Kategori arşivi: Konuk Yazar

Konuk Yazar, Makale & Analiz

Siber güvenlikte hangi alan için hangi sertifika alınmalı?

Yorum yapın

İş hayatında, icra ettiğimiz mesleğin türüne göre bizim yetkinliğimizi gösteren çeşitli belgeler vardır. Bu bazen diploma, bazen zanaatkarlık belgesi, bazen sertifika olabiliyor. Her meslekte az çok bu durum bulunmakta. Peki IT alanında bizim yetkinliğimizi gösterebilmemiz için ne gerekiyor?

Eğer üniversite mezunuysanız (ya da meslek lisesi), mezun olduğunuz bölüme ilişkin diploma ilk iş arama sırasında gösterebildiğimiz tek şey oluyor eğer ekstra bir çaba sarf edip proje vs. gösteremiyorsak. Bu durumda da bizi diğer adaylardan ayıran şey üniversitenin adı oluyor. Yıllar geçti, üniversiteden mezun oldunuz ve 3-5 senelik deneyime sahipsiniz artık. Bu saatten sonra açıkçası üniversitenin adıyla ilgilenen kişi sayısı azalıyor. Daha çok nerede çalıştınız, neler yaptınız vs gibi sorular gündeme geliyor. Açıkçası olması gereken bu, müstakbel yöneticiniz aynı okuldan mezun birine kol kanat germe ihtiyacı duymadığı sürece… Hemşehriliği karıştırmıyorum bile.

127.0.0.1’e ping atmış insanın alabileceği sertifikalar

Şimdi daha da özele inersek, siber güvenlik alanında çalışıyorsunuz ya da çalışmak istiyorsunuz, bu alanda bölüm sayısı da az ya da hiç yok. Diploma gösteremezsiniz. Bilgisayar Mühendisliği diploması güvenlik bildiğinizi kanıtlamaz. Güvenlikçiler de genelde alaylı olur zaten (ben Elektronik Haberleşme Mühendisliği mezunuyum mesela) Bu durumda ne yapacaksınız? İşte tam bu noktada sertifika konusu devreye giriyor. Hepsi için söylemiyorum fakat bazı kuruluşlardan aldığınız sertifikalar, sizin o konuda belli seviyede bilgiye sahip olduğunuzu gösteriyor. Sertifikanın türüne göre de teorik ya da pratik (hands-on experience) tecrübeye sahip olduğunuz kanıtlanabilir.

Peki neden bazı kuruluşlarca verilen sertifikalar dedim? Bunun en temel sebebi şu: bazı sertifikaların sınav soruları ‘dump’ şeklinde piyasada bulunmakta ve yeterli İngilizceye sahip birisi, hayatında en fazla komut satırını açıp 127.0.0.1’e ping atmış olsa bile bu soru havuzunu ezberleyip, ilgili sertifikayı alabilir. Hatta bu ping’e cevap alamamışsa dahi sertifikayı alabilir 🙂

Bununla beraber, sertifikayı veren kuruluş eğer size deneyim soruyor ve bunu kanıtlamanızı bekliyorsa, bu da yine ilgili sertifikayı mûteber yapar. Bu yüzden ISC2 ve ISACA’nın sertifikaları sektör tarafından kabul görüyor. Çünkü ortalama 5 sene deneyim isteniyor bu sertifikaları almanız için. Yani sınavı geçmeniz yetmiyor.

Peki hangi sertifika?

Bu sorunun cevabı biraz yoğunlaştığınız alana bağlı olarak değişebiliyor. Ben bunları birkaç parçaya bölmek istiyorum. Böylece hangi alanda ilerliyorsanız, o tarafta kabul gören sertifikalara yönelmek daha doğru olacaktır.

Network Security : İçinde network kelimesi geçiyorsa CCNA ile başlayıp, CCIE Security’ye kadar giden süreç sizi bekliyor. Genel olarak üretici sertifikalarına bağlı kalınmamasını tavsiye etsem de, Cisco’nun sertifikaları (özellikle CCNA) kapsadıkları konular açısından sizin gerçekten de belli seviyede bilgi sahibi olmanızı bekliyor. Tabi ki dump ezberleyip, girmezseniz J Bunun dışında yine üreticilere özel sertifikalar alınabilir

Ofensif Security : Özellikle mavi, kırmızı takım gibi ekiplerde çalışacaksanız buralarda size göre sertifikalar bulunuyor. SANS (GPEN, GWAPT vb) ve Offensive Security (OSCP, OSCE vb) sertifikaları sektörde en çok kabul gören sertifikalar. Bunun yanında EC Council’ın CEH sertifikası da yaygın olarak tercih edilse de, bir kesim tarafından ‘ayağa düşmüş’ olarak da görülmekte. Tercih sizin J

Denetim : Eğer güvenliğin denetim ya da risk yönetimi alanındaysanız ISACA’nın CISA sertifikası, diğer tarafta da ISO 27001 Lead Auditor sertifikaları en çok kabul gören sertifikalar. Risk yönetimi tarafında da yine ISACA’nın CRISC sertifikası kabul görüyor.

Genel Sertifikasyon : Bence (sektörce de) en çok kabul gören sertifika belki de ISC2 tarafından verilen CISSP. Bu sertifika, sizin güvenlik alanındaki pek çok domain hakkında bilgi sahibi olmanızı bekliyor. Bunun yanında yukarıda belirttiğim deneyim şartı da sertifikayı almayı zorlaştırırken, değerini arttırıyor. ISACA tarafından verilen CISM sertifikası da bu şekilde değerlendirilebilir. Fakat genel kanaat yine CISSP tarafında. Benim şahsi güvenlik anlayışımla da, yani 360 derece güvenlikle birebir örtüşüyor.

Peki sertifikaya inanmayan arkadaşlar ne yapacak?

Yerçekimine, dünyanın şekline, elektriğin çarpmasına vs inanıyorsanız, bazı sertifikaların gücüne de inanacaksınız. Türkiye’nin en iyi üniversitesinden mezun oldunuz diyelim. Hangisi olsun, Boğaziçi, ODTÜ??? Güzel, peki yurt dışına gitseniz bunları kim tanıyor? Türkiye’nin en büyük ulusal şirketlerinde çalıştınız diyelim, emin olun onlar da tanınmıyor. E sizin referanslarınızı da kimse aramaz CV’ye bakıp, kusura bakmayın. Orada sertifikalar sizin uluslar arası alandaki denkliğinizi sağlayan tek şey oluyor.

Nasıl hazırlanmalıyım?

Güzel soru. Eğer Ofensif Security tarafındaysanız, kesinlikle hands-on tecrübe yapın. DVWA gibi uygulamaları indirin, sızmaya çalışın. Kali muadili pentest OS’ler ve içerisindeki toolları öğrenin. Bol bol araştırın ama bol bol da pratik yapın, oumak yetmez.

Diğer alanlarda ise sizi başarıya ulaştıracak şey yine okuma ve deneyim. Son aldığım sertifika ISC2’nin cloud sertifikası olan CCSP. Açıkçası çok çok az çalıştım diyebilirim. Deneyimlerinizle doğru cevapları sınav anında bulabiliyorsunuz. Bunun dışında resmi yayınları ya da Sybex gibi yayınevlerinden çıkan yayınları okuyabilirsiniz. Bu arada CISSP hazırlık materyalleri sorulduğunda tek kalemde geçilen Shon Harris’e de Allah’tan rahmet diliyorum.

%100 güvenlik yoktur ve en zayıf halka insandır klişeleriyle bitireyim 🙂

Sertifikasyon ya da siber güvenlikle ilgili aklınıza ne gelirse benimle iletişime geçebilirsiniz. Elimden geldiğince yardımcı olmaya çalışırım. (Twitter: @ofaltundal)

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Konuk Yazar, Makale & Analiz

Etik Hacker Olmak İstiyorum Ama Nasıl?

1 Yorum

Hiç şüphe yok ki içinde bulunduğumuz zaman diliminde siber saldırıların sayısı, kapsamı ve etkileri üssel olarak artış göstermektedir. Bu tür saldırıların kaynaklarını incelediğimizde kimi zaman devlet destekli siber çetelerin, kimi zaman hacktivist grupların, kimi zaman da sayıları hiç de azımsanamayacak seviyedeki script-kiddie adı verilen ve siber atak araçları üzerinde uzmanlaşmış kişilerin öne çıktığını rahatlıkla görebiliriz. Dolayısıyla, saldırgan taraf bu denli güçlü bir pozisyonda iken siber dünyada bireysel ve toplumsal anlamda huzurun korunabilmesi için güvenlik sistemleri hakkında sahip oldukları bilgi birikimini “iyi niyetli” amaçlara hizmet etmek üzere kullanan etik hacker’lara olan ihtiyacımız hem ülkemizde hem de dünyada artık her zamankinden daha fazla. Etik hacker’ların nicelik olarak artması gerektiği bir gerçek; ancak son derece kalifiye ve profesyonel bir ordu şeklinde çalışan “kötü adamları” durdurabilmek sadece etik hacker’ların sayısının artmasıyla mümkün olacak gibi durmuyor maalesef. En az nicelik kadar önemli olan bir diğer faktör de nitelik olarak değerlendiriliyor.

İlgili TED konuşması: Hackerlar: Internet’in bağışıklık sistemi

Herhangi meslek grubunda oldukça fazla mesafe kaydetmiş ve başarıya ulaşmış kişileri incelediğimizde, sahip oldukları “know-how” yetilerinin denklerine kıyasla çok daha ileri seviyede olduğunu rahatlıkla görebiliriz. Bu özelliğe sahip profesyoneller; görev ve sorumluluklarını yerine getirmelerine ek olarak, gerçekleştirdikleri çalışmaların arka planında hangi süreçlerin nasıl ilerlediğini incelemek ve anlamak için yoğun çaba göstermektedirler. Örneğin, şu anda okumakta olduğunuz yazıya erişiminiz esnasında arka planda protokol ve prosedürlerin nasıl çalıştıklarını hiç düşündünüz mü? Benzer şekilde, içinde birçok farklı disiplini barındıran siber güvenlik alanında da “know-how” yeteneği son derece kıymetli ve olmazsa olmaz özellikler arasındadır; çünkü bilgi güvenliğini sağlayabilmek için öncelikle bu bilgiyi oluşturan sistem, protokol ve altyapıların nasıl çalıştığını detaylı olarak bilmek ve özümsemek en temel gereksinimlerdendir. Durum böyle iken aklımızda hemen şu soru beliriyor: “İyi bir siber güvenlik uzmanı olabilmek için, başka bir değişle iyi bir etik hacker olabilmek için gerekli olan teknik altyapı ve “know-how” bilgisine nasıl sahip olabiliriz?”

İlgili TED konuşması >> Hackerları işsiz bırakmayın

Siber Güvenlik alanında yolun başında olan ve teknik açıdan kendisini geliştirmek isteyenler için birçok sertifikasyon programı bulunmakta. Bu programlar arasındaki en dikkat çeken ve global anlamda geçerli sertifikasyonlardan biri, benim de almak için uzun süre çalıştığım, EC-Council organizasyonunun ilk olarak 2003’te duyurduğu ve yürütmekte olduğu Certified Ethical Hacker (CEH) olarak kabul ediliyor. CEH sertifikasyonunun en dikkat çeken amacı, kursiyerleri bilgi güvenliği alanındaki temel standartlar hakkında hem teorik hem de teknik anlamda bilgi sahibi yapmak.  CEH eğitiminin içeriğini incelediğimizde aşağıdaki kavramları içeren oldukça doyurucu olan bir birikim ile karşılaşıyoruz:

  • Introduction to Ethical Hacking
  • Footprinting and Reconnaissance
  • Scanning Networks
  • Enumeration
  • System Hacking
  • Malware Threats
  • Sniffing
  • Social Engineering
  • Denial of Service
  • Session Hijacking
  • Hacking Webservers
  • Hacking Web Applications
  • SQL Injection
  • Hacking Wireless Networks
  • Hacking Mobile Platforms
  • Evading IDS, Firewalls, and Honeypots
  • Cloud Computing
  • Cryptography

 

312-50 kodlu CEH sınavının dili İngilizce ve 120 tane çoktan seçmeli sorudan oluşuyor. Bu soruları yanıtlamak için 4 saat süre veriliyor ve şayet soruların en az %70’ini doğru cevapladıysanız CEH sertifikasını almaya hak kazanıyorsunuz. Ayrıca sınav; TOEFL, Cisco veya Microsoft sertifikasyon sınavlarına benzer şekilde bilgisayar ortamında gerçekleşiyor, dolayısıyla sınav ortamında kağıt-kalem yerine karşınızda sadece bir bilgisayar görmek sizi şaşırtmasın. Sınav ücreti maalesef biraz pahalı: 700 USD. Ancak bu tutar, geleceğinize yatırım olarak görülmeli ve tabii ki ilk seferde sınavı geçebilmek için sizi kamçılayan faktörlerden biri olmalı.

CEH sertifikasyonunun resmi sınavına hazırlanma konusunda yapılan son düzenlemeler ile birlikte sınava kurs almadan başvuru seçeneği ülkemiz için kaldırıldı ve ilk olarak EC-Council akreditasyonu olan bir kurs merkezlerinden CEH eğitimi alma zorunluluğu getirildi. Eğer bu alanda oldukça yeni iseniz ya da ağ teknolojileri ve işletim sistemleri hakkında kendinizi zayıf görüyor iseniz EC-Council akreditasyonuna (EC-Council Authorized Training Center) sahip bir kurumdan CEH eğitimi almanız çok yararlı olacaktır. Bu sayede sınava hazırlanma süreciniz, bilgi güvenliği alanında deneyimli eğitmenlerin yardım ve tavsiyeleriyle daha rahat ve verimli geçecektir. Ayrıca, dersleri düzenli takip etmeniz halinde motivasyonunuz da uzun süreli olarak yüksek kalacaktır. Ancak eğitim almayı planladığınız kurumu ve eğitmeni detaylı bir şekilde araştırmakta fayda görüyorum, ne yazık ki bazı yetersiz eğitim kurumları öğrencilerine hayal kırıklığı ve beraberinde konuya ilişkin ilgi kaybı yaşatabiliyor. Tüm bunlara ek olarak, internet ortamında bedelsiz olarak faydalanabileceğiniz birçok kaynak ve video bulunmakta. Kişisel olarak tavsiye edebileceğim ek kaynakları yazının sonunda bulabilirsiniz.

Hazırlanma dönemini başarıyla tamamladıysanız ve kendinizi hazır hissediyorsanız (bu aşamada emin olmak için sınav ücretini bir kez daha hatırlamak gerekiyor) artık sınav için başvuru aşamasına gelmiş bulunmaktasınız. CEH sınavı için başvurular,  EC-Council internet mağazasından (https://store.eccouncil.org/product/ceh-vue-exam-voucher/)  ya da Pearson çevrimiçi sınav kayıt platformu (http://www.pearsonvue.com/eccouncil/) üzerinden CEH sınavı satın alınarak yapılıyor. Bu aşamada, sınava girmek istediğiniz tarihi ve özellikle İstanbul, Ankara ve İzmir gibi büyük şehirlerde rahatlıkla bulabileceğiniz sınav merkezini belirlemekte serbestsiniz.

Disiplinli bir şekilde ve yüksek konsantrasyon ile çalıştınız ve sınavı geçip EC-Council organizasyonunun onayladığı bir Certified Ethical Hacker oldunuz, peki ya sonra? Yazının başında da bahsettiğim gibi CEH sertifikasyonunun çok kapsamlı bir içeriği var. Hazırlık döneminde tanıştığınız ve büyük ilgi duymaya yeni alanlar, gelecekteki odak noktanızı belirlemenizde yardımcı olacaktır.  Örneğin, penetrasyon alanını yeteneklerinize uygun görüyor ve bu konuda heyecan duyuyor iseniz kariyerinize sızma testi uzmanı olarak yön verebilirsiniz. Aynı şekilde; Adli Bilişim (Computer Forensics), Voice over IP (VoIP), Güvenli Yazılım Geliştirme (Secure Coding) ve hatta bir eğitmen olarak eğitim veya danışmanlık alanında CEH benzeri sertifikasyon programları aracılığı ile kendinizi geliştirebilir ve kariyerinize devam edebilirsiniz.

Son olarak, CEH sertifikasının geçerlilik süresinin sertifikayı alma tarihinden itibaren 3 yıl olduğunu belirtmem gerekiyor. Eğer bu süreçte, CEH’ten daha üst seviyedeki bir sertifika almanız durumunda (Licenced Penetration Tester, Computer Hacking Forensics Investigator, Certified Secure Programmer vb.) yeni aldığınız sertifika ile birlikte CEH’in geçerlilik süresi de güncellenecektir.

CEH adaylarına şimdiden başarı dileklerimle…

Tavsiye edebileceğim web siteleri ve ek kaynaklar:

  1. Sean Philip Oriyano-Certified Ethical Hacker Version 9 Study Guide, 3rd Edition (ISBN: 1119252245 )
  2. Matt Walker- CEH Bundle, 3rd Edition (ISBN: 125983753X)
  3. CBT Nuggets-Certified Ethical Hacker Eğitim Videoları
  4. skillset.com (Sınav formatında birçok soru ve egzersiz bulabilirsiniz)
  5. cybrary.it (Detaylı video ve anlatılar bulabilirsiniz)

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

 

Konuk Yazar, Makale & Analiz

STEM: Sanat ile Bilimi Buluşturmak

1 Yorum

STEM ifadesini artık daha sık karşımıza çıkmaya başladı. Üzerinde konuşulmaya ve tartışılmaya ihtiyacı olan bu sistemi masaya yatırmanın ve bazı soruları yöneltmenin tam zamanı:

“Neden STEM?”

Tarih boyunca devletlere yön veren en önemli unsur bilimsel gelişmeler olmuştur. Teknolojik buluşlar ve yeni bilimsel olgular çağ açıp kapatmış, ve her defasında insanoğlu inanılmaz bir hızla yeni hedeflere doğru yönelmeye başlamıştır. Eski çağlarda sistematik bir eğitim sisteminin olmadığını ve herkesin bu imkana erişemediğini göz önünde bulundurunca akla “Nasıl?” sorusu geliyor. Bu durum etraflıca incelendiğinde ise birinci elden denemenin, gözlemlemenin ve tecrübe etmenin oynadığı rol çok açık bir şekilde görülmekte. Bu da demek oluyor ki bizler; deneme ve tecrübe etme imkanlarını arttırmalıyız ki hedeflerimiz doğrultusunda daha emin, daha güçlü adımlar atabilelim ve dünyamızı değiştirme yolunda ilerleyebilelim. STEM modelini incelediğinizde en temel yapıtaşlarından birinin “hands-on” öğrenme, yani birinci elden tecrübeye dayalı öğrenme modeli olduğunu görebilirsiniz.

İlgili yazı >> STEM ile kuyu köpeği kurtarmak

“Science, Technology, Engineering, Mathematics”, bu başlıkları incelediğimizde şöyle bir ilişki görüyoruz: Teknoloji, mühendislik çalışmalarının sonucunda ortaya çıkan gelişmeler bütünüdür. Mühendislik bilimsel faaliyetlerin, somutlaşma ve günlük hayatımıza adapte olma sürecidir. Ve son olarak da bilim dili, matematiktir. Yani eğitim sistemi olarak benimsenmekte olan bu model, aslında bilim-teknik gelişme sürecinin tamamını kapsayan, aralarındaki köprünün görülmesini ve geçilmesini sağlayan yani “disiplinler arası” öğrenmeyi ve gelişmeyi esas alan bir süreci kapsıyor. Peki neden bu kadar önemli bilim dalları arasında geçiş yaparak, bir bütünü görerek öğrenmek ve çalışmak? Şu an teknolojiye yön veren ve önümüzdeki yıllarda daha da çok duymaya başlayacağımız IoT yani nesnelerin interneti, giyilebilir teknoloji, big data gibi yeni alanları incelediğimizde, hepsinin de disiplinler arası düşünebilme ve ürün geliştirebilme becerilerinin sonucu olarak ortaya çıktığını görebiliriz.

“Dünyada her şey için, maddiyat için, maneviyat için, hayat için, başarı için en hakiki yol gösterici ilimdir, fendir. İlim ve fennin dışında yol gösterici aramak gaflettir, cahilliktir, doğru yoldan sapmaktır. Yalnız ilmin ve fennin yaşadığımız her dakikadaki safhalarının gelişimini anlamak ve ilerlemeleri zamanında takip etmek şarttır.” Cumhuriyetimiz bu ilkelerle kuruldu ve bizlerin en temel en önemli görevlerinden biri de bu ilkeleri ilelebet yaşatmak. Bu durumda bilimin gelişimini anlayabilmek, özümseyebilmek ve takip edebilmek için en önemli basamaklardan biri de yeni jenerasyonları anlayabilmekten geçiyor. Teknoloji çağı çocukları olan ve eskiye kıyasla bilgiye ulaşabilme imkanı inanılmaz derecede artmış olan bizlerin, küçük yaşlardan itibaren bulunduğumuz çağın esaslarına yönelik bir eğitim sistemi içerisinde yer alabilmek, Mustafa Kemal Atatrük’ün ilkeleri doğrultusunda atmamız gereken en önemli adımlar arasında geliyor. Bu durumda, felsefesi ve yöntemleri göz önünde bulundurulduğunda en doğru ve en güçlü modelin, STEM modeli olduğu anlaşılıyor.

İlgili yazı >> Liseli bir girişimcinin Silikon Vadisi anıları

Tabi ki tüketen konumundan üreten konumuna geçebilmek için, tükettiklerimizi iyi anlamak ve bunlara yeni değerler katmak hayati rol oynuyor. “Güzel sanatlarda muvaffak olmak, bütün inkılaplarda başarıya ulaşmak demektir. Güzel sanatlarda muvaffak olamayan milletler ne yazık ki, medeniyet alanında yüksek insanlık sıfatıyla yer almaktan ilelebet mahrum kalacaklardır.” Cumhuriyetimizin esaslarından bir diğeri olan sanat hususuna da gereken önemi vermek, geleceğimizi biçimlendirebilmemiz için özümsememiz gereken olmazsa olmazlar arasında. Bilim, teknoloji, mühendislik ve matematik, her alanın en önemli gereksinimlerinden biri de, estetik görebilmek, düşünebilmek ve üretebilmek. Hem sanatın hem bilimin doğayı anlayabilmek ihtiyacından doğmuş olduğunu düşünecek olursak, aralarında ne kadar kuvvetli bir ilişki olduğunu anlayabiliriz.  Bu noktada “STEM” konseptine son zamanlarda dahil edilmeye başlanmış olan Art(sanat) ile STEM sürecini STEAM’e çevirebilmek bilim yolunda ilerlenmesi için atılması gereken bir sonraki adım durumunda.

 

Konuk Yazar, Makale & Analiz

STEM ile Kuyu Köpek’i Kurtarmak

Yorum yapın

“Teori önemli, ama pratik olmadıkça bir anlamı yok!” benzeri cümleler duymaya alışık olduğumuz klişeler arasında yer alıyor. Peki bilgimizi, tecrübelerimizi pratiğe aktarmaya olan artan ihtiyacımız nereden kaynaklanıyor ve bu geçiş süreci nasıl ilerlemekte?

Küçükken hepimizin aklına “Tamam ama bu dersler benim ne işime yarayacak?” sorusu takılmıştır. Uzun yıllar süren eğitim hayatlarımız boyunca dersten derse, konudan konuya atlar ve sürekli belleğimize yeni bilgi katmaya çalışırız. Peki ama gerçekten, bellektekileri nasıl ve ne zaman kullanacağız?

Üniversite mezun sayıları her geçen yıl daha da artıyor, bir başka deyişle artık her sektörde her alanda aynı temel bilgi düzeyine sahip çok sayıda profesyonel var. Bu, bizi başka bir soruya daha yönlendiriyor: Neden sektörün içinde yer alan herkes aynı düzeye ulaşamıyor? Bu sorunun cevabı ise basit gözüküyor. Bilgiye erişimin inanılmaz derecede kolaylaştığı günümüzde; mevcut bilgiyi verimli, hızlı ve düzgün şekilde “pratiğe” aktarmadığımız sürece gelişimimiz önemli ölçüde kısıtlanıyor. Ve kendimizi kısıtladığımız andan itibaren bir kısır döngü başlıyor ve belli süre sonra gelişim tamamen durma ve hatta gerileme aşamasına geliyor. Bu noktada akla gelen bir başka soru ise, eğitim sistemleri bu süreci nasıl etkilediği. Dünyanın en iyi eğitim sistemleri arasında bile ayrıca vurgulanan Fin eğitim sistemi yakın geçmişte radikal bir değişikliğe doğru yol almaya başladı. Fizik, matematik, tarih gibi klasik müfredatlar yerine disiplinler arası düşünmeyi, anlamayı, incelemeyi öğreten ve aynı anda birçok beceriye odaklanan uygulamalı müfredatlara geçilecek. Hali hazırda zirvede olan bir eğitim sistemini bu değişikliğe götüren şey ise aynı şekilde artık pratikte, günlük hayatta uygulamaya duyulan devasa ihtiyaç.

Anlatmaya çalıştığım durumun ne kadar gerçekçi olduğunu geçtiğimiz günlerde hepimizi kenetleyen bir örnek sayesinde görmüş olduk. Eğitim hayatlarını “STEM(Science Engineering Technology and Math)” sistemi ile birleştirmiş olan ve derslerinin yanında pek çok farklı bilim dalını bir araya getiren, uygulamaya geçmelerini sağlayan robotik ile ilgilenen gençler bu tecrübeleri sayesinde bir can kurtarılmasında destek oldular: Kuyu Köpek.

FRC robotik takımları 3646 INTEGRA ve 6025 Adroit Androids derslerde ve turnuvalarda edinmiş oldukları bilgilerini hızlı bir şekilde uygulamaya geçirmeyi başararak bir robotik kol geliştirdiler ve kurtarma sürecinde destek oldular. Yani bilimi teoriden çıkarıp, pratiğe aktarmayı başarmış oldular. “Algoritmik düşünme” ve “mühendis beyin” kavramlarının hayatımıza nasıl etki edebileceğini ve bu becerilerin nasıl elde edildiğini de bu örnek sayesinde daha iyi anlayabilme imkanımız oldu.

Süreç içerisinde yer almış biri olarak öncelikle şunu belirtmek istiyorum, bilgi birikiminizi ve tecrübelerinizi günlük hayatın bile ötesine taşıyıp, bir canın kurtarılmasına yardım noktasına kadar getirebilmek inanılmaz bir duygu. Tüm ülkenin tek yürek olduğu ve gelecek adına güzel bir tablo ortaya serdiği bu sürece tanıklık etmek paha biçilemez. Bu süreç aslında bizler için bitmiş sayılmaz. Şu an Kuyu Köpek olaylarının bir daha yaşanmaması ve benzer şekilde ağaçlarda, yüksek noktalarda mahsur kalan hayvan dostlarımıza da yardımcı olabilmek adına iki yeni kol daha geliştirmeye başladık. Stanford Robotik Bölümü’nden özel davet aldık ve yeni kollarımız için pek çok farklı profesör ve mühendisle bir araya geleceğiz. Ortaya daha güzel çalışmalar çıkartacağımıza inanıyoruz ve ülkemizi temsil edeceğimiz için gurur duyuyoruz.

Bilimin, bilginin, tecrübelerin sadece zihinlerimizle kısıtlı kalmadığı ve hayatlarımıza daha çok etki ettiği, bütünleştiği günler dilerken; bir Türk Genci olarak, bizlere fırsat tanındığında, tıpkı Kuyu Köpek sürecinde olduğu gibi, neler yapabileceğimizi de bir kez daha hatırlatmak isterim.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]
Konuk Yazar, Makale & Analiz

Pastanın üstündeki vişne: Ödül avcılığı (Bug Bounty)

Yorum yapın

Dünyada uzun bir süredir devam eden ödül avcılığı programları (bug bounty) ülkemizde daha da popüler bir hal almaya başladı.

Öncelikle ödül avcılığının ne olduğundan bahsetmek yerinde olur diye düşünüyorum. Ödül avcılığı programı firmaların sistemlerinde bulduğunuz zafiyeti ilk olarak onlara bildirmeniz karşılığında ödüllendirildiğiniz bir yapı. Bu ödül ciddi miktarlarda para ödülleri olabildiği gibi firmanın kendine ait tişört, bardak vs. gibi eşantiyonlar, hatta bazı durumlarda ise sadece firmanın web sitesinde bir bölümde size teşekkür edilmesi şeklinde de olabiliyor.

Ödül avcılığının en önemli avantajlarından biri dünyanın herhangi bir yerindeki bir araştırmacı sisteminizde herkesin gözünden kaçan bir zafiyet bulmasına imkan sağlaması. Geleneksel sızma testi yaklaşımında yapılan testin kalitesinin kısıtlı bir ekibin yetenekleri ve tecrübeleri ile orantılı olduğunu düşünürsek bu konuda ciddi bir avantaja sahip. Gördüğüm kadarıyla firmanın ölçeğine bağlı olarak bazı yerlerde güvenlik ekibi, sızma testi ve ödül avcılığı yaklaşımı olabildiği gibi bazı yerlerde sadece ödül avcılığı programının yeterli olacağı düşünülmekte. Naçizane tecrübelerim neticesinde ben ödül avcılığını bir cupcake’in üstündeki vişneye benzetiyorum. Bu sebeple birbirinin muadili gibi davranmak yerine bunları bütünleştirmek en doğru yaklaşım.

Bugün firmaların kendi ekipleriyle bu işi organize edebildikleri örnekler olduğu gibi, BugCrowd ya da HackerOne gibi bunu size hizmet olarak sağlayan oldukça güzel platformlar da mevcut. Birçok programda eskiye nazaran şeffaflık daha ön planda. Bu da zamanla oluşan sıkıntılardan, özellikle bu zafiyetleri bulup bildiren ve daha önce bildirildiği sebebiyle ödüllendirilemeyen kişiler tarafından gelen eleştiriler neticesinde zamanla birçok konuda iyileşmeler olduğu gözleniyor.

AÇILIŞI GOOGLE YAPTI

Ödül avcılığı programlarının geçmişleri hakkında biraz araştırma yaptığımızda aslında buna benzer bir yapının ilk olarak NetScape tarafından 90’ların ortasında uygulandığını görüyoruz. Ancak bu programların gerçek ivme kazanması 2010 yılında Google’un programı ile başlamış; diğer büyük teknoloji firmalarının böyle programları duyurması aslında bu akımın fitilini ateşlemiştir.

Sonrasında BugCrowd ve HackerOne gibi platformların oluşması ve ödül avcılığı programına sahip olmayı düşünen ancak bunları değerlendirebileceği ciddi bir çalışana sahip olmayan ya da bu altyapıyı hazırlama konusunda sıkıntı yaşayabilecek firmalar için etkisi yok sayılamayacak bir katalizör olmuştur. Aynı zamanda bu platformlar sayesinde ödül avcılığı programlarının birçok firma için bir standardı olmasını da sağlamıştır.

90’lardan sonra bir üreticiye bir zafiyet bildirmek gerçekten sıkıntılı bir işti. Tarihte üretici firmaların avukat ordusu ile konferansları bastıkları ya da bu sunumları zorla konferans programından çıkarttıkları örnekler mevcut. Yakın zamana kadar hala buna benzer şekilde avukatlar aracılığıyla konferans organizatörlerine yapılan baskılar mevcuttu.

SORUMSUZ BİR FİRMAYA SORUMLU BİLDİRİM YAPAMAZSINIZ

Literatürde “Responsible Disclosure” denilen ve Türkçe’ye “sorumlu bildirme” olarak çevirebileceğimiz, zafiyeti bulduktan sonra yaptığımız örnekleri üretici ya da yayıncı firmaya bildirerek kapatılmasını sağlamak, zafiyet kapatılıp kimse zarar görmeyecek hale geldikten sonra bunu yayınlayabilmek üzerine kurulu ve aslında kazan kazan ilkesinin taşıyan bir yöntem sektörde senelerdir mevcut. Hatta bununla ilgili “ISO 29147 Vulnerability disclosure” ve “ISO 30111 Vulnerability handling processes” ISO standartları bile belirlendi. Bulunan zafiyet herhangi bir şekilde kötüye kullanılmadan üreticiye bildirildiği için üretici de memnun, bu araştırmayı yapan kişi de bu çalışması sebebiyle kimse zarar görmediği ve bu çalışmasının bir başarı olarak paylaşılabileceği için memnundu. Ancak sorumlu bildirim kavramı bence içerisinde sadece araştırmacının sorumluluğunu değil aynı zamanda üreticinin sorumluluğunu da barındırıyor. Dolayısıyla “sorumsuz bir firmaya” sorumlu bildirim yapamazsınız. Hal böyle olunca ödül avcılığı programlarının aslında ne kadar da değerli olduğunu bir kez daha kavramış oluyoruz.

Ödül avcılığı programlarına dönecek olursak; bu programı başlatan firmalar bunun duyurusunu yaptıkları yerde mutlaka bir yasal duyuru yayınlarlar. Bunun da sebebi aslında siz zafiyet bulmaya çalışan iyi niyetli bir araştırmacı da olabilirsiniz, bütün bu iyi niyetli sıfatları kullanan ama aslında niyeti kötü biri de olabilirsiniz. Hatta ilgilenmesi gereken sayfaların dışına çıkıp hiç de ilgilenmemesi gereken yerlere burnunu sokan biri de. Bunlarında bir noktada birbirlerinden net olarak ayrılması gerekiyor. Bunu da aslında programın yapısında sağlayan yer, bu ödül avcılığı programının kurallarının yer aldığı bölüm.

ALTIN KURAL: ÇALIŞAN SİSTEME ZARAR VERME

Belirlenen bu kurallar arasında mutlaka yer alan iki temel kural vardır. Bunlardan biri kesinlikle ama kesinlikle üçüncü bir kişinin hesabı üzerinde işlem yapmamak ve çalışan sisteme zarar vermemektir. Bunun yerine sizden sahip olduğunuz test hesaplarını kullanarak bu zafiyeti göstermeniz istenir. Belki de bu duruma en iyi örnek Facebook’ta var olan bir zafiyet ile Mark Zuckerberg’in duvarında durum yayınlayıp binlerce dolar ödülü alamayan araştırmacı olabilir.

“İyi niyetle” de olsa başkasının ya da hatta başkalarının hesapları üzerinde bir şeyler yapmaya çalışıyorsanız sizin iyi niyetli olduğunuzu anlamaları, aynı bir saldırgan davranışı sergilediğiniz için o kadar da kolay değil.  Kaldı ki böyle bir iyi misin, kötü müsün değerlendirmesini yapmak zorundalar mı? O da ayrı mesele. Sistemde veya uygulamada bir zafiyetin var olduğunu göstermek için binlerce kullanıcı üzerinde işlem yapmaya çalışmak yerine kendinize ait iki tane test hesabında göstermeniz yeterlidir. Yüzlerce veya binlerce kullanıcının verisi üzerinde zafiyeti ispatlamaya çalışmanın firma tarafından olağan ya da kabul edilebilir bir durum olmadığını bilmekte fayda var ve bu net olarak kural ihlalidir.

Bunu aslında şuna benzetebiliriz; açık olmaması gerektiği halde kapısı açık bir iş yeri görmüşsünüz ve içeride de ciddi derecede gizlilik gerektiren belgeler var. Siz de kapının açık olmasına güvenerek içeri girip bütün bu belgeleri alıyorsunuz ve sonra bu iş yerinin sahibini bulup “hey dostum kapıyı açık bırakmışsın, ben de bütün belgeleri aldım. Bak ben iyi niyetliyim sana geri getirdim” diyorsunuz. Peki iş yeri sahibi bu gizli bilgileri okuyup okumadığınızı ya da bir kopyasını almadığınızı nereden bilecek? Aslında böyle bir örnekle de anlatınca bu sefer “kapıyı açık bırakmasaymış o zaman” diye bir yaklaşım geliyor ama emin olun hepimiz çok iyi biliyoruz ki yarattığımız bu sanal dünyada bu kapıların hepsini kapatmak gerçekten zor. Teknoloji, onu güvenli hale getirmemizden daha hızlı gelişiyor. Hepimiz bu kapıların o kadar da kolay kapatılmıyor oluşundan para kazanmıyor muyuz zaten…

En önemli ikinci kural ise belirlenen kapsam dahilinde bu testleri gerçekleştirmektir. Çünkü kapsam dışında bazen üçüncü parti barındırıcılarda ya da servis sağlayıcılarda yer alan sayfalar olabilmektedir.

Yine kapsam konusu içerisine giren bir diğer alt başlık da firmanın yeni satın aldığı girişimlerle ortaya çıkan iştirakleri. Teknoloji haberlerini az da olsa takip edenler bilirler ki, günümüzde büyük firmaların sadece kendi altyapıları ile bir ürün ve servis geliştirmenin yanından piyasada iyi bir ivme yakalamış ya da farklı teknolojik yaklaşımlara sahip girişimleri satın alma yoluna giderek bünyelerine katmaktadadır. Hal böyle olunca, ödül avcılığı programına sahip bir firmanın yeni bir girişimi iştirakleri arasına katması beraberinde elbette ki güvenlik ile ilgili yeni durumları beraberinde getiriyor olması sebebiyle, iyi bir programa sahip diyebileceğimiz firmalarda bu yeni iştiraklerdeki zafiyetlerin ödüllendirilmesi noktasında bir kural karşımıza çıkıyor.

Firmanın belirlediği kurala bağlı olarak, genellikle de 3-6 ay süreyle, bu yeni girişimle gelen servisler ödül avcılığı programına kısmen katılıyor. Belirlenen bu süre kapsamında girişimi satın alan ya da ortak olan firmanın güvenlik ekibi tarafından yeni iştirak tarafından kullanılan sistemler ve uygulamalar belirli analizler ve süreçlerden geçiriliyor. Bu süre boyunca, bu büyük firma ödül avcılığı programına sahip olsa bile zafiyet bildirdiğinizde herhangi bir ödül alamıyorsunuz. Bu sebeple zafiyetin bildirildiği zaman böyle durumlarda oldukça önemli. Yoksa ödül alamayabilirsiniz.

İLK GÖNDEREN KAZANIR

Bu iki temel kurala ek olarak bazı programlarda zafiyet tespiti için otomatize araç kullanımı, bu araçların anlamlı anlamsız her şeyi denemeye çalışması sebebiyle, ciddi miktarda ama gereksiz olan bir trafik yaratacağından yasaklanmış ya da sınırlandırılmıştır. Şu mantıkla da gidersek büyük teknoloji firmalarının da bir güvenlik ekipleri hatta bunlara ek ürün güvenliği ekipleri var ve onlar da bazı testleri zaten kendileri gerçekleştiriyorlar. Dolayısıyla yasak ya da kısıtlı olmasına karşın yine de otomatize araçlarla buralarda zafiyet bulmak gerçekten büyük şans olsa gerek. Onun yerine bir proxy ile uygulamanın nasıl çalıştığına odaklanıp, o mantığa göre zafiyet ararsanız hem daha başarılı olursunuz hem de büyük ölçekte uygulamaların nasıl geliştirildiği hakkında bilgi sahibi olursunuz.

Unutmayınız ki, iyi bir ödül avcılığı programında zafiyeti bildirdikten sonra bir yandan çözümlerin üretilmesi ve zafiyetin kapatılması için zaman harcandığı gibi bir yandan bu zafiyet daha öncesinde kötüye kullanılmış mı gibi bir araştırma da yapılabiliyor.

Ödül avcılığı programlarında sık karşılaşılan durumlardan biri de bildirdiğiniz zafiyetin daha önce bildirilmiş olması sebebiyle ödüllendirilmiyor oluşunuzdur. Bu oldukça can sıkan bir durum. Olayı firmalardan bizzat yüz yüze dinlemiş biri olarak şunu söyleyebilirim ki; sizin bildirdiğiniz zafiyet daha önce bildirilmiş olması durumunda sizin bu zafiyeti gerçekten kendiniz mi bulduğunuz yoksa size birinin söylemesi üzerine mi bildirdiğiniz noktasında herhangi bir ölçüm yapılamadığı için ilk gönderen kazanır ilkesi üzerinden gidiliyor. Ancak zamanla yeni platformlarda şeffaflık konusuna daha dikkat edildiği için en azından size daha önce bildirilmiş denilen zafiyetin de gerçekten daha önce bildirilip bildirilmediğinin takibini yapabiliyorsunuz.

İYİ RAPOR YAZAN BONUSU KAZANIR

Günümüzde birçok program araştırmacıları teşvik etmek ve motive etmek için size bazı ek sıfatlar veya ödüller verebiliyor. Böylece diğerlerinden farklı bir konumda olmanız hem sizi yeni araştırmalarınız için motive ediyor hem de firmanın sizi ya da yeni insanları teşvik etmesi noktasında ciddi bir etkisi oluyor. Ek olarak sürekli bir program için çalışıyor olmanız, firmaya bir sadakat göstergesi olduğu için, bazen ödüllendirme konusunda daha cüretkar olabiliyorlar. Daha önceki çalışmalarınızı da bildiklerine sizi hayal kırıklığına uğratmak yerine yine ödülle teşvik etmeye çalışıyorlar. Hatta gönderdiğiniz raporlara olan güven de artıyor. Yine kazan-kazan ilkesi. Çünkü bu alanda büyük kısmı var olmayan zafiyetlerin bildirilmesi gibi sahte raporlar kapsıyor. Hepsine ek olarak programa belirli bir sadakatiniz varsa ve daha önce gönderdiğiniz raporlar belirli bir kalite de ise henüz herkese duyurulmayan yeni özellikleri test etme şansına da sahip olabiliyorsunuz.

Yine iyi bir ödül avcılığı programında eğer para ödülü teklif ediliyorsa, daha önce belirttiğim şeffaflık sebebiyle, hangi zafiyetin ne kadar ücretle ödüllendirileceği açık bir şekilde bildirilir ve istisnai durumlarda (ör. raporunuzun çok güzel yazılmış olması ya da zorluğu sebebiyle oldukça etkileyici bir zafiyet olması) bu tabloda belirtilen ödüllere ek olarak bonus ödüller elde edebilirsiniz.

Bu ödül cetveli detayına sahip firmalarda bir de aynı zafiyetin daha önemli olduğu düşünülen yerlerde, daha önemsiz olduğu düşünülen yerlere göre daha fazla ödüllendirildiği gözlemlenmektedir. Ya da bir alt alan adında o zafiyetin olması çok önemli görülmemesi ya da değersiz olarak görülmesine karşın daha çok etkiye sahip olduğu başka bir yerde en önemli zafiyet bile olabilir.

BAZI ÖDÜLLER SİGORTALI İŞTEN DAHA İYİ KAZANDIRIR

Tüm bu süreçlere ek olarak da bir de ödülün size ulaşması aşamasına değinmek gerek. Unutmayın ki verilen ödül bir mecburiyet değil, harcadığınız emeğe bir teşekkürdür.

Bugüne kadar bu programlar vasıtasıyla milyonlarca dolar ödül dağıtılarak binlerce kişiye teşekkür edildi. Bu ödüller çoğu ülkenin gelir düzeyine göre oldukça iyi miktarlarda olduğu için ciddi bir ekonomiye de sahip. Bazı durumlarda sigortalı bir işe girip çalışmaktan kat be kat fazlasını kazanabilirsiniz.

Birçok firma bu ödülleri belirli bir bütçe dahilinde verdiği için size ödemiş olduğu ödülü bulunduğu ülkenin yasaları çerçevesinde belirli süreçlerden geçirmesi gerekiyor. Dolayısıyla ödemeyi SWIFT ya da PayPal gibi yasal yollardan yapmayı tercih ediyorlar. Eğer firmanın bulunduğu ülke başka ülkelere ekonomik yaptırımlar ve ambargolar uygulaNmıyorsa  (ör. Amerika menşeili firmalar Küba, Suriye, Kuzey Kore gibi ülkelere ödeme yapmıyor) ödülü almanıza herhangi bir sıkıntı yaşamıyorsunuz. Bitcoin borsası olup da ödül avcılığı programı başlatan firmalar dışında, büyük çapta olup BTC ile ödeme yapan firma yok diye biliyorum.

Bu yollarla elde ettiğiniz gelir bir kazanç olduğu için kazanç vergisi kapsamına giriyor. Dolayısıyla bu vergiyi bazı durumlarda firma karşıladığı gibi bazı durumlarda sizin kazancınız üzerinden kesinti yapılıyor ya da siz ödüyorsunuz. Bu o firmaya ve bulunduğu ülkeye göre değişebilen bir durum. Ek olarak bulunduğunuz ülkenin, firmanın bulunduğu ülke ile olan vergi anlaşmalarını da gözden geçirmekte büyük fayda var.

Tüm bunlardan sonra sizin isminizi sitelerinde yayınlayıp teşekkür ettiklerinde bunun size bir de güzel manevi bir getirisi oluyor. Araştırmacının vatandaşı olduğu ülke ile ilgili ortaya çıkan bir sorunu veya engellemeyi bugüne kadar hiç duymadım. Benim de ismimde bazı Türkçe karakterlerin çok olması sebebiyle ismimi İngilizce karakterlerle yazmak istemeleri gibi bir istek dışında açıkçası başka bir olayla karşılaşmadım. Bunu da oldukça normal bir istek olarak değerlendiriyorum. Çünkü her dilin kendine has harfleri olabiliyor.

Ülkemizden ödül avcılığı programlarına katılan ve oldukça başarılı olan genç arkadaşlarımız var. Kendilerinden teker teker bahsedemesem de hepsini ayrı ayrı tebrik ediyor, başarılarının devamını diliyorum.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]