Bu yıl yedincisi düzenlenen artık geleneksel bir hâle gelmiş diyebileceğimiz Linux Yaz Kampı’nın 2016 yılı etkinliğine bu sene ben de katıldım. 5-20 Ağustos 2016 tarihleri arasında gerçekleşen kamp, son 4 yıldır olduğu gibi bu sene de Bolu Abant İzzet Baysal Üniversitesi’nin (AİBÜ) Gölköy Yerleşkesinde bulunan Güzel Sanatlar Fakültesi’nde gerçekleşti. Herkesin katılımına açık ve ücretsiz olan kampın kontenjanı 400 kişiyle sınırlıydı ve başvurularda öncelik kamu ve üniversite bilgi işlem personellerine verildi. Toplam başvuru sayısı 1500 kişi civarında gerçekleşti.

Kampa katılım için devamsızlık hariç bir kısıtlama da bulunmamaktaydı. Devamsızlık konusunda sıkı bir denetim olduğunu söylemeden geçemeyeceğim. Zaten gönüllü planlanmış bir etkinlik olduğu için sizden kampta elinizden geleni yapıp eğitimden maksimum faydayı kazanmanız hedeflenmiş.

Konaklama ve Ulaşım

15 gün boyunca Kredi Yurtlar Kurumunun (KYK) kız yurdunda 4 kişilik odalarda konakladık. Yurt ücretleri günlük 12 TL gibi cüzi bir miktardı. Yurdun, kursların yapıldığı Güzel Sanatlar Fakültesine 1-2 dakika yürüme mesafesinde olması benim için çok büyük avantajdı. Erkek yurtları şehir merkezindeydi ve ulaşımı otobüsle sağlanıyordu. Üniversiteden şehre ulaşım otobüslerle sağlandığı için BoluKart adı verilen bir kart kullanmak gerekiyor. Şehre ulaşım konusunda otobüslerde zaman zaman yoğunluk ve seyreklik sorunu yaşandı. Katılımcılar olarak biz yalnızca kendi yol, konaklama, yemek masraflarından sorumluyduk. Bu arada KYK yurtlarından WiFi üzerinden internete çıkmak istiyorsanız KYK’lı olmanız veya KYK’lı olan bir arkadaşınızın olması yeterli.

Kurslar

9 farklı konu başlığı altındaki kursları, hepsi sektör tecrübesine sahip birbirinden değerli 50 gönüllü profesyonel eğitmen 14 sınıfta paralel oturumlar şeklinde verdi.

• Linux Sistem Yönetimi (1. Düzey)
• Linux Sistem Yönetimi (2. Düzey) (İptal Edildi)
• Web Uygulama Güvenliği ve Güvenli Kod Geliştirme
• Kriptografi ve TersKod Mühendisliğine Giriş
• PHP ile Web Programlama
• Ruby on Rails ile Web Programlama
• Python / Django ile Web Programlama
• Ağ Uzmanlığına Giriş (İptal Edildi)
• Java Programlamaya Giriş
• Ağ Güvenliği ve Sızma Testleri
• Web Önyüz (Front-end) Programlama

Ağ Güvenliği ve Sızma Testleri

Bu sene ilk kez açılan ve 35 kişilik kontenjan verilen 120 saatlik “Ağ Güvenliği ve Sızma Testleri” kursuna katılmaya 21 soruluk ve 40 dakika süren yeterlilik sınavını online olarak yaptıktan sonra hak kazandım. 600’ün üzerinde başvuru sayısıyla en fazla başvuru alan kurs olduğunu eğitimdeyken öğrendiğim kursa 56 kadın katılımcı başvurmuş ve yine benimle beraber 4 kadın kabul edilmişti. Kursa katılanların çoğu üniversite öğrencisiydi ve çoğunluğunun bilgi düzeyi iyi seviyedeydi. Bu durum siber güvenlik farkındalığının ülkemizde hızla yükselen bir eğilimde olduğunu daha iyi fark etmemi sağladı.

Haftlık Siber Bülten raporuna abone olmak için formu doldurunuz

[wysija_form id=”2″]

Aldığımız kursun sektörde bilinen adıyla “Beyaz Şapkalı Hacker (CEH-Certified Ethical Hacker)” eğitiminden farkı yoktu. Sızma testleri nasıl gerçekleştirilir sorusuna 15 gün boyunca, bol bol uygulama yaparak, cevap vermeye çalıştık. Eğitmenlerimizin katılımcıları teorik bilgi ile boğmak yerine uygulayarak öğretmeyi hedefleyen bakış açılarına sahip olmaları bizler için çok büyük bir avantajdı. Sızma testi laboratuvarı gerçekten çok profesyonelce hazırlanmıştı. 50’yi aşkın sanal sunucu gerçek hayatta karşılaşılan güvenlik açıklarıyla doluydu ve sunucular çeşitli zorluk seviyesine sahipti. Ayrıca iki adet belirli senaryoya dayalı topoloji de bulunuyordu.

Dersler sabah 09:30’da başlayıp akşam 21:30’da sona eriyordu. Günlük 10 saatlik yoğun programı yumuşatmak için ders saat aralıkları 09:30-12:30, 14:00-17:30 ve 19:00-21:30 olacak şekilde belirlenmiş. Başta çok yorucu olacağını düşündüm fakat 1-2 gün geçtikten sonra o kadar yorucu olmadığını fark ettim. Gün boyunca 2 defa 1 buçuk saatlik yemek araları veriliyordu. Dersler genellikle uygulamalı olduğundan daha anlaşılır oldu. Eğitmenler sürekli sınıfın içinde dolaşarak anlaşılmayan yerleri tekrar anlatıp, takılan herkesle ilgilenerek çıkan problemleri anında düzelttiler. Bu sayede sınıfta bulunan herkes dersi kolaylıkla takip edebildi. Ders aralarında da eğitmenlere rahatça ulaşmak mümkün oldu. Bütün bunların dışında derste yapılan alıştırmalar, örnekler ve projeler sık sık GitHub üzerinden paylaşıldı. Eğitmenler ve kampta bulunan tüm görevliler her an yardımcı olmaya hazır bir haldeydiler.

Dersler ilk hafta teorik, ikinci hafta da tamamen uygulamaya yönelikti. Gördüğümüz derslerin konu başlıklarından önemli olanlarını aşağıda yazdım.

• Sızma Testi Temelleri
• Ağ Temelleri
• Keşif Aşaması
• Pasif Bilgi Toplama
• Aktif Bilgi Toplama
• Zafiyet Tespiti
• Exploit Aşaması
• Metasploit Framework
• Parola Kırma Saldırıları
• Paket Analizi ve Sniffing
• DoS ve DDoS Saldırıları
• Kablosuz Ağ Saldırıları
• Capture The Flag (CTF) senaryoları

İlk derste sızma testinin çeşitleri hakkında konuştuk ve ağ temelleri üzerinden devam ettik. OSI referans modeli, TCP/IP protokol yapıları konu başlıklarını ele aldık. İlerleyen zamanda sosyal medya hesaplarından pasif bilgi toplamasının nasıl yapılacağını öğrendik. Ardından heyecanlı beklediğimiz aktif bilgi toplama aşamasına geçerek uygulama kısmına giriş yaptık. Bu aşamada ilk olarak tarama araçları ve temel parametreleri hakkında bilgi verildi. Sonra bizler için hazırlanan ve özellikle sistem açıklarıyla dolu sunucularda Nmap ve Nessus gibi araçlar kullanarak port taraması yapıp servis açıklıklarını keşfettik. MITM-Man-in-the-middle-, ARP, IP ve DNS zehirleme gibi ağ tabanlı saldırı metotlarını kullanmayı uygulamalı olarak öğrendik. Saldırganların yaygın olarak yaptığı sözlük saldırıları hakkında bilgi sahibi olduk. Kaba kuvvet (Brute force) saldırılarını detaylı olarak inceledik. Paket analizi için en bilinen ürün olan Wireshark’ı kullandık. Yakın zamanda ülkemizde gerçekleşen DDoS atakları ve çeşitleri hakkında bilgi aldık ve nasıl yapılacağını yine uygulamalı olarak öğrendik. Kablosuz ağların güvenliğinin çift yönlü olarak örnek senaryolarla ele aldık. Kampın son günleri Capture The Flag (CTF) adı verilen, belirlenen hedefe ulaşmak ve bayrağı (hedef sistemlerdeki gizli metin dosyası) kapmak için sistemlerdeki güvenlik açıklıkları değerlendirmeye dayalı olan heyecanı yüksek olan oyuna dâhil olduk. Zafiyetlerini önceden bilmediğimiz 15 sunucu verildi. Bu sunucularda ilk olarak aktif tarama yaparak zafiyetleri tespit ettik. Bu zafiyetleri istismar etmek suretiyle de sistemi ele geçirmeye (bayrağı bulmak) çalıştık. Günün sonunda hocalarımız detaylı bir şekilde çözümlerini anlattılar. Ayrıca derste ele alınan bütün konular “GitHub” üzerinden herkesin paylaşımına sunuldu.

Kamp Ağustos ayında olmasına rağmen Bolu’da hava geceleri çok serindi. Geçen senelerden farklı olarak kamp yoğun tempoda geçtiğinden dolayı gezmek için çok fazla zamanımız da olmadı. İlk haftamızı tamamlandığımızda ödül olarak eğitmenlerimizle beraber topluca muhteşem güzellikteki Gölcük gezimizi yaparak eğlendik ve yorgunluğumuzu attık. Son gün yazılım ve teknoloji dünyasına dair soru cevap şeklinde konferans yapıldı ve sertifikalarımız dağıtıldı.

Kamp, beklentimin çok üstündeydi. Ders aralarında toplu gidilen yemekler de gayet güzeldi. Bu yemeklerde bilgi paylaşımımız devam etti ve güzel arkadaşlıklar kurduk.  Kısaca hem öğrendik hem eğlendik. 15 günü dolu dolu geçirmenin mutluluğu herkesin yüzünden okunuyordu. Gönüllü olarak gelip, senelik izinlerini bizim eğitimlerimiz için feda eden eğitmenlere tekrar teşekkürler.

İlgilenenler aşağıdaki linklerden daha detaylı bilgi edinebilirler.

Ana sayfa: https://kamp.linux.org.tr

GitHub: github.com/kevsersrca/2016LYKAgGuvenligiveSizmaTestleri

Twitter: twitter.com/LinuxYazKampi

Facebook: www.facebook.com/linuxyazkampi