Saya ingat enam jam dan lima belas menit terpanjang dalam hidup saya. Mari kita putar balik waktu ke akhir Oktober 2016. Saya dan empat orang teman saya sedang duduk di sebuah ruangan di Virginia, U.S., untuk mengikuti sebuah kompetisi di bidang keamanan informasi. Setiap tim dihadapkan pada permasalahan yang sama, yaitu memeriksa cyber incident yang terjadi di sebuah perusahaan dengan memeriksa berbagai macam file. Kami dihadapkan kepada 80 GB lebih data untuk dianalisis selama jangka waktu enam jam itu. Setelah dengan penuh kesabaran berhasil mendistribusikan data yang diperlukan kepada semua anggota tim, kami mulai bekerja dalam diam dan menatap layar laptop kami masing-masing. Bagi saya, itu merupakan proses yang sangat panjang karena saya mencoba menganalisis satu per satu file dengan cara menjalankan script yang saya buat, menunggu, dan memeriksa hasilnya (yang seringkali nihil).
Nama kompetisi itu adalah: National Cyber Analyst Challenge (Sumber: http://cyberanalystchallenge.org/blog/ncac-2016-pictures/#jp-carousel-850)
Saat itu bukanlah kali pertama saya meragukan keputusan saya untuk mendalami bidang keamanan informasi. Selama tiga semester saya berkuliah di Carnegie Mellon University, pikiran itu sering terbesit dalam benak saya. Namun saya masih di sini, tidak menyesali keputusan yang saya buat hingga detik ini. Oleh karena itu, dengan artikel ini, saya harap saya dapat mengajak para pembaca untuk mengenal bidang keilmuan saya secara lebih dekat.
Q:Kamu belajar keamanan informasi? Bisa hack account Facebook seseorang donk?
A: Err… Tidak…
Bagi saya yang sedang mendalami bidang keamanan informasi, tidak hanya sekali atau dua kali saja pertanyaan seperti itu ditujukan kepada saya. Tentu tidak salah bertanya seperti itu, tetapi sangat disayangkan apabila persepsi yang muncul mengenai keamanan informasi hanya sebatas itu karena sebenarnya spesialisasi keamanan informasi sangat beragam dan sangat menarik untuk dipelajari.
Hacking (atau penetration testing) merupakan salah satu spesialisasi dari keilmuan ini. Seorang penetration tester akan mencari jalan masuk ke dalam suatu sistem dan mencoba untuk mengambil data berharga yang disimpan di dalam sistem tersebut. Namun dalam praktiknya, hal ini tentu dilakukan setelah mendapat persetujuan pemilik dari sistem tersebut. Berlatih penetration testing merupakan hal yang menarik sekaligus menantang karena kreativitas dan mindset “seorang pencuri yang ingin masuk ke dalam suatu rumah” sangat dibutuhkan.
Spesialisasi lain yang sedang naik daun adalah komputer forensik. Spesialisasi ini fokus kepada menemukan bukti-bukti dari sebuah cyber incident, yang nantinya dapat dijadikan bukti dalam pengadilan. Banyak sekali hal yang dapat ditemukan, mulai dari yang tersimpan di dalam komputer itu sendiri (host-based), maupun yang terpatri di dalam jaringan komputer (network-based). Spesialisasi ini cukup bertolak belakang dari penetration testing, dimana mindset “bagaimana seorang pencuri dapat masuk ke dalam sebuah rumah dan bagaimana saya menemukan buktinya” akan sangat dibutuhkan.
Penetration testing dan komputer forensik terlalu teknis? Jangan khawatir, bidang keamanan informasi juga menawarkan spesialisasi yang tidak terlalu teknis namun tetap menarik. Spesialisasi privacy dan information security risk management dapat dipertimbangkan. Bagaimana sebuah teknologi, regulasi, atau kebijakan membahayakan privacy seseorang adalah pokok bahasan yang pasti ditemui apabila seseorang memilih untuk mendalami spesialisasi privacy. Spesialisasi information security risk management juga tidak kalah menarik. Risk management fokus kepada bagaimana keamanan informasi seharusnya diterapkan dengan mempertimbangkan resiko dan biaya yang muncul.
Empat spesialisasi yang saya sebutkan itu hanyalah beberapa dari spesialisasi yang ada di bidang keamanan informasi. Masih banyak hal lain yang dapat didalami seperti: malware analysis dan secure coding.
Q: Mengapa belajar keamanan informasi itu penting?
A: Karena IT semakin banyak digunakan di segala aspek. Permasalahan di bidang keamanan informasi akan bertambah seiring meningkatnya penggunaan IT dan kerumitan sistem informasi yang digunakan. Apabila permasalahan keamanan informasi tidak ditangani secara tepat, akan banyak sekali masalah yang dapat muncul, seperti kehilangan ratusan ribu dollar dan pencurian identitas.
Q: Apakah kerjanya hanya menatap layar hitam dan tulisan hijau?
A: Tidak selalu. Walau ada hal-hal tertentu yang harus dilakukan dengan layar hitam dan tulisan hijau (kami menyebutnya command prompt atau terminal, dan tulisannya tidak harus hijau!), banyak hal dapat dikerjakan dengan antarmuka yang lebih baik. Salah satunya adalah konfigurasi keamanan dari suatu sistem. Terutama dalam Windows operating system, konfigurasi keamanan sudah dibuat cukup user-friendly, yaitu dengan klik button atau check/uncheck check box saja. Bahkan ada juga banyak hal yang dapat dikerjakan tanpa menyentuh hal yang teknis, seperti bagaimana membuat anggaran biaya untuk program pelatihan keamanan informasi.
Ilustrasi Tampilan Terminal (Sumber: https://www.offensive-security.com/wp-content/uploads/2015/04/metasploit-unleashed-add-module-path.png)
Contoh Konfigurasi Keamanan dengan Antarmuka yang Lebih Baik (Sumber: https://upload.wikimedia.org/wikipedia/commons/5/53/ClamWin_0.90_Configuration_Screen.png)
Q: Apakah harus memiliki latar belakang Computer Science untuk mendalami keamanan informasi?
A: Tidak harus, walau memiliki latar belakang Computer Science akan sangat membantu. Dua orang teman sekelas yang saya kagumi tidak memiliki latar belakang Computer Science. Satu orang memiliki latar belakang Political Science, dan saya yakin, dia adalah salah satu orang yang memiliki IPK tertinggi di kelas saya. Teman saya yang lain memiliki latar belakang Economy dan History, dan dia adalah orang yang memiliki pengetahuan yang paling teknis mengenai keamanan informasi. Tentu memiliki latar belakang Computer Science akan sangat membantu karena banyak hal yang sudah dipelajari dari Computer Science seperti pemrograman dan jaringan komputer yang akan sangat membantu dalam mempelajari keamanan informasi, namun tidak berarti bahwa orang-orang yang memiliki latar belakang lain tidak dapat mengejar materi yang diberikan.
Q: Bagaimana prospek karir di bidang keamanan informasi?
A: Sangat menjanjikan! Menurut report Cisco “Mitigating the Cybersecurity Skills Shortage”, ada lebih dari satu juta posisi yang belum terisi untuk para ahli di bidang keamanan informasi[1]. Bidang ini juga akan sangat menjanjikan di Indonesia karena pesatnya perkembangan IT di Indonesia.
Mungkin itu adalah beberapa hal yang dapat saya bagikan bagi pembaca yang ingin mengetahui (dan mungkin ingin mendalami) bidang keamanan informasi. Silakan kirimkan email kepada saya (danielsuryanata@gmail.com) atau tinggalkan pesan di kolom komentar apabila para pembaca ingin bertanya sesuatu mengenai bagaimana studi di bidang keamanan informasi.
ke cerita awal saya, pada akhirnya, salah satu teman saya berseru “Hei, saya menemukan sesuatu!”. Kemudian ia pun menjelaskan bagaimana ia menemukan suatu petunjuk. Dari sanalah kami mulai mencari lagi. Setelah merekonstruksi timeline kejadian, kami mulai menyusun presentasi untuk para board of director mengenai cyber incident yang terjadi di dalam perusahaan tersebut. Hasilnya? Tidak buruk.
Hasil Kompetisi (Source: http://www.ini.cmu.edu/news/2016/11/NCAC2016.html)
Sebagai penutup, akan saya berikan beberapa fun quizzes di bidang keamanan informasi, silakan jawab atau bertanya di kolom komentar.
Skenario 1
Andi sedang jatuh cinta kepada Rita. Suatu hari, Andi ingin mengirim surat cinta kepada Rita. Karena tidak ingin isi dari surat cinta tersebut diketahui orang lain, Andi dan Rita setuju untuk menggunakan kode. Berikut adalah kode yang mereka setujui:
Kode yang Andi dan Rita setujui (Sumber: https://s3.amazonaws.com/gs-geo-images/06b247de-5cc9-4c5f-9160-f0be9dbb240a.jpg)
Saat menulis huruf ‘A’, Andi menggantinya dengan ‘N’. Saat menulis huruf ‘N’, Andi menggantinya dengan ‘A’. Begitu pula dengan semua huruf lain. Karena merasa sudah aman, Andi meminta Budi untuk menyampaikan surat tersebut kepada Rita. Apa masalah keamanan yang dapat muncul dalam skenario ini? (Petunjuk: ROT13)
Skenario 2:
Setelah kisah cintanya digagalkan oleh Budi, Andi memilih untuk memulai karir di bidang penjualan barang seni. Untuk mendapatkan feedback dari pelanggannya, Andi menyediakan sebuah kotak besar dimana para pelanggan dapat menuliskan feedback mereka secara anonymous. Apabila seorang pelanggan memiliki banyak feedback, orang tersebut dapat menuliskan lebih dari satu feedback. Di akhir hari, Andi akan membaca semua feedback tersebut dengan mengalokasikan sepuluh menit untuk membaca sebuah feedback. Bagaimana Budi dapat menghambat Andi dalam membaca semua feedback dari pelanggannya? Budi tidak dapat mencuri kotak tersebut, tidak dapat mencuri, ataupun mengubah feedback dari pelanggan lain. (Petunjuk: Denial of Service).
Skenario 3:
Karena Budi berhasil menghambat Andi dalam membaca semua feedback, Andi menghentikan sistem feedback tersebut. Suatu hari, Budi mampir untuk membeli suatu lukisan seharga Rp 1.000.000,00. Pada saat membayar, Budi menyerahkan sepuluh lembar uang Rp 100.000,00. Andi menghitungnya dengan seksama. Setelah mengetahui bahwa jumlah uang yang dibayarkan oleh Budi memang sesuai, Andi meletakkan uang tersebut di meja dan mengambil nota pembayaran di ruangan yang berbeda. Sekembalinya Andi, ia menulis kwitansi untuk Budi, langsung mengambil uang yang diletakkannya di meja, memasukkan uang tersebut ke dalam sebuah laci, dan mempersilakan Budi untuk pergi dan membawa lukisan tersebut[2]. Apa masalah keamanan yang dapat muncul dalam skenario ini? (Petunjuk: TOCTOU)
Photo Courtesy: Heinz College (http://www.heinz.cmu.edu/about-heinz/image.aspx?id=2946), NCAC, Offensive-Security, Wikimedia, CMU INI, Geocaching.
Referensi:
[1] Cisco. (2015). Mitigating The Cybersecurity Skills Shortage. Retrieved from: http://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-talent.pdf.
[2] Pfleeger, C. P., & Pfleeger, S. L. (2002). Security in computing. Prentice Hall Professional Technical Reference.