KUALA LUMPUR - Menggodam lazimnya dikaitkan dengan jenayah siber seperti pencurian duit dan data sensitif secara maya menerusi jalur lebar.
Apabila menyentuh tentang subjek ini, sudah semestinya ramai akan membayangkan sosok tubuh berjaket hud yang tangkas menekan papan kekunci di dalam bilik gelap, dan hanya diterangi oleh cahaya dari skrin komputer.
Namun tahukah anda, terdapat satu cabang dalam dunia penggodaman siber yang sebenarnya sah di sisi undang-undang dan bukan sahaja boleh menjadi mata pencarian, malah boleh dijadikan sebagai satu kerjaya profesional.
Digelar sebagai penggodam beretika atau ethical hackers di dalam bahasa Inggeris, kerjaya ini memiliki nilai eksklusif yang cukup tinggi kerana segala pergerakan perlu dibuat secara rahsia.
“Selalunya, kalau mereka yang arif tentang industri ini, kami juga dipanggil sebagai ‘white hat’,” jelas seorang penggodam beretika yang hanya mahu dikenali sebagai Kazrul, kerana kontraknya memerlukan beliau merahsiakan identiti sebenar.
Secara ringkas, jelas Kazrul, penggodam beretika adalah individu yang diupah untuk menceroboh rangkaian komputer bagi menguji atau menilai keselamatan rangkaian, tanpa melibatkan sebarang agenda jenayah.
“Apa yang membezakan kami dengan penggodam yang lain adalah, kami diberi kebenaran daripada pihak syarikat untuk menggodam pelayan (server), laman web, peranti dan perisian mereka.
“Antara khidmat yang kami tawarkan kepada pelanggan adalah ujian penembusan (penetration testing), iaitu penggodaman yang dibuat menerusi protokol internet diberikan pelanggan berhubung dengan perisian atau laman sesawang syarikat mereka," katanya kepada Getaran.
Jelas anak jati Kedah berusia 30 tahun itu, ujian tersebut memerlukan mereka menembusi perisian tembok api (firewall) syarikat dalam masa ditetapkan, bagi menilai kekuatan dan mengenal pasti kelemahan perisian digunakan.
Permasalahan digital yang selalu dikesan oleh Kazrul, bekas seorang jurutera perisian di Australia ini lazimnya membabitkan kerosakan sistem pengenalpastian identiti, pengunaan perisian bermasalah dan kaedah penyimpanan data sensitif yang tidak selamat.
“Selalunya, saya akan lakukan ujian penembusan selama 40 jam, mencakupi proses menyedut sebanyak mana data yang mampu daripada ‘server’ pelanggan menggunakan perisian seperti ‘Nmap’, ‘Nessus’ atau ‘Cobalt Strike’.
“Setelah selesai, barulah saya akan menulis laporan terperinci kepada pelanggan berhubung dengan masa diambil untuk saya membolos tembok api mereka dan jenis data yang berjaya disedut dalam tempoh masa ditetapkan,” katanya.
Bagaimanapun, Kazrul berkata, berbeza dengan penggodam 'haram', penggodam beretika tidak mempunyai kebebasan untuk melaksanakan ujian serangan siber ke atas pelanggan mereka.
“Contohnya, kami tak boleh buat serangan DOS (Denial of Service) kerana ia boleh merosakan ‘server’ pelanggan kami,” jelasnya.
Tambahnya, ada juga pelanggan yang mahukan khidmat ujian penembusan secara fizikal, yang memerlukan penggodam beretika turun padang dan mencari jalan untuk mencuri masuk ke dalam kawasan kritikal syarikat seperti bilik pelayan komputer utama.
“Ini jarang dilakukan di Malaysia. Saya pun pernah sekali sahaja terlibat dalam ujian seperti ini semasa berkerja di Melbourne dahulu. Rasa macam berada dalam filem rompakan,” gurau Kazrul.
Di Malaysia jelasnya, khidmat penggodam beretika yang mendapat sambutan buat masa ini adalah melakukan ujian penembusan ke atas laman sesawang dan aplikasi telefon pintar.
“Sekarang zaman teknologi maklumat jadi saya memang jarang ada masalah tak cukup pelanggan. Saya pun tak memilih sangat, janji ada ‘job’, saya ambil,” kata Kazrul yang menambah, ada kalanya dia pernah memperoleh pendapatan sehingga lima angka.
Namun, perisian serta peralatan yang diperlukan untuk membolehkan dia berkerja dengan efektif juga tidak murah.
“Sejak 2016, saya sudah mengeluarkan modal lebih kurang RM40,000 untuk membeli peranti dan perisian serta menduduki pelbagai kursus pensijilan antarabangsa bagi memantapkan lagi portfolio saya,” ujarnya.
Menurut Kazrul, untuk menjadi seorang penggodam beretika juga bukanlah mudah kerana mereka perlu memahirkan diri dalam sekurang-kurangnya tiga jenis bahasa penskripan, mempunyai ilmu yang mendalam berkenaan dengan rangkaian jalur lebar dan sistem pengendalian serta pengetahuan menyeluruh tentang sistem rangkaian digital.
“Kerjaya ini tak mudah dan bukan semua ada kesanggupan untuk mencari pendapatan tetap menerusinya, tetapi apabila sudah mahir, ia memang berbaloi,” katanya. – Getaran, 1 September 2021.