Don’t Mess with Me, I’m CEH

Itulah slogan yang ada di website nya EC-Council, dengan foto seorang hacker ganteng (padahal hacker sejati pastinya kebanyakan begadang, pecandu rokok, kopi, dan jarang mandi).

Anyway, seminggu penuh saya ikut training C|EH, atau Certified Ethical Hacker di Teluk Betung, seberang Grand Indonesia. Training ini diadakan oleh Global Knowledge Indonesia, si pemegang lisensi CEH Training Center di Indonesia. Empat hari diisi materi tentang security dan teknik-teknik penjebolannya, dan hari terakhir ujian sertifikasinya.

Sebenarnya masih menjadi perdebatan apakah memang ada hacker baik dan hacker jahat, hacker ya hacker saja, orang yang memahami seluk beluk tentang security dan bagaimana memanfaatkan kelemahannya. Disebut ethical karena sebenarnya jualannya adalah “Penetration Test”, tetapi untuk kebutuhan marketing, kata “Hacker” yang dipakai karena jauh lebih populer. Penetration Test, atau Pentest, adalah sebuah kegiatan untuk melakukan tes keamanan sebuah sistem dengan ruang lingkup yang jelas. Hacker yang akan melakukan pentest harus menandatangani NDA (Non Disclosure Agreement), dan dokumen Scope of Works yang menyebutkan di titik mana saja ia diizinkan untuk mencoba menembus sistem keamanannya. Dokumen ini yang membuatnya menjadi seorang Penetration Tester, atau Ethical Hacker, atau hacker yang baik.

Dalam system security, ada dua pendekatan untuk melakukan pengamanan, yaitu defensif dan ofensif. Cara defensif adalah memasang alat-alat pencegahan dan memperkuat keamanan. Analoginya seperti mengamankan rumah dengan menutup pagar, mengunci pintu, menambah gembok, dll. Sysadmin akan memasang Firewall, mengizinkan hanya port-port tertentu saja yang boleh diakses, rajin melakukan patch, memasang IDS (Intrusion Detection System), Internet Security System, dsb.

Tindakan pencegahan tersebut belum cukup untuk menjamin bahwa sistem yang dilindungi telah aman sepenuhnya. Oleh karena itu dibutuhkan testing yang ofensif, dengan berpikir dan bertindak seperti hacker yang akan menjebol sistem. Diajari jadi maling. Alat-alat yang digunakan adalah alat-alat maling, dan teknik-teknik penembusan sistem keamanan juga menggunakan cara-cara yang umum dipakai maling. Dengan selalu meningkatkan pengamanan secara defensif dan secara rutin melakukan penetration test secara ofensif, maka diharapkan sistem akan aman — meskipun diakui tidak ada sistem yang benar-benar 100% aman.

Ujian sertifikasinya sendiri cukup berat buat saya. Jumlah soal ada 150 dan harus diselesaikan dalam waktu kurang dari 4 jam. Ada soal analisis, soal cerita, soal hapalan alat, perintah-perintah khusus, pokoknya lengkap dari A-Z. Passing grade yang diminta juga cukup tinggi, yaitu 70%. Alhamdulillah, saya lulus dan mendapatkan gelar CEH. Apakah setelah ini saya boleh bilang, “Don’t mess with me, I’m CEH!”?

Saya rasa tidak. Kesombongan adalah awal bencana di dunia keamanan komputer. Bisa saja besok blog saya ini dihack oleh anak SMP. Bisa jadi, hehehe…

Author: Galih Satriaji

Bookaholic, Workaholic. Chubby. That's me!

9 thoughts

  1. anak SMP jaman sekarang mainannya skrip buat instant-hacking. jaman cilikanku mbiyen dolanan brik-brikan (rojer rojer…)

    sangat setuju dengan: tidak ada sistem yang 100% aman 🙂

    btw untuk ikut program itu mbayarnya berapa bro? njebolnya ke sistem windows apa linux?

    1. Rojer rojeer… dimonitor dikopi es teh ote-ote..
      Dibayarin kantor cak bro, bisa kontak ke global knowledge indonesia. Yang dijebol sistem secara keseluruhan, kalo windows ya windows, kalo linux ya linux…

  2. Congrats Mas,

    Aku Mau nanya , habis exam langsung dapet Certificate-nya dalam bentuk document fisik/digital atau harus nunggu dulu dari sponsornya ?

    Kalo exam CCNA biasanya sih langsung dapet.

    1. Langsung dapat versi digital-nya mas. Versi Material fisiknya dikirim langsung dari CEH headquarter sono di Amerika via FedEx. Baru dateng sekitar 3 minggu setelah itu. Dapat sertifikat kertas dan beberapa brosur dan surat begitu.

  3. Mas, seberapa sulit ya ujiannya?
    Kira2 skala 1-10 di lvl brp?
    Kalo orang pengalaman kerja di network > 5 tahun bisa?
    Oh iya kalo boleh tahu mas bacground nya apa? Buat sbg pembanding.

    1. Halo mas, menurut saya 9 of 10. Susah sekali, saya merasa cukup beruntung dulu bisa lulus. Saya rasa orang network bisa dengan persiapan matang, soalnya CEH ga melulu network, malah cakupannya luas dari layer network sampai aplikasi high level. Saya background IT, lebih suka ngoding daripada sysadmin, tapi dari dulu tertarik dengan dunia hacking.

Leave a Reply

Your email address will not be published. Required fields are marked *