Black hat

Peretas topi hitam (bahasa Inggris: black hat hacker) adalah individu yang berusaha membobol keamanan sistem komputer atau jaringan informasi tanpa izin pemiliknya. Istilah ini berasal dari konvensi film-film koboi Hollywood lama, di mana penjahat biasanya mengenakan topi berwarna gelap atau hitam, sementara tokoh protagonis memakai topi putih. Klasifikasi ini kemudian diadopsi ke dalam jargon keamanan komputer untuk membedakan peretas berdasarkan niat dan legalitas tindakan mereka.

Peretas topi hitam secara sadar bertindak melawan kehendak pemilik sistem yang menjadi target. Tujuan mereka bisa bermacam-macam: memperoleh atau menghancurkan informasi, mengganggu operasi sistem, menghalangi akses pengguna sah, atau mengambil alih kendali sistem untuk kepentingan sendiri. Sebagian peretas jenis ini merebut kendali suatu sistem, lalu memeras pemiliknya agar membayar tebusan sebelum kendali dikembalikan.

Satu hal yang membedakan klasifikasi ini dari kategori lain: seseorang tetap dianggap peretas topi hitam meskipun mereka mengklaim punya niat baik. Peretas yang membobol sistem demi tujuan sosial atau politik tetap masuk kategori ini karena mereka bermaksud mengeksploitasi celah keamanan yang ditemukan. Entitas dari negara lain yang meretas untuk keperluan perang juga tergolong topi hitam, apa pun pembenaran yang mereka ajukan.

Ada tiga klasifikasi utama peretas berdasarkan etika dan legalitas tindakan mereka.

Peretas topi putih (white hat) adalah mereka yang sudah mendapat izin resmi dari pemilik sistem untuk menguji dan menemukan celah keamanan. Proses ini dikenal sebagai uji penetrasi (penetration testing). Peretas topi putih menggunakan peralatan dan prosedur yang sama dengan peretas topi hitam, dan sering kali punya kemampuan setara. Tidak jarang mantan peretas topi hitam beralih menjadi peretas topi putih dan bekerja secara legal, karena pengalaman praktis mereka dalam membobol sistem dianggap berharga. Lembaga pemerintah dan perusahaan diketahui mempekerjakan mantan pelaku kejahatan siber yang pernah dituntut secara hukum untuk menguji sistem-sistem penting mereka.

Peretas topi abu-abu (gray hat) tidak memiliki izin dari pemilik sistem, sehingga secara etis tindakan mereka bisa dipertanyakan. Bedanya, peretas topi abu-abu tidak berniat mengeksploitasi celah yang ditemukan atau membantu pihak lain melakukannya. Mereka pada dasarnya melakukan uji penetrasi tanpa otorisasi, dengan tujuan memberitahu pemilik sistem tentang kelemahan yang ada.

Peretas topi hitam menggunakan berbagai teknik untuk membobol sistem. Beberapa yang umum:

Rekayasa sosial (social engineering) memanfaatkan kelemahan manusia, bukan kelemahan teknis. Metode paling sederhana adalah menebak kata sandi pengguna berdasarkan informasi pribadi yang tersedia di media sosial atau sumber publik lainnya. Ada juga teknik shoulder surfing, yaitu mengintip pengguna saat mengetik informasi login mereka.

Phishing dilakukan dengan mengirim surel palsu yang menyerupai komunikasi resmi dari bank atau layanan daring, dengan harapan penerima akan menyerahkan informasi login mereka. Versi yang lebih tertarget disebut spear-phishing, di mana surel ditujukan ke individu tertentu dan mengandung detail personal untuk tampak lebih meyakinkan. Jika targetnya adalah eksekutif atau pejabat tinggi dalam organisasi, serangan ini disebut whaling.

Injeksi SQL memanfaatkan kelemahan dalam bahasa kueri basis data yang digunakan banyak situs web. Peretas memasukkan perintah tertentu melalui kolom input pengguna sehingga basis data menjalankan perintah yang tidak dimaksudkan oleh pembuatnya.

Serangan penolakan layanan (denial-of-service/DoS) bertujuan menghalangi pengguna sah mengakses suatu situs atau jaringan. Serangan ini dilakukan dengan membanjiri server target menggunakan paket-paket jaringan palsu sehingga sumber daya server habis untuk menangani permintaan palsu tersebut. Versi terdistribusi (DDoS) melibatkan banyak komputer yang telah ditanami perangkat lunak berbahaya tanpa sepengetahuan pemiliknya, dan digunakan secara terkoordinasi untuk menyerang satu target.

Peretas topi hitam juga menyebarkan perangkat lunak berbahaya (malware) seperti virus, worm, dan kuda Troya (Trojan horse). Virus menempel pada program lain dan menyebar saat program itu dijalankan. Worm adalah program mandiri yang bisa menyebar tanpa perlu pengguna membuka program lain. Kuda Troya menyamar sebagai perangkat lunak yang tampak sah, tapi memberikan akses dan kendali jarak jauh kepada peretas.

Hukuman bagi peretas topi hitam yang tertangkap bervariasi antar negara. Berat ringannya sanksi tergantung pada sifat pelanggaran: mengakses informasi pribadi tanpa izin biasanya mendapat hukuman lebih ringan dibanding mencuri uang, menyabotase peralatan, atau melakukan pengkhianatan.

Korban peretasan bisa mengalami berbagai kerugian, mulai dari lelucon di media sosial yang relatif tidak berbahaya, hingga pencurian identitas, pemerasan, dan kerusakan infrastruktur. Pencurian identitas adalah salah satu kejahatan komputer yang paling umum, di mana peretas mencuri data pribadi korban untuk digunakan sendiri atau dijual ke pihak lain. Beberapa peretas berhasil membobol basis data besar milik perusahaan ritel dan penyedia layanan daring yang menyimpan jutaan akun pelanggan.

Pada skala yang lebih besar, peretasan terhadap sistem kontrol industri, jaringan perbankan, dan infrastruktur militer bisa mengancam keamanan nasional. Pembangkit listrik tenaga nuklir menjadi salah satu kekhawatiran khusus, karena peretas diketahui mampu menanamkan virus pada komponen elektronik yang digunakan di mesin-mesin industri.