White hat hacker, juga disebut ethical hackers, hanya mencari kerentanan atau eksploitasi ketika mereka diizinkan secara hukum untuk melakukannya. White hat dapat melakukan penelitian pada perangkat lunak open source, serta pada perangkat lunak atau sistem yang mereka miliki atau yang telah mereka selidiki, termasuk produk dan layanan yang mengoperasikan program bug bounty.
Tidak seperti hacker black hat atau gray hat, hacker white hat mengungkapkan semua kerentanan yang mereka temukan kepada perusahaan atau pemilik yang bertanggung jawab untuk memperbaiki kekurangan sehingga masalah dapat diperbaiki sebelum dieksploitasi oleh cyber criminal.
Seringkali, hacker white hat adalah para peneliti keamanan yang bekerja secara mandiri atau dengan peneliti lain, tetapi beberapa white hat adalah karyawan full-time di perusahaan tempat mereka meneliti kerentanan dan eksploitasi. Peneliti atau kontraktor independen dapat mengungkapkan kerentanan secara terpisah, tetapi beberapa perusahaan juga memiliki program bug bounty yang dengan program tersebut dapat mencari dan menemukan kelemahan keamanan dapat diungkapkan untuk hadiah uang.
Penetration testers (orang yang melakuan pengujian keamanan), terlepas dari apakah mereka bekerja sebagai kontraktor independen atau sebagai karyawan, umumnya dianggap sebagai hacker white hat. Banyak hacker white hat adalah mantan hacker black hat. Istilah-istilah tersebut berasal dari film-film Barat jadul, di mana para pahlawan sering mengenakan white hat dan orang-orang jahat mengenakan black hat.
Perbedaan Hacker white hat, black hat dan gray hat.
Selain white hat, ada dua jenis hacker lainnya: black hat dan gray hat.1. Hacker white hat (white hat)
Cenderung mengungkapkan semua kerentanan yang mereka temukan kepada pihak yang bertanggung jawab atas sistem, biasanya perusahaan atau vendor yang membuat produk yang terkena dampak. hacker black hat (black hat) tidak memiliki keraguan untuk menjual kerentanan dan eksploitasi kepada penawar tertinggi, seperti organisasi kriminal, biasanya untuk tujuan mengeksploitasi kerentanan sistem. hacker black hat bersedia melanggar hukum untuk menemukan, membuat, dan menggunakan kelemahan keamanan dengan jahat untuk keuntungan pribadi atau untuk membuat pernyataan politik (hacktivism).
2. Hacker Gray hat (black hat)
berada di antara white hat dan hitam pada spektrum moral. black hat umumnya menganggap diri mereka orang baik yang lebih fleksibel tentang aturan di mana mereka beroperasi. Misalnya, hacker black hat lebih mungkin daripada hacker white hat untuk mengakses sistem namun tanpa izin terlebih dahulu atau tanpa otorisasi dari pemilik, tetapi akan lebih kecil kemungkinannya daripada hacker black hat yang menyebabkan kerusakan pada sistem tersebut. Meskipun biasanya tidak termotivasi oleh keuntungan finansial, hacker black hat dapat mencoba untuk mendapatkan pemilik sistem yang telah diretas untuk membayar mereka untuk menambal atau memperbaiki sistem tersebut.
Praktik etika hacker black hat juga dapat bervariasi tergantung pada persepsi mereka tentang nilai-nilai individu atau organisasi yang diretas. black hat mungkin mengoordinasikan pengungkapan kerentanan dengan perusahaan atau lembaga pemerintah yang tindakannya mereka dukung, sementara mereka mungkin berbagi kerentanan dengan hacker lain ketika cacat memengaruhi organisasi yang tidak mereka dukung.
Tehnik White hat dan hacking tools
Hacker white hat, terutama yang melakukan pennetration testing, menggunakan teknik hacking yang sama seperti hacker black hat untuk mengungkap kerentanan keamanan. Pengujian penetrasi melibatkan pengumpulan informasi tentang target pengujian – seperti jaringan atau aplikasi web, misalnya – mengidentifikasi titik masuk yang mungkin, mencoba masuk melalui titik-titik tersebut, dan kemudian melaporkan temuan tes.Social engineering (Rekayasa sosial) adalah teknik hacking lain yang digunakan hacker topi putih untuk menguji seberapa aman sebuah perusahaan sebenarnya. Serangan rekayasa sosial memanfaatkan perilaku manusia untuk mengelabui orang agar melanggar prosedur keamanan atau memberikan informasi sensitif. Seorang ethical hacker juga dapat menggunakan strategi seperti mengirim email kepada staf di sebuah perusahaan dan mencoba mencari-cari informasi sensitif, atau bahkan secara fisik mencoba membobol dan masuk ke dalam sistem. Dalam kasus-kasus ekstrem ini, hanya karyawan tingkat atas di perusahaan yang akan tahu apa yang terjadi. Tehnik uji coba rekayasa sosial ini dikenal sebagai social engineering penetration testing.
Seorang ethical hacker juga dapat melakukan serangan denial-of-service pada versi kloning sistem perusahaan, atau pada sistem itu sendiri ketika penggunaan kritis minimal.
Beberapa hacker white hat juga menggunakan pemindai keamanan dan frameworks keamanan yang tersedia untuk menemukan kerentanan yang diketahui.
Menjadi hacker white hat
Beberapa hacker white hat dulunya adalah hacker black hat yang menjadi lebih selaras secara etis saat mereka dewasa; yang lain tertangkap, dan kemudian memutuskan untuk mengambil jalur hacker yang beretika untuk mengejar kepentingan mereka tanpa ancaman penuntutan.Gelar sarjana dan pascasarjana dalam ilmu komputer, keamanan informasi atau matematika adalah latar belakang yang baik untuk dimiliki oleh hacker white hat, meskipun cukup memiliki minat yang tulus dan minat yang kuat terhadap keamanan adalah aset terbesar.
Orang-orang yang ingin menjadi hacker white hat juga dapat menemukan manfaat yang baik untuk sertifikasi seperti Certified Ethical Hacker (CEH) dan Licensed penetration tester (LPT) dari EC-Council atau GIAC’s Security Administrator certifications, meliputi GIAC Security Essentials Certification, GIAC Penetration Tester, the GIAC Exploit Researcher and the GIAC Advanced Penetration Tester.
Latar belakang atau sertifikasi dalam forensik komputer juga dapat berguna bagi ethical hackers.
white hat hacker terkenal
1. Marc Maiffretdikenal karena mengekspos kerentanan dalam produk Microsoft, seperti worm Code Red, mulai ketika ia masih remaja. Dia kemudian pergi untuk bersama-sama menemukan perusahaan keamanan perangkat lunak dan akhirnya menjadi kepala teknologi perusahaan keamanan BeyondTrust.
2. Kevin Mitnick
adalah hacker white hat terkenal lainnya. Sebelumnya dikenal sebagai penjahat dunia maya yang paling dicari di Amerika, Mitnick ditangkap pada tahun 1995 dan dijatuhi hukuman lima tahun penjara karena peretasannya. Setelah bersentuhan dengan hukum, Mitnick menjadi hacker white hat dan sekarang menjalankan perusahaan konsultan keamanan.
3. Tsutomu Shimomura
adalah hacker white hat yang bertanggung jawab untuk akhirnya menangkap Mitnick. Seorang ilmuwan komputer dan fisikawan, Shimomura telah bekerja untuk NSA, dan ia membantu FBI dalam penangkapan Mitnick yang dipublikasikan secara luas.
4. Robert “RSnake” Hansen
juga seorang hacker white hat terkenal yang menciptakan istilah clickjacking. Dia sekarang adalah CISO di OutsideIntel. Dalam nada yang sama, Dan Kaminsky menjadi terkenal ketika dia menemukan cacat desain DNS yang kritis, dan dia kemudian menjadi ilmuwan kepala perusahaan keamanan White Op. Nama-nama besar lainnya dalam hacker white hat termasuk Jeff Moss, yang mendirikan konferensi keamanan Black Hat dan DEFCON; Charlie Miller, yang meretas NSA selama lima tahun; dan salah satu pendiri Apple Steve Wozniak.
Masalah hukum dengan white hat hacking
Perbedaan antara white hat dan black hat lebih kepada izin dan niat. white hat tidak meretas sistem tanpa izin dari perusahaan untuk menguji pertahanannya, dan dia mengungkapkan kerentanan secara bertanggung jawab. black hat tidak memiliki izin atau niat baik, dan ia umumnya tidak akan mengungkapkan kerentanan secara bertanggung jawab kecuali ada insentif finansial atau hukum.Namun, white hat dan black hat umumnya menggunakan alat dan teknik yang sama. Ini dapat menyebabkan situasi hukum yang rumit bagi ethical hacker.
Misalnya, untuk menguji keamanan perusahaan secara menyeluruh, ethical hacker harus berusaha mendapatkan akses ke sistem perusahaan tidak hanya secara langsung, tetapi juga melalui mitra bisnisnya. Jika perusahaan yang meminta pengujian penetrasi tidak juga mendapat persetujuan dari mitra bisnisnya, white hat dapat berakhir secara ilegal menembus sistem mitra bisnis.
Selain itu, jika ethical hacker dapat mengakses data sensitif – seperti data pelanggan – tugas mereka adalah melaporkannya ke perusahaan yang bertanggung jawab atas data itu. Namun, ini tidak berarti pelanggan akan diberitahu bahwa informasi mereka terungkap. Ini juga berarti ethical hacker telah melihat data pelanggan pribadi.
Legalitas peretasan white hat sering dibahas di kalangan profesional keamanan, dan umumnya digambarkan sebagai wilayah abu-abu.
Add your comment Hide comment