Siber Dünyanın Yasal Hackerları: Beyaz Şapkalılar

Küresel pandemi süreciyle birlikte dünya çapında artan dijitalleşme, siber saldırıların artmasına da zemin hazırladı. Son zamanlarda çoğalan bilgi kirliliği, insanları siber dolandırıcılıklara karşı daha savunmasız kıldı ve pek çok kişinin finansal kayıplar yaşamasına neden oldu. Peki dijital sistemlere sızarak gizli verileri çalanlar kimler?

Popüler kültürün ‘bilgisayar başındaki gizemli kapüşonlu kişiler’ olarak tasvir etmeyi pek sevdiği hackerların dünyası, tam da bu algı nedeniyle hep çok merak edilir. Bilgisayar başından hiç kalkmazlar mı, başka işleri yok mudur, nasıl gizlenirler?

Merakımızı cezbeden bu bilgisayar korsanları kendi aralarında ayrılıyor. Siyasi hedefleri olan hackerlar, kredi kartı bilgilerini çalmak gibi suç amacıyla hareket eden hackerlar, sadece keşif merakı, adrenalin bağımlılığı için herhangi bir sisteme sızmayı alışkanlık haline getirmiş hackerlar veya bu hackerların zararlı eylemlerini durdurmak için çalışan hackerlar. Hangi sınıfta yer aldıkları ise metaforik ‘şapkalar’ üzerinden ifade ediliyor. Western filmlerindeki iyi kovboyların beyaz, kötü kovboylarınsa siyah şapka takmasından yola çıkılarak, hackerlara ‘siyah şapkalı’ ya da ‘beyaz şapkalı’ deniliyor. Tabii hackerlar söz konusu olduğunda yelpaze geniş; bunun yeşili, kırmızısı, mavisi ve grisi de var…

Biz size siber saldırıları gerçekleştirmek yerine savunma amaçlı korsanlık yapanları, kişisel bilgilerimizi emanet ettiğimiz kurumların güvenlik sistemlerini güçlendirmeye çalışan beyaz şapkalı hackerları anlatacağız.

Beyaz şapkayı kim takıyor?

‘Siber alemin muhafızları’ ya da ‘etik korsanlar’ da denilen beyaz şapkalı hackerlar, renklerinden anlaşılacağı üzere siber dünyanın iyileri olarak kabul ediliyor. Yeteneklerini kötü amaçlarla değil; savunma gibi iyi ve etik amaçlar için kullanıyorlar. Etik hacklemenin ilk örneklerinden birinin, 1970’li yıllarda ABD Hava Kuvvetleri tarafından işletim sistemlerini test etmek amacıyla kullanıldığını söylersek herhalde kavram daha da netleşir. Beyaz şapkalı hackerlar, siber suçlularla benzer hatta aynı hackleme yöntemlerini kullanıyorlar. Ancak bunun için yetkili kurumlardan sertifika ve izinleri oluyor, bu da süreci tamamen yasal hale getiriyor.

‘Bilgisayar korsanı’ ifadesinin bir iş ilanında pozitif çağrışımlar yapmayacağını tahmin edebiliriz. Ancak konu beyaz şapkalılara geldiğinde bu, pek çok yeteneğe sahip geniş bir profesyoneller kulübüne işaret ediyor. Üstelik potansiyel işverenler anlamında seçenekler bir hayli fazla: Bilgisayar ve ağ güvenliği şirketleri, finans ve danışmanlık kurumları, emniyet ve istihbarat birimleri, hatta hükümetler beyaz şapkalılar için açık pozisyon bulunduruyorlar.

Etik hackerlar genelde güvenlik uzmanı olarak değerlendiriliyorlar. Bir sistemdeki hataları, güvenlik açıklarını bulmak ve bunları kapatmak üzere görevlendiriliyorlar. Bunun için genelde sızma testleri (penetration testing) denen yöntemi kullanıyorlar. Bunun dışında kusurları belirlemek için bağlantı noktalarını taramak, yama kurulumlarını incelemek ve sanal sunuculardan kaçınmak gibi teknik görev tanımları da bulunuyor. Yani beyaz şapkalı bir hacker aslında ironik bir şekilde, bir sistemi olası siber saldırılara karşı güçlendirmek adına işe alınıyor. Siyah şapkalı hackerların sistemlere nasıl erişebildiğini raporlayarak onları durdurmak için zamanında önlem alıyor.

Eğitim görüp beyaz şapka sertifikası alabiliyorlar

Sorumlulukları bu kadar önemli olunca beyaz şapkalı hackerların bilmesi gerekenler de artıyor. Saldırılarda kullanılan araç ve yazılımlar konusunda ustalaşmaları, güvenlik konusunda 1-0 önde olmaları gerekiyor. Bu da apayrı bir eğitim kolunun gerekliliğini getiriyor. Beyaz şapkalılar için halihazırda kurslar, online eğitimler ve sertifika programları var. Burada kriptoloji, programlama, sistem hackleme, oltalama saldırıları, zararlı yazılım, oturum ele geçirme, devre dışı bırakma, sızma testi, sistem izleme araçlarını etkin kullanma gibi teknik bilgiler veriliyor.

Türkiye’de de bazı kurumlar isteyen kişilere bu eğitimleri sunarak, daha sonra genel kabul gören CEH (Certified Ethical Hacker-Sertifikalı Etik Hacker) belgesini veriyor. Dahası Türk Standardları Enstitüsü (TSE) de Siber Güvenlik Eylem Planı kapsamında eğitim, sınav ve sertifika programları yürütüyor. Tablo böyle olunca kapüşonlu anonim kişiler klişesinden çıkan beyaz şapkalı hackerlar, bazı kurumlar için tam zamanlı birer çalışana dönüşüyor.

İşten eğitime, eğlenceden alışverişe tüm hayatımız dijital dünyaya bu kadar entegre olmuşken siber güvenliğe olan ihtiyaç da artıyor. İnternette geçirdiğimiz vakit fazlalaştıkça kişisel bilgilerimiz en değerli hazinemiz haline geliyor. Siz de bir beyaz şapkalı olmasanız bile siber saldırılara karşı neler yapabileceğinizi merak ediyorsanız ‘Ailenizi Siber Güvenlik Uzmanı Gibi Korumanın Yolları’ başlıklı içeriğimize göz atabilirsiniz.