Setelah mendapatkan OSCP, OSWE, dan OSEP, berikutnya saya ingin mendapatkan OSED, karena akan sekalian mendapatkan OSCE3. Sebenarnya tidak ada pekerjaan yang menurut saya membutuhkan OSED saat ini, tapi karena ada waktu luang, ya kenapa nggak dicoba.
Dulu saya pernah sharing tentang Security Certification Roadmap. Ini adalah berbagai sertifikasi security yang bisa dipilih.
Jadi di mana posisi OSED ini? di sekitar bagian atas untuk kategori pentest. Jika kita sudah mendapatkan OSEP, OSED dan OSWE, maka otomatis mendapatkan OSCE3. Overview mengenai OSCE3 bisa dibaca di sini.
Contents
Tentang course EXP-301
Kelas yang diberikan Offsec bernama EXP-301: Windows User Mode Exploit Development. Sertifikasinya namanya OSED (OffSec Exploit Developer). Sesuai namanya, di course ini kita belajar mengembangkan exploit user mode (bukan kernel mode) untuk Windows.
Menurut presentasi Offsec, posisi OSED di atas OSWP dan OSWE. Setelah menyelesaikan OSED, saya sudah menyelesaikan semua course Advanced.
Sebenarnya dari dulu saya malas mengambil ini karena materinya masih Windows 32 bit. Saya tadinya berharap course ini diupdate ke Windows 64 bit, tapi ternyata sampai sekarang tetap 32 bit walau sudah diupdate materinya untuk memakai Windows 10.
Silabusnya bisa dilihat di : https://www.offsec.com/documentation/EXP301-syllabus.pdf
Saya mendaftarkan coursenya Juni 2023 biayanya 1599 USD, tapi sekarang saya cek sudah naik jadi 1649 USD. Sepertinya sekarang harga course Offsec semakin cepat naik (semua course level advanced sekarang 1649 USD).
Sebagai catatan, dulu saya mengambil OSWE di 2020, harga resmi adalah 1400 USD (tapi dengan diskon dan voucher saya hanya membayar 949 USD), sekarang harga resminya juga naik jadi 1649 USD.
Tool yang digunakan sangat dibatasi: hanya WinDBG, dan IDA Freeware versi 7.0. Penggunakan decompiler tidak diijinkan. Berbagai tool lain juga tidak diijinkan (lengkapnya silakan lihat peraturan dari Offsec).
Bagi saya yang akhir-akhir ini sudah terbiasa memakai decompiler, ini seperti disuruh balik dari naik mobil listrik dengan driver assistance, ke mobil dengan transmisi manual. Masih bisa, tapi sangat kagok, dan butuh waktu untuk adaptasi.
Setelah masuk discordnya Offsec, saya sekarang paham kenapa masih 32 bit, dan kenapa memakai WinDBG:
- Lebih mudah mengajari konsep di versi Windows 32 bit, ini saja sudah cukup rumit untuk pemula
- WinDBG itu satu-satunya debugger untuk kernel Windows. Jadi kalau membiasakan memakai WinDBG dari sekarang, akan lebih mudah ketika mengambil course berikutnya untuk OSEE yang akan memakai WinDBG
- Malware masih banyak yg memakai 32 bit, supaya bisa menyerang baik sistem 32 maupun 64 bit.
Seperti pelajaran dan ujian offsec yang lain: yang diuji adalah kemampuan dasar kita. Contohnya di OSCP kita tidak boleh memakai alat exploit otomatis, tapi harus bisa mencari exploit dengan Google, memodifikasi exploitnya, dan menjalankannya, jadi keahlian ini akan tetap sama selamanya.
Demikian juga di OSED ini: yang perlu kita pelajari adalah dasar assembly, serta dasar pembuatan exploit. Untuk kasus tertentu decompiler tidak bisa bekerja (atau untuk arsitektur tertentu decompilernya tidak ada, atau kacau hasil outputnya karena proteksi malware) jadi kemampuan membaca assembly memang tetap dibutuhkan.
Kalau di OSEP kita berfokus ke teknik yang dipakai malware (misalnya Process Injection, Antivirus Bypass), di OSED kita berfokus mengeksploitasi aplikasi yang ada. Selain itu kita perlu bisa menulis sendiri shellcode untuk exploit.
Saya akses labnya sebentar, tapi saya terlalu malas untuk mengerjakan latihannya (padahal kalau dikerjakan, ujian akan jauh lebih mudah). Untuk course ini, karena saya sudah cukup mahir bagian reverse engineeringnya, saya hanya berfokus pada membaca diktat:
- Untuk belajar bagaimana memakai WindDBG secara optimal (dari dulu saya lebih suka debugger alternatif seperti Olly atau x64dbg).
- Untuk refreshing internal Windows (sudah lama tidak RE Windows, hanya ketika Flare-On saja, tapi itupun saya sudah tidak ikut 3 tahun terakhir ini setelah 5 tahun berturut-turut ikut)
- Agar tahu kira-kira materi ujiannya seperti apa
Memilih jadwal exam
Di kisah OSEP sebelumnya saya salah memilih jadwal ujian. Saya langsung memilih tanggal ujian, lalu pas dekat tanggalnya baru tau ada cara acara penting, saya geser lagi, dan ternyata masih ada acara penting lagi, dan akhirnya terakhir tidak bisa digeser lagi karena jadwalnya sudah penuh sampai batas yang diijinkan.
Nah di sini saya berpikir: ah mending pilih jadwalnya nanti saja kalau sudah dekat waktunya ingin ujian. Saya merencanakan mengambil Exam Desember karena masa libur sekalian saya bisa mengambil liburan Natal. Ternyata meski batas ujiannya masih jauh, tapi semua slot sudah penuh sampai batas jadwal ujian saya
Akhirnya saya mengemail offsec meminta bantuan, dan diextend lagi sampai Februari (gratis), dan hanya tinggal beberapa slot tersedia, jadi saya pilih 1 Februari.
Jadi ternyata jangan memilih jadwal terlalu awal, tapi juga jangan terlalu mentok dengan batas waktunya.
Exam
Ujiannya 48 jam (tepatnya 47 jam 45 menit) mulai 1 Februari jam 1 siang. Seperti bisa dilihat di Exam Guide:
The exam consists of three tasks, which will test the topics covered in the syllabus, including reverse engineering to discover vulnerabilities, crafting exploits that bypass security mitigations and creating custom shellcode.
Saat mulai ujian sudah ada beberapa masalah kecil.
Koneksi software proctor agak lambat. Harus beberapa kali mencoba baru berhasil konek. Sudah berkali-kali saya mengambil ujian offsec, baru kali ini agak bermasalah. Ketika ujian juga sempat beberapa kali screen sharingnya berhenti.
Saya memakai multi monitor, tapi setelah berhasil konek monitor saya yang kedua gagal dishare (selalu muncul layar pertama lagi ketika sharing, jadi seolah mirroring). Padahal dulu di ujian OSEP bisa. Setelah berkutat agak lama, akhirnya saya remove monitor kedua dari meja saya.
Setelah memakai multi monitor, memakai satu monitor agak kagok karena membandingkan listing jadi agak sulit. Saya juga harus sering Alt-Tab untuk memeriksa bahwa screen sharing ke offsec masih berjalan lancar.
Hari pertama
Saya tadinya cukup optimis akan menyelesaikan minimal satu soal di hari pertama. Tapi sesuai Exam Guide: Specific instructions for your tasks will be located in your Exam Control Panel, which will only become available to you once your exam begins.
Instruksinya sangat spesifik, dan kebetulan sesuatu yang tidak biasa saya lakukan. Sampai tengah malam saya belum menyelesaikan satu soal pun.
Hal seperti ini sangat umum terjadi di berbagai pengalaman ujian offsec yang saya baca di reddit: semangat tingi, mentok sesuatu, lalu tidak bisa tidur karena penasaran. Karena tidak bisa tidur, makin sulit berpikir, dan malah tidak lulus.
Selingan: Bukan Istri Pilihan
Risna sedang mendengarkan buku Bukan Istri Pilihan (reviewnya ditulis Risna di sini), waktu baru setengah jalan, dia sudah menceritakan isinya ke saya. Nah sebelum tidur setelah ujian hari pertama, Risna semangat menceritakan endingnya, dan saya dengarkan karena penasaran.
Karena sudah lewat tengah malam, dan mendengar ending ceritanya, saya jadi ngantuk berat dan langsung lelap sampai pagi. Menurut saya ini bagus sekali, karena sebelumnya waktu ujian OSEP, saya sulit tidur karena masih terpikir soalnya.
Hari kedua
Di hari kedua, setelah bangun pagi dengan segar, saya teruskan, dan ternyata kesalahan di hari pertama hanya typo kecil di sebuah angka heksadesimal (ada angka heksa ‘d’ yang tertukar dengan ‘b’), jadi di pagi hari sudah selesai satu soal.
Soal kedua menurut saya lebih mudah, dan benar saja, sebelum jam makan siang sudah saya selesaikan. Dengan dua soal ini sebenarnya sudah cukup untuk lulus, tapi saya penasaran dengan soal ketiga.
Soal ketiga juga bisa saya selesaikan dengan cepat walau tidak secepat nomor dua. Sekitar jam 8 malam saya sudah selesai semuanya. Saya langsung membuat laporan sampai jam 11 malam.
Menurut saya: soal ketiga ini cukup sulit, harus benar-benar banyak praktik. Saran saya yang belum banyak pengalaman reversing dan menulis exploit, cobalah banyak berlatih.
Hari ketiga
Saya masih punya waktu sampai jam 12.45 siang dihari Sabtu untuk menyelesaikan ujiannya, tapi saya sudah menghentikan exam jam 9 pagi setelah mendapatkan cukup banyak screenshot.
Alasannya kenapa lebih awal: perlu mengantar Joshua les menggambar, dan setelah itu perlu mengantar Jonathan untuk acara gereja.
Membuat Laporan
Saya meneruskan laporan (lebih dari 100 halaman) sampai malam di hari Sabtu. Saya berusaha membuat laporan sebaik mungkin dengan banyak gambar ekstra dan tabel.
Sekitar jam 11 malam saya sudah cukup puas dengan hasil akhirnya, tapi tidak segera saya submit. Saya masih punya waktu sampai hari Minggu siang. Saya tinggal tidur dulu untuk direview Minggu pagi, supaya pikirannya segar.
Waktu mengikuti petunjuk pembuatan file 7z untuk upload laporan (ada guide spesifik di website Offsec cara mengupload filenya), ternyata Windows menganggap skrip solusi saya sebagai malware dan dihapus. Untungnya saya memiliki file aslinya di Linux.
Di Minggu pagi, saya cek ada beberapa yang masih bisa diperbaiki supaya laporan lebih baik. Setelah mengedit sedikit, saya upload laporannya.
Menunggu Hasil
Meskipun belum keluar hasilnya, saya sudah mulai menuliskan pengalamannya di sini. Jadi ketika hasilnya keluar, bisa langsung saya publish. Mengingat saya berhasil menyelesaikan semua task, kemungkinan gagal adalah jika saya membuat kesalahan fatal dalam laporan yang saya kirimkan. Karena sudah 3 kali berhasil membuat laporan sebelumnya, saya berharap tidak membuat kesalahan fatal.
Rabu pagi hasilnya keluar: saya lulus
Sebuah email lagi masuk: saya mendapatkan OSCE3.
OSEE?
Sertifikasi terakhir Offsec adalah OSEE, tapi saya ragu apakah akan mengambil ini di masa depan, masalah utamanya adalah biayanya. Dulu harga trainingnya sekitar 5000 USD, tapi sekarang sudah mencapai lebih dari 12000 USD. Saya tidak yakin ini worth the money.
Sebagai perbandingan: mengambil S2 CyberSecurity dari University of London yang ditawarkan via Coursera juga sama, sekitar 12000 USD (9445 poundsterling). Sebagai catatan: harganya berdasarkan negara pendaftar, negara berkembang mendapatkan tarif yang murah.
Sejauh ini setahu saya tidak ada pekerjaan yang membutuhkan OSEE. Jika kita memang jago menemukan exploit, tinggal cari dan terbitkan saja writeup exploit kernel, maka akan mudah mencari pekerjaan di bidang reverse engineering, tanpa harus mendapatkan sertifikasi OSEE.
Dulu saya mengambil OSCP karena dibayari, lalu OSWE karena kebetulan dapet diskon besar. OSEP saya ambil karena penasaran dengan Red Teaming, dan OSED saya ambil karena tanggung untuk mendapatkan OSCE3.
Tentunya saya tidak tahu masa depan, siapa tau ada yang mau membayari saya ikut course ini, atau dapat rejeki yang banyak sehingga merasa sertifikasi ini murah.
