Language:

Search

Pengamatan Teknologi : Pentester Masa Kini

  • Share this:
post-title

Ini gue nulis bener-bener dari hati, tanpa mengurangi rasa hormat, mohon maaf sebelumnya untuk pembaca yang ber-profesi  sebagai pentester, blue team, red team, bug bounty, CTF, atau apapun itu sejenisnya  kenapa gue tulis masa kini ? karena paradigmanya berbeda dengan masa dimana gue pernah dibayar jadi pentester.

Suatu pekerjaan yang bertugas untuk melakukan tes penetrasi terhadap suatu sistem, cari kelemahan, bahasanya cari bug, pakai metode  blackbox atau whitebox, securing hardening atau jadi pihak  sesuai profesional contract yang saat itu gue belum punya CEH untuk nyari kelemahan.

Project pertama gue gak di bayar banyak, tapi profesional, ada contract dan legalitas antara gue sebagai freelancer sama client gue yang saat itu perwakilan dari korporat, tanpa tender  tapi melalui proses penawaran, negosiasi sampai Down Payment, konsultasi dan penyelesaian pekerjaan.

Project pertama gue pentest ke distributor payment gateway mulai dari web apps, network layer, sampai tahap social engineering, yang  perusahaan ini sebut saja juga menjual pulsa dan voucher game online, gue asalnya dari komunitas Underground IT yang berkutat tentang bug, exploit, 0day dan segala informasi tentang IT security.

Websitenya dibuat secara custom, saat itu pakai Coldfusion, gue juga heran, IT solution mana yang make coldfusion, mulai dari SQLi, RFI, LFI, RFD, terus pakai tamper data, coba Ddos, sempat nemu bug XSS doang.

Terus yang cukup jadi concern yaitu cookie stealing, jadi ini client side, gue pakai browser exploit eleanore yang memaksa pengunjung download 1 botnet zeus, ada yang berhasil ke download lalu running, ada yang udah keburu di block ama antivirusnya, kategori ini cukup critical.

Lanjut ke tahap server, sebenarnya dari awal gue gak nemu bug yang bisa bikin gue upload php shell, jadi ini whitebox hacking, gue coba jalanin php shell, yang saat itu terkenalnya b374k m1n1, coba back connect pakai netcat, bingo!! berhasil connect back shell, kernel nya belum di update.

Masih 2.6.18 yang gue saat itu ingat, tinggal download wunderbar emporium udah pasti dapet root, setelah gue puas audit, gue coba bagi sama temen gue, gue terang-terangan gue di bayar segini, gue harus bayar berapa, kalau lu bisa upload php shell ke website ini, eh ternyata sempet digangbang loh ini web di komunitas IRC dan coba di scan rame-rame pake bot irc mereka, hasilnya, Alhamdullilah gak ada 1 pun yang berhasil dapetin privileges admin untuk upload php shell.

Setelah selesai, gue beli rootkit hunter, kenapa beli ? jujur, saat itu skill gue di C (sampai sekarang sih haha) masih belum mumpuni untuk ngutak-atik LKM which is bisa bikin program di tahap elf binary untuk cari, dimana letak backdoor baik di sisi daemon atau di web apps, kalau untuk cari hidden backdoor di php script, masih gampang lah, waktu itu ya, jaman 2011 pakai one liner command aja.

find ./ -type f -print | xargs egrep -m 1 "eval\(|system\(|shell_exec\(|exec\(|passthru\(|\`[^\`]*" | cut -f1 -d:  di mesin linux, buat cari php yang bisa manggil cmd yang bisa membahayakan di sisi web apps, tapi bisa ketahuan cuma dengan linux command diatas, nggak tau deh kalau sekarang, belum ndalemin lagi, setelah gue yakin bersih dari backdoor dan segala malware nya, gue aktifin SELinux, kalau sekarang lebih prefer AppArmor, lain cerita nanti gue bahas, dan pakai plugin kernel grsec, yang di jamannya, ini plugins strict banget, setelah ganti dari el5 yang saat itu bawaan dari RHEL 4, yang terbukti exploitable.

Setelah itu gue pantengin tuh komunitas A, B, C, D, X ,Y, Z atau segala tetek bengeknya, sampai gue bisa pastikan gak ada member dari komunitas manapun yang punya akses atau udah nge hack server pulsa ini, gue santai gue serah terima dan kasih beberapa vulnerability advisory, gue dibayar 5 juta di tahun 2011, gaya dong, haha.

1 Tahun berselang, mereka kena bobol, ngamuk-ngamuk lah mereka, anggep gue penipu mau tuntut gue, malah nuduh gue, yang saat itu gue masih labil emosinya, jelas ngamuk-ngamuk, gue udah siapin segala kemungkinan terburuknya, tapi ternyata gue investigasi lagi, ternyata gue nemu celah, di perjanjian terakhir gue tulis.

Kalau advisory gue kelak di langgar dengan cara mereka mengubah sistem tanpa sepengetahuan gue dan di luar standar gue saat serah terima, gue gak akan bisa bertanggung jawab, singkat cerita, kami mediasi  setelah kasus gue dengan pak guntual 2009 soal website konsultan hukum online, gue belajar cara mediasi dan cara menghadapi client yang mengancam dengan UU ITE.

Kuncinya tenang, gue juga tau cara negosiasi, hingga singkat cerita alih-alih mereka mau buka Laporan Polisi, malah mereka melembut dan minta ngamanin server itu lagi dengan iming-iming kalimat sakti, 'kalau ada project selanjutnya kita pakai bapak lagi' BIG NO, makasih, gue cuma saranin, buang wordpress di web itu, dan jangan pakai applikasi keuangan di online sebagai subdomain, cukup di intranet aja.

Project kedua bukan pentest, tapi semacam bug bounty, gw di bayar untuk nge hack dan nyolong database, gak perlu di bahas, yang jelas gue berhasil dengan 1 tujuan, lalu gue di bayar, tenang yang ini gue nge hack website orang luar, tapi yang bayar orang Indonesia yang udah jadi WNA di Australia.

Bug Bounty, Blue Team, Red Team With Another Call Sign

Gue mulai ngerasa aneh ketika banyaknya kompetisi CTF, terus online course macam pentesterlab, hackthebox, pentester academy (yang dulunya securitytube), banyak melahirkan profesional 'white hat hacker' ada video tutor terus praktek berupa lab untuk prakteknya.

Ini sangat bagus, untuk yang baru belajar atau yang mau mendalami, terlebih Offensive Security dengan OSCP, OSWE dll yang materinya bukan kaleng-kaleng, kalau gue baca blog yang lagi nempuh cert ini mereka bisa sampe begadang dari pagi sampe pagi, keren.

Security Awareness

Nggak seperti awal-awal era 2010 dulu, dimana role IT Sec nggak terlalu jadi perhatian, sejak fenomena buzzer yang saling serang atau saling hack akun sosmednya, akhirnya mulai dari agency sampai perusahaan yang non agency, yang termasuk kategori critical, mulai sadar akan sistem keamanan komputer di kantornya.

Sehingga, banyak perusahaan yang meng-alokasi-kan budgetnya untuk kegiatan bug bounty, rewards bagi siapapun yang menemukan bug, sedangkan dari sisi bug hunter-nya jadi mikir-mikir kalau mau aksi defacement, atau pencurian data, atau yang sekedar diam-diam cuma buat nanem backdoor dan explore sistemnya, di pikir lagi juga sayang, karena bisa jadi duit.

Sehingga beberapa industri terutama startup, cuma concern ke web apps security atau paling banter di mobile securitynya, lebih ke jangan sampai data customer bolong, karena rata-rata di bobol dari sisi web apps, padahal, mulai dari repository yang di backdoor sampai OS yang di backdoor, itu bisa kejadian.

Belum lagi kalau orang internal sendiri yang 'main', ah masa iya, loh kenapa enggak ? bukankah SDLC terlebih yang pakai metode scrum agile bikin mereka 'mau' bekerja di bawah tekanan, seperti syarat umum beberapa lowker IT Dev ? aduh...apapun bisa terjadi, mereka bikin suatu routine yang hanya mereka tau untuk jadi celah keamanan atau bug, termasuk cara ekseskusinya.

Banyak kemungkinan dari mana sistem keamanan komputer jadi mudah di exploitasi.

Gue bukannya sok jadi orang lawas yang kaget sama dinamika IT Sec jaman sekarang, eh nggak, gue juga masih tergolong baru, cuma bertahun-tahun gue gak sentuh bidang itu, pas sekalinya ngobrol sama orang IT Sec, gue malah kaget, karena emang berbeda dengan dimana gue terjun dulu.

Mulai dari sertifikasi yang kalau dulu itu-itu aja, sekarang makin bervariasi, cara yang kayaknya lebih keren dulu deh, sekarang cuma ngandalin standarnya kali linux, kalau dulu rata-rata D.I.Y kalau sekarang textbook banget, misal udah ngikutin cara pentestnya CEH, gak nemu bug atau nemunya cuma segitu, ya udah, gak ada inisiatif yang, coba bikin malware kek bikin botnet kek.

Kalau dulu ada drama perang hacker atau perang antar komunitas hacker, eh sekarang yang mungkin ya, kalau gak ngasilin duit buat apa sih, mungkin gitu sekarang hahaha, tapi baik dulu atau sekarang, gue seneng aja kalau pentester lebih banyak dihargai daripada awal era 2010, long live 1337.

Sampai jumpa di rubrik Pengamatan Teknologi lainnya, shalom.

Armin

Armin

IT Dev, SEO & Digital Marketing Specialist with 7+ years experience, Coder, Sys Admin, Designer, Blogger