- 17 Kas 2020
- 923
- 510
“Beyaz Şapkalı Hacker Kimdir? Ne İş Yapar?” isimli konumuzdan sonra gri şapkalı hacker konusuna da değinmemiz iyi olacaktır. Gri şapkalı hacker terimi, tahmin edileceği gibi siyah ve beyazın karışımından oluşan bir uzmanlığı ifade eder. Yani gri şapkalı hacker’lar hem yasal işler ve işlemler yaparlar hem de bazı durumlarda yasadışı işler de yapabilmektedirler. Ama yasadışı işlemleri, bazı insanları siber saldırıdan korumak veya kurtarmak için kullanmayı düşünebilirler. Çünkü bazı durumlarda yasalara uygun davranmaya çalışıldığında prosedürleri uygulamak gerekliliğiyle çok vakit kaybedilerek siber saldırıya maruz kalınma ihtimalinin yüksek olduğunun farkındadırlar.
Gri şapkalı hacker’ların en belirgin özellikleri olarak şunlar sayılabilir; bir güvenlik açığı tespit ettiklerinde ilgililere bildirmeyebilirler, ama bu açığı suistimal de etmezler. Ayrıca bazı gri şapkalı hacker’lar, özel veya resmi kurumların web erişimlerinde bir açık yakaladıklarında veya siber güvenlik önlemlerindeki kusurları tespit ettiklerinde bunu ilgililere raporlayabilir, fakat bu açığın nasıl kapatılacağını veya saldırıdan nasıl korunacağını açıklamak yerine ücret veya başka bir çıkar elde etme karşılığında bu sorunu çözmeyi teklif edebilirler. Yasadışı işlemler yapıp kar elde etmek için verileri ele geçirip geçirmedikleri tam olarak bilinmese de genel anlamda bu verilerle kimseye zarar verecek faaliyetler yapmadıkları düşünülmektedir. Bu yönleriyle siyah şapkalı hacker’lar ile ayrılırlar. Yine de özel firmalar veya kamu kurumlarının altyapısını ele geçirmeleri sebebiyle gri şapka korsanlığı yasadışı sayılır. Ama buna rağmen özel şirketlerin veya kamu kurumlarının siber güvenlik anlamındaki eksiklikleri konusunda bilinçlenmelerini sağlamak için çalışırlar.
Gri Şapkalı Hacker Misyonu
Gri şapkalı hacker’lar özellikle iş dünyası için internet ağlarının güvenli olmadığını bildikleri için bireyler ve kuruluşlar için bu ağı güvenli hale getirmeye çalışırken çok ses getiren müdahaleler yapabilirler. Bunu yaparak haklı olduklarını ve saldırganlara dersini verme görevini üstlendiklerini gösterme amacı güderler.
Gri Hacker’lar çoğunlukla firma veya kurum yetkililerine değerli bilgiler sağlar. Buna rağmen gri şapkalıların faaliyetleri yasadışı olarak görülür çünkü kuruluşun sistemlerine sızma girişiminden önce izin almazlar.
Diğer Hacker’lardan Farkları
Gri şapkalı hacker ile siyah şapkalı hacker arasında fazla fark yokmuş gibi görünse de aslında gri şapkalı hacker, genel anlamda kendi çıkarı için insanlara zarar verecek siber faaliyetlerde bulunmadığı için siyah şapkalı hacker’dan ayrı görülmelidir.
Bazı kuruluşlar, gri şapkalı hacker’ları teşvik edebilmek için, kuruluş hakkındaki bulgularını bildirmeleri konusunda ödül uygulamaları kullanabilmektedir. Tabii ki bu ödül, kendilerinin bulamadığı güvenlik açığının giderilip riskleri uzaklaştırmak içindir. Yine de bu durumda bile risk alınmış olunur, çünkü bilgisayar korsanının isteklere uygun davranmasının garantisi yoktur. Ödül konusunda kuruluşun yanıtı gecikirse veya ödülü vermezse gri şapkalı hacker, zafiyeti internette yayar veya kendi kullanırsa; hatta ödül almasına rağmen suistimal ederse siyah şapkaya dönüşmüş olur. Ayrıca gri şapkalılar, bilgisayar korsanlığı becerilerini kişisel kazanç için kullanmak istemeleri ve bunu uygulamaları halinde de siyah şapkalıya dönüştükleri düşünülür. Yani gri ve siyah arasında ince bir çizgi vardır. Bu çizgi aşılmadığı sürece, sistemlerde izinsiz şekilde güvenlik açığı aramaları ve kişisel bilgisayarlarda, kurum sistemlerinde güvenlik sağlanmasına katkıda bulundukları sürece gri şapkalı hacker unvanıyla anılmaya devam edilirler.
Gri şapka ile beyaz şapkanın en belirgin farkı da, kuruluşun ödül konusunda tereddütte kalması durumunda bilgisayar korsanının iş sözleşmesine veya etik kurallara uymaması olabilir.
Gri Şapkalı Hacker Olabilmek için Gerekli Şartlar:
Programlama dillerini bilmek.
Kendini sürekli geliştirmek ve bildiklerini güncel tutmak.
Ağ ve sistem güvenliği konularında saldırı tekniklerini iyi bilmek ve koruma konusunda uzmanlaşmak.
Pentest ile ilgili denemeler yaparak deneyim kazanmak, hatta mümkünse sertifikalı eğitimlere katılmak.
Siber dünyada güçlü olabilmek ve saldırganlara karşı güç üstünlüğü sağlayabilmek için yalnızca teknik imkânlar ve sahip olunan teknolojik donanımlar yeterli değildir. Bunun sebebi, siber saldırı girişiminde bulunan kişilerin donanımlarının, imkânlarının ortadan kaldırılamaması ve onlara karşı müdafaa yöntemlerinin kısıtlı olmasıdır. Bir durum daha vardır ki; siber güvenlik sağlayıcıları ve bunların getirdiği caydırıcılık durumu oluşturulsa da saldırganlar veya onları saldırıya yönlendirenlerin belirlenmesi olasılığı çok düşüktür. Bu yüzden bu konudaki yaptırım uygulamaları yeterince yerine getirilememektedir. Bunun sonucu olarak da mağdurlar oldukça zor durumda kalmaktadır.
Son düzenleme:
