Introduction to Ethical Hacking to Increase Your Security Awareness

Kategori Artikel : IT Insight

05 September 2021

Introduction to Ethical Hacking to Increase Your Security Awareness

Published in Medium HIMIT PENS
Written by Muhammad Izzat

Ethical Hacking merupakan sebuah usaha untuk menembus pertahanan dalam sistem keamanan dan mengetahui celah yang ada sesuai dengan etika peretasan keamanan yang telah disepakati.

“Hacking is not Cracking, — The Ethical Testing isn’t breaking the law”

Perlu teman-teman ketahui juga dalam hal keamanan data dan jaringan ini, masih banyak sekali orang diluar sana yang belum memprioritaskan keamanan data mereka baik secara individu maupun setingkat organisasi. Hal ini menjadikan perlunya edukasi dalam masalah Security Awareness yang mana dapat dijadikan evaluasi kedepannya agar lebih waspada terkait sistem yang telah dimiliki. Di kesempatan saya kali ini, mungkin saya akan menjelaskan terlebih dahulu mengenai dunia hacking terlebih dahulu dan celah celah apa saja yang paling rentan terjadi saat ini.

Karena disini saya hanya sharing berdasarkan literasi dan pengalamn yang saya temui, maka saya terbuka untuk bisa berdiskusi dengan teman-teman melalui kolom komentar.


White Hat, Grey Hat, dan Black Hat Hacker


Sebelum kita lebih jauh memahami Hacking dan Security Awareness yang akan menjadi concern kita. penting banget nih buat kita untuk tahu dulu siapa dan bagaimana tipe orang orang yang berkecimpung dalam dunia keamanan siber ini. Di dalam dunia Hacking, ada beberapa tipe hacker yang memiliki peranan mereka masing-masing dalam pencarian kelemahan sistem. Ada White Hat Hacker, Grey Hat Hacker, Black Hat Hacker danmasih ada beberapa tipe lagi yang belum saya bahas di kesempatan kali ini.

1. White Hat Hacker

Peretas bertopi putih ini adalah mereka yang menggunakan kemampuan untuk menguji sebuah sistem dan mencari kelemahan yang ada pada sistem. nah, tipe ini nih yang akan kita kenal sebagai seorang Ethical Hacker. Tipe ini biasa nya akan di sewa oleh sebuah institusi secara resmi dan berkontrak untuk melakukan pengujian terhadap sistem keamanan yang ada pada industri tersebut dan melaporkan kembali kepada pihak yang berwajib sehingga bisa diperbaiki.

2. Grey Hat Hacker

Untuk tipe yang bertopi abu-abu ini mereka menggunakan keahlian mereka bukan untuk melakukan kerusakan terhadap sistem melainkan untuk memberi tahu celah keamanan yang ada pada sistem. Namun yang perlu diketahui mereka tidak melakukan pengujian dan analisa tersebut secara legal.

e.g. — Seorang peretas yang mencoba menyisipkan sebuah malware ke dalam sebuah sistem untuk mencari kelemahan yang ada pada sistem. setelah itu perertas tersebut hanya akan memberikan hasil analisa nya kepada korban.

jadi di kasus diatas, apa yang dilakukan peretas tersebut tidak sepenuhnya salah, namun tetap ada peraturan yang memang harus dipatuhi sebenarnya untuk melakukan hal tersebut. Jadi untuk teman-teman yang ingin berkecimpung di dunia hacking, Hati Hati ya…..

3. Black Hat Hacker

Peretas bertopi hitam…., seorang peretas yang menggunakan keahlian nya untuk mengakali sebuah sistem komputer dan memiliki niatan jahat untuk mencuri data didalamnya atau mengambil keuntungan lainnya untuk diri mereka pribadi. Tipe inilah yang sering kita temui di berita nasional maupun internasional pada kasus-kasus peretasan yang ada. Kasus yang dilakukan sebenarnya tidak hanya melakukan pencurian data, namun bisa digunakan untuk pengancaman ke pihak lain, mendapatkan hal-hal eksklusif secara gratis, dan hal illegal lainnya.
“Ethical Hacking is not about hacking someone’s password, it’s hacking someone mind.”


Tips Untuk Meningkatkan Security Awareness Kalian

Untuk teman-teman yang terutama ada dibidang IT ataupun Developer Aplikasi Web terutama, ada beberapa hal yang perlu kalian perhatikan juga untuk tetap menjaga keamanan aplikasi kalian sehingga dapat meminimalisir kejadian yang tidak kalian kedepannya.

1. Jangan lupa tutup port yang tidak diperlukan untuk publik


Nah, buat temen-temen yang terbiasa mengembangkan aplikasi dan menggunakan database sebagai tempat penyimpanan data seperti mysql, postgresql, dll perlu diketahui apabila port database kalian memiliki status open seperti maka seorang peretas pun dapat dengan mudah melakukan SQL Injection. Peretas akan melakukan scanning terlebih dahulu untuk membaca semua isi database anda dan kemudian akanmengambil data-data penting. salah satu data yang paling sering diambil adalah data username dan password pada database sehingga peretas dapat masuk kedalam situs kalian sebagai pengguna palsu.

Cara untuk menutup port yang tidak diperlukan diatas salah satu adalah seperti ini:
> Buka CMD atau terminal kalian
> ketik : netstat -ano
(script ini untuk melakukan pengecekan pada status network kalian yang ada beserta port nya)
> netstat -ano | findstr :3306
agar langsung mencari port yang ditentukan (3306 untuk mysql sebagai contoh)
> taskkill /pid {nomor ID Port} /F
masukkan command diatas untuk mematikan access port yang tidak diperlukan

2. Berikan Batasan terhadap input Login Page

Batasan disini sangat diperlukan terutama pada setiap input yang ada contohnya seperti input username dan password yang ada pada halaman login page website atau aplikasi kalian.

e.g. — Memberikan batasan percobaan sebanyak 3 kali masuk apabila gagal ataupun username dan password tidak sesuai dan harus menunggu beberapa saat untuk memasukkan input kembali (saran 1 menit)

hal ini dapat menjadi salah satu usaha kita untuk meminimalkan upaya brute forcing oleh para peretas kedalam sistem kita. Dalam melakukan upaya Brute forcing para peretas telah menyiapkan sebuah catatan yang berisi list username dan password yang sering digunakan (Wordlist) dan melakukan pengujian tersebut kedalam input pada halaman login kita terus menerus hingga berhasil masuk. dengan menggunakan batasan pada input kita dapat meminimalisir brute forcing yang dilakukan oleh para peretas.


3. Jangan Lupakan Exception Handling pada input

Exception Handling diperlukan untuk tetap menjaga kesesuaian input yang diharapkan oleh sistem dengan yang diberikan user saat mencoba memasukkan input ke dalam kolom tertentu.

e.g. — dalam kolom Pencarian pada website kita, jangan lupa untuk memberikan pengecualian bahwa hanya string biasa dan tidak mengandung unsur code yang dapat menyebabkan pengguna mengakses aplikasi yang tidak sesuai dengan privileges yang diberikan kepada user tersebut.

Penyerangan seperti contoh diatas disebut sebagai Cross-Site Scripting (XSS). usaha peretasan seperti itu dapat diatasi dengan memberikan Exception Handling seperti tidak memperbolehkan pengguna untuk menyantumkan tag yang ada di html kedalam input pencarian.

berikut beberapa contoh XSS yang dapat dilakukan untuk menguji keamanan aplikasi kalian terutama pada web:
echo "< pre >" >> /var/www/html/dvwa/hackable/uploads/xss.html
   letakan html < pre > tag di file xss.html
   < pre > digunakan untuk pre-formatter.
echo "select user,password from dvwa.users;" | mysql -uroot -p123456 >> /var/www/html/dvwa/hackable/uploads/xss.html
   letakan user dan password untuk tabel dvwa.users di file the xss.html
echo "< /pre >" >> /var/www/html/dvwa/hackable/uploads/xss.html
   letakan < /pre > tag di file xss.html
echo "< br >Your Name< br >" >> /var/www/html/dvwa/hackable/uploads/xss.html
   letakan string "Your Name" dengan naman anda sebenarnya
date >> /var/www/html/dvwa/hackable/uploads/xss.html

Sekian untuk penjelasan saya pada artikel kali ini, masih banyak hal dalam dunia siber yang dapat kita bahas kedepannya dan semoga artikel ini dapat memberikan edukasi ke temen-temen semua mengenai Security Awareness.

KONTAK
Email       : himit.pens@gmail.com
No . Telp : +62 821-4656-3906

ALAMAT

Institut Teknologi Sepuluh Nopember, Kampus, Jl. Raya ITS, Keputih, Kec. Sukolilo, Kota SBY, Jawa Timur 60111, Indonesia

PRANALA LUAR
Politeknik Elektronika Negeri Surabaya Prodi Teknik Informatika PENS
©Copyright ©️ E-CODE 2020. Made with 💙 in Surabaya