Searching...
November 18, 2011
Friday, November 18, 2011

Mengapa Penetration Test?

Banyak orang beranggapan bahwa exploitasi system hanya bisa dilakukan dengan bantuan metasploit. Namun hal itu salah. Pada kesempatan kali ini, saya akan berbagi ilmu penetrasi test tingkat tinggi, yang hanya diajarkan kepada murid-murid yang mengikuti kursus DEFCON dan OFFSEC.


Saya mencoba mencari kesana kesini mengenai kursus hal serupa di indonesia, namun hasilnya nihil. Banyak alasan yang mulai muncul:

  1. Indonesia pemuja internet untuk kebutuhan eksistensi mereka, sayangnya itu tanpa perhatian khusus di sisi security.
  2. Faktanya, masih banyak server kantor yang menggunakan password abcd1234 sebagai password administrator. Dan konyolnya, password ini ditulis di secarik kertas, dan tergeletak di atas meja kerja. Astaga!!!!
  3. Bidang komputerisasi di indonesia berfokus pada pemrograman, sayangnya mereka tidak mendapat bimbingan yang cukup dalam bidang assembling.
  4. Dengan modal antivirus dan firewall, user komputer di indonesia mengklaim bahwa komputernya invulnerable terhadap serangan virus. [Mungkin kebal virus, namun tidak ada yang mampu mencegah shell code yang akan kita buat nanti]
  5. Indonesia adalah PENGGUNA, bukan PERAWAT. Mereka lebih suka menggunakan ketimbang merawat. Ini yang menyebabkan tidak adanya bimbingan penetration test pada perguruan tinggi di bidang komputerisasi.

Alasan di atas mungkin bertambah (jika anda punya dugaan lain). Dan saya harap berkurang (karena pemerintah mengubah pola pikir dan pandangnya terhadap komputer).

Kembali lagi kepada shell code.

Saat ini, sudah ada 4 target yang saya buat dalam penulisan shellcode. Berawal dari LV-1 hingga LV-4. Shellcode ini ditulis menggunakan bahasa pemrograman. Dan perlu diingat, ini bukan tutorial hacking, ini adalah tutorial penetration test. Jadi tidak ada yang dirugikan dalam tutorial kali ini (sampai seseorang menggunakannya untuk menyerang system).

Penetration test adalah sebuah percobaan yang dilakukan seseorang untuk mengambil alih system dengan tujuan memperbaiki celah kemanan. Lalu apa bedanya dengan hacking? Hacking sama dengan penetration testing, yang membedakan hanya tujuannya. Hacking tidak memilii tujuan seperti penetration testing.

Mengapa penetration testing?

Beberapa orang menganggap bahwa hacking itu keren. Yaaaa, setidaknya anggapan itu bertahan sampai karma menimpanya. Hacker dan penetration tester memiliki hobby yang sama, yaitu mencoba mengambil alih system. Jadi bagaimana jika anda (yang hacker tentunya), mencoba mengubah pola pikir anda menjadi seperti ini:
"Saya akan gunakan hobby saya untuk mendatangkan uang untuk saya dan keuntungan untuk orang lain".
Perlu diketahui, honor seorang penetration tester berkisar antara  $110,000 – $139,999
Alamaaaaaak. Jika dirupiahkan itu setara dengan Rp 1.003.750.000 (satu milyar) hingga  Rp 1.277.490.875 (1,2 milyar)!!!!

Apa yang dibutuhkan untuk menjadi pentester?

Untuk mendapat gaji di atas tidak mudah. Anda harus belajar bahasa assembling, pemrograman (virus), jaringan (cracking perimeter), exploitation, hingga tracing attacker. Semua itu TIDAK ADA DI INDONESIA. Lalu bagaimana? Ikutilah beberapa seminar dan kursus ethical hacker international seperti DEFCON, DERBYCON, dan OFFSEC
Harga training memang tidak mudah. Berkisar antara 10 juta hingga  ratusan juta. Mahal ya? Tapi bisa balik modal dengan cepat tuh kalo bisa jadi pentester. Di indonesia memang belum ada yang membutuhkan pentester, jadi kenapa ngga kerja di negeri orang lain aja? Toh, ini buat kebaikan masa depan kalian, dan membanggakan keluarga besar kalian juga.
=)

Pengetahuan yang harus dimiliki dalam mengikuti tutorial pentesting LV 1 - 4:

  1. TCP/IP Networking
  2. Mampu menggunakan OS Windows dengan baik seperti installasi, menjalankan service, merestart services, dan lain-lain.
  3. Mampu menggunakan OS Bakc|Track sebagai OS penetration test.
  4. Memahami bahasa pemrograman Python
  5. Memahami celah bug pada program
  6. Dapat menggunakan OllyDbg

Apa saja yang harus dimiliki dalam pelajaran penetration test LV 1- 4?

Untuk attacker
  1. Perl interpreter
  2. Python interpreter
  3. Metasploit 3.x
  4. Text Editor
  5. Netcat
  6. VM Ware
  7. Windows XP SP2 yang dapat di-run melalui VM-Ware
Untuk Windows
  1. OllyDbg 1.10 dapat di download di sini
Sekian intermezo dari kami.

Team pentester:

red-dragon

Blue Dragon

3 comment:

Post a Comment

 
Back to top!