Sızma Testi Uzmanlığı ve Kariyer

Yıllardan beri, sıradışı bir meslek olan sızma testi uzmanlığı (ethical hacker / penetration tester) ile ilgili çok sayıda e-posta alıyorum. E-postaların çoğunda da, sızma testi uzmanı olmak istiyorum, nereden ve nasıl başlamalıyım sorusunun sorulduğunu görüyorum. Her birine itinayla cevap yazarken çoğu mesajımda, 2011 yılında yazdığım “Nasıl Ahlaklı Korsan Olunur?” başlıklı yazımı da okumalarını tavsiye ediyorum. Bir sızma testi uzmanı olarak bu yazı ile son yıllarda oldukça popüler ve çekici olan bu meslekte kariyer yapmanın biraz da zorluklarına değinmek istiyorum.

Bu alanda kariyer yapmanın aslında ülkemizde diğer meslek dallarına göre biraz daha zor olduğunu söyleyebilirim. Örneğin tıp fakültesinden mezun olsaydınız, uzmanlık eğitimi için Tıpta Uzmanlık Sınavı‘na (kısaca TUS) girdikten sonra belli bir branş üzerine kariyer yapabilir ve bu branşa özel iş ilanlarına başvurabilirdiniz. Ancak mevzu sızma testi uzmanlığı olunca işler bu kadar kolay olmuyor.

Kolay olmuyor çünkü ülkemizdeki iş ilanlarına bakacak olursanız hala sızma testi uzmanlığının, on görevi olan bir güvenlik uzmanının on birinci görevi olabileceğine inanan firmalar olduğunu görebilirsiniz. Halbuki diğer ülkere bakarsanız, sızma testi uzmanlığının kendi içinde bile ayrı uzmanlık dallarına (örnek: web application penetration tester, network penetration tester) ayrıldığını ve bu spesifik alanlarda uzmanların arandığını (#1, #2, #3) görebilirsiniz.

Tabii aynı anda hem güvenlik cihazı yöneten (yoğun bir şekilde operasyon yapanlar), hem PCI denetimi yapan hem de güvenlik politika ve prosedürü hazırlayan bir kişinin sızma testi uzmanı olabileceğine inanan, yıllarca çalışanlarına yatırım yapmak yerine güvenlik cihazlarına, ürünlere yatırım yapan kurumlar, günün sonunda ciddi bir sorun yaşadıkları zaman doğru yolu (uzmanlaşma) ağır bedeller ödeyerek buluyorlar. Halbuki onlardan 5-10 yıl önde olan diğer ülkelere ve kurumlara bakacak olsalar, yıllar sonra başlarına neler gelebileceğini, ne tür uzmanlıklara ihtiyaç duyacaklarını, nelere ve nerelere yatırım yapmaları gerekeceğini az çok görebilirler. (Vizyon)

Özellikle tek kişilik dev güvenlik uzmanı kadrosu arayan kurumların iş ilanlarını gördüğümde çoğu zaman üzülerek tebessüm ediyorum. Bu ilanları, bir hastanenin on farklı alanda, on farklı uzman doktor (ortopedist, kardiyolog vb.) aramak yerine tek bir pratisyen hekim aramasına ve çalıştırmasına benzetiyorum. Olur mu, olur ama günün sonunda sağlık sorunu yaşayanların, daha doğru teşhis ve tedavi adına pratisyen hekimler yerine uzman doktorlara kontrole gittiklerini biliyoruz. (Specialist vs Generalist)

Tabii bu durumun biraz da, sızma testinin sadece araçlarla yapıldığının, bilgi ve birikimin çok da önemli olmadığının düşünülmesinden kaynaklandığını düşünüyorum. Halbuki bu alanda uzmanlaşmak pek o kadar kolay olmuyor. Sadece araçlarla bu işi yapan da kendine sızma testi uzmanı diyor, yıllardır bu alanda araştırma yapan, okuyan ve kendini geliştiren bir kişi de diyor. Eğer iyi araç kullanan o işin uzmanı olabilseydi bugün direksiyon başına geçip iyi araba kullanan herkesin Michael Schumacher olması gerekirdi. Veya sadece bir işi icra etmek, kişiyi o işin uzmanı yapabilseydi, şarkı söyleyen Ajdar ile Sezen Aksu arasında fark olmazdı.

Sızma testi uzmanı olmak için bol bol okumak (2000’li yılların başından bu yana kadar 60 tane teknik kitap okumuşum), bol bol pratik yapmak ve her daim bilgileri güncel tutmak gerekiyor. Misal bir önceki yılın web uygulama zafiyetleri ile bir sonraki yılın zafiyetleri aynı olmayabiliyor dolayısıyla zafiyetlere yol açan kök sorunları anlamak, tespit ve çözüm konusunda önemli bir rol oynuyor. Ayrıca değişen teknolojileri yakından takip etmek ve hızlıca adapte olmak gerekiyor. 4-5 yıl öncesine kadar mobil uygulama sızma testlerine ihtiyaç duyulmazken, bugün en az web uygulama sızma testleri kadar ihtiyaç duyuluyor. Bu gelişim sürecinde, işverenin size özellikle eğitimler konusunda yatırım yapmasının oldukça önemli olduğunu söyleyebilirim. Örneğin bugün SANS firmasından online (on demand) bir eğitim almak istediğinizde eğitim ücretlerinin 4000$ – 5000$ arasında olduğunu görebilirsiniz.

Evet, artık çoğu kurum sızma testi uzmanı arıyor ama kolay kolay bulamıyor. Neden çünkü sızma testi uzmanları ne yazık ki dalda yetişmiyorlar ve kendilerini yetiştirmeleri hiç de kolay olmuyor. Vizyoner kurumlarda çalışan sızma testi uzmanlarının ise değerleri bilindiği ve kendilerine gerekli yatırımlar yapıldığı için kolay kolay iş değiştirmiyorlar. Uzman yetiştirmeyen, çalışanına yatırım yapmayan, maaş konusunda da sıradan bir çalışan ile aynı maaşa sızma testi uzmanı arayan firmaların iş ilanlarının, 6 ay ila 1 sene boyunca açık kaldığını görebiliyoruz. Kimi zaman 6 ay içinde, ne aradığını bilmeyen 4-5 farklı insan kaynakları danışmanlığı firmasından aynı pozisyon için birkaç defa arandığınız bile olabiliyor.

Düşüncelerimin sizleri karamsarlığa sürüklemesini istemem. Siber güvenlik ve sızma testi uzmanlığına artık ülkemizde çok daha fazla önem veriliyor. Eskiden kurumunda sızma testi uzmanı bulundurmayanlar, bugün 5 kişilik sızma testi ekipleri oluşturuyorlar. Talebin arttığı bu yıllarda, bu alanda iyi bir kariyer yapmak isteyen adaylara, tek kişilik dev kadro (nicelik) olmak yerine uzmanlaşmaya (nitelik) önem veren, vizyoner kurumları tercih etmelerini tavsiye edebilirim. Ne de olsa yıllar içinde gideceğimiz nokta Amerika ve Avrupa’dan (uzmanlığa önem veren ülkeler) farklı olmayacak ve uzmanlık daha da kıymetli olacaktır.

Unutmayın, sızma testi uzmanlığı aşçılık gibidir. Günün sonunda elinizde onlarca malzeme (araçlar, istismar kodları, zafiyetler vs.) olur ve bunlardan ortaya gerçekten lezzetli bir yemek çıkarmanız beklenir. Lezzetli yemekler ortaya çıkarmak için ise hem tarifleri (bilgi) iyi bilmeniz hem de kıvamı (beceri) iyi tutturmanız gerekir ve bu da yıllarınızı alır.

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

image_pdfShow this post in PDF formatimage_printPrint this page
15 comments
  1. Elinize sağlık güzel bir yazı olmuş. Sorunları nokta atışı şeklinde dile getirmişsiniz. Bir de işin maddi tarafını merak ediyorum. Mesleğin diğer dallarına baktığımız zaman güvenliğn biraz daha meşakkatli bir alan olduğunu düşünüyorum. Peki maddi olarak bu meşakkate değiyor mu karşılığı tatmin edici oluyor mu? Bu bağlamda alan seçme aşamasındaki bir mühendise ne tavsiye edersiniz/söylersiniz?

    1. Maaş konusu görecelidir dolayısıyla hem kişiden kişiye göre hem de kıyasladığınız alana göre değişecektir.
      Sızma testi uzmanlığına giden yol meşakkatli bir yol ve her daim okumanız, araştırmanız, pratik yapmanız ve zaman zaman özel hayatınızdan bu uğurda ödün vermeniz gerekebiliyor dolayısıyla sevmeden, iş olsun diye yapılabilecek en son mesleklerden bir tanesi olduğunu düşünüyorum.

  2. Hocam ellerinize saglik, bu islere merak duyanlar, arastirmayi sevenler muhakkak sizin forumunuza denk geliyor bir noktada. Dediginiz gibi uzmanlarimiz kolay yetismiyor. Ustelik bundan yakinan siz degilsiniz diger guvenlik uzmanlari da bundan yakiniyor. Ama siz bir seyler yaziyor hatta guvenliktv de sohbetlere katiliyorsunuz. Benim gibi bu bilisim alanina merak saranlari lamer forumlarindan kurtariyorsunuz, ama diger guvenlik uzmablari (bir iki kisi haric) actiklari bloglara yazilar bile yazmitorlar guncel degiller hatta gorgusuzce yaptigi isten kac bin dolar kazandiklarini yazanlar var… Kisacasi ellerinize saglik her yazdiginiz yaziyi merakla ve heyecanla okuyor, bekliyorum.

  3. Yazıyı çok beğendim ve açıkçası sektörde insanların birkaç “deli” dışında bu konuyu pek önemsediğini de görmedim. Ülkemizde bu konuda yetişmiş adam sıkıntısı olduğu herkesin dilinde. Şu ana kadar hep bireysel çabaları ile bir yere gelen / gelmeye çalışan insanlarız. Ama bu sorunu çözmeye yönelik maalesef bugüne kadar pek bir şey de yapılmadı. Yeni yeni bazı çabalar ile bir şeyler yapılmaya çalışılıyor. Yamuluyorsam düzeltin ama gençlere bir şeyler katmak adına birkaç senedir BGA’nın düzenlediği etkinlikler, Prodaft’ın bolca genci sektöre katma gayreti ve bu sene ADEO’nun düzenlediği etkinlik dışında açıkça duyurulmuş bir şey görmedim. Kendilerine buradan da bir kez daha teşekkür etmek isterim.

    Bu alana atılmak isteyen gençlerin kafalarının çok karışık olduğu aşikar (kendimi çok işin içinde olan biri olarak saymasam da benim de öyleydi).

    Benim gördüğüm, firmaların aradığı günü kurtaracak adam. Çoğu ilana göre de aslında ne aradıklarını onlar da bilmiyor. Ticari olarak günü kurtaracak kişi arayışı belki doğru olabilir (ama siz superman arıyorsunuz). Sonuçta işletmelerin ana hedefi kârlılıktır. Ancak neden kimse sosyal sorumluluk olarak beş veya on sene sonrasının uzmanını yetiştirmenin peşinde olmuyor ki? Ülkemizde sektörün durumu ve nitelikli eleman arayışı ortada. İnsana yatırım yapmadığımız da ortada. Peki bugünkü çalışanlarınızdan biri ya da hepsi işi bıraksa yerine bulabileceğiniz biri var mı?

    Çoğu zaman birini yetiştirmenin pratikte iyi fikir olmadığı düşünülüyor. Hele ki çalışanı eğitime göndermek, sertifika almasını sağlamak maddi olarak masraflı. Ancak zaten kimse bunu babasının hayrına, kara kaşına kara gözüne yapmıyor. Çoğunda aldığı sertifika veya eğitim masrafıyla orantılı çalıştığı şirkette kalmasına yönelik sözleşme düzenleniyor. Ya da önceki başarıları ve firmaya kattıkları göz önüne alınarak bu imkanlar sağlanıyor. Çalışanının ihtisas yapmış biri olması en çok firmanın değerlerini arttıracaktır. Bu hem güvenlik danışmanlığı yapanlar için hem de yazılım geliştiren veya internet hizmetleri sunan firmalar için ortak bir noktadır. Kaldı ki eğitim ve sertifika sonraki aşama. En azından stajyer olarak firmaların bu alana özel yaklaşmaları gerekiyor. Güvenlik ekiplerine özel en azından stajyer kadroları da açmaları gerekiyor. Sonuçta stajyer pek bir beklentisi olmadan gelen kişidir. Maaş, yol, yemek vs. gibi şeyleri aramaz. Bazen bunlar vaat edilmez de [çoğu zaman stajyer istese de bunları arayamayabilir :) ]. Ama en azında güvenlik alanına özel bir stajyer kadrosu oluşturup stajları sonunda onlara güzel bir teknik kitap hediye etmek takdir edilesi bir davranış olurdu.

    İlanlara bakarak buldukları elemanlara verdikleri maaşlar ve sağladıkları imkanlar herhalde o ilanlardaki kadar detaylı ve uzun bir liste oluşturmaz kanaatindeyim. Şunu da belirteyim; bir çalışan işi bıraktığında genelde kötü olan çalışanlar oluyor. Ancak firmalar “ben bu adama ne maaş verdim ne vermedim, ne imkan sağladım ne sağlamadım, neyi eksikti de işi bırakıp başka bir firmaya geçti, ne gibi kolaylık gösterdim / göstermedim” diye sorgulamıyorlar. Evet, koskoca firmalar bunu sorgulamıyor.

    Kültürümüzde de hakim olarak usta-çırak ilişkisi hem bugünkü dünyanın geldiği algılar bakımından hem de şirketler tarafından çok kullanılan bir yöntem değil. İnsan yetiştirmeye önem vermediğimiz sürece bu işleri yapacak insanları bulmamız zor.

    Otomatize araç kullanarak “sızma testi” yapılması noktasına gelirsek, otomatize araçların ne zaman ne sonuç -ki bazen yanlış sonuç- verdiğini bilmeden iş yapmak / yaptırmak büyük cesaret. Ben bunu tüfeğin icat olmasına benzetiyorum. Önceden kılıç kuşanabilen adam savaşırdı, artık tetiğe basabilen. Tüfek icat oldu mertlik bozuldu. Kılıç kuşanmak bir süreçti, yoğun çabalar gerektiriyordu. Tüfek ise bir an gerektiriyor. Aynı şekilde otomatize araçlar da çok büyük bir çaba gerektirmiyorlar. Zaman konusunda büyük kolaylık sağlıyorlar. Bütün artılarına rağmen her zaman doğru sonuç verebilen yazılımlar da değiller. İş yine insana kalıyor ve yine mevzunun başına dönüyoruz. Kaldı ki bu araçlar belirli araştırmalara göre hazırlanmış yazılımlar olduğu göz önüne alınırsa araştırmayı da yapan yine insan. Anlamamız gereken şu ki alınan binlerce dolarlık güvenlik ürünleri uzaylılar getirmiyor. Bu firmalardaki kişilerin yaptığı araştırmalara ve tecrübelere dayanarak oluşturuluyor. Sonuçta yine insan, yine insan…

    Bu mesele böyle çok uzar gider. Kolay kolay çözüme de ulaşamayız. Ama meselenin farklı taraflarındaki insanlardan gelebilecek görüşler ile bu konuları düzeltmek üzere çalışmalar yapabiliriz. En azından deneyebiliriz. En azından imkanları olmayan insanları teşvik edebiliriz…

    Daha söylemeyi istediğim çok konu olmasına rağmen yorumumun çok uzadığını düşünerek bunu bir fotoğrafla sonlandırmak istiyorum.

    https://pbs.twimg.com/media/B4ipoK-CcAAf_ZS.jpg

    “Tohum saç, bitmezse toprak utansın!

    Ustada kalırsa bu öksüz yapı,
    Onu sürdürmeyen çırak utansın!
    …”

    Sevgiler,
    Gökmen.

  4. Daha henüz bu işin içinde değilim, üniversite okuyorum ama güvenlikçi olmak istiyorum… Hiçbir birikimim olmamasına rağmen yazıyı ve yorumları okuduktuktan sonra nedense şöyle bi söz yazasım geldi…. :D :D

    ” Yarının güvenlik uzmanları, bugünün – Abi ben bu işte yeniyim de bana da bişeyler öğretir misiniz – diyen çiçeği burnunda veletleridir ”

    Vesselam…

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

Bad Bad USB

If you are looking for an English version of this article, please visit here. Her yıl, Ağustos ayında, ABD’nin Las Vegas kentinde düzenlenen geleneksel Black Hat Bilgi Güvenliği Konferansı‘nın sonuncusunda, Karsten NOHL ve Jakob LELL adındaki iki araştırmacı, BadUSB adında dikkat çekici bir sunuma imza attı. Bu sunumda kısaca, USB’de…
Read More