Kalau korang nak jadi ethical hacker, tapi tak tahu macam mana nak mula, jangan risau! Dalam artikel ni, kami akan bagi korang dari info yang basic dan paling simple, sampai ke tahap yang lebih advanced supaya korang boleh faham dengan jelas. Setiap point kami akan explain step-by-step.
1. Explore tools ready-made: Mula dengan Script Kiddie
Apa maksud script kiddie?
Kalau korang baru sangat dalam dunia hacking, korang mungkin akan mula sebagai script kiddie. Maksudnya, korang perlu belajar untuk guna tools atau skrip yang orang lain dah buat tanpa korang perlu faham semua details secara teknikal. Bukan benda negatif pun — ini adalah first step untuk korang faham dunia hacking. Main tools yang sedia ada dulu.
Tools wajib cuba
Antara tools popular yang korang boleh start guna ialah Nmap, Wireshark, dan Metasploit. Nmap digunakan untuk scan network, check IP, dan port terbuka. Wireshark pulak untuk monitor trafik rangkaian, sementara Metasploit membantu buat penetration testing. Semua ni tools yang korang boleh download dan guna free, jadi explore dulu!
Faham basic sebelum move on
Yang penting masa explore tools ni, jangan malas baca tutorial. Bila korang guna Nmap, contohnya, cuba faham kenapa setiap command bagi result berbeza. Jangan just tekan-tekan je, tapi korang kena check betul-betul dan hadam fungsi dia. Bila korang dah familiar, baru boleh move on ke step seterusnya.
2. Study undang-undang Malaysia: Jangan buat benda salah
Penting untuk faham undang-undang
Sebelum korang betul-betul terjun dalam dunia hacking, korang kena faham betul-betul apa yang boleh dan tak boleh buat dari segi undang-undang. Kalau tak, korang mungkin kena dakwa walaupun niat korang baik. Dekat Malaysia, hacking ni memang dikawal ketat oleh Akta Jenayah Komputer 1997. Jadi, penting sangat untuk korang tahu batasan.
Apa yang dikawal oleh Akta Jenayah Komputer 1997?
Akta ni basically melindungi sistem komputer daripada akses yang tak sah, perubahan data tanpa izin, dan penggunaan komputer untuk jenayah. Contoh, kalau korang masuk ke dalam sistem tanpa kebenaran (walaupun sekadar nak ‘test’), korang boleh didakwa di mahkamah. Penjara atau denda besar menanti kalau korang ditangkap. Memang berat.
Bila hacking jadi sah?
Sebagai ethical hacker, korang kena dapat kebenaran sebelum buat apa-apa testing. Contohnya, kalau korang nak buat penetration testing untuk syarikat, mesti ada dokumen kebenaran bertulis dari pihak yang berkenaan. Jangan simply buat sebab korang nak tunjuk skill — itu boleh backfire. So apa yang korang boleh buat, korang hack asset korang sendiri je.
3. Belajar tentang asas network: faham macam mana internet berfungsi
Kenapa network ni penting?
Setiap kali korang hack atau uji keselamatan sesuatu sistem, korang akan berdepan dengan rangkaian komputer. Jadi, kalau korang tak faham cara network ni berfungsi, korang akan lost. Asas ni penting supaya korang boleh detect kelemahan dalam network dan tahu macam mana nak secure benda tu.
Fahami IP address, subnetting, dan DNS
Mula dengan belajar pasal IP address dulu. Apa beza antara public dan private IP? Macam mana nak kira subnet mask? Semua ni korang kena tahu sebab IP address ni penting dalam scanning dan pentesting. Selain tu, DNS (Domain Name System) pun korang kena faham — ia yang hubungkan domain dengan IP address. Contoh, bila korang type ‘google.com’, DNS yang translate nama tu ke IP yang sebenar.
Network traffic dan sniffing
Bila korang dah biasa dengan networking, belajar tentang packet sniffing pulak. Sniffing ni proses untuk tangkap dan analisis trafik rangkaian. Guna tools macam Wireshark untuk lihat apa data yang lalu dalam network. Dari sini, korang boleh nampak sama ada ada vulnerabilities atau data leakage.
4. Guna tools ethical hacking: cuba hands-on dengan real testing
Tools penting yang perlu ada
Bila dah familiar dengan network, next step ialah guna tools ethical hacking untuk buat testing. Tools macam Kali Linux memang dah tersedia dengan pelbagai alat untuk hack dan test sistem. Korang boleh guna Aircrack-ng untuk crack WiFi passwords, atau Hydra untuk brute-force login credentials.
Kali Linux: OS pilihan hacker
Kali Linux ni salah satu sistem operasi yang memang designed untuk hacker. OS ni memang didatangkan siap dengan tools macam Nmap, Metasploit, Wireshark, dan banyak lagi. Korang boleh explore setiap tools ni satu persatu, dan try buat pentesting dalam environment yang selamat, contohnya buat virtual lab kat rumah dulu sebelum test kat tempat sebenar.
Belajar buat scan dan report
Bila korang test sesuatu sistem, penting untuk buat laporan. Tools macam Metasploit boleh generate report secara automatik lepas buat penetration testing. Ini penting especially kalau korang kerja dengan client sebab korang kena tunjuk result testing korang dengan jelas.
5. Fahamkan teknik serangan: belajar cara DDoS, phishing, dan SQL injection
Apa itu DDoS dan kenapa penting untuk faham?
DDoS (Distributed Denial of Service) attack ialah serangan yang hantar banyak request ke satu server sampai server tu overload dan tak boleh berfungsi. Sebagai ethical hacker, korang kena tahu macam mana DDoS ni berfungsi sebab dalam sesetengah kes, korang kena uji kekuatan server terhadap serangan macam ni.
Teknik serangan lain yang popular
Selain DDoS, korang juga perlu faham tentang SQL injection dan phishing. SQL injection ialah serangan yang exploit database melalui input yang tak dipastikan keselamatannya. Phishing pulak adalah teknik nak dapatkan maklumat sensitif macam password melalui penipuan, selalunya guna email yang nampak macam legit tapi sebenarnya fake.
Simulate serangan untuk testing
Korang boleh guna tools macam LOIC atau HOIC untuk simulate DDoS dalam environment yang selamat. Jangan sesekali cuba kat website orang lain tanpa izin, sebab itu illegal. Simulasi ni penting untuk korang faham cara pertahanan yang patut dipasang untuk elakkan sistem kena serang.
6. Fahamkan target serangan: assets yang boleh diserang dan yang tak boleh
Apa yang korang boleh test?
Sebagai ethical hacker, korang tak boleh sembarangan attack atau test semua benda. Kena tahu apa assets yang boleh diuji dan yang tak boleh. Biasanya, korang boleh uji website, rangkaian dalaman syarikat, atau aplikasi kalau ada izin dari owner dia.
Apa yang tak boleh disentuh?
Sebarang data peribadi, financial records, atau sistem yang diklasifikasikan sebagai critical oleh kerajaan, jangan sentuh tanpa kebenaran. Contohnya, sistem bank atau portal kerajaan memang highly sensitive, dan korang boleh kena tindakan undang-undang kalau buat testing tanpa izin.
Konsep white box, black box, dan grey box testing
Dalam ethical hacking, ada tiga jenis testing — white box, black box, dan grey box. White box testing ialah bila korang diberi full access kepada source code atau sistem. Black box testing pula ialah bila korang tak tahu langsung apa-apa pasal sistem, jadi korang kena test macam hacker sebenar. Grey box pulak ialah gabungan dua-dua ni — korang tahu serba sedikit tapi bukan semua.
7. Belajar guna sistem operasi Linux: platform utama hacker
Kenapa Linux jadi pilihan?
Linux ialah sistem operasi yang paling popular di kalangan hacker sebab ia open-source dan sangat customizable. Korang boleh ubah apa-apa je dalam sistem ni, dari root sampai ke kernel. Kali Linux adalah distro yang paling banyak digunakan oleh ethical hacker sebab ia siap dengan pelbagai tools untuk testing.
Belajar command line Linux
Kalau korang biasa dengan Windows, mungkin korang akan rasa pelik bila mula guna Linux sebab korang akan banyak guna command line (CLI). Tapi jangan risau, benda ni sebenarnya lebih power dari GUI (graphical interface) sebab korang boleh automasi kerja dengan script.
Explore distro hacking lain
Selain Kali Linux, korang juga boleh cuba Parrot OS, yang lebih lightweight tapi masih datang dengan pelbagai tools hacking. Cuba explore kedua-dua distro ni dan tengok mana yang lebih sesuai dengan gaya korang.
8. Belajar tentang undang-undang antarabangsa: tahu batasan global
Kenapa undang-undang antarabangsa penting?
Kalau korang buat pentesting untuk syarikat antarabangsa, korang kena tahu undang-undang cybersecurity di negara-negara lain. Beberapa negara ada undang-undang yang lebih ketat dari Malaysia, dan kalau korang langgar undang-undang tu, korang mungkin akan kena tindakan.
General Data Protection Regulation (GDPR)
Contohnya, kat Eropah ada undang-undang yang dipanggil GDPR, yang melindungi privasi pengguna internet. Sebarang akses tak sah kepada data peribadi boleh menyebabkan syarikat kena saman berjuta-juta. Jadi, kalau korang buat pentesting kat negara Eropah, kena faham undang-undang ni betul-betul.
9. Jangan berhenti belajar: sentiasa update diri dengan knowledge baru
Dunia cybersecurity sentiasa berubah
Dunia hacking ni sentiasa evolving setiap hari. Apa yang valid hari ni mungkin tak akan berguna lagi dalam setahun dua akan datang. Sebab tu penting untuk korang sentiasa belajar benda baru. Banyak resources online yang korang boleh ikut, macam blog, kursus, dan konferens yang share knowledge hacking terbaru.
Join Hackers Malaysia Community
Untuk sentiasa update, join komuniti hacking online. Korang boleh masuk forum macam HackTheBox, TryHackMe, atau Reddit untuk berinteraksi dengan hacker lain. Selain tu, korang boleh belajar dari pengalaman orang lain, dan mungkin korang boleh berkongsi skill yang korang dah master.
10. Mulakan dengan virtual lab: hacking dalam environment yang selamat
Kenapa perlu buat virtual lab dulu?
Sebelum korang cuba apa-apa dalam dunia sebenar, elok korang setup dulu satu virtual lab untuk practice. Virtual lab ni basically ialah sistem yang korang cipta sendiri dalam komputer korang menggunakan software macam VirtualBox atau VMware. Korang boleh simulate serangan, cuba pentesting, dan buat trial-and-error tanpa risau melanggar undang-undang atau merosakkan sistem sebenar.
Software apa yang korang perlukan?
Untuk buat virtual lab ni, korang perlukan software virtualisasi seperti VirtualBox, dan juga satu copy Kali Linux sebagai sistem operasi untuk pentesting. Korang boleh install Windows dan Linux sebagai virtual machine dalam lab ni untuk simulate pelbagai jenis serangan.
Uji tools dan teknik serangan
Bila korang dah setup, cuba guna tools yang korang dah belajar sebelum ni macam Nmap atau Metasploit. Virtual lab ni tempat selamat untuk korang belajar macam mana serangan berfungsi tanpa risiko merosakkan sistem sebenar.
11. Faham konsep encryption: protect data korang dan belajar untuk bypass
Apa itu encryption?
Encryption ni basically teknik untuk lindungi data supaya orang lain tak boleh baca tanpa kunci tertentu. Benda ni amat penting dalam dunia cybersecurity sebab banyak maklumat sensitif, contohnya password, akan dienkrip sebelum dihantar melalui internet. Korang kena faham konsep enkripsi ni sebab dalam sesetengah serangan, korang kena bypass enkripsi untuk access data.
Symmetric vs asymmetric encryption
Terdapat dua jenis utama encryption — symmetric dan asymmetric. Symmetric encryption guna satu kunci untuk enkrip dan dekrip data, sementara asymmetric encryption guna dua kunci (public dan private). Biasanya, asymmetric lebih secure, tapi ia lebih lambat digunakan. Korang kena familiar dengan kedua-dua konsep ni untuk faham cara melindungi data.
Hashing: teknik keselamatan lain
Selain encryption, ada satu lagi teknik keselamatan yang dipanggil hashing. Hashing tak macam enkripsi sebab ia tak boleh didekrip. Sebaliknya, ia digunakan untuk verify data (contoh, dalam pengesahan password). SHA-256 dan MD5 ialah dua algorithm hashing yang popular, tapi MD5 dah tak secure sangat, jadi elakkan guna.
12. Belajar exploit OS dan aplikasi: pahamkan kelemahan sistem
Kenapa sistem operasi selalu jadi target?
Sistem operasi (OS) adalah antara target utama hacker sebab ia adalah tulang belakang setiap komputer. Kalau korang dapat control OS, korang boleh control keseluruhan sistem. Sebagai ethical hacker, korang kena belajar macam mana nak cari dan exploit kelemahan dalam OS, especially macam Windows dan Linux.
Common vulnerabilities dalam Windows dan Linux
Setiap OS ada kelemahan tersendiri. Windows, contohnya, selalu ada vulnerabilities dalam servis seperti RDP (Remote Desktop Protocol) atau SMB (Server Message Block). Linux pulak, walaupun lebih secure, tetap ada vulnerabilities, especially kalau admin malas update. Patch management ialah benda yang korang kena faham untuk elak vulnerability dalam OS.
Tools yang boleh korang guna untuk exploit
Metasploit ialah tool yang sangat power untuk exploit OS vulnerabilities. Korang boleh guna Metasploit untuk scan sistem, cari exploit, dan execute serangan. Sebelum serangan, pastikan korang buat research dulu dan pastikan target OS korang vulnerable kepada exploit tersebut.
13. Belajar tentang privilege escalation: Upgrade akses korang dalam sistem
Apa itu privilege escalation?
Privilege escalation ialah teknik untuk naikkan level akses korang dalam sistem selepas korang berjaya masuk. Mungkin pada permulaan, korang dapat akses sebagai user biasa, tapi dengan teknik privilege escalation, korang boleh naik ke level admin atau root. Sebagai ethical hacker, korang kena tahu teknik ni untuk uji sejauh mana keselamatan sistem.
Vertical dan horizontal privilege escalation
Ada dua jenis privilege escalation — vertical dan horizontal. Vertical privilege escalation ialah bila korang naik dari user biasa ke admin atau root. Horizontal pulak ialah bila korang kekal sebagai user, tapi dapat akses akaun user lain. Kedua-dua teknik ni penting untuk uji keselamatan sistem sepenuhnya.
Teknik yang famous
Antara teknik yang korang boleh cuba ialah exploit vulnerabilities dalam aplikasi yang terinstall, seperti buffer overflow atau exploiting misconfigured file permissions. Korang juga boleh guna tools macam LinEnum atau Privilege Escalation Awesome Scripts SUITE (PEAS) untuk automate proses privilege escalation.
14. Study tentang firewall dan intrusion detection system (IDS): tahu bypass sistem pertahanan
Apa fungsi firewall dan IDS?
Firewall dan IDS ialah dua komponen utama dalam keselamatan rangkaian. Firewall bertindak sebagai penghalang yang menyekat akses tak sah, manakala IDS pula adalah sistem yang detect aktiviti mencurigakan dalam rangkaian. Sebagai ethical hacker, korang kena faham macam mana kedua-dua sistem ni berfungsi, dan juga cara untuk bypass bila korang buat testing.
Teknik bypass firewall
Salah satu teknik untuk bypass firewall ialah guna port yang biasa dibuka seperti port 80 (HTTP) atau port 443 (HTTPS). Sesetengah firewall tak ketat dalam memantau trafik melalui port-port ni sebab ia digunakan untuk akses internet biasa. Korang juga boleh cuba fragmentation attacks untuk elak daripada dikesan oleh firewall.
IDS evasion
Untuk elak IDS, korang boleh guna teknik-teknik macam packet fragmentation, timing attack, atau encoded payloads. Contohnya, korang boleh hantar serangan dengan slow secara berperingkat supaya IDS tak perasan aktiviti mencurigakan. Tapi, kena ingat, teknik-teknik ni korang hanya guna untuk testing dan bukan untuk buat serangan sebenar!
15. Belajar basic social engineering: hack manusia, bukan hanya komputer
Apa itu social engineering?
Social engineering ialah teknik hacking yang memanipulasi manusia untuk dedahkan maklumat penting. Ia mungkin tak nampak “techy”, tapi percayalah, ia antara kaedah paling berkesan sebab kelemahan terbesar dalam sistem biasanya ialah manusia. Sebagai ethical hacker, korang kena belajar macam mana social engineering berfungsi untuk uji kebolehan pertahanan syarikat korang.
Contoh serangan social engineering
Contoh paling biasa ialah phishing — serangan yang buat pengguna klik pada link palsu dan masukkan maklumat login mereka. Selain phishing, ada juga teknik macam pretexting, baiting, dan quid pro quo, yang semua ni bergantung kepada manipulasi psikologi.
Melatih pengguna untuk elak jadi mangsa
Sebagai ethical hacker, salah satu tugas korang mungkin ialah melatih pengguna untuk elak jadi mangsa social engineering. Buat simulasi phishing dan tengok berapa ramai yang tertipu — ini cara yang baik untuk educate staff tentang bahaya serangan ni.
16. Faham kelemahan dalam mobile security: uji apps dan OS mobile
Kenapa mobile jadi target?
Hari ni, ramai orang guna smartphone untuk buat kerja, transfer duit, dan simpan data peribadi. Sebab tu mobile device jadi target yang menarik bagi hacker. Sebagai ethical hacker, korang kena tahu macam mana nak uji keselamatan apps dan OS mobile (Android dan iOS) untuk pastikan ia secure.
Tools untuk mobile hacking
Ada banyak tools yang korang boleh guna untuk pentesting apps mobile. Contohnya, Drozer boleh digunakan untuk cari vulnerabilities dalam apps Android, dan Frida ialah dynamic instrumentation toolkit yang power untuk uji apps mobile secara real-time.
Uji apps: jangan lupa API
Bila korang buat pentesting untuk mobile apps, jangan lupa uji API yang digunakan oleh apps tu. Banyak serangan berlaku melalui API sebab ia kadang-kadang tak cukup secure. Tools macam Postman atau Burp Suite boleh bantu korang uji kebolehan API ni.
17. Belajar tentang cloud security: uji server yang ada di cloud
Kenapa cloud security penting?
Banyak syarikat sekarang guna cloud platform macam AWS, Azure, dan Google Cloud untuk simpan data dan host aplikasi. Tapi, cloud security ni berbeza sikit daripada security traditional on-premise. Sebagai ethical hacker, korang kena belajar cara nak uji security dalam persekitaran cloud untuk pastikan data syarikat korang selamat.
Faham shared responsibility model
Cloud provider dan user ada tanggungjawab berbeza dalam shared responsibility model. Contohnya, AWS bertanggungjawab untuk secure infrastruktur cloud, tapi korang sebagai pengguna bertanggungjawab untuk secure data, aplikasi, dan konfigurasi network korang. Pastikan korang faham betul-betul sebelum buat pentesting.
Tools untuk cloud pentesting
Tools macam ScoutSuite dan Pacu boleh bantu korang buat audit terhadap persekitaran cloud korang. Pastikan korang juga semak permission dan policy yang ada dalam cloud untuk elakkan privilege escalation dalam environment cloud.
18. Belajar programming: kuasai bahasa penting untuk exploit dan automation
Kenapa perlu programming?
Walaupun korang boleh mula hacking tanpa programming, lama-kelamaan korang akan sedar yang programming ni sangat penting. Programming boleh bagi korang kebolehan untuk tulis code yang boleh exploit sendiri, automate task, dan faham betul-betul macam mana sistem berfungsi. Kalau korang betul-betul serius nak jadi pro dalam ethical hacking, korang kena belajar sekurang-kurangnya satu bahasa programming. Sampai bila nak guna tools orang lain?
Bahasa apa yang perlu belajar?
Untuk belajar porgramming, korang boleh start dengan Python, sebab Python adalah bahasa yang paling famous dalam kalangan ethical hacker sebab program Python ni senang nak faham dan mudah untuk korang belajar plus ada banyak library untuk korang buat pentesting. Lepas tu, korang boleh explore bahasa lain macam Bash (untuk scripting dalam Linux), Perl, atau bahkan C/C++ kalau korang nak deep dive dalam memory exploitation.
Automate testing
Programming jugak membolehkan korang automate testing process. Sebagai contoh, korang boleh tulis script untuk scan vulnerabilities dalam network atau automate reporting lepas korang buat pentesting. Ini akan jimatkan masa dan buat kerja korang lebih efficient.
19. Belajar forensic analysis: track dan reverse-engineer serangan
Apa itu forensic analysis?
Forensic analysis ialah proses untuk menyiasat dan mengenal pasti punca serangan siber. Bila serangan berlaku, forensic analyst akan collect bukti digital macam log files, memory dumps, dan network traffic untuk trace balik langkah hacker. Sebagai ethical hacker, walaupun tugas utama korang ialah menyerang, korang jugak kena tahu cara menyiasat kes serangan supaya korang boleh uji langkah pertahanan syarikat.
Tools untuk forensic analysis
Tools macam Autopsy dan FTK Imager banyak digunakan dalam forensic analysis. Tools ni boleh extract dan analyze data daripada hard disk, memory, atau network traffic untuk lihat apa yang sebenarnya berlaku semasa serangan.
Reverse-engineer malware
Selain menyiasat, korang jugak kena belajar macam mana nak reverse-engineer malware. Ini penting sebab kadang-kadang syarikat korang kena dengan serangan malware, dan korang perlu tahu apa yang malware tu buat untuk understand cara mencegahnya pada masa akan datang.
20. Keep learning: update dengan teknologi dan taktik terbaru
Dunia cybersecurity berubah dengan cepat
Teknologi dalam dunia cybersecurity ni memang laju sangat berubah. Apa yang korang belajar hari ni mungkin dah outdated dalam setahun dua lagi. Jadi, penting sangat untuk korang sentiasa belajar perkara baru dan update dengan teknik-teknik hacking terkini.
Sumber online untuk belajar
Banyak sangat resources kat luar sana yang boleh bantu korang stay updated. Korang boleh follow blog, baca buku, join konferens hacking, atau even ikut kursus online macam Offensive Security Certified Professional (OSCP) atau Certified Ethical Hacker (CEH). Kalau korang serius, ni antara kursus yang akan push korang ke next level.
Bersedia untuk sentiasa evolve
Last sekali, sentiasa bersedia untuk evolve dan adapt. Ethical hacking ni bukan job yang static. Korang kena flexible, sentiasa cari knowledge baru, dan sentiasa improve skills korang. Sentiasa update tools, belajar framework baru, dan jangan takut untuk explore area lain dalam cybersecurity.
Adakah artikel ini membantu?
