Ne Aramıştınız?

Bir Ethical Hacker'ın Anatomisi

Hacker kelimesi herkesin aşina olduğu, tam olarak ne yaptıkları bilinmese de kötü niyetli ve suçla ilişkilendirilen bir sıfat olarak kabul edilmiştir. Öte yandan ethical hacker ise hâlen çok sık duyulan bir tanımlama değil.

İçerik Başlıkları
Ethical Hacker

Oysa ki siber suçların gün geçtikçe daha fazla arttığı, bununla da bağlantılı olarak hem kurumlara ve şirketlere hem de bireylere verdiği zararın daha yıkıcı olduğu bu dönemde ethical hacker, yani beyaz şapkalı hackerlar kişisel ve değerli bilgilerimizi koruyacak olan insanlardır.

Ethical hacker kelimesinin sık duyulmuyor olması aslında şaşırtıcı bir durum çünkü bu kelime ilk olarak 1990’larda IBM’in yöneticisi olan John Patrick tarafından kullanıldı. Ethical hackerların faaliyetleri ise çok daha öncesinden beri siber dünyada aktifti. Şu anda ise dünyanın her yerinde internet üzerinde aktif olan şirketler ve kurumlar tarafından en çok aranan insanlar arasında yer alıyorlar.

Ethical Hacker Nedir?

Öncelikle ethical hackerların ne olduğuna değinebiliriz. White hat hacker da denilen bu meslek grubuna mensup insanlar birer bilgi güvenliği uzmanıdır. Tıpkı hackerlar gibi şirketlerin ya da kurumların bilgisayar sistemlerine, networklerine, uygulamalarına ya da bilgisayar kaynaklarına aynı yöntemlerle girerler. Ethical hackerların bildiğimiz özellikleri yani black hat hackerlardan farkı ise bunu şirketlerin ya da kurumların izinleri dahilinde yapmalarıdır.

Bağlantılarını, transferlerini, hassas olanlar da dâhil olmak üzere bütün bilgilerini internet üzerine taşımamış bulunan az sayıda kurum dünya üzerinde bulunuyor. Bunların sayısı da yine günden güne azalıyor. İnternet üzerinden ulaşılabilecek bilgi miktarı arttıkça kötü niyetli hackerların sayısı da aynı hızla artıyor. Şirket, kurum ve müşteri verileri özellikle büyük değer gören, bu nedenle de çalınması muhtemel bilgiler arasında yer alıyor.

Şirketler bu gibi ihlallere karşı kendilerini korumaya almak için siber güvenlik ve ağ güvenlik uzmanları gibi insanları şirket bünyesinde çalıştırıyor, bunların yanında özel güvenlik şirketlerinden yardım alıyor. Fakat bütün bu güvenlik önlemleri bile kombine edildiğinde yeterli olmuyor ve şirketler yine de hackerların saldırılarına uğrayabiliyor. Bu gibi saldırılardan korunmanın en iyi yolu ise gerçekten hacker gibi düşünen ve onların metotlarını kullanan kimselerin fikirlerinden ve uzmanlığından yararlanmak oluyor. İşte bu noktada devreye ethical hackerlar giriyor.

Ethical Hackerlar Ne İş Yapar?

Güvenlik açıklarından şüphelenen şirketlerin ve organizasyonların izniyle ethical hackerlar bilgisayar sistemlerine ya da kaynaklarına giriş yaparlar. Güvenlik sistemlerindeki sorunları ve zayıf noktaları bulan ethical hackerlar şirketlerin ilgili departmanlarını buldukları sorunlar hakkında bilgilendirirler. Sektörün içinden bilgilere sahip olan ethical hackerlar siber suçlular tarafından kullanılan metotları kullanarak onların yarattıkları olası riskleri çok daha iyi tespit ederler.

Ethical hackerların görev tanımları arasında eksik parola şifrelemelerini, güvenliksiz uygulamaları, yamasız çalışan softwareleri bulmak da vardır. Bu testler sonucu elde ettikleri verileri kurumların IT departmanlarına sunarlar. Kimi ethical hackerlar buldukları verilere göre güvenlik önlemleri de önermektedirler. Görev tanımı her şirketin çalışma şekline, IT departmanına ve bulunduğu sektöre göre değişkenlik gösterebilir ama kabaca özetlersek bir hacker gibi düşünerek hareket edip güvenlik açıklarını bulmak diyebiliriz.

Ethical Hackerlar Neden Önemlidir?

Günümüzde siber suçların tehlikesinden ve yaygınlığından daha sık bahsedilse de durumun ciddiyetini fark edenlerin sayısı aynı fazlalıkta değildir. Özellikle de orta ve küçük ölçekli şirketler sürekli olarak tehlike altında olduklarını ve yüksek ağ güvenliğine ihtiyaç duyduklarını maalesef kötü tecrübeler sonrasında anlıyorlar. Oysaki siber suçlar dünya genelinde her yıl çok yüksek kayıplara neden olmaktadır.

Siber suçların neden olduğu yıkımı ülkemizde de güncel olaylara baktığımızda kolayca görebiliyoruz. Geçtiğimiz yıl ülkenin en büyük bankalarından birine yapılan bir DDoS saldırısı bankanın uzun bir süre ATM’lerinin çalışmamasına sebep olmuştu. Bu da en büyük ve güvenilir kurumların dahi güvenlik konusunda ciddi sorunlar yaşadığını kanıtlıyor.

E-ticarette de durum çok farklı değil. Bebek ürünleri satan ünlü bir web sitesi ise bir fidye saldırısına uğradıktan sonra uzun bir süre hizmet veremedi. Fidye saldırılarında web sitelerinin dosyaları şifrelenir ve siber suçlular karşılığında belirli bir fidye isterler. Bu da yalnızca şirketi finansal zarara uğratmakla kalmaz, kişisel bilgileri çalınan müşterilerin güvenini de kaybedilir.

Güvenlik şirketi McAfee ile Stratejik ve Uluslararası Çalışmalar Merkezi’nin yaptığı araştırmalar sonucu her yıl globalde toplam 600 milyar dolar kaybın siber suçlar sonucu yaşandığı ortaya çıkmıştır. Düşük seviyelerdeki hackerlar çok fazla göze çarpmayan küçük suçlarla kendileri için kazançlar peşinde olsalar da çok yüksek miktarda paraların ve büyük önem taşıyan bilgilerin çalındığı ve yine de tespit edilemeyen siber suçlar da bu kayıpların ana aktörleri arasındadır.

Ethical hackerların önemini işte tam da bu noktada daha iyi anlayabiliyoruz. İleride de çok fazla ihtiyaç duyulacak olan bu mesleğe daha fazla sayıda genç insanın ilgi duyup gerekli eğitimi alması, bütün dünya ekonomisine katkı sağlayacaktır.

Ethical Hacker Olmak İçin Hangi Eğitimleri Almak Gerekir?

Ethical hacker olmak istiyorsanız bu mesleği yapmak için tek bir yol olmadığını bilmelisiniz. Kolaylık olması açısından üniversitelerde bilgisayar mühendisliği, yazılım mühendisliği ya da elektronik mühendisliği gibi bölümlerden mezun olabilirsiniz. Bu bölümlerde alacağınız dersler ethical hacker olmak için gerekli donanımı sizlere sağlayacaktır. Eğer bahsedilen bölümlerde okuma şansınız yoksa matematik mühendisliği de iyi bir seçim olacaktır.

İyi bir ethical hacker olmak için etiketlerdense yetkinliklerinizi ve becerilerinizi geliştirmeye odaklanmanız daha iyi sonuçlar verecektir. Şu anda büyük şirketler tarafından özellikle aranan pek çok ethical hackerın üniversite mezunu bile olmadığını hatırlatmakta her zaman fayda vardır. Üniversitede benzer bölümler okumak olasılıklar dahilinde değilse özel kurslar, online dersler ve grup çalışmaları ile gerekli beceriler kazanılabilir.

Ders seçimlerinizde önceliklerinizi programlama ve kriptografiye vermeli, yazılım tarafında olduğu kadar donanımda da bilgili olmaya çalışmalısınız. Bu adımlardan sonra kendinizi ağ desteği konusunda geliştirmelisiniz. Böylece güvenlik programlarını kurmak, güncellemek, zayıf noktaları arayarak tespit etmek ve takip etmek gibi aktiviteleri başarılı bir şekilde yapmayı öğrenebilirsiniz.

Eğitiminizin son aşamasında ağ güvenliği konusunda kendinizi geliştirmek için gerekli adımları atmalısınız. Sonuçta mesleğinizin büyük bir kısmı kurumların güvenlik açıklarını bulmak üzerine geçecek.

Ethical Hacker Olmak İçin Hangi Sertifikaları Almalısınız?

İster bilgisayar mühendisliği alanında bir bölüm bitirmiş olun, isterseniz de özel kurslar yardımıyla network güvenliği alanında kendinizi geliştirmiş olun sizi işe alacak olan işletmeler ve kurumlar resmi bir belge görmek isteyeceklerdir. Bu nedenle de bu alanda iyi bilinen ve aranan sertifika programlarına katılıp gerekli sertifikaları almanız tavsiye edilir.

Bir ethical hacker olmak için öncelikli olarak almanız gereken sertifika CEH sertifikasıdır. Siber saldırganların kullandıkları yöntemleri ve güvenlik açıklarını tespit etmeyi bilip bilmediğiniz bu sınavda başarılı olursanız sertifikalı bir ethical hacker olursunuz. Bu şekilde iş arama sürecinizde çok daha rahat edersiniz.

CEH dışında alınması gereken sertifikaları sıralayacak olursak en önemli olanları şu şekildedir:

  • CND (Sertifikalı Ağ Savunucusu)
  • EC-Council Sertifikalı Güvenlik Analisti (ECSA)
  • Sertifikalı Bilgi Sistemleri Güvenliği Uzmanı (CISSP)
  • Sertifikalı Bilgi Sistemleri Denetçisi (CISA)
  • Sertifikalı Bilgi Güvenliği Yöneticisi (CISM)
  • Sertifikalı Bulut Güvenliği Uzmanı (CCSP)
  • Lisanslı Penetrasyon Test Cihazı (LPT) Master

CEH Sertifika Programında Hangi Konular Bulunur?

Ethical hacker sertifika programında bu meslek için bilinmesi öncelikli ve gerekli olan bütün konuları bulabilirsiniz. Bunları kısaca özetlememiz gerekirse:

  • Penetration Test (Bilgi Güvenliği Sızma Testi)
  • Sızma Testlerinde Keşif ve Bilgi Toplama Çalışmaları
  • Sosyal Mühendislik ve Son Kullanıcıyı Hedef Alan Çalışmaları
  • Host/Ağ/Port Keşif & Tarama Araçları
  • Zafiyet Tespit Yazılımları
  • IDS, IPS ve Firewall
  • Exploit Çeşitleri
  • DOS/DDOS Saldırıları
  • Kablosuz Ağ Saldırıları
  • Uygulama Güvenliği ve Hacking Yöntemleri
  • Parola Kırma Saldırıları ve Şifreleme Teknolojileri
  • TCP/IP Protokol Ailesi Zafiyet Analizi
  • Paket Analizi & Sniffing

Ethical Hacker Olmak İçin Ne Gibi Becerilere Sahip Olmak Gerekir?

Bilgisayar sistemleriyle ilgili herhangi bir alanda başarılı olabilmek için her şeyden önce öğrenmeye ve araştırmaya meraklı olmalısınız. Sürekli olarak yeniliklerin ve güncellemelerin çıktığı bir alanda çalışmak istiyorsanız yerinizde saymak sizi günden güne başarısızlığa götürecektir.

Bunun yanı sıra iyimser bir karaktere sahip olmak da büyük öneme sahiptir. Eğitimden çalışma hayatına giden yol boyunca sıklıkla engellere takılacağınıza emin olabilirsiniz. Kolay karamsarlığa kapılmak iyi bir problem çözücü olma yolunda sorunlar yaratabilir.

Bilgi teknolojilerinde kariyer yapan insanların yalnız çalıştıklarına dair eski moda inancın yanlış olduğu uzun zaman önce kanıtlansa da hâlen sosyal becerilere gereken önem verilmediğini görebiliyoruz. Ethical hacker olarak çalışırken farklı departmanlarla sıklıkla iletişim hâlinde olacak, onları güvenlik açıkları hakkında bilgilendirecek ve önerilerde bulunacaksınız. Bu nedenle de iletişime açık ve ikna edici de olmanız gerekecektir.

İşletmenizi ve itibarınızı siber tehditlere karşı korumak için Berqnet ürünleri hakkında bilgi alın

Ethical Hackerlar Nerede Çalışır?

Güvenliğini ciddiye alan ve buna önem veren her kurumun ethical hacker ihtiyacı bulunmaktadır. Böyle bir şirkette ya da organizasyonda tam zamanlı olarak çalışmayı tercih edebilirsiniz. Ya da güçlü bir network oluşturarak freelancer olarak da hizmet verebilirsiniz. Bu pozisyonlara gelebilmek için elinizden geldiğince tecrübe edinmeniz gerekir. Elinize geçen bütün fırsatları değerlendirmeli ve kendinizi geliştirebileceğiniz yerlerde staj yapmalısınız.

Ethical hacker olarak çalışabileceğiniz kurumlar güvenliğine önem veren herhangi bir sektördeki işletmeden güvenlik alanında uzmanlaşmış bir şirkete kadar uzanabilir. Özellikle de siber güvenlik firmalarının her daim yetenekli ve çalışkan ethical hackerlara ihtiyacı olur. Her şirketin ethical hacker tanımında farklı özellikler bulunacaktır, buna göre seçeneklerinizi değerlendirebilirsiniz.

Ethical hackerlar ne kadar maaş alır?

Ülkemizde ethical hackerların aldıkları maaş tecrübesine ve çalıştıkları yere göre değişkenlik göstermekle birlikte ortalama bir ücret belirtmek gerekirse 10,000 TL diyebiliriz. Serbest olarak çalışmayı tercih ederseniz ücretlerinizi kendiniz belirleyebilirsiniz. Bunlarla birlikte yurt dışında çalışmak istiyorsanız daha yüksek ücretler alma şansınız da olacaktır.

Sıkça Sorulan Sorular

Network güvenlik alanında işlenen suçların gün geçtikçe artması ve bunun dünya ekonomisine her yıl milyarca dolara mal olması ethical hackerların işsiz kalmasını imkansız bir hâle getiriyor. Kendinizi yeterince geliştirirseniz ve doğru eğitimi alırsanız bir ethical hacker olarak iş bulmanız çok zor olmayacaktır.

Mesleğin adındaki hacker kelimesindense ethical kısmına dikkat etmelisiniz. Ethical hackerlar hackerların yöntemlerini kullanarak kurumların güvenlik açıklarını tespit ederler, gerekli olan güvenlik önlemleri hakkında bilgilendirme yaparlar. Kısacası hackerlara karşı çalışırlar.

Gri şapkaları hackerlar isimlerinden de anlaşılabileceği üzere kötü niyetli, yani siyah şapkalı hackerlar ve beyaz şapkalı hackerlar arasındaki etik konumda yer alırlar. Gri şapkalı hackerlar tıpkı siyah şapkalı hackerlar gibi kurumların ağlarına izinsiz olarak giriş yaparlar. Fakat bu girişi bilgi çalmak ve kuruma zarar vermek için kullanmazlar. Aksine şirketlere güvenlik açıkları konusunda bilgilendirme yaparlar. Kısacası kurumdan izin almamış beyaz şapkalı hackerlar olduklarını söyleyebiliriz.

DDoS saldırısı white hat hackerların haberdar olmaları gereken en önemli siber saldırılardan biridir. Önemli olmasının nedenleri arasında yaygınlığını ve tehlikesinin büyüklüğünü sayabiliriz. Saldırılan organizasyonun servisinin engellenmesini hedef alan bu saldırıda genelde yüksek trafik alan büyük web siteleri kurban olarak seçilmektedir.

Hackerlar web siteleri üzerinde JavaScript kullanılarak yapılan oynamalar sayesinde site ziyaretçilere siber saldırıda bulunabilirler. Bu saldırılara XSS zafiyeti adı verilir ve savunmasız siteler hedef alınır. XSS zafiyeti, yani Cross-Site Scripting, ethical hackerların en iyi şekilde bilmesi gereken saldırı türleri arasında yer alır.

Yazılım açıklarından faydalanarak networklere giriş izni sağlayan kodlara exploit adı verilir. Bu şekilde siber saldırganlar hassas bilgilere ulaşabilir, sistemlerin çalışmasına engel olabilirler. Exploit yerel olarak ya da uzaktan kullanılabilir.

Ethical hackerlar hem şirketlerde tam zamanlı olarak hem de kendi başlarına freelancer olarak çalışabilirler. Fakat freelancer olarak çalışmayı planlayanlar iş bulmanın daha zor olabileceği olasılığını göz önüne almalıdırlar.

Her freelancer gibi danışanlarınıza yeteneklerinizi ve yetkinliklerinizi göstermeniz gerekir. Kendinizi kanıtlamak için gri şapkalı hacker olarak işe başlasanız dahi izinsiz olarak şirketlerin networklerine girmeniz her zaman hoş karşılanmayabilir.

Hackerların güncel olarak kullandığı her saldırı ethical hackerlar tarafından da derinlemesine öğrenilmelidir. Ancak bu şekilde olası saldırılara karşı ağ ve sistemlerin zayıf noktalarını tespit edebilirler. Bunların arasında zero day saldırıları, phishing saldırıları, zararlı yazılımlar, DDoS saldırıları, brute force (kaba kuvvet) saldırıları ve sosyal mühendislik saldırıları bulunur.

Ethical hackerlar saldırılara karşı savunma geliştirmek için IDS, IPS ve Firewall gibi ürünleri kullanırlar.

Kaynak: https://www.zdnet.com/article/cybercrime-drains-600-billion-a-year-from-the-global-economy-says-report/

16 Mart 2022
Hızlı Teklif Alın