Hiç şüphe yok ki içinde bulunduğumuz zaman diliminde siber saldırıların sayısı, kapsamı ve etkileri üssel olarak artış göstermektedir. Bu tür saldırıların kaynaklarını incelediğimizde kimi zaman devlet destekli siber çetelerin, kimi zaman hacktivist grupların, kimi zaman da sayıları hiç de azımsanamayacak seviyedeki script-kiddie adı verilen ve siber atak araçları üzerinde uzmanlaşmış kişilerin öne çıktığını rahatlıkla görebiliriz. Dolayısıyla, saldırgan taraf bu denli güçlü bir pozisyonda iken siber dünyada bireysel ve toplumsal anlamda huzurun korunabilmesi için güvenlik sistemleri hakkında sahip oldukları bilgi birikimini “iyi niyetli” amaçlara hizmet etmek üzere kullanan etik hacker’lara olan ihtiyacımız hem ülkemizde hem de dünyada artık her zamankinden daha fazla. Etik hacker’ların nicelik olarak artması gerektiği bir gerçek; ancak son derece kalifiye ve profesyonel bir ordu şeklinde çalışan “kötü adamları” durdurabilmek sadece etik hacker’ların sayısının artmasıyla mümkün olacak gibi durmuyor maalesef. En az nicelik kadar önemli olan bir diğer faktör de nitelik olarak değerlendiriliyor.
İlgili TED konuşması: Hackerlar: Internet’in bağışıklık sistemi
Herhangi meslek grubunda oldukça fazla mesafe kaydetmiş ve başarıya ulaşmış kişileri incelediğimizde, sahip oldukları “know-how” yetilerinin denklerine kıyasla çok daha ileri seviyede olduğunu rahatlıkla görebiliriz. Bu özelliğe sahip profesyoneller; görev ve sorumluluklarını yerine getirmelerine ek olarak, gerçekleştirdikleri çalışmaların arka planında hangi süreçlerin nasıl ilerlediğini incelemek ve anlamak için yoğun çaba göstermektedirler. Örneğin, şu anda okumakta olduğunuz yazıya erişiminiz esnasında arka planda protokol ve prosedürlerin nasıl çalıştıklarını hiç düşündünüz mü? Benzer şekilde, içinde birçok farklı disiplini barındıran siber güvenlik alanında da “know-how” yeteneği son derece kıymetli ve olmazsa olmaz özellikler arasındadır; çünkü bilgi güvenliğini sağlayabilmek için öncelikle bu bilgiyi oluşturan sistem, protokol ve altyapıların nasıl çalıştığını detaylı olarak bilmek ve özümsemek en temel gereksinimlerdendir. Durum böyle iken aklımızda hemen şu soru beliriyor: “İyi bir siber güvenlik uzmanı olabilmek için, başka bir değişle iyi bir etik hacker olabilmek için gerekli olan teknik altyapı ve “know-how” bilgisine nasıl sahip olabiliriz?”
İlgili TED konuşması >> Hackerları işsiz bırakmayın
Siber Güvenlik alanında yolun başında olan ve teknik açıdan kendisini geliştirmek isteyenler için birçok sertifikasyon programı bulunmakta. Bu programlar arasındaki en dikkat çeken ve global anlamda geçerli sertifikasyonlardan biri, benim de almak için uzun süre çalıştığım, EC-Council organizasyonunun ilk olarak 2003’te duyurduğu ve yürütmekte olduğu Certified Ethical Hacker (CEH) olarak kabul ediliyor. CEH sertifikasyonunun en dikkat çeken amacı, kursiyerleri bilgi güvenliği alanındaki temel standartlar hakkında hem teorik hem de teknik anlamda bilgi sahibi yapmak. CEH eğitiminin içeriğini incelediğimizde aşağıdaki kavramları içeren oldukça doyurucu olan bir birikim ile karşılaşıyoruz:
- Introduction to Ethical Hacking
- Footprinting and Reconnaissance
- Scanning Networks
- Enumeration
- System Hacking
- Malware Threats
- Sniffing
- Social Engineering
- Denial of Service
- Session Hijacking
- Hacking Webservers
- Hacking Web Applications
- SQL Injection
- Hacking Wireless Networks
- Hacking Mobile Platforms
- Evading IDS, Firewalls, and Honeypots
- Cloud Computing
- Cryptography
312-50 kodlu CEH sınavının dili İngilizce ve 120 tane çoktan seçmeli sorudan oluşuyor. Bu soruları yanıtlamak için 4 saat süre veriliyor ve şayet soruların en az %70’ini doğru cevapladıysanız CEH sertifikasını almaya hak kazanıyorsunuz. Ayrıca sınav; TOEFL, Cisco veya Microsoft sertifikasyon sınavlarına benzer şekilde bilgisayar ortamında gerçekleşiyor, dolayısıyla sınav ortamında kağıt-kalem yerine karşınızda sadece bir bilgisayar görmek sizi şaşırtmasın. Sınav ücreti maalesef biraz pahalı: 700 USD. Ancak bu tutar, geleceğinize yatırım olarak görülmeli ve tabii ki ilk seferde sınavı geçebilmek için sizi kamçılayan faktörlerden biri olmalı.
CEH sertifikasyonunun resmi sınavına hazırlanma konusunda yapılan son düzenlemeler ile birlikte sınava kurs almadan başvuru seçeneği ülkemiz için kaldırıldı ve ilk olarak EC-Council akreditasyonu olan bir kurs merkezlerinden CEH eğitimi alma zorunluluğu getirildi. Eğer bu alanda oldukça yeni iseniz ya da ağ teknolojileri ve işletim sistemleri hakkında kendinizi zayıf görüyor iseniz EC-Council akreditasyonuna (EC-Council Authorized Training Center) sahip bir kurumdan CEH eğitimi almanız çok yararlı olacaktır. Bu sayede sınava hazırlanma süreciniz, bilgi güvenliği alanında deneyimli eğitmenlerin yardım ve tavsiyeleriyle daha rahat ve verimli geçecektir. Ayrıca, dersleri düzenli takip etmeniz halinde motivasyonunuz da uzun süreli olarak yüksek kalacaktır. Ancak eğitim almayı planladığınız kurumu ve eğitmeni detaylı bir şekilde araştırmakta fayda görüyorum, ne yazık ki bazı yetersiz eğitim kurumları öğrencilerine hayal kırıklığı ve beraberinde konuya ilişkin ilgi kaybı yaşatabiliyor. Tüm bunlara ek olarak, internet ortamında bedelsiz olarak faydalanabileceğiniz birçok kaynak ve video bulunmakta. Kişisel olarak tavsiye edebileceğim ek kaynakları yazının sonunda bulabilirsiniz.
Hazırlanma dönemini başarıyla tamamladıysanız ve kendinizi hazır hissediyorsanız (bu aşamada emin olmak için sınav ücretini bir kez daha hatırlamak gerekiyor) artık sınav için başvuru aşamasına gelmiş bulunmaktasınız. CEH sınavı için başvurular, EC-Council internet mağazasından (https://store.eccouncil.org/product/ceh-vue-exam-voucher/) ya da Pearson çevrimiçi sınav kayıt platformu (http://www.pearsonvue.com/eccouncil/) üzerinden CEH sınavı satın alınarak yapılıyor. Bu aşamada, sınava girmek istediğiniz tarihi ve özellikle İstanbul, Ankara ve İzmir gibi büyük şehirlerde rahatlıkla bulabileceğiniz sınav merkezini belirlemekte serbestsiniz.
Disiplinli bir şekilde ve yüksek konsantrasyon ile çalıştınız ve sınavı geçip EC-Council organizasyonunun onayladığı bir Certified Ethical Hacker oldunuz, peki ya sonra? Yazının başında da bahsettiğim gibi CEH sertifikasyonunun çok kapsamlı bir içeriği var. Hazırlık döneminde tanıştığınız ve büyük ilgi duymaya yeni alanlar, gelecekteki odak noktanızı belirlemenizde yardımcı olacaktır. Örneğin, penetrasyon alanını yeteneklerinize uygun görüyor ve bu konuda heyecan duyuyor iseniz kariyerinize sızma testi uzmanı olarak yön verebilirsiniz. Aynı şekilde; Adli Bilişim (Computer Forensics), Voice over IP (VoIP), Güvenli Yazılım Geliştirme (Secure Coding) ve hatta bir eğitmen olarak eğitim veya danışmanlık alanında CEH benzeri sertifikasyon programları aracılığı ile kendinizi geliştirebilir ve kariyerinize devam edebilirsiniz.
Son olarak, CEH sertifikasının geçerlilik süresinin sertifikayı alma tarihinden itibaren 3 yıl olduğunu belirtmem gerekiyor. Eğer bu süreçte, CEH’ten daha üst seviyedeki bir sertifika almanız durumunda (Licenced Penetration Tester, Computer Hacking Forensics Investigator, Certified Secure Programmer vb.) yeni aldığınız sertifika ile birlikte CEH’in geçerlilik süresi de güncellenecektir.
CEH adaylarına şimdiden başarı dileklerimle…
Tavsiye edebileceğim web siteleri ve ek kaynaklar:
- Sean Philip Oriyano-Certified Ethical Hacker Version 9 Study Guide, 3rd Edition (ISBN: 1119252245 )
- Matt Walker- CEH Bundle, 3rd Edition (ISBN: 125983753X)
- CBT Nuggets-Certified Ethical Hacker Eğitim Videoları
- skillset.com (Sınav formatında birçok soru ve egzersiz bulabilirsiniz)
- cybrary.it (Detaylı video ve anlatılar bulabilirsiniz)
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]
Merhabalar , sınava sınav merkezine gitmeden internet üzerinden girilebiliyor mu acaba ?