Sangat mudah untuk memiliki pandangan sederhana bahwa semua peretas adalah orang jahat yang menyebabkan pelanggaran data dan menyebarkan ransomware. Tapi ini tidak benar. Ada banyak hacker jahat di luar sana. Beberapa peretas menggunakan keterampilan mereka secara etis dan legal. Seorang "peretas etis" adalah peretas yang meretas dalam kewenangan perjanjian hukum dengan pemilik sistem yang sah.
Tip: Sebagai kebalikan dari a peretas topi hitam, seorang hacker etis sering disebut hacker topi putih.
Inti dari ini adalah pemahaman tentang apa yang membuat peretasan ilegal. Meskipun ada variasi di seluruh dunia, sebagian besar undang-undang peretasan bermuara pada "mengakses suatu sistem adalah ilegal jika Anda tidak memiliki izin untuk melakukannya". Konsepnya sederhana. Tindakan peretasan yang sebenarnya tidak ilegal; itu hanya melakukannya tanpa izin. Tetapi itu berarti bahwa izin dapat diberikan untuk memungkinkan Anda melakukan sesuatu yang ilegal.
Izin ini tidak bisa datang begitu saja dari sembarang orang di jalan atau online. Itu bahkan tidak bisa datang dari pemerintah (
Tip: Agar jelas, "pemilik sistem yang sah" tidak harus merujuk pada orang yang membeli sistem. Ini merujuk pada seseorang yang secara sah memiliki tanggung jawab hukum untuk mengatakan; ini baik untukmu. Biasanya ini adalah CISO, CEO, atau dewan, meskipun kemampuan untuk memberikan izin juga dapat didelegasikan lebih jauh ke bawah rantai.
Meskipun izin dapat diberikan secara lisan, hal ini tidak pernah dilakukan. Karena orang atau perusahaan yang melakukan pengujian akan bertanggung jawab secara hukum untuk menguji apa yang tidak seharusnya mereka lakukan, diperlukan kontrak tertulis.
Lingkup Tindakan
Pentingnya kontrak tidak dapat dilebih-lebihkan. Ini adalah satu-satunya hal yang memberikan tindakan peretasan legalitas peretas etis. Hibah kontrak memberikan ganti rugi atas tindakan yang ditentukan dan terhadap target yang ditentukan. Dengan demikian, penting untuk memahami kontrak dan apa yang tercakup di dalamnya, karena keluar dari ruang lingkup kontrak berarti keluar dari ruang lingkup ganti rugi hukum dan melanggar hukum.
Jika seorang peretas etis menyimpang di luar ruang lingkup kontrak, mereka menjalankan tali hukum. Apa pun yang mereka lakukan secara teknis ilegal. Dalam banyak kasus, langkah seperti itu tidak disengaja dan dengan cepat tertangkap sendiri. Ketika ditangani dengan tepat, ini mungkin tidak menjadi masalah, tetapi tergantung pada situasinya, itu pasti bisa.
Kontrak yang ditawarkan tidak perlu disesuaikan secara khusus. Beberapa perusahaan menawarkan skema bug bounty. Ini melibatkan penerbitan kontrak terbuka, memungkinkan siapa saja untuk mencoba meretas sistem mereka secara etis, selama mereka mematuhi aturan yang ditentukan dan melaporkan masalah apa pun yang mereka identifikasi. Masalah pelaporan, dalam hal ini, biasanya dihargai secara finansial.
Jenis Peretasan Etis
Bentuk standar peretasan etis adalah "tes penetrasi", atau pentest. Di sinilah satu atau lebih peretas etis terlibat untuk mencoba menembus pertahanan keamanan suatu sistem. Setelah pertunangan selesai, peretas etis, yang disebut pentester dalam peran ini, melaporkan temuan mereka kepada klien. Klien dapat menggunakan detail dalam laporan untuk memperbaiki kerentanan yang teridentifikasi. Sementara pekerjaan individu dan kontrak dapat dilakukan, banyak pentester adalah sumber daya internal perusahaan, atau perusahaan spesialis pentesting disewa.
Tip: Ini adalah "pentesting" bukan "pentesting". Penguji penetrasi tidak menguji pena.
Dalam beberapa kasus, menguji apakah satu atau lebih aplikasi atau jaringan aman tidaklah cukup. Dalam hal ini, tes yang lebih mendalam dapat dilakukan. Keterlibatan tim merah biasanya melibatkan pengujian tindakan keamanan yang jauh lebih luas. Tindakan dapat mencakup melakukan latihan phishing terhadap karyawan, mencoba merekayasa jalan ke gedung secara sosial, atau bahkan menerobos masuk secara fisik. Sementara setiap latihan tim merah bervariasi, konsepnya biasanya lebih merupakan tes kasus terburuk "jadi bagaimana jika". Sejalan dengan "aplikasi web ini aman, tetapi bagaimana jika seseorang masuk ke ruang server dan mengambil hard drive dengan semua data di dalamnya."
Hampir semua masalah keamanan yang dapat digunakan untuk merusak perusahaan atau sistem secara teoritis terbuka untuk peretasan etis. Ini mengasumsikan bahwa pemilik sistem memberikan izin, dan bahwa mereka siap membayarnya.
Memberikan Barang kepada Orang Jahat?
Peretas etis menulis, menggunakan, dan berbagi alat peretasan untuk membuat hidup mereka lebih mudah. Wajar untuk mempertanyakan etika ini, karena topi hitam dapat mengkooptasi alat ini untuk mendatangkan lebih banyak malapetaka. Namun secara realistis, sangat masuk akal untuk berasumsi bahwa penyerang sudah memiliki alat ini, atau setidaknya sesuatu seperti itu, saat mereka mencoba membuat hidup mereka lebih mudah. Tidak memiliki alat dan berusaha mempersulit topi hitam mengandalkan keamanan melalui ketidakjelasan. Konsep ini sangat tidak disukai dalam kriptografi dan sebagian besar dunia keamanan pada umumnya.
Pengungkapan yang Bertanggung Jawab
Peretas etis terkadang menemukan kerentanan saat menjelajahi situs web atau menggunakan produk. Dalam hal ini, mereka biasanya mencoba melaporkannya secara bertanggung jawab kepada pemilik sistem yang sah. Hal utama setelah itu adalah bagaimana situasi tersebut ditangani. Hal etis yang harus dilakukan adalah mengungkapkannya secara pribadi kepada pemilik sistem yang sah agar mereka dapat memperbaiki masalah dan mendistribusikan tambalan perangkat lunak.
Tentu saja, setiap peretas etis juga bertanggung jawab untuk memberi tahu pengguna yang terpengaruh oleh kerentanan tersebut sehingga mereka dapat memilih untuk membuat keputusan sadar keamanan mereka sendiri. Biasanya, kerangka waktu 90 hari sejak pengungkapan pribadi dianggap sebagai waktu yang tepat untuk mengembangkan dan menerbitkan perbaikan. Meskipun perpanjangan dapat diberikan jika diperlukan sedikit lebih banyak waktu, hal ini belum tentu dilakukan.
Bahkan jika perbaikan tidak tersedia, itu Bisa bersikap etis untuk merinci masalah ini secara publik. Ini, bagaimanapun, mengasumsikan bahwa peretas etis telah mencoba mengungkapkan masalah secara bertanggung jawab dan, umumnya, bahwa mereka mencoba memberi tahu pengguna biasa sehingga mereka dapat melindungi diri mereka sendiri. Meskipun beberapa kerentanan mungkin dirinci dengan bukti eksploitasi konsep yang berfungsi, hal ini sering kali tidak dilakukan jika perbaikan belum tersedia.
Meskipun ini mungkin tidak terdengar sepenuhnya etis, pada akhirnya, ini menguntungkan pengguna. Dalam satu skenario, perusahaan berada di bawah tekanan yang cukup untuk memberikan perbaikan tepat waktu. Pengguna dapat memperbarui ke versi tetap atau setidaknya menerapkan solusi. Alternatifnya adalah perusahaan tidak dapat menerapkan perbaikan untuk masalah keamanan yang parah dengan segera. Dalam hal ini, pengguna dapat membuat keputusan berdasarkan informasi untuk terus menggunakan produk.
Kesimpulan
Peretas etis adalah peretas yang bertindak dalam batasan hukum. Biasanya mereka dikontrak atau diberikan izin oleh pemilik sistem yang sah untuk meretas sistem. Ini dilakukan dengan ketentuan bahwa peretas etis akan melaporkan masalah yang diidentifikasi secara bertanggung jawab kepada pemilik sistem yang sah sehingga masalah tersebut dapat diperbaiki. Peretasan etis dibangun di atas "atur pencuri untuk menangkap pencuri". Dengan menggunakan pengetahuan tentang peretas etis, Anda dapat menyelesaikan masalah yang dapat dieksploitasi oleh peretas topi hitam. Peretas etis juga disebut sebagai peretas topi putih. Istilah lain juga dapat digunakan dalam keadaan tertentu, seperti "pentester" untuk mempekerjakan profesional.