Security Consultant v.s Underground

Jika kita mencermati perkembangan dunia per-hackingan saat ini, kita dapat membagi menjadi 2 bagian besar pendapat atau filosofi, pro dan kontra mengenai ‘bagaimana seorang hacker seharus nya’. Satu bagian berpendapat bahwa dunia internet security merupakan suatu ladang untuk industri, sebagai sumber penghasilan dalam hidup, mencari-cari kesalahan (bugs) dari suatu produk untuk kemudian di analisis dan di laporkan kepada vendor yang membuat produk tersebut.

Ada yang melaporkan nya begitu saja, bahkan dengan ikut menyediakan patch nya dalam bentuk advisories secara gratis. Namun ada juga beberapa pihak yang bersedia membeli bugs tersebut dengan harga tinggi, tergantung dengan produk yang dijadikan sasaran, contoh nya adalah i-defense . Dengan kata lain, melakukan jual-beli bugs secara legal.

Sedangkan pihak kedua, merupakan pihak yang membenci cara-cara dari industri security. Mereka berpendapat bahwa bugs tidak seharus nya di perlakukan seperti itu, jika mengetahui suatu bugs maka dicari penyelesaian nya untuk kemudian dilaporkan kepada vendor yang bersangkutan, atau cukup di simpan sendiri (underground style 🙂 ).


Para penganut industri security mengaku bahwa mereka adalah tipikal pemain-pemain di dunia security yang sudah dewasa, bagi mereka…kehidupan di dunia underground yang cenderung show-off, merusak, keluar-masuk server, deface dll adalah tingkah laku anak kecil, dan sekarang mereka sudah tumbuh dewasa dan menjadikan skill mereka sebagai lahan untuk sumber pendapatan hidup, sumber pendapatan untuk menghidupi keluarga nya, mencari kesejahteraan hidup.

Sedangkan dunia underground, merasa pola pikir seperti itu bukan berarti dewasa, tapi merupakan para perusak dunia hacker. Para pelaku dunia industri security merusak filosofi hacker. Para fans dunia underground pada umum nya adalah anak-anak umur belasan tahun (di luar indonesia 🙂 ), yang mengenal pemrograman dan security. Mereka menjadikan filosofi hacker sebagai alasan untuk melakukan pengrusakan, dan akhir nya terbius dengan semangat “pr0j3ct m4yh3m” yang bertujuan men-jegal industri security. Mereka cenderung tipikal anak-anak yang melakukan cracking dari garasi rumah nya, itu sebab nya para pelaku underground di cerminkan sebagai anak-anak nakal yang suka show-off. Dan jika di lihat dari ezine-ezine pendukung project ini, kita bisa melihat bagaimana mereka menyebutkan bahwa para pelaku dunia industri security sama sekali tidak layak di sebut hacker.

Benarkah?!

Saya pernah baca artikel menarik, silahkan di lihat di sini . Hal menarik dari conference tersebut adalah para developer microsoft bertemu langsung dengan para pelaku dunia industri security / para hacker. Para developer di tunjukan secara langsung di depan mata mereka, bagaimana program yang mereka hasilkan di obrak-abrik dan dimanfaatkan untuk mendapatkan akses ke dalam sistem. Para hacker/pelaku dunia industri security yang diundang tidak sembarangan, namun mereka betul-betul menunjukan kualitas nya sebagai hacker, terbukti dengan kata-kata Noel Anderson, salah satu engineer Microsoft:

“(Hackers are) not just a bunch of disaffected teenagers sitting in their mom’s basement. These are professionals that are thinking about these issues.”

Para hacker yang diundang bukanlah anak-anak remaja yang keluar-masuk server, buat worm, buat virus, melakukan aksi deface dan sebagai nya. Para pelaku dunia industri security (yang mereka kategorikan sebagai hacker) ini betul-betul pencari bugs yang profesional, dengan tingkat kemahiran yang juga profesional. Terbukti dengan didapatkan nya bugs dalam aplikasi Microsoft, para computer auditor dalam sendi Microsoft masih kalah dengan para hacker ini yang notabene melakukan bugs discovery dengan metode blackbox.

Apakah para pelaku industri security masih belum bisa dikategorikan hacker?!atau para pelaku dunia underground yang belum bisa dikategorikan hacker?!

Saya yakin, sebagian besar para pelaku dunia industri security juga pernah hidup dalam dunia underground, dan bahkan mungkin banyak juga yang tetap aktif di dunia underground walaupun sudah memiliki pekerjaan sebagai katakan lah, white-hat. Para pelaku dunia underground juga ada bermacam-macam, kita bisa lihat dari tingkatan yang sering di bicarakan, mulai dari lamerz-script kiddes hingga el1t3. 0day exploit lahir dari dunia underground, yang notabene bugs ditemukan oleh individu tertentu dengan melakukan riset sendiri. Riset?!yup, walaupun orang-orang dari dunia underground tidak memiliki metode dan perlengkapan seperti para pelaku dunia industri security, namun apa yang mereka lakukan bisa dikategorikan sebagai riset. Mereka install aplikasi di komputer pribadi, dan dengan berbagai macam tehnik berusaha mencari bugs pada aplikasi tersebut. Metode ini bahkan lebih hebat karena mereka harus menemukan bugs dengan kondisi yang cukup terbatas, dan semua nya kembali lagi pada skill individu tersebut terutama skill programming nya :). Kondisi serba terbatas ini juga lah yang kadang memunculkan ide-ide kreatif untuk menemukan suatu bugs, yang bahkan tidak terpikirkan oleh para auditor internal suatu vendor yang notabene dilengkapi dengan peralatan canggih, bahkan sampai disedikan source code aplikasi nya.

Seperti yang saya katakan tadi, ada banyak pelaku dunia underground. Ada anak-anak nakal yang memiliki tingkat kesejahteraan lebih sehingga bisa punya koneksi internet, mereka belajar menjadi script-kiddies dengan menggunakan exploit buatan orang lain, membentuk kelompok dan dengan brutal nya keluar masuk server. Namun tidak selama nya seperti itu, ada juga yang memang betul-betul serius dengan rasa ingin tahu yang luar biasa. Menemukan bugs dan bermain dengan system bukan untuk show-off, namun untuk kesenangan pribadi. Dan umum nya, individu-individu seperti ini juga banyak berkolaborasi dengan kelompok-kelompok hacker tertentu yang didalam nya juga terdapat individu-individu istimewa dalam hal ‘hacking’ nya. Dari para hacker inilah lahir exploit-exploit 0day, metoda-metoda 0day untuk suatu bugs, dll. Mereka inilah para hacker dunia underground. Umur tidak masalah, yang penting skill nya.

Para pelaku dunia underground juga manusia, mereka butuh sumber penghasilan. Maka banyak juga yang memanfaatkan skill nya untuk mendapatkan sumber penghasilan, dalam hal ini tentu saja…uang. Ada yang melakukan jual-beli exploit, baik di dunia underground yang lebih tertutup ataupun kepada para white-hat di idefense lab. Ada yang menjebol dan mencuri credit card, ada juga yang mendapatkan pekerjaan sebagai security consultant. Setiap manusia harus bisa bertahan hidup seiring dengan bertambah nya usia, maka tidak mungkin mereka hanya bermain-main di dunia underground, menghasilkan exploit dll tanpa memiliki pekerjaan, walaupun pada kenyataan nya banyak juga tipikal-tipikal individu seperti ini, yang hobi nya hanya duduk di depan komputer tanpa memperdulikan kehidupan di dunia nyata.

Jadi, mana yang benar?!mana yang lebih pantas di sebut sebagai hacker?!para pelaku dunia underground seperti team ZF0 atau team CLPWN yang ingin menjatuhkan industri security, atau para pelaku industri security seperti idefense lab yang mencari bugs untuk dijual?!

Jawaban ini balik lagi ke kita sebagai individu. Namun satu hal yang pasti, kita semua tahu tentang manifesto hacker. Tentang apa itu hacker. Jika kita paham betul-betul, maka tidak ada lagi waktu untuk merendahkan orang lain, menjelek-jelekan orang lain dan merasa cara kita lah yang paling pantas disebut hacker. Hmmm, seandai nya para pencetus ‘hacker’ di MIT dulu tahu apa akibat dari penggunaan kata hacker ini dikemudian hari, mungkin mereka lebih memilih kata-kata lain selain hacker, yang terkesan lucu seperti “monkey”. Jika menggunakan istilah itu untuk menyebut jagoan komputer, mungkin saat ini gak ada orang yang mau bilang “hei, gw nih monkey, jagoan komputer” :).

Oh iya, sekelumit cerita di atas diberlakukan untuk dunia di luar Indonesia. Saya sendiri kurang tau lebih dalam bagaimana industri security di Indonesia, ataupun kehidupan underground di Indonesia. Namun yang pasti, rasa-rasa nya tidak sedalam dan sehebat di luar. Para pelaku dunia industri security cenderung lebih ke arah penetration-tester, jarang ada yang melakukan riset untuk kemudian di publikasikan kepada dunia internasional. Para pelaku underground nya?!well…kebanyakan lamerz dan kiddies. Jarang ada kelompok atau individu yang serius melakukan riset dan menghasilkan 0day exploit atau kalaupun ada (yang kata nya sih 0day), bukan merupakan implementasi dari metoda baru, mungkin hanya sebatas bug hunter.

Well, no offense…ini hanya sebuah pendapat dari salah satu pemerhati dunia security di Indonesia. Not more!

Advertisements

15 thoughts on “Security Consultant v.s Underground

  1. Manifesto Hacker ya. The Mentor.
    Sampai sekarang saya belum mengerti benar tentang Manifesto tersebut. Dibaca dari Phrack.org, si Mentor bikinnya waktu berumur 16 Tahun, menjelang dia di tangkap. Dia bikin Manifesto tersebut sepengetahuan saya, karena dia prihatin melihat kondisi dimana pengetahuan tentang hacking dipergunakan untuk hal yang semena-mena, Merusak, di komersilkan, dijadikan ajang pamer kekuatan, dsb.

    Namun menariknya, Mengapa Manifesto hacker yang dibuat oleh si Mentor, dijadikan Acuan oleh para “hacker” seluruh Dunia. Seperti Status Quo jadinay. Apakah ada si Mentor menjabarkan lebih dalam lagi tentang Manifesto yang dibikinnya, seperti pada Manifesto kaum Komunis, dengan membuat sebuah karya tulis dalam bentuk Buku?.

    Nah, bagaimana Riwayat hidup si Mentor itu sendiri, apakah dia tetap berpegang teguh dengan Manifesto yang dia bikin sendiri ?.

    Kalau memang iya, bagaimana dia mengKondisikan pemahaman akan Manifesto tesrsebut ?, apakah “hacking” dijadikan aktifitas sambilankah ? atau lainnya.

  2. Ya, manifesto yang dibuat oleh anak berumur 16 tahun, yang saat itu tergila-gila dengan dunia baud :). Itulah unik nya suatu filosofi, tidak seperti matematis yang setiap pertanyaan memiliki satu jawaban yang jelas. Dan itu terserah balik lagi ke invididu nya, yang pasti latar belakang kehidupan akan sangat mempengaruhi pilihan kita terhadap suatu filosofi.

    Cukup banyak loh carder yang gak peduli mo disebut hacker atau bukan, yang penting mereka bisa punya duit ;).

  3. wew, artikel yang keren .. bravo, dah lama gw pengen nulis tenatng gini, tapi apalah daya ga punya kemampuan 🙂

    btw soal loyd blankenship, sekarang dia benar benar meng”hack” , liat aja hasil hacknya di situs resminya ” http://www.blankenship.com/

    soal pernyataan si heb soal “carder”, lucu juga, kalo gitu mending jadi crader yah . bahahahha, kidding

    ada satu artikel bagus di tulis mr johnny “google hack” long, yang di rangkum kang roni di http://keren.banget.or.id/?p=24

    selebihnya ini artikel bagus berbahasa indonesia, menurut persepsi gw 🙂

    pokoknya “hacker: its not about black or white” 😉

  4. Haha, betul juga…dia betul-betul hacking skrng, hacking kayu-kayu jadi bisa dimanfaatin :). Btw, mana oleh2 dr HITB malaysia nya dips?

  5. Tidak sepenuhnya benar yang kamu tulis tentang underground, ingat underground sesungguhnya jarang sekali tersentuh di permukaan, jika ZFO sudah cukup cool buat kamu, bagaimana dengan pHC, el8, h0no yang jelas lebih old school di underground?? Sebagai tambahan di artikel kamu ,underground di paksa agar terkesan mereka sebagian besar kiddie belasan tahun.

    Sebenernya non sense berdebatkan masalah seperti ini, hanya saja tidak perlu menulis artikel semacam ini kalo memang bukan old school daripada schene makin rusak.

  6. Sebagai tambahan, penjelasan blog ini lebih di fokuskan ke exploitasi (biasanya basic security consultant). Yang perlu di ingat adalah bagaimana dengan proses lain dalam hacking itu sendiri misal backdooring atau kelemahan di sisi manusia. Bagi konsultan sekuritas profesional biasanya lebih fokus exploitasi (just likes u) karena tugas mereka melakukan auditing dan assesment sekuritas sebuah sistem. Tapi kemampuan underground di backdooring atau teknik sosial biasanya jauh diatas konsultan sekuritas, kecuali konsultan sekuritas itu sendiri bertopi hitam di malam hari dan bertopi putih di siang hari. Ini cara mencari duit yang jauh dari benar layaknya pembuat virus menjual antivirus WTF?? right… Inilah alasan adanya proyek mayhem, karena banyak sekali konsultan sekuritas yang munafik dalam bekerja.

  7. Pure Underground memandang aktifitas Hacking dalam perspektif idealis romantik sedangkan Security Consultan dari pragmatis ekonomik.

    Dunia dibentuk dan diubah dari idealisme.

  8. Hm, High Council…

    Yg pertama, tulisan diatas bukan artikel, saya kan tidak pernah menyebutkan itu artikel, itu hanya sebuah opini, pandangan yang saya berikan antara dunia security consultant dengan kehidupan underground dalam sebuah media blog, dan setiap orang bebas berpendapat di blog nya masing-masing bukan?! :).

    Yang kedua, silakan dibaca lagi tulisan nya. Dlm tulisan tsb saya mencoba mengeluarkan pendapat terhadap security consultant dan underground, dan jika diperhatikan dengan ‘seksama’, bisa lihat sendiri adanya kritikan terhadap kedua nya, disamping juga kekaguman terhadap kedua nya.

    Ketiga, security consultant pada umumnya (di luar), dan di Indonesia pada khusus nya memfokuskan BUKAN pada exploitasi, namun pada penetration testing dan auditing, bagaimana mendapatkan kelemahan suatu sistem dan memberikan report serta melakukan tindakan preventive, plus…monitoring. Ini salah satu pandangan saya (could be wrong, could be right) ttg security consultant di indonesia yang cenderung krng ‘tanggap’ dengan riset teknologi, tidak seperti para security consultant di luar yang notabene selain melakukan pen-test juga melakukan research, contoh gampang nya adalah joanna rutkowska yang melakukan riset rootkit pada hvm (bluepill). Adakah researcher indonesia yang melakukan riset semacam ini dan berbicara di mata dunia ttg riset nya?

    Keempat, tidak semua underground old skewl, banyak dari mereka yang mendapatkan akses 0day dari apapun, slh satu nya 0day curian, membuat exploit dr informasi full disclosure (c’mon, membuat exploit jauh lbh mudah drpd hrs melakukan riset utk mencari bugs), jual beli 0day dengan credit card curian di blackmarket, atau memiliki backing seorang profesional developer yang tentu seni hacking nya tinggi, seperti giorgio maone si pembuat flashgot/mozilla extension, menemukan hole pada javascript dan xss (mkn spt yg digunakan clpwn) hal yg sangat biasa bagi mereka para developer/hacker.

    So?!

    Tidak ada yang benar ataupun salah dari suatu pendapat, apapun pilihan nya hacker tetap hacker, semua bebas pilih jalan hidup nya…dan jangan lupa, hacker tidak pernah merusak. jika ada yg merasa keluar masuk server adalah hal yang kewl, sesuatu yg old skewl…please don’t! Dengan modal rfi exploit plus krad pun anak SD bisa nanam backdoor :).

    Terakhir, terima kasih udah berpendapat kalo saya seorang security consultant profesional, tp maaf…try again my friend! 😉

  9. Oiya intinya kurang

    The real underground is never been touched…

    Di lihat dari hasil kerja mereka yang jarang terpublish ndes qe3x

  10. wolah keQ mana in blog postinganQu yang ini malah ga nongol iks :((, aku ulang saja deh :P~

    Rameeee huehuehue, ngejunk ahhh qe3x

    Btw, membuat exploits sebuah aplikasi sama sulitnya loh dari menemukan flawnya, bahkan kadang kala malah lebih susah bikin exploitsnya, maka dari itu banyak sekali advisories yang misal isinya stack overflow tapi ga ada full disclosoure PoC exploits karena untuk meriset exploits yang benar-benar bisa mengexploitasi dengan efektif butuh riset lama. Ya bayangkan saja kalo misal di linux mesti bypass exec-shield atau yang sederhana Virtual Address, padahal untuk menemukannya modal fuzzer atau perl -e ‘print “A”x100000’ or whatever huehuehue, atau di windows dengan SEH overwrite hihihi

    Welahhh, untuk backdooring mestinya jangan mengasumsikan anak SD nanem backdoor, banyak loh backdoor yang tidak terilis ke publik di situlah fokusnya underground mendevelope sebuah backdoor yang sifatnya efektif untuk takeover massive, biasanya dilengkapi kernel keylogger at least lamme ssh backdoor :)) Mestinya di underground banyak sekali yang ga terpublish. Konsultan sekuritas bermain di pentest tentunya si ada exploitsnya, lah kalo pentest ga ada exploitsnya gimana ndez hihihi?
    Itulah perbedaan yang mencolok dari konsultan sekuritas dan underground, walaupun mestinya banyak juga underground yang mendevelope exploits sendiri + researchnya. Banyak remote exploits+bugsnya yang belum terpublish dari underground sampai sekarang, kalo ada exploits ga di publish tapi advisoriesnya uda di publish itu siy bukan 0day lagi ndes lah patchnya bentar lagi nongol qe3x,

    Kalo asumsinya, dihadapkan seorang underground dan konsultan sekuritas untuk mencari flaw di sebuah aplikasi. Ya peluang besarnya konsultan sekuritinya yang OK. Lah underground yang nongol ke permukaan itu mestinya lagi pingin cari nama, bukan yang the real undergroundnya layaknya yang ikut2an PANHAC hahaha…

    Itu siy menurutQu celah yang kurang dari pendapat ente di blog ini. Lagi di warnet ini huahuahua :((

  11. Hehe, yeah…maka nya kan di blog nya dah saya tulis, “gak semua underground itu hacker, bnyk juga yang kiddies”, tapi jangan diasumsikan itu kiddies semua, berarti ada sebagian juga yang betul-betul ahli dalam skill nya, ya itu tadi…yang melahirkan 0day exploit ataupun metode-metode baru yang bahkan belum terpikirkan oleh dunia security permukaan.

    Kelompok-kelompok 3l1t3 spt yg disampaikan oleh high council (pHC, h0n0, el8) bukan termasuk golongan kiddies, klo boleh jujur…dr mereka semua saya sndr sampe skrng msh terkagum-kagum dengan ezine nya pHC, yg memang betul-betuk teknikal (sdkt sekali show-off atau bullsh*t nya), tp btl2 kupas teknis security secara teori dan implementasi.

    Dan spt yang ph03nix bilang, underground sebenar nya gak terpublish. Yup, bnyk kok underground2 yg di sewa oleh perusahaan ataupun government, tp nama nya gak diketahui, mrk yg btl2 underground…bahkan mungkin pHC sndr blm bs dikatakan btl2 underground krn mrk pernah muncul di slh satu wikipedia, dan mereka memunculkan diri di full disclosure stlh bbrp tahun diam di dlm underground.

    Aha, oke..setuju dengan pernyataan membuat exploit tidak semudah itu…namun saya ttp berpendapat, jalan menemukan sesuatu itu lbh sulit drpd sudah tau jalan nya dan tinggal jalan saja.

    Panhac?!hehe, g0t ur point brother…

  12. cyberheb: waduh, oleh-olehnya cape euy, otak gw ampe puyeng nampung semua, tetapi mungkin gw cuma bis abagi beberapa cerita (mudah-mudahan bisa di tulis), untuk sementara foto CTF aja yah (liat di blog gw kalo berminat :p) , btw CTF yang dilangsungkan bener-bener keren (gw ga bis abandingin ma defcon, soalnya belun pernah ke defcon), tiap team harus reversing, exploiting, attack and defend.

    yang kewl adalah speech dari phiber optic tentang “The Rise and Fall of Information Security in the Western World” , dan gw rasa dari paparan dia belun di kenal istilah white hat vs blackhat , hehehe, dan juga emmanuel goldstein yang membahas tentang”evolusi hacking” dari era 60-an sampai saat ini. Untuk materi lengkap keknya lo bisa liat aja di site hitb 🙂

    soal posting elo ini, gw minta maaf, koz gw yg sebut “artikel”, anyway gw cuma mo utarain opini gw tentang “undergroud” yang lo sebut di artikel ini dan juga dari komentar teman2, soal pHc, hono, el8, terus terang gw tau mereka dari berbagai publikasi (phrack, atau ezine yang mereka rilis, bahkan beberapa phile tsb bahkan berisi info tentang mereka) dan jika “real underground” itu gak akan terpublikasi/mempublikasikan maka mereka ….. ?

    Tetapi jika begitu (underground memang underground), maka gw berterima kasih dengan mereka yang bukan underground (atau tidak menyebut diri underground, like TESO, aleph1, woowoo). Karena “jujur” gw belajar dari berbagai publikasi mereka :), gw cuma bisa berterima kasih atas ilmu yang di bagi 🙂

    hahahhaha .. pusing lah .. lets hack ..

  13. orang indonesia memang sopan dan pandai bicara. qu rasa qt harus menyadari tabiat bangsa kita sendiri dg budaya ‘tutur kata’ yang santun 🙂

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s