Etik Hacking Nedir ve Nasıl Çalışır?

'Hacking' kelimesi tipik olarak, veri hırsızlığı ve kritik operasyonlara karşı sabotaj gibi kötü niyetli eylemlerle bilgisayar sistemlerine, ağlarına ve uygulamalarına saldıran siber suçluların görüntülerini çağrıştırır.

Ancak, internet kötü aktörlerle dolu olsa da, bilgisayar korsanlığı becerilerini iyilik için kullananlar da var. Etik Hackerlar, kötü niyetli meslektaşlarının aksine, güvenlik açıklarını tespit edip şirketlere ve kuruluşlara (e-ticaret firmaları ve ajansları gibi) bildirerek bunların düzeltilmesini sağlarlar.

Etik Hackerlık Nedir?

Etik bilgisayar korsanlığı terimi genellikle siber güvenlik açıklarını keşfetmek, tespit etmek ve raporlamak için bilgisayar korsanlığı tekniklerini kullanma pratiğini ifade eder - başka bir deyişle, olumlu motivasyonlarla bilgisayar korsanlığı.

Beyaz Şapkalı bilgisayar korsanlığı olarak da bilinen etik bilgisayar korsanlığı, şirketlerin ve kuruluşların gerçek siber tehditlere karşı dayanıklılıklarını güçlendirmeye yardımcı olmak için bu bilgisayar korsanlarının hizmetlerine başvurmasıyla profesyonel bir meslek haline gelmiştir.

Etik bilgisayar korsanları, onaylandıktan sonra, sistemler, ağlar, cihazlar ve uygulamalarda gizlenen istismar edilebilir kusurları ve sorunları ortaya çıkarmak için Sızma Testleri (gerçek dünya tehdit hack simülasyonları) gibi hedef odaklı görevleri yerine getirirler:

• Veri Maruziyeti
• Enjeksiyon Saldırıları
• Yanlış Yapılandırmalar
• Bozuk/İhlal Edilmiş Kimlik Doğrulama 
• ve Hassas Bileşenler

Kontrollü bir ortamda, etik bilgisayar korsanları bu zayıflıkları, aşağıdakiler de dahil olmak üzere birkaç farklı bilgisayar korsanlığı yöntemi uygulayarak işaretleyebilir ve değerlendirebilir:

• Sızma Testi - Bir şirketin sistemlerini, ağlarını ve uygulamalarını ihlal etmeye odaklanmış
• Sistem Hackleme - bir şirketin bireysel sistemlerine erişim sağlamak
• Ağ Korsanlığı - Bir şirketin ağ güvenliğinin zayıflıklara karşı taranması
• Web Uygulama Testi - Bir şirketin web siteleri ve uygulamalarıyla ilgili sorunları ortaya çıkarmak
• Dahili Testler - şirketin personeli/süreçleri arasındaki zayıflıkları bulmaya odaklanmıştır

Müşterinin güvenlik analisti etik hacker'ın raporunu okuduktan sonra, güvenlik sistemlerinde listelenen kusurları düzeltmek için hızla çalışmaya başlayabilir ve hassas veriler ve kritik altyapı gibi bilgi ve varlıkların korunmasını güçlendirmelerine olanak tanır.

Etik Hackerlar Nasıl Çalışır?

Bilgisayar korsanlığı dünyasında birkaç farklı hacker türü vardır, ancak bu makalede Beyaz Şapkalılar (etik hackerlar) ve Siyah Şapkalılar (kötü niyetli hackerlar) üzerinde duracağız.

Genellikle kuralsız ve ilkesiz çalışan Siyah Şapkalıların aksine, Beyaz Şapkalıların eylemlerinin yararlı kalmasını ve asla (kasıtlı olarak) zararlı olmamasını sağlamaya yardımcı olmak için uyulması gereken katı bir Etik Kuralları vardır.

Ayrıca, çeşitli becerilerini ve etik kurallara bağlılıklarını göstermek için belirli niteliklere ve kimlik bilgilerine sahip, meşru bir alan haline gelen bir alanda faaliyet gösteren tam eğitimli profesyonellerdir (daha fazlası aşağıda).

Beyaz Şapkalılar tarafından benimsenen tam etik kurallar, istihdam edilen kişi veya gruba bağlı olarak biraz farklılık gösterse de, etik bilgisayar korsanlığı için yönergeler genel olarak aşağıdaki gibidir:

• Her zaman öncelikle onay alınmalıdırve sistem ve varlık testleri, metodoloji ve faaliyet zaman çerçeveleri vb. dahil olmak üzere üzerinde anlaşmaya varılan belirli iş kapsamı
• Hiçbir zarara neden olunmamalıdırBeyaz Şapka'nın rolünün sadece Siyah Şapka gibi düşünmek ve davranmak olduğu göz önüne alındığında - bir zayıflık bulunduğunda gerçekten zarar vermek ve hassas bilgileri tehlikeye atmak değil
• Hukukun sınırlarına saygı gösterilmelidiryani Beyaz Şapkalılar işlerini yürütmek için yalnızca yasal yöntem ve tekniklere bağlı kalmalı ve yalnızca diğer Beyaz Şapkalılarla ilişki kurmalı / yazışmalıdır
• Üstlenilen işlere ilişkin tüm keşifler gizli kalmalıdırSistem güvenliği sızma testleri ve değerlendirmelerinden vb. elde edilen tüm bilgilerin yalnızca şirketin (işverenin) kendisiyle paylaşılması
• Bilgisayar korsanlığı faaliyetlerine ilişkin tüm kanıtlar temizlenmelidirKara Şapkalılar tarafından sistem ve ağları ihlal etme girişimlerinde potansiyel olarak istismar edilebileceğinden

Etik Hackerlar Hangi Becerilere İhtiyaç Duyar?

Bir Beyaz Şapkanın etik bilgisayar korsanlığı görevi alabilmesi için öncelikle bilgisayar sistemlerini anlamak ve bu sistemlerle etkileşim kurmak için gerekli temel eğitim ve niteliklere sahip olduğunu göstermesi gerekir.

Bilgisayar Bilimleri, Siber Güvenlik veya Bilgi Teknolojileri alanında lisans derecesi, genellikle işverenler tarafından programlama / komut dosyası oluşturma, işletim sistemleri, ağlar ve güvenlik araçları bilgisi ile birlikte beklenir.

Beyaz Şapkalılar, EC-Council tarafından sunulan CEH (Certified Ethical Hacker) veya sızma testi ve güvenlik açığı değerlendirmesine odaklanan CompTIA Pen Test+ gibi alana özgü bir sertifika programına da kaydolmuş olabilirler.

Etik Bilgisayar Korsanlığı Neleri İçerir?

Bir Beyaz Şapkalı, kalifiye olduktan ve bir göreve başlaması onaylandıktan sonra, her zaman yapılandırılmış, yasal ve siber güvenliği geliştirmeye odaklanmış, açıkça belirlenmiş hedefler, metodoloji ve zamanlama ile çalışmalıdır.

Burada çoğu etik hack projesinde (aslında simüle edilmiş güvenlik ihlallerinden oluşan 'dostane' sızma testi değerlendirmeleridir) planlamadan tamamlanmaya kadar yer alan tipik altı aşamanın bir dökümü yer almaktadır:

Planlama ve Hazırlık

Değerlendirmenin kapsamını net bir şekilde belirlemek ve hedefleri belirlemek için Beyaz Şapkalılar, bilgisayarlar, mobil cihazlar, web uygulamaları ve sunucular, ağ yapısı ve potansiyel güvenlik açıkları vb. dahil olmak üzere hedef sistem hakkında derinlemesine bilgi toplamak için zemin çalışması (bazen 'ayak izi' olarak da bilinir) yapmalıdır.

Tarama

Sızma testleri (genellikle kalem testleri olarak adlandırılır) başlamadan önce Beyaz Şapkalılar, savunmasız hizmetleri, açık portları ve diğer zayıflıkları ortaya çıkarmak için çeşitli yöntemler ve çeviriciler ve süpürücüler gibi özel araçlar kullanarak sistemi kapsamlı bir şekilde tarar.

Sızma Testi Hazırlama

Araştırma aşamaları tamamlandığında, Beyaz Şapka sistemin erişim vektörlerini anlamak ve değerlendirmek ve çeşitli saldırılara başlamak için ihtiyaç duydukları tüm bilgilerle donatılmıştır; şimdi sistemi hacklemeye çalışarak, aşağıdakiler de dahil olmak üzere gerçek dünya saldırı yöntemleriyle istismar ediyorlar:

• SQL Enjeksiyon Saldırıları - hassas verilere erişmeye çalışmak için uygulamalardaki ve web sayfalarındaki giriş alanlarına kötü amaçlı kod girmek
• DoS (Hizmet Reddi) Saldırıları - sunucuları, uygulamaları ve diğer ağ kaynaklarını trafikle aşırı yükleyerek çevrimdışı hale getirmeye çalışmak
• Siteler Arası Komut Dosyası - kuruluşun web sitesine kötü amaçlı kod gömmeye çalışmak, bu da internette gezinen masum kullanıcılara potansiyel olarak zarar verebilir
• Sosyal Mühendislik - kimlik avı, yemleme ve diğer aldatıcı taktikleri kullanarak kuruluş personelini ağ güvenliğini tehlikeye atacak şekilde kandırmaya çalışmak

Erişimin Sürdürülmesi

Daha sonra, Beyaz Şapka erişim vektörlerini test ederek onları ne kadar ileri götürebileceğini ve daha ileri saldırılar için muhafaza edilip edilemeyeceklerini ölçmeye çalışır; veritabanlarını çalmaya, DDoS (Dağıtılmış Hizmet Engelleme) saldırıları başlatmaya veya sistem erişimini daha fazla istismar etmeye çalışabilirler.

İzleri Temizleme

Hiçbir sızma testi, Beyaz Şapka varlığına ve faaliyetlerine dair tüm kanıtları silmeden tamamlanmış sayılmaz - bunu yapmazlarsa, bir Siyah Şapka ortaya çıkarılan sistem açıklarını takip edip bunlardan faydalanabilir. Beyaz Şapka'nın kritik temizleme süreci genellikle orijinal sistem kurulumunu geri yükleme, HTTP kabuklarını tersine çevirme ve önbelleklerini temizleme gibi adımları içerir.

Raporların Gönderilmesi

Tüm sızma testi çalışması ve değerlendirmesi tamamlandıktan sonra, Beyaz Şapkalı için etik hack bulgularını gözden geçirme ve şirketin talimatlarına bağlı olarak dijital veya sözlü olarak paylaşılacak bir rapor hazırlama zamanı gelmiştir.

Rapor, istismar edilen güvenlik açıklarını, erişilen bilgi ve varlıkları, güvenlik sistemlerinden nasıl kaçınıldığını, potansiyel risk düzeyini ve son olarak Beyaz Şapka'nın şirketin sistem güvenliğini güçlendirmek için önerdiği çözümleri özetleyen kapsamlı bir analiz içerecektir.

Etik Hackerlığın Faydaları Nelerdir?

Etik bilgisayar korsanlığı, günümüz siber güvenliğinde oldukça faydalı bir alan haline gelmiştir ve birçok işletme, kuruluş ve kurumun web sitelerini, bilgisayar sistemlerini, ağlarını ve uygulamalarını siber saldırılara karşı korumalarına yardımcı olmaktadır.

Beyaz Şapkalılar, Siyah Şapkalılar gibi düşünüp hareket ederek - aslında hiçbir zarar vermeden - güvenlik açıklarını ortaya çıkarabilir, bulgularını raporlayabilir ve müşterilerini siber vandalizm, veri hırsızlığı ve kötü şöhretli fidye yazılımları gibi virüsler dahil olmak üzere tehditlerden korumada önemli bir rol oynayabilir.

Gerçek hayattaki siber ihlaller kurbanlar için sadece bir rahatsızlık değildir - maliyetli restorasyon faturalarına, veri uyumluluğu ihlali cezalarına, kamu/müşteri güveninin aşınmasına, nihai mali yıkıma yol açabilir ve hatta bir ülkenin kritik altyapısını ve ulusal güvenliğini tehlikeye atabilir.

Bazı görevlerin, zaman ve kaynak kısıtlamalarının yanı sıra belirlenen parametrelere bağlı olarak sınırlamaları olsa da, etik hacklemenin faydalarını inkar etmek zordur ve birçok sertifikalı Beyaz Şapka, dünyanın siber suçlara karşı devam eden mücadelesine önemli bir katkıda bulunmaktadır.