Teknik olarak bakıldığında ‘Hacker; bilgiyi problem çözmek için kullanan bilgisayar uzmanı’ dır. Ancak popüler kültürde bu terim, bilgisini bilgisayar sistemlerine girerek istismar eden zararlı kişilerle ya da diğer kullanımıyla bilgisayar korsanları ile ilişkilendirilir.

Beyaz şapkalı hackerlar ise, hackerların yöntem ve tekniklerini kullanarak kötü niyetli (korsan) hackerların eylemleri sırasında kullandıkları araçları ve yazılımları deşifre eden, iyi niyetli hackerlar olarak tanımlanabilir.

Beyaz şapkalı hackerlar; internet ortamındaki program, site ya da bilgisayarı; güvenlik açıklarını tespit ederek kırıyor ama bu durumu sistem yöneticisine bildirerek, güvenlik açıklarının kapatılmasına ve zararlı kullanıcılardan korunmasına hizmet ediyorlar.

Certified Ethical Hacker (CEH)

Bilişim suçuna karışan kötü niyetli kişilerin kullandıkları tüm yöntem ve tekniklere hâkim olarak; siber saldırılarda kullanılan yazılım türlerini bilerek bunları deşifre eden beyaz şapkalılar ‘siber güvenlik uzmanı’ veya ‘etik hacker’ olarak da nitelendirilirler. 

Global olarak iş dünyasında Certified Ethical Hacker (CEH); olarak tanınan beyaz şapkalı hackerlar, bilgi ve becerilerini, danışmanlık yaptığı işletmeleri siber saldırılara karşı savunmak; engellemek ya da saldırıları en az zararla atlatmak amacı ile çalışan alanında uzman kişilerdir. Etik hackerlar/beyaz şapkalılar kötü niyetli yazılımcı ya da saldırganların kullandığı saldırı yöntemlerini ve tekniklerini bilme zorunluluğunun yanı sıra alınacak önlemleri; sistemi saldırılardan nasıl koruyacağını ve saldırı sırasında ne yapılması gerektiğini de bilmek zorundadır.

Ayrıca Blockchain Teknolojisi Nedir, Nerelerde Kullanılır? adlı yazımıza göz atabilirsiniz.

Hacking Yöntemleri

Beyaz şapkalı hackerların bilmesi gereken zararlı hackleme yöntemleri:

Distributed Denial of Service atağı, hedef sistemin kaynakları istilaya uğradığında oluşur. Sistem saldırganlar tarafından çeşitli yöntemler kullanılarak web sunucusunu yavaşlatılır ya da tamamen çökertilebilir.

Brute Force atağı, dolandırıcılık bilgilerini çalmak ve şifrelenmiş verileri kırmak amacıyla kullanılır. (Bunların hepsi kötü niyetli olmayabilir, bazı durumlarda ağ güvenliğini test etmekte kullanıldıkları da olur.)

SQL Injection atağı, PHP program dilindeki SQL açıklarından hareket ederek web sitesinin veri tabanına erişmek için kullanılır.

Keylogger, klavye dinleme ya da klavye yakalama sistemi olarak bilinen keylogger yönteminde, klavye üzerinde herhangi bir harfe dokunulduğunda casus yazılım bunu dinler ve kaydeder. Klavye dinleme sisteminden uzak durabilmek için spam niteliğindeki güvenilir olmayan mesajların açılmaması önemlidir.

Phishing, ya da bilinen diğer adıyla yemleme, yasal olmayan yollardan kişinin şifrelerini ve/veya kredi kartı bilgilerini ele geçirme yöntemidir.

Trojan, veya çok kullanılan adıyla truva atı; bilgisayar yazılımlarında zararlı program içeren ya da bunu yükleyen programdır. "Zararlı yük" ya da yalnızca "truva" olarak da nitelendirilir. Profesyonel olmayan ya da masum kullanıcılara kullanışlı ve ilginç gelebilme riski yüzünden; ancak işlendiklerinde zararları anlaşılabilir.

Beyaz Şapkalı Hacker Olmak İçin

Beyaz Şapkalı Hacker olmak isteyen kişiler öncelikle bu işin eğitimini almak zorundadır. Beyaz Şapkalı Hacker Eğitimi alıp, kısaca CEH denilen sınava girmek ve kariyerlerinin sürdürülebilirliği için de CEH sertifikasını edinmek zorundalardır.

Beyaz Şapkalı Hacker Eğitimi

CEH eğitimi genellikle beş günlük offensive/saldırı ağırlıklı güvenlik eğitimidir. Eğitim süresi bitiminde Microsoft, Linux ve Network gibi yazılımlar ile mobil ve kablosuz ağlar ile ilgili sistemlerin hacklenmesi, güvenlik aygıtları ve güvenlik yazılım programlarının açıklarını bulma, yazılım güvenliği hususunda referans alınabilecek Güvenlik Sertifika Programı'na sahip olacak beceriler kazanılır.  Beyaz Şapkalı Hackerlar bilgi ve yeteneklerini çalıştıkları kurumların savunmasını artırma amaçlı olarak kullandıkları için siber güvenlik uzmanları olarak kariyer yaparlar. Kullandıkları araç ve yöntemlerin tamamı saldırıları yapan hackerlar ile aynıdır. Bu nedenle saldırılardan korunma ve savunma teknikleri hususunda kendilerini geliştirirler.

Beyaz Şapkalı Hacker Eğitiminin Amacı

Beyaz Şapkalı Hacker Eğitimi, siber saldırılara en doğru biçimde karşılık verilebilmesi için; saldırganı ve onun çevresel koşullarını doğru öngörerek; sistemi alt etmek için kullandığı yöntemleri çok iyi şekilde bilip bu yöntemleri ona karşı kullanarak, danışmanlığını yaptığınız işletmenin sistemini savunmanıza katkı sağlar. 

Eğitimde katılımcılara, saldırganlara karşı durabilmek için ihtiyaç duyulan en uygun savunma tekniklerinin ve yöntemlerinin nasıl belirleneceği; bu teknik ve yöntemlerin en yüksek verimle nasıl kullanılacağı öğretilir. Nihayetinde kazandıkları bilgi ve deneyimleri White Hat (Beyaz Şapka) unvanı ile savunma amaçlı olarak kullanan güvenlik uzmanları olarak kariyer yapma şansı elde ederler.

Beyaz Şapkalı Hacker Eğitiminde Bazı Temel Konular

• Etik Hackleme
• Sistemler
• Şifreleme
• Tarama
• Sistem Hackleme
• Zararlı Yazılım
• Sosyal Mühendislik
• Servis Dışı Bırakma
• Oturum Ele Geçirme
• Web Sunucuları ve Uygulamaları
• SQL Enjeksiyonu
• Wi-Fi, Bluetooth Hackleme
• Mobil Cihaz Güvenliği
• Bulut Teknolojileri ve Güvenliği

Certified Ethical Hacker (CEH) Sınavı

Beyaz Şapkalı Hacker eğitimini tamamlandıktan sonra Ağ ve Sistem Altyapıları ile Web Uygulaması ve Veri Tabanları alanlarında yapılan sınavlara girmek gerekiyor. İsteyenler sadece birine veya her iki sınava da girebiliyor. Yaklaşık 4 saat süren sınav teorik ve uygulamalı aşamalarda oluşuyor.

Bilgi sınavlarında çoktan seçmeli teorik sorular soruluyor. Laboratuvar ortamındaki uygulamalı sınavlardaysa adayın, kimi senaryolar kapsamında yapılması gereken işlemleri, sızma testi raporuna kaydetmesi bekleniyor.

Sınavı başarı ile geçenler CEH (Certified Ethical Hacker) sertifikası almaya hak kazanıyor. Zorunlu olmamakla beraber, sertifika sınavına girmek için ülkemizde de bulunan akredite eğitim merkezlerinden eğitim almak en doğru yol olacaktır. Akredite eğitim kurumundan eğitim alanların sınava başvurmak için ekstra işlem yapmalarına gerek kalmıyor.

Ayrıca Kadın Bilim İnsanları ve Hikayeleri adlı yazımızı inceleyebilirsiniz.

Türkiye’de Beyaz Şapkalı Hackerlar: Siber Alem Muhafızları

Beyaz şapkalı hackerlar, ülkemizde de enerji tesisleri, bankalar, dev şirketler, kamu kurumları gibi pek çok alanda stratejik konumlarda iş olanağına sahiptirler. Görev yaptıkları kurum ya da kuruluşları siber saldırılardan korumak suretiyle siber alem muhafızı unvanını da hak ediyorlar. Son zamanlarda istihdam oranı giderek yükselen beyaz şapkalı hackerlık; yakın gelecekte çok daha fazla personel istihdamı yaratılması gereken iş kolları arasında yerini alacak gibi gözüküyor.

Bilgi Teknolojileri ve İletişim Kurumu bünyesinde (BTK) yer alan USOM (Ulusal Siber Olaylara Müdahale Merkezi) kritik altyapı sistemlerini anlık olarak izleyerek olası saldırıları önlemeye çalışıyor.

Türkiye’de siber güvenlik uzmanı açığını kapatmak ve bu alanda nitelikli uzmanlar yetiştirilmesini sağlamak BTK’nın görev ve hedefleri arasında bulunuyor.

Ülkemizde Beyaz Şapkalı Hacker İstihdam İhtiyacı Var mı?

Siber korsanların kurum ve kuruluşlara siber saldırılar düzenleyerek kurumsal faaliyetleri durdurması ve hizmetlerin aksatılması riski ülkemizde de var şüphesiz. Bu saldırılar gizli bilgilerin ifşa edilmesi, itibar kaybı ve maddi kayıplara sebep olabilir. Bu tür saldırıların önlenebilmesi adına ülkemizin kamu kurum ve kuruluşlarında beyaz şapkalı hackerlara gereksinim vardır.

Özel sektörde siber güvenlik uzmanı ihtiyacı da oldukça fazladır. Ülkemizde her geçen gün ‘sızma testi’ hizmeti veren firma sayısı artıyor. Teknolojik alanda hamleler yapmaya başlayan Türkiye’de, siber güvenlik alanında ciddi çalışmalar yapılmaya başlandığı için, bu alanda yeterli bilgi ve beceriye sahip uzmanlara, hem özel sektörde hem de kamusal alanda ihtiyaç vardır ve ihtiyaç duyulmaya devam edecektir.