Hacking Güvenliğini Anlamak:
Bir çağı kapatıp bir diğerini başlatan bilgisayar teknolojisinin en büyük icadıdır internet. 1950 lerde ARPANET ile başlayan ve artık günümüzdeki modern INTERNET modelini alan bu büyük teknoloji artık hepimizi evinde, cebinde, iş yerinde, arabasında ve gün geçtikçe nefes alınan her yerde olmaya başlamıştır.
İnterneti bu günlere getiren en önemli unsur kolaylığı, rahat kullanım imkanı ve koca dünyayı ufacık bir bilgisayarın içine sığdırabilmesidir. Artık bir çok insan işlerini internet üzerinden yürütmekte, alışverişlerini kredi kartını kullanarak internet üzerinden siparişlerini vermekte, dünyayı internetten takip etmektedir.
Bu kadar büyük bir teknolojinin kusurları olacağı gibi bu kusurları sömürmek ve faydalanmak isteyen insanlarda olacaktır elbette. İnternet tüm dünyanın her köşesindeki bilgiyi evimizin içine sokmakla kalmayıp, kötü niyetli insanların çok kolay bir şekilde kişilerin özel bilgilerine parasal kaynaklarına erişmelerine imkan sağlamıştır.
İlk başlarda fark edilemeyen bu tehdit zamanla büyüyerek küresel alandan çok büyük etkiler yapmıştır. Bir insan nasıl ki parasını güvenli olması için bir kasanın içinde saklıyor ise bilişim teknolojileri geliştikçe internetinde güvenli olması adına bazı güvenlik önlemleri geliştirilmiştir.
Gelişen hacking teknikleri güvenlik teknolojilerini de beraberine geliştirmiştir.
Güvenliğin altın kuralı şudur:
Nasıl saldırılacağını bilmeden kendini koruyamazsın.
Tüm sanal dünya temelde istekler (request) ve cevaplar (response) üzerine kuruludur.
Ve bütün sistem zayıflıkları bu karşılıklı ilişkiden ortaya çıkmaktadır. Sonuçta istek gönderen kişinin karşısında canlı düşünen bir varlık olmadığından bir çok isteğe karşı tek bir cevap gönderecektir. Ve bunu bilen biri nasıl cevap almak istiyorsa o şekilde istek gönderecektir.
Bu belki şimdi size biraz karışık geldi ama ilerde nasıl olduğunu anlayacaksınız.
Bir güvenlik uzmanı gelicek istekleri ve verilicek cevapları iyi bilmeli ve buradan doğacak güvenlik açığını görebilmelidir.
Mesela:
Eğer siz PHP kodlama bilgisine sahip değilseniz PHP portallarda doğabilicek açıkları anlayamaz tahmin edemez ve yorumlayamazsınız. Aynı şekilde ASP bilginiz yoksa bir asp portalında SQL Enjeksiyonu nasıl yapılır veya nasıl engellenir bunları anlayamazsınız.
Eğer C dilinden haberiniz yoksa Linux sistemlerin güvenlik açıklarını bulamazsınız.
Eğer bir Windows işletim sisteminin içini dışını bilmiyorsanız saldırılara her zaman açıksınızdır.
Eğer TCP/IP nin ne olduğunu mantığını iyi kavrayamamışsanız, internetin katmanlarının hangi isteğe nasıl cevap verdiklerini bilmiyorsanız gelecek sistem saldırılarını DDOS saldırılarını Exploit saldırılarını tespit edemezsiniz.
Veya eğer İnternet Explorer in çalışma mantığını bilmiyorsanız, trojenleri, web sayfalarından gelecek saldırıları algılayamazsınız.
Kısacası :
Bir defecer her şeyi bilmek zorunda değildir. Ama bir güvenlik uzmanı harşeyi bilmek zorunda dır. Hacker tek bir bildiği yöntemle binlerce site hackleyebilicek iken eğer sistem yöneticisi her şeyi bilip, bir tek bilmediği yöntemle defece edilebilir. Bir güvenlik uzmanı yapılan tüm saldırı türleri bilmek zorundadır. Bunları bilmeden sistemini koruyamaz.
Güvenlik başlı başına bir sanattır.
Güvenlik asla yerinde sayan bir iş değildir. Gün geçtikte teknoloji geliştikçe yeni hacking teknikleri ortaya çıktıkça gelişimini sürdürecektir. Dün kullanılan bir önlem ertesi gün aşılmış ve işe yaramaz hale gelmiş olabilir.
Bu sebeple bir güvenlik uzmanının bu gelişimi takip edip ayak uydurabilmesi için devamlı olarak yapması gereken şeyler vardır:
1) Bir güvenlik uzmanı mutlaka güncel açıkları takip etmek zorundadir. Yeni çıkan sistemleri, var olan sistemlerin güvenlik yamalarını, sistemlerdeki tespit edilmiş güvenlik açıklarını gün ve gün takip etmek ve buna göre önlemini almak zorundadir.
2) Bir güvenlik uzmanı network teknolojilerini iyi takip etmeli, yeni çıkan ürünleri özelliklerini bilmeli, WiFi ve LAN ağlarının analizini iyi yapabilicek olmalıdır.
3) Ve bütün bunların yanından bol bol egzersiz yapmalı, penetration testler uygulamalı, ve kendi sistemine öncelikle kendisi girmeye çalışmalıdır.
Güvenliğin temel anlayışı zaten budur. Kişi başkasından önce kendisi test etmelidir sistemini.
Yani önce nasıl saldırılıcağını iyi bilmelidir ki başkası ona saldırmadan önlemini alabilsin.
Bu dokümanda sizlere Hacker ların temelde hangi teknikleri kullandıkları hangi araçlara başvurdukları nasıl bir yol izlediklerini gösterip fikir vermek için yazılmıştır.