Test penetrasi (pentest) sesuatu yang menjadi trend bagi banyak perusahaan untuk memastikan keamanan sistem yang digunakan. Pentest memiliki peranan penting dalam strategi keamanan informasi. Namun, menurut pengalaman kami di XecureIT yang kerapkali melakukan pentest, sebenarnya masih banyak hal lain yang dapat dikerjakan dan jauh lebih bermanfaat. Sebelum memutuskan untuk melakukan pentest, pastikan terlebih dahulu dana yang amat terbatas digunakan untuk hal-hal yang memberikan manfaat terbesar dalam peningkatan keamanan informasi.

Pentest adalah simulasi serangan yang diijinkan secara tertulis oleh pemilik untuk membuktikan potensi kelemahan memang dapat diserang. Analoginya, anda menyewa “pencuri” untuk mencoba mencuri dirumah anda. Jika berhasil, “pencuri” melaporkan cara menembus, berikut kelemahan apa saja yang terdapat dalam sistem pengamanan rumah anda. Sehingga diijinkan secara tertulis merupakan kata-kata kunci, hal utama yang membedakan dari serangan (oleh penjahat) dan membebaskan pentester (sang “pencuri”, profesional keamanan informasi yang melakukan pentest) dari ancaman hukuman penjara.

Terdapat 3 tipe pentest, yaitu blackbox, greybox dan whitebox. Blackbox adalah pentest yang dilakukan oleh pentester yang tidak memiliki informasi apapun mengenai organisasi atau sistem yang akan di pentest. Greybox jika pentester memiliki sebagian informasi. Sedangkan whitebox jika pentester diberikan seluruh informasi yang dibutuhkan untuk melakukan pentest, seperti diagram jaringan, konfigurasi firewall, kebijakan dan prosedur keamanan, dan lain-lain.

Penilaian Kerentanan (Vulnerability Assessment / VA)

VA adalah analisa keamanan yang menyeluruh serta mendalam terhadap berbagai dokumen terkait keamanan informasi, hasil scanning jaringan, konfigurasi pada sistem, cara pengelolaan, kesadaran keamanan orang-orang yang terlibat dan keamanan fisik, untuk mengetahui seluruh potensi kelemahan kritis yang ada. VA bukan sekedar melakukan scanning dari jaringan menggunakan VA tool seperti yang ditawarkan beberapa perusahaan.

Hasil VA jauh berbeda dengan pentest blackbox dan greybox. Kedua jenis pentest ini tidak mampu memberikan hasil yang komprehensif karena tidak seluruh potensi kerentanan kritis akan teridentifikasi. Bahkan ditemukan dalam banyak kasus, hasil pentest blackbox melaporkan tidak adanya kelemahan kritis, namun saat dilakukan VA terdapat beberapa kelemahan kritis.

Mengapa hal tersebut bisa terjadi? Faktor penentu utamanya adalah waktu. Seorang penyerang profesional tidak akan melakukan serangan secara sembarangan. Sedangkan penyerang memiliki waktu yang cukup untuk mengumpulkan informasi selengkap-lengkapnya, menganalisa dan menyusun strategi serangan. Dalam pentest blackbox, pentester biasanya hanya diberi jatah 1 minggu, sehingga waktu merupakan suatu kemewahan. Dalam VA , informasi lengkap diberikan oleh pemilik sistem.

Saat pertama-kali dilakukan VA yang komprehensif bisa dipastikan akan ditemukan berbagai kerentanan kritis yang berpotensi merugikan perusahaan secara signifikan. Akan cukup banyak rekomendasi-rekomendasi yang diberikan untuk diimplementasikan.

Film Hollywood

Industri film Hollywood melakukan research mendalam untuk membuat sebuah film. Beberapa film yang berkaitan dengan keamanan memiliki tingkat kenyataan (bukan hanya bisa terjadi di film) hingga 80%. Sebagai contoh, film Die Hard 4, merupakan potongan-potongan insiden pembajakan sistem infrastruktur kritis (jaringan komunikasi, listrik, pengontrol lalu lintas) yang pernah terjadi di berbagai belahan dunia, yang kemudian dirangkai menjadi satu.

Karena selama beberapa tahun bertanggung-jawab terhadap implementasi keamanan infrastruktur kritis (jaringan produksi minyak dan gas) diberbagai negara dan beberapa-kali hadir dalam pertemuan tertutup di Eropa mengenai infrastruktur kritis, saya cukup paham apa dan bagaimana kondisi keamanan infrastruktur kritis. Sehingga bagi saya Die Hard 4 merupakan film “dokumenter”, hanya akibat yang digambarkan di film belum pernah terjadi, tapi tidak tertutup kemungkinan untuk bisa terwujud.

Dalam film Entrapment, sepasang pencuri profesional kelas kakap yang diperankan Sean Connery dan Catherine Zetta Jones melakukan pencurian lukisan-lukisan bernilai jutaan dollar yang dijaga oleh sistem pengaman ekstra tinggi. Di film sekonyong-konyong pencuri sudah tahu seluruh teknologi pengamanan yang dipakai dan kelemahannya, prosedur dan jadwal penjaga, hingga jalur pelarian rencana A dan rencana B. Tidak heran sebagian besar orang berpikir :”Ah, itukan di film, sehingga mereka bisa tahu.” Kenyataannya kejadian tersebut tidak hanya di film. Beberapa kasus pencurian yang berhasil menyerang sistem pengaman ekstra tinggi dan berhasil meraup harta bernilai ratusan juta dollar benar-benar terjadi.

Tahapan Pentest dan VA

Proses pentest (atau pencurian kelas kakap yang terjadi) secara umum dilakukan dalam 6 tahapan. Sedangkan VA hanya sampai ditahapan vulnerability mapping (lihat gambar.1). Akan sangat membosankan jika tahap discovery hingga vulnerability mapping difilmkan. 3 tahapan awal tersebut merupakan proses yang dilakukan sedikit demi sedikit dan terus berulang seperti bola salju hingga didapatkan gambaran kerentanan kritis secara keseluruhan sehingga menghabiskan waktu 60%-80% dari keseluruhan 6 tahapan.

Gambar 1 – Tahapan-Tahapan Test Penetrasi

Setelah 3 tahapan awal selesai, pentester sudah tahu secara pasti strategi serangan apa saja yang dapat dilakukan, akibat yang ditimbulkan dan persentase tingkat keberhasilan. Langkah berikutnya, eksploitasi, hanya merupakan pembuktian bahwa konsep strategi serangan dapat dilakukan (proof of concept, PoC).

Dalam film Die Hard 4, tokoh utama pelaku teror merupakan mantan kepala keamanan TI di Pentagon yang sudah melakukan VA, namun sakit hati karena rekomendasi-rekomendasi untuk meningkatkan keamanan tidak dihiraukan oleh para pejabat Pentagon. Sehingga salah satu motivasinya melakukan serangan adalah untuk membuktikan bahwa temuan-temuan kritisnya dapat dieksploitasi dengan relatif mudah dan berkibat fatal.

Kapan Pentest atau VA Sebaiknya Dilakukan?

Tergantung maksud dari dilakukannya pentest. Jika sebagai persyaratan dari regulator, misal: Bank Indonesia untuk e-banking, maka harus dilaksanakan. Jika agar program peningkatan keamanan informasi mendapatkan dukungan dari manajemen puncak, maka dapat dilaksanakan kapanpun. Jika ingin mengetahui sejauh mana pengamanan informasi yang ada, maka sebaiknya pastikan terlebih dahulu anda sudah memiliki strategi pengamanan yang menyeluruh dan diimplementasikan secara konsisten.

Sebagai perumpamaan, jika kendaraan anda dilengkapi alarm yang baik dan supir anda selalu mengunci kendaraan menggunakan alarm remote control, memarkir kendaraan ditempat yang terang dan dijaga oleh petugas keamanan yang selalu berada di tempatnya, maka biaya pentest yang dikeluarkan untuk mencoba mencuri kendaraan anda akan efektif. Sebaliknya, jika supir seringkali lupa mengunci pintu mobil ditempat yang tidak dijaga, anda tidak usah membuang anggaran untuk melakukan pentest.

Jadi kecuali ada tuntutan dari regulator atau untuk menjual program keamanan informasi kepada manajemen, jika anda belum memiliki kebijakan, prosedur keamanan informasi yang baik, siapapun bisa masuk kedalam kantor anda, pengguna masih bekerja dengan hak sebagai administrator di laptop atau PC, belum pernah melaksanakan program kesadaran keamanan informasi yang efisien, sebaiknya lakukan VA terlebih dahulu. Setelah rekomendasi-rekomendasi yang diberikan pada laporan VA sudah dilaksanakan, baru lakukan pentest blackbox dan whitebox. Itupun jika anda benar-benar merasa perlu.

Gildas Deograt Lumy
Senior Information Security Consultant di XecureIT
Koordinator Komunitas Keamanan Informasi (KKI)
Koordinator Information Security Professional Network (ISPN)

Majalah InfoKomputer, edisi April 2010