Sepintas lalu teknik penetrasi dalam menguji keamanan komputer dapat digunakan untuk mengambil manfaat dari kelengahan orang lain. Lalu kenapa kita harus berhati-hati? Bagian terakhir dari dua tulisan.

Masyarakat lebih berhati-hati dalam menggunakan komputer di tempat terbuka (Warnet misalnya), masyarakat berhati-hati dalam menggunakan credit card dan mencatat rapih tiap transaksi yang dilakukan dan menyimpan bukti transaksinya. Jadi intinya diharapkan masyarakat tidak begitu saja gegabah di dalam hal keamanan sistem. Karena komputer makin luas digunakan dan makin beragam fungsinya.

Eksploitasi

Pengetahuan penetrasi ini tidak perlu ditutup-tutupi, karena memang telah ada di Internet secara luas. Bahkan beberapa perangkat bantu yang dapat melakukan uji penetrasi secara otomatis yang melakukan eksploitasi kelemahan sistem. Software tersebut dapat diunduh secara bebas dari Internet dan disebut dengan “automate exploit tools“. Awalnya perangkat lunak ini digunakan untuk pengujian sistem (penetration test). Tapi dengan berbekal software ini, seorang cracker dapat melakukan exploitasi di mana saja dan kapan saja, tanpa harus mempunyai pengetahuan khusus. Cracker jenis ini dikenal sebagai “script kiddies“. Sehingga dengan tidak menginformasikan teknik uji penetrasi kepada masyarakat luas, maka justru segelintir orang yang kebetulan memahami uji penetrasi ini dapat memanfaatkan kelengahan masyarakat luas. Akan tetapi proses dalam penyebaran suatu celah kepada masyarakat luas sebaiknya melalui prosedur yang baik, misal dimulai dengan pemberitahuan kepada Si Pemilik Sistem (atau vendor), lalu setelah ditemukan cara pencegahannya (patch, anti virus dan sebagainya), maka barulah diberitahu kepada masyarakat luas. Tahapan ini yang dikenal dengan istilah advisory.

Cracker dan Hacker

Beda antara hacker dan cracker hanyalah intensi, atau niatnya. Motivasi para hacker untuk menemukan vunerability adalah untuk membuktikan kemampuannya atau sebagai bagian dari kontrol sosial terhadap sistem. Sedangkan motivasi para cracker sangat beragam, diantaranya adalah untuk propaganda (deface web site/email), kriminal murni, penyerangan destruktif (akibat dendam atau ketidak-sukaan terhadap suatu insitusi), dan lain-lain. Apapun motif dari cracker selalu ada pihak yang dirugikan akibat tindakannya.

Apa perlunya pengetahuan uji penetrasi ini pada perancangan sistem ? Pada tahapan perancangan sistem, untuk menganalisis kelemahan sistem dan memperhitungkan resiko dari suatu kemungkinan celah dikenal suatu metoda yang diperkenalkan oleh Bruce Schneier, metoda ini lazim disebut Attack Tree. Dalam metoda attack treee, goal serangan pada puncak pohon serangan. Pada cabang di bawahnya, Si Perancang Sistem akan mereka-reka kemungkinan serangan-serangan apakah yang mungkin dilakukan untuk mencapai goal tersebut.

Untuk setiap jenis serangan diperhitungkan probabilitas dilakukannya serangan tersebut, biaya atau usaha untuk melakukan serangan tersebut, serta kerugian yang dapat terjadi bila serangan tersebut terjadi. Biasanya Si Penyerang akan cenderung memilih serangan yang mudah dilakukan dan memberikan dampak terbesar. Si Perancang Sistem sebaiknya harus mencegah serangan yang memiliki probabilitas tertinggi, atau serangan yang dapat menimbulkan kerugian terbesar. Setiap cabang dari goal (kemungkinan serangan) akan dianalisis selanjutnya ke cabang bawah berupa prasyarat ataupun langkah untuk melakukan serangan tersebebut.

Metoda

Metoda ini sebetulnya tidak tergolong baru, di dalam literatur rekayasa komputer sekuriti juga dikenal metoda attack-graph, atau di dalam literatur system safety (keamanan dan keselamatan sistem), dikenal metoda fault-tree, yang digunakan untuk melakukan evaluasi keamanan suatu sistem, dan di dalam literatur rekayasa perangkat lunak (software engineering) dikenal test case graph. Metoda seperti fault tree ini sudah lazim dikenal pada sistem kritis seperti reaktor nuklir, sistem kendali pabrik dan lain sebaiknya.

Seperti dijelaskan di atas, dalam menerapkan metoda analisis ini, untuk mencapai tiap goal serangan, maka si perancang harus mereka-reka kemungkinan serangan. Sehingga, pengetahuan tentang berbagai penetrasi jelas akan memudahkan bagi si perancang sistem untuk memprediksikan skenario serangan. Pengetahuan ini juga merupakan suatu pengetahuan wajib bagi mereka yang ingin melakukan pengujian sekuriti sistem, terutama untuk meningkatkan sekuriti sistemnya. Biasanya suatu tim yang disebut Tiger Team akan melakukan uji penetrasi. Perusahaan asuransi keamanan sistem sering mempekerjakan tim seperti ini untuk melakukan uji penetrasi terhadap sistem yang diasuransikan.

Gelombang Serangan

Biasanya penganalisis keamanan sistem akan mencoba memikirkan skenario berbagai jenis serangan yang dapat dilakukan pada suatu sistem jaringan komputer. Pada dasarnya serangan pada suatu sistem jaringan komputer sendiri ada 3 gelombang tren utama yaitu:

* Gelombang pertama adalah serangan fisik . Serangan ini ditujukan kepada fasilitas jaringan, perangkat elektronis dan komputer.
* Gelombang kedua adalah serangan sintatik. Serangan ini ditujukan terhadap keringkihan (vulnerability ) pada perangkat lunak, celah yang ada pada algoritma kriptografi atau protokol.
* Gelombang ketiga adalah serangan semantik. Serangan jenis ini memanfaatkan arti dari isi pesan yang dikirim. Dengan kata lain adalah menyebarkan disinformasi melalui jaringan.

Demikian dulu penjelasan singkat mengenai uji penetrasi serta sepak terjang cracker dan hacker. Semoga mencerahkan.

foto: coolest-gadgets.com