Apa Itu Pentest (Penetration Test)? (Part 1)
Pentest (penetration test) merupakan upaya untuk menemukan kelemahan suatu sistem keamanan jaringan melalui simulasi cyber attack.



Pentest (penetration test) adalah upaya untuk mengevaluasi dan menganalisis keamanan dari produk-produk teknologi yang tersambung dalam satu sistem dan/atau jaringan melalui simulasi cyber attack. Karena memang termasuk salah satu upaya meretas, pentest (penetration testing) juga kerap disebut dengan ethical hacking. Jadi, mari kita singkirkan sejenak pikiran yang mengaitkan pentest (penetration test) dengan tespen atau test pack, karena sama sekali tidak ada hubungannya, kisanak.

Sebagai bagian dari komunitas teknologi di Indonesia, startup Jogja, Qatros Teknologi Nusantara berpendapat bahwa keamanan dari produk-produk teknologi yang terintegrasi pada sistem dan/atau jaringan merupakan aspek yang sangat penting untuk diperhatikan. Terlebih kini produk-produk teknologi tersebut sudah banyak memuat data-data berharga, atau bahkan telah menjadi bagian vital dari suatu sistem operasional bisnis.

Pentest (penetration test) adalah langkah preventif yang tak terbantahkan untuk menjaga aset-aset digital. Oleh karena itu, perusahaan-perusahaan besar tidak ragu untuk menginvestasikan dana besar aset-aset teknologi yang terkait agar tetap aman. Bahkan mereka melakukan pentest secara berkala.

Jenis Pentest (Penetration Test) Berdasarkan Objek

Setidaknya ada 6 jenis pentest (penetration test) jika dilihat berdasarkan objeknya. Masing-masing objek membutuhkan treatment yang berbeda. Kita perlu untuk menyesuaikan objek dengan pengetahuan, metode, dan tool yang akan kita gunakan dalam proses pentest (penetration test). Mari kita bahas satu persatu, kisanak.

1. Network service Pentest

Objek yang diuji dalam network service pentest (penetration test) tidak lain adalah infrastruktur jaringan. Tujuan utama dari pentest jenis ini tidak lain untuk mengidentifikasi kelemahan pada objek-objek network service seperti server, firewall, switch, router, printer, workstation, dan lain-lain.

Mengapa perlu melakukan network service pentest?

Network service pentest (penetration test) harus dilakukan agar menghindarkan bisnis dari serangan cyber di network service seperti:

a) Firewall Misconfiguration and Firewall Bypass b) IPS/IDS Evasion Attacks
c) Router Attacks
d) DNS Level Attacks:         i)  Zone Transfer Attacks         ii) Switching or Routing Based Attacks e) SSH Attacks f) Proxy Server Attacks g) Unnecessary Open Ports Attacks h) Database Attacks i) Man In The Middle (MITM) Attacks
j)  FTP/SMTP Based Attacks  

Network service pentest (penetration testing) mencakup banyak elemen dalam sistem operasional bisnis. Network service kehadirannya cukup vital untuk operasional bisnis. Maka dari itu biasanya upaya pentest (penetration testing) kerap dilakukan rutin setidaknya tiap tahun, baik untuk jaringan internal maupun eksternal.

2. Web Application Pentest

Web application pentest (penetration testing) digunakan untuk menemukan kerentanan dan kelemahan keamanan pada aplikasi berbasis web. Pentest (penetration test) ini menggunakan beberapa teknik dan ‘serangan’ yang tujuannya untuk menembus keamanan suatu web application.

Beberapa elemen yang dipindai dalam upaya pentest (penetration test) jenis ini antara lain web based application, browser dan komponen-komponen lainnya seperti ActiveX, Plugins, Silverlight, Scriptlets, dan Applets. Cukup kompleks fase pengujian pentest ini karena setiap elemen yang berfungsi pada web-based application harus dicari kelemahannya. Maka dari itu, dibutuhkan membuat manajemen waktu dan tenaga yang tepat sebelum memulai dan melakukannya.

Cara melakukan pentest (penetration testing) jenis ini mengalami perubahan dari waktu ke waktu. Selain faktor teknologi yang terus berkembang, meningkatnya ancaman juga menjadi alasan perubahan yang tak dapat terbantahkan.

Mengapa perlu melakukan web application pentest?

Alasan utama mengapa diperlukan web application pentest (penetration testing) adalah mengidentifikasi kelemahan dan kerentanan dari keamanan pada web based application beserta komponen-komponen di dalamnya seperti database, source code, hingga jaringan back-end. Prioritas utama pentest ini sebagai memberikan solusi untuk aspek mitigasi.

Web based application yang ada di hari ini umumnya dikembangkan dengan metode agile (development berkelanjutan). Metode agile dikenal mempunyai banyak variabel di dalamnya, banyaknya variabel yang ada kerap kali memunculkan bug atau error yang kemudian berdampak pada keamanan aplikasi. Alhasil, developer akan lebih sibuk membenahi bug daripada melakukan development.

Untuk jenis web-based application, perusahaan umumnya tidak mempekerjakan pentester secara tetap. Seperti Google misalnya, mereka lebih memilih untuk memberikan hadiah jika ada orang yang menemukan kerentanan pada aplikasi yang mereka miliki.

3. Client Side Pentest

Client side pentest (penetration test) digunakan untuk menemukan kelemahan keamanan pada client side application. Beberapa program atau aplikasi yang termasuk client side application antara lain Putty, email clients, web browsers, Macromedia Flash, dan lain-lain. Program-program lain seperti Adobe Photoshop dan Microsoft Office Suite juga menjadi subyek testing dari client side application.

Mengapa perlu melakukan client side pentest?

Client-side pentest akan mengcover serangan-serangan cyber seperti:

a) Cross-Site Scripting Attack b) Clickjacking Attack c) Cors-Origin Resource Sharing (CORS) d) Form Hijacking HTML
e) Injection Open Redirection
f) Malware Infection

4. Wireless Pentest

Wireless pentest (penetration test) melibatkan identifikasi dan inspeksi koneksi yang menghubungkan device-device dalam satu wifi perusahaan. Beberapa device yang menjadi objek pentest jenis ini antara lain, desktop, laptop, tablet, smartphones, dan Internet of Things (IoT).

Mengapa perlu melakukan wireless pentest?

Umumnya, wireless communication memediasi jalannya data masuk dan data keluar dalam sebuah jaringan. Maka dari itu, keamanan jaringan wireless perlu untuk diidentifikasi lebih jauh untuk mengantisipasi kebocoran data atau akses-akses yang tidak sah.

Beberapa poin yang perlu dijadikan pertimbangan sebelum melakukan wireless pentest antara lain:

a) Apakah semua titik akses sudah diidentifikasi dan berapa banyak titik yang metode enkripsinya buruk? b) Apakah aliran data input dan output berada dalam jaringan yang dienkripsi? c) Apakah ada sistem monitoring untuk mengidentifikasi unauthorized user?
d) Apakah ada kemungkinan tim IT melakukan kesalahan konfigurasi atau menduplikasi jaringan wireless? e) Cara apa yang digunakan untuk melindungi jaringan wireless? f) Apakah semua titik akses wireless menggunakan protokol WPA?


5. Social Engineering Pentest

Social engineering pentest (penetration testing) merupakan sebuah upaya untuk ‘membujuk’ atau menebar trik kepada user untuk memberikan informasi sensitif. Beberapa data yang kerap menjadi sasaran upaya ini antara lain username dan password. Serangan cyber social engineering yang biasa dilakukan oleh pentester antara lain: Physing, Tailgating, Imposter, Name Dropping, Pre-texting, Dumpster Diving, Eaves Dropping, dan Gifts.

Mengapa perlu melakukan social engineering pentest?

Statistik terkini menyebutkan bahwa serangan cyber yang banyak dilakukan adalah serangan cyber jenis social engineering. User internal menjadi ancaman terbesar pada keamanan jaringan. Cara yang paling efektif untuk menanggulangi ancaman-ancaman tersebut antara lain social engineering test dan kesadaran akan produk-produk teknologi yang akan digunakan.

6. Physical Pentest

Physical pentest (penetration test) merupakan upaya dari pentester untuk menembus hambatan ‘fisik’ dari infrastruktur, bangunan, sistem, bahkan staff dari sebuah perusahaan.

Mengapa perlu melakukan physical pentest?

Manfaat utama dari physical pentest adalah untuk mengekspos kelemahan dan kerentanan dalam physical control (lock, barrier, camera, atau sensor) sehingga kelemahan dapat dengan cepat ditangani. Dengan mengidentifikasi kelemahan-kelemahan ini mitigasi yang tepat dapat dilakukan untuk memperkuat physical security posture.

Itu tadi pengertian, kegunaan, dan jenis-jenis pentest (penetration test) jika dilihat berdasarkan objeknya. Sebenarnya ada term lain dalam pengkategorian jenis-jenis pentesting jika dilihat berdasarkan objeknya. Term lain dalam pengkategorian jenis pentesting yang dimaksud adalah term pengkategorian berdasrkan 7 Osi Layer.

Apa itu 7 Osi Layer, dan apa perbedaannya dengan pengkategorian yang baru dibahas di atas? Nantikan pembahasannya di Qatros.com ya, kisanak!

Sign in to leave a comment
Kunci Kolaborasi Quality Assurance dan Developer
Harus diakui interaksi yang sifatnya sentimental kerap terjadi dalam relasi antara QA dan developer.