Etik Hacker Kime Denir (Beyaz Şapkalı Hacker)

Etik Hacker Kime Denir (Beyaz Şapkalı Hacker)

8 Ekim 2019 0 Yazar: Onur Cici

‘Hacker’ terimi 1960lı yıllarda Massachusetts Teknoloji Enstitüsü (MIT)’nde, becerilerini anabilgisayar (mainframe) sistemlerini yeniden geliştirmek, verimliliklerini arttırmak ve çoklu işlem yapmalarını sağlamak için kullanan uzmanları tanımlamak için ortaya atılmıştır.

Günümüzde ise, bu kavram genelde bilgisayar sistemlerindeki zayıflıkları yada hataları kullanarak kötü niyetle yada muziplik için izinsiz giriş yapan yetenekli programcıları tanımlamak için kullanılır.

İnternet ve e-ticarete yönelik ilginin artışıyla kötü niyetli hack, medya ve eğlence sektöründe farklı şekillerde yer alarak pekişen izlenimiyle en bilinen form oldu. Kötü niyetli/etik olmayan hackin amacı çoğunlukla değerli bir bilgiyi çalmak ya da finansal kazanç sağlamaktır.

Hackin her türlüsünün kötü olmadığını söyleyebiliriz. Bir diğer hack türü de etik hacktir. Etik hackerlar kuruluşlar tarafından sistem ve ağlarının güvenlik açıklarını ve veri ihlallerini önleyici çözümler geliştirmeleri için işe alınırlar. Konumuz yüksek teknoloji de olsa tıpkı eskilerin dediği gibi “dinsizin hakkından imansız gelir”.

 

Etik Hacklemeyi Açıklayalım

Etik Hacking, bir ağdaki olası veri ihlallerini ve tehditlerini tanımlamak için sistem güvenliğinin izinli olarak aşılmasıdır. Sistem veya ağın sahibi olan şirket sistemin savunmasını test etmek için siber güvenlik uzmanlarına bu tarz faaliyetler için izin verir. Bu sebeple, kötü niyetli hackin aksine bu süreç, planlı, onaylı ve çok daha önemlisi yasaldır.

Etik hackerlar, sistem ya da networkün kötü niyetli hackerlar tarafından istismar edilebilecek zayuf noktalarını bulmaya çalışırlar. Sistem, network ve uygulamaların güvenliğini güçlendirecek yolları bulmak için bilgileri toplar ve analiz ederler. Bu çalışmalar ile güvenlik ayak izini geliştirmeyi ve böylelikle saldırılara karşı daha dayanıklı ve onları yönlendirecek kabiliyette olurlar.

Başka örnekleri olmakla beraber etik hakcerların en çok üzerine eğildikleri açıklar şunlardır:

-Injection Saldırıları

– Güvenlik ayarlarındaki değişimler

– Hassas verilerin açığa çıkarılması

– Kimlik doğrulama protokollerinde ihlal

– Sistem veya ağda kullanılan ve erişim noktası olarak kullanılabilecek bileşenler

Etik hacklemenin uygulanma haline “beyaz şapka” hacklemesi, uygulayan kişilere de beyaz şapkalı hackerlar denir. “Siyah Şapka” hacki ise etik hackin tersine, güvenlik ihlalleri gerçekleştiren uygulamalardır. Siyah şapkalı hackerlar, sisteme sızmak ve bilgileri imha etmek için yasadışı teknikler uygularlar.

“Gri Şapkalı” hackerlar da beyaz şapkalıların aksine sisteminize girmeden önce izin almazlar. Fakat siyah şapkalıların gibi aksine kendilerine yada üçüncü unsunlara yarar sağlamak için de hacklemezler. Bu hackerlar her hangi bir kötü yaklaşımları olmamakla beraber, eğlenmek veya bir çok başka sebeple sistemleri hacklerler ve çoğunlukla da sistemin sahiplerini buldukları tehditlere dair bilgilendirirler. Amaçları birbirinden ayrılmakla beraber Gri şapkalı hack de siyah şapkalı hack de sisteme izinsiz olarak giriş yapılması anlamına geldiği için yasadışıdır.

 

 

Etik/Beyaz Şapkalı Hacker, Siyah Şapkalıdan Nasıl Ayrılır?

Siyah ve beyaz şapkalı hackerları birbirlerinden ayırmak için en iyi yol amaçlarına göz atmaktır. Siyah şapkalı hackerlar kötü amaçlar güderler ve şahsi çıkarlarını, kazançlarını ve verdikleri zararları göz önüne sererken, beyaz şapkalı hackerlar, siyah şapkalıların faydalanmasını önlemek için güvenlik açıklarını bulur ve ortadan kaldırırlar.

Siyah ve beyaz şapkalı hackerlar arasındaki farkların ayırdına varmak için kullanabileceğimiz diğer yöntemler şunlardır:

– Kullanılan Teknikler: Beyaz şapkalı hackerlar sisteme yönelik saldırıların nasıl gerçekleştiği yada gerçekleşebileceğini kavramak için kötü amaçlı hackerların kullandıkları teknikleri tekrarlar ve adım adım yeniden uygularlar. Herhangi bir zayıf nokta bulduklarında eksikliklerin giderilmesi için anında bildirirler.

-Yasallık: Beyaz şapkalılar, siyah şapkalılarla aynı teknik ve metodları uygulasalar dahi bu hareketleri yasalara uygundur. Siyah şapkalılar rıza olmaksınızın sisteme girişyaptıkları için yasaları ihlal ederler.

-Mülkiyet: Beyaz şapkalılar kurumlar tarafından sisteme girmeleri ve güvenlik sorunlarını tespit etmek üzere işe alınmışlardır. Siyah şapkalılar ise ne sistemin sahibidirler ne de sistemin sahibi tarafından çalıştırılmaktadırlar.

Etik Hackerların Görev ve Sorumlulukları

Etik hackerların yasal olarak hack yapabilmeleri için izlemeleri gereken bir yol haritası vardır. İyi bir hacker kendi sorumluluklarının farkındadır ve etik yükümlülüklerine bağlı kalır. Etik hackin en önemli kuralları şunlardır:

– Etik hacker sistemin sahibi olan kuruluşun rızasını gözetmelidir. Herhangi bir güvenlik yoklaması gerçekleştirmeden önce bir tam bir onay almaları gerekir.

-Yoklamaları gerçekleştirmeden önce planlanan işlemin çapından kurumu haberdar ederler.

-Tespit ettikleri bütün açıkları ve ihlalleri bildirirler.

– Elde edilen bilgiler gizli tutulmalıdır. Amaçları, sistemi veya ağı güvence altına almak olduğu için, etik hackerlar gizlilik anlaşmalarını kabul etmeli ve onlara uymalıdır.

– Herhangi bir güvenlik açığı olup olmadığını kontol ettikten sonra yapılan hack işleminin tüm izleri silinmelidir. Böylece kötü niyetki hackerların bu ortaya çıkarılmış açıklardan sisteme girmeleri engellenir.

Etik Hacker (Beyaz Şapkalı Hacker) Olmak İçin Gereken Beceriler

Bir etik hacker, hack görevinde verimli olması için sistemler, ağlar, program kodları, güvenlik önlemleri vb. lerinin tümü hakkında derinlemesine bilgi sahibi olmalıdır.Sahip olması gereken becerilerden bazıları ise şunlardır:

– Programlama Bilgisi – Güvenlik uygulamaları alanında ve SDLC (Software Development Life Cycle) üzerine çalışan uzmanlar için gereklidir.

– Script Bilgisi – Uzmanların ağ yada host tabanlı saldırıların üstesinden gelebilmeleri için gereklidir.

– Ağ Kurma Becerisi – Bu yetenek oldukça önemlidir çünkü tehditlerin çoğu ağlardan kaynaklanıır. Ağda bulunan  tüm cihazları, onların birbirine nasıl bağlandığını ve neden tehlikede olduklarını olduklarını saptamayı bilmeniz gerekir.

– Veritabanlarını Anlama – Saldırlar çoğunlukla veri tabanlarını hedef almaktadır. SQL gibi veri tabanı yönetim sistemlerini öğrenmek size veri tabanlarında yürütülen operasyoınları tespit etmenizde yardımcı olur.

– Windows, Linux, Unix vb. bir çok platforma dair bilgiler.

– Piyasada bulunan farklı hack araçlarıyla çalışma becerisi.

– Arama motorları ve sunucular hakkında bilgiler.

Etik Hacker (Beyaz Şapkalı Hacker) Olmak

– Etik hack, bir sistemi veya ağı oluşturan her şeyin ustalığına ihtiyaç duyulması nedeniyle zorlu bir çalışma alanıdır. Bu nedenle sertfikalı olmak etik hacker olmak isteyenler arasında oldukça popüler hale gelmiş durumda.

Etik hacker sertifikası ile kariyerinizi siber güvenlik alanında ilerletebileceğiniz yollara örnekler vermek gerekirse:

– Sertifikalı bireyler güvenli iş ortamının nasıl tasarlanacacağı, inşa edileceği ve korunacağı konusunda bilgi sahibi olurlar. Eğer bu alanlardaki bilgilerinizi ispat ederseniz, tehtidleri analiz etme ve etkili çözümler üretilmesi söz konusu olduğunda aranan isim olursunuz.

– Sertifikalı siber güvenlik uzmanları, sertifikasız olanlara kıyasla daha iyi gelir elde etme potansiyellerine sahiptirler. Payscale’e göre, ABD’de sertifikalı etik hackerların ortalama yıllık gelirleri 90.000 dolardır.

– Sertifika, IT güvenliği alanında yeneteklerinizi doğrula ve zorlu görevlere başvurulduğunda swizi bir adım öne taşır.

– Güvenlik ihlallerinde yaşanan artışları takiple, şirketler ve diğer kuruluşlar IT güvenliği alanında ciddi yatırımlar yapıyorlar ve kendileriyle çalışması için sertifikalı adayları tercih ediyorlar.

– Startup firmalar siber tehtidlerin önüne geçmek için özellikle yüksek yetenek sahibi uzmanlara ihtiyaç duymaktadırlar. Sertifika, startup firmalardaki yüksek kazançlı işlere kabul edilmeniz için IT güvenliği becerilerini ispatlamanıza yardımcı olacaktır.

Günümüz dünyasında siber güvenlik bir çok sektörde oldukça trend bir başlık durumuna geldi. Kötü niyetli hackerlar savunma sistemlerini aşıp ağlara sızmanın yeni yollarını buldukça, tüm sektörlerde etik hackerların önemi giderek artmaktadır. Siber güvenlik uzmanları için bir fısat bolluğu yaşamasının yanı sıra, bireyler etik hackerlığı bir kariyer alanı olarak görmeye başladılar. Sadece yeteneklerini geliştirmek için bile olsa siber güvenlik alanına girmeyi düşünüyorsanız, işte tam sırası. Ve tabi ki de bunu gerçekleştirmenin en etkin yolu etik hack konusunda sertifikalı olmaktır ve Bilgin IT Akademi size bu yolda yardımcı olabilecek en iyi yol arkadaşıdır. Gelin sunduğumuz fırsatlara bir göz atın ve sistem güvenliğindeki mücadelede yerinizi alın!