Günümüzün en popüler konularından birisi Bilgi Güvenliği. Bende bu yazımda bu konunun kahramanları Hackerlardan bahsedeceğim. Öncelikle Hack eyleminin tanımından başlamak en doğrusu olur.
Resim-1
Hacking Nedir?
Hacking aslında bir Reverse Engineering yöntemidir. Yani bir sistemin veya kişinin zaaflarını veya tasarımı gereği bulunan çalışma şeklini kullanarak sistemlere illegal giriş yöntemidir. Hacking yeni ortaya çıkmış bir şey değildir. İnsanlığın ilk suç işlemesi ile ortaya çıkmıştır.
Örnek vermek gerekirse çok basit olarak birisinden borç alıp ben sana şu zamanda vereceğim deyip zamanı geldiğinde vermemek olarak bilinen dolandırıcılık aslında bir hacking dir. Verdiğimiz örnekte insanı bir sistem olarak düşünecek olursak. İnsan sisteminde bulunan güven mekanizmasındaki bir zaaftan faydalanarak hacking işlemi gerçekleştirmiş oluyoruz.
Tabi biz hacking i günümüzün dijital ortamlarında oluşan veya sosyal mühendislik dediğimiz yöntemle sistemlere girişi hacking olarak adlandırıyoruz.
Bir başka bakış açısıyla hacking sisteme alışa geldik yöntemlerle değil farklı yöntemlerle sisteme girme yöntemidir. Bu ne demektir, burada bahsedilen sistemin tasarlanma amacından farklı olarak kullanmak bir hacking işlemidir. Örneğin bir Windows ortamında bir dosyayı açmak için işletim sistemini açarız dosyanın bulunduğu yere gideriz ve dosyaya çift tıklarız. Bu sistemin tasarlandığı şekilde kullanmaktır. Peki alışa gelmiş yöntemden farklı kullanmak nasıl olur. Eğer siz bir Windows işletim sisteminin CD-ROM okuyucusuna Linux veya farklı bir işletim sistemi cdsini takıp onunla açarsanız o dosyanın yolunu bulup yine açabilirsiniz. Peki burada önemli olan nedir? Windows içinden açılan dosyanın belli bir izin seti vardır. O dosyaya kimin girip kimin girmeyeceği bellidir fakat bu izinleri Linux sistemi tanımaz dolayısı ile bu durumda sisteme illegal olarak girmiş olursunuz.
İleriki günlerde basit veya ileri yöntemlerle farklı hacking yöntemlerini teknik olarak yine gösteriyor olacağım. Şimdi hacking eylemini anlattığımıza göre Hackerlardar bahsedebiliriz.
Hacker Kimdir?
Hackerların en doğru tanımlarından biri belli bir teknik yetenek setine sahip olan kişidir. Yukarıda hacking işleminden sisteme alışagelmiş dışında veya illegal olarak girme işlemi dedik. Dolayısı ile bir sisteme illegal olarak veya alışagelmiş dışında girmek için öncelikle o sistemi iyi tanımak gerekir. Hatta daha iyi bir tanımla o sistemin teknik olarak tüm özelliklerini bilmek ve bu özelliklerin tasarım hatalarını kullanarak sisteme girmektir.
Resim-2
Bu yazıyı yazmamdaki en önemli sebep genel olarak hacking medyanın da etkisiyle basit, genellikle 15-20 yaşındaki gençlerin merakı veya haylazlığı olarak bilinmesi. Memleketimizde birçok insan Redhack veya Anonymous gibi grupları parkta karşılaşıp hadi bir hacking grubu kuralım ve sağa solu kurcalayıp zarar verelim şeklindeki gruplar görmesi.
Öncelikle bu kadar büyük çapta organize eylem yapan kişiler teknik açıdan yetenekli olmak zorundadır. Dolayısı ile bu arkadaşlar medyanın önümüze attığı 15 yaşındaki liseli hiçbir şeyden bihaber arkadaşlar değildir. Hacker olmak da zaten bu kadar kolay bir şey değildir.
Gerçek Hacker olabilmek için sahip olunması gereken bazı donanımlar vardır. Güvenliği tehdit edebilecek veya koruyabilecek uzmanları kategorize edecek olursak.
Lamer veya Script Kiddie: Bu arkadaşlar Hacker kelimesi ile uzaktan yakından alakası olamayan basit uygulamalar veya başkası tarafından yazılmış programlarla sadece zarar amacı güden gruptur.
Bilgi Teknolojileri veya Bilgi Güvenliği Uzmanları: Bu gruptaki kişiler teknolojiyi tanıyan ve bilinen zafiyetleri tanıyan ve Bilgi sistemlerini koruyan kişilerdir. Teknik olarak birçok teknolojiye iyi derecede hakimdirler. Genel olarak bu gruptaki çoğunluk Beyaz Şapkalı (White-Hat) Hacker grubuna dahildir. Ethical Hacker olarak bilinen teknoloji uzmanları yine bu gruptadır.
Mimarlar ve Hackerlar: Bu gruptaki uzmanlar teknoloji geliştirebilecek veya varolan teknolojilerin zafiyetlerini kullanarak zararlı kod geliştirebilen kişilerdir. Teknik olarak bilgi ve becerileri çok yüksektir. Birçok protokolü çok iyi tanır analiz eder ve zafiyetlerinden faydalanabilirler. Bu gruptaki kişilerin hepsi Siyah Şapka (Black-Hat) olmak zorunda değildir. Zararlı kod yazabilen birçok kişi günümüzde güvenlik firmalarında güvenlik uzmanı olarak çalışmaktadır.
Yukarıdaki tanımlardan anlaşılabileceği üzere iyi bir bilgi teknolojileri uzmanı veya Hacker olmak için birçok teknoloji veya protokolü iyi tanımak gerekiyor.
Seminerlerde karşılaştığım en fazla merak konusu olan sorulardan birisi bu konuda nasıl kariyer yapılacağıdır. Öncelikle şunu belirtmek isterim ki kariyerinizin ilk basamağının Bilgi Güvenliği olması zordur. Tabi ki günün sonundaki hedefiniz bu olabilir fakat buraya varabilmek için öncelikle kullandığınız veya kullanılan sistemleri iyi tanımak ilk hedefiniz olmalıdır. Daha sonra bu sistemleri koruyabilir, sistemlere test amaçlı saldırabilir veya sistemleri test edecek programlar geliştirebilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
