eCWbXBoqKVlcyXUNIzJr7wbcnJRa7fysuT0ds4TB
Bookmark

Peretas Dibutuhkan untuk Mengalahkan Peretas

Peretas Dibutuhkan untuk Mengalahkan Peretas - Tidak, itu bukan oxymoron. Meskipun peretasan tetap merupakan istilah yang umumnya merendahkan, Kenyataannya adalah bahwa itu semua adalah tentang motivasi. Untuk memiliki peluang memblokir atau mengalahkan peretas jahat, organisasi memerlukan peretas “baik” atau etis di pihak mereka - orang yang tahu cara berpikir seperti orang jahat.

Ini seperti sesuatu yang bermusuhan: Para detektif terbaik tahu bagaimana berpikir seperti penjahat. Tim-tim olahraga terbaik mendapatkan bagian itu dengan mencari tahu apa yang mungkin dilakukan lawan mereka sebelum pertandingan dimulai.
credit:https://www.needpix.com/photo/397778/hack-hacker-elite-hacking-exploits-crackers-data-viruses-attack

Apa itu peretas etis?

Bukan berarti ini adalah konsep baru. Peretasan telah menjadi istilah "penggunaan campuran" selama beberapa dekade. Bagaimana itu dirasakan tergantung pada awalan - topi putih, topi hitam, topi abu-abu. Topi putih adalah orang baik, topi hitam adalah orang jahat (Anda tahu, seperti di spaghetti barat lama) dan abu-abu mengapung di suatu tempat di antaranya, umumnya memilih sisi berdasarkan pada seberapa banyak itu akan menguntungkan mereka atau alasan yang mereka dukung.

Konferensi keamanan Black Hat tahunan berusia 22 tahun dan umumnya ditujukan untuk peretas etis yang ingin mempelajari lebih lanjut tentang cara berpikir seperti topi hitam dan membantu organisasi mereka menghindari menjadi berita utama pelanggaran data berikutnya.
Baca juga:Infinix Hot 7 Pro X625 Review: Quad Camera dengan RAM 6GB Termurah
Tetapi ketika peretasan berbahaya berkembang dan "permukaan serangan" meluas secara eksponensial - Internet of Things (IoT) sekarang lebih sering disebut Internet of Everything (IoE) - definisi dan misi peretasan etis juga berkembang. Selain membantu melindungi aset digital perusahaan, peretasan etika juga tentang membuat dunia online (dan dunia fisik) menjadi tempat yang lebih baik dan lebih aman bagi semua orang selain penjahat.

Memang, salah satu presentasi di Black Hat baru-baru ini di Las Vegas berjudul Hacking for the Greater Good: Memberdayakan Teknologi untuk Memperkuat Masyarakat Digital. Ini menampilkan teknolog, cryptographer, blogger dan penulis Bruce Schneier; Camille François, kepala inovasi di Graphika; dan Eva Galperin, direktur cybersecurity di Electronic Frontier Foundation (EFF).

Schneier, yang buku terbarunya, Click Here to Kill Everybody, berfokus pada konsekuensi fisik peretasan yang semakin meluas karena “semuanya adalah komputer,” melanjutkan tema tersebut di panel, mencatat bahwa peretasan telah bergerak “melampaui data menjadi daging dan baja… Maksud Anda komputer akan mematikan hati orang itu? Itu jauh berbeda dengan menghapus spreadsheet. "

Bagaimana dengan Pen Test?

Pen Test tidak mengubah dasar-dasar peretasan untuk membantu perusahaan - pakar keamanan mana pun akan memberi tahu Anda bahwa jika suatu organisasi menginginkan aplikasi, sistem, dan jaringannya aman, salah satu hal yang perlu dilakukan adalah merekrut peretas, baik karyawan internal atau kontraktor eksternal, untuk mengujinya dengan menyerang mereka. Itu umumnya disebut pengujian penetrasi: Sekelompok “Pen Test” mencoba meretas apa pun. Tujuannya, tentu saja, adalah untuk menemukan kerentanan dan memperbaikinya sebelum peretas jahat dapat mengeksploitasi mereka.

Pengujian pena adalah hal yang sudah lama dilakukan (dan sangat disarankan) untuk dilakukan sebelum mengekspos aset digital kepada publik, tetapi itu jauh dari satu-satunya hal. Penguji pena yang baik umumnya merekomendasikan bahwa jika perusahaan tidak menggunakan beberapa alat analisis selama siklus hidup pengembangan perangkat lunak (SDLC), mereka seharusnya.

Diantaranya adalah alat untuk pengujian keamanan statis, dinamis dan interaktif ditambah analisis komposisi perangkat lunak (SCA), yang berfokus secara khusus pada menemukan kerentanan dan potensi konflik lisensi dalam kode sumber terbuka.
Baca juga:Vivo Z1 Pro Review: Si Cantik yang Mumpuni untuk Gaming
Ted Harrington, mitra eksekutif di Independent Security Evaluators, mencatat bahwa orang tidak boleh mengacaukan pengujian pena dengan penilaian keamanan penuh. Tes pena hanya menentukan apakah intrusi dimungkinkan.
“Jika tujuan Anda adalah untuk menemukan sebagian besar atau semua masalah Anda sehingga Anda dapat memperbaikinya, tes penetrasi tidak akan melakukannya. Penilaian keamanan sebenarnya adalah apa yang dibutuhkan sebagian besar perusahaan, namun mereka sering meminta pengujian penetrasi. Ini masalah karena syaratnya tidak bisa dipertukarkan dan mereka memberikan hal yang berbeda, ”katanya.

Bagaimana Anda bisa menjadi peretas etis?

credit:https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/
Lagi pula, peretasan etis melibatkan lebih dari sekadar pengujian pena. "Ada jauh lebih banyak untuk meretas secara profesional dari sekadar pengujian pena," kata Christopher Hadnagy, kepala peretas manusia di Social-Engineer, LLC, yang juga memimpin Desa Teknik Sosial di DEF CON, yang diadakan segera setelah Black Hat di Las Vegas. "Sisi rekayasa sosial, kesadaran keamanan, dan bagian lain yang semuanya mengarah pada bagian menjadi seorang profesional."

Bahkan ada kursus pelatihan dan sertifikasi untuk menjadi Certified Ethical Hacker (CEH), tetapi mereka tidak benar-benar diperlukan - saksikan semua peretas freelance yang mengejar hadiah bug yang ditawarkan oleh perusahaan besar seperti Google, Apple dan Microsoft dan, dalam beberapa kasus, membuat uang yang cukup bagus melakukannya.
"Sertifikasi dapat membantu menunjukkan seseorang memiliki pengetahuan di bidang ini, yang bermanfaat bagi orang-orang yang ingin masuk ke industri," kata Thomas Richards, konsultan utama di Synopsys, "tetapi mereka tidak boleh digunakan sebagai ukuran kualifikasi jika individu dapat melakukan tugas."
"Saya telah melihat profesional penjualan sebelumnya menjadi insinyur sosial yang luar biasa dan orang-orang dengan latar belakang non-IT yang memiliki keterampilan pengujian penetrasi yang sangat baik."

Hadnagy setuju, meskipun ia mengatakan beberapa kualifikasi yang didokumentasikan membantu. "Saya pribadi mencari sertifikat berbasis kinerja seperti OSCP (Keamanan Bersertifikat Profesional Profesional) atau APSE (Teknik Sosial Praktik Lanjut) yang bertentangan dengan hanya T&J," katanya.

Harrington mengatakan hal yang sama. "Kredensial sangat membantu dalam menetapkan dasar pengetahuan, tetapi mereka tidak mencakup semua atau bahkan selalu merupakan indikator keterampilan elit," katanya.

Mendefinisikan 'kebaikan yang lebih besar'

Tetapi di luar keterampilan dasar, ada topik yang berpotensi rumit tentang apa arti sebenarnya "meretas untuk kebaikan yang lebih besar". "Kebaikan yang lebih baik" dapat berarti hal-hal yang sangat berbeda tergantung pada siapa yang dapat mendefinisikannya dalam waktu yang kontroversial secara politik dan moral.

Sebagai contoh, apakah "hacktivism" bagian dari kebaikan yang lebih besar, tergantung pada penyebabnya? Tidak dalam pandangan para pakar ini.
"Mereka yang mencari kelemahan dalam sistem dalam mengejar agenda politik bukanlah peretas etis," kata Harrington. "Jangan meragukannya: Bahkan atas nama tujuan yang kau sepakati, peretas bukanlah orang baik."
"Peretasan aktivisme tidak pernah berhasil," kata Hadnagy. "Kamu selalu harus melukai seseorang untuk menegaskan maksudmu. Saya menghindari topik-topik tertentu dan politik dari semuanya. Ambil jalan yang tinggi, kerjakan apa yang sangat Anda sukai. Bagi saya, berbuat baik berarti ketika saya pergi, saya harap Anda merasa lebih baik karena telah bertemu saya.”

Dia mengatakan bahwa motivasi membawanya untuk memulai ILF (Innocent Lives Foundation), sebuah organisasi nirlaba yang menggunakan "peretas ethical white hat  untuk melacak dan membuka kedok mereka yang membuat dan berdagang bahan pelecehan anak." Ini juga membawanya untuk menciptakan SE (sosial) rekayasa) Kode Etik, untuk menetapkan praktik dan standar terbaik untuk peretasan white hat.

Richards menawarkan saran yang sama. "'Lebih baik' bagi saya adalah membantu manusia untuk motivasi nonfinansial," katanya. “Saya telah berbicara dengan orang-orang yang telah menggunakan keterampilan teknis untuk mengidentifikasi dan melacak penjahat dengan sukses. Baru-baru ini, di DEF CON, ada tantangan intelijen sumber terbuka (OSINT) untuk menemukan orang hilang. Keduanya adalah pengejaran yang layak.”

Pengungkapan yang bertanggung jawab

Konflik lain tentang "kebaikan yang lebih besar" adalah ketika seorang peretas menemukan kerentanan dalam beberapa komponen kehadiran online perusahaan - aplikasi, sistem, jaringan atau rantai pasokan - dan melaporkannya secara publik.

Kebanyakan peretas yang etis setuju bahwa pengungkapan yang bertanggung jawab harus memberi tahu perusahaan secara pribadi terlebih dahulu dan memberikan waktu untuk memperbaikinya - setidaknya beberapa bulan - sebelum mengumumkannya kepada publik.
Baca juga:Review Vivo Y17: Triple Kamera dengan Baterai Jumbo!
Namun, seperti halnya segalanya, segala sesuatu tidak selalu hitam dan putih.
"Itu tergantung," kata Hadnagy. “Apakah mereka menggunakan vuln untuk menyakiti seseorang? Apakah mereka memeras perusahaan? Saya pikir program karunia bug sangat cerdas - Anda membayar orang untuk kerja keras, memotivasi pengungkapan yang bertanggung jawab dan membantu memperbaiki masalah. "
"Sebuah perusahaan yang mengejar peretas yang melaporkan tidak ada salahnya menyakiti keinginan masa depan untuk ingin melaporkan secara etis," katanya.

Yang ditambahkan Richards, “Kerentanan ada sebelum penelitian mengidentifikasi itu. Jika seseorang mengidentifikasi kebocoran di bendungan, mereka tidak masuk penjara karena memberi tahu orang tentang hal itu. ”

Peretas yang lebih etis, silakan

Akhirnya, ada kesepakatan bulat bahwa dunia membutuhkan lebih banyak peretas etis. "Ini adalah perlombaan senjata dan orang-orang baik kalah jumlah," kata Harrington.

Itu, kata Hadnagy, sebagian besar karena tidak ada perguruan tinggi atau program universitas yang mengajarkannya.
"Anak muda di waktuku belajar dengan melakukan, tetapi kami tidak menghancurkan. Hari-hari ini Anda tidak dapat melakukan itu tanpa melanggar hukum. Remaja masa kini membutuhkan tempat yang aman untuk berlatih, belajar dan menyempurnakan keterampilan ini — dan kami tidak menyediakannya.”
Harrington setuju, dan menawarkan daftar apa yang harus dilakukan:
  • Ajarkan keamanan sebelumnya dalam sistem pendidikan.
  • Rekrut pemecah masalah analitis yang cerdas dari bidang lain.
  • Naikkan kesadaran tentang jalur karir melalui acara penelitian profil tinggi seperti DEF CON
Artikel ditulis oleh Taylor Armerding, Security Expert at Synopsys Software Integrity Group
Anda mungkin suka:Review Pioneer SE-QL2T, Headset Murah Cocok untuk Penyuka Bass