Siber güvenlik uzmanlarının bir diğer adı olarak karşımıza çıkabilen Beyaz şapkalı hacker nasıl olunur, görevleri nelerdir ? Bu yazıda bu konular ve daha fazlasına açıklık getireceğiz.

Gelişen teknoloji ve donanımlarla birlikte, internet neredeyse etrafımızdaki her yerde. Özellikle akıllı telefonların yaygınlaşması, taşınabilir cihazların artmasına neden oldu. Bunun yanında yapay zeka asistanların artması, akıllı ev konseptinin hayatımıza girmesine neden oldu. Bu durum bilgisayar korsanlarının sayısında artışa neden oldu. Kötü amaçlı yazılımları artışı ise donanım kullanımını tehdit ediyor. Bu bilgisayar korsanlarına ise hacker adı veriliyor.

 

Beyaz Şapkalı Hacker Nedir?

CEH olarak da isimlendirilen Beyaz Şapkalı Hacker, olarak İngilizce Certified White Hat Hacker olarak tanımlanır. Bu kişiler bilişim suçları işlemekte olan şirketler ya da kurumlar için çalışırlar. Bu kişiler bilgisayar korsanlarına karşı mücadele ederler. Bilgisayar korsanlarının ya da gruplarının teknik olarak kullandıkları yöntemleri açığa çıkartırlar. Bu sayede onlara karşı mücadele eder ve hackerlara karşı hackerler yaparlar. Bilgisayar dünyasında sık sık bu kişilere ihtiyaç vardır. Yaptıkları iş bir nevi siber güvenlik uzmanlığıdır. Bu iki mesleği yapan kişilerin birden fazla yazılım bilmesine sahip olması gerekir.

 

Hacker Şapkaları ve Anlamları Nelerdir?

Hackerların amacını belirtmek amacıyla şapkalar kullanılır. Bu şapkalar ise 3 farklı renkte ifade edilir ve siyah, gri ve beyaz olarak tanımlanır. Siyah şapkalı hackerlar, sistem açıklarını araştırarak açık yakalamaya çalışır sonrasında çeşitli saldırlar yaparlar. Bu gruplar kötü niyetli insanlardır ve şirket ya da bireylerden bilgi çalarlar.  Özellikle siber güvenlik uzmanları bu kişileri durdurmak için çeşitli sistemler, algoritmalar kurarlar.

Gri şapkalı hackerlar ise yaptıkları işe ya da hedefe göre iyi ya da kötü girişimler yaparlar. Bu kişiler siyah şapka gibi kötü işlere de imza atabilirler, beyaz şapka gibi hack işlemlerini de engelleyebilirler.

Konumuz olan beyaz şapkalı hackerlar ise sistem açıklarını bulup, bu konuda çalışmalar yaparlar. Bu kişiler kötü işler yapmaz ve güvenlik açığını kapatan ya da bildiren kişilerdir. Birçok şirket ya da kurumda görev alırlar ve siber güvenliği sağlarlar. Bu kişiler siber güvenlik uzmanlarıyla neredeyse aynı işi yaparlar.

Beyaz şapkalı hackerlar, siyah şapkaya göre iyilik yaparlar. Bu kişiler sistem açıklarını kullanarak verileri çalmazlar. Siyah şapkalı hacker grupları ise açıkları görür ve bunu kötü amaçlı yazılım yüklemek için kullanırlar. Bu şekilde girdikleri sistemden çeşitli veriler çalarak bunları şantaj ya da satmak amacıyla kullanabilirler. Maddi bir zarar vermek yerine düşündükleri fikirleri duyurmak içinde hack işlemi yapıldığı görülmüştür.

Beyaz şapkalı hackerlar bir nevi siber güvenlik uzmanı olduklarını belirtmiştik. Bu kişiler siyah şapkalı hacker gruplarına karşı açıkları kapatır, sistemler geliştirirler. Bu kişiler öğrendikleri saldırı teknik ve bilgileri, bilgisayar korsanlığı yapmak yerine korumaya kullanırlar. Ülkemizde gün geçtikçe bu kişilerin sayısı artmakta ve siber güvenlik uzmanları çoğalmaktadır. Özellikle günümüzde gelişen teknoloji ve donanımlarla birlikte bu kısımdaki ihtiyaç artmaktadır. Bu kişiler USOM yani Ulusal Siber Olaylarla Mücadele Merkezi tarafından görevlendirilebilirler. İsterlerse şirket ve kurumlarda işe girebilir ya da bu yerlere hizmet verebilirler.

 

Nasıl Beyaz Şapkalı Hacker Olunur?

Beyaz şakalı hackerla siyah ya da gri şapkalı hacker arasında temelde fark yoktur. Yani üç grubunda aynı şeyleri bilmesi gerekir. Bu noktada Linux- Windows işletim sistemi bilgisi, ağ temel program bilgisi, programlama, TCP/ IP internet protokolleri, analiz ve birden fazla yazılım dili bilmesi gerekiyor. Bu bilgililere sahip olunduğunda ise pratikle bir sisteme nasıl girilir, nereden nasıl saldırı yapılabilir gibi fikirleri üretmeli ve bunlara karşı önlemler alabilecek düzeyde olmalıdır.

Yazılım dili olarak sadece bir dil bilmek yeterli değildir. Günümüzde hack işlemi yapmak için çeşitli diller kullanılıyor olsa da, önde gelen diller C, C++ ve Python’dur. Bu dilleri iyi düzeyde bilmek ve değişken durumlara karşı çevik hareket etmek gerekir. Bu bilgiler dışında bilmemiz gereken bir diğer konu ise ağ ve sunucu sistemleridir. Çünkü şirket ve kurumların verileri kendi ya da bu hizmeti veren sunucularda depolanır. Buradan veri çalmak içinse bu sistemlerin nasıl çalıştığını iyi bilmek gerekir. Bir ağın yapısı, bilgisi, çalışma şekli gibi bilgiler bilinmediği takdirde işlem yapmak imkansıza yakındır. Bunun yanında hackerlar özellikle Kali Linux işletim sistemi kullanırlar. Bu yüzden Linux işletim sistemi kullanmayı da en iyi şekilde bilmeleri gerekir.

Beyaz Şapkalı Hacker Olmak İçin Hangi Sertifikalar Gerekli?

Sertifikalı Etik Hacker yani CEH sertifikasına sahip olmalı. Kişi sorumlu olduğu sistemlerdeki zayıflıkları ve savunmasız noktaları bilmeli. Eğer bunları bilmiyorsa nasıl bulacağına dair fikri olmalıdır. Kısaca siyah şapkalı bir hacker gibi düşünerek, sistemi ele almalıdır. Her iki hackerda aynı bilgileri ve araçları kullanarak sisteme giriş yapmayı amaçlar. Beyaz şapkalı hacker giriş yaptıktan sonra hedef sistemin güvenlik açıklarını kapatır. Bu işlem tamamen değerlendirme amaçlıdır ve yasal bir şekilde yapılır. CEH sertifikası ile kişi belirli bir ağ güvenliği alanındaki yetkinliğini onaylatır.

Bu sertifikayı almak için çeşitli sınavlardan başarılı olmak gerekir. Bu CEH sınavları ise ECO- 350 ya da 312- 50 olarak bilinen sınavlardır. Bu sınavların dili ingilizcedir ve 150 sorudur. 100 sorunun 70’ini doğru bir şekilde yapmanız gereken bu sınavdaki soruların hepsi bilgi güvenlik odaklıdır. 70 barajını geçtiğiniz takdirde Sertifikalı Etik Hacker yani Certified Ethical Hacker (CEH) unvanını alamaya hak kazanırsınız.

Ülkemizde, Etik Hacker Sertifikasyon Programı veren bazı kurumlar bulunur. Türkiye’de devlet kurumu olarak görev yapan ve standartları belirleyen Türk Standartları Enstitüsü (TSE) kendi bünyesinde, Beyaz Şapkalı Hacker Eğitim ve Belgelendirme programını veriyor. Bu program başlangıç, orta ve ileri olacak şekilde 3 eğitimde öğretiliyor.

TSE tarafından yapılan sınav esasları aşağıdaki gibidir:

  • Stajyer Test Uzmanlığı için (eğer 6 ay tecrübe yoksa), Yazılı(Teorik) Sınavda 100 üzerinden 50 puan başarılı olmak beklenmektedir.
  • Kayıtlı Test Uzmanlığı için, Teorik (Yazılı) sınav ve Uygulamalı (Pratik) sınav ortalamasının en az 100 üzerinden 50 puan olması gerekmektedir. Teorik Sınav 1/3, Uygulamalı sınav 2/3 ağırlığındadır.
  • Sertifikalı Test Uzmanlığı için, Teorik (Yazılı) sınav ve Uygulamalı (Pratik) sınav ortalamasının en az 100 üzerinden 70 puan olması gerekmektedir. Teorik Sınav 1/3, Uygulamalı sınav 2/3 ağırlığındadır.
  • Kıdemli Test Uzmanlığı için, Teorik (Yazılı) sınav ve Uygulamalı (Pratik) sınav ortalamasının en az 100 üzerinden 85 puan olması gerekmektedir. Teorik Sınav 1/3, Uygulamalı sınav 2/3 ağırlığındadır.

 

Nasıl Beyaz Şapkalı Hacker Olabilirim?

  • Bilgisayar sistemlerini bilmek ve ne işlediğini anlamak
  • Python/ Ruby, PHP, C, C++, Lips gibi farklı yazılım dillerinde uzmanlaşmak
  • MySQL ve MSSQL veritabanlarının nasıl çalıştığını bilmek
  • Windows, Unix/Linux gibi işletim sistemleri bilmek
  • Kali Linux işletim sistemi üzerinde uzmanlaşmak
  • HTML, Java Script, Css, Jquery, Asp, asp.net gibi web odaklı yazılımları bilmek
  • CEH 9, OSCP ve CISSP vb. sertifika programların eğitimini almak
  • Kriptografi olarak tanımlanan şifre kırmak üzerine beceriler kazanmak