Türkiye’de Nasıl Beyaz Şapkalı Hacker Olunur?

Hacking ya da Türkçe ifadesiyle “bilgisayar sistemlerine sızmak” internetten de önce, bilgisayar ağlarının hayatımızda olduğu ilk günden bugüne var olan bir konuydu ve şüphe yok ki teknoloji dünyasının yarınında da bizlerle olacak.

Bu makalede siber korsan (hacker) olarak adlandırdığımız kişileri ve ayrıldıkları kategorileri tanıtacağız. Ancak odak noktamız beyaz şapkalı hacker’lar olacak. Nasıl beyaz şapkalı hacker olunur sorusunun yanıtını ele alacağız.

Hacker kime denir? Kaç tür hacker var?

Beyaz şapkalı hacker’ı dışarıda tutan bir tanımla başlayacağız… Hacker, yetkisi veya izni olmadığı halde birtakım yazılımlardan, sosyal mühendislik metotlarından ya da sahibi olduğu yetkileri kullanmak suretiyle erişiminin yasak olduğu ağ ve sistemlere girerek, bu yolla hedeflediği verilere ulaşmak isteyen ya da siber sabotaj düzenleyen kişilere denir. Bu kişilerin hedefleri size kişisel veriler, banka bilgileriniz, parolalarınız, çok önemli ticari sırlarınız ya da daha fazlası olabilir.

Siyah şapkalı hacker: Bu kategoride değerlendirilen hacker’ların faaliyetleri etik açıdan doğru kabul edilmez. Siyah şapkalı hacker’lar, yasal olarak suç kabul edilen metotlarla ağ ve sistemlere saldırılarda bulunurlar. Bu saldırıların sonucunda elde ettikleri bilgileri ve saldırılarının sonucunda doğan hususları kendi maddi/manevi çıkarları doğrultusunda kullanırlar.

Gri şapkalı hacker: Bu kategorideki hacker davranışları siber güvenlik dünyasında oldukça tartışmalıdır. Gri şapkalı bir hacker, illegal yöntemler kullanarak ağ ve sistemlere saldırır ama bunun sonucunda elde ettiği başarıyı ya da güvenlik açıklarını kendi çıkarı için kullanmaz. Çoğunlukla tespit ettiği sistem açıklarını ilgili ağ ya da sistemin sahibi ile paylaşarak siber güvenlik noktasında kendilerini geliştirmelerine yardım eder. Ancak uyguladığı metotların yasa dışı kabul edilmesi sebebiyle etik yönü tartışmalıdır.

Beyaz şapkalı hacker: Beyaz şapkalı hacker, yasal bir engele takılmadan ağ ve sistemler üzerinde sızma testleri (pentest) gerçekleştiren, planlı saldırılarını hedef kurbanın bilgisi dahilinde düzenleyen; kısaca ağ ve sistemi devamlı olarak güvenlik yönünden test eden hacker grubuna verilen isimdir.

Hacker türleri hakkında daha fazla ayrıntı için buraya tıklayarak ilgili makaleyi inceleyebilirsiniz.

Günümüzde birçok teknoloji firmasının kendi bünyesinde istihdam ettiği ya da dış kaynaklardan danışman olarak istihdam ettiği beyaz şapkalı hacker’lar mevcuttur. Bu kişiler sosyal mühendislik yoluyla, oltalama saldırısı, DDoS saldırıları ya da çeşitli hacking tool’larını (araçlarını) kullanarak sistemi daima test ederler, varsa açıkların giderilmesine destek olurlar. Beyaz şapkalı hacker’lar, saldırılarının sonucunda ulaştıkları hiçbir datayı ve bilgiyi satmaz ya da kullanmazlar.

Türkiye’de hacker denildiğinde…

Türkiye’de eskiden ‘hacker denildiğinde’ akla MSN şifresi kıran, Facebook hesabı çalan ya da online oyun hesaplarını ele geçiren hacker’lar gelmekteydi. Ayrıca gerek kamu gerekse özel sektörün bu tarz siber suçlar hakkında yeterli bilgisi olmadığından, pek çok beyaz/gri şapkalı siber saldırı girişimi de maalesef hak ettiği değeri görememişti.

Günümüzde önemli ölçüde artan siber güvenlik farkındalığı, en başta özel sektör tarafında ciddiyetle ele alınıyor. Çıkarılan Kişisel Verilerin Korunması Kanunu (KVKK) gibi yasal düzenlemeler ve Bilgi Teknolojileri Kurumu’nun (BTK) çalışmalarıyla gerek kamu gerekse özel sektör bu konuyu hassasiyetle ele almaktadır.

Artık kurum ve kuruluşlar, dışarıdan gelecek saldırıları bekleyen taraf olmak yerine aktif savunma metotları üstünde yoğun mesai harcıyor. Uzmanlara göre böyle olması gerek, çünkü her türlü faaliyetin dijital ortamda yürütüldüğü bir noktada yasalar artık veri depolayan taraflara ağır güvenlik sorumlulukları yüklüyor. Beyaz şapkalı hacker’lar tam da bu aşamada devreye giriyor.

Hacking bir tabu olmaktan çıktı ve günden güne önemi daha iyi anlaşılan bir yetenek olarak atfedilmeye başlandı. Şirketler, kendilerine saldıran ve bu saldırı sonucunda açıklarını tespit eden gri şapkalı hacker’ları ödüllendirerek onları beyaz şapkalı hacker olarak istihdam etmeye bile başladılar. Bankalar, veri merkezleri, online ödeme sistemleri, e-ticaret platformları, devlet kurumları ve daha niceleri düzenli olarak beyaz şapkalı hacker’lara planlı saldırılar düzenletiyor ve böylelikle sistemlerinin performansını test ettiriyorlar. Ayrıca bilinçli şirketler ve kurumlar düzenli olarak oltalama e-postalarıyla çalışanlarının siber güvenlik farkındalığını artırmaya çalışıyor.

Hack’n Break ve Hackathon etkinlikleri

Türkiye’de 2016 yılından bu yana düzenlenen Hack’n Break etkinliğine özel bir yer ayırmakta yarar görüyoruz. Bu etkinlik, siber güvenliği odak noktasına alan devasa bir teknoloji ve yazılım etkinliği. Aynı zamanda sektörün önemli temsilcileriyle yeni katılımcıları bir araya getiriyor. Firmalar siber güvenlik noktasında en yeni teknolojileriyle herkesin karşısına çıkıyor, projeler üzerinde çalışılıyor ve hacking testleri uygulanıyor. Örneğin bundan birkaç sene önce bir elektrikli araç şirketi, yeni otobüs modeliyle bu etkinliğe katılmış ve otobüslerini deneyimli-deneyimsiz tüm genç hacker’ların saldırısına maruz bırakarak test etmişti. Hiç kuşkusuz bu etkinlik hem siber teknolojide uzmanlaşmak isteyen gençler için ciddi bir mücadele oldu, hem de marka sektördeki çeşitli saldırı metotlarına karşı bilgilendi.

İlgili hackathon’lar (çeşitli alanlarda yarışma modeli şeklinde yapılan ve kazanan ekipler ödüllendirildiği etkinlikler) hem devlet hem de özel şirketler tarafında irili ufaklı organizasyonlarla siber güvenlik dünyasına katkı sağlamaya devam ediyor. Hackathon’larda hedef doğrudan siber korsanlık olmasa da yazılım geliştirme, iş süreçleri, sistem planlaması gibi konular ele alınırken, aynı zamanda siber güvenlik başlığı da ele alınıyor. Yazılım geliştirme alanında yapılacak en ufak bir ilerlemenin hiç kuşkusuz siber güvenliğe de katkısı olacağı ortadadır.

Türkiye’de beyaz şapkalı hacker olmak için eğitim veriliyor mu?

Geçtiğimiz yıl İstanbul Valisinin katılımıyla Türkiye’nin ilk siber güvenlik lisesi Teknopark İstanbul’da eğitim-öğretim hayatına başladı. Pendik Teknopark İstanbul Mesleki ve Teknik Anadolu Lisesi, bu kapsamda Türkiye’nin siber güvenlik alanında doğrudan mesleki eğitim veren -üniversite öncesi- ilk eğitim kurumu olma özelliğini taşıyor. Sektörün ve yetkililerin ortak kanaati ise şu şekilde: Bu okul bir başlangıç, gelecek yıllarda siber güvenlik eğitimi veren pek çok yeni liseyle tanışabiliriz.

Üniversite düzeyinde siber güvenlik eğitimi çok çeşitli kollara ayrılıyor. Nokta atışı olarak ülkemizde sayıları her geçen gün artmakla beraber Siber Güvenlik Lisansüstü programları açılıyor. Bu alanda yüksek lisans eğitim almış siber güvenlik uzmanları ve beyaz şapkalı hacker’lar yetiştiriliyor. Ayrıca mesleki eğitimin bir devamı niteliğinde olan Bilgi Teknolojisi Güvenliği bölümü de Türkiye’deki birçok üniversitede ön lisans olarak sunuluyor ve gençlere siber güvenlik eğitiminin temel incelikleri akademik ölçekte aktarılıyor. Lisans programlarında ağırlıklı olarak siber güvenlik eğitimlerinin Bilgisayar Mühendisliği ve dengi branşlara entegre edilerek okutulduğunu da ifade edelim.

Öte yandan siber güvenlik eğitimi almak için üniversite şart değil. Teknoloji sektöründe hâlihazırda çalışan bir birey olabilir, doğrudan bu alana yönelik bilgi ve beceriler kazanmak isteyebilirsiniz. İşte bu noktada hem üniversiteler hem de bilgi teknolojisi eğitimi veren özel kurslar tarafından sunulan sertifika programları mevcut.

Sızma testlerinin eğitiminin verildiği Pentester programları, etik hacker sertifika programları ve siber güvenlik yetkinliği eğitim programları sayesinde siber güvenliğin çeşitli alanlarında uzmanlaşmak mümkün.

Sözün kısası, siber güvenlik branşı Türkiye’de gün geçtikçe daha fazla ön plana çıkıyor. Özel kurslar, siber güvenlik lisesi, ön lisans, lisans ve lisansüstü eğitim düzeyinde branşlara ayrılıyor; dolayısıyla hem siber güvenlik eğitimi hem de beyaz şapkalı etik hacker eğitimi ülkemizde her geçen gün daha çok değer kazanıyor, gelişip büyüyor.