Apa itu peretasan?

Namun, peretasan tidak selalu memiliki tujuan jahat. Seorang konsumen yang mengutak-atik ponsel pintar pribadi mereka untuk menjalankan program khusus juga, secara teknis, adalah seorang peretas.

Peretas jahat telah membangun ekonomi kejahatan siber yang sangat besar, di mana para penjahat mendapatkan keuntungan dengan memulai serangan siber, memeras korban, atau menjual malware dan data curian satu sama lain. Biaya global dari semua kejahatan siber diperkirakan akan mencapai hampir USD 24 triliun pada tahun 2027.¹

Peretasan yang jahat dapat menimbulkan konsekuensi yang menghancurkan. Individu menghadapi pencurian identitas, pencurian uang, dan banyak lagi. Organisasi dapat mengalami waktu henti sistem, kebocoran data dan kerugian lainnya yang menyebabkan hilangnya pelanggan, pendapatan yang lebih rendah, reputasi yang rusak dan denda atau hukuman hukum lainnya. Secara keseluruhan, menurut IBM Laporan Biaya Pelanggaran Data, rata-rata pelanggaran data merugikan organisasi sebesar USD 4,88 juta.

Di ujung lain spektrum peretasan, komunitas keamanan siber bergantung pada peretas etis—peretas yang memiliki niat membantu dan bukan kriminal—untuk menguji langkah-langkah keamanan, mengatasi kelemahan keamanan, dan mencegah ancaman siber. Para peretas etis ini mencari nafkah dengan membantu perusahaan menopang sistem keamanan mereka atau dengan bekerja sama dengan penegak hukum untuk menumpas rekan-rekan mereka yang jahat.

Serangan siber adalah upaya yang disengaja untuk merusak sistem komputer atau penggunanya, sedangkan peretasan adalah tindakan mendapatkan akses atau kontrol atas sistem melalui cara yang tidak sah. Perbedaan utamanya adalah bahwa serangan siber selalu merusak target mereka, tetapi peretasan bisa baik, buruk atau netral.

Pelaku jahat dapat, dan sering kali, menggunakan teknik peretasan untuk memulai serangan siber—misalnya, seseorang mengeksploitasi kerentanan sistem untuk membobol jaringan dan menanamkan ransomware.

Atau, peretas etis menggunakan teknik peretasan untuk membantu organisasi memperkuat pertahanan mereka. Ini pada dasarnya adalah kebalikan dari serangan siber.

Perbedaan penting lainnya adalah bahwa peretasan tidak selalu ilegal. Jika seorang peretas memiliki izin dari pemilik sistem—atau pemilik sistem—aktivitas mereka legal.

Sebaliknya, serangan siber hampir selalu ilegal, karena penjahat ini tidak memiliki persetujuan dari target dan secara aktif bertujuan untuk menyebabkan kerusakan.

Peretas terbagi dalam 3 categories utama berdasarkan motif dan taktik mereka:

• Peretas jahat yang meretas untuk menyebabkan kerusakan

• Peretas etis yang meretas untuk melindungi perusahaan dari bahaya

• Peretas Vigilante atau “topi abu-abu” yang mengaburkan batas antara peretasan “baik” dan “buruk”

Peretas jahat (kadang-kadang disebut "peretas topi hitam") adalah penjahat siber yang meretas untuk tujuan jahat, merugikan korbannya demi keuntungan pribadi atau finansial.

Beberapa peretas jahat melakukan serangan siber secara langsung, sementara yang lain mengembangkan kode atau mengeksploitasi berbahaya untuk dijual ke peretas lain di dark web. (Lihat, misalnya, ransomware sebagai pengaturan layanan.) Mereka dapat bekerja sendiri atau sebagai bagian dari geng ransomware, jaringan penipuan atau kelompok terorganisir lainnya.

Uang merupakan motivasi paling umum bagi para peretas jahat. Mereka biasanya “mendapatkan” gaji mereka dengan cara:

• Mencuri data sensitif atau pribadi—kredensial login, nomor kartu kredit, nomor rekening bank, nomor jaminan sosial—yang dapat mereka gunakan untuk membobol sistem lain, melakukan pencurian atau penjualan identitas.

  Menurut IBM X-Force Threat Intelligence Index, eksfiltrasi data merupakan dampak yang paling umum dari serangan siber, yang terjadi pada 32% serangan.

• Memeras korban, seperti menggunakan serangan ransomware atau serangan denial-of-service terdistribusi (DDoS) untuk menyandera data, perangkat, atau operasi bisnis hingga korban membayar uang tebusan. Pemerasan, yang terjadi pada 24% insiden, merupakan dampak serangan paling umum kedua menurut Threat Intelligence Index.

• Melakukan spionase perusahaan untuk disewa, mencuri kekayaan intelektual atau informasi rahasia lainnya dari pesaing perusahaan kliennya.

Peretas jahat terkadang memiliki motivasi selain uang. Misalnya, seorang karyawan yang tidak puas mungkin meretas sistem peerusahaan semata-mata karena kehilangan promosi.

Peretas etis (kadang-kadang disebut "peretas topi putih") menggunakan keterampilan peretasan komputer mereka untuk membantu perusahaan menemukan dan memperbaiki kerentanan keamanan sehingga pelaku ancaman tidak dapat mengeksploitasinya.

Peretasan etis adalah profesi yang sah. Peretas etis bekerja sebagai konsultan keamanan atau karyawan perusahaan yang mereka retas. Untuk membangun kepercayaan dan membuktikan keahlian mereka, peretas etis mendapatkan sertifikasi dari badan seperti CompTIA dan EC-Council. Mereka mengikuti kode etik yang ketat. Mereka selalu mendapatkan izin sebelum meretas, tidak menyebabkan kerusakan, dan menjaga kerahasiaan temuan mereka.

Salah satu layanan peretasan etis yang paling umum adalah pengujian penetrasi (atau “pengujian pena”), di mana peretas memulai serangan siber tiruan terhadap aplikasi web, jaringan, atau aset lain untuk menemukan kelemahan mereka. Mereka kemudian bekerja sama dengan pemilik aset untuk memperbaiki kelemahan tersebut.

Peretas etis juga dapat melakukan penilaian kerentanan, menganalisis malware untuk mengumpulkan intelijen ancaman atau berpartisipasi dalam siklus proses pengembangan perangkat lunak yang aman.

Peretas topi abu-abu atau topi abu-abu tidak cocok dengan kamp etis atau jahat. Para peretas ini membobol sistem tanpa izin, tetapi mereka melakukannya untuk membantu organisasi yang mereka retas—dan mungkin mendapatkan imbalan.

Nama “topi abu-abu” mengacu pada fakta bahwa para peretas ini beroperasi di area moral yang tidak jelas. Mereka memberi tahu perusahaan tentang kekurangan yang mereka temukan dalam sistem mereka dan mungkin menawarkan untuk memperbaiki kerentanan ini dengan imbalan biaya atau bahkan pekerjaan. Meskipun memiliki niat baik, mereka dapat secara tidak sengaja memberi tahu peretas jahat tentang vektor serangan baru.

Beberapa programmer amatir hanya meretas untuk bersenang-senang atau untuk belajar atau mendapatkan ketenaran karena berhasil membobol target yang sulit. Misalnya, kebangkitan AI generatif telah memicu lonjakan peretas AI penghobi yang bereksperimen dengan melakukan jailbreaking pada model AI untuk membuat AI melakukan hal-hal baru.

"Hacktivists" adalah aktivis yang meretas sistem untuk menarik perhatian pada isu-isu sosial dan politik. Kelompok kolektif Anonymous mungkin merupakan kelompok hacktivist yang paling terkenal, yang telah melakukan serangan terhadap target-target terkenal seperti pemerintah Rusia dan Perserikatan Bangsa-Bangsa.

Para peretas yang disponsori negara memiliki dukungan resmi dari sebuah negara. Mereka bekerja sama dengan pemerintah untuk memata-matai musuh, mengganggu infrastruktur penting, atau menyebarkan informasi yang salah, sering kali atas nama keamanan nasional.

Apakah para peretas ini beretika atau jahat, tergantung pada siapa yang melihatnya. Pertimbangkan serangan Stuxnet terhadap fasilitas nuklir Iran, yang diyakini sebagai karya pemerintah AS dan Israel. Siapa pun yang memandang program nuklir Iran sebagai ancaman keamanan mungkin menganggap serangan itu etis.

Pada akhirnya, apa yang dilakukan peretas adalah mendapatkan akses ke sistem dengan cara tertentu yang tidak dimaksudkan oleh perancang sistem. Cara mereka melakukan ini bergantung pada tujuan mereka dan sistem yang mereka targetkan.

Peretasan bisa sesederhana mengirim email phising untuk mencuri kata sandi dari siapa saja yang menggigit atau serumit ancaman persisten lanjutan (APT) yang diam-diam bersembunyi di jaringan selama bulan-bulan.

Beberapa metode peretasan yang paling umum meliputi:

• Sistem operasi khusus
• Pemindai jaringan
• Malware
• Rekayasa sosial
• Pencurian kredensial dan penyalahgunaan akun 
• Peretasan berkemampuan AI
• Serangan lainnya

Meskipun orang bisa menggunakan sistem operasi standar Mac atau Microsoft untuk meretas, banyak peretas menggunakan sistem operasi (OS) khusus yang sarat dengan alat peretasan yang dibuat khusus seperti peretas kredensial dan pemindai jaringan.

Sebagai contoh, Kali Linux, sebuah distribusi Linux sumber terbuka yang dirancang untuk pengujian penetrasi, populer di kalangan peretas etis.

Peretas menggunakan berbagai alat bantu untuk mempelajari tentang target mereka dan mengidentifikasi kelemahan yang dapat mereka eksploitasi.

Sebagai contoh, sniffer paket menganalisis lalu lintas jaringan untuk menentukan dari mana asalnya, ke mana tujuannya, dan data apa yang dikandungnya. Pemindai port menguji perangkat dari jarak jauh untuk menemukan port yang terbuka dan tersedia yang dapat digunakan peretas untuk terhubung. Pemindai kerentanan mencari kerentanan yang diketahui, sehingga memungkinkan peretas menemukan pintu masuk ke target dengan cepat.

Perangkat lunak berbahaya, atau malware, adalah senjata kunci dalam persenjataan peretas jahat. Menurut X-Force Threat Intelligence Index, 43% serangan siber melibatkan malware.

Beberapa jenis malware yang paling umum meliputi:

• Ransomware mengunci perangkat atau data korban dan menuntut pembayaran tebusan untuk membukanya.

• Botnet adalah jaringan perangkat yang terhubung ke internet dan terinfeksi malware yang berada di bawah kendali peretas. Malware botnet sering menargetkan perangkat Internet of Things (IoT) karena perlindungan mereka yang biasanya lemah. Peretas menggunakan botnet untuk memulai serangan denial-of-service terdistribusi (DDoS).
  

• Kuda Trojan menyamar sebagai program yang berguna atau bersembunyi di dalam perangkat lunak yang sah untuk mengelabui pengguna agar menginstalnya. Peretas menggunakan Trojan untuk secara diam-diam mendapatkan akses jarak jauh ke perangkat atau mengunduh malware lain tanpa sepengetahuan pengguna.

• Spyware secara diam-diam mengumpulkan informasi sensitif—seperti kata sandi atau detail rekening bank—dan mengirimkannya kembali ke penyerang.

  Malware Infostealing telah menjadi sangat populer di kalangan penjahat siber karena tim keamanan siber telah belajar untuk menggagalkan jenis malware umum lainnya. Threat Intelligence Index menemukan bahwa aktivitas infostealer meningkat sebesar 266% pada tahun 2022–2023.

Serangan rekayasa sosial menipu orang untuk mengirim uang atau data ke peretas atau memberi mereka akses ke sistem sensitif. Taktik rekayasa sosial yang umum meliputi:

• Serangan phishing, seperti penipuan penyusupan email bisnis, yang menggunakan email palsu atau pesan lainnya.

• Serangan phishing tombak yang menargetkan individu tertentu, sering kali dengan menggunakan detail dari halaman media sosial publik mereka untuk mendapatkan kepercayaan mereka. 

• Serangan umpan, di mana peretas menempatkan drive USB yang terinfeksi malware di tempat umum. 

• SeranganScareware , yang menggunakan ketakutan untuk memaksa korban melakukan apa yang diinginkan peretas.

Peretas selalu mencari jalan dengan perlawanan paling sedikit, dan di banyak jaringan perusahaan, itu berarti mencuri kredensial karyawan. Menurut Indeks X-Force Threat Intelligence IBM, penyalahgunaan akun yang valid adalah vektor serangan siber yang paling umum, terhitung 30% dari semua insiden.

Berbekal kata sandi karyawan, peretas dapat menyamar sebagai pengguna resmi dan melewati kontrol keamanan. Peretas dapat memperoleh kredensial akun melalui berbagai cara.

Mereka dapat menggunakan spyware dan infostealer untuk memanen kata sandi atau mengelabui pengguna untuk membagikan informasi login melalui rekayasa sosial. Mereka dapat menggunakan alat peretas kredensial untuk meluncurkan serangan brute-force—secara otomatis menguji kata sandi potensial hingga ada yang berhasil—atau bahkan membeli kredensial yang dicuri sebelumnya dari dark web.

Sama seperti pembela sekarang menggunakan kecerdasan buatan (AI) untuk melawan ancaman siber, peretas menggunakan AI untuk mengeksploitasi target mereka. Tren ini terwujud dalam dua cara: peretas menggunakan alat AI pada target mereka dan peretas menargetkan kerentanan di aplikasi AI.

Peretas dapat menggunakan AI generatif untuk mengembangkan kode berbahaya, menemukan kerentanan, dan membuat eksploitasi. Dalam sebuah penelitian, para peneliti menemukan bahwa model bahasa besar (LLM ) yang tersedia secara luas seperti ChatGPT dapat mengeksploitasi kerentanan satu hari dalam 87% kasus.

Peretas juga dapat menggunakan LLM untuk menulis email phishing dalam waktu singkat—lima menit dibandingkan dengan 16 jam yang diperlukan untuk membuat email yang sama secara manual, menurut X-Force Threat Intelligence Index.

Dengan mengotomatiskan sebagian besar proses peretasan, alat bantu AI ini dapat menurunkan penghalang untuk masuk ke bidang peretasan, yang memiliki konsekuensi positif dan negatif.

• Positif: Peretas yang lebih jinak dapat membantu organisasi memperkuat pertahanan mereka dan meningkatkan produk mereka.
  
  
• Negatif: Pelaku kejahatan tidak memerlukan keahlian teknis tingkat lanjut untuk memulai serangan yang canggih—mereka hanya perlu mengetahui cara untuk menggunakan LLM.

Adapun permukaan serangan AI yang berkembang, meningkatnya adopsi aplikasi AI memberi peretas lebih banyak cara untuk membahayakan perusahaan dan individu. Misalnya, serangan peracunan data dapat menurunkan kinerja model AI dengan menyelipkan data berkualitas rendah atau data yang sengaja dibuat menyimpang ke dalam set pelatihannya. Injeksi perintah menggunakan perintah berbahaya untuk mengelabui LLM agar membocorkan data sensitif, menghancurkan dokumen penting atau lebih buruk lagi.

• Serangan man-in-the-middle (MITM), juga dikenal sebagai adversary-in-the-middle (AITM), melibatkan peretas yang menguping komunikasi sensitif antara dua pihak, seperti email antar pengguna atau koneksi antara browser web dan server web.

  Misalnya, serangan spoofing DNS mengalihkan pengguna dari halaman web yang sah ke salah satu yang dikendalikan peretas. Pengguna mengira dia berada di situs asli, dan peretas diam-diam dapat mencuri informasi yang mereka bagikan.

• Serangan injeksi, seperti cross-site scripting (XSS), menggunakan skrip berbahaya untuk memanipulasi aplikasi dan situs web yang sah. Sebagai contoh, dalam serangan injeksi SQL, peretas membuat situs web membocorkan data sensitif dengan memasukkan perintah SQL ke dalam bidang input pengguna yang berhadapan dengan publik.

• Serangan tanpa berkas, yang juga disebut "living off the land", adalah teknik di mana peretas menggunakan aset yang telah mereka bobol untuk bergerak secara lateral melalui jaringan atau menyebabkan kerusakan lebih lanjut. Misalnya, jika peretas mendapatkan akses ke antarmuka baris perintah mesin, mereka dapat menjalankan skrip berbahaya langsung di memori perangkat tanpa meninggalkan banyak jejak.

Pada awal 1980-an, sekelompok peretas yang dikenal sebagai 414 membobol target, termasuk Laboratorium Nasional Los Alamos dan Pusat Kanker Sloan-Kettering. Meskipun 414 hanya menyebabkan sedikit kerusakan nyata, peretasan mereka memotivasi Kongres AS untuk meloloskan Undang-Undang Penipuan dan Penyalahgunaan Komputer, yang secara resmi menjadikan peretasan jahat sebagai kejahatan.

Salah satu worm komputer pertama, worm Morris dirilis ke internet pada tahun 1988 sebagai percobaan. Worm ini menyebabkan kerusakan lebih besar daripada yang direncanakan, memaksa ribuan komputer offline dan menghabiskan biaya sekitar USD 10 juta terkait dengan waktu henti dan remediasi.

Robert Tappan Morris, pemrogram worm tersebut, adalah orang pertama yang menerima hukuman pidana di bawah Undang-Undang Penipuan dan Penyalahgunaan Komputer.

Pada tahun 2021, peretas menginfeksi sistem Colonial Pipeline dengan ransomware, memaksa perusahaan untuk menutup sementara pipa yang memasok 45% bahan bakar di Pantai Timur AS. Peretas menggunakan kata sandi karyawan yang ditemukan di dark web untuk mengakses jaringan. Colonial Pipeline Company membayar uang tebusan USD 5 juta untuk mendapatkan kembali akses ke datanya.

Pada tahun 2024, perusahaan sistem pembayaran Change Healthcare mengalami pelanggaran data besar-besaran yang mengganggu sistem penagihan di seluruh industri perawatan kesehatan AS. Para peretas memperoleh data pribadi, detail pembayaran, catatan asuransi, dan informasi sensitif lainnya dari jutaan orang.

Karena banyaknya jumlah transaksi yang diproses oleh Change Healthcare, pelanggaran ini diperkirakan telah mempengaruhi sepertiga dari seluruh orang Amerika. Total biaya yang terkait dengan pelanggaran mungkin mencapai USD 1 miliar.

Setiap organisasi yang mengandalkan sistem komputer untuk fungsi-fungsi penting—yang mencakup sebagian besar bisnis—berisiko mengalami peretasan. Tidak ada cara untuk menghindari radar peretas, tetapi perusahaan dapat mempersulit peretas untuk masuk, mengurangi kemungkinan dan biaya peretasan yang berhasil.

• Pertahanan umum terhadap peretas meliputi:
• Kata sandi dan kebijakan autentikasi yang kuat
• Pelatihan keamanan siber
• Manajemen patch 
• AI dan otomatisasi keamanan
• Alat bantu deteksi dan respons terhadap ancaman
• Solusi keamanan data
• Peretasan etis

Menurut Laporan Biaya Pelanggaran Data, kredensial yang dicuri dan dibobol adalah vektor serangan yang paling umum untuk pelanggaran data.

Kata sandi yang kuat dapat mempersulit peretas untuk mencuri kredensial. Langkah-langkah autentikasi yang ketat seperti autentikasi multifaktor (MFA) dan sistem manajemen akses istimewa (PAM) membuat para peretas memerlukan lebih dari sekadar kata sandi yang dicuri untuk membajak akun pengguna.

Melatih karyawan tentang praktik terbaik keamanan siber seperti mengenali serangan rekayasa sosial, mengikuti kebijakan perusahaan, dan memasang kontrol keamanan yang sesuai, dapat membantu organisasi mencegah lebih banyak peretasan. Menurut Laporan Biaya Pelanggaran Data, pelatihan dapat mengurangi biaya pelanggaran data sebanyak USD 258.629.

Para peretas sering kali mencari sasaran empuk, memilih untuk menerobos jaringan dengan kerentanan yang sudah dikenal luas. Program manajemen tambalan formal dapat membantu perusahaan tetap memiliki tambalan keamanan dari penyedia perangkat lunak, sehingga lebih sulit bagi peretas untuk masuk.

Laporan Biaya Pelanggaran Data menemukan bahwa organisasi yang berinvestasi besar-besaran dalam AI dan otomatisasi untuk keamanan siber dapat mengurangi biaya pelanggaran rata-rata sebesar USD 1,88 juta. Mereka juga mengidentifikasi dan menahan pelanggaran 100 hari lebih cepat daripada organisasi yang tidak berinvestasi dalam AI dan otomatisasi.

Laporan tersebut mencatat bahwa AI dan otomatisasi dapat sangat bermanfaat jika diterapkan dalam alur kerja pencegahan ancaman seperti manajemen permukaan serangan, tim merah, dan manajemen postur.

Firewall dan sistem pencegahan intrusi (IPS) dapat membantu mendeteksi dan memblokir peretas agar tidak masuk ke dalam jaringan. Perangkat lunak informasi keamanan dan manajemen acara (SIEM) dapat membantu menemukan peretasan yang sedang berlangsung. Program antivirus dapat menemukan dan menghapus malware, dan platform deteksi dan respons titik akhir (EDR) dapat mengotomatiskan respons terhadap peretasan yang rumit sekalipun. Karyawan jarak jauh dapat menggunakan jaringan pribadi virtual (VPN) untuk memperkuat keamanan jaringan dan melindungi lalu lintas dari penyadapan.

Organisasi dengan kontrol terpusat atas data, di mana pun data itu berada, dapat mengidentifikasi dan mengatasi pelanggaran lebih cepat daripada organisasi tanpa kontrol tersebut, menurut Laporan Biaya Pelanggaran Data.

Alat bantu seperti solusi manajemen postur keamanan data, solusi pencegahan kehilangan data (DLP), solusi enkripsi, dan pencadangan yang aman dapat membantu melindungi data dalam perjalanan, saat tidak aktif, dan sedang digunakan.

Peretas etis adalah salah satu pertahanan terbaik terhadap peretas jahat. Peretas etis dapat menggunakan penilaian kerentanan, uji penetrasi, tim merah, dan layanan lainnya untuk menemukan dan memperbaiki kerentanan sistem dan masalah keamanan informasi sebelum peretas dan ancaman siber dapat mengeksploitasinya.