH lima hari untuk kandidat tanpa pengalaman kerja sebelumnya. Untuk melakukannya dengan baik, siswa harus memiliki kemampuan administrasi sistem Windows dan Linux, mengenal TCP / IP dan pengetahuan platform virtualisasi. Namun, pilihan belajar mandiri juga tersedia untuk membantu kandidat lulus ujian tunggal yang dibutuhkan.

Menjadi seorang hacker white hat bersertifikasi juga dalam hukum hacking, tidak pernah terlibat dalam kegiatan hacking terlarang atau tidak etis dan melindungi kekayaan intelektual orang lain. Sebagai bagian dari proses sertifikasi, kandidat harus setuju untuk menegakkan kode etik EC-Council dan tidak pernah berasosiasi dengan hacker yang tidak etis atau aktivitas jahat.

Kandidat yang memulai dengan sertifikat Administrasi Keamanan GIAC, dimulai dengan GSEC, mungkin akan lebih baik memposisikan diri untuk mengikuti kurikulum keamanan yang aktif. GIAC Penetration Tester (GPEN) dan GIAC Exploit Researcher dan Advanced Penetration Tester (GXPN) patut dicatat untuk calon hacker white hat.

Satu set sertifikasi hacking etis lainnya berasal dari mile2. Seri Pen Testing Hacking organisasi mencakup Founder Certified Vulnerability Assessor (CVA), diikuti oleh Certified Professional Ethical Hacker (CPEN), Certified Penetration Testing Engineer (CPTE) dan akhirnya Certified Penetration Testing Consultant (CPTC) tingkat lanjutan. Dan, veteran A.S. yang memenuhi syarat dapat menggunakan manfaat GI Bill untuk memperoleh sertifikasi dan pelatihan keamanan maya melalui mile2.

  • Sertifikasi Terkait dalam Forensik

Beberapa yang berkecimpung dalam forensik komputer selalu menjadi ide bagus bagi seseorang yang bekerja dalam keamanan informasi. Bagi mereka yang tertarik dengan sisi investigasi keamanan, lanjutkan dengan jajaran sertifikasi EC-Council dan kemudian menangani kredensial Computer Hacking Forensic Investigator (CHFI). CHFI berfokus pada proses penyelidikan forensik dan memanfaatkan alat dan teknik yang tepat untuk mendapatkan bukti dan data forensik komputer.

Sebagai bagian dari pelatihan sertifikasi CHFI, kandidat juga belajar bagaimana memulihkan file yang telah dihapus, memecahkan kata sandi, menyelidiki lalu lintas jaringan dan menggunakan berbagai alat forensik untuk mengumpulkan informasi.

  • Sisi Fisik Pengujian Penetrasi

Hal ini tidak bergantung pada cara digital atau metode pengejaran. Pakar keamanan umumnya mengacu pada fitur keamanan dari situs atau fasilitas dan kontrol akses fisik yang terlibat dalam memasuki atau menggunakan fasilitas atau peralatan secara langsung di bawah judul “keamanan fisik”. Pengujian penetrasi penuh juga melibatkan usaha untuk berkompromi atau menghindari keamanan fisik juga.

Penguji penetrasi yang terlatih dapat mencoba masuk melalui gerbang akses, mintalah seseorang untuk menahan pintu mereka saat berusaha melewati sistem kontrol masuk lencana atau masuk ke papan tombol, atau gunakan formulir teknik sosial lainnya untuk mengatasi kontrol keamanan fisik dan penghalang.

Taktik White Hat Hacker

Sementara pengujian penetrasi berkonsentrasi pada penyerangan perangkat lunak dan sistem komputer dari port pemindaian awal, memeriksa kekurangan dan instalasi patch yang diketahui, misalnya – peretasan etis dapat mencakup hal-hal lain. Hack etik yang hebat mungkin termasuk mengirimkan email kepada staf untuk meminta rincian kata kunci, mengobrak-abrik tumpukan debu eksekutif dan biasanya melanggar dan masuk tanpa sepengetahuan dan persetujuan dari target.

Hanya pemilik CEO dan anggota dewan (stake holder) yang meminta tinjauan keamanan sebesar ini. Untuk mencoba meniru beberapa teknik destruktif yang mungkin digunakan oleh serangan sesungguhnya, hacker etis dapat mengatur agar sistem pengujian kloning, atau mengatur peretasan di malam hari, sementara sistem kurang penting. Dalam kasus terakhir, hacks ini terus berlanjut untuk jangka panjang. Beberapa contoh termasuk membiarkan drive USB / flash key dengan perangkat lunak auto-start tersembunyi di area publik.

Beberapa metode lain untuk melakukan ini meliputi:

  • Serangan DoS
  • Taktik rekayasa sosial

Pemindai keamanan seperti:

  1. W3af
  2. Nessus
  3. Nexpose
  4. Burpsuite

Kerangka kerja seperti:

  • Metasploit

Metode tersebut mengidentifikasi dan memanfaatkan kerentanan yang diketahui dan berusaha menghindari keamanan untuk masuk ke area yang aman. Mereka bisa melakukan ini dengan menyembunyikan perangkat lunak dan sistem ‘pintu belakang’ yang bisa digunakan sebagai penghubung dengan informasi atau akses hacker non-etika, yang juga dikenal sebagai ‘black hat’ atau ‘gray hat’, dalam pencapaiannya.

Masalah Hukum Hacking With Hat

Perbedaan antara White hat dan black hat adalah niat. White hat tidak merusak sistem tanpa izin dari perusahaan untuk menguji pertahanannya dan dia mengungkapkan kerentanan secara bertanggung jawab. Topi hitam tidak memiliki izin atau niat baik dan pada umumnya dia tidak akan mengungkapkan kerentanan secara bertanggung jawab kecuali jika ada insentif finansial atau hukum.

Namun, white hat dan black hat umumnya menggunakan alat dan teknik yang sama. Hal ini dapat menyebabkan situasi hukum yang rumit bagi hacker etis. Misalnya, untuk menguji keamanan perusahaan secara menyeluruh, hacker etis harus mencoba mengakses sistem perusahaan tidak hanya secara langsung, namun melalui mitra bisnisnya juga. Jika perusahaan yang meminta pengujian penetrasi juga tidak mendapat persetujuan dari mitra bisnisnya, white hat tersebut bisa saja secara ilegal menembus sistem mitra bisnis.

Selain itu, jika seorang hacker etis dapat mengakses data sensitif – seperti data pelanggan – tugas mereka adalah melaporkannya ke perusahaan yang bertanggung jawab atas data tersebut. Bukan berarti pelanggan akan diberi tahu bahwa informasi mereka terpapar. Berarti hacker etis telah melihat data pelanggan pribadi. Legalitas hacking white hat sering dibahas di kalangan profesional keamanan dan umumnya digambarkan sebagai area abu-abu.

Dari penjelasan di atas, white hat hacker ini bertujuan untuk melindungi sebuah sistem dan memastikan bahwa perusahaan memiliki sistem informasi yang aman. Dan bertugas untuk meningkatkan aksi penerobosan yang terdapat pada sistem jaringan.