Peretasan komputer (computer hacking) adalah aktivitas mengeksploitasi kerentanan keamanan pada sistem komputer, perangkat lunak, atau jaringan untuk memperoleh akses tanpa otorisasi. Istilah ini mencakup spektrum aktivitas yang luas, mulai dari rekayasa sosial sederhana untuk memperoleh kata sandi hingga penggunaan perangkat keras dan perangkat lunak canggih untuk penetrasi sistem. Peretasan dilakukan oleh berbagai aktor dengan motivasi yang beragam, termasuk keuntungan finansial, aktivisme politik, keamanan nasional, dan pengujian keamanan profesional.

Dalam penggunaan umum, istilah hacking merujuk pada tindakan mengeksploitasi kerentanan keamanan komputer untuk memperoleh akses tanpa otorisasi ke suatu sistem. Namun, penggunaan kata ini secara lebih luas mencakup modifikasi, penggunaan tidak konvensional, atau akses subversif terhadap objek, proses, atau teknologi apa pun — tidak terbatas pada komputer atau jaringan. Pada masa awal subkultur peretas, misalnya, aktivitas populer meliputi manipulasi telepon umum atau mesin penjual otomatis untuk memperoleh akses tanpa uang.

Istilah cracker juga lazim digunakan sebagai sinonim hacker, khususnya untuk merujuk pada individu yang berusaha memecahkan kata sandi, melewati pembatasan perangkat lunak, atau mengelak dari sistem keamanan komputer.

Klasifikasi peretas menggunakan terminologi yang berasal dari penggambaran film-film koboi Hollywood klasik, di mana protagonis umumnya mengenakan topi putih dan antagonis mengenakan topi hitam.

Peretas topi hitam adalah individu yang secara sengaja berusaha menembus keamanan sistem komputer atau jaringan informasi secara sadar bertentangan dengan kehendak pemiliknya. Tujuan mereka meliputi memperoleh atau menghancurkan informasi, menyebabkan gangguan operasi, menghalangi akses pengguna sah, atau mengambil alih kendali sistem. Beberapa peretas menyita atau mengancam akan menyita kendali atas suatu sistem dan memeras pemiliknya agar membayar tebusan sebelum mengembalikan kendali. Seorang peretas dianggap topi hitam meskipun ia menganggap niatnya mulia, termasuk mereka yang meretas untuk tujuan sosial atau politik.

Peretas topi putih adalah individu yang secara khusus diberi otorisasi oleh pemilik atau pengelola sistem target untuk menemukan dan menguji kerentanannya. Aktivitas ini dikenal sebagai pengujian penetrasi (penetration testing). Peretas topi putih menggunakan peralatan dan prosedur yang sama dengan peretas topi hitam, serta sering kali memiliki pengetahuan dan keterampilan yang setara. Lembaga pemerintah dan korporasi diketahui mempekerjakan mantan pelaku kejahatan komputer yang pernah dihukum untuk menguji sistem-sistem vital.

Peretas topi abu-abu tidak selalu memiliki izin dari pemilik sistem, sehingga tindakannya dapat dianggap tidak etis. Namun, peretas topi abu-abu tidak melakukan tindakan tersebut dengan niat mengeksploitasi kerentanan atau membantu pihak lain melakukannya. Mereka pada dasarnya melakukan pengujian penetrasi tanpa otorisasi dengan tujuan memberi tahu pemilik tentang potensi kelemahan yang ditemukan.

Inti dari peretasan adalah eksploitasi kelemahan (vulnerability) dalam keamanan komputer, perangkat, komponen perangkat lunak, atau jaringan. Tidak ada sistem yang dapat dibuat sepenuhnya kedap karena seseorang selalu perlu memiliki akses ke informasi atau layanan yang dilindungi, dan kehadiran pengguna manusia merupakan kerentanan tersendiri.

Sebagian besar pengguna komputer dan sistem informasi bukan pakar komputer atau profesional keamanan siber. Upaya pencegahan intrusi jaringan yang paling canggih dan mahal sekalipun menjadi tidak berguna ketika seorang pengguna internal mengeklik tautan berbahaya, membuka virus dalam lampiran surel, mencolokkan flash drive yang telah dikompromikan, atau memberikan kata sandi aksesnya melalui telepon atau surel. Dalam satu kasus yang tercatat, seorang peretas dengan sengaja meninggalkan flash drive USB di tempat parkir perusahaan; ketika seorang karyawan menemukannya dan mencolokkannya ke komputer kerja, ia secara tidak sengaja melepaskan virus.

Selain kesalahan dan kelalaian pemrogram, mustahil bagi pengembang perangkat lunak untuk mengantisipasi setiap kerentanan yang mungkin ada dalam kode mereka. Perangkat lunak sering kali aman ketika digunakan sesuai desain, tetapi kombinasi masukan, perintah, dan kondisi yang tidak terduga sering menghasilkan konsekuensi yang tidak diantisipasi. Hal inilah yang menjadi alasan pentingnya menjaga perangkat lunak tetap mutakhir.

Rekayasa sosial adalah aktivitas menggunakan pengintaian sederhana atau penipuan untuk memperoleh kata sandi atau akses langsung dari pengguna yang tidak curiga. Rekayasa sosial membutuhkan sedikit keahlian teknis dan sering dipilih oleh peretas dibandingkan serangan yang lebih sulit dan berisiko.

Bentuk paling sederhana dari rekayasa sosial adalah menebak kata sandi login individu. Pengguna terus menggunakan kata sandi yang mengandung urutan karakter umum atau mudah ditebak, seperti nama anggota keluarga, kata-kata yang umum ditemukan dalam kamus, atau urutan angka yang berkaitan dengan tanggal lahir. Metode lain meliputi shoulder surfing, yakni mengamati pengguna secara diam-diam saat mereka mengetikkan informasi login.

Phishing mendapat namanya dari gagasan bahwa praktik ini mirip dengan menggantungkan umpan di air dan menunggu ikan menggigit. Surel phishing ditulis menyerupai komunikasi sah dari bank, akun belanja daring, atau departemen dalam organisasi korban. Berbeda dengan phishing massal, spear-phishing menargetkan pengguna spesifik dengan surel yang lebih individual dan meyakinkan, sering kali menyapa target dengan nama. Serangan spear-phishing tertinggi yang ditujukan kepada target bernilai tinggi dalam organisasi — biasanya eksekutif atau pejabat informasi — dikenal sebagai whaling atau harpooning.

Injeksi SQL adalah eksploitasi web yang memanfaatkan sintaksis bahasa SQL itu sendiri. SQL menggunakan operasi logika Boolean seperti AND dan OR untuk menghubungkan segmen pernyataan, termasuk string yang dimasukkan oleh pengguna. Peretas memasukkan string khusus ke dalam bidang masukan pengguna yang menyebabkan perintah SQL tertentu dieksekusi, sehingga memperoleh akses ke akun pengguna.

Cross-site scripting terjadi ketika peretas menyuntikkan kode berbahaya ke situs web melalui bidang formulir yang dieksploitasi pada server yang tidak memiliki perlindungan terhadap jenis serangan ini. Kode yang disuntikkan dapat ditulis sedemikian rupa sehingga pengguna lain tidak mengetahui bahwa peramban mereka menjalankan kode tersebut.

Cross-site request forgery terjadi ketika pengguna yang sedang masuk ke situs aman juga berinteraksi dengan situs web peretas, di mana mereka tanpa sadar mengeksekusi skrip melalui peramban mereka yang mengirimkan perintah ke situs aman tersebut.

Serangan DoS mengganggu proses jabat tangan (handshake) tiga arah dalam protokol TCP dengan memalsukan bendera (flag) dalam header paket IP untuk mengelabui server agar mengirimkan permintaan ACK berulang kali. Bentuk paling sederhana dari serangan ini dikenal sebagai SYN flooding. Serangan DoS terdistribusi (DDoS) terjadi ketika serangan terkoordinasi dilakukan dari sejumlah besar mesin, sering kali milik pengguna yang tidak mengetahui bahwa mereka berpartisipasi dalam serangan tersebut.

Kata malware adalah gabungan kata yang menggambarkan perangkat lunak berbahaya (malicious software).

Virus dirancang untuk menyebar dari mesin ke mesin, menjangkiti sejumlah besar pengguna. Segmen kode berbahaya ini menempelkan diri pada program lain yang memiliki tujuan sah; ketika program tersebut diaktifkan, kode virus dieksekusi dan membuat salinan dirinya untuk menempel pada program sah lainnya. Virus dapat mengumpulkan informasi pribadi dan finansial, menghapus informasi, atau menyebabkan gangguan pada operasi komputer.

Worm serupa dengan virus dalam hal replikasi dan penyebaran, tetapi merupakan program mandiri yang tidak memerlukan pengguna untuk membuka program lain agar dapat dieksekusi. Tujuan worm umumnya adalah mengonsumsi sumber daya sistem dan jaringan untuk memperlambat atau menghentikan operasi sistem.

Trojan horse adalah perangkat lunak berbahaya yang tampak sebagai perangkat lunak sah atau diinginkan. Tujuan khas Trojan horse adalah memberikan peretas akses dan kendali jarak jauh atas sistem target. Perangkat lunak berbahaya yang ditulis untuk memberikan kendali tersembunyi atas proses mesin pengguna dikenal sebagai rootkit.

Protokol enkripsi Wi-Fi tertua dan paling umum adalah Wired Equivalent Privacy (WEP), yang seiring waktu telah menjadi protokol enkripsi paling tidak aman dan cukup mudah diretas. Banyak produsen router Wi-Fi tidak lagi menyediakan jenis enkripsi ini sebagai opsi pada perangkat keras mereka.

Wi-Fi Protected Access (WPA) merupakan peningkatan signifikan dari WEP, tetapi tetap rentan terhadap serangan karena masih berbasis pada beberapa algoritma enkripsi dasar yang sama. Standar enkripsi terbaru, WPA-2 dengan enkripsi Advanced Encryption Standard (AES), telah menjadi pengaturan yang direkomendasikan untuk router nirkabel karena peningkatan keamanannya yang signifikan.

Untuk melakukan serangan Wi-Fi, peretas memerlukan komputer yang dapat menjalankan skrip untuk memecahkan kata sandi Wi-Fi dan adaptor Wi-Fi khusus yang memiliki fitur "mode monitor". Peretas umumnya menggunakan distribusi Linux, biasanya Kali, untuk melakukan serangan Wi-Fi karena sebagian besar peralatan yang tersedia ditulis untuk sistem operasi Linux dan sudah terpasang pada Kali.

Kata sandi yang lebih panjang dengan kompleksitas yang memadai serta campuran huruf, angka, dan karakter khusus setidaknya memperpanjang waktu yang harus dihabiskan peretas untuk memecahkan kata sandi. Praktik mengganti huruf tertentu dalam kata umum dengan angka atau simbol yang memiliki tampilan serupa (misalnya: p@55w0rd) tidak lagi efektif karena sebagian besar peretas telah menggunakan skrip yang akan memeriksa karakter pengganti selama serangan brute force.

Protokol enkripsi router Wi-Fi harus diatur ke tingkat enkripsi tertinggi yang tersedia pada perangkat keras tersebut. Penggunaan enkripsi WPA-2 dengan kata sandi panjang maksimum dan kompleksitas yang memadai dapat membuat proses peretasan menjadi sangat sulit dan memakan waktu sehingga peretas akan berpindah ke target lain yang kurang aman.

Banyak serangan injeksi SQL dapat digagalkan dengan membersihkan (sanitizing) masukan pengguna sebelum dilampirkan ke perintah SQL apa pun. Prosedur serupa dapat digunakan untuk jenis serangan injeksi lainnya, termasuk cross-site scripting dan cross-site request forgery.

Terdapat konsekuensi hukum bagi peretas yang tertangkap menyusup ke sistem komputer atau jaringan, meskipun hukum dan hukuman spesifik bervariasi di antara negara. Beberapa pemerintah tidak memprioritaskan penuntutan kejahatan siber, terutama ketika korbannya berada di luar negeri mereka, sehingga banyak peretas dapat beroperasi dengan impunitas di bagian dunia tertentu.

Ketergantungan yang meningkat dari sistem kontrol industri pada komputer dan perangkat yang terhubung jaringan telah membuat layanan vital negara-negara industri sangat rentan terhadap serangan siber. Layanan listrik, air, limbah, internet, dan televisi kota dapat terganggu oleh pelaku sabotase. Sistem perbankan dan jaringan perdagangan keuangan merupakan target bernilai tinggi bagi peretas, baik yang mencari keuntungan finansial maupun yang ingin menyebabkan kekacauan ekonomi.

Studi dan praktik peretasan dianggap penting untuk memahami cara terbaik melindungi diri dari peretas yang berniat merugikan. Kemudahan yang memungkinkan individu cerdas melakukan serangan peretasan terhadap rekan-rekan mereka yang kurang berpengetahuan dapat menghadirkan godaan bagi warga yang sebenarnya taat hukum. Potensi anonimitas dalam melancarkan serangan semakin menambah godaan tersebut. Setiap individu harus menentukan sendiri apakah aktivitas mereka sebanding dengan risiko penangkapan dan hukuman, serta mempertimbangkan apakah nilai yang mereka berikan pada keamanan dan privasi mereka sendiri juga berlaku bagi target serangan mereka.

• Keamanan komputer
• Pengujian penetrasi
• Kejahatan siber
• Enkripsi nirkabel
• Rekayasa sosial (keamanan)