Pengertian dan Cara Kerja Bug Hunter
Setiap perusahaan yang berhubungan erat dengan teknologi, seperti Google, Meta, Quora, hingga Mozilla tentunya membutuhkan bug hunter untuk menjalankan program bug bounty. Kegiatan yang dilakukan bug hunter dari program ini, yakni untuk membantu, mengidentifikasi, serta memperbaiki bug yang ada di aplikasi tersebut.
Tidak heran, jika program ini memang ditujukan kepada para hunter-hunter yang memiliki skill tinggi. Sebab, mereka perlu menguasai berbagai macam komponen, seperti proxy, peramban web, virtual machine, dan lain sebagainya.
Apa itu Bug Hunter?
Bug hunter adalah istilah yang ditujukan kepada seseorang yang bekerja dalam menemukan bug di suatu sistem atau aplikasi. Dalam penerapannya, bug hunter menjalankan program yang dikenal dengan sebutan bug bounty program.
Bug bounty program ini sendiri sudah banyak digunakan oleh perusahaan-perusahaan besar, seperti Google, Facebook, hingga Yahoo. Nantinya, perusahaan tersebut akan memberikan penawaran menarik kepada bug hunter apabila berhasil menemukan masalah pada aplikasinya.
Jadi dengan kata lain, bug bounty program yang dijalankan oleh bug hunter ini adalah kegiatan yang dibayar untuk menemukan kerentanan dalam perangkat lunak, situs web, hingga aplikasi web. Hal ini dilakukan sebab tidak semua tim keamanan IT di perusahaan memiliki cukup waktu untuk mengatasi banyaknya bug yang dialami.
Karena keberadaannya sangat dibutuhkan, profesi bug hunter ini bisa mendapatkan bayar hingga puluhan ribu dolar per tahunnya. Kendati demikian, ada beberapa syarat yang memang harus dimiliki oleh seorang bug hunter, yakni rasa ingin tahu yang tinggi, keahlian teknis dalam web dan jaringan, hingga kemampuan untuk memecahkan masalah.
Cara Kerja Bug Hunter
Jika melihat penjelasan yang ada di atas, kamu tentu bisa mengetahui bahwa bug hunter bukan profesi yang mudah untuk dijalani. Oleh karena itu, penting untuk kamu yang tertarik di profesi ini mengetahui bagaimana cara kerja dari bug hunter. Cara kerja bug hunter ini dapat dipelajari lebih lanjut, supaya kedepannya kamu memiliki bayangan tersendiri.
Hal pertama yang perlu diketahui adalah cara kerja dari suatu aplikasi dan bagaimana arsitektur dari aplikasi tersebut. Anda bisa memulai dengan mengetahui dasar dari aplikasi maupun web, seperti HTML, CSS, PHP hingga JavaScript.
Selain itu, pemahaman yang kuat tentang meningkatkan dan menganalisis masalah bug juga dibutuhkan oleh seorang bug hunter. Itu sebabnya, ada beberapa komponen yang dibutuhkan untuk menjadi seorang bug hunter, di antaranya :
- Local & Remote file inclusion
- Information Disclosure
- Remote Code Execution (RCE)
- Pengumpulan informasi
- SQL Injection
- Cross-Site Scripting (CSS)
- Server Side Request Forgery (SSRF)
Untuk gambaran lebih jelasnya, salah satu seseorang yang bekerja menjadi seorang bug hunter adalah James Kettle. Karena keahlian yang dimilikinya, James mampu mencari kesalahan kode yang mungkin dapat ditemukan oleh penjahat untuk masuk ke sistem jaringan dan mencuri data.
Dalam pengerjaannya, James membutuhkan 50 jam untuk menguji satu bug agar benar-benar valid dan tidak terjadi kesalahan. Kini, James menjadi salah satu bug hunter di Hasker One, layanan yang bekerjasama dengan perusahaan dan pemerintah yang mencari para ahli untuk menguji perangkat lunak milik mereka.
Perbedaan Bug Hunter dan Hacker
Secara sekilas kamu akan menganggap bahwa bug hunter mirip dengan hacker. Padahal, kedua istilah ini memiliki perbedaan yang signifikan, sebab bug hunter memiliki nilai yang lebih positif daripada hacker. Kendati demikian, ada juga beberapa hacker yang memang bekerja dengan tidak merugikan orang lain.
Lebih jelasnya, hacker adalah seseorang yang memiliki skill pemrograman dan memanfaatkannya untuk melakukan tindakan pencurian data pribadi atau perusahaan. Sementara bug hunter adalah seseorang yang memiliki skill pemrograman namun memanfaatkannya untuk menemukan dan melaporkan bug pada suatu perusahaan.
Oleh karena itu, bug hunter dinilai lebih bermanfaat dan tidak merugikan siapapun dibandingkan dengan hacker. Jadi, jangan heran ya, apabila bug hunter hingga kini menjadi profesi diinginkan oleh beberapa orang yang menggeluti dunia teknologi.
Daftar Bug Bounty Program
Sebelumnya sudah dijelaskan bahwa bug bounty program adalah program yang dijalankan oleh bug hunter. Lebih lengkapnya, bug bounty program adalah kesempatan yang ditawarkan oleh organisasi, situs web, maupun para pengembang software kepada individu untuk melaporkan bug.
Perlu diketahui bahwa setiap bug bounty program yang dikuratori oleh perusahaan terkemuka memiliki imbalan yang akan diberikan kepada bug hunter. Ingin tahu apa saja daftar bug bounty program dari perusahaan-perusahaan besar? Berikut informasinya, yakni :
- Google. Bug bounty program pada Google menawarkan pembayaran minimum $300 hingga hadiah tertinggi $31.337 untuk aplikasi Google.
- Quora. Bug bounty program pada Quora menawarkan pembayaran minimum $100 hingga $7000 apabila menemukan dan melaporkan bug dalam aplikasi mereka.
- Mozilla. Bug bounty program pada Mozilla menawarkan pembayaran $500 hingga $5000 untuk menemukan bug di layanan mozilla, seperti Firefox, Thunderbird, dan aplikasi serta layanan lainnya.
- Microsoft. Bug bounty program pada Microsoft menawarkan pembayaran sebesar $15.000 hingga $250.000 untuk menemukan bug kritis.
- Twitter. Bug bounty program pada Twitter menawarkan program yang dimulai dari $140 hingga $15000.
Bug Bounty dan Keuntungannya Bagi Bug Hunter
Bug bounty adalah sebuah program semacam sayembara berhadiah yang diadakan oleh perusahaan tertentu agar para bug hunter dapat menemukan celah dan kelemahan yang ada pada sebuah sistem.
Bagi siapa saja yang berhasil menemukan bug pada sistem, maka bug hunter akan diberikan imbalan dengan nominal tertentu.
Sebagai contoh, ada satu perusahaan yang pernah melakukan program bug bounty ini, yakni Shopify. Perusahaan Shopify sebagai penyedia e-commerce dan toko online memprioritaskan keamanan sebagai kesuksesan bisnis. Sejauh ini, Shopify telah mengeluarkan lebih dari 1.58 juta dolar kepada bug hunter dan menawarkannya agar bersedia mengirimkan laporan kelemahan sistem.
Pada Desember 2020, seorang peretas menemukan bug berupa kerentanan kritis yang mengizinkan akses tanpa otorisasi masuk ke akun penjual. Karena adanya bug bounty ini, peretas tersebut akhirnya melaporkan kepada pihak Shopify agar segera melakukan patch tepat pada malam Natal yang notabene menjadi salah satu hari belanja terbesar di dunia e-commerce.
Cara Menjadi Bug Hunter
Meski pada pembahasan sebelumnya sudah disebutkan bahwa tidak sembarang orang dapat menjadi seorang bug hunter, artinya hanya orang-orang yang memiliki keahlian khusus yang akhirnya mampu menjadi seorang bug hunter.
Lalu, kira-kira bagaimana cara menjadi bug hunter itu, ya?
Untuk menjadi seorang bug hunter yang andal, tentu GudPeople harus mempersiapkan beberapa hal. Melansir dari Pusdatin Kemdikbud, ada enam hal yang harus dimiliki oleh siapa saja yang ingin menjadi seorang bug hunter :
- Computer Networking atau jaringan komputer
- OWASP Top 10 Web App Security Risks
- Programming
- Web Technologies
- Reporting
- Hacker Mindset
Hacker mindset yang dimaksud di sini adalah bukan rasa ingin berbuat jahat, melainkan menumbuhkan rasa keingintahuan pada aplikasi atau sistem yang digunakan akhirnya mencoba fitur-fitur yang ada untuk menemukan celah keamanan.
Anda telah belajar mengenai bug hunter pada artikel ini. Jika melihat cara kerja bug hunter yang menemukan celah, tentu hal ini tidak ada bedanya dengan hacker yang juga menemukan celah untuk berbuat jahat.
Lantas, apakah benar jika bug hunter dan hacker itu adalah profesi yang sama?
Benarkah Bug Hunter Sama Seperti Hacker?
Sebenarnya, istilah bug hunter juga bisa disebut sebagai ethical hacker. Ethical hacker adalah peretas yang memiliki keahlian tetapi untuk membantu orang lain agar terhindar serangan black hat hacker.
Seperti yang telah dibahas pada artikel mengenai hacker, ada jenis-jenis hacker dengan sifat dan cara kerja yang berbeda-beda, yang mana ethical hacker termasuk di dalamnya.
Jadi, baik ethical hacker dan black hat hacker (peretas jahat) memang sebenarnya ‘satu keluarga’ dalam hal keahlian untuk menemukan celah dan kelemahan suatu sistem, hanya saja sifatnya sangatlah berbeda layaknya hitam dan putih.
Namun, dalam hal pembahasan mengenai bug bunter ini, tentu ethical hacker atau bug hunter jauh lebih bermanfaat bila dibandingkan dengan hacker yang sering melakukan kejahatan siber.