Etik hack veya etik hackleme, yazılım ve sistemlerin siber saldırılara karşı güvenliğini test etmek için gerçekleştirilen yöntemlerden biridir.

Etik Hack Nedir?

Siber saldırganlar veya diğer bir adıyla hackerlar, bilgisayar sistemlerine sızmak ve zarar vermek için farklı türde saldırı yöntemleri kullanır. Etik hack ise kötü niyetli hackerlar ile aynı yöntemleri kullanarak güvenlik amacıyla ağ ve sistem güvenliğini test etme çalışmasıdır.

Siber güvenlik uzmanları tarafından alınan önlemlerin yeterli olduğu düşünülse de siber saldırganlar her gün farklı teknik ve yöntemler ile saldırılarını şekillendirir. Bu sebeple etik hackleme ile tıpkı bir siber saldırgan gibi düşünen ve davranan uzmanlar tarafından sistem ve ağların sınanması mantıklı bir adımdır. Bu çalışmayı gerçekleştiren kişiler beyaz şapkalı hacker olarak tanımlanır. Kötü niyetli, siyah şapkalı hackerların aksine zarar vermeyi ve çıkar sağlamayı değil, güvenlik açıklarını tespit ederek kurumların önlem almasına yardımcı olmayı amaçlar.

Etik Hackleme Prensipleri

Güvenlik açıklarının tespit edilmesi üzerine çalışan beyaz şapkalı hackerlar, çalışmaları süresince bazı kurallara uyarak hareket ederler. Temelinde sisteme zarar verebilecek davranışlarda bulunmanın yer aldığı bu kurallar, hedef kuruluşun izninin olması, zarar verebilecek davranışlarda bulunmamak gibi maddelerden oluşur. Söz konusu prensipler, beyaz şapkalı hackerları, siyah ve gri şapkalı diğer hacker türlerinden ayıran noktadır. Detaylarına bakacak olursak:

• Etik hackleme faaliyeti, hedef kuruluşların bilgisi dahilinde gerçekleştirilir.
• Çalışan sistem üzerinde belirlenen kısıtlamalar çerçevesinde hareket edilir. Örneğin kuruluşlar kendileri için yüksek öneme sahip veya güvenliğinden emin olduğu sistemlerini bu çalışmanın dışında tutabilir.
• Beyaz şapkalı hackerlar, tespit ettikleri güvenlik zafiyetlerini şeffaf bir şekilde bildirmelidir. Keşfettikleri güvenlik açıklarını kendi çıkarları için kullanmak amacıyla saklı tutamazlar.
• Tespit edilen güvenlik açıkları ve elde edilen veriler tamamen gizli tutulmalıdır. Gerçekleştirilen etik hackleme çalışması sırasında ele geçirilen veriler başkalarıyla paylaşılamaz.

Etik Hacklemenin Aşamaları

Etik hackleme çalışması sırasında, beyaz şapkalı hackerlar belirli aşamaları takip ederek ilerler. Bu aşamalar şunlardır:

Araştırma

Etik hackleme çalışmasının ilk adımı olarak, güvenlik uzmanı beyaz şapkalı hackerlar, hedefleri hakkında elde edebildikleri kadar veriyi toplar. Bu veriler işletmede çalışan kişilerin bilgilerinden iş süreçleri hakkında bilgi toplamaya kadar oldukça çeşitlidir. Hackleme, sosyal mühendislik dahil birçok farklı yöntem üzerinden ilerler. Bu sebeple avantaj sağlayabilecek her türlü bilgiye ihtiyaç vardır.

Tarama

İkinci aşama taramadır. Bu aşamada hedef sistem ve ağın zayıf noktalarını tespit etmek için çalışmalar yürütülür. Çeşitli araçlar kullanarak IP adresleri ve kimlik bilgileri gibi değerli verileri elde etmek ve ağdaki güvenlik zafiyetlerini çıkarlar doğrultusunda kullanmak için taranmasını kapsar.

Erişim

Erişim sağlama aşaması adından da anlaşılabileceği gibi elde edilen verilerin ve bulunan güvenlik zafiyetlerinin, ağa erişim sağlamak için kullanılmasıdır. Hedefin güvenlik savunmasının aşılmasıyla sisteme sızma çalışması gerçekleştirilir. Fidye, casus yazılım veya diğer çeşitli zararlı yazılımlar kullanılarak hangi derecede erişim sağlanabileceği sınanır.

Temizlik ve Raporlama

Son aşamada ise beyaz şapkalı hackerlar, açıklarını tespit ettikleri ve sızmayı başardıkları ağ ve sistemi, erişim sağladığını gösterecek tüm verileri temizleyerek ilk haline çevirir. Sonrasında ise tespit ettiği güvenlik açıklarını ve bu açıkların bir an önce giderilmesi için sunduğu önerileri rapor haline getirerek çalıştığı kuruluşa sunar.