Etkinliklerde,Sosyal medyada,günlük hayatta sıkça karşılaştıgımız soru :
“Siber güvenlik alanında ilerlemek istiyorum, ne yapmalıyım?”
İlk olarak kendinize şunu sormalısınız, neden siber güvenlik alanıyla ilgileniyorsunuz veya bu alanda bir kariyer hedefi düşünüyorsunuz? Burada ufak bir ayrıntı var, kimisi az buçuk eğitim veya etkinlikleri takip ettikten sonra bu alanda ilerlemek istediğini söylüyor ama bazı öğrenciler de hiçbir fikri olmadan robotik bir biçimde alıyor bu kararı.
Mesela Ben Adli Bilişim Mühendisliği öğrencisi olarak,adli bilişimden ziyade siber güvenliğe merak salmış durumdayım ve kendimi bu alanda geliştiriyorum.Bölümüm öğrencileri arasında da ne adli bilişime ne siber güvenliğe ilgisi olmayan bir çok kişi mevcut. Yani demek istediğim bu iş ilgi merak meselesi.Bu işin bölümünü bile okuyor olsan bu o işle ilgileneceğin anlamına gelmiyor . Ve bizim işimiz araştırmadan merak etmeden yürüyecek bir iş değil.
Son zamanlarda “Hacker gibi görünmek”, çağın sanal vebası olmuş durumda. Siyah terminal üzerinde yeşil komutların dökülmesi, bir traceroute komutu çalıştırsanız bile yanınızda o an sizin ne yaptığınızla ilgili en ufak fikri olmayan kişilerin “vaay” moduna girmesi, kişiyi tatmin ediyor. Özünde “illegal” bir iş olan bilgisayar korsanlığı teriminin karşı tarafa verdiği tedirginlik, kişiye kazandırdığı “cool” hava, teknoloji cahili insanların sosyal medya hesaplarını ele geçirme ihtimali gibi etmenler ön planda oluyor. Ancak bir yerleri hackleyerek para kazanabileceğini düşünenler (illegal eylemleri hariç tutuyorum), mesleğe atıldıklarında aslında işin yapısının bu olmadığını görüp hayal kırıklığına uğrayabiliyorlar, bunun örnekleri mevcuttur. 0-day üzerine AR-GE yapanlar haricinde hiçbir firma size “Hadi aslanım şurayı hackle sana 10 bin lira prim” demez veya maaşınızı bu belirlemez. Ayrıca Türkiye’de öğrencilerin siber güvenlik sektörüne olan bakış açısı genellikle sızma testlerinden ibaret. Peki tablonun aslı nasıl?
Biz teknik tarafa yönelik konuştuğumuz için, ortadaki tabloyu baz alalım. Şimdi bir düşünün, Türkiye’de kaç firma bu şekilde bir iş ayrımı yapıyor? Reverse Engineer veya Cryptanalyst arayan kaç firma gördünüz Türkiye’de? Eğer bir firma sizi “Security Engineer” olarak alıyorsa şayet; pentest, exploitation, reverse engineering, malware analysis vb. konuların hepsini bir şekilde biliyor olmanız gerekiyor. Elbette istisnai ilanlar var, genelleme yapıyorum.
Burada bir konuyla ilgili de sitemde bulunmak istiyorum. Arkadaşlar, bilişim sektörü bundan ibaret değil. Yapay zeka, veri madenciliği, big data, DevOps, oyun yazılımcılığı, gömülü sistemler, bulut bilişim, sanallaştırma gibi devasa alanlar da var ama bu meslekleri henüz insanların ağzında duymuş değiliz. Bence insanları siber güvenlikle ilgili gaza getirmeden önce oturup düşünmekte fayda var. Ülkemizde son zamanlarda etkinlikler ve eğitimler arttı, hatta öyle bir hale geldi ki sanki firmalar bu konuyla ilgili bir yarış içerisindeler. “X bölgesinin en büyük bilişim güvenliği konferansı” yazısını görmekten gına geldi bana şahsen. Tamam etkinliklerin olması güzel bir olay ama bir zaman sonra kalifiye olan ve olmayanların oranı absürt olacak.
“Ben hepsini öğrenirim” düşüncesinden sıyrılın, bir alanda uzmanlaşmak, beş alanda fikir sahibi olmaktan iyidir bana göre.
Tam olarak ne yapmak istediğinizi belirledikten sonra kendinizi bilgiye odaklamalısınız. Bu kişinin algılama ve öğrenme kapasitesine göre değişkenlik göstermekle birlikte, ne olursa olsun bence yapılması gereken ilk iş okumak olmalı. Türk insanı okumayı pek sevmiyor, çabuk sıkılıyor ama naçizane tavsiyem kaliteli yabancı kaynakları kullanmanız yönünde. Belki işin başında bu biraz ağır gelecek ama bunu hafifletmek isterseniz de Türkçe makale ve kaynaklarla ön bilgi tadında tecrübe edinebilirsiniz. Okumakla da iş bitmiyor; “oku, uygula, başarısız ol, tekrar uygula, tekrar başarısız ol … başar” şeklinde ilerleyin, kendinizi zorlayın.
Kitap tavsiyesi olarak Amazon’daki kitapların okur görüşlerini dikkate alın, bu kitapları satın alabileceğiniz gibi, beklemek istemiyorsanız birçoğunu e-book olarak da temin edebilirsiniz.
Para ödeyemeyecekseniz bile ücretsiz ulaşabileceğiniz videolu eğitim platformları mevcut, Cybrary meşhur olanlarından. Bu tip siteleri takip edebilirsiniz.
Capture the Flag dediğimiz siber güvenlik yarışmalarına katılın. Temel bilgi düzeyiniz varsa da katılın, sonuncu olun, bunun bir önemi yok, bugün yenildiyseniz yarın daha iyi yenilirsiniz. Bütün CTF’lere ulaşmak için:
https://ctftime.org/event/list/upcoming
adresini takip edebilirsiniz.
“Kali Linux uzmanlığı” diye bir terim yok, varsa anlamsız Kali sevdanızdan vazgeçin.
Aylık uygun fiyata bulabileceğiniz sitelerden sunucu kiralayın, kendi Lab ortamınızı kurmayı deneyin veya Vulnhub gibi sitelerden hazır boot2root imajlarını indirerek bunların üzerinde çalışın.
Sektörün şaklabanı olmuş, daha eğitim verdiği yerin güvenliğinden bihaber ama kendisini “siber güvenlik araştırmacısı” olarak tanımlayan değişik insanlardan uzak durun. (Öyle tuhaf insanlara denk geldimki daha bu yaşımda bu sektörde,buyüzden bunu söylüyorum)
Maalesef bu sektör Türkiye’de yaş itibariyle o kadar ayağa düştü ki, bu alanda çalışan bir kesim, kendisini “hacker” olarak tanımlıyor, bir kişi kendisini açıkça “hacker” olarak tanıtıyorsa %99 ihtimalle değildir, bunlardan da uzak durun, size büyük olasılıkla bir şey kazandırmayacaklar. Yine burada ufak bir parantez açmak gerekirse, herhangi bir sosyal medya hesabında “hacker” kalıbını kullanan “herkesi” işaret etmiyorum, gayrıresmi olarak sırf eğlencesine elbet kullanılabilir, buradaki iğneleme daha çok ergen ruhlu kişilere.
Son olarak cümlelerimi Stallman abimiz “hacker” tanımıyla ilgili söylediği şu cümleyle bitirmek istiyorum :
“It means someone who enjoys playful cleverness, especially in programming but other media are also possible.”
Yer yer Deniz parlak abimin cümlelerinden faydalandıgım makaleme burada son veriyorum.
Yarın ise
Türkiye’de aktif olarak bu sektörün içinde olan, tanınan, bana göre takip edilmesi ve gerektiğinde danışılması gereken kişilerin listesini paylaşacağım iyi çalışmalar..