Setelah membahas apa itu test penetrasi (pentest), vulnerability assessment (VA), tahapan-tahapan yang dilakukan serta berbagai potensi bahaya pentest pada InfoKomputer April 2010 dan Mei 2010. Saya ingin mengungkapkan bahaya terbesar dari pentest pada artikel terakhir Ilusi Test Penetrasi ini, yaitu ilusi keamanan informasi.

Bahaya Rasa Aman

“Data kami aman karena perusahaan kami sudah di pentest. Didalam laporan disebutkan keamanan sistem aman.” kalimat yang seringkali diungkapkan oleh pengelola Teknologi Informasi (TI), Chief Information Officer (CIO), bahkan manajemen puncak organisasi yang telah mengeluarkan uang untuk proyek test penetrasi. Itulah “indah”nya jebakan “Batman” (baca: bad-man). Pentest memberi rasa aman. Bahkan pemerintah sebagai pembuat kebijakan, seperti Bank Indonesia, juga kerapkali terkena jebakan “Batman” tersebut.

Bill Mason, seorang pencuri perhiasan senilai USD 35 juta mengungkapkan dalam bukunya berjudul “Confessions of a Master Jewel Thief” bahwa tidak ada hal yang paling menguntungkan pencuri selain rasa aman.. Dia mencuri perhiasan-perhiasan milik konglomerat, artis, dan mafia yang secara kasat mata mendapat perlindungan luar biasa.

Selama saya tinggal di Perancis selama beberapa tahun, banyak orang-orang Indonesia menjadi korban pencopet. Bahkan salah seorang rekan saya yang menjadi korban berkata:”Luar biasa, 30 tahun saya tinggal di Jakarta, Medan dan Surabaya, naik angkutan umum berjejal, membawa uang dalam jumlah besar, tidak pernah dicopet. Di Paris belum sampai 24 jam sudah kehilangan beberapa ribu euro, paspor dan tiket pesawat. Tadinya saya rasa Paris aman.”. Rasa aman membuat orang lengah.

Salah Persepsi

Apa yang seharusnya dilindungi? Sistem TI atau Informasi? Menurut pendapat saya, yang seharusnya dilindungi adalah informasi. Memastikan keamanan Teknologi Informasi hanya salah satu cara untuk melindungi informasi. “Beti, beda tipis.” begitu kata anak saya. Tidak mengherankan sebagian orang bingung dan kerapkali menimbulkan perdebatan karena nyaris tidak ada informasi yang tidak diproses menggunakan TI. Namun karena “beti” tersebut strategi keamanan informasi menjadi salah persepsi.

Salah persepsi diatas menguntungkan musuh / penjahat seperti Bill Mason untuk melakukan aksinya di hotel yang ditempati artis, di apartemen super mewah yang ditempati konglomerat dengan pengamanan tingkat tinggi. Bagi pengelola hotel dan apartemen, yang (paling mudah) diamankan adalah hotel dan apartemennya. Sedangkan bagi penghuni yang terpenting adalah keamanan diri dan keluarganya, serta harta bendanya, termasuk berlian yang menjadi target Bill Mason. Namun salah persepsi antara kedua pihak mengenai obyek yang dilindungi memberi rasa aman bagi penghuni sehingga salah melakukan manajemen risiko.

Salah persepsi seperti contoh diatas terjadi juga pada hampir seluruh strategi keamanan informasi. Dibanyak organisasi, tim keamanan informasi berada dibawah bagian TI, bahkan namanya-pun tim Keamanan TI. Maka menjadi sesuatu yang “wajar” jika yang menjadi fokus perlindungan oleh tim tersebut adalah Teknologi Informasinya, bukan Informasinya. “Wajar” jika sistem TI perbankan dijamin aman, namun uang nasabah tidak dijamin keamanannya.

Misterius Pentester

Dalam sebuah perbincangan dengan rekan-rekan profesional keamanan informasi, seorang rekan mengungkapkan bahwa ada sebuah institusi keuangan yang pentestnya dilakukan oleh seorang hacker. Demi menjaga kerahasiaan namanya, sang hacker tidak ingin namanya dicantumkan dalam kontrak dan diganti dengan inisial N.N. (no name). Sontak alarm dikepala saya berbunyi. Terlebih lagi saat diceritakan bahwa hacker tersebut berasal dari salah satu negara Eropa Timur yang cukup terkenal dengan kegiatan cyber crime-nya. Bagaimana kalau ada backdoor yang disisakan? Bagaimana kalau seandainya terdapat 10 kelemahan, namun tidak semuanya dilaporkan? Dalam hati saya berteriak: “Edan!”.

Sang hacker terbukti seorang profesional. Dia berhasil menciptakan sensasi seru dalam diri manajemen, auditor dan profesional keamanan informasi disebuah institusi keuangan, sehingga ada proyek pentest yang sensitif dilakukan oleh seseorang bernama N.N.

Lho, kenapa profesional? Amateur hacks the system, professional hacks the people. Bahayanya, sensasi seru karena pentest dilakukan oleh seorang misterius (yang mengaku) hacker menciptakan rasa aman yang lebih kuat.

Pemeriksaan Latar Belakang yang Diabaikan

Kondisi tersebut berbeda dengan negara-negara maju yang amat memperhatikan latar belakang seseorang (dan perusahaan). Pemerintah Amerika Serikat mengenal istilah Security Clearance yang diberikan kepada seseorang setelah dilakukan proses background checking. Ketika saya bertanggung-jawab mengelola beberapa proyek sensitif di Perancis, proses tersebut juga dilakukan. Disana terdapat Direction Generale de Securite System d’Informatique (DCSSI), sebuah lembaga pemerintah yang mirip National Security Agency (NSA) di Amerika Serikat. Lembaga tersebut dapat dimintai pendapat mengenai latar belakang perusahaan atau seseorang yang akan terlibat di proyek-proyek yang memiliki klasifikasi keamanan informasi tertentu.

Threat Agent

Pentest yang mensimulasikan serangan akan sulit dipastikan validitasnya jika jenis musuh yang menjadi sumber ancaman (threat agent ) tidak didefinisikan dengan baik. Sebagai contoh: kemampuan menyerang seorang script kiddies, (sekelompok) profesional pentester, sebuah perusahaan raksasa yang menjadi kompetitor atau bahkan sebuah negara, berbeda satu dengan yang lain. Terutama dari sisi pengetahuan, pengalaman, tehnik, fasilitas, alat bantu, dan keuangan.

Namun dengan pengetahuan dan pengalaman yang terbatas, saya belum pernah mengetahui hingga saat ini ada proyek pentest yang mendefinisikan sumber ancaman secara jelas. Bukan sekedar ditulis: Sumber ancaman dari dalam maupun dari luar perusahaan.

Diatas Langit Masih Ada Langit

Menurut saya sangat sulit membuat ukuran kompetensi seorang pentester. Beberapa sertifikasi pentester menitik beratkan kemampuan menggunakan hacking tools, sesuatu yang penting dalam kegiatan penetest. Namun, hacking lebih dari sekedar kemampuan menggunakan tools yang dapat dipelajari dengan mudah lewat google. Hacking memerlukan pemahaman cara kerja mendalam akan sesuatu yang akan dibongkar, kemampuan melihat sesuatu secara menyeluruh, cara pikir yang selalu berpikir diluar dari yang seharusnya (think out of the box). Hacking memerlukan pola pikir seperti iblis: menganalisa secara kritis untuk menemukan kelemahan yang ada dan menciptakan strategi serangan yang “mematikan”.

Hal diatas menyebabkan hasil pentest bisa menjadi amat berbeda jika dilakukan oleh pentester yang berbeda. Sebagai contoh, siapakah saya (dan tim pentester XecureIT) yang berani menyatakan bahwa sebuah sistem yang tidak berhasil ditembus oleh kami berarti aman? Apa yang menjadikan kami berhak mengklaim, (seolah-olah) tidak ada pihak lain yang lebih hebat dalam hal sumber daya manusia dan keuangan untuk membuat atau membeli tools? Apakah kita lupa akan pepatah “Diatas langit masih ada langit.”?

Bertahan jauh lebih sulit daripada menyerang. Pengetahuan pentester akan keamanan informasi menjadi faktor penting saat membuat rekomendasi perbaikan. Pada rekan-rekan yang berminat menggeluti dunia hacking, saya seringkali menggunakan analogi montir. Montir dikatakan hebat jika bisa menjaga sebuah mobil tetap mulus & kinerja mesinnya baik. Bukan sebaliknya, mencuri atau merusak.

Faktor Manusia yang Diabaikan

Kesalahan utama dan cukup sering terjadi yang menjadikan hasil pentest menjadi semakin menyesatkan yaitu ruang lingkup pekerjaan proyek pentest yang tidak memasukan aspek manusia. Jika 80% (bahkan lebih) masalah keamanan disebabkan oleh manusia, bagaimana mungkin hasil pentest bisa valid jika yang dievaluasi hanya 20% sisanya? Jangan heran jika Bank Indonesia yang mensyaratkan dilakukan pentest pada sistem perbankan menjadi tersesat oleh laporan pentest yang hasilnya “aman” (baca juga tulisan saya di InfoKomputer, Edisi Maret 2010, “Ilusi Keamanan Teknologi Informasi Perbankan”).

Saat berbicara mengenai keamanan informasi tidak mungkin hanya membatasi diri pada teknologi. Terlalu mudah melakukan pengamanan sistem jika hanya mengacu pada OSI Layers (Open Systems Interconnection) yang terdiri dari 7 lapisan teknologi mulai dari lapisan fisik hingga lapisan aplikasi. Keamanan informasi dalam kehidupan nyata, suka ataupun tidak suka, harus menambahkan 3 lapisan lagi setelah lapisan aplikasi, yaitu orang, uang dan politik (dalam arti luas). Sehingga “7 IT Security Layers” menjadi “10 Information Security Layers”.

Keterbatasan Waktu Proyek Pentest

Pertanyaan yang selalu muncul adalah: “Berapa lama proyek pentest dilakukan?” Jawaban yang benar jika hasil pentest ingin valid adalah: Tergantung attack skenarionya. Pada kenyataannya, proyek pentest rata-rata dilakukan antara 2-4 minggu. Itupun termasuk pembuatan laporan. Sehingga waktu merupakan sebuah kemewahan yang nyaris tidak dimiliki oleh pentester.

Bill Mason dalam menjalankan aksinya mencuri perhiasan dan uang tunai jutaan dollar memiliki kemewahan tersebut diatas. Dia melakukan tahap vulnerability assessment selama beberapa minggu atau bahkan ada yang beberapa bulan. Hingga dia yakin bisa menentukan alat bantu, cara dan waktu beraksi yang tepat, hingga rencana kabur A dan B jika diketahui.

Masihkah Pentest Diperlukan?

Dengan berbagai mismacth faktor yang ada, masihkah pentest diperlukan? Masih! Bukan karena XecureIT khawatir kehilangan salah satu sumber pendapatan. Melainkan pentest tetap memiliki posisi penting dalam memastikan efektifitas strategi keamanan informasi yang dimiliki. Namun harus benar-benar dipahami bahwa pentest adalah sebuah alat yang memiliki kelebihan, kekurangan dan menimbulkan risiko berbeda-beda bagi penggunanya. Dan yang terpenting adalah jangan sampai pemerintah, pemegang saham, dewan direksi, pengelola TI dan penanggung-jawab keamanan informasi terilusi dengan suatu alat yang bernama test penetrasi yang semakin banyak ditawarkan.

Gildas Deograt Lumy
Senior Information Security Consultant di XecureIT
Koordinator Komunitas Keamanan Informasi (KKI)
Koordinator Information Security Professional Network (ISPN)

Majalah InfoKomputer, edisi Juni 2010