Salah satu cara menguji keamanan sebuah sistem (jaringan atau aplikasi) adalah dengan mencoba menyusup ke sistem. Cara yang dikenal dengan nama penetration testing (pentest) ini dipopulerkan oleh Dan Farmer dan Wietse Vanema dengan mantranya, "Improving the security of your site by breaking into it"
Meskipun lazim dilakukan,sebetulnya secara keilmuan pentest itu kurang tepat. Ada beberapa masalah terkait dengannya. Masalah yang pertama adalah pentest dilakukan pada tahap akhir dari siklus pengembangan sistem. Jika pentest menemukan celah keamanan, sudah terlambat untuk dilakukan perbaikan. Jika perbaikan pun membutuhkan biaya yang lebih mahal.
Hal kedua, dan yang sangat penting, pentest mencoba mencari kesalahan dalam satuan waktu. Batasan dari pekerjaan ditentukan oleh ketersediaan waktu, bukan kelengkapan dari pengujian. Sebagai contoh, pekerja pentest diberi waktu satu bulan. Selama satu bulan itu, pelaku pentest mencoba mencari kelemahan sistem.Setelah satu bulan, laporan dibuat. Bisa jadi sesungguhnya untuk menguji keseluruhan sistem dibutuhkan waktu tiga bulan, akan tetapi karena metodologi pentest berbasis waktu, maka selesai atau tidak selesai, pekerjaan dianggap selesai. Jika pekerja pentest menemukan celah keamanan, ia dinyatakan sukses. Jika tidak ditemukan celah keamanan, apakah ini merupakan jaminan sistem aman? tidak ditemukannya celah keamanan mungkin disebabkan pelaku pentest belum mencapai bagian yang bermasalah (karena keterbatasan waktu). Bisa juga pelaku pentest masih belajar sehingga dia belum dapat celah yang harusnya dapat ditemukan.
Hasil pentest tentu saja bisa jadi merepresentasikan kondisi keamanan yang sesungguhnya, tetapi hanya sebuah snapshot keamanan yang diuji dengan cara dan waktu yang terbatas. Bahayanya adalah jika pemilik merasa aman. Ini dikenal dengan istilah false sense of security.
Analogi pentest mungkin seperti ini. Anda diminta menguji keamanan sebuah gedung dengan menjebol dindingnya. Misalnya, anda diminta menendang dindingnya atau menabraknya dengan kendaraan. Tentu ini bukan cara terbaik untuk menguji keamanan sebuah bangunan. Cara yang lebih benar adalah dengan melihat dokumen desain (untuk memastikan bahwa ketebalan dinding memang sudah sesuai standar atau tiang sudah diletakanpada tempat yang benar) dan menguji di lapangan (untuk memastikan bahwa desain memang benar-benar diimplementasikan bukan sekedar ada di dokumentasi saja).
Apakah pentest itu tidak bermanfaat? Tentu saja pentest bermanfaat. Hanya saja kita harus paham batasan yang ada sehingga dapat menginterpretasikan hasil pentest lebih baik dan pada tempatnya. Pentets dapat menjadi titik awal dari sebuah evaluasi keamanan. Setelah dilakukan pentest, dapat dilakukan evaluasi keamanan secara menyeluruh. Hasil dari ini dapat digunakan untuk mengetahui tingkat keamanan dengan lebih baik.
Sumber : InfoLinux
Sumber : InfoLinux
0 komentar:
Posting Komentar