Pada artikel Ilusi Test Penetrasi (Bagian-I), InfoKomputer April 2010, saya memaparkan apa yang dimaksud dengan pentest, Vulnerability Assessment (VA), tahapan-tahapan yang dilakukan dan kapan sebaiknya melakukan pentest atau VA. Pada artikel Ilusi Test Penetrasi (Bagian-II) ini, saya ingin mengungkapkan potensi bahaya pentest.

Pentest Bersifat Intrusif

Ada beberapa hal yang menjadikan pentest cenderung berbahaya. Yang harus disadari oleh pemilik sistem adalah pentest bersifat intrusif dan masing-masing konfigurasi sistem bisa saja memiliki reaksi yang berbeda saat diserang. Terdapat 3 kemungkinan saat serangan dilakukan, yaitu:
1.Sistem tidak berhasil diserang. Hal ini yang diinginkan oleh pemilik sistem, sehingga sistem dinyatakan “aman” oleh pentester.
2.Sistem berhasil diambil alih atau dapat dilakukan proses yang seharusnya tidak boleh dilakukan. Inilah yang menjadi tujuan pentester.
3.Sistem menjadi tidak berfungsi atau kinerja sistem menjadi tidak stabil. Kemungkinan ini yang tidak diinginkan oleh kedua pihak. Kondisi yang ditakutkan oleh administrator sistem. Kondisi yang jika terjadi pada sistem produksi yang menghasilkan uang atau diakses oleh publik, maka berpotensi menimbulkan kerugian keuangan maupun kerusakan citra organisasi pemilik sistem.

Untuk menghindari risiko, beberapa pelanggan XecureIT meminta agar pentest dilakukan pada sistem non-produksi. Pengalaman kami membuktikan nyaris tidak mungkin bagi pemilik sistem maupun administrator untuk menduplikasi kondisi keamanan pada sistem produksi (operasional). Beberapa faktor yang membedakan diantaranya kondisi keamanan fisik, arsitektur jaringan, konfigurasi sistem operasi, driver, aplikasi-aplikasi, patch dan tingkat kesadaran orang-orang yang berhubungan dengan sistem tersebut. Melakukan pentest pada sistem non-produksi menimbulkan risiko hasil pentest kemungkinan menjadi tidak valid. Tidak mencerminkan kondisi yang sesunguhnya.

Backdoor adalah backdoor

Saat berhasil menembus sistem pengaman, biasanya pentester akan memasang backdoor agar tidak mengulangi serangan yang belum tentu memiliki kesuksesan yang sama. Terdapat kemungkinan backdoor yang dipasang memiliki kelemahan yang dapat dimanfaatkan pihak lain. Kelemahan yang mungkin saja tetap ada setelah pentest selesai dilakukan. Walaupun pentester sudah memberitahukan administrator sistem agar dilakukan pembersihan, bisa saja sebagian fungsi backdoor tanpa sengaja masih tertinggal.

Knowledge is Power

Pentest harus dilakukan oleh pentester yang dapat dipercaya karena seusai melakukan tugasnya, pentester tersebut memiliki pengetahuan menyeluruh akan berbagai kelemahan keamanan pada kebijakan, prosedur. sistem, bahkan budaya kerja karyawan dan manajemen yang tidak aman. Pengetahuan menyeluruh akan berbagai ketidak-amanan tersebut seringkali tidak dimiliki bahkan oleh karyawan, manajemen dan pemilik perusahaan tersebut. Pengetahuan yang “berbahaya” terutama hingga rekomendasi-rekomendasi perbaikan keamanan diimplementasikan. Pengetahuan tersebut dapat digunakan untuk melumpuhkan atau paling tidak mengganggu bisnis sebuah sebuah perusahaan atau organisasi.

Bahkan menurut pengalaman kami di XecureIT, umumnya perusahaan-perusahaan yang bergerak dalam industri yang sama menggunakan solusi dan prosedur atau mekanisme yang nyaris sama. Sebagai contoh, token (alat yang mirip kalkulator) digunakan pada Internet Banking sebuah bank juga digunakan oleh beberapa bank; solusi e-Banking yang digunakan sebuah bank juga digunakan beberapa bank lainnya. Contoh lain, solusi perdangan saham online digunakan oleh beberapa perusahaan sekuritas. Sehingga pentester yang selesai melakukan pentest pada sebuah perusahaan, memiliki pengetahuan akan kelemahan-kelemahan sistem yang kemungkinan besar juga terdapat pada perusahaan-perusahaan lain yang bergerak dibidang industri sejenis.

Mendapatkan Pentester yang Dipercaya

Dibanding bidang pekerjaan Teknologi Informasi lainnya, tidak banyak orang yang memahami konsep strategi keamanan secara mendalam dan menyeluruh, lebih sedikit lagi profesional TI yang memiliki kemampuan memadai dibidang hacking (bukan hanya sekedar menggunakan hacking tools). Namun yang menjadi tantangan terbesar adalah merekrut orang yang dapat dipercaya. Sehingga saya memerlukan pengamatan lebih dari setahun sebelum melibatkan seseorang dalam tim pentest XecureIT. Hanya untuk memastikan orang tersebut dapat dipercaya. Belum termasuk waktu yang dibutuhkan untuk membangun kompetensi dibidang keamanan dan membentuk hacker’s mindset. Risikonya? Jumlah SDM tim pentest menjadi amat terbatas, sehingga beberapa kali terpaksa menolak secara halus tawaran pentest dan kehilangan potensi bisnis yang ada.

Pertanyaan berikutnya, dapat dipercaya dalam kondisi apa dan hingga kapan? Jika saya dan tim XecureIT saat ini dapat dipercaya, apa yang menjamin bahwa kami dapat dipercaya seterusnya? Bagaimana jika seorang pentester (atau orang terdekatnya) berada dalam posisi terancam, atau berhasil dipengaruhi dan direkrut oleh lawan usaha, sedangkan temuan kritis yang dilaporkan pentester tersebut belum sempat diperbaiki? Disisi lain, umumnya kelemahan yang terdapat pada infratruktur yang kompleks memerlukan waktu 3-12 bulan untuk perbaikan. Itupun jika kondisi keuangan perusahaan memungkinkan dan manajemen puncak mendukung sepenuhnya. Tidak ada jawaban pasti untuk pertanyaan-pertanyaan tersebut. Seperti kata pepatah, dalam laut dapat diduga, dalam hati siapa tahu. Sehingga risiko tersebut patut dipahami sepenuhnya oleh pemilik perusahaan, manajemen TI dan penanggung-jawab keamanan informasi.

Manajemen Risiko yang Menyeluruh

Haruskah kita menjadi paranoid? Tidak percaya pada siapapun? Tidak. Bisnis, sama seperti kehidupan, selalu memiliki risiko. Kuncinya adalah dipengelolaan risiko yang efektif. Efektif dalam arti tidak hanya senantiasa melakukan kontrol dan verifikasi dari sisi teknologi, melainkan juga mempertimbangkan faktor manusia sebagai pembawa risiko terbesar. Sehingga di dunia keamanan informasi dikenal berbagai jargon antara lain trust but verify dan trust is good, but control is better.

Siapa saja yang bisa menimbulkan ancaman? Tergantung pada berbagai kondisi, pada hakekatnya siapapun bisa menimbulkan ancaman. Sudah banyak kasus keamanan informasi yang melibatkan manajemen puncak perusahaan, manajemen TI, tim TI, atau bahkan tim keamanan TI. Sehingga amat disayangkan hingga saat ini banyak perusahaan yang cenderung mengabaikan faktor manusia saat melakukan analisa risiko keamanan informasi.

Gildas Deograt Lumy
Senior Information Security Consultant di XecureIT
Koordinator Komunitas Keamanan Informasi (KKI)
Koordinator Information Security Professional Network (ISPN)

Majalah InfoKomputer, edisi Mei 2010