Fallacy #4: The network is secure
Kita tidak dapat menjamin bahwa aplikasi 100% aman. Kecuali jika komputer atau laptop tersebut di tanam di dalam tanah atau dimatikan atau tidak terhubung sama sekali dengan network. Bahkan meskipun tidak terhubung dengan network user dapat saja memasukkan hard drive, disk dan CD, DVD atau flash disc.
Kita juga sebagai developer kerap kali sering melakukan kesalahan dan akan lebih berbahaya lagi jika kita mendapatkan hak akses administrator. Semua asal dari security breach adalah manusia. Dan social engineering merupakan salah satu masalah yang terbesar dari security.
Pelajaran ini tentu saja bukan mengenai pelajaran tentang hacking atau system security. Karena untuk hal tersebut membutuhkan course tersendiri yang bakalan memakan waktu lebih dari isi buku ini. Jadi pada kesempatan ini kita hanya akan membahas secara singkat saja tentang security.
Kebanyakan orang sekarang meletakkan semua informasi mengenai dirinya online. Misalnya di facebook, linkedin, twitter dan banyak social media lainnya. Hal ini dapat digunakan oleh pihak-pihak yang bermaksud buruk untuk melakukan kejahatan. Contohnya dengan melakukan ancamana terhadap database administrator atau seseorang yang memiliki power access ke system. Hal ini dapat dengan mudah diketahui melalui linkedin dan dengan menambahkan informasi tersebut dengan facebook. Kita dapat melakukan ancaman yang berkualitas dan dapat memaksa orang tersebut melakukan hal yang kita mau.
Tidak selamananya hacker akan melakukan complex hacking tetapi lebih ke arah penyerangan terhadap orang atau dengan social engineering.
Jadi pesan yang dapat diambil adalah kita tidak dapat 100% mengatasi hal ini untuk perusahaan dimana kita mendesign sistem, tetapi kita hanya dapat mengikuti kaidah-kaidah seperti OWASP security dan best practice yang ada sebagai standard pembangunan software.
Solusinya adalah kita harus melakukan threat model analysis dan mencari keseimbangan antara biaya dan resiko. Karena ada kalanya kita harus menerima suatu vulnerabilities disebabkan cost yang tinggi dan kemungkinan attack yang kecil. Jadi selalulah memproteksi diri anda dengan hukum. Pada akhirnya pertanyaannya adlah bukan apakah kita dapat di hack tetapi kapan kita akan di hack. Lindungilah diri anda dengan payung hukum.