Tutorial Pentesting Fundamentals THM Indonesia. Memahami etika dan metodologi di balik setiap pengujian penetrasi sangat penting. Ini dilakukan untuk memastikan bahwa asesmen keamanan dilakukan secara legal, profesional, dan efektif. Prinsip etika menetapkan batasan dalam pentesting, memastikan bahwa pengujian dilakukan dengan menghormati privasi, dan mematuhi regulasi. Terdapat regulasi industri seperti GDPR, HIPAA, dan PCI-DSS.
Sementara itu, metodologi memberikan pendekatan terstruktur dalam pentesting, mencakup tahapan utama seperti reconnaissance, scanning, exploitation, post-exploitation, dan reporting. Mengikuti kerangka kerja yang sudah teruji, seperti MITRE ATT&CK, NIST SP 800-115, atau PTES. Membantu memastikan konsistensi dan keandalan dalam mengidentifikasi kerentanan. Dengan mematuhi standar etika dan metodologi yang terbukti, pentester tidak hanya memperkuat pertahanan keamanan siber tetapi juga membangun kepercayaan dengan klien dan pemangku kepentingan.
Task Pentesting Fundamentals
Dalam room ini, kita mempelajari etika dan metodologi penting di balik setiap pentest. Menjelaskan tentang dasar dari pentesting. Jangan lupa juga lihat artikel sebelum, yakni Fase Uji Penetrasi (Peneration Testing Phase). Terdiri dari 5 (lima) task. Selanjutnya akan kita kupas mengenai masing-masing task.
Task 1: What is Penetration Testing?
Sebelum mempelajari aspek teknis dari ethical hacking, penting untuk memahami tanggung jawab seorang penetration tester. Serta proses yang digunakan dalam pengujian penetrasi (pentest). Seorang pentester bertugas mengidentifikasi kelemahan dalam aplikasi atau sistem klien untuk membantu meningkatkan keamanannya.
Pentingnya Cybersecurity dalam Kehidupan Modern
Keamanan siber menjadi semakin relevan dalam kehidupan sehari-hari. Serangan siber seperti hacking dan kebocoran data sering menjadi berita utama, menunjukkan betapa pentingnya melindungi data dan sistem. Cybersecurity bukan hanya penting bagi perusahaan, tetapi juga individu. Misalnya dalam menerapkan kebijakan kata sandi yang kuat untuk melindungi akun pribadi.
Apa Itu Penetration Testing?
Penetration testing, atau pentest, adalah upaya yang dilakukan secara etis untuk menguji dan menganalisis pertahanan keamanan suatu sistem. Pentest menggunakan teknik, alat, dan metode yang sama dengan yang digunakan oleh peretas jahat (black hat hacker). Tetapi dengan tujuan untuk memperbaiki kelemahan, bukan mengeksploitasinya. Pentest sering disamakan dengan audit keamanan, karena bertujuan untuk mengevaluasi seberapa kuat perlindungan suatu sistem.
Tidak perlu menjawab soal, cukup klik kolom bahwa sudah membaca penjelasan.
Task 2: Penetration Testing Ethics
Legalitas dan etika dalam cybersecurity, terutama dalam penetration testing, sering kali menjadi perdebatan. Istilah “hacking” dan “hacker” sering dikaitkan dengan konotasi negatif akibat tindakan segelintir pelaku kejahatan siber. Namun, penetration testing sendiri adalah audit keamanan sistem yang telah diizinkan oleh pemiliknya.
Sebelum pengujian dilakukan, pentester dan pemilik sistem menyepakati ruang lingkup pengujian, alat yang digunakan, serta batasan yang harus dipatuhi. Perusahaan yang menyediakan layanan pentesting juga harus mengikuti standar hukum dan akreditasi industri. Seperti skema CHECK dari National Cyber Security Centre (NCSC) di Inggris. Ini memastikan bahwa hanya perusahaan terakreditasi yang dapat menguji sistem sektor publik secara sah.
Dari perspektif etika, suatu tindakan bisa legal tetapi tetap dipertanyakan secara moral. Pentester mungkin dihadapkan pada dilema, seperti mengakses data sensitif dalam database. Ada pula dilema untuk melakukan serangan phishing terhadap karyawan untuk menguji keamanan organisasi. Dalam dunia hacking, etika dan motivasi seseorang menentukan kategorinya. Kategori dibagi sebagai White Hat, Grey Hat, dan Black Hat. White Hat adalah hacker etis yang bekerja dalam hukum. Grey Hat adalah kadang membantu tetapi tidak selalu mengikuti hukum). Sedangkan Black Hat adalah hacker jahat yang mencari keuntungan ilegal).
Untuk memastikan pentesting dilakukan secara bertanggung jawab, dibuat dokumen Rules of Engagement (ROE). ROE yang mencakup izin eksplisit, ruang lingkup pengujian, serta teknik yang diperbolehkan atau dilarang. Ini guna menjaga transparansi dan kepatuhan selama proses pengujian.
You are given permission to perform a security audit on an organisation; what type of hacker would you be? White Hat
You attack an organisation and steal their data, what type of hacker would you be? Black Hat
What document defines how a penetration testing engagement should be carried out? Rules of Engagement
Task 3: Penetration Testing Methodologies
Setiap penetration test memiliki tujuan dan target yang berbeda, sehingga tidak ada metode yang bisa diterapkan untuk semua kasus. Oleh karena itu, seorang pentester harus menggunakan metodologi yang sesuai dengan jenis sistem yang diuji. Secara umum, metodologi pentesting terdiri dari beberapa tahap utama: Information Gathering (pengumpulan informasi terbuka), Enumeration/Scanning (pencarian aplikasi dan layanan yang berjalan), Exploitation (pemanfaatan celah keamanan), Privilege Escalation (meningkatkan hak akses), dan Post-exploitation (mengeksplorasi sistem lebih lanjut dan menyusun laporan). Beberapa framework yang digunakan dalam industri mencakup OSSTMM untuk pengujian keamanan sistem dan komunikasi, OWASP untuk keamanan aplikasi web, serta NIST Cybersecurity Framework yang lebih luas dan digunakan untuk menetapkan standar keamanan organisasi.
Framework lain seperti NCSC Cyber Assessment Framework (CAF) digunakan untuk menilai risiko keamanan siber dalam sektor-sektor kritis seperti infrastruktur dan perbankan. Masing-masing framework memiliki keunggulan dan kekurangan; misalnya, OWASP mudah dipahami dan diperbarui secara berkala, tetapi tidak memiliki akreditasi resmi, sementara NIST memberikan standar keamanan yang rinci namun kurang kuat dalam audit pelanggaran. Dengan memahami berbagai metodologi dan framework ini, seorang pentester dapat menyesuaikan pendekatan mereka untuk memberikan hasil pengujian yang lebih akurat dan bermanfaat bagi organisasi yang diuji.
What stage of penetration testing involves using publicly available information? Information Gathering
If you wanted to use a framework for pentesting telecommunications, what framework would you use? OSSTMM
What framework focuses on the testing of web applications? OWASP
Task 4: Black box, White box, dan Grey box
Dalam pengujian keamanan aplikasi atau layanan, terdapat tiga cakupan utama: Black-Box, Grey-Box, dan White-Box Testing. Black-Box Testing dilakukan tanpa informasi tentang struktur internal aplikasi, sehingga pentester bertindak seperti pengguna biasa dan mengandalkan eksplorasi untuk menemukan kelemahan. Metode ini membutuhkan waktu lebih lama dalam tahap pengumpulan informasi dan enumerasi untuk memahami permukaan serangan.
Grey-Box Testing menggabungkan pendekatan Black-Box dan White-Box, di mana pentester memiliki pengetahuan terbatas tentang sistem, sehingga dapat lebih efisien dalam menemukan celah keamanan tanpa memerlukan eksplorasi penuh. Sementara itu, White-Box Testing memberikan akses penuh terhadap kode sumber dan struktur internal aplikasi, memungkinkan pengujian yang lebih mendalam dan menyeluruh. Meskipun lebih akurat, metode ini memerlukan lebih banyak waktu dan keahlian teknis dalam pengembangan perangkat lunak.
You are asked to test an application but are not given access to its source code – what testing process is this? Black Box
You are asked to test a website, and you are given access to the source code – what testing process is this? White Box
Task 5: Practical: ACME Penetration Test
ACME meminta Anda melakukan tahapan pentesting pada infrastruktur mereka. Kunjungi situs yang disediakan, ikuti instruksi, dan selesaikan pengujian sesuai panduan. Jawab pertanyaan yang diberikan setelahnya.
Complete the penetration test engagement against ACME’s infrastructure. THM{PENTEST_COMPLETE}
Happy learning!
