Hacker Nedir? Sertifikalı Etik Hacker (CEH) Nasıl Olunur?

Hacker Nedir? Sertifikalı Etik Hacker (CEH) Nasıl Olunur?

6 Mart 2023
667
Yazılım / Güvenlik

CEH, Certified Ethical Hacker (Sertifikalı Etik Hacker) kelimelerinin kısaltmasıdır. CEH sertifikasyonu, bilgisayar ağı güvenliği alanında çalışan profesyonellerin siber güvenlik becerilerini geliştirmelerine yardımcı olan bir sertifikasyon programıdır. Bu program, etik hacker tekniklerini öğretir ve bilgisayar korsanları tarafından yapılan saldırıları ve zayıf noktaları belirleme ve bu saldırılara karşı önlem alma konusunda eğitim verir.

CEH sertifikasyonu, profesyonellerin bilgisayar korsanlarının kullandığı teknikleri anlamalarına ve bu tekniklere karşı önlemler almalarına yardımcı olur. Bu sertifikasyon, siber güvenlik konularına geniş bir bakış açısı sağlar ve aynı zamanda ağ güvenliği, sistem keşfi, saldırı teknikleri, zayıf noktaların bulunması, pen test teknikleri ve diğer siber güvenlik araçlarına ayrıntılı bir giriş yapar.

CEH sertifikasyonu, bilgisayar ağı güvenliği alanında çalışan profesyonellerin, işverenleri tarafından aranan bir sertifikasyon niteliği haline gelmiştir. Bu sertifikasyon, bilgisayar ağı güvenliği, ağ yönetimi, bilgi güvenliği ve siber güvenlik alanlarındaki profesyonellerin işlerini güçlendirmelerine yardımcı olur ve kariyerlerinde daha ileriye gitmelerine olanak tanır.

CEH eğitimi genellikle online olarak veya bir sınıf ortamında sunulur. Eğitim süresi ve maliyeti, eğitimin türüne ve sağlayıcısına bağlı olarak değişebilir. Ancak, CEH sertifikasyonunun maliyeti genellikle diğer sertifikasyon programlarına kıyasla daha yüksektir.

Etik Hacker Nedir?

Etik hacker, bilgisayar sistemleri ve ağlarında güvenlik açıklarını tespit etmek ve bunları düzeltmek için çalışan bir bilgisayar güvenlik uzmanıdır. Etik hackerlar, sistemleri ve ağları güvence altına almak için hackerların kullandığı teknikleri kullanırlar.

Etik hackerlar, ağları ve sistemleri korumak için şirketler, hükümet kurumları veya diğer kuruluşlar tarafından işe alınabilirler. İşlerinin bir parçası olarak, ağları ve sistemleri test eder, güvenlik açıklarını tespit eder ve bu açıkları kapatmak için önerilerde bulunurlar.

Etik hackerlar, diğer hackerların kullandığı teknikleri kullanarak ağ güvenliğini test ederler, ancak bu işi sadece yasal ve etik sınırlar içinde yaparlar. Etik hackerlar, diğer insanların izni olmadan veya bilgisi olmadan ağlara veya sistemlere saldırmazlar. Aksine, izin verilen yöntemlerle ağları ve sistemleri test ederler.

Etik hackerlar, bilgisayar korsanlarının yasadışı amaçlarla kullandığı teknikleri kullanarak ağları ve sistemleri test ederler, ancak yasadışı amaçlar için değil, aksine güvenlik açıklarını tespit etmek ve gidermek için kullanırlar. Bu nedenle, etik hackerlar, bilgi teknolojileri güvenliği alanında saygın bir meslek olarak kabul edilirler.

Ethical Hacker CEH Eğitiminin Başlıca Konuları

Bilgi toplama, ağ haritasının çıkarılması, zafiyet tarama, sisteme sızma, yetki yükseltme, başka ağlara sızma, erişimi koruma ve kalıcı hale getirme, izleri temizleme ve raporlama gibi konular gerçekleştirilen sızma testlerinde Ethical Hacker CEH eğitiminin önemli konuları arasında yer alır.

Bilgi toplama aşaması, hedef sistemler ve ağlar hakkında bilgi toplama işlemidir. Bu aşamada, hedef sistemlerin IP adresleri, açık portlar, hizmetler, uygulamalar ve diğer önemli bilgiler toplanır.

Ağ haritasının çıkarılması aşaması, hedef ağın yapılandırmasının belirlenmesi için ağ haritasının oluşturulmasını içerir. Bu aşamada, ağ topolojisi, işletim sistemleri, sunucular ve diğer ağ bileşenleri gibi ağ hakkında ayrıntılı bilgi edinilir.

Zafiyet tarama aşaması, hedef sistemlerin ve ağların güvenlik zafiyetlerinin tespit edilmesi için gerçekleştirilir. Bu aşamada, açık güvenlik açıkları, zayıf şifreler ve diğer güvenlik zafiyetleri gibi potansiyel tehditler belirlenir.

Sisteme sızma aşaması, zafiyet tarama aşamasında belirlenen güvenlik açıklarını kullanarak hedef sistemlere ve ağlara erişim sağlamak için gerçekleştirilir.

Yetki yükseltme aşaması, hedef sistemlere ve ağlara erişim sağlandıktan sonra gerçekleştirilir ve yönetici düzeyinde erişim sağlamak için kullanılır.

Başka ağlara sızma aşaması, hedef ağda bulunan sistemlerin başka ağlara erişimi varsa, bu sistemlere erişim sağlamak için gerçekleştirilir.

Erişimi koruma ve kalıcı hale getirme aşaması, hedef sistemlerde ve ağlarda erişimi korumak ve kalıcı hale getirmek için gerçekleştirilen işlemleri içerir.

İzleri temizleme aşaması, sızma testleri sırasında bırakılan izleri temizlemek için gerçekleştirilir.

Raporlama aşaması, sızma testleri sonrasında, tespit edilen güvenlik açıkları, riskler ve önerilen önlemler hakkında bir rapor hazırlanması işlemidir.

Penetrasyon Testi Nedir?

Penetrasyon testi, bir bilgisayar sisteminin, ağın veya web uygulamasının güvenliğinin test edilmesi için yapılan bir testtir. Bu testte, bir siber saldırgan gibi davranan ve sisteme veya uygulamaya saldırmaya çalışan bir kişi ya da grup, güvenlik açıklarını belirlemek ve bunları düzeltmek için kullanılır.

Penetrasyon testleri, bir organizasyonun bilgi sistemleri güvenliğinin değerlendirilmesinde yaygın olarak kullanılır. Bu testler, bir organizasyonun siber saldırılara karşı savunmasını test ederek, güvenlik açıklarının tespit edilmesi ve düzeltilmesi için bir fırsat sağlar.

Penetrasyon testleri, genellikle iki türdür: ağ penetrasyon testi ve uygulama penetrasyon testi. Ağ penetrasyon testleri, bir organizasyonun ağını hedef alır ve ağa yapılabilecek saldırıları ve açıkları belirlemeye çalışır. Uygulama penetrasyon testleri, bir organizasyonun web uygulamalarını hedef alır ve bu uygulamalarda bulunabilecek güvenlik açıklarını tespit eder.

Penetrasyon testi, bir organizasyonun bilgi sistemlerinin güvenliğini değerlendirmek için bir araç olarak kullanıldığından, genellikle yasal sınırlamalar ve etik kurallar dahilinde yapılır. Bu nedenle, penetrasyon testi yapmak isteyen kişilerin, ilgili yasalara ve kurallara uymaları gerekmektedir.

Penetrasyon testleri genellikle üç kategori altında sınıflandırılır:

Penetrasyon testleri

  • Ağ Penetrasyon Testi : Ağ güvenliğini test etmek için gerçekleştirilen bir testtir. Bu test, ağa saldırmaya çalışarak ağdaki güvenlik açıklarını tespit etmek için yapılan bir dizi saldırıyı içerir.

  • Uygulama Penetrasyon Testi : Uygulama penetrasyon testi, uygulamaların güvenliğini test etmek için gerçekleştirilen bir testtir. Bu test, uygulama katmanında gerçekleştirilen saldırıları içerir. Bu test, web uygulamaları, mobil uygulamalar ve diğer yazılımlar gibi bir dizi uygulama türünü içerebilir.

  • Fiziksel Güvenlik Testi : Fiziksel güvenlik testi, bina ve tesislerin güvenliğini test etmek için gerçekleştirilen bir testtir. Bu test, bir binanın veya tesisin güvenlik sistemlerine saldırmayı içerebilir. Örnek olarak, bir saldırganın, bir binanın fiziksel güvenlik sistemlerini atlamak için hangi yolları kullanabileceğini veya bir binaya izinsiz olarak nasıl girilebileceğini tespit etmek amacıyla gerçekleştirilebilir.

Penetrasyon Çeşitleri

Penetrasyon testleri, amaçlarına ve yapılan saldırı türüne göre farklı çeşitlerde gerçekleştirilebilir. Bunlar arasında:

Penetrasyon Çeşitleri

  • Network Penetrasyon Testi : Bir ağdaki cihazlar ve sistemler üzerinde yapılan testlerdir. Ağda bulunan açık portlar, zayıf şifreler, güncelleştirilmemiş yazılımlar ve diğer güvenlik açıkları gibi noktaların tespit edilmesini amaçlar.

  • Web Uygulama Penetrasyon Testi : Web uygulamalarının güvenlik seviyelerinin test edilmesini sağlar. Uygulama katmanındaki güvenlik açıklarını tespit ederek, SQL enjeksiyonları, XSS (Cross-site scripting), CSRF (Cross-site request forgery) gibi saldırılara karşı önlem alınmasını hedefler.

  • Mobil Uygulama Penetrasyon Testi : Mobil uygulamaların güvenlik seviyelerinin test edilmesi için kullanılır. Uygulama içerisinde bulunan güvenlik açıkları, veri kayıtları, yerel depolama gibi kritik unsurların ele geçirilmesi amaçlanır.

  • Wireless Penetrasyon Testi : Kablosuz ağlardaki güvenlik açıklarını tespit eder. Kablosuz ağlarda kullanılan şifreleme algoritmalarının güvenlik seviyelerinin test edilmesi, ağa sızılması ve verilerin ele geçirilmesi üzerine yoğunlaşır.

  • Social Engineering Penetrasyon Testi : Kişilerin güvenlik açıklarını sömürmek için gerçekleştirilen testlerdir. Sosyal mühendislik taktikleri kullanılarak, kişilerin bilgiye erişimi sağlanır veya sisteme giriş yapılır.

  • Physical Penetrasyon Testi : Fiziksel güvenlik testleri, bir binanın veya tesisin fiziksel güvenliğinin test edilmesi için kullanılır. Binaların güvenlik sistemlerine saldırmayı içerebilir. Örneğin, bir saldırganın, bir binanın fiziksel güvenlik sistemlerini atlamak için hangi yolları kullanabileceğini veya bir binaya izinsiz olarak nasıl girilebileceğini tespit etmek amacıyla gerçekleştirilebilir.

Penetrasyon Testi Yöntemleri

Penetrasyon testleri, bir sistem veya uygulamanın güvenliğini artırmak ve saldırıları önlemek için önemli bir adımdır. Bu nedenle, pentestlerin doğru bir şekilde planlanması, güvenli bir şekilde gerçekleştirilmesi ve sonuçlarına dayanarak alınan önlemlerin düzenli olarak gözden geçirilmesi, sistem ve uygulamaların güvenliği açısından kritik önem taşır.

White Box

White box test yöntemi, sızma testi gerçekleştiren güvenlik uzmanının hedef sistem hakkında tam bir bilgi sahibi olduğu ve sisteme tam erişim sağladığı bir test yöntemidir. Bu yöntemde, güvenlik uzmanı hedef sistemin kodunu, yapılandırma ayarlarını, ağ yapılandırmasını, veritabanı yapılandırmasını vb. detaylarına kadar bilmektedir.

Bu yöntem, beyaz kutu (white box) test yöntemi olarak adlandırılmaktadır çünkü güvenlik uzmanı, hedef sisteme erişmek için gereken tüm bilgi ve izinlere sahiptir. Bu yöntem, sızma testi gerçekleştiren kişinin sisteme yönelik tüm açıkları tespit edebilmesini ve test sonuçlarının çok daha ayrıntılı ve doğru olmasını sağlar.

White box test yöntemi, güvenlik açığı tespiti, zafiyet tespiti ve sızma testleri için yaygın olarak kullanılır. Ancak, bu yöntemde güvenlik uzmanı sisteme tam erişim sağladığı için, sistemin kullanımını engelleyebilir veya sisteme zarar verebilir. Bu nedenle, bu test yöntemi sadece sistem sahibi veya yöneticisi tarafından izin verildiğinde ve sıkı bir kontrol altında gerçekleştirilmelidir.

Black Box

Black box test yöntemi, sızma testi gerçekleştiren güvenlik uzmanının hedef sisteme herhangi bir bilgiye sahip olmadan, tamamen dışarıdan bir test yapmasıdır. Bu test yönteminde, güvenlik uzmanı hedef sisteme erişim bilgilerine sahip değildir ve sistem hakkında sınırlı veya hiçbir bilgiye sahip değildir.

Black box test yöntemi, gerçek hayatta saldırganların kullanabileceği yöntemlere benzer şekilde, hedef sisteme saldıran kişilerin kullanabileceği tüm yöntemleri test eder. Güvenlik uzmanı, hedef sisteme, güvenlik duvarı, ağ güvenliği, uygulama güvenliği vb. tüm açılardan bakarak, zafiyetleri tespit eder ve sistemdeki açıkları bulmaya çalışır.

Bu yöntem, gerçek dünya senaryolarına benzer bir sızma testi yapılmasını sağlar ve test sonuçlarının gerçekçi olmasını sağlar. Ancak, sisteme herhangi bir erişim sağlanamadığı için, bazı zafiyetlerin tespit edilmesi zor olabilir.

Black box test yöntemi, sızma testi ve zafiyet tespiti için yaygın olarak kullanılır. Ancak, bu test yöntemi sadece sistemi analiz etmekle sınırlıdır ve güvenlik açıklarının bulunması, bu açıkların nasıl sömürülebileceğine dair ayrıntılı bilgi sağlamaz.

Gray Box

Gray box test yöntemi, sızma testi gerçekleştiren güvenlik uzmanının hedef sisteme hem içeriden hem de dışarıdan erişimi olduğu bir test yöntemidir. Bu yöntemde, güvenlik uzmanı hedef sistem hakkında bazı bilgilere sahip olsa da, tüm detayları bilmiyor veya bilgisi sınırlı olabiliyor.

Bu yöntem, beyaz kutu (white box) test yöntemi ile siyah kutu (black box) test yöntemi arasında bir yerde yer alır. Beyaz kutu yöntemi, sızma testi gerçekleştiren kişinin hedef sisteme tam erişim sağladığı, tüm detayları bilip testi planladığı ve gerçekleştirdiği bir yöntemdir. Siyah kutu yöntemi ise sızma testi gerçekleştiren kişinin hedef sistem hakkında hiçbir bilgiye sahip olmadığı bir yöntemdir.

Gray box test yönteminde, güvenlik uzmanı hedef sisteme kısmi erişim sağlar ve sistem hakkında bazı bilgilere sahiptir. Bu bilgiler, sistem mimarisi, kullanılan yazılımlar, yapılandırma ayarları, kullanıcı hakları gibi detaylar olabilir. Bu bilgiler, güvenlik uzmanının testlerini planlamasına ve gerçekleştirmesine yardımcı olur.

Gray box test yöntemi, gerçek dünya senaryolarına daha yakın bir sızma testi yapılmasını sağlar ve test sonuçlarının gerçekçi olmasını sağlar. Ancak, bazı durumlarda hedef sisteme erişim sağlamak için izinlerin alınması veya bir işbirliği gerektirebilir.

Pentest Adımları

Pentest Adımları

  • Planlama : Pentest'in hedefleri, kapsamı ve yöntemleri belirlenir. Pentest ekibi, hangi sistemlerin veya uygulamaların test edileceği, ne kadar süreceği ve hangi tekniklerin kullanılacağı gibi ayrıntıları planlar.

  • Bilgi Toplama : Pentest ekibi, hedef sisteme veya uygulamaya ilişkin mümkün olan tüm bilgileri toplar. Bu, IP adresleri, açık portlar, işletim sistemi bilgileri, uygulama yazılımı ve sürümleri gibi bilgileri içerir.

  • Zafiyet Analizi : Toplanan bilgiler kullanılarak, sistem veya uygulamanın güvenlik açıkları analiz edilir. Bu aşamada, manuel veya otomatik olarak zafiyet taramaları gerçekleştirilir. Ayrıca, hedef sistemlerin zayıf noktaları, kullanılan yazılımlar ve sistem yapılandırmaları hakkında derinlemesine araştırmalar yapılır.

  • Saldırı Senaryoları Oluşturma : Pentest ekibi, belirledikleri zafiyetleri sömürmek için olası saldırı senaryoları oluşturur. Bu senaryolar, belirli bir hedefe yönelik olabilir veya bir genel saldırı modeli kullanılabilir.

  • Sömürü : Bu aşamada, pentest ekibi belirlenen zafiyetleri sömürmeye çalışır. Bu, bir sistem veya uygulamaya giriş yapmak, veri çalmak veya erişim elde etmek gibi birçok farklı amaç için kullanılabilir.

  • Raporlama : Pentest sonuçları, güvenlik açıkları ve önerileri içeren bir rapor halinde sunulur. Bu rapor, sistem veya uygulamanın güvenliğini artırmak için alınacak önlemleri belirlemek için kullanılır.

  • Geliştirme : Pentest sonuçlarına dayanarak, hedef sistemin veya uygulamanın güvenliğini artırmak için alınabilecek önlemler belirlenir. Bu önlemler, sistem veya uygulamada bulunan zafiyetleri gidermek, güvenlik duvarlarını artırmak, güvenli yazılım geliştirme yöntemlerini uygulamak gibi birçok farklı alanı kapsayabilir.

Hacker Terimleri

Malware : Kötü amaçlı yazılım anlamına gelir. Virüsler, truva atları, solucanlar ve casus yazılımlar gibi farklı türleri vardır.

Rootkit : Sistemdeki kök düzeyine giren zararlı yazılım türüdür. Rootkitler, saldırganın işletim sistemini tamamen ele geçirmesine izin verir.

Brute Force : Kaba kuvvet saldırısı anlamına gelir. Bir saldırgan, oturum açma bilgilerini veya şifreleri tahmin etmek için otomatik araçlar kullanır.

DDoS : Dağıtılmış Hizmet Reddi saldırısı anlamına gelir. Bu tür bir saldırıda, bir ağ veya web sitesi, birçok farklı kaynaktan gelen trafiğin yoğunluğu nedeniyle hizmet veremeyecek hale gelir.

Phishing : Kullanıcıları yanıltmak için sahte web siteleri veya e-postalar kullanarak kişisel bilgileri elde etmek için kullanılan bir tür saldırıdır.

Social Engineering : Saldırganın insanları manipüle etmek veya yanıltmak için kullandığı taktiklerin genel adıdır. Bu taktikler arasında sahte kimlikler kullanmak, güvenlik sorularını yanıtlamaya zorlamak ve kişisel bilgileri çalmak yer alabilir.

Backdoor : Ağda veya sistemin içinde gizlenen, izinsiz erişim sağlayan bir açıklık veya yazılım arka kapısıdır.

Exploit : Bir sisteme veya yazılıma ait bir güvenlik açığını kullanarak saldırganların kötü amaçlı kodları yürütmelerine izin veren bir saldırı türüdür.

Keylogger : Kullanıcının klavye girişlerini kaydeden bir yazılımdır. Bu tür bir yazılım, kullanıcının kimlik bilgilerini veya şifrelerini ele geçirmek için kullanılabilir.

Zero-Day Exploit : Henüz yama veya düzeltmesi olmayan yeni bir güvenlik açığına dayanan bir saldırı türüdür. Saldırganlar, sisteme hızlı bir şekilde erişmek ve hasar vermek için bu tür saldırıları kullanırlar.

Sizin İçin Önerdiklerimiz

Yorumlar

    Bu konu hakkında yorum yapmak ister misiniz?

Yorum Yaz

Nazif Mert Bayram

Nazif Mert BAYRAM

Bilgisayar, Teknoloji, Parapsikoloji ve Tarih meraklısı, vaktini sürekli eğitime harcayan. Gündüzleri dinlenip geceleri kod yazan biriyim. Fazla acıkmam ama çok susarım. Tantuni ve ayranı aynı anda bitirebilirim. Çay değil kahve tercih ederim. Yazılımcı olmak imkansızı hayal etmektir.

Kategoriler

Son Yorumlar

  • mervan
    mervan
    herkesin bayramı kutlu olsun hayırlı kandiller mer
  • Nazif Mert Bayram
    Nazif Mert Bayram
    Selim Bey, Merhabalar
    Mail adresinize bilgi
  • Selim Nazlıoğlu
    Selim Nazlıoğlu
    Merhaba bilgi için teşekkürler
    Bir proje dü
  • erkam özay
    erkam özay
    Teşekkürler Mert abi
    Robotik kodlama ile il
  • Nazif Mert Bayram
    Nazif Mert Bayram
    Notepad ++ Zen Coding Eklentisi ile yapılabiliyor

Blog Yazarları

Site İçi Arama

Son Konular

Paylaşım Kategorileri

Genel Sosyal Medya Dijital Pazarlama Yazılım / Güvenlik Parapsikoloji Kişisel Gelişim / Psikoloji YouTube Duyurular Haberler

Reklam Alanı

Reklam Alanı

Reklam Alanı

hulipa.Com

Etiketler

#Yazılım #Donanım #Eğitim #Güvenlik #Sosyal Medya #Facebook #Twitter #Instagram #Youtube #Linkedin #Google #Kriptografi #Grafik Tasarım #Algoritma #Web Tasarım #Veri Tabanı #Hazır Sistemler #Sunucu Güvenliği #Bilgi Teknolojileri #PHP #HTML #CSS #ASP #JS #SQL