İçeriğe geç

Siber güvenlik kariyeri üzerine karalamalar..

Merhabalar,

Eğitim ve etkinliklerde, sosyal ağlardan veya mail yoluyla gelen, sık karşılaştığım bir soruyla ilgili birkaç kelam etmek istedim.

“Siber güvenlik alanında ilerlemek istiyorum, ne yapmalıyım?”

Öncelikle net bir şekilde şunu söylemeliyim ki, ben siber güvenlik veya bilişim güvenliği uzmanı değilim, mesleki olarak bu alanda da çalışmıyorum, sadece hobi olarak ilgileniyorum. Haliyle bilirkişi olarak “şunları kesinlikle yapın” diyecek yetkiyi kendimde görmüyorum, ancak ortaokuldan beri bu dünyanın içerisinde bir şekilde bulunan ve yaklaşık iki senedir aktif şekilde iş dünyasının çeşitli birimlerini görmüş birisi olarak en azından “yapılmaması” gerekenleri ve “yapılsa iyi olur” diyeceğim eylemleri söyleyebileceğimi düşünüyorum.

İlk olarak kendinize şunu sormalısınız, neden siber güvenlik alanıyla ilgileniyorsunuz veya bu alanda bir kariyer hedefi düşünüyorsunuz? Burada ufak bir ayrıntı var, kimisi az buçuk eğitim veya etkinlikleri takip ettikten sonra bu alanda ilerlemek istediğini söylüyor ama bazı öğrenciler de hiçbir fikri olmadan robotik bir biçimde alıyor bu kararı.

“Hacker gibi görünmek”, evet, çağın sanal vebası. Siyah terminal üzerinde yeşil komutların dökülmesi, bir traceroute komutu çalıştırsanız bile yanınızda o an sizin ne yaptığınızla ilgili en ufak fikri olmayan kişilerin “vaay” moduna girmesi, kişiyi tatmin ediyor. Özünde “illegal” bir iş olan bilgisayar korsanlığı teriminin karşı tarafa verdiği tedirginlik, kişiye kazandırdığı “cool” hava, teknoloji cahili insanların sosyal medya hesaplarını ele geçirme ihtimali gibi etmenler ön planda oluyor. Ancak bir yerleri hackleyerek para kazanabileceğini düşünenler (illegal eylemleri hariç tutuyorum), mesleğe atıldıklarında aslında işin yapısının bu olmadığını görüp hayal kırıklığına uğrayabiliyorlar, bunun örnekleri mevcuttur. 0-day üzerine AR-GE yapan ve / veya Bug Bounty programı olan firmalar haricinde hiçbir firma size “Hadi aslanım şurayı hackle sana 10 bin lira prim” demez veya maaşınızı bu belirlemez. Ayrıca Türkiye’de öğrencilerin siber güvenlik sektörüne olan bakış açısı genellikle sızma testlerinden ibaret. Peki tablonun aslı nasıl?

Biz teknik tarafa yönelik konuştuğumuz için, ortadaki tabloyu baz alalım. Şimdi bir düşünün, Türkiye’de kaç firma bu şekilde bir iş ayrımı yapıyor? Reverse Engineer veya Cryptanalyst arayan kaç firma gördünüz Türkiye’de? Eğer bir firma sizi “Security Engineer” olarak alıyorsa şayet; pentest, exploitation, reverse engineering, malware analysis vb. konuların hepsini bir şekilde biliyor olmanız gerekiyor. Elbette istisnai ilanlar var, genelleme yapıyorum.

Burada bir konuyla ilgili de sitemde bulunmak istiyorum. Her eğitimde öğrencilere soruyorum ve genelde şaşmıyor, sınıfın yarısından fazlası bu alanda ilerlemek istiyor. Arkadaşlar, bilişim sektörü bundan ibaret değil. Yapay zeka, veri madenciliği, big data, DevOps, oyun yazılımcılığı, gömülü sistemler, bulut bilişim, sanallaştırma gibi devasa alanlar da var ama bir kişi haricinde şu alanların birisinde ilerlemek istediğini söyleyen bir öğrenciye henüz denk gelmedim. Bence insanları siber güvenlikle ilgili gaza getirmeden önce oturup düşünmekte fayda var. Ülkemizde son zamanlarda etkinlikler ve eğitimler arttı, hatta öyle bir hale geldi ki sanki firmalar bu konuyla ilgili bir yarış içerisindeler. “X bölgesinin en büyük bilişim güvenliği konferansı” yazısını görmekten gına geldi bana şahsen. Tamam etkinliklerin olması güzel bir olay ama bir zaman sonra kalifiye olan ve olmayanların oranı absürt olacak.

Bazı firmalara kalsa şu an Türkiye’ye bilmem kaç bin tane siber güvenlik uzmanı lazım. Hadi bunun gerçekten inanarak söylendiğini varsayalım, temel matematikten de mi yoksunsunuz? Basit bir araştırmayla her sene Bilgisayar – Yazılım – MIS – Elektrik/Elektronik – Matematik gibi bölümlerden mezun olan sayısı ve bilişim güvenliği alanında çalışan firmaların ortalama eleman sayılarına ulaşılabilir. Binlerce personel ihtiyacı olacağını söylemek komik, insanların aklıyla alay etmek bir nevi. Arz talep dengesi doğanın kanunudur, hele Türkiye gibi ekonomisi belirli bir çizgide olan ülkede bunu söylemeyin lütfen.

“Ben hepsini öğrenirim” düşüncesinden sıyrılın, bir alanda uzmanlaşmak, beş alanda fikir sahibi olmaktan iyidir bana göre.

Tam olarak ne yapmak istediğinizi belirledikten sonra kendinizi bilgiye odaklamalısınız. Bu kişinin algılama ve öğrenme kapasitesine göre değişkenlik göstermekle birlikte, ne olursa olsun bence yapılması gereken ilk iş okumak olmalı. Türk insanı okumayı pek sevmiyor, çabuk sıkılıyor ama naçizane tavsiyem kaliteli yabancı kaynakları kullanmanız yönünde. Belki işin başında bu biraz ağır gelecek ama bunu hafifletmek isterseniz de Türkçe makale ve kaynaklarla ön bilgi tadında tecrübe edinebilirsiniz. Okumakla da iş bitmiyor; “oku, uygula, başarısız ol, tekrar uygula, tekrar başarısız ol … başar” şeklinde ilerleyin, kendinizi zorlayın.

Kitap tavsiyesi olarak Amazon’daki kitapların okur görüşlerini dikkate alın, bu kitapları satın alabileceğiniz gibi, beklemek istemiyorsanız birçoğunu e-book olarak da temin edebilirsiniz.

Para ödeyemeyecekseniz bile ücretsiz ulaşabileceğiniz videolu eğitim platformları mevcut, Cybrary meşhur olanlarından. Bu tip siteleri takip edebilirsiniz.

Zorunlu staj haricinde gönüllü olarak kendinizi kabul ettirebilirseniz ücret beklentisi olmadan (ki son yasayla stajyere maaş vermek zorunluydu, burada bir esneklik var mı bilmiyorum) staj yapın, iş öğrenin. Ankara ve İstanbul’da birçok özel firma mevcut, kendinizi diğer öğrencilere göre biraz daha ileride gösterebilecek somut bilgi birikiminiz veya başarılarınız varsa, bu firmalarda staj yapmak ve ileride çalışmak inanın zor değil. Hatta hiçbir başarısı olmayan bazı düz tiplerin bile bu firmalarda çalışabildiklerine şahit olacaksınız.

Reklam yapmak gibi olmasın ama (Can abinin kulakları çınlasın), Prodaft/Invictus ekibinin başarılı bir staj programı var. Seçme ve öğretme aşamaları titizlikle ilerliyor. Hem bir şeyler öğrenip hem de keyifli bir staj süreci geçirmek için ideal diyebilirim. Eski stajyerler arasında şu an aktif olarak siber güvenlik alanında çalışmayan tek kişi (kendi isteğim doğrultusunda) benim, diğer arkadaşlar bu alanda çeşitli firmalarda kariyerlerine devam etmekteler.

Konferanslara ve eğitimlere katılın. Eskiden sadece İstanbul’da yapılan etkinlikler, artık üniversitedeki öğrenci grupları vasıtasıyla farklı illerde de yapılabilecek düzeye geldi ki benim memleketimde bile yapılabildiyse (Samsun/Çarşamba), başka bir yerde yapılamaması için bir sebep yok.

Capture the Flag dediğimiz siber güvenlik yarışmalarına katılın. Temel bilgi düzeyiniz varsa da katılın, sonuncu olun, bunun bir önemi yok, bugün yenildiyseniz yarın daha iyi yenilirsiniz. Bütün CTF’lere ulaşmak için:

https://ctftime.org/event/list/upcoming

adresini takip edebilirsiniz.

Teknik makaleleri okuyun ve uygulamaya çalışın.

“Kali Linux uzmanlığı” diye bir terim yok, varsa anlamsız Kali sevdanızdan vazgeçin.

Aylık uygun fiyata bulabileceğiniz sitelerden sunucu kiralayın, kendi Lab ortamınızı kurmayı deneyin veya Vulnhub gibi sitelerden hazır boot2root imajlarını indirerek bunların üzerinde çalışın.

Belirli bir seviyeye geldiğinizi düşündüğünüzde, OSCP veya türevi uygulama tabanlı sertifika sınavlarına katılın.

Sektörün şaklabanı olmuş, daha eğitim verdiği yerin güvenliğinden bihaber ama kendisini “siber güvenlik araştırmacısı” olarak tanımlayan gerzeklerden uzak durun.

Maalesef bu sektör Türkiye’de yaş itibariyle o kadar ayağa düştü ki, bu alanda çalışan bir kesim, kendisini “hacker” olarak tanımlıyor, bir kişi kendisini açıkça “hacker” olarak tanıtıyorsa %99 ihtimalle değildir, bunlardan da uzak durun, size büyük olasılıkla bir şey kazandırmayacaklar. Yine burada ufak bir parantez açmak gerekirse, herhangi bir sosyal medya hesabında “hacker” kalıbını kullanan “herkesi” işaret etmiyorum, gayrıresmi olarak sırf eğlencesine elbet kullanılabilir, buradaki iğneleme daha çok ergen ruhlu kişilere.

Bakınız Stallman abimiz “hacker” tanımıyla ilgili ne demis:

“It means someone who enjoys playful cleverness, especially in programming but other media are also possible.”

Unutmayın, başarı ne kadar gayret ettiğinizle doğru orantılı olarak artıyor, fark yaratmak istiyorsanız sıkı çalışın. Aşağıda isimlerini bulacağınız kişi ve toplulukları takip edin, uğraşıp ve Google kullanıp yine de işin içinden çıkamadığınız durumlarda bu kişilere danışın, sorun, birçoğu memnuniyetle sorularınıza yanıt verecektir. Aynı şekilde Linux/UNIX, AWS, Docker gibi konulara yönelik güvenlikle ilgili (veya ilgisiz) sorularınız olduğunda ben de elimden geldiğince cevaplarım.

Türkiye’de aktif olarak bu sektörün içinde olan, tanınan, bana göre takip edilmesi ve gerektiğinde danışılması gereken kişiler:

  • Can Yıldızlı
  • Bahtiyar Bircan
  • Fatih Özavcı
  • Gökhan Alkan
  • Kubilay Onur Güngör
  • Mert Sarıca
  • Osman Doğan
  • İbrahim Baliç
  • Süleyman Özarslan
  • Celil Ünüver
  • Kenan G (tbmnull)
  • Ziyahan Albeniz
  • Halil Öztürkçi

Adını unuttuğum kişiler varsa affola ama bir şekilde ilgili olan kişileri yazmaya kalksam en az 50 isim olur burada, o yüzden mümkün mertebe iş / eğitim / etkinlik / başarı gibi etmenlere göre bu kişileri yazmak istedim, subjektiftir, tartışılabilir. Bu liste haricinde yaptıkları çalışmaları başarılı bulduğum, yine takip edilmesi gereken bazı arkadaşlarımı da ayrı bir listeye almam gerekirse:

  • Halit Alptekin
  • Utku Şen
  • Mert Taşçı
  • Kadir Çetinkaya
  • Murat Yılmazlar
  • Ege Balcı
  • Hamit Abiş
  • Robin Dimyanoğlu
  • Hasan Emre Özer
  • Anıl Baran Yelken

isimlerini söyleyebilirim. Yine yazılması gereken birçok isim var elbette ama bu kişileri takip ettiğinizde zaten aynı network içerisinde bulunan kişilere de ulaşmış olacaksınız 🙂

Son olarak yaptıkları çalışmalarla, eğitim ve etkinliklerle özellikle öğrencilere büyük fayda sağlayan, bu alanda kazanım elde edilmek isteniyorsa takip edilmesi gereken toplulukları da listeleyip yazımı sonlandırıyorum.

  • Octosec
  • Blackbox Team
  • Canyoupwnme
  • AUCC

Başarılar.

Tarih:Genel

İlk Yorumu Siz Yapın

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

DenizParlak.