Budaya populer apa yang salah tentang peretasan? [Q&A]

Budaya populer apa yang salah tentang peretasan? [Q&A]

peretas

Dapat dikatakan bahwa Hollywood dan budaya pop tidak selalu baik terhadap industri teknologi dan keamanan siber.

Selama bertahun-tahun, film dan acara TV telah membentuk stereotip tentang bagaimana seharusnya pakar TI dan keamanan, dengan salah satu stereotip terbesar adalah representasi peretas.

Adegan selalu dimulai dengan cara yang sama: seorang individu muda, bekerja dari ruang bawah tanah, mengenakan hoodie hitam dan dikelilingi oleh beberapa layar, memukulinya — mereka selalu laki-laki — keyboard dan menyusup ke CIA, FBI atau database pemerintah dalam hitungan menit. Ini tetap merupakan penggambaran peretas yang paling umum di hampir setiap film, acara TV, atau video game.

Karena stereotip ini, peretasan telah dipahami sebagai praktik yang sangat negatif dan ilegal. Kenyataannya, bagaimanapun, adalah bahwa hacking hanyalah keterampilan teknis dan analitis. Sama seperti kebanyakan keterampilan lainnya, peretasan dapat digunakan untuk tujuan baik dan buruk. Dalam industri keamanan, istilah ‘penyerang’ umum digunakan untuk mendefinisikan individu atau peretas dengan niat kriminal.

Kami berbicara dengan Tom Van de Wiele, peneliti ancaman dan teknologi utama di WithSecure, dan seorang peretas etis selama hampir dua dekade, untuk mencari tahu mengapa sudah saatnya kami melewati stereotip ini.

BN: Apa persepsi populer yang salah tentang pola pikir hacker?

TVW: Ketika berbicara tentang penggambaran peretas dalam budaya populer, penting untuk memahami dari mana stereotip itu berasal. Seringkali, karakter seperti itu tidak dieksplorasi atau dijelaskan dengan benar dalam film, melainkan tindakan mereka yang paling fokus. Apa yang mereka retas dan mengapa? Penggambaran seperti itu membuat pekerjaan mereka terlihat mudah.

Pada kenyataannya, hacking adalah keterampilan yang agak menantang untuk dicapai. Ini membutuhkan pengetahuan, pengalaman, dan persiapan yang signifikan, baik untuk kampanye kriminal atau etis. Peretasan jauh lebih dari sekadar suara teknis atau mengetahui cara membuat kode. Seseorang harus menunjukkan minat yang ingin tahu, bersemangat, dan seringkali obsesif tentang bagaimana sistem dan jaringan bekerja. Kami menyebutnya sebagai ‘pola pikir hacker’.

Kita dimaksudkan untuk mengetahui mur dan baut suatu sistem karena biasanya di situlah letak retakannya. Tingkat pengetahuan dan pengalaman ini tidak terjadi dalam semalam dan hampir tidak menggores permukaan dengan gelar universitas. Dibutuhkan demonstrasi semangat yang sah dan ratusan jam yang didedikasikan untuk mempelajari mekanisme inti dari sistem yang berbeda. Beberapa menggunakan semangat dan pengetahuan ini untuk melindungi sistem sementara, sayangnya, yang lain menggunakannya untuk menyerang.

Selain itu, peretas harus terus memperbarui pengetahuan mereka, melanjutkan pembelajaran mereka seiring dengan berkembangnya infrastruktur TI dan keamanan dengan cepat. Dengan sistem, arsitektur, aplikasi, dan kerangka kerja baru yang sering diinovasi, peretas tidak dapat memperoleh sepotong pengetahuan dan hanya duduk di atasnya. Keterampilan kita akan menjadi mubazir dengan sangat cepat tanpa latihan dan pembelajaran terus menerus. Ini adalah hal-hal yang tidak Anda tunjukkan dalam film atau acara TV Hollywood.

BN: Bagaimana penyerang dan penjahat dunia maya disalahartikan?

TVW: Peretas yang kita lihat di film selalu digambarkan sebagai penyerang dan penjahat. Sayangnya, peretas etis memiliki sedikit atau tidak ada representasi dalam budaya populer. Ketika Anda terbiasa melihat aspek negatif dari peretasan, menjadi sulit untuk menetapkan ini sebagai keterampilan yang banyak akal dan berharga.

Bahkan representasi penyerang sering salah dalam budaya populer. Penyerang selalu ditampilkan sebagai individu yang bekerja dalam isolasi dari ruang gelap dengan agenda khusus mereka sendiri, sedangkan mereka biasanya memiliki tim, manajer, dan anggaran. Mereka tidak hanya memilih target dan mulai mencuri data. Mereka meluncurkan kampanye skala besar, melakukan penelitian ekstensif untuk mengidentifikasi target potensial, mencoba berbagai metode serangan, dan secara aktif terlibat dalam forum web gelap. Faktanya, penyerang sering bekerja sebagai bagian dari geng kriminal atau organisasi jahat.

Ada komunitas besar penyerang di dunia maya. Mereka berbagi sumber daya di antara mereka sendiri, mengelola pasar khusus untuk sumber daya terlarang, dan terus mengoptimalkan keterampilan mereka. Inilah sebabnya mengapa metode serangan selalu menjadi lebih baik dan lebih murah.

Jadi, sebagian besar penyerang tidak beroperasi secara terpisah. Mereka memiliki gudang besar pengetahuan, sumber daya dan keterampilan — yang mereka gunakan untuk melayani niat kriminal mereka. Itu sebabnya kami tidak dapat menggambarkan abstrak khas peretas atau penyerang. Itu bisa siapa saja dari lulusan Oxford hingga remaja yang terlatih sendiri, bekerja dari laptop kecil atau dari pusat operasi kelas atas.

BN: Apa artinya menjadi seorang hacker etis?

TVW: Sayangnya, di luar industri keamanan siber, tidak ada cukup percakapan tentang peretas etis. Orang sering tidak mengerti bahwa peretasan sebagai keterampilan dimaksudkan untuk digunakan untuk memahami dan mengidentifikasi kerentanan suatu sistem, daripada menyebabkan kerusakan dan mencuri aset.

Jadi, apa tanggung jawab seorang hacker etis? Mereka cenderung berjalan di garis tipis antara menyerang dan melindungi sistem. Mereka harus menjaga kesadaran akan apa yang secara legal dan etis dapat diterima setiap saat. Tanggung jawab mereka adalah untuk mengetahui keadaan suatu sistem, mengidentifikasi kerentanan dan memberikan nasihat kepada para pemimpin organisasi, sambil memastikan bahwa operasi dan layanan sistem tidak terganggu.

Pada tingkat praktis, tugas inti dari seorang hacker etis adalah pemodelan ancaman. Ini termasuk menganalisis sistem, mengidentifikasi potensi risiko, titik gangguan, dan memetakan potensi serangan. Pada dasarnya, kami mengidentifikasi seberapa baik infrastruktur TI organisasi disiapkan untuk menangani potensi serangan cyber.

Selain aspek teknis, ada sisi analitis yang signifikan dari peran kami. Peretas etis sering kali harus menguji efisiensi pertahanan organisasi dan mengukur kompetensinya terhadap pesaing. Dengan menggunakan pemodelan ancaman, kami mencoba mengantisipasi apa yang mungkin dilakukan penyerang, dan menggunakan kecerdasan itu untuk mempersiapkan pertahanan perusahaan yang sesuai.

Penting untuk dipahami bahwa meskipun serangan mungkin acak, penyerang tidak selalu datang secara membabi buta. Jika mereka melihat bahwa infrastruktur keamanan Anda konkret, yang berarti akan membutuhkan banyak sumber daya dan penyesuaian untuk dilanggar, mereka kemungkinan besar akan mengabaikan Anda jika Anda berurusan dengan kelompok kejahatan terorganisir yang ingin menghasilkan sejumlah uang per kampanye serangan. Ini adalah tujuan tepat yang coba dicapai oleh peretas etis. Meskipun kami tidak dapat membuat sistem tidak dapat ditembus, karena akan selalu ada kerentanan, kami berusaha untuk mengidentifikasi celah dan menghilangkan kemungkinan jalur serangan untuk mengurangi kemungkinan pelanggaran.

BN: Kualitas apa yang membuat seorang hacker etis yang baik?

TVW: Menjadi seorang hacker etis adalah pekerjaan yang berat karena ada banyak hal yang dipertaruhkan. Jadi, Anda tidak bisa masuk ke bidang pekerjaan ini tanpa gairah yang signifikan. Jika Anda memiliki minat itu dan dapat bekerja sesuai untuk mencapai pengetahuan yang dibutuhkan, ada banyak kesenangan dalam peretasan etis.

Sebagai kesimpulan, saya tidak dapat mengatakan bahwa peretas etis adalah pahlawan tertinggi dunia digital, tetapi kami memainkan peran penting dalam memastikan bahwa peta jalan TI organisasi dibuat dengan cara yang terinformasi dengan mengetahui apa risikonya.

Kredit Foto: adike/Shutterstock

Author: Kenneth Henderson