Sebenarnya, keinginan saya untuk tetap rutin membuat tulisan berupa blog di Internet terkait IT Security selalu menjadi salah satu target saya di setiap tahunnya. Tapi seperti apa yang terjadi pada target-target saya lainnya. Tidak pernah terealisasikan…
Maka dari itu, di awal tahun 2023 ini saya mencoba untuk memulai (kembali) membuat sebuah tulisan dan semoga lebih rutin.
Akan tetapi, ketika memutuskan memulai menulis lagi, saya belum menentukan tema apa yang harus saya angkat di tulisan-tulisan saya nantinya. Awalnya saya berpikir untuk membuat tulisan bersifat teknis terkait IT Security. Namun, setelah saya pikir ulang, beberapa teman-teman saya sudah ada yang membuat tulisan-tulisan teknis yang sangat bagus. Seperti Tom dengan materi Exploit Development, dan Digit dengan materi Blue Team & Threat Hunting.
Saya lalu mencoba mencari tema yang belum banyak dibahas oleh teman-teman dan penggiat IT Security lainnya. Di saat itu saya mendapatkan ide untuk menceritakan beberapa pengalaman-pengalaman dan pandangan-pandangan saya selama berkecimpung di dunia IT Security. Awalnya cukup ragu apakah ini ide yang bagus karena takutnya ini akan bersifat subjektif (dan mungkin mengarah narsis?).
Tapi ya, balik lagi. Tujuan saya disini memang untuk berbagi saja dan berharap ini bisa menjadi sebuah bahan pembelajaran atau masukan bagi rekan-rekan di komunitas IT Security, khususnya para teman-teman yang baru atau tertarik untuk masuk ke dalam industri IT Security di Indonesia. Jadi ya, kenapa tidak dicoba saja.
Tahun 2011
Mungkin kita bisa mulai dari bagaimana saya mulai masuk di dunia IT Security. Jadi pada tahun 2011 saya adalah seorang mahasiswa tahun 3 yang biasa-biasa saja dengan IPK pas-pasan (di bawah 3 malah haha). Kemampuan coding serta jaringan komputer saya saat itu bisa dibilang cukup lah (bisa tapi ga yang jago-jago banget). Saat itu saya berada dalam persimpangan hidup di mana saya bingung untuk menentukan bidang keahlian apa yang harus didalami. Khususnya untuk persiapan masuk di dunia kerja nantinya. Pada waktu itu saya entah kenapa cukup gigih untuk membuktikan bahwa untuk kerja nanti, IPK tinggi itu tidak wajib. Bahkan saya sering bercanda ke teman-teman dengan sebutan “IPK is for the weak” (alasan sebenernya sih karena emang males aja benerin IPK lol)
Oke kembali ke cerita. Jadi, ketika saya sedang bingung-bingungnya dalam hal ini, suatu hari seorang teman bernama Hiureddy mengajak saya untuk main-main ke Telematics Laboratory, salah satu laboratorium kampus fakultas informatika IT Telkom. Sekarang lab ini bernama Foresty (Forensic and Security) dan kampusnya pun berubah menjadi Telkom University . Di sana saya bertemu salah satu orang yang berpengaruh dalam hidup saya, yaitu Mas Ian. Singkat cerita, mas Ian ini adalah seorang Hacker. Disinilah mulai timbul ketertarikan saya terhadap kata “hacker“, selama ini saya pikir istilah hacker ini cuman dramatisasi dari film atau acara-acara TV. Tapi setelah saya melihat mas Ian “beraksi” dan mendengar sharing-sharing beliau terkait ilmu ini. Disitu semakin besarlah ketertarikan saya terhadap dunia “Hacking“. Apalagi saya dari dulu memang punya ketertarikan sendiri terhadap hal-hal yang bersifat hidden knowledge (Dulu saya sempat giat mempelajari sulap kartu).
Dari situ saya juga mengenal bahwa ada sebuah profesi yang namanya “Penetration Tester“. Yaitu seseorang yang dibayar untuk melakukan “ethical hacking” terhadap sesuatu sistem dengan tujuan mencari celah keamanan dari sistem tersebut. “Fix, gw bakal jadi ini” itu yang ada di pikiran saya saat itu. Padahal juga mah. Pada waktu itu saya ga tau juga sebanyak apa lowongan penetration tester di indonesia, malah mungkin aja ga ada haha. Tapi ga masalah, karena saat itu juga saya seperti mendapatkan panggilan dan tujuan.
Memulai Belajar
Belajar “hacking” pada waktu itu sangatlah berbeda dengan sekarang ini. Sekarang dengan mengetik keyword tertentu pada google akan banyak resources berkaitan yang muncul. Tidak seperti sekarang. Kebanyakan juga tidak langsung mengajarkan cara melakukan hacking tetapi lebih menekankan pada “how things work and what could you do when the security is not there“.
Ketika saya mulai belajar, Mas Ian sendiri hampir tidak pernah mengajari saya secara langsung tentang hal ini. Beliau lebih bertindak sebagai mentor, mengarahkan dan menjadi tempat konsultasi. Saya inget banget, salah satu materi pertama yang doi kasih untuk saya pelajarin adalah tutorial Stack-based overflow dari blog milik Corelan. Mungkin topik ini sedikit susah untuk orang-orang yang baru mulai belajar. Tetapi, waktu itu saya cukup enjoy menjalaninya, karena saya bisa mempelajari hal-hal baru seperti assembly, stack address dan shellcode. Ini seperti membuka dunia baru buat saya.
Saya juga ingat waktu itu cukup banyak mencoba menggali informasi lebih terkait hacking, saya ketemu tulisan Mas Ammar (Y3dips) berjudul “Langkah Menjadi Seorang Hacker” (tulisan aslinya sudah tidak ketemu, tapi ada yang repost disini) Tulisan ini berpengaruh untuk saya, karena ini membantu saya untuk memiliki pola pikir yang harus dimiliki untuk mempelajari keilmuan ini. Dua kalimat penting yang ada di tulisan itu adalah “basicnya yang penting” dan “ingat semua itu butuh proses”. Walaupun tulisan ini dibuat sepuluh tahun lalu lebih, Saya rasa ini masih sangat relevan untuk sekarang.
Tahun 2023
Saat saya menulis ini, sudah sepuluh tahun lebih sejak saya memulai perjalanan dalam dunia “hacking” dan sudah hampir sepuluh tahun juga sejak saya memulai karir sebagai seorang profesional di cyber security.
Setelah melakukan ini bertahun-tahun saya menjadi sadar bahwa menjadi seorang hacker atau penetration tester itu merupakan hal yang spesial, tapi tidak sespesial yang dipikirkan orang banyak. Saya setuju, untuk menjadi seorang penetration tester yang baik itu memerlukan dedikasi tinggi untuk belajar. Kita harus paham banyak konsep yang mencakup Sistem Operasi, Jaringan Komputer, dan Pemograman. Ditambah lagi diperlukannya pola pikir sebagai “bad guy” ketika melakukan pengujian keamanan terhadap sebuah aplikasi atau infrastruktur. Sisi inilah yang membuat menjadi seorang penetration tester itu merupakan sesuatu yang spesial.
Lalu kenapa saya bilang “tidak sespesial yang banyak orang pikirkan”? Karena saya sadar kalau penetration testing atau etical hacking atau Cyber Security itu hanyalah sebuah cabang keilmuan dari dunia Information Technology (IT). Tidak lebih istimewa dari cabang-cabang dunia IT lainnya seperti Software Engineer, Quality Assurance (QA) atau Data Science. Yang berarti semua ini bisa dipelajari dengan cukup dedikasi dan waktu. Sama halnya dengan seorang software atau QA engineer menjadi mahir dalam bidangnya. Semua hanya butuh kemauan belajar, dedikasi dan waktu.
Satu hal lagi yang saya sadari adalah penetration testing hanyalah bagian kecil dari sebuah siklus Keamanan Informasi. Penetration testing memang bisa membantu mengidentifikasi gap keamanan di dalam sebuah organisasi. Tapi hanya sebatas itu. Banyak komponen-komponen lain yang perlu diperhatikan untuk mengamankan sebuah organisasi. Keamanan Informasi lebih kompleks dari sekedar penetration testing.
Setelah saya sadar atas hal ini dan melakukannya lebih dari 10 tahun. Sekarang ini, saya sudah tidak peduli lagi dengan predikat Hacker di diri saya. Saya sekarang pun kalau kenalan dengan orang-orang baru selalu memperkenalkan diri saya sebagai “IT Consultant“, bukan penetration tester apalagi ethical hacker.
Jujur aja sih, malah saya udah ga tau apakah saya sekarang ini masih bisa dibilang seorang hacker atau tidak (yah, memang dulu ada masanya ketika saya masuk ke sana kemari ke server orang haha). Tapi ada sebuah pepatah yang mengatakan “being a hacker is a process“. Buat saya, selama saya masih menjalani proses tersebut, itu sudah cukup. Hacker atau bukan, itu urusan nanti.
Red Opcode 