Fatih Emiral tarafından yazılmış tüm yazılar

2009 yılında BTRisk’i kuran Emiral BTRisk’in yetkinlik ve ürün yatırımlarına yön vermenin yanı sıra güvenlik ihtiyacı yüksek olan kurumlara sızma testi, siber olay müdahalesi ve güvenlik kontrol denetimi projelerinde yer almaktadır. eslek hayatına 1996 yılında bankacılık sektöründe başlamış olup yurt içi ve dışındaki bankalar için Unix platformunda ana bankacılık sistemi ve alternatif dağıtım kanalları yazılım projelerinde yer almıştır. 2002 yılında uluslararası bir denetim ve danışmanlık şirketinde güvenlik ve BT denetim alanlarında faaliyet göstermiş, güvenlik hizmetlerinin başlangıcında teknik lider olarak hizmet vermiştir. CEH, CISSP, CISA, CIA sertifikalarına ve ISO27001 LA, BS25999 LA eğitimlerine katılım sertifikalarına sahiptir.
Konuk Yazar

Bir Hacker’ın Kariyer Evreleri

4 Yorum

Hacking team’in ticari sırlarının ifşa olması ve saldırgan güvenlik teknolojilerinin kullanım boyutunun ortaya dökümesi, patriot bataryalarına yönelik saldırı yapıldığı iddiaları (ki Alman medyasının bile ne kadar gaza gelebileceğinin bir kanıtıdır), Kasperski firmasının ağında zararlı yazılım tespit etmesi gibi haberler ilgi çekiyor. Bazıları için ise bu haberler bugün hava kapalı olacak haberinden daha ilgi çekici değil. Bunlar hacking kariyerinde son evreye geçmiş sayılı insanlar.

Hacking kariyerinin 5 evresi vardır, bunlar:

  • Mide bulantısı ve baş dönmesi dönemi
  • “I know kung-fu” ve tutmayın beni kendime hakim olamıyorum dönemi
  • Bu işler çok sakat dönemi
  • Bu teknolojinin en ince detayını öğrenmek istiyorum dönemi
  • Amaan, bunlar her gün olan şeyler dönemi’dir.

İlk dönem olan mide bulantısı döneminde hacker özentisi kişi bir yol bulmaya çalışır, hacking’in çok havalı olduğunu düşünür. Görünmez adam olma fikri çok cazip görünür (aslında hacker’lar da görünür, ama bunu anlaması üçüncü dönemde olur). Ama biraz okumaya, seminerlere gitmeye başladığında anlamadığı bir dilin konuşulduğunu farketmeye başlar. Bunu kendinizi Fas’ta bulduğunuz ve aç açıkta kalmamak için dili anlamaya çalıştığınız bir durum gibi düşünün. Hangi ipin ucundan tutsa çeker çeker ama asla sonuna ulaşamaz, hiçbir şeyi tam olarak kavrayamaz, hep kendinden ve bilgisinden şüphe eder. Bu dönemde o bunu hack’ledi bu şunu hack’ledi haberlerini okuyarak ne döndüğünü anlayabilmeyi ümit eder. Ama bilmediği şey bu haberleri yapanlar ve aynı baskıyı tekrar tekrar dağıtanların çoğunun da ne olup bittiği hakkında kendisinin bir yıl sonra olacağı halinden daha fazla fikri olmadığıdır. Bu dönem öylesine ağırdır ki çoğunun midesi bu dönemi kaldırmaz ve ben normal bir yazılımcı falan olayım bari diye ekmek peşindeki yoluna devam eder.

İkinci döneme geçebilenler en zor dönemi atlatanlardır. Ama kendileri adına en tehlikeli döneme girmişlerdir. Bu dönemi araba kullanmayı yeni öğrenmiş ama kendini iyi sürücü zanneden birisinin yaşadığı döneme benzetebiliriz. Yani kazaya en yakın olduğu döneme. Sosyal medya aktivitelerinin de tavan yapmaya yaklaştığı dönem bu dönemdir. Artık hacker kulübe girmiştir (ne kulübüyse artık). Tool’lar, ilk dönemde kendisinin de anlamadığı, halen de tam olarak anlamadığı kavramlar twit’lerde havada uçuşmaya başlar. Tool kullanabildiği için biraz duvar yıkmaya, sistemlere girmeye, başkalarının e-postalarını okumaya başlar. Tool bunu nasıl yapıyor ve ben bunu niye bilmiyorum fikri içini kemirse de bu fikri beyninin derinliklerine gömmeye çalışır. Bunlardan bir tanesi bir web uygulamasındaki URL bilgisini değiştirerek başka bir müşterinin telefon faturasını gördüğünde dünyayı ele geçirebileceğini bile sanabilir. Daha ilginç olanı kendisinin ne kadar akıllı geri kalanların ise bir sürü beyinsiz olduğunu düşünmeye başlayabilir. Bunu eline silah verdiğiniz bir psikopat olarak düşünün, artık etrafındakilerin başına ne gelir bilinmez. Hacker için bu dönemde adrenalin yükselmiş, mutluluk hormonu da artmıştır. Ne de olsa artık top çevirmeye başlamış, havalı sayılar yapmaya başlamıştır.

Üçüncü dönemde hacker yaptığı aktiviteleri teknik olarak anlamaya, bu aktivitelerin bıraktığı izleri görmeye ve aslında o kadar da görünmez olmadığını anlamaya başlar. Burada adrenalin devam eder, ama mutluluk yerini endişe ve korkuya bırakır. Hacker yaptığı aktivitelerin sonuçlarını kavramaya başlar, ama adrenalin tutkusu çoğu zaman mantığını yener. Aynı zamanda gerçek hacker’lığın ne olduğunu da anlamaya başlar. Bu alanın bir kişi tarafından tamamen fethedilemeyeceğini, ağ protokollerinin, işletim sistemi ve işlemci mimarilerinin, uygulama mimarilerinin bu kadar çok olması nedeniyle bir kişinin ancak belli alanlarda gerçekten hacker olabileceğini, ancak her hacker’ın mutlaka temel bilgilere hakim olması gerektiğini anlar. Bu dönemin sonlarına doğru gerçek bir hacker’ın hayatının o kadar da adrenalin dolu olmadığını, önceki döneminde yaptığı aktivitelerin tam bir aptallık olduğunu farketmeye başlar ve temel teknolojileri öğrenmek için daha disiplinli çalışmaya başlar. Aslında hacker olmak hiç de havalı bir şey değildir, tam aksine disiplin, kendini adama ve çoğu kişinin anlayamayacağı ve dolayısıyla takdir de edemeyeceği bilgi ve yetkinliklere sahip olmak demektir.

Dördüncü dönem aslında bir başka mide bulantısı dönemidir. Teknolojide alt katmanlara indikçe girdabın hızı da artar. Bu dönemde gerçek hacker’ların dünyayı nasıl değiştirdiğini, ancak (eğer zaten orada değilse) ABD’de olmadıktan sonra bunun asla mümkün olamayacağını anlar. Apple’ın tohumunun Steve Jobs değil aslında Steve Wozniak tarafından, daha doğrusu Wozniak’ın babası ve Lockheed mühendisi Jerry Wozniak tarafından atıldığını, Unix’in (ve ondan önceki teknolojilerin) bugünkü ticari işletim sistemlerinin çoğunun temelini oluşturduğunu ve bu dönemin mühendislerinin gerçek hacker’lar olduklarını öğrenir. Bu dönem ilk üçünden uzun bir dönem olabilir, ama hacker bu dönemin geri dönüşü olmadığını ve bu dönemi tamamlamadan asla huzur bulamayacağını bildiği için ilerlemeye devam eder. Artık tüm gerçekler belirmeye, hacker “süper bilinç” seviyesine erişmeye başlar.

Ve son dönem gelir. Bu dönem hacker’ın cahiller arasındaki alim olduğu dönemdir. Kendisi aynı dönemlerden geçmemiş gibi daha önceki evreleri yaşayan hacker’ların böbürlenmelerine dayanamaz. Aynı haberleri defalarca retweet edenlere içinden, tamam anladık biri birini hack’lemiş, ne var bunda demekten kendini alamaz. Zaten internete herhangi bir sunucu yerleştirildiğinde 5 dk. içinde parola kırma saldırılarının geleceğini, 123456 parolalarını kırıp da ortalıkta ben şu dev firmayı indirdim diye gazetecilere böbürlenmeyi nasıl içlerine sindirebildiklerini anlamaz. Sanırım insan ihtiyarladığında da bu sebepten huysuzlaşıyor, etrafındakilerin konuşmaları boş gelmeye başlıyor. Bir hacker’ın sağlıklı kalabilmesi için bu aşamada kırma dökme işlerinden çoktan uzaklaşmış yeni teknolojiler geliştirmeye başlamış olması gereklidir. Bu aslında hacker’lığın ömür boyu bir iş olmadığı anlamına gelmektedir. Hacker artık çok az kişinin hayal edebileceği çözümleri ve sistemleri tasarlayabilecek seviyededir. Tabi bunları gerçekleştirebilmesi için doğru bir ekosistemin içinde olmalıdır. Türkiye’de böyle bir ekosistem var mı, bence yok ve rekabet eşitliği olmadığı sürece de olmamaya devam edecek.

Yalanım yok, ben de güncel olaylarla ilgili sırf BTRisk’in adını duyurma amaçlı karalıyorum. Türkiye’deki güvenlik uzmanlık seviyesi düşük olduğu için yapılan işin kalitesinin algılanması mümkün olmuyor. Yine etkinlik, seminer, eğitim, stand açma, defter kalem dağıtma şeklinde ilaç firması tarzı pazarlama faaliyetleri ile algılar yönetilmeye ve ticari başarı sağlanmaya çalışılıyor. Eşitlik ve iş etiği konularına hiç girmiyorum, zaten girsem çıkamam herhalde.

Ne diyorduk, bugün kim kimi hack’lemişti?

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]