Penetration Tester Olmak
Daha önceden pek çok kişi zaten söyledi güvenlikçi olmak sadece birkaç teknik konuyu iyi bilmek ya da birkaç kitap okumak değil daha çok beynin nasıl çalıştığı, bir soruna nasıl yaklaşıldığı ve olaylara bakış açısı ile ilgili. Bunun yanında bir çok başka meslekte de gerektiği gibi gündemi takip etme, odaklanma ve havadaki kokuları alabilme de gerekli meziyetlerden.
Bir güvenlik uzmanının ya da daha spesifik olarak penetration tester’ ın bir dizi özelliğe ihtiyacı var. Bu özelliklerin bir kısmı teknik, ve teknik şeyler öğrenilebilir ama bir kısmı da doğuştan gelen huylar ve muhtemelen ne yaparsanız yapın öğrenemeyeceğiniz ya da gerçekten öğrenmesi seneler sürecek şeyler.
Konuyu burada hemen “güvenlikçi oılunmaz, güvenlikçi doğulur(!)” a bağlamak istemiyorum, çünkü durum bu değil. İddialara göre Mehmet Akif Ersoy demiş ki “Şiirin %5 ilham, %95 çalışmaktır”. Ben de bu şekilde düşünüyorum, dolayısıyla %5 + %95 e erişince Mehmet Akif Ersoy olunuyor.
Yazacaklarımın bazıları gerçekten ölümcül bazıları ise sadece işinizde daha iyi olmanızı sağlayacak şeyler.
Güvenlikçi Olarak Yaşamak, Güvenlikçi Olarak Düşünmek
Yapmak değil, yıkmak
Kullanmak değil, Suistimal etmek
Derinlemesine Bilgi
Paranoya
Tutku
İletişim Becerisi
Okuma
Penetration Testing, Güvenlik Uzmanı ve Vulnerability Assessment
Yazının detaylarına geçmeden önce bazı terimleri temiz şekilde ifade etmek gerekir.
Penetration Testing (Pen Test)
Bir sistemi dışarıdan genelde ekstra hiçbir ekstra bilgi sahibi olmadan güvenlik açıklarına karşı test etmek ve bu açıkları mümkün olduğu kadar exploit etmek.
Vulnerability Assessment (VA)
Aynı penetration testing gibidir ama açıklar exploit edilmez, burada dikkat edilmesi gereken bir nokta var ki Vulnerability Assessment daha çok false positive verecektir ve açığın gerçek etkisini ortaya koymayabilir.
Mesela test edilen sistemdeki Buffer Overflow açığı olan bir SMTP server varsa ama karşıdaki sistem x64 ise ve bu açık x64 da geçerli değilse Vulnerability Assessment bunu açık olarak direk kabul edecektir ama gerçekte bu açık exploit edilemeyeceğinden direk bir risk taşımamaktır. Buna rağmen eski versiyon bir yazılım bulundurmak genelde iyi bir fikir olmadığından VA’ ın sonuçları her şekilde işe yarayacaktır.
Güvenlikçi / Güvenlik Uzmanı
Güvenlik Uzmanı çok geniş bir terim genelde şu iki anlamda kullanılır:
Bir sistemin güvenliğini sağlamadan sorumlu kişi.
Güvenlik işini bilen kişi.
İroniktir ki genelde güvenlikçikler sistemleri korurlar Penetration Testerlar gibi saldırmazlar ama bu grubun ikisi de Güvenlikçi, Güvenlik Mühendisi, Güvenlik Uzmanı diye geçebilir.
Ek olarak bazı güvenlikçiler kendi sistemlerini test etmek için kendi içlerinden kendi sistemlerine saldırganmış gibi de test edebilirler. Bu kişiler genelde iki rolüde üstlenmiş olurlar. Not düşmek lazım bu aynı kendi programınızda “bug” aramak gibidir, yani muhtemelen iyi sonuçlar vermeyecektir. Yazılımın sahibi olarak yazılımın zaten doğru oldu varsayımı ile yola çıktığınızdan genelde önünüzdeki sorunları bile göremeyeceksinizdir.
Güvenlikçi Olarak Düşünmek
Polisiye filmlerdeki klasik muhabbetlerden biri “profiling” dir yani saldırganın profilini çıkartabilmek. Buradaki en büyük klişe ise bir dedektifin saldırgan gibi düşünmesidir. Ne kadar klişe olsa da bu gerçekten saldırgana ulaşmanın en iyi yoludur ve güvenlikçi de aynı periyoddan çok daha güçlü şekilde geçer.
Çünkü bir polis gerçekte saldırgana ulaşmak için kimseyi öldürmez ama güvenlikçi siteye girer, exploit eder, database’ i indirir, reverse shell’ ine erişir. Gerçekten suçu işler, doruğa çıkar ve iner. Bu gereksinim güvenlikçinin içerisinde saldırgan kimliğinin bire bir yaşamasını sağlar.
Bilinen bir gerçek bir çok büyük güvenlik firmasında çalışan kişilerin eski suçlu hackerlar olduğudur.
Örnek isterseniz Kevin Mitnick’ in kendisi ya da eski @stake’ in L0pth Heavy Industries hacker grubunda gelen tayfası güzel bir örnek olacaktır. Bu örneklerin yanında diğer bir çok benzer güvenlik sektöründe çalışan kişinin de karanlık bir mazisi vardır. Bu arada not düşmek gerekir ki bu furya değişiyor, yazının ilerisinde ona değineceğim.
O zaman güvenlikçi saldırgan gibi düşünmelidir, Saldırganın motivasyonu nedir?
Para,
Karşıdaki sistemi kırıp elde edeceği getiri (Kredi Kartı vs.)
Şan / Şöhret,
Cyber Grafiti veya benzeri gösteriler, Saldırgan sistemi kırabildiğini tüm dünyaya gösterir
Ego Tatmini,
Saldırgan karşıdaki sistemi kırıp kendisinin sistemin geliştiricilerinden daha iyi olduğuna inandırır, ek olarak kırılamayanı kırmış yeni bir şey yapmıştır.
Peki aynı durumda penetration tester ne yapmaktadır, onun motivasyonu nedir?
Para,
Sistemi kırmak, kontrolleri geçmek güvenlikçinin pozisyonun koruması ya da daha iyi bir tester olup daha çok maaş alması demek.
Şan / Şöhret,
Konu ar-ge olunca durum tamamen aynıdır, güvenlikçi yayınladığı yeni bir bir makale, araştırma yazısı ile o çevrede ünlenecektir, aynı şekilde saldırının başarısı ile de firma ya da kendi içerisinde bulunduğu grup içerisinde ünlenecektir.
Ego Tatmini,
Güvenlikçi bu noktada saldırgan ile birebir aynı duyguları paylaşır.
Görüldüğü üzere güvenlikçi ile saldırgan tamamen aynı duygular içerisindedir, dolayıyla penetration tester’ lar dünyadaki saldırgan rolünü direk olarak oynayan sayılı mesleklerin birini icra etmektedirler.
Saygılar..
Penetration Tester Olmak
Bilgisayarınızı Her Türlü Saldırıya Karşı Korumak İçin Yapmanız Gerekenler
-
megabros
- Mesajlar: 0
- Kayıt: Sal Şub 24, 2026 11:31 am
- İletişim:
“Güvenlik / Security Makaleleri” sayfasına dön
Geçiş yap
- Off-Topic
- ↳ Genel
- ↳ Geyik Muhabbet Ve Komedi
- ↳ Fıkralar
- ↳ Resimler & Arkaplanlar
- ↳ Video & Flash Dosyaları
- ↳ Anket
- ↳ Telefon &Tablet
- ↳ Symbian Telefonlar
- ↳ Gsm Oyunları
- ↳ Gsm Programları
- Yaşama Dair
- ↳ Elektronik Kitap & E-Book
- ↳ Edebiyat (Şiir)
- ↳ Sağlık
- ↳ Sinema
- ↳ Dvix-Film
- ↳ Online Sinema
- ↳ E-MULE
- ↳ Yabancı Diziler
- ↳ Yemek Tarifleri
- ↳ Eğitim Dünyası
- ↳ Ödevler
- ↳ Mühendisler dünyası
- ↳ Üniversiteler & Kampüsler
- ↳ İngilizce
- ↳ Genel Kültür
- ↳ Felsefe ve Psikoloji
- ↳ Öğretmenler ve Adaylar
- ↳ İlköğretim ve Lise
- Müzik Dünyası
- ↳ Müzik Genel
- ↳ Şarkı sözleri istek
- ↳ Enstrümanlar
- ↳ Müzik Yardım
- ↳ Konser Organizasyon
- ↳ Video Klipler
- ↳ Yerli Klipler
- ↳ Yabancı Klipler
- ↳ Pop
- ↳ Diğer Müzik Türleri
- ↳ Rock ve Metal
- ↳ Rap ve Hipop
- ↳ Techno ve Trance
- ↳ Arabesk ve Fantazi
- ↳ Latin Dansları
- ↳ Salsa
- ↳ Bachata
- Haberler
- ↳ Güncel
- ↳ Bilim ve Teknoloji
- ↳ Magazin Haberleri
- Spor
- ↳ Futbol Genel
- ↳ Fenerbahçe & Galatasaray
- ↳ Trabzonspor & Beşiktaş
- ↳ Bahis & İddaa
- ↳ Basketbol
- ↳ Diğer Branşlar
- ↳ Av,Avcılık ve Silahlar
- Bilgisayar Güvenliği / Computer Security
- ↳ Bilgisayar Güvenliği
- ↳ Dosyalar
- ↳ Güvenlik / Security Haberleri
- ↳ Güvenlik / Security Makaleleri
- ↳ Exe & DLL Arşivi
- ↳ Zarar veren Yazılımları temizleme
- ↳ Beyaz şapka
- ↳ Güvenlik Programları, Güvenlik ve Güvenlik açıkları
- Bilgisayar
- ↳ Windows İşletim Sistemleri
- ↳ Programlar
- ↳ AIO Programlar
- ↳ Portable Programlar
- ↳ Yazılı ve Görsel Program Anlatımları
- ↳ Chat & Msn Programları
- ↳ Skype Genel
- ↳ MSN Genel Bölüm
- ↳ Avatar & Smiley
- ↳ MIRC Genel
- ↳ İkinci el ve 0 Parçalar
- ↳ VoIP
- ↳ Pardus / Linux İşletim Sistemleri
- Donanım & Hardware
- ↳ Donanım
- ↳ Driver & Firmware
- ↳ Network
- Webmaster
- ↳ Webmaster Genel
- ↳ Site Tanıtım
- ↳ Web Hosting
- Oyun
- ↳ Oyun Download
- ↳ Oyun yamaları
- ↳ Oyun Hileleri
- ↳ Oyun Muhabbetleri ve Yardımları
- ↳ Online Oyunlar
- ↳ Travian Online
- ↳ Knight Online
- ↳ Silkroad Online
- ↳ Konsollar Ve Emulatörleri
- Forum
- ↳ Forumlarla İlgili Duyurular/Sorularınız/Sorunlarınız
- ↳ Silinen Konular
Kimler çevrimiçi
Bu forumu görüntüleyen kullanıcılar: Hiç bir kayıtlı kullanıcı yok ve 1 misafir