Referans - Yarının Habercisi | Şirketlerin gözdesi beyaz hackerlar!

Teknoloji geliştikçe 7'den 70'e her yaştan insan, büyük küçük tüm firmalar internete bağımlı hale geldi. Özellikle firmalar için ise internet artık iş hayatının ayrılmaz bir parçası. Haberleşmeden, iş takiplerine ve ödemelere kadar tüm iş akışları internet sayesinde kolaylaştı... Ancak madalyonun öbür yüzünde ise bu gelişmenin yarattığı tehditler var: Hacker'lar ve virüsler... Sanal dünyadan gelecek bir saldırı ile şirketin tüm gizli bilgilerinin ele geçirilmesi ya da bilgilerin uçması an meselesi.

İşte bu tehdit hacker'ları şirketlerin kadrolu elemanı yaptı. Ama bu hacker'ların saldırıyı gerçekleştiren hacker'lardan önemli bir farkı var.

İsimleri "beyaz şapkalı hacker", işleri ise hacker'lara karşı savaşmak. Beyaz şapkalı hacker'lar, "siyah şapkalı" meslektaşları kadar yetenekli. Kendi sitelerine saldırarak güvenlik açıklarını tespit edip ona göre pozisyon alan beyaz şapkalı hacker'lara olan talep eğitim kurumlarını da harekete geçirdi. Eğitim kurumlarından son bir yılda 5 bin kişi hacker'lık eğitimi aldı. Eğitim alan hacker'lar 6 bin TL'den başlayan maaşlara iş bulabiliyor.

Gizliliğin önemi artıyor

Eğitim veren firmalardan biri internetin daha güvenli bir ortama dönüşmesini isteyen ve e-ticaret yapan global dev şirketlerin bir araya gelip oluşturdukları bir kurum olan EC-Council'ın Türkiye Ana Distribütörü Academytech. Şirket, son bir yılda 300'ü aşkın şirketin 800'e yakın bilgi güvenliği uzmanına ve bini aşkın bireysel katılımcıya beyaz hacker'lık eğitimi verdi.

Academytech Genel Müdürü Özcan Yıldız, ABD ordusu, FBI, Microsoft, IBM ve Birleşmiş Milletler çalışanlarına eğitim veren ve beyaz hacker'lık alanında referans kurum olan EC-Council'ın sertifikaları sayesinde eğitim verdikleri beyaz hacker'ların tüm dünyada bilgi güvenliği alanında kolayca iş bulabildiklerini söylüyor. Eğitim verdikleri bin 800 kişinin yanı sıra, üniversite ve kurumlarda yaptıkları seminerlere yaklaşık 3 bin kişinin katıldığını kaydeden Yıldız, "İnternet geliştikçe, hem kişisel hem de kurumsal bilgilerin gizliliğine daha çok ilgi göstermemiz gerekiyor. Milyar dolarlık ciro yapan bir şirketin internet üzerinden yaptığı ticarette yaşadığı kötü bir deneyim onun itibarını bitirmeye yetebilir. Bankalar gibi işlemlerinin çoğunu internet sitelerinden yapan kurumlar için bu çok daha önemli. Türkiye'de de hem teknolojinin hem de e-ticaretin gelişmesiyle beyaz hacker'lar daha çok iş buluyor, dönemsel çalışmak yerine şirketlerin bilgi güvenliği departmanına dahil oluyorlar. Bir kısım öğrencimiz de bu sertifikayı alıp bilişim departmanlarında iş bulmayı kolaylaştırıyor" diyor. Academytech'te 30 saatlik beyaz hacker'lık eğitimlerinin tutarı bin dolar civarında.

15 bin illegal hacker var

Türkiye'nin en genç beyaz hacker eğitmenlerinden 27 yaşındaki Huzeyfe Onal, bugüne kadar 200'den fazla şirkete güvenlik hizmeti vermiş. 2003'ten beri Ford Otosan, Avea, Vodafone ve Turkcell'de bilgi güvenliği alanında çalışan Onal, Türkiye'de hacker'lık eğitimi verebilecek 30 civarında eğitmenin bulunduğunu söylüyor.

Onal, "Eskiden büyük şirketler güvenlik denetimlerini yurtdışına yaptırırlardı. Yurtdışından bir uzmanın bir günlüğü 2 bin dolar. Şimdi Türk eğitmenler 1 haftalık denetimleri 2 bin dolara yapıyor. Bilgi güvenliği ihtiyacı arttıkça uzman da gerekiyor. Şirketlerin bilgi güvenliği departmanında çalışan ortalama bir etik hackerın maaşı ortalama 6-7 bin liradan başlıyor" diyor. 5 yıl önce Türkiye'nin en büyük şirketlerinin bile bünyelerinde 1 veya 2 internet güvenliği çalışanı istihdam ettiğini belirten Onal, "Bu gün o şirketlerin 15-20 kişilik bilgi güvenliği departmanları bulunuyor" diye konuşuyor.

Türkiye'de onlarca hacker grubu var. Çoğu genç olan bu hacker'lar şirket sitelerine saldırmaktan öte siyasi veya "keyfi" saldırılar yapıyor. Huzeyfe Onal, bu forumlara üye olan hacker veya aday hacker sayısının 15 bine yakın olduğunu söylüyor. İllegal hacker'larda büyük potansiyel bulunduğunu belirten Onal, "İllegaller değerlendirilebilse Türkiye internet güvenliğinde bir adım daha güçlenir. İllegalde deneyim kazanıp şirketlerde çalışmak isteyen hacker'lar da oluyor. Ama güvenlikçi adam güvenilir olmalı. ‘Bu adam daha önce yapmış, benim şirketime de yapabilir' diyerek bu hackerlar işe alınmıyor. Biz de işi daha ‘beyaz' alana çekmek için zararsız hack'leme yarışmaları, kongreleri yapıyoruz" diyor.

Banka hacker'sız çalışmıyor

3 yıldır beyaz hacker'lık eğitimi veren Bilge Adam Kurumsal'ın özel dizayn edilmiş laboratuar ortamında katılımcılar pratik saldırılar yapabiliyor. Bilge Adam Kurumsal Pazarlama ve İletişim Müdür Yardımcısı Servet İlik, "İnternetin faaliyetlerinde önemli bir yer tuttuğu firmalar bu işi ciddiye alıyor. Bir bankanın veya telekomünikasyon devinin bu alanda bir hata yapması, bir sorun yaşaması onların ticari faaliyeti içinde önemli bir tehdit. Kısa bir tanıtım yaptık ve birçok firmadan başvuru aldık. Bu alanda talep daha da artacak. Biz hacker'mışcasına düşünme eğitimi veriyoruz. Kendine bir sertifikasyon arayan, firmalar tarafından aranan eleman olmak isteyen bilişim çalışanlarından talep geliyor" diyor.

Eğitim verdikleri kurumlar arasında bankaların ve kamu kurumlarının yoğunlukta olduğuna dikkat çeken İlik, "Şu ana kadar Adli Tıp Kurumu, Akbank, Citibank, Sarar, TEB, Yapı Kredi, BP, Garanti Bankası, HSBC, Setur, Avon, Çalık Holding, Finansbank, Global Bilgi, İzmir Büyükşehir Belediyesi, Kombassan, Opet ve Pepsi'nin içinde yer aldığı birçok firmanın bilgi güvenlikçilerine eğitim verdik" diye konuşuyor.

İlik, yaz sonrası başlayacak sezonda en az 100 kişiye beyaz hacker'lık eğitimi vermeyi öngördüklerini belirterek, 5 gün boyunca günde 6 saat olarak verilen beyaz hacker'lık eğitimlerinin bedelinin de 3 bin TL olduğunu kaydediyor.

Sabancı hacker'a test yaptırıyor

Sabancı Holding de bilgi güvenliğini de yılda bir kere beyaz hacker'lara test ettiriyor. Sabancı Holding Kurumsal Bilgi Teknolojileri Direktörü (CIO) Ergun Hepvar, bu şekilde sistemdeki iç ve dış açıklarını tespit ettiklerini belirtiyor. Dünyada şirketlerin sistemlerine yapılan hacker saldırılarının yüzde 70'inin şirket içinden geldiğine işaret eden Hepvar, "Saldırıların daha çok tüketiciye yönelik ve özellikle internet üzerinden satış yapılan şirketleri hedef alıyor. Sabancı Holding'e arada bazı saldırılar olsa da şimdiye kadar çok büyük boyutta sıkıntı yaratacak saldırılarla karşılaşmadık" diyor.

Kurslarda ne öğretiyorlar?

Beyaz ya da etik hacker'lık eğitimlerine katılabilmek için temel network bilgisi, temel Windows server veya Linux bilgi birikimine sahip olmak gerekiyor. Beyaz hacker ve bilgi güvenliği sertifikasyonu üç aşamadan oluşuyor. CEH (Certified Ethical Hacker)'in ilk adımı oluşturduğu eğitimlerde öğrencileri sırasıyla CHFI (Computer Hacking Forensics Investigator) ve LPT (License Penetration Tester) sertifikaları bekliyor. CEH sertifikasını almanın zorunlu tutulduğu eğitimlerin diğer iki ayağı olan CHFI ve LPT sertifikaları tamamlayan öğrenci kolayca bir firmaya bilgi güvenliği uzmanı olarak girebiliyor veya farklı firmalara danışmanlık hizmeti verebiliyor. Katılımcıların sürekli pratik yapma imkânına sahip olduğu eğitimlerde genel olarak şu eğitimler veriliyor:

-İz sürme, saldırı öncesi planlama çalışmaları
-Hedef belirleme, zayıflık tespiti, bilgi edinme
-Servis durdurma saldırıları
-Sosyal mühendislik ve bilgi alma teknikleri
-Databaseleri kandırmak, izin verilmeyen bilgileri alma teknikleri
-Virüsler, trojanlar, worm'lar nedir? Aralarındaki farklar nelerdir?
-Sistemlerde şifrelerin yaratılması ve saklanması, bilinen şifre atak yöntemleri
-Web server'ların çalışma mantığı ve bilinen web server'lar, Web server'lardaki güvenlik açıkları

2.5 TL'ye kart bilgisi

Tüm dünyadan internet dolandırıcılarının, kredi kartı ayrıntıları ve internet bankacılığı şifrelerini alıp sattığı Darkmarket adlı internet sitesi, geçen yıl sonuna doğru kapatıldı. Site yöneticilerine yapılan operasyon çerçevesinde 60 civarında kişi tutuklanmıştı. Sıradan bir kredi kartının manyetik şeridindeki verinin 1 sterlin (2.55 TL) gibi düşük bir fiyata alıcı bulabildiği web sitesinde, en değerli kredi kartı bilgilerinin sürekli seyahat eden iş adamlarına ait olduğu belirtiliyordu.

8 çeşit hacker var

1. Siyah Şapkalılar:

Her türlü programı, siteyi veya bilgisayarı güvenlik açıklarından yararlanarak kırabilen bu en bilindik hacker'lar, sistemleri kullanılmaz hale getirir veya gizli bilgileri çalar. En zararlı hacker'lar siyah şapkalılardır.

2. Beyaz Şapkalılar

Beyaz şapkalılar da her türlü programı, siteyi veya bilgisayarı güvenlik açıklarından yararlanarak kırabiliyor ancak kırdığı sistemin açıklarını sistem yöneticisine bildirerek, o açıkların kapatılması ve zararlı kişilerden korunmasını sağlıyor.

3. Gri Şapkalılar

Yasallık sınırında saldırı yapan, iyi veya kötü olabilen hacker'lardır.

4. Yazılım Korsanları

Yazılım korsanları bilgisayar programlarının kopya korumalarını kırarak, bu programları izinsiz olarak dağıtımına olanak sağlayıp para kazanırlar. Piyasaya korsan oyun ve program CD'lerini yazılım korsanları sağlıyor.

5. Hacktivist'ler

Hacktivist'ler kendilerine göre kötü veya yanlış olan toplumsal veya politik sorunları dile getirmek amacıyla belirli siteleri hack'leyerek mesajlarını yerleştirirler. Karşıt görüşlü siteleri ele geçirip zarar verirler. Türkiye'nin etkili hacktivist gruplarından Red Hackers Asscoation (Kızıl Hacker'lar Birliği), emniyet müdürlüklerinin sitelerine saldırıp trafik cezalarını silerek adını duyurmuştu.

6. Phreaker'lar

Telefon ağları üzerinde çalışan, telefon sistemlerini hack'leyerek bedava görüşme yapmaya çalışan kişilerdir.

7. Script Kiddie'ler

Script kiddie'ler hacker'lığa özenen, lise çağlarındaki zarar vermeye yönelik kişilerdir. Tam anlamıyla hacker değillerdir, hacker'lığa özenirler. Script kiddieler genellikle kişilerin e-posta veya anında mesajlaşma şifrelerini çalarlar.

8. Lamer'ler

Lamer'ler hacker'larla hiçbir ilgisi olmayan, öğrendikleri birkaç terim ve sahip oldukları programlarla, etrafta "ben bir hacker'ım" diyerek gezinen çocuk yastaki kişilerdir. Zarar verme eğilimindedirler.