Jadi sebelum melakukan penetration testing(testing penyerangan), ethical hacker akan membicarakan terlebih dahulu kepada client mengenai kebutuhan dan tujuan yang hendak dicapai. Setelah itu ethical hacker harus menyiapkan dokumen NDA (NonDisclousere Agreement) untuk ditandatangani bersama dengan client.
Seorang ethical hacker, haruslah memiliki kemampuan dan pengetahuan yang sama dengan seorang hacker. Dan seorang ethical hacker juga harus mengetahui perkembangan dunia keamanan dan harus terus mengasah kemampuannya agar tidak ketinggalan dibanding hacker yang melakukan perusakan.
Seperti seorang dokter, ethical hacker tidak boleh menyebarkan informasi yang didapatkannya kepada publik karena informasi tersebut bisa saja dimanfaatkan untuk tujuan yang merugikan, jadi harus bisa menjaga rahasia dan juga harus mengetahui dengan pasti bagaimana bekerja dengan "nyawa" pasien.
Ada 3(tiga) pendekatan yang dilakukan hacker dalam melakukan security testing, yaitu :
1. Black-box Hacking, metode ini memposisikan hacker sebagai orang luar perusahaan yang tidak mengetahui apapun mengenai perusahaan tersebut, dan hacker mencoba mencari informasi yang bisa didapatkan dan mencoba menerobos kedalam perusahaan.
2. White-box Hacking, metode ini memposisikan hacker sebagai orang yang telah mengetahui segala hal tentang perusahaan baik teknis maupun non teknis, bahkan memiliki akses kedalam source code program dan informasi penting lainnya.
3. Gray-box Hacking, metode ini dikenal dengan internal testing, atau pengujian yang dilakukan didalam jaringan perusahaan. Metode ini mengasumsikan hacker hanya mengetahui informasi sistem dalam tahap yang terbatas, tidak memiliki akses kedalam source code program dan informasi penting lainnya.
Dalam menjalankan tugasnya, ethical hacker harus membuat check list tentang apa saja yang harus dilakukan dan apa saja yang akan diperiksa. Dalam hal ini, kebanyakan hacker menggunakan dokumen OSSTMM (Source Security Testing Methodology Manual) karena memberikan checklist dan panduan yang sangat jelas.
[bersambung]
0 komentar:
Post a Comment