Siber tehdide ‘beyaz şapkalı’ çözüm

Henüz 19 yaşında olan Arjantinli beyaz şapkalı hacker Santiago Lopez, geçen ay gazetelerin manşetlerindeydi. Çünkü, Lopez’in şirketlerin internet ortamındaki güvenlik açıklarını bularak kazandığı para ödülü toplamı 1 milyon doları aşmıştı. Bir başka beyaz şapkalı hacker da Manisa’da yaşayan 20 yaşındaki Ahmet Mersin. Mersin, Hollanda Merkez Bankası’ndan Pentagon’a kadar birçok firma ve kuruluşun dijital güvenlik açıklarını ortaya çıkarmayı başardı. Bunun karşılığında para ödülü de kazandı, şirketlerin onur listesine de alındı. Siber güvenlik açıklarını ortaya çıkaran bu örnekleri çoğaltmak mümkün.

Geçmişte hacker denildiğinde sadece kötü niyetli kişiler akla gelirken günümüzde firmalar beyaz şapkalı da denilen etik hacker’ları istihdam etmeye başladılar. Konu hakkındaki görüşlerini aldığımız Bilişim Teknolojileri ve Siber Güvenlik Derneği Yönetim Kurulu Başkanı Yavuz S. Selim Yüksel, siyah şapkalı, beyaz şapkalı ve gri şapkalı olmak üzere üç tip hacker olduğunu belirtiyor. Siyah şapkalı hackerlar yeteneklerini suç unsuru oluşturan kullanıcı bilgilerini, verileri çalmak gibi eylemler için kullanıyorlar. Önceki yıllarda siyah şapkalı hacker’lara klasik defansif güvenlik önlemleriyle karşı koymaya çalışıldığını söyleyen Yüksel, “Ancak anlaşıldı ki onların dilini konuşmadan, onlar gibi düşünmeden olmuyor. Saldırmayı da bilmeniz gerekiyor. Bu nedenle ofansif güvenlik anlayışına geçildi ve beyaz şapkalı hacker denilen güvenlik uzmanları oluştu” diyor. Gri şapkalı hackerlar ise sistemlere izinsiz girseler de bunu hiçbir zaman kötü niyetle yapmıyor. Hatta yakaladıkları bu sistem açığını kapamaya çalışıyor.

1 MİLYON EĞİTİMCİ
Yüksel, artık insanların sürekli internetle iç içe olduğunu, telefonlarda bilgisayarlarda pek çok kişisel veri taşındığını ve 2020 itibariyle 50 milyar adet cihazın internetle bağlantılı olacağının öngörüldüğünü söylüyor. Dolayısıyla siber güvenlik uzmanlarına olan ihtiyaç giderek artıyor. Kurumların düzgün bir siber güvenlik politikası olmaması halinde tek bir çalışanın hatası bile tüm bilgilerin ele geçirilmesine ve kurumun zarar görmesine neden olabiliyor. Hükümetlerin de bu konuda önemli atılımlar yaptığını belirten Yüksel, Çin’de bir siber ordu oluşturulduğunu ve en az 1 milyon kişiyi siber güvenlik eğitimcisi olarak yetiştirmeyi planladıklarını aktarıyor. Bir başka örnek de 2020 Tokyo Olimpiyatları’ndan. Japon hükümeti olimpiyatlar başlamadan bir siber güvenlik tatbikatı yaparak 200 milyon civarında elektronik cihazı hacklemeyi deneyecek. Böylece güvenlik açıklarını bulmaya çalışacaklar.

Gençlerin bu alana ilgisinin giderek arttığını söyleyen Yüksel, Bilişim Teknolojileri ve Siber Güvenlik Derneği’nde siber güvenlik akademisi altındaki programlara başvuruların yüksek olduğunu belirtiyor. Mümkün olduğu kadar ücretsiz yapılmaya çalışan bu eğitimlere 2018’den bugüne kadar 2.800 başvuru yapılmış. Ancak, hacker’lık herkese öğretilmiyor. Yüksel, “Eskiden karate kursuna gidip dövüşmeyi öğrenenlere dışarıda gereksiz kavga etmeyeceklerine dair yemin ettirirlerdi. Bu işte de hackerlığı öğrenecek kişilere tehlikeli araçlar veriyorsun. Bunu hak etmeyecek kötüye kullanacak bir insan olup olmadığından emin olmak gerekiyor. Biz bu nedenle bir insan kaynakları şirketiyle çalışıyoruz ve eğitim almak isteyen kişiye öncelikle kişilik envanteri yapıyoruz. Bizim kriterlerimize uygun olmayan kişilerle devam etmiyoruz” diyor.

ÖNEMLİ OLAN YETKİNLİK
Geçen hafta içinde düzenlenen Testİstanbul 2019’a konuşmacı olarak katılan Test Insane CEO’su Santhosh Tuppad, aynı zamanda bir beyaz şapkalı hacker. Sunumundan sonra sorularımızı yanıtlayan Tuppad, günümüzde şirketlerin artık daha çok beyaz şapkalı hacker’lar istihdam ettiğini vurguluyor. Şirketlerin yetkin kişileri istihdam etme konusunda daha dikkatli olmaları gerektiğini düşünen Tuppad, “Firmalar özellikle bir kurumdan belge almış kişileri tercih ediyorlar. Bunu “Bizim belgeli etik hackerlarımız var” diyebilmek için pazarlama amacıyla yaptıklarını düşünüyorum. Oysa, burada önemli olan bu kişilerin bir belge almış olması değil, gerçekten de siber saldırılara karşı durabilecek yetkinlikte olup olmadıkları” diyor. Tuppad, şirketlerin daha çok insan odaklı olup ve gerçekten de insanların güvenliğini düşünmeleri gerektiğini vurguluyor. Kendisinin de kurucusu ve CEO’su olduğu Test Insane’de bir zamanlar siyah şapkalı hackerken şuan değişmiş birini istihdam ettiğini söyleyen Tuppad, bunu tüm şirketlerin yapması gerektiğini çünkü onların aslında çok önemli bir deneyime sahip olduklarını belirtiyor.

Tuppad, bir beyaz şapkalı hacker olmak için mutlaka üniversiteye gidip bilgisayar mühendisliği okumaya gerek olmadığını düşünüyor. Bunun tamamen meraklı ve ilgili olmakla alakalı olduğunu söyleyen ve kendi yaşamından örnek veren Tuppad, “Ben 12 yaşımda bilgisayarlarla tanıştığımdan beri çok ilgiliydim. Herkes ders çalışırken ben kod yazmayı öğrenmiştim ve arkadaşlarım için internet siteleri yapıyordum. Dolayısıyla, bir beyaz şapkalı hackerda olması gereken özelliklerin ilki merak. Ayrıca, sorgulamak da çok önemli. Kendini sürekli geliştirerek hep daha çok öğrenebilmek için interneti kurcalamak, derinlere inmek gerekli” diyor.

7-8 BİN TL’DEN BAŞLIYOR
Yavuz S. Selim Yüksel, Türkiye’de beyaz şapkalı hackerların aylığının 7-8 bin TL’den başlayıp 40 bin TL’lere kadar çıkabildiğini aktarıyor. Santhosh Tuppad ise ABD ve Avrupa’da ücretlerin saatlik 150-200 Euro civarında olduğu bilgisini veriyor. Tuppad’ın memleketi Hindistan’da ise aylık ücretler 1.000 Euro civarındaymış.

DİJİTALLEŞTİKÇE İHTİYAÇ ARTIYOR
Siber güvenlik şirketi Kaspersky Lab’ın Kıdemli Güvenlik Araştırmacısı Sergey Lozhkin, beyaz şapkalı hacker’lara yönelik artan ihtiyacın daha büyük bir eğilimin sadece bir parçası olduğunu söylüyor. Lozhkin, “Dünya daha çok dijitalleştikçe, insanlar giderek daha fazla yazılıma güveniyor ve bu da yazılımların güvenilir ve korunabilir olması gerekliliğini birlikte getiriyor” diyor. Beyaz şapkalı hackerların şirketlerde genellikle siber güvenlik araştırmacısı veya siber güvenlik uzmanı olarak istihdam edildiğini belirten Lozhkin, ancak bir şirketin hem siber güvenlik ekibine sahip olduğu hem de yazılımdaki hataları arayan üçüncü parti beyaz şapkalı hackerlarla çalıştığı durumlar da olabildiğini belirtiyor. Bu durumda genellikle şirketin bulunan her bir güvenlik açığı için ödül verdiği bir hata ödülü (bug-bounty) programı uygulanıyor. Ödül tutarı şirketin bütçesine ve hatanın ciddiyetine bağlı olarak değişiyor.

BELGESİZ ETİK HACKER’LAR DA VAR
ESET Türkiye Teknik Müdürü Erkan Tuğral, dijital varlıkların değerinin giderek arttığını vurgulayarak, kıymetlenen bu dijital varlıkların artık daha yıkıcı siber saldırılara uğradığını belirtiyor. Bu nedenle, sistem açıklarını kötü niyetli kişilerden önce tespit edebilecek, saldırganların bakış açısı ile konuya yaklaşıp, buna göre önlemlerin alınmasını sağlayabilecek beyaz şapkalı hackerlara olan talep yükseliyor. Kariyerlerini bu alanda sürdürmek isteyenlerin CEH veya OSCP gibi sertifikaları alarak beyaz hackerlik konusuna odaklandıklarını söyleyen Tuğral, bunun yanında herhangi bir sertifİkaya sahip olmadan beyaz şapkalı hacker mantığında çalışan da çok kişi olduğunu aktarıyor. Tuğral, “Bilgisayar ağlarının, işletim sistemlerinin, bilgisayar programlarının ve programlama dillerinin çalışma yapısını iyi anlayan herkes beyaz şapkalı hacker adayı olabilir. Bu temellere ek olarak mevcut güvenlik araçlarını iyi kullanabilen, yazılım açıklarını tespit etmede ve bunları istismar edebilmede kendini geliştirerek farklılaştıran adayların birer beyaz şapkalı hacker olabileceğini düşünüyorum” diyor.