Skip to main content

Siber Güvenlik

Siber güvenlikte yapabileceğin iş imkanı oldukça fazla, legal takılıp yüksek maaş ile şirket veya kamu sektörlerinde iş bulabilirsin, bunu yapabilmen için serfikasyon programlarına ağırlık vermen gerekicek.
İllegal alanda takılıp tek vurgunda emekli olabilirsin, kendini emekli edecek parayı bulabilirsin veya cracking, malware veya exploit dev gibi işleri sürekli hale getirip legalden kazanacağın bir yıllık maaşı bir günde kazanabilirsin ama unutma bunların cezası yerel boyutta değil uluslararası çapta olur ve alacağın cezada uluslararası alanda ibretlik olur.
Gray alanda takılıp, opsec tarafında altyapı sağlayıcı olabilirsin, exploit brokering yapabilirsin.
Aslında gri tarafın yapabileceği iş imkanı çok fazla, kendini gri diye tanıtan bir eleman bu alandan para kazanmak zorunda değil. Genel amaç burada daha çok nam yapma üzerine kurulu bi tık, örnek veriyorum israil filistin gerginliğinde israilli bankaların sunucularını kapatan bir hacker bundan bir gelir elde etmez ama isim salmış olur. Kendi ülkesi ile örnek veriyorum isveç sıkıntı yaşadığı zaman isveç devlet kurumlarını çökerten hacker, bundan gelir etmez ama isim yapmış olur ve yerel ve uluslarası basınında da çokça duyarız biz bu isimleri. Gri elemanların bir misyonu, amacı, hedefi olur. black hatlar gibi nerden ne koparsam kardır kafasında değildir, blackhat kendi nerde kimi sikebiliyorsa siker, vurgununu yapar ve kaybolur amaç cebindeki paradır onun için.
Gri eleman ise misyonu doğrultusunda hareket eder, misyonunda benim gibi Türk milletini aydınlatmak ve korumak varsa parayla bile Türk şirkete saldırmaz aksine yardımcı olur.

White Hat

Beyaz şapkalı hacker’lar, nam-ı diğer etik hacker’lar. Temel amaçları, sistemlerdeki güvenlik açıklarını kötü niyetli kişilerden önce bulup ilgili kurumlara bildirerek bu açıkların kapatılmasına yardımcı olmaktır. Beyaz şapkalılar genellikle şirketlerin güvenlik ekiplerinde uzman ya da danışman olarak çalışır, veya bug bounty programlarına katılan bağımsız araştırmacılar olabilirler. Yasal ve etik sınırlar içinde hareket ederler bir sistemi hacklemeden önce mutlaka izin alır ve buldukları zafiyetleri istismar etmeden sorumlu şekilde raporlarlar. Motivasyonları kariyer ve itibar kazanımı sayılabilir. Bir beyaz şapkalı hacker, sahip olduğu yetenekleri “daha güvenli bir internet” idealine hizmet etmek için kullanır. Bu hacker’lar sayesinde büyük organizasyonlar sistem açıklarını önceden tespit edip kapatarak milyonlarca dolarlık zararlardan kurtulabilir

Black Hat

Siyah şapkalı hacker’lar, klasik anlamda siber suçlular olarak tanımlanır. illegal bir şekilde sistemlere sızarlar, kişisel kazanç veya zarar verme amacı güderler. Bazı siyah şapkalılar ideolojik saiklerle de hareket edebilir kendi dünya görüşlerine karşı olan kurum veya kişileri hedef alarak “hacktivist” saldırılar düzenleyebilirler. Bu gruptaki hacker’lar yaptığı işin yasa dışı ve etik dışı olduğunu bilir, ancak yakalanmadan kazançr elde etmeye odaklanırlar. Trojan, fidye gibi zararlı yazılımlar geliştirmek, kurumların ağlarına izinsiz sızmak, dataleak veya kredi kartı patlatmak… Örneğin 2017’de dünyayı sarsan WannaCry fidye yazılımı saldırısı, 150 ülkede 230.000’den fazla bilgisayarı sadece bir gün içinde etkileyerek hastanelerden fabrikalara kadar birçok sistemi işlemez hale getirdi. Tarihten bir örnek vermek gerekirse, 1990’larda Kevin Mitnick isimli siyah şapkalı hacker IBM ve Motorola gibi devler dahil 40’tan fazla şirkete sızmış, FBI tarafından “en çok aranan siber suçlu” ilan edilmiş ve yakalandıktan sonra hapis cezası almıştır. Mitnick sonradan taraf değiştirip güvenlik danışmanı olarak beyaz şapka tarafında çalışmaya başlasa da bu örnek, siyah şapkaların yasal risklerini açıkça göstermektedir.

Gray Zone

Gray hacker’lar, beyaz ve siyah şapkaların tam ortasında, etik çizginin gri bölgesinde yer alır. Bu kişiler kötü niyetli bir amacı olmadan sistemlere izinsiz girebilirler; yani siyah şapkalar gibi zarar verme veya maddi çıkar güdüsüyle hareket etmezler ancak beyaz şapkaların aksine hedef sistem sahibinden önceden izin almazlar. Gri şapkalılar genellikle meraklıdır ve yeteneklerini göstermek, isim yapmak isterler. Çoğu zaman bir sistemi hackleyip açıkladıkları zafiyet sayesinde şirketin dikkatini çekmeyi, belki takdir toplamayı umarlar. Kimi zaman buldukları açığı şirkete bildirip küçük bir ücret karşılığında çözmeyi teklif ederler; bunu yaparken aslında hem kendilerinin işe alınmasını sağlamaya çalışır hem de iyilik yaptıklarına inanırlar. Etik açıdan bakıldığında, beyaz şapka topluluğu gri şapkalıların yöntemlerini onaylamaz ve bu hacker’ları etik dışı görür. Gri şapkalar teknik olarak suç işlemiş olur, fakat niyetleri siyah şapkalar gibi doğrudan zarar vermek değildir. Bu ince çizgi nedeniyle bazı gri şapkalılar zamanla beyaz şapka tarafına geçip yeteneklerini bug bounty gibi yasal programlarda kullanırken, bazıları da sert tepki görünce siyah şapka yoluna sapabilir. Özetle, gri şapkalı hacker “yasa dışı ama zararsız” işler yaptığını düşünse de yaptığı iş genellikle hem yasa dışıdır hem de yanlış anlaşılmaya açıktır. Gri alan sadece zafiyet aramaz, her türden insana opsec, web3 ve exploit hizmeti sunar.

Günümüzde Ne İş Yapabilirim

yasal ve etik kariyerlerden, gri hatta illegal sayılabilecek faaliyet alanlarına kadar çeşitli “iş” imkanları mevcut. Aşağıda, etik hacking ve sızma testi uzmanlığından, yeraltı dünyasındaki illegal işlere uzanan bir yelpazede yapılabilecek bazı iş türlerini sıralıyacam:
  • Etik Hacking ve Sızma Testleri: Eğer “hacking” tutkunuzu legal bir kariyere dönüştürmek istiyorsanız, etik hacker olarak çalışmak en ideal yol. Şirketlerin siber güvenlik ekiplerinde veya danışman firmalarda penetrasyon testleri yapan bir uzman olabilirsiniz. Bu iş kolu, her geçen gün büyüyen siber tehditler nedeniyle oldukça revaçtadır ve uzmanlar talep görmektedir. Bir etik hacker olarak göreviniz, müşterinin sistemlerine anlaşmalı olarak sızma testleri uygulayıp açıkları bulmak ve çözüm önerileri sunmaktır. Bu alanda profesyonelleşmek için CEH (Certified Ethical Hacker), OSCP (Offensive Security Certified Professional) gibi sertifikalar mevcuttur; bunlar bilgi ve yeteneklerinizi belgelemenize yardımcı olur.
  • Bug Bounty Programlarına Katılım: Bug bounty, şirketlerin ürün ve hizmetlerindeki güvenlik açıklarını bulan hacker’lara para ödülü verdiği bir ekosistemdir. Bu programlara katılarak hem yasal kalıp hem de bireysel olarak gelir elde etmek mümkün. Ödüller açığın kritiklik seviyesine göre birkaç yüz dolardan on binlerce dolara kadar çıkabilmektedir. Hatta kripto para sektöründeki bazı şirketler kritik açıklar için 100 bin dolar gibi yüksek ödemeler yapabiliyor. Bug bounty dünyasında en başarılı olanlar tam zamanlı olarak bu işi yapıp yılda yüz binlerce dolar kazanabiliyor.
  • Freelance Pentester’lık: Bazı hacker’lar kurumsal bir işe girmek yerine bağımsız çalışmayı tercih eder. Freelance penetrasyon test uzmanı olarak hizmet vererek şirketlere proje bazlı çalışabilirsiniz. Özellikle küçük ve orta ölçekli işletmeler, tam zamanlı eleman istihdam etmek yerine ihtiyaç duydukça dışarıdan pentester kiralamayı tercih edebiliyor. Synack ve Cobalt gibi bazı “kapalı” platformlar da en iyi hacker’ları seçip kurumsal müşterilere yönlendirerek freelance pentest imkanı sunmaktadır. Eğer belirli bir uzmanlık alanınız varsa (örneğin web app, mobil app veya source code), bu alanda freelance hizmet vererek kendinize bir niş pazar yaratabilirsiniz. Serbest pentester’lık, hem gri hem de beyaz alanda kalabileceğiniz bir iş modeli; tamamen yasal çalışacağınız gibi, bazen de güvenlik araştırması adı altında şirketlerin onayı olmadan keşif yapıp sonra bunu bir işe dönüştürme yoluna gidebilirsiniz her ne kadar bu riskli olsa da.
  • Hacker Forumlarında Faaliyet: Siber dünyanın undergraund olarak tabir edilen kısmında, hacker’ların buluştuğu pek çok dark web forumu ve topluluk bulunuyor. Bu illegal forumlar, saldırganların araç paylaştığı, çalıntı verileri ticaretini yaptığı, işbirliği yapıp planlar kurduğu anonim platformlardır. Örneğin Exploit.in, XSS gibi. Bu tür forumlarda hacking araçları, zeroday açıkları, dataleak ve kredi kartı dump’ları alınıp satılır. birçok **threat intelligence **uzmanı, dark web’deki bu toplulukları gözlemleyerek yeni saldırı yöntemleri veya sızdırılan veriler hakkında önlem veya bilgilendirmelerde bulunur. Son yıllarda bazı büyük forumların (örneğin BreachForums) kapatılması ve yöneticilerinin tutuklanması, sizinde yeri geldiğinde büyük cezalar alabileceğinizi göstermekte.
Sonuç olarak, hacking dünyasında becerilerinizi kullanabileceğiniz geniş bir yelpaze bulunuyor. Beyaz şapka tarafında kalarak etik hacker olup kurumları güçlendirebilir, yasal yollardan para kazanabilirsiniz. Gri bölgeye yönelirseniz, belki anlık heyecan ve şöhret elde etseniz de hukuki açıdan ayağınızın kayması an meselesidir. Siyah şapka yani illegal yola sapmak ise kısa vadede cazip görünebilir ama uzun vadede özgürlüğünüzü ve itibarınızı riske atmak demektir. Unutmayın, günün sonunda en başarılı hacker’lar, yeteneklerini sistemi yıkmak yerine daha güçlü hale getirmek için kullananlardır.