Skip to main content

Pengantar BlankOn Uji Penetrasi

(Pembicara: Aji Kisworo Mukti)

Sebelumnya, apakah yang hadir di sini fokus terhadap pengujian penetrasi? Bekerjakah? Belajarkah? Apa latar belakang ingin belajar? Tahu maksud "Security Testing"? Untuk apa? Oke, cukup tanyanya. Bapak-bapak, perlu diketahui saya bukan peretas. Saya hanya sedikit tahu tentang pengujian keamanan. Jadi nanti apabila ada yang kurang, silakan ditambahkan. Apa pentingnya menguji dan mengapa harus menguji? Pentingnya menguji karena kita tidak harus menunggu seseorang untuk melaporkan masalah dan menunggu orang lain membuat pengujian yang bukan haknya. Ketika kita meninggalkan rumah untuk berlibur, apakah kita menunggu sampai kita kembali untuk memastikan pintu benar-benar telah terkunci? Tentu saja tidak. Kita mengunci pintu dan mengguncangkan daun pintu untuk memastikan itu terkunci. Kalau kita menunggu sampai kita kembali, kita harus melihat apakah ada yang hilang. Kalau ada, itu akan memakan waktu "audit" lebih lama daripada menguji dan memastikan bahwa pintu terkunci. Atau apakah kita harus menunggu satpam kompleks melaporkan ada kehilangan di rumah kita? Itu jawaban dari: Apa pentingnya menguji dan mengapa harus menguji? Bertele-tele ya, Bapak-bapak? Biar saja, yang penting "maksud" dari kita belajar akan lebih terarah.

Kedua, jangan meremehkan pentingnya kebijakan keamanan dalam bentuk apa pun. Ada yang mengerti dengan kebijakan keamanan? Kalau bahasa Sanskerta-nya, itu "Security Policy". Bagaimana membangun kebijakan keamanan? Contoh, Bapak-bapak bisa baca pada RFC1244 dan RFC1281. Jadi intinya kebijakan keamanan adalah "Yang tidak diizinkan dilarang". Untuk apa itu? Apa yang mereka dapat adalah apa yang Anda berikan. Mereka itu adalah yang menggunakan layanan kita, jika berupa layanan. Maka, sistem yang sangat powerful berarti akan ada banyak potensi untuk beradaptasi, mengonfigurasi tugas-tugas, dan menguji yang kita butuhkan. (Powerful = Full Power). Oke, sepertinya pendahuluannya cukup.

Apa yang harus dilakukan untuk memulai menguji? Pertama mengumpulkan informasi tentang target. Target bisa berupa apa saja: sistem, situs, aplikasi, kode, berkas digital. <za> Setiap target umumnya mempunyai metodologi yang sama. Nah, ngomong-ngomong metodologi, ada yang namanya Open Source Security Testing Methodology. Silakan Bapak-bapak jadikan bahan bacaan.

Nah, sekarang Blankon Uji Penetrasi (Upen) untuk apa? Untuk melakukan pengujian yang punya alur tadi, kita butuh tool: ​http://tools.securitytube.net/index.php?title=Main_Page. Bisa dilihat. Nah tugas kita nanti adalah menguji tool penguji dan memaketkannya. Itu jadi tugas kita nanti: menguji, memaketkan, dan mendokumentasikan perangkat penguji. Maka jadilah BlankOn Upen. Harus disertai dokumentasi yang bagus. Tanpa dokumentasi yang baik tentang bagaimana cara menguji menggunakan BlankOn Upen, saya anggap belum sampai tujuan, karena diragukan, itu tool dicoba tidak... Jangan-jangan cuma asal dipaketkan dan dimasukkan, lalu dibuat ISO CD dan jadi Upen. Karena yang terpenting dari kita di awal tadi adalah....apa Bapak-bapak? BELAJAR. Nah, mengenai apa bentuk tool-nya nanti bisa diperhatikan. Mungkin akan kebanyakan tool berbasis CLI. Jadi sudah paham Bapak-bapak maksud dan tujuan BlankOn Upen? Adapun nanti disalahgunakan, itu di luar tanggung jawab kita. :D

Nah, nanti BlankOn Upen harus punya "Panduan" sendiri mengenai detail pentest. Setuju? Sekarang, kita mulai dari mana? Siapa yang akan mengerjakan? Bapak-bapak siap? Kalau tidak, kita batal. Kalau Bapak-bapak siap, akan kita buat Tim Racikan Upen, dengan seizin Manajer Rilis, untuk mengurusi Panduan dan Paket Upen seperti Sajadah. Oke, silakan Bapak-bapak yang siap mendaftar di milis blankon-dev sebagai pemaket, dan bilang akan ikut memaketkan BlankOn Upen.

Catatan:

1.Hadir pada saat kuliah Zaki Akhmad, Ketua OWASP Indonesia OWASP

2.Terjemahan Prosedur Testing OWASP OWASP-Top-10