#Bilgi güvenliğine giriş yaparken -1

Kardeşim Yuri bizim kurumsal direktörümüzdür. Her şeyi ona danışırız. Oda bize her konuda bilgi verir. Bu bilgilerini siz okurlarımıza da aktarması için rica ettim. Bizleri kırmadı. İşte ilk yazısıyla sizi baş başa bırakıyorum. 


Merhaba;
Bugün sizlere bilgi güvenliği sektörüne girerken dikkate almanız gereken, bizim zamanında çok çektiğimiz çok uzun zaman sonra farkına vardığımız aşağı yukarı heryerde söylenen ancak daha çok teorik değil pratik tecrübeden doğan bazı şeylerden bahsedeceğim. Yazıyı N+ şekilde vakit buldukça yazmak istiyorum.



Bunların bir kısımını madde madde yazıp altında açıklayacağım. Eğer eksik gördüğünüz bir nokta var ise yorum olarak eklerseniz yazıya (seriye) dahil ederek yazının kalitesini arttırmaya çalışacağız.

*Bilgi güvenliğine giriş yapmadan önce mutlaka ve mutlaka ingilizce bilmelisiniz. 
Eğer bilgi güvenliğinden geçinmek istiyorsanız sürekli güncel kalmalısınız. Ne yazık ki güncel kalabilmeniz için ingilizce şart. Bugün bir açık tespit edildiği zaman bu açığa ait tüm tezler ve açıklamaları ingilizce hatta artık rusça yapılmaktadır. Eğer fiziki mal ticareti yapacaksanız çince , exploit ticareti yapacaksanız ingilizce veya rusça şart oldu.
Şirketlerin "bug bounty" programlarına katılabilmeniz için koşulları iyi bilmeniz gerekir, iyi bilmeniz için okuduğunuzu iyi anlamanız gerekir aksi durumda saatlerce uğraşıp bulduğunuz açıktan gelir elde edemezsiniz. Bunun için Filistinli Khalil Shreateh'in durumunu http://sosyalmedya.co/hacker-mark-zuckerberg-in-duvarina-sizdi/ veya http://www.wired.com/2013/10/facebook_hacker/all/ okuyabilirsiniz.
Ayrıca bazen ihtiyacınız olarak sertifikasyon vb. sınavlarında da ingilizce her zaman sizi kurtaracaktır. Alanı dar olan bir konuda stackoverflow üzerinden global yardımlar bulabilirsiniz.
Hatta bazen index bırakırken bile ingilizcenin ihtiyacını fark edersiniz :)

*En az bir programlama diline çok iyi hakim olmalısınız.
Bugün çıkan exploitlerin ve güvenlik ihlallerinin neredeyse tamamını kullanabileceğimiz platformlar yazılmaya başlandı. Kali,metasploit ve hepsinin kendine has standartları çıkmaya başladı.Bazen tarama yaptığınız platformdaki zaafiyeti ne yazık ki bu uygulamalar ile geliştirmeniz veya test etmeniz söz konusu olmayabilir veya keşfettiğiniz zaafiyetin denenmesi hatta daha ileri götürülmesi için var olan toolun belli bölümlerini değiştirmeniz gerekebilir.
Bununla ilgili olarak verebileceğim en iyi örnek 3 gün önce keşfettiğim slow http post araçlarından birisi içerisindeki basit header bilgilerini default yerine IE10 ile değiştirerek hedef üzerindeki bir configuration zafiyetini ortaya çıkarmam oldu.(Ayrı bir blog post konusudur)


*Bir blog sizin wikipedianız olsun.
İçeriği ne olursa olsun hem kariyeriniz hem de ufak notlar için bir blog veya bir günce tutmanız sizin için her zaman iyi olacaktır. Bilgi güvenliği işi ile uğraşırken hiç beklemediğiniz bir komutu/exploiti hiç beklemediğiniz bir yerde tekrar kullanmanız gerekebilir. Bu aşamada blogunuz sizin en iyi kaynakçanız olacaktır.


*Takip edin!
Sektörle ilgili paylaşımlarda bulunan insanları takip edin. Ayda bir de olsa yazıların yazıldığı , tweetlerin atıldığı takip ettiğiniz profiller ve bloglar sizin için her zaman iyi olacaktır.Mümkün olabildiğince takip ettiğiniz insanlar İngilizce gibi global paylaşımda bulunan insanlar olsun. Bu konuda uyguladığım çok iyi bir yöntem var, metroyu çok sıklıkla kullanıyorum bilindiği üzere güvenlik amaçlı metro içerisinde internet çekmiyor. Her zaman metroya girmeden takip ettiğim blogların sayfalarını mobilden açar , metroya girdiğimde bununla meşgul olurum hem insanların suratlarına bakmam hem de vakti hızlı geçiririm.

Yuri

5 yorum

Author
avatar

Güzel bir yazı.
Bide;
- Androidte iosda bilmem internet olmayan yerlerde içeriği kaydedip okumak için
- Kindle
İt e book denen pdf sitesi ve zemunda kickass vs torrent siteleri
Bunlar cok iyi is görür.Ve insanın bilgisini arttırır

Reply
Author
avatar

En az bir programlama dili sizce hangisi olmalı ?

Reply
Author
avatar

sorduğun kişiye göre değişir ama bana sorarsan java derim. niye dersen, java linux, windows, mac hepsinde çalışır. java bilirsen android, web, masaüstü hatta micro uygulamalar geliştirebilirsin. bi güzel yanı da javayı kaptıktan sonra c# öğrenmene gerek kalmaz. syntaxları, nesneleri, fonksiyonları hemen hemen aynıdır. aynı şekilde php kodlarken de zorlanmazsın. c syntaxındaki tüm dillerde kod yazman kolaylaşır.

Reply
Author
avatar

Teşekkürler.bu soruyu kime sorsam hangi dille karın doyuruyorsa onu övüyor ve objektif bi değerlendirme yapılmıyor.doğru bi karar verdiğim için mutluyum :)
Dilleri derinlemesine incelediğiniz makaleleride görmeyi çok isteriz

Reply
Author
avatar

Hocam herkes kendi işini gören dili söyleyecek tabi senin dil seçimi yapman için ne için kullanacaksın onu anlaman lazım.
Teknolojiler birbirleriyle bağlantılıdır etkilenmiş ve etkilemişlerdir birşeyi öğrenmeye çalışırken farkında olmadan başka teknolojiyi kapmış oluyosun sen kurumsal web uygulamaları geliştirmek için dotnet öğrenirsen c# ı yada vb i istemeden kısmen öğrenmiş syntax a hakim olmuş olacaksın. Ama senin amacın sadece web uygulama geliştirmekse dotnet deil de php veya asp öğrenmen mantıklıdır. E php öğrenince c nin syntaxına kod yapılarına aşına oldun diyelim asp öğrendin vbscript ve vbasic de geldi onun yanında.Bir tane framwork ile çalışınca komple oop mantığına hakim oldun c# java Allah ne verdiyse öğrenmemek elde değil.
Sen güzel oturaklı masaüstü yazılımlar geliştirmek istiyosun dotnet vasıtasıyla c# ı php ve asp vasıtasıyla c yi ve vbasic i gördün önünde bir engel yok ama dedinki ben bir kere yazayım tüm platformlarda program aynı çalışsın ozman java öğreneceksin yada delphi delphi öğrendiğindede masaüstü ve mobil var ama web tarafı eksik kaldı delphi + web dili öğrenmek icap etti..Ama en sağlam stabil kodlar c++ da yazılıyor diye duyum aldın oda aklını kurcalayacak ne yapcan hepten karıştı işler.
Dedinki ben yazılımcı değilim kardeşim ben hacker oldum exploit geliştirecem desen yine önüne seçenekler çıkacak NE EXPLOITI diye düşüneceksin.
Sadece http request gönderip dönen sonuçlarla ilgili exploitler geliştireceksen ki bunlar otomatize işlemler için kullanılır işte sayfaya bağlan parametreleri post et get e bana sonuç ver (sql injection,brute force,command injection vs vs) gibi işlemler yapacaksan nodejs öğreneceksin çakacaksın requesti milisecond cinsinden response önünde. Ama işte yanında socket olsun herşeyi yapabileyim diyoysan perl python ruby öğreneceksin ki bunlarda bi yere kadar local exploitlerde assembly çalıştırman gerekecek c lazım. Assembly öğren gerisi hikaye diyenleri de duymuşsundur düşününce mantıklı diller derlenip yorumlanıp bi şekilde yine assembly ile işlemciye derdini anlatıyo ama assembly tek deilki işlemci mimarisine göre 8 bit 16 bit 32 bir 64 bit arm vs vs vs diyomda diğer platformları bilmediğimden yani anlatıyorumda profesörü değilim belki onaylanmaz yorum bilmiyorumda dil seçim işi tamamen sende bitiyo "BİR DİLİ TAM ÖĞRENMEK" sana en başta beyninde algoritma oluşturma yeteneği kazandırır kod yazmak bişey değil zaten bugün google u stackoverflow u açtığın zaman zilyon tane kod örneği görürsün ne yapacağını bildikten sonra her dilde istediğini yaparsın. Bir dili "TAM OLARAK" bildiğinde ve birazda güncel kalırsan "ben şunu yapacam mantığı böyle ama bunu bildiğim dilde yaparsam yavaş çalışır bu dile göre değil bu a.q" dersin " sana lazım olan fonksiyonları bilirsin parmak tanıma dan yüz tanıma sistemleri nükleer tesis yönetim sistemlerine kadar aklına ne geliyosa uydu fırlatma 5 saniye içerisinde kendini infilak ettirme herşeyi betik script dilleri dahil her programlama dilince yapabilirsin burda fark hangisinde yaparsan zamandan ve kaynaktan tasarruf edersin bunu bilmekte buda zamanla ve tecrübeyle olacak birşey o yüzden tamamen sana kalmış inş. sövmeden okursun ;)

Reply