Kehadiran platform pencarian bug pertama di Indonesia, BugBounty, sejatinya dapat menjadi angin segar bagi para peretas yang ingin menyalurkan kemampuannya tanpa harus berurusan dengan hukum. BugBounty hadir di tengah-tengah masyarakat dengan mengusung konsep layaknya sayembara dan akan memberikan imbalan bagi peretas yang berhasil menemukan bug dalam sistem. Platform BugBounty sendiri sebenarnya sudah resmi diperkenalkan ke publik pada 1 April 2015 lalu dalam fase beta.
Kehadiran platform BugBounty di Indonesia yang mengusung konsep sayembara ini berangkat dari kegelisahan para pendirinya yang merasa masih adanya masalah terkait dengan keamanan komputer. Beberapa diantaranya yaitu banyaknya tools hacking yang tersedia di Internet saat ini, penetration test yang kurang memadai dari berbagai sisi, hingga kesempatan yang tidak dimiliki oleh para peretas untuk membuktikan kemampuannya di dunia profesional.
Co-Founder dan CMO BugBounty Indonesia Arif Tirtana mengatakan:
“Dari berbagai masalah tersebut maka kami membuat sebuah platform yang bertujuan untuk menyelesaikan masalah-masalah yang ada. Seperti konsep awal kami, ini adalah bug bounty platform, jadi berbeda dengan proses penetration testing. Bug bounty platform lebih mengarah kepada sayembara di mana pemilik sistem biasanya sudah melakukan pengujian keamanan komputer sebelumnya (Sudah diuji sebelumnya oleh perusahaan konsultan keamanan).”
BugBounty vs Penetration Test
Sebenarnya, dalam proses membuat suatu sistem, tiap perusahaan pasti akan melakukan tes uji keamanan sistem tersebut dan mereka akan menghubungi pihak konsultan keamanan untuk melakuan itu. Tujuannya pun sama dengan yang dilakukan di BugBounty, yaitu untuk mencari celah-celah keamanan di sistem tersebut. Meskipun demikian, proses penetration testing ini pun belum tentu menghasilkan kualitas yang tes yang baik dan BugBounty hadir untuk melengkapi hal tersebut.
“Proses penetration testing tidak selalu menghasilkan kualitas baik, hasil penetration testing akan baik hanya jika klien memilih orang yang tepat untuk melakukan pengujian sistem,” ujar Arif.
Setidaknya ada tiga perbedaan yang mendasar dalam proses pencarian celah keamanan di penetration testing dan di BugBounty, yakni waktu, biaya, dan jumlah sumber daya manusia. Dari sisi waktu, biasanya proses penetration testing memiliki waktu pengerjaan yang tidak panjang dan ini memungkinkan banyak kerentanan yang ada pada sistem luput saat pengujian. Di BugBounty sistem akan diuji terus menerus tanpa batasan waktu.
Dari sisi Sumber Daya Manusia pun hampir sama. Pada proses penetration testing, biasanya konsultan keamanan yang diturunkan oleh perusahaan konsultasi keamanan jumlahnya terbatas. Dengan keterbatasan tersebut, kemungkinan hasil temuan pun bisa jadi lebih sedikit. Di BugBounty, para pemilik sistem bisa memperoleh SDM yang tidak terbatas, sesuai dengan jumlah member yang bersedia mengikuti program uji kemanan di BugBounty.
Di sisi biaya, BugBounty menjanjikan biaya yang lebih terjangkau di awal proyek pengerjaan. Selain itu, para peretas yang bergabung pun dapat memperoleh imbalan sesuai yang ditawarkan oleh pemilik sistem.
Bisnis dan Privasi
Dalam bisnis ini ada satu hal yang menjadi sorotan utama, yakni kerahasiaan. Arif sendiri menjelaskan bahwa hal ini sudah diantisipasi sejak awal ia dan rekannya mulai menjalankan bisnis ini. Dari sisi perusahaan, Arif menjelaskan bahwa BugBounty menyedikan tiga tipe klien untuk menjamin kerahasiaan data mereka, yakni Standard Program, Silver Program, dan Gold Program. Sedangkan dari sisi peretas, yaitu verified member dan non-verified member.
Untuk perusahaan, dalam menjaga kerahasiaan data, Standard Program sebenarnya adalah yang paling rawan karena program ini dapat diketahui oleh semua orang (member di BugBounty). Bahkan Arif sendiri mengakui hal ini, ia pun menjelaskan bahwa tidak semua orang yang terdaftar di dalam platform mereka adalah orang yang baik. Tapi, perusahaan dapat mengikuti program ini secara gratis.
Sedangkan untuk Silver dan Gold Program, kerahasian data lebih terjamin karena kedua program ini hanya dapat dilihat oleh verified member saja. Perbedaannya adalah, dalam Silver Program semua verified member dapat melihat program yang ditawarkan, sedangkan dalam Gold Program hanya orang tertentu saja yang dapat dipilih dan umumnya mereka sudah berstatus verified member . Lalu bagaimana caranya untuk menjadi verified member?
Arif menjelaskan, “Untuk menjadi verified member, kami memiliki prosedur tersendiri seperti mengecek keberadaan alamat peretas tersebut dengan mengirim surat dengan kode acak untuk dimasukkan kedalam sistem, menyimpan data KTP serta melakukan sedikit background checking.”
“Jika klien (pemilik program) memberikan reward berupa uang kepada peretas, maka kami akan kenakan fee kepada peretas sebesar 10% dari total reward per kerentanan yang diberikan,” tambah Arif.
Rencana ke depan
Saat ini, BugBounty sudah memiliki 127 pengguna terdaftar sebagai peretas. Meskipun demikian, masih belum ada perusahaan yang bergabung secara resmi di platform ini. Tapi Arif mengungkapkan bahwa sudah ada beberapa perusahaan yang menunjukkan ketertarikan untuk bergabung dengan platform mereka setelah mereka melakuan presentasi ke beberapa perusahaan besar.
Terkait masih hijaunya layanan ini, Arif mengungkapkan bahwa setidaknya ada dua hal yang menjadi fokus perhatian dalam pengembangan platform. Pertama, mencari investor untuk dapat mengembangkan platform lebih jauh baik secara teknis maupun operasional, karena saat ini BugBounty masih berbentuk CV dan berencana akan mengubahnya menjadi PT. Kedua, mencari klien lebih banyak lagi, baik dari perusahaan ataupun peretas, dengan melakukan marketing seperti presentasi secara langsung dengan klien dan promosi pada seminar-seminar keamanan komputer.