XDEV
80+ Bronze
- Katılım
- 22 Nisan 2021
- Mesajlar
- 703
Dahası
Merhaba Donanım Arşivi Ailesi, bugün sizlere etik hacker nasıl olabilirsiniz bunu anlatacağım.
Dijital dünyanın süperman'i olmak emek, sabır gerektiriyor. Ancak ne yapacağınızı bilirseniz emeğiniz boşa çıkmaz. Dünya ve sanal dünya bu iki evren arasında, onlarca gezgin bulunurken, hakkını arayan ve yiğidi öldürmeyen nice süperman'ler var.
Etik Korsan ya da Beyaz Şapkalı Hacker Nedir, Kimdir?
Etik Hacker, bir kuruluşun bilgisayar sistemindeki güvenlik açıklarını deneyen bulan ve araştırma yapan bir bilgisayar ve ağ uzmanıdır. Bu eylem Sızma Testi olarakta geçer. Etik bilgisayar korsanları kötü niyetli bilgisayar korsanlarının yararlanabileceği güvenlik açıklarını nasıl düzeltebileceğini araştıran kişilerdir.
İlk olarak öğrenmeniz gereken şeyler:
Hangi alanlarda yoğunlaşmalısınız?
Penetration Test Nedir?
Penetration Test’in bizdeki anlamı “Sızma Testi”’dir. Penetration Test’in amacı bir sistemde var olan açığı bulmak, olan açığı sömürmek ve raporlamaktır. Penetration Tester dediğimiz kişilerin de kendi çalışma alanları vardır. Yani kimi “Web Uygulama Sızma Testi” yapar kimi de “Network Sızma Testi” yapar. Anlayacağımıza göre Penetration Test çoğul bir kavramdır.
Penetration Test’te Süreç nasıl işler?
Sızma testlerinde testi yaptırmak isteyen (Birey, Firma) bir saldırganın gözünden olaylara bakar. Yani bir saldırgan gibi sistemi sistemi test eder, açıkları listeler ve exploit etme aşamasına gider. Son olarak rapor hazırlanır ve firmaya teslim edilir. Bu raporlarında çeşitleri vardır. Örnek verirsek, yöneticiye ayrı rapor, çalışanlara ayrı raporlar verilir. Bu testi yapan firmaya veya test yapan firmaya bağlı olabiliyor.
Penetration Test yapan firma, testi yapacağı firmaya göre strateji oluşturur. Bunun sonucunda ne tür bir test stratejisiyle ilerleyeceği belli olur.
Örnek olarak;
• Firmadaki Yazılımlar
• Ağ Altyapısı
• Tüm sistem alt yapısı
gibi stratejiler oluşturulur. Bunlar konuşular planlar yapılır ve belli bir süre içerisinde sistemler test edilir. Firmanın alacağı riskler, yapacakları testin zararlarını üstlenip üstlenmeyeceği, veri kaybı olması durumunda testi yapan firmanın sorumluluk almayacağı gibi meseleler konuşulur. Sonuçta yapılacak test çeşidine göre de stratejiler geliştirilir.
Günümüzde genel olarak yapılan testler Sızma Testleri şunlardır;
• Network Sızma Testleri
• Wireless Sızma Testleri
• DDOS Sızma Testleri
• Web Uygulama Sızma Testleri
• Sosyal Mühendislik Sızma Testleri
• Mobil Sızma Testleri
• Voip Sızma Testleri
• Lan Sızma Testleri
Görüldüğü gibi bir çok test çeşidi bulunmakta. Firma yada kişisel küçük kurumlar bunlardan dilediği testi yaptırabilirler.
Penetration Test, kısaca Pentest oldukça önemlidir. Firmalar daha yeni yeni Pentest kavramını öğrenip, bilinçlenip testlerini yaptırıyorlar.
Penetration Test işleminde genel olarak izlenmesi gereken yollar bulunmakta.
• Keşif
• Host Keşfi
• Bilgi Toplama (Aktif, Pasif)
• Port Tarama
• Ağ Analizi
• Vullnerability Assessment
• Exploiting
• Yetki Yükseltme
• Sistemde İlerleme
• Raporlama
gibi yollar izlenebilir. Bunlar daha önce dediğim gibi değişiklik gösterebilir.
Firmanın bu testleri hangi zaman aralıklarında yaptıracağının da önemi büyüktür. Günler geçtikçe yenilenen uygulamalar, kurulan yazılımlar, yapılan ağ ayarları gibi değişiklikler ve yenilikler ile yeni zafiyetler ortaya çıkabilir. Bu sebeplerden dolayı firmalar belli sıklıklarla sızma testi hizmeti almak mecburiyetinde kalabiliyor.
Penetration Test’in çeşitleri vardır.
• Siyah Kutu
• Beyaz Kutu
• Gri Kutu
Siyah Kutu
Siyah kutuda test yapılacak firma ve sistem hakkında herhangi bir bilgi sahibi olunmadan test gerçekleştirilir. Yani bir Hacker gözünden sistemde zafiyetler aranır ve sisteme giriş sağlanır.
Beyaz Kutu
Bu testte firma, test yapacak firma ile birçok bilgiler paylaşır ve buna göre işlemler gerçekleştirilir. Genel olarak bunun nedeni firmada çalışanın veya önceden çalışmış olan bireylerin yapabileceği saldırılar gözlemlenir ve ne tür kayıplar verebileceği tespit edilir.
Gri Kutu
Gri kutu ise, beyaz kutu ve siyah kutu karışımı bir test diyebiliriz. En belirgin farkı ise beyaz kutudaki gibi firma detaylı bilgi vermez. Bu test düşük rütbedeki kişilerin verebileceği zararları gözlemlemek amacıyla yaptırılır.
Penetration Test işlemlerinde en çok kullanılan dağıtım Kali Linux’tur. Kali Linux bilindiği gibi içerisinde birçok araç bulundurmakta. Büyük firmalar dahil çoğunlukla Kali Linux içerisindeki araçlar kullanılmaktadır.
Kali Linux bu sayede Penetration Test işlemlerini 1 adım ileri taşımaktadır.
Konu biraz uzun oldu, konuyu isteğiniz doğrultusunda devam niteliğinde yeni bir konu atabilirim. Konu altında belirtebilirsiniz.
Dijital dünyanın süperman'i olmak emek, sabır gerektiriyor. Ancak ne yapacağınızı bilirseniz emeğiniz boşa çıkmaz. Dünya ve sanal dünya bu iki evren arasında, onlarca gezgin bulunurken, hakkını arayan ve yiğidi öldürmeyen nice süperman'ler var.
Etik Korsan ya da Beyaz Şapkalı Hacker Nedir, Kimdir?
Etik Hacker, bir kuruluşun bilgisayar sistemindeki güvenlik açıklarını deneyen bulan ve araştırma yapan bir bilgisayar ve ağ uzmanıdır. Bu eylem Sızma Testi olarakta geçer. Etik bilgisayar korsanları kötü niyetli bilgisayar korsanlarının yararlanabileceği güvenlik açıklarını nasıl düzeltebileceğini araştıran kişilerdir.
İlk olarak öğrenmeniz gereken şeyler:
- Ağ teknolojileri
- Programlama dilleri
- Veritabanları yönetimi
- İşletim sistemleri (Linux ve Windows)
Hangi alanlarda yoğunlaşmalısınız?
- Ağ kurma: Cisco kursları'na bakabilirsiniz.
- Programlama: C ++, Python / Ruby ve PHP öğrenmelisiniz.
- Veritabanları: MySQL ve MSSQL uzmanlığı hakkında emek harcayın, internette ve udemy'deki kurslara bakabilirsiniz.
- İşletim sistemleri: Linux'un açık dünyası size birçok şey öğretecek. Windows’un karanlık yanlarını bile…
Penetration Test Nedir?
Penetration Test’in bizdeki anlamı “Sızma Testi”’dir. Penetration Test’in amacı bir sistemde var olan açığı bulmak, olan açığı sömürmek ve raporlamaktır. Penetration Tester dediğimiz kişilerin de kendi çalışma alanları vardır. Yani kimi “Web Uygulama Sızma Testi” yapar kimi de “Network Sızma Testi” yapar. Anlayacağımıza göre Penetration Test çoğul bir kavramdır.
Penetration Test’te Süreç nasıl işler?
Sızma testlerinde testi yaptırmak isteyen (Birey, Firma) bir saldırganın gözünden olaylara bakar. Yani bir saldırgan gibi sistemi sistemi test eder, açıkları listeler ve exploit etme aşamasına gider. Son olarak rapor hazırlanır ve firmaya teslim edilir. Bu raporlarında çeşitleri vardır. Örnek verirsek, yöneticiye ayrı rapor, çalışanlara ayrı raporlar verilir. Bu testi yapan firmaya veya test yapan firmaya bağlı olabiliyor.
Penetration Test yapan firma, testi yapacağı firmaya göre strateji oluşturur. Bunun sonucunda ne tür bir test stratejisiyle ilerleyeceği belli olur.
Örnek olarak;
• Firmadaki Yazılımlar
• Ağ Altyapısı
• Tüm sistem alt yapısı
gibi stratejiler oluşturulur. Bunlar konuşular planlar yapılır ve belli bir süre içerisinde sistemler test edilir. Firmanın alacağı riskler, yapacakları testin zararlarını üstlenip üstlenmeyeceği, veri kaybı olması durumunda testi yapan firmanın sorumluluk almayacağı gibi meseleler konuşulur. Sonuçta yapılacak test çeşidine göre de stratejiler geliştirilir.
Günümüzde genel olarak yapılan testler Sızma Testleri şunlardır;
• Network Sızma Testleri
• Wireless Sızma Testleri
• DDOS Sızma Testleri
• Web Uygulama Sızma Testleri
• Sosyal Mühendislik Sızma Testleri
• Mobil Sızma Testleri
• Voip Sızma Testleri
• Lan Sızma Testleri
Görüldüğü gibi bir çok test çeşidi bulunmakta. Firma yada kişisel küçük kurumlar bunlardan dilediği testi yaptırabilirler.
Penetration Test, kısaca Pentest oldukça önemlidir. Firmalar daha yeni yeni Pentest kavramını öğrenip, bilinçlenip testlerini yaptırıyorlar.
Penetration Test işleminde genel olarak izlenmesi gereken yollar bulunmakta.
• Keşif
• Host Keşfi
• Bilgi Toplama (Aktif, Pasif)
• Port Tarama
• Ağ Analizi
• Vullnerability Assessment
• Exploiting
• Yetki Yükseltme
• Sistemde İlerleme
• Raporlama
gibi yollar izlenebilir. Bunlar daha önce dediğim gibi değişiklik gösterebilir.
Firmanın bu testleri hangi zaman aralıklarında yaptıracağının da önemi büyüktür. Günler geçtikçe yenilenen uygulamalar, kurulan yazılımlar, yapılan ağ ayarları gibi değişiklikler ve yenilikler ile yeni zafiyetler ortaya çıkabilir. Bu sebeplerden dolayı firmalar belli sıklıklarla sızma testi hizmeti almak mecburiyetinde kalabiliyor.
Penetration Test’in çeşitleri vardır.
• Siyah Kutu
• Beyaz Kutu
• Gri Kutu
Siyah Kutu
Siyah kutuda test yapılacak firma ve sistem hakkında herhangi bir bilgi sahibi olunmadan test gerçekleştirilir. Yani bir Hacker gözünden sistemde zafiyetler aranır ve sisteme giriş sağlanır.
Beyaz Kutu
Bu testte firma, test yapacak firma ile birçok bilgiler paylaşır ve buna göre işlemler gerçekleştirilir. Genel olarak bunun nedeni firmada çalışanın veya önceden çalışmış olan bireylerin yapabileceği saldırılar gözlemlenir ve ne tür kayıplar verebileceği tespit edilir.
Gri Kutu
Gri kutu ise, beyaz kutu ve siyah kutu karışımı bir test diyebiliriz. En belirgin farkı ise beyaz kutudaki gibi firma detaylı bilgi vermez. Bu test düşük rütbedeki kişilerin verebileceği zararları gözlemlemek amacıyla yaptırılır.
Penetration Test işlemlerinde en çok kullanılan dağıtım Kali Linux’tur. Kali Linux bilindiği gibi içerisinde birçok araç bulundurmakta. Büyük firmalar dahil çoğunlukla Kali Linux içerisindeki araçlar kullanılmaktadır.
Kali Linux bu sayede Penetration Test işlemlerini 1 adım ileri taşımaktadır.
Konu biraz uzun oldu, konuyu isteğiniz doğrultusunda devam niteliğinde yeni bir konu atabilirim. Konu altında belirtebilirsiniz.
