Sudah lima tahun lebih aku bekerja sebagai Technical Support di salah satu perusahaan penyedia hosting dan domain. Pekerjaan tersebut membuatku harus mengerti perihal teknis hosting, domain, dan semua yang ada di dalamnya termasuk email, website, database, dan lain sebagainya. Bukan hanya itu, aku pun sering dihadapkan pada permasalahan yang berhubungan dengan keamanan website. Musabab sering menangani hal semacam itu, aku jadi familiar dengan cara-cara yang dilakukan oleh hacker dalam meretas sistem keamanan website. Maka dari itu, aku ingin membagikan sedikit pengalaman tentang sistem keamanan website dan bagaimana cara menangani serangan hacker agar website tetap aman. Selain itu, aku juga ingin memperkenalkan layanan dari Widya Security yang sangat berguna untuk menangai permasalahan keamanan website dengan menggunakan metode Penetration Testing (Pentest). Silakan simak artikel ini hingga selesai, semoga bermanfaat!
Peretasan yang Sering Terjadi pada Website
Sebelum menekuni pekerjaan sebagai Data Center Officer, aku terlebih dulu bekerja sebagai Technical Support di salah satu provider hosting dan domain. Aku sering menangani masalah website terkena hack yang meliputi deface, backdoor, SQL injection, password akses yang berubah sendiri, dan sebagainya. Hampir setiap hari aku menerima komplain terkait website terkena hack ini. Aku pun menjadi penasaran, sebenarnya apa sih yang membuat website terkena hack? Aku pun menganalisis permasalahan tersebut dengan seksama untuk menemukan jawabannya.
Setelah berjibaku dengan script pemrograman, mendalami Content Management System (CMS) dan Framework, mempelajari theme dan plugin pada website, akhirnya aku menemukan penyebab utama website terkena hack, yaitu karena kelalaian manusia. Sebab, bila dilihat dari sisi CMS maupun Framework, semuanya memiliki sistem keamanan yang baik. Jadi, satu-satunya celah yang berhasil dimanfaatkan oleh hacker adalah celah buatan manusia itu sendiri.
Sebagai contoh, aku ingin menunjukkan beberapa kasus serangan pada website dan penyebabnya yang sering aku tangani, yaitu sebagai berikut.
Deface
Deface adalah serangan yang bertujuan untuk mengubah tampilan atau halaman utama dari sebuah website. Bisanya, hacker akan meninggalkan pesan pada website yang berhasil diretas dengan menunjukkan nama kelompoknya. Aku sering menangani kasus deface yang mana penyebabnya karena user tidak pernah memperbarui versi CMS, theme, dan plugin yang digunakan. Bila user menggunakan script sendiri untuk membuat website, biasanya deface terjadi karena script yang digunakan memiliki celah keamanan. Maka dari itu, untuk menangani kasus deface seperti ini, user harus melakukan pembaruan pada versi CMS, theme, dan plugin yang digunakan serta menutup semua celah keamanan pada script yang digunakan.
SQL Injection
SQL Injection adalah sebuah upaya yang dilakukan oleh hacker dengan tujuan mengubah atau merusak database menggunakan perintah SQL pada form input sebuah website. Normalnya, perintah SQL yang berfungsi untuk mengelola database hanya bisa dilakukan oleh administrator. Namun karena adanya celah keamanan pada website, perintah tersebut bisa dilakukan oleh hacker melalui form input pada halaman website. Penyerangan ini bisa berakibat fatal. Sebab semua data penting seperti user dan password, disimpan pada database. Biasanya, penyebab dari SQL Injection adalah kelalaian programmer yang tidak memfilter karakter khusus pada form input, sehingga karakter tersebut bisa dimanfaatkan oleh hacker untuk menulis query SQL.
Back Door
Back Door adalah upaya seorang hacker untuk meretas sebuah sistem melalui file “jahat” yang disusupkan pada sistem tersebut. File jahat yang dimaksud berfungsi memberikan akses terhadap hacker secara ilegal, sehingga hacker bisa dengan leluasa memasuki sistem tersebut. Aku sering menemui file jahat yang berperan sebagai back door pada sebuah sistem yang dibangun menggunakan source code dari sumber yang tidak kredibel. Seperti contohnya penggunaan theme atau plugin dari sumber yang tidak bisa dipercaya. Dimana theme atau plugin tersebut sangat mungkin untuk disusupi file jahat sebagai back door. Maka dari itu, selalu gunakan CMS, theme, plugin, dan script dari sumber yang bisa dipercaya untuk mengurangi risiko terkena peretasan karena back door.
Phishing
Phishing adalah salah satu metode hacker untuk mendapatkan informasi dari korbannya melalui link atau halaman website palsu. Pada kasus peretasan website, hacker biasa menggunakan metode phishing dengan cara membuat halaman login administrator yang sama persis dengan website korban. Contohnya, hacker membuat halaman yang mirip wp-login, yaitu halaman administrator wordpress. Pada saat target login administrator melalui halaman palsu tersebut, maka data yang dimasukkan akan terkirim ke hacker. Sehingga hacker dapat melihat username dan password korban dan dapat login pada halaman administrator dengan mudah. Cara mencegah metode peretasan ini yaitu dengan meningkatkan kewaspadaan, terutama pada link palsu. Sebab link asli dan link palsu yang dibuat oleh hacker sangat mirip, seperti wordpress.com (asli) dan w0rdpress.com (palsu).
Man In The Middle (MITM)
Man In The Middle (MITM) adalah metode yang digunakan oleh hacker untuk mencuri dan memantau data milik korbannya. Metode ini biasa dilakukan dengan memanfaatkan koneksi internet yang tidak aman, seperti wifi gratis yang sebelumnya sudah diatur oleh hacker, penggunaan url non SSL, dan sebagainya. Ada beberapa jenis serangan menggunakan metode MITM, antara lain Spoofing DNS, SSL Hijacking, IP Spoofing, Email Hijacking, dan HTTP Spoofing. Cara untuk menghindari serangan MITM yaitu dengan menggunakan wifi yang dilindungi kata sandi, mengakses website yang menggunakan SSL, dan hindari mengakses informasi sensitif ketika menggunakan wifi gratisan. Maka dari itu, selalu waspada ketika mengakses informasi sensitif dan menggunakan jaringan publik.
Secara garis besar, keberhasilan dari metode peretasan di atas diakibatkan kelalaian manusia. Namun, peretasan tersebut juga bisa disebabkan adanya celah keamanan pada website itu sendiri. Maka dari itu, pengecekan keamanan pada website juga perlu dilakukan.
Penetration Testing untuk Keamanan Website
Selain dari sisi manusia, pencegahan peretasan juga harus dilakukan dari sistem keamanan pada website itu sendiri. Cara yang paling ampuh untuk meningkatkan sistem keamanan pada website yaitu dengan melakukan Penetration Testing (pentest). Sebab pentest akan menunjukkan celah keamanan yang ada sehingga celah tersebut dapat ditutup atau diatasi. Sebelum membahas lebih jauh tentang pentest, alangkah baiknya bila kita pahami dahulu pengertian dari pentest itu sendiri.
Pengertian Pentest
Menurut website resmi Widya Security, Penetration Testing (Pentest) adalah proses mengevaluasi keamanan dari suatu sistem jaringan komputer dengan cara mensimulasikan serangan siber secara nyata. Pentest dilakukan oleh seorang ahli di bidang keamanan siber yang disebut pentester. Pentester akan mencoba menemukan celah atau kerentanan dalam sistem keamanan. Kemudian, ketika celah tersebut sudah ditemukan, mereka akan mencoba menyusup melalui celah untuk mendapatkan akses ke dalam sistem.
Senada dengan Widya Security, website resmi Central Java Province Computer Security Incident Response Team (JatengProv-CSIRT) menyatakan bahwa Penetration Testing (Pentest) adalah suatu kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap jaringan organisasi/perusahaan tertentu untuk menemukan kelemahan yang ada pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester (disingkat pentester). Penetration Testing mempunyai standar resmi sebagai acuan dalam pelaksanaannya.
Tahapan Pentest
Pentest yang dilakukan untuk menguji keamanan sebuah sistem (dalam kasus ini keamanan website) terdiri dari beberapa tahapan. Setiap tahapan harus dilakukan dengan benar dan teliti agar hasil yang diperolah bisa akurat. Nantinya, hasil dari pentest ini akan menunjukkan celah atau kelemahan dari sistem yang digunakan. Sehingga dapat dilakukan perbaikan atau penutupan celah tersebut agar tidak mudah diretas. Berikut ini beberapa tahapan yang dilakukan dalam Penetration Testing (Pentest).
Pada tahap ini, pihak perusahaan pemilik sistem/website berkomunikasi dengan tim penguji untuk membahas perihal proses Penetration Testing yang akan dilakukan. Pembahasan tersebut meliputi ruang lingkup, batasan, dan tujuan uji penetrasi. Semua itu harus ditentukan dengan jelas agar tidak terjadi kesalahpahaman. Selain itu, juga melakukan persiapan dan pengumpulan informasi yang diperlukan sebelum memulai tes.
Pada tahap ini, penguji akan mengumpulkan informasi sebanyak mungkin tentang sistem/website yang akan diuji, seperti teknologi yang ada, aplikasi yang berjalan, sistem operasi yang digunakan, hingga infrastruktur jaringan yang digunakan. Semakin banyak informasi yang dikumpulkan maka semakin baik, sebab penguji akan lebih memahami tentang sistem target dan potensi kerentanannya.
Pada tahap ini, penguji akan melakukan pemindaian (scanning) jaringan dan sistem untuk melihat kerentanan yang ada di sana. Ada beberapa tools yang digunakan dalam proses scanning ini, antara lain Nessus, Burp Suite, Acunetix, Nmap, Wire Shark, dan sebagainya. Proses scanning ini akan menghasilkan perencanaan dan serangan lanjutan yang akan dilakukan.
Pada tahap ini, penguji sudah memasuki inti dari proses pentest. Dimana tim penguji akan mengekploitasi dan memanfaatkan celah keamanan yang sudah diidentifikasi untuk mendapatkan akses atau informasi secara ilegal. Meskipun demikian, tim penguji harus berhati-hati agar proses eksploitasi tidak menyebarkan malware atau merusak sistem yang akan merugikan.
Pada tahap ini, pengujian dikhususkan untuk aplikasi web perusahaan. Seperti yang diketahui bahwa aplikasi web merupakan sasaran peretasan yang sangat empuk untuk para hacker. Maka dari itu, sangat penting untuk melakukan pengujian khusus aplikasi website agar dapat mengidentifikasi potensi kerentanan seperti Cross-Site Scripting, SQL Injection, dan sebagainya.
Pada tahap ini, pengujian akan dilakukan pada keseluruhan jaringan yang mencakup pengujian perangkat, router, firewall, dan sebagainya. Tahap ini juga sangat penting agar bisa mengidentifikasi celah keamanan pada jaringan yang dapat dimanfaatkan oleh hacker untuk masuk ke jaringan perusahaan.
Pada tahap ini, penguji sudah mendapatkan akses terbatas ke dalam sistem atau jaringan perusahaan. Selanjutnya, penguji akan berusaha untuk mendapatkan akses yang lebih tinggi untuk mengidentifikasi sejauh mana seorang hacker dapat meretas sistem atau jaringan tersebut. Semakin banyak akses yang didapatkan, maka semakin baik karena nantinya dapat dilakukan perbaikan pada celah tersebut.
Pada tahap ini, penguji akan melaporkan hasil dan evaluasi dari keseluruhan proses pentest. Bentuk pelaporan tersebut harus rinci dan jelas yang memuat keterangan tentang kerentanan yang ditemukan, potensi risiko, dan rekomendasi perbaikan. Laporan inilah yang akan membantu perusahaan dalam memperbaiki sistem/website sehingga dapat meningkatkan sistem keamanan.
Manfaat Pentest
Setelah mengetahui pengertian dan tahapan Penetration Testing (Pentest), seharusnya kita sudah mengetahui manfaat dari pentest itu sendiri. Berikut ini beberapa manfaat atau fungsi dari pentest.
- Mengidentifikasi celah keamanan pada sistem: Secara umum, pentest yang dilakukan akan menemukan celah keamanan pada sebuah sistem. Celah inilah yang biasanya dimanfaatkan oleh hacker untuk meretas sistem tersebut.
- Dapat meningkatkan keamanan sistem: Setelah celah keamanan berhasil ditemukan, maka tim internal perusahaan akan memperbaiki atau menutup celah tersebut. Sehingga hal tersebut dapat meningkatkan sistem keamanan yang ada.
- Mampu menilai tingkat keamanan sebuah sistem: Secara tidak langsung, hasil dari pentest akan menunjukkan kapasitas (menilai) tingkat keamanan sistem yang diuji. Penilaian tersebut bersifat tidak resmi atau bukan merupakan bagian dari proses pentest. Namun, dapat menjadi acuan untuk meningkatkan sistem keamanan yang ada.
- Mendorong standarisasi keamanan: Standarisasi keamanan akan dilakukan oleh perusahaan yang sistemnya berhasil diretas dalam pentest. Hal tersebut dapat menjadi motivasi perusahaan untuk meningkatkan keamanan yang memiliki standar, seperti contohnya PCI DSS, ISO 27001, dan sebagainya.
- Sebagai bahan latihan tim keamanan internal: Hasil dari pentest bisa dijadikan sebagai bahan latihan untuk tim keamanan internal perusahaan. Hasil tersebut akan membuat tim keamanan belajar bagaimana proses terjadinya serangan, hingga akhirnya membuat kemanan yang lebih baik.
Berkenalan dengan
Widya Security
Setelah mengetahui bagaimana proses, tahapan, dan manfaat dari Penetration Testing (Pentest), tentu para pemilik sistem akan memilih untuk melakukan Pentest agar sistem yang digunakan semakin aman. Masalahnya, orang yang ahli di bidang pentest masih sangat sedikit dan kebanyakan dari perusahaan atau pemilik sistem tidak memiliki staf dengan keahlian tersebut. Menjawab permasalahan itu, Widya Security hadir dengan berbagai layanan dan tim ahli di bidang Penetration Testing untuk meningkatkan sistem keamanan yang ada. Maka dari itu, mari berkenalan dengan Widya Security.
Widya Security adalah startup yang didirikan pada tanggal 3 November 2020 oleh Bapak Kiwi Aliwarga. Perusahaan ini memiliki layanan berupa solusi keamanan data dengan mengamankan 3 aspek sekaligus, yaitu people, process, dan technology. Sebab Widya Security sadar betul akan aliran data yang sangat luas dan banyak yang beredar di masyarakat. Sehingga sistem keamanan yang kuat sangat diperlukan untuk menjaga data yang beredar tersebut. Maka dari itu, kini sistem keamanan data menjadi faktor penting dalam kebutuhan teknologi saat ini.
Visi
Keamanan datamu adalah tugas kita.
Misi
Menjadikan bidang cyber security di Indonesia menjadi lebih baik.
Nilai Budaya Kerja Widya Security
SAFE
Secure
Memberikan keamanan dan menjamin kerahasiaan data.
Agile
Adaptif dan solutif dalam segala situasi dan kondisi.
Focus
Berorientasi terhadap kepuasan dalam menyelesaikan setiap pekerjaan.
Empowerment
Melakukan pemberdayaan untuk menciptakan pemimpin-pemimpin.
Layanan Widya Security
Vulnerability Assessment Penetration Testing
Web, Mobile Apps, WiFi
Cyber Security Academy
Cyber Security Training
Red Team, Blue Team, Non Technical
Cyber Security Consulting
Consultant, Advisory, Reviewer, Etc
Alasan Memilih Widya Security
Kesimpulan
Ada banyak cara yang dilakukan oleh hacker untuk meretas sebuah situs website, antara lain deface, SQL injection, back door, phising, dan Man In The Middle (MITM). Maka dari itu, diperlukan Penetration Testing untuk mengidentifikasi kerentanan pada website agar sistem keamanannya bisa ditingkatkan.
Penetration Testing (pentest) sangat penting dilakukan demi mengetahui kerentanan sebuah website. Jika kerentanan website sudah diketahui, maka kerentanan tersebut dapat diperbaiki agar tidak mudah diretas. Oleh karenanya, pentest sudah seharusnya dilakukan demi meningkatkan keamanan website.
Masalahnya, masih sedikit orang yang ahli di bidang penetest. Sehingga para pemilik sistem, baik perorangan maupun perusahaan harus mencari pihak ketiga yang bisa melakukan pentest dengan baik.
Di sinilah Widya Security hadir untuk memecahkan masalah tersebut. Sebab, Widya Security memiliki banyak keunggulan dalam melakukan pentest, antara lain keamanan data, kerahasaiaan data, tim yang profesional, dan memiliki sertifikat di bidang keamanan.
Maka dari itu, tunggu apa lagi? Ayo hubungi Widya Security untuk melakukan Penetration Testing pada websitemu!
Wiko Nurdian
FEEL SAFE WITH US
Sumber
- https://www.cloudeka.id/id/berita/web-sec/tahapan-penetration-testing/
- https://widyasecurity.com/2024/01/09/persiapkan-ini-sebelum-pentesting/
- https://csirt.jatengprov.go.id/jenis-jenis-penetration-testing/
