Sudah hampir setahun saya meniti karier di salah satu perusahaan jasa professional di bdiang audit and consulting ini. Dalam perjalanan yang tentunya tidak mudah ini cukup banyak ilmu dan pengalaman yang saya dapatkan dari Ernst&Young Indonesia (EYI). Bisa dibilang layanan Information Security di EY termasuk yang muda diantara layanan-layanan EY yang lain khususnya di Advisory. Masih berkaitan dengan dua tulisan saya sebelumnya tentang profil EY dan persiapan final review, hampir setahun ini saya sudah banyak belajar tentang layanan-layanan EY yang terkait dengan IT, mulai dari yang jadi pekerjaan rutin saya di bidang Information Security, sampai dengan bidang-bidang konsultansi IT lainnya seperti IT Risk Management, IT Audit, IT Governance & Strategy, Business Continuity/Disaster Recovery, IT effectiveness, IT Process Improvement and Maturity, Enterprise Architecture, dan beberapa hal lainnya.
Pada tulisan kali ini saya coba menceritakan sedikit pengalaman saya di bidang Information Security. Pada sebagian besar project, saya terlibat untuk mengerjakan pengujian keamanaan (security assessment) khususnya penetration testing (pentest). Bagi rekan-rekan yang awam, pentest itu semacam aktivitas untuk melakukan eksploitasi terhadap sistem berdasarkan hasil dari vulnerability assessment (VA). Kalau VA sendiri ibaratnya pengujian keamanan juga tapi sampai tahap mengidentifikasi kerentanan-kerentanan yang ditemukan pada sistem. Nah, pentest itu tahap setelah VA, yaitu mengeksploitasi kelemahan-kelemahan yang ditemukan saat VA tadi. Dalam hampir setahun ini, sudah banyak project pentest yang saya kerjakan dan ke depan bakal ngantri project untuk pentestnya :D
Sebelum mengerjakan project pentest saya yang pertama, saya belajar melakukan IT General Control (ITGC). ITGC adalah bagian dari IT audit untuk melakukan pengecekan terhadap kontrol-kontrol pada sebuah sistem. ITGC sendiri terdiri dari tiga bagian. Tapi dalam pentest saya hanya menggunakan bagian logical access (LA) yang secara umum dikenal sebagai configuraion check untuk melengkapi hasil pentest amaupun VA. Beberapa platform OS dan dabatase yang pernah saya uji adalah:
Selanjutnya saya mendapatkan project yang bisa dibilang sangat besar, yaitu Bank Wide. Jadi saya dan tim melakukan pentest terhadap seluruh aset yang dimiliki oleh bank. Kebayang kan berapa banyak server yang harus di-pentest karena bank ini termasuk kategori bank besar yang hampir setara dengan 4 besar bank BUMN yang mungkin pembaca sudah tahu.
Sambil jalan project Bank Wide, saya mendapatkan project terkait Delivery Channel (E-banking) audit. Saya hanya fokus di pentest karena sudah ada tim lain yang menangani bagian compliance. Untuk project yang ini juga lumayan besar karena scopenya tidak hanya server dan aplikasi Internet Banking, tapi juga ATM system dan mobile banking application. Pada project inilah saya pemanasan untuk pentest ATM. Saya sangat bersyukur karena project ini menambah portfolio pentest saya sehingga saya sudah melakukan pentest untuk beberapa jenis platform. Sebenernya ada satu yang saya masih penasaran yaitu pentest SCADA system. EY di negara lain pernah melakukannya. Untuk di Indonesia sendiri sepertinya belum ada. Semoga suatu saat ada dan saya bisa dapet project tersebut.
Berikutnya saya melakukan pentest terhadap ATM system di salah satu bank terbesar di dunia. Project ini cukup unik karena hampir semua sistem entah itu core banking maupun ATM didevelop secara in-house alias bikin sendiri. Setahu saya ini satu-satunya bank yang berani develop hampir seluruh sistemnya secara in-house. Berbekal pengalaman pentest ATM di bank sebelumnya, saya melakukan beberapa penambahan pengujian pada sistem ATM ini karena memang fokus dari project ini ada di sistem ATMnya. Pengujian yang saya lakukan sampai ke tahap reverse engineering baik menggunakan static maupun dynamic analysis. Sistem di dalam mesin ATM itu sendiri cukup kompleks. Lumayan lah susahnya hehehe. Selain dari mesin ATM, saya juga melakukan pengujian terhadap ATM switching dan beberapa server terkait baik itu dari sisi server-server itu sendiri maupun transmisi/transaksi data. Seru deh pokoknya. Selain itu saya juga melakukan PBI compliance untuk Data Center.
Setelah project ATM, datang silih berganti project-project untuk pentest web application dan mobile application. Seperti biasa, selain dari sisi mobile application, pengujian juga dilakukan terhadap sisi infrastructure (server) dan aplikasi (web-based application). Saya juga masih melakukan PBI compliance terhadap data center di salah satu perusahaan penyedia DC. Pada salah satu project, ada pengalaman yang unik ketika saya dan tim melakukan pentest di ruang server dan di dalam data center. Iya, DI DALAM DATA CENTER. Kebayang kan betapa dingin dan bisingnya di dalam DC. Selain melawan sistem yang ingin di-pentest, saya harus melawan dingin dan kepala yang makin lama terasa beku. Bayangkan berada di dalam data center selama berjam-jam. Beruntung saat keluar dari DC tidak jadi es batu haha.
Saya masih mengerjakan juga project Bank Wide untuk bank lain. Bedanya kali ini saya melakukan pentest juga terhadap core banking system karena masuk dalam scope. Masih ada beberapa project lain yang mungkin tidak saya tulis di sini. Menjelang lebaran pun masih ada project pentest. Setelah lebaran juga. Berdasarkan informasi juga dalam setahun ke depan masih banyak project pentest yang dikerjakan. Kebayang kan serunya bisa banyak melakukan pentest. Ibaratnya tentara, latihan perang selama masih di akademi tidak sia-sia karena sering dipakai dan skill semakin terasah.
Mungkin ini yang bisa saya share untuk para pembaca. Jika saya tulis detil mungkin bisa jadi sangat panjang tulisan ini hehe. Inti dari tulisan saya adalah bahwa saya ingin menunjukkan kalau bidang information security ini "kue"nya juga banyak. Selama ini mahasiswa IT yang paling banyak pasti ke bidang software development/programming, infrasturcture, dan network. Jika dibandingkan denga bidang IT yang lain, mungkin jumlah praktisi di bidang information security ini jauh lebih sedikit.
Semoga tulisan saya ini bermanfaat. Semangat !! :)
Eryk Budi Pratama, S.Kom, CEH
IT Advisory Consultant, Ernst & Young Indonesia (EY)
Pada tulisan kali ini saya coba menceritakan sedikit pengalaman saya di bidang Information Security. Pada sebagian besar project, saya terlibat untuk mengerjakan pengujian keamanaan (security assessment) khususnya penetration testing (pentest). Bagi rekan-rekan yang awam, pentest itu semacam aktivitas untuk melakukan eksploitasi terhadap sistem berdasarkan hasil dari vulnerability assessment (VA). Kalau VA sendiri ibaratnya pengujian keamanan juga tapi sampai tahap mengidentifikasi kerentanan-kerentanan yang ditemukan pada sistem. Nah, pentest itu tahap setelah VA, yaitu mengeksploitasi kelemahan-kelemahan yang ditemukan saat VA tadi. Dalam hampir setahun ini, sudah banyak project pentest yang saya kerjakan dan ke depan bakal ngantri project untuk pentestnya :D
Sebelum mengerjakan project pentest saya yang pertama, saya belajar melakukan IT General Control (ITGC). ITGC adalah bagian dari IT audit untuk melakukan pengecekan terhadap kontrol-kontrol pada sebuah sistem. ITGC sendiri terdiri dari tiga bagian. Tapi dalam pentest saya hanya menggunakan bagian logical access (LA) yang secara umum dikenal sebagai configuraion check untuk melengkapi hasil pentest amaupun VA. Beberapa platform OS dan dabatase yang pernah saya uji adalah:
- Operating System (OS400/IBM i, AIX, Red Hat Enterprise Linux, Fedora Core, CentOS, Windows Server 2008&2012)
- Database (SQL Server 2008, Oracle 10g &11g, PostgreSQL)
Selanjutnya saya mendapatkan project yang bisa dibilang sangat besar, yaitu Bank Wide. Jadi saya dan tim melakukan pentest terhadap seluruh aset yang dimiliki oleh bank. Kebayang kan berapa banyak server yang harus di-pentest karena bank ini termasuk kategori bank besar yang hampir setara dengan 4 besar bank BUMN yang mungkin pembaca sudah tahu.
Sambil jalan project Bank Wide, saya mendapatkan project terkait Delivery Channel (E-banking) audit. Saya hanya fokus di pentest karena sudah ada tim lain yang menangani bagian compliance. Untuk project yang ini juga lumayan besar karena scopenya tidak hanya server dan aplikasi Internet Banking, tapi juga ATM system dan mobile banking application. Pada project inilah saya pemanasan untuk pentest ATM. Saya sangat bersyukur karena project ini menambah portfolio pentest saya sehingga saya sudah melakukan pentest untuk beberapa jenis platform. Sebenernya ada satu yang saya masih penasaran yaitu pentest SCADA system. EY di negara lain pernah melakukannya. Untuk di Indonesia sendiri sepertinya belum ada. Semoga suatu saat ada dan saya bisa dapet project tersebut.
Berikutnya saya melakukan pentest terhadap ATM system di salah satu bank terbesar di dunia. Project ini cukup unik karena hampir semua sistem entah itu core banking maupun ATM didevelop secara in-house alias bikin sendiri. Setahu saya ini satu-satunya bank yang berani develop hampir seluruh sistemnya secara in-house. Berbekal pengalaman pentest ATM di bank sebelumnya, saya melakukan beberapa penambahan pengujian pada sistem ATM ini karena memang fokus dari project ini ada di sistem ATMnya. Pengujian yang saya lakukan sampai ke tahap reverse engineering baik menggunakan static maupun dynamic analysis. Sistem di dalam mesin ATM itu sendiri cukup kompleks. Lumayan lah susahnya hehehe. Selain dari mesin ATM, saya juga melakukan pengujian terhadap ATM switching dan beberapa server terkait baik itu dari sisi server-server itu sendiri maupun transmisi/transaksi data. Seru deh pokoknya. Selain itu saya juga melakukan PBI compliance untuk Data Center.
Setelah project ATM, datang silih berganti project-project untuk pentest web application dan mobile application. Seperti biasa, selain dari sisi mobile application, pengujian juga dilakukan terhadap sisi infrastructure (server) dan aplikasi (web-based application). Saya juga masih melakukan PBI compliance terhadap data center di salah satu perusahaan penyedia DC. Pada salah satu project, ada pengalaman yang unik ketika saya dan tim melakukan pentest di ruang server dan di dalam data center. Iya, DI DALAM DATA CENTER. Kebayang kan betapa dingin dan bisingnya di dalam DC. Selain melawan sistem yang ingin di-pentest, saya harus melawan dingin dan kepala yang makin lama terasa beku. Bayangkan berada di dalam data center selama berjam-jam. Beruntung saat keluar dari DC tidak jadi es batu haha.
Saya masih mengerjakan juga project Bank Wide untuk bank lain. Bedanya kali ini saya melakukan pentest juga terhadap core banking system karena masuk dalam scope. Masih ada beberapa project lain yang mungkin tidak saya tulis di sini. Menjelang lebaran pun masih ada project pentest. Setelah lebaran juga. Berdasarkan informasi juga dalam setahun ke depan masih banyak project pentest yang dikerjakan. Kebayang kan serunya bisa banyak melakukan pentest. Ibaratnya tentara, latihan perang selama masih di akademi tidak sia-sia karena sering dipakai dan skill semakin terasah.
Mungkin ini yang bisa saya share untuk para pembaca. Jika saya tulis detil mungkin bisa jadi sangat panjang tulisan ini hehe. Inti dari tulisan saya adalah bahwa saya ingin menunjukkan kalau bidang information security ini "kue"nya juga banyak. Selama ini mahasiswa IT yang paling banyak pasti ke bidang software development/programming, infrasturcture, dan network. Jika dibandingkan denga bidang IT yang lain, mungkin jumlah praktisi di bidang information security ini jauh lebih sedikit.
Semoga tulisan saya ini bermanfaat. Semangat !! :)
Eryk Budi Pratama, S.Kom, CEH
IT Advisory Consultant, Ernst & Young Indonesia (EY)