PROAKTİF SİBER SAVUNMA VE SIZMA TESTLERİ KILAVUZU

ETİK HACKERLİK:

PROAKTİF SİBER SAVUNMA VE SIZMA TESTLERİ KILAVUZU

Yazar: Selçuk Dikici, MÜH., İŞLTM., HKK. DNŞM. , END. ELKO.

(Mühendis, Hukuk ve İş Stratejisti)

YAZAR HAKKINDA:

Selçuk Dikici, siber güvenlik alanına alışılmışın dışında, çok katmanlı bir akademik birikimle yaklaşan bir uzmandır. Eğitim yolculuğu, teknik uygulamadan stratejik yönetime ve hukuki sorumluluğa uzanır:

• Teknik Temeller: Kariyerine Endüstriyel Elektronik Ön Lisans eğitimiyle başlayarak, sistemlerin yüksek seviyeli donanım ve yazılım mimarisine hakim olmuştur.
• Stratejik ve Yönetsel Yetkinlik: İşletme Fakültesi Lisans derecesi ve İstanbul Üniversitesi bünyesindeki Endüstri Mühendisliği eğitimiyle (Lisans/Yüksek Lisans), siber riskleri kurumsal strateji ve operasyonel verimlilik bağlamında analiz etme becerisi kazanmıştır.
• Hukuk ve Etik Uzmanlığı: Hukuk-Adalet Ön Lisans derecesi, kendisine siber suçlar, KVKK/GDPR uyumluluğu ve etik hackerliğin yasal sınırları konusunda derin bir yetkinlik sağlamıştır.
• Sistem Uzmanlığı: BTK Sistem Mühendisliği programı ile bu disiplinlerarası bilgi birikimini, büyük ölçekli sistemlerin entegrasyonu ve güvenliği üzerine pekiştirmiştir.

Önsöz

• Selçuk Dikici’den Mesaj:

“Dijital çağın en büyük paradoksu, sınırsız potansiyel ile sürekli risk altındaki varoluşumuzdur. Bir sistemi, sadece yazılımsal kodlar ve donanım bileşenleri olarak görmek, büyük bir yanılgıdır. Bir siber sistemi anlamak; Endüstri Mühendisliği disipliniyle o sistemin operasyonel süreçlerini analiz etmeyi, İşletme perspektifiyle riskin finansal etkisini ve stratejik önceliklerini ölçmeyi, Endüstriyel Elektronik bilgisiyle zafiyetin donanım katmanındaki kök nedenini kavramayı, ve en önemlisi Hukuk ve Adalet eğitiminin getirdiği ahlaki ve yasal titizlikle o zafiyeti doğru çerçevede raporlamayı gerektirir.

Bu kitap, bu çok disiplinli yaklaşımın bir ürünüdür. Amacım, yalnızca teknik nasıl yapılır‘ları öğretmek değil; aynı zamanda etik hackerliği sistematik bir iş süreci, stratejik bir yatırım ve yasal bir sorumluluk olarak konumlandırmaktır. Siyah Şapka ile mücadele, yalnızca kod yazarak değil, doğru stratejiyi uygulayarak, riski yöneterek ve hukuki sınırlar içinde kalarak kazanılabilir.”

Dört temel disiplinin (Teknoloji, Yönetim, Süreç ve Hukuk) siber güvenlikte nasıl birleştiğini gösteriyor. Amacımız, etik hackerliği sistematik bir süreç, ölçülebilir bir yatırım ve yasal olarak sağlam bir zorunluluk olarak ele almaktır. Bu yolculukta, yalnızca teknik becerilerle değil, aynı zamanda etik pusulanızla hareket etmeyi öğreneceksiniz.

İÇİNDEKİLER

BÖLÜM 1: ETİK HACKERLİĞİN SİSTEMATİK TEMELLERİ

Odak Disiplinler: Endüstri Mühendisliği, İşletme

No.	Konu Başlığı	Sayfa
1.1.	Siber Güvenliğe Giriş: Risk, Tehdit ve Zafiyet Tanımları
1.2.	Hacker Profilleme: Beyaz, Siyah ve Gri Şapka Aktörler
1.3.	Motivasyonların Kârlılık Analizi: Siber Suçun ROI’si (İşletme)
1.4.	Etik Hackerlik: Bir Proses Kontrolü ve Kalite Güvencesi Metodu (Mühendislik)
1.5.	Pentest ve Zafiyet Analizi Farkı: Kapsam vs. Kanıt Stratejisi

BÖLÜM 2: ETİK VE HUKUKİ ÇERÇEVE: ADALETİN SINIRLARI

Odak Disiplinler: Hukuk-Adalet, İşletme

No.	Konu Başlığı	Sayfa
2.1.	Yasal Yetkilendirme: Rızanın Hukuki ve Cezai Açıdan Önemi
2.2.	TCK’daki Bilişim Suçları: Yetkisiz Erişim ve Veri İhlali Yaptırımları
2.3.	Kapsam Sözleşmesi (Scope of Work): Hukuki Koruma Kalkanı ve Unsurları
2.4.	KVKK/GDPR Uyum Analizi: Hassas Veri Yönetimi ve Sorumluluk
2.5.	Sorumlu Açıklama Prensibi: Etik Zorunluluk ve Ticari İtibar Yönetimi

BÖLÜM 3: SİSTEMATİK PENTEST METODOLOJİLERİ VE ARAÇLARI

Odak Disiplinler: Endüstri Mühendisliği, Endüstriyel Elektronik

No.	Konu Başlığı	Sayfa
3.1.	Pentest Prosesinin 6 Aşaması: CEH ve PTES Standartlarıyla Kıyaslama
3.2.	Aşama 1: Keşif (Reconnaissance): Pasif ve Aktif Bilgi Toplama Teknikleri
3.3.	Aşama 2-3: Tarama ve Zafiyet Analizi: Nmap ve Otomatik Tarayıcılar
3.4.	Aşama 4: Erişim Elde Etme ve Sömürü: Metasploit Kullanım Mantığı
3.5.	Aşama 5: Kalıcılık ve İzleri Temizleme: Hukuki ve Teknik Sorumluluklar
3.6.	Teknik Laboratuvar Kurulumu: Kali Linux Ortamına Giriş

BÖLÜM 4: TEMEL SALDIRI VEKTÖRLERİ VE TEKNİK ANALİZ

Odak Disiplinler: Endüstriyel Elektronik, İşletme

No.	Konu Başlığı	Sayfa
4.1.	Web Uygulama Zafiyetleri: SQL Injection ve XSS Hata Kaynağı Analizi
4.2.	Kriptografi Zafiyetleri: Şifreleme Mantığı ve Zayıf Anahtar Tespiti
4.3.	Ağ ve Protokol Saldırıları: MitM ve ARP Protokolünün Sömürülmesi
4.4.	Parola Kırma Teknikleri: John the Ripper ve İşletme Güvenlik Politikası Etkisi
4.5.	Sosyal Mühendislik: İnsan Faktörü Risk Yönetimi ve Eğitim Programları

BÖLÜM 5: GELECEK TRENDLER: YENİ ALANLAR VE SİSTEM MÜHENDİSLİĞİ

Odak Disiplinler: Sistem Mühendisliği, Endüstriyel Elektronik

No.	Konu Başlığı	Sayfa
5.1.	Bulut Güvenliği Zorlukları: Sorumluluk Modeli ve IAM Zafiyetleri
5.2.	IoT ve Kritik Altyapılar (SCADA): Düşük Seviye Elektronik ve Fiziksel Riskler
5.3.	Yapay Zeka (AI) Etkisi: Saldırı Otomasyonu ve Algoritmik Güvenlik Testi
5.4.	Mobil ve API Güvenliği: Yeni Sistem Sınırları ve Test Yöntemleri
5.5.	Kuantum Hesaplama Tehdidi ve Kriptografik Geçiş (PQC)

       SONUÇ ve İLERİ OKUMALAR

No.	Konu Başlığı	Sayfa
6.1.	Sonuç: Etik Hackerliğin Kurumsal Stratejideki Vazgeçilmez Yeri
6.2.	Disiplinlerarası Alanlarda Kariyer ve Gelişim Önerileri
6.3.	Kaynakça ve İleri Sertifikasyon Yolları

BÖLÜM 1: ETİK HACKERLİĞİN SİSTEMATİK TEMELLERİNE GİRİŞ

Siber güvenlik, çoğu zaman sadece bir “kod ve araç” meselesi olarak görülür. Ancak biz ve bizim gibi uzmanlara göre bu büyük bir yanılgıdır. Bir sistemi korumak, öncelikle o sistemi, onun risklerini ve ona saldıranların motivasyonlarını sistematik olarak anlamayı gerektirir.

Bu bölüm, Endüstri Mühendisliği ve İşletme disiplinlerinin merceğinden etik hackerliğin teorik ve sistematik temellerini ele alacaktır. Bir saldırganın eyleminin ardındaki ekonomik kârlılık analizi yapılacak, siber riskler basit bir teknik arıza yerine kontrol edilmesi gereken operasyonel bir süreç olarak konumlandırılacaktır.

Burada öğreneceğiniz şey, sadece hacklemenin nasıl yapıldığı değil, bir sızma testinin bir kuruluş için neden stratejik bir yatırım ve süreç kontrolünün vazgeçilmez bir parçası olduğudur. Etik hackerlik, kaosu değil, ölçülebilirliği ve düzeni temsil eder.

1.1. Siber Güvenliğe Giriş: Risk, Tehdit ve Zafiyet Tanımları

Odak Disiplin: Endüstri Mühendisliği ve İşletme

Bir sistemin güvenliğini sağlamak için öncelikle koruma altına alınacak bileşenleri, onlara yönelik tehlikeleri ve bu tehlikelerin gerçekleşme olasılığını anlamak gerekir. Endüstri Mühendisliği yaklaşımıyla, siber güvenlik kavramlarını kaotik olaylar yerine, yönetilebilir ve ölçülebilir proses girdileri olarak tanımlarız:

A. Varlık (Asset): Varlık, bir kurum için değere sahip olan ve korunması gereken her türlü kaynaktır. Değer, sadece finansal değil, aynı zamanda operasyonel ve itibari olabilir.

• Örnekler: Veritabanları (Müşteri bilgileri), sunucular, fikri mülkiyet (patentler), markanın itibarı, hatta kritik çalışanlar.
• İşletme Perspektifi: Varlıkların korunması, şirketin iş sürekliliğini doğrudan etkiler. Bir varlığın kaybı veya hasarı, sadece onarım maliyetine değil, aynı zamanda pazar payı kaybına veya hukuki cezaya yol açar.

B. Tehdit (Threat): Bir varlığa zarar verme potansiyeline sahip her şeydir. Tehditler, varlık üzerinde olumsuz bir olayın gerçekleşme olasılığıdır.

• İnsan Kaynaklı Tehditler: Kötü niyetli hackerlar, içeriden çalışanlar (iç tehdit), sosyal mühendislik saldırıları.
• Çevresel Tehditler: Doğal afetler, yangın, elektrik kesintisi.
• Yapısal Tehditler: Yazılımsal hatalar, donanım arızaları (Endüstriyel Elektronik hatası).

C. Zafiyet (Vulnerability): Zafiyet, bir tehdidin istismar edebileceği, bir varlık veya sistemdeki zayıflık, hata veya boşluktur. Bir kapıdaki kilitlenmemiş bir pencere gibi düşünülebilir. Zafiyet, tehdidin gerçekleşmesine olanak tanıyan kapıdır.

• Teknik Zafiyetler: Varsayılan parolalar, güncellenmemiş yazılımlar (yama eksikliği), zayıf şifreleme algoritmaları.
• Yönetsel Zafiyetler: Güvenlik politikalarının uygulanmaması, yetersiz çalışan eğitimi, yetki karmaşası.

D. Risk (Risk): Risk, bir zafiyetin, bir tehdit tarafından istismar edilme olasılığı ile bu istismarın yol açacağı potansiyel zararın (etkinin) matematiksel bir fonksiyonudur.

• Risk Analizi (Endüstri Mühendisliği): Etik hackerlik, risk analizini temel alır. Bir zafiyetin yüksek riskli sayılması için hem kolay istismar edilebilir olması (yüksek olasılık) hem de kritik bir varlığa (yüksek etki) ulaşması gerekir. Önceliklendirme, bu formüle göre yapılır.
• Örnek: Bir e-ticaret sitesinde, müşterilerin kredi kartı bilgilerinin bulunduğu veritabanına erişim sağlayan bir SQL Açığı (Zafiyet) yüksek risk teşkil eder, çünkü potansiyel finansal ve hukuki Etkisi çok yüksektir.

1.2. Hacker Profilleme: Beyaz, Siyah ve Gri Şapka Aktörler

Odak Disiplin: Hukuk-Adalet ve İşletme

Hacker topluluğu, eylemlerinin ardındaki niyete ve yasal duruşa göre üç ana gruba ayrılır. Bir etik hacker (Beyaz Şapka) olarak, diğer iki grubun motivasyonlarını ve yöntemlerini anlamak, savunma stratejinizin temelini oluşturur. Bu profilleme, sadece teknik bir ayrım değil, aynı zamanda hukuki ve etik bir ayrımdır.

A. Siyah Şapkalı Hacker (Black Hat): Kötü Niyet ve Kârlılık Odaklılık Bu kişiler, bilgi sistemlerine yasadışı yollarla ve kötü niyetle sızarak zarar verme, veri çalma veya fidye talep etme amacı güderler.

• Temel Motivasyon:
  • Finansal Kâr (İşletme Perspektifi): Fidye yazılımları, kredi kartı bilgisi satışı, kripto para hırsızlığı. Eylemlerinin ROI’sini (Yatırım Getirisi) hesaplarlar.
  • Endüstriyel Casusluk: Rakip şirketlerin fikri mülkiyetini veya stratejik bilgilerini çalmak.
• Hukuki Duruş (Adalet Perspektifi): Eylemleri, Türk Ceza Kanunu (TCK) kapsamında “Bilişim Sistemine Girme” veya “Verileri Bozma, Yok Etme, Değiştirme” gibi suçları oluşturur. Yetki ve rıza kesinlikle yoktur.

B. Beyaz Şapkalı Hacker (White Hat): Etik, Yasal ve Proaktif Savunma Kurumların veya kişilerin açık rızası ve yazılı izni dahilinde, sistemleri güvenlik açıklarına karşı test eden siber güvenlik uzmanlarıdır. Bu kişiler, kötü niyetli bir saldırganın yöntemlerini taklit ederek, saldırganlardan önce zafiyetleri bulur ve raporlarlar.

• Temel Motivasyon:
  • Proaktif Koruma (Mühendislik): Sistemin güvenliğini iyileştirme, riskleri yönetme ve prosesi güçlendirme.
  • Yasal Uyumluluk (Hukuk): Faaliyetlerini KVKK, GDPR ve yerel bilişim yasalarına tam uyumlu olarak yürütme.
• Hukuki Duruş (Adalet Perspektifi): Faaliyetleri tamamen yasaldır ve Rıza ilkesine dayanır. Bu rıza olmaksızın, eylemleri anında yasadışı kabul edilir. Beyaz şapkalılar, hukuki çerçeveden asla sapmazlar.

C. Gri Şapkalı Hacker (Gray Hat): Etik Çatışma ve Belirsizlik Alanı Bu grup, genellikle kötü niyetli amaç gütmez, ancak sistemleri izinsiz olarak test ederler. Buldukları zafiyeti sistem sahibine bildirirler ancak bunu yaparken yasal izin almamışlardır veya zafiyetin bedelini talep edebilirler.

• Temel Motivasyon: Güvenlik farkındalığını artırmak, yeteneklerini kanıtlamak.
• Hukuki Duruş (Adalet Perspektifi): Gri şapkalı eylemler, teknik olarak iyi niyetli olsa bile, yasal olarak “yetkisiz erişim” suçu kapsamına girer. Çünkü rıza, hukukun temel şartıdır. Bu durum, gri şapkalının iyi niyetini yasal olarak geçerli kılmaz ve cezai sorumluluk doğurabilir.
• İşletme ve Etik Çıkarım: Bir kuruluş, bir gri şapkalıdan gelen zafiyet raporunu değerlendirirken bile, bu kişinin yasal olmayan eylemi nedeniyle hukuki risk altında kalabilir. Etik hackerlık, bu nedenle gri bölgeyi değil, mutlak Beyaz Şapka bölgesini zorunlu kılar.

İyi  bir siber savunma stratejisi, Siyah Şapkalının motivasyonunu taklit ederken, Beyaz Şapkalının mutlak hukuki ve etik disiplinini korumayı zorunlu kılar. Bir sonraki bölümde bu etik disiplinin yasal çerçevesini derinlemesine inceleyeceğiz.

1.3. Motivasyonların Kârlılık Analizi: Siber Suçun ROI’si (İşletme)

Odak Disiplin: İşletme , Risk Yönetimi

A. Siyah Şapkalı Eylemin Ekonomik Modeli

Geleneksel suçun aksine, siber suçlar coğrafi sınırlamalardan bağımsız, düşük fiziksel riskli ve yüksek ölçeklenebilir bir iş modeline sahiptir. Siyah Şapkalı hacker, bir tehdit aktörü olmanın ötesinde, eylemini bir girişim (venture) olarak ele alan rasyonel bir aktördür. Bu eylemin temel tetikleyicisi, yatırım getirisi (Return on Investment – ROI) beklentisidir.

1. Operasyonel Maliyetler (Yatırım): Siber saldırganın maliyetleri, risk ve zaman bileşenlerini içerir. Endüstri Mühendisliği yaklaşımıyla, bu maliyetler azaltılmaya çalışılan proses kayıplarıdır:

• Zaman Maliyeti (Time-to-Exploit): Bir zafiyeti keşfetme ve sömürme için harcanan zaman.
• Teknik Maliyet: Exploit kitleri, kötü amaçlı yazılım (malware) geliştirme/satın alma, anonim altyapı (VPN, C&C sunucuları) kiralama giderleri.
• Yakalanma Riski (Hukuki Maliyet): Yüksek profilli saldırılar için artan hukuki riskin parasal değeri.

2. Finansal Getiri: Bu, saldırının türüne göre değişir: fidye ödemeleri, çalınan fikri mülkiyetin (IP) ticari değeri veya çalınan kimlik/kredi kartı bilgilerinin karaborsadaki fiyatı.

B. Güncel Ekonomik Veriler ve Hedef Belirleme Stratejisi

Güncel raporlar, siber suçun ROI’sini anlamak için önemli veriler sunar:

• IBM Security’nin Yıllık Veri İhlali Maliyeti Raporu (2024): Bir veri ihlalinin ortalama maliyeti küresel çapta $4.45 Milyon’a ulaşmıştır. Selçuk Dikici‘nin İşletme ve Endüstri Mühendisliği birikimiyle bakıldığında, bu veri, etik hackerlik yatırımlarının bir “maliyetten kaçınma” stratejisi olarak görülmesi gerektiğini kanıtlar. Koruma maliyeti, potansiyel kayıp maliyetinin çok altında kalmaktadır.
• Hedef Seçimi: Siyah Şapkalılar, özellikle iş sürekliliğinin maliyetinin çok yüksek olduğu sektörleri (sağlık, finans, üretim) hedeflerler çünkü bu sektörler fidyeyi ödeme eğilimindedir. Bu, risk toleransı düşük olan kurumların öncelikli olarak hedeflendiğini gösterir.

Bilim İnsanı Görüşü: Siber ekonomi üzerine çalışmalarıyla tanınan Dr. Ross Anderson, siber güvenliğin bir teknoloji sorunu olmaktan çok, doğru ekonomik teşviklerin ve risk analizinin uygulanması sorunu olduğunu savunur. Anderson’a göre, kurumlar güvenlik tedbirlerinin getirdiği maliyetleri, olası kayıpların matematiksel beklentisiyle dengelemelidir. Etik hackerlar, bu matematiksel beklentiyi simüle eden kişilerdir.

C. Etik Hackerin ROI Denklemini Savunma Lehine Çevirme Stratejileri

Etik hackerin temel stratejik görevi, saldırganın ROI’sini negatif bölgeye çekmektir:

1. Operasyonel Maliyeti Artırmak (Eforu Yükseltmek):
   • Çok faktörlü kimlik doğrulama (MFA) ve gelişmiş ağ segmentasyonu ile sisteme sızma süresini uzatmak.
   • Endüstri Mühendisliği Uygulaması: Saldırı sürecindeki her adımı bir darboğaz (bottleneck) haline getirmek.
2. Finansal Getiriyi Azaltmak (Hedefi Değersizleştirmek):
   • Verileri şifrelemek, parçalamak veya anonimleştirmek. Böylece çalınan verinin karaborsadaki değeri düşer.
   • İşletme Uygulaması: Müşteri verilerini mümkün olduğunca yerel sistemlerde tutmayarak, saldırganın ana hedefini ortadan kaldırmak (Veri Minimalizasyonu).

1.4. Etik Hackerlik: Bir Proses Kontrolü ve Kalite Güvencesi Metodu (Mühendislik)

Odak Disiplin: Endüstri Mühendisliği, Sistem Mühendisliği

A. Etik Hacking’in Proses Kontrol Çevrimi Olarak Konumlandırılması

Endüstri Mühendisliği felsefesine göre, bir sistemin kalitesi, son ürünün incelenmesiyle değil, üretim sürecinin her aşamasının kontrolüyle sağlanır. Etik hackerlik de bir yazılımın veya ağ mimarisinin “üretim sonrası” denetimi değil, sürekli bir proses içi kalite kontrol mekanizmasıdır.

1. Sürekli İyileştirme Döngüsü (PDCA Prensibi):

• Plan (P): Test kapsamının belirlenmesi.
• Do (D): Sızma testinin uygulanması.
• Check (C): Bulunan zafiyetlerin ciddiyetinin ve istismar edilebilirliğinin kanıtlanması.
• Act (A): Düzeltme önerilerinin uygulanması ve sisteme entegrasyonu. Etik hacker, bu döngünün Ölçüm (Check) ve Doğrulama (Act) adımlarında kilit rol oynar.

2. Güvenlikte Darboğaz Analizi: Tıpkı bir üretim hattında en yavaş çalışan makinenin verimliliği belirlemesi gibi, siber güvenlik zincirinde de en zayıf halka (darboğaz) tüm sistemin güvenliğini belirler. Etik hackerlar, ağın veya uygulamanın en kritik darboğazlarını (örneğin, güncel olmayan bir kimlik doğrulama modülü) tespit etmeye odaklanır.

B. Kalite Güvencesi (QA) ve Güvenlik Metrikleri

Etik hackerin çıktısı, yöneticiler için stratejik karar almaya yönelik somut metrikler sunar:

• Zafiyet Yoğunluğu: Belirli bir kod satırı veya modül başına düşen kritik zafiyet sayısı.
• Ortalama Düzeltme Süresi (MTTR – Mean Time to Remediate): Bir zafiyetin tespitinden yama uygulanmasına kadar geçen süre. Sistem Mühendisliği açısından, bu sürenin kısaltılması operasyonel verimliliğin doğrudan göstergesidir.
• Başarılı Sömürü Oranı: Kaç denemenin sisteme erişimle sonuçlandığı.

Bilim İnsanı Görüşü: Kalite yönetimi gurusu Dr. W. Edwards Deming‘in felsefesi, “Sürekli iyileştirme, ancak veriye dayalı ölçümle mümkündür” der. Etik hacking, bu bağlamda, “güvenlik kalitesini” ölçen yegâne deneysel araçtır. Eğer bir zafiyeti kanıtlayamıyorsanız, onu düzeltmek için yeterli yönetimsel kaynağı talep etmeniz zordur.

C. ISO 27001 ve Yasal Uyumlulukta Etik Hacking’in Konumu

ISO 27001 standardı, Bilgi Güvenliği Yönetim Sisteminin (BGYS) kurulmasını zorunlu kılar. Bu standart, madde 14 (Sistem Edinme, Geliştirme ve Bakım) ve madde 18 (Uyum) kapsamında düzenli güvenlik testi ve denetimleri talep eder. Etik hacking, bu gereklilikleri en üst düzeyde karşılayan Bağımsız Doğrulama Mekanizmasıdır.

---

1.5. Pentest ve Zafiyet Analizi Farkı: Kapsam vs. Kanıt Stratejisi

Odak Disiplin: İşletme, Endüstri Mühendisliği (Risk Yönetimi)

A. İki Farklı Stratejik Hedef: Kapsam ve Derinlik

Kurumlar, güvenlik bütçelerini tahsis ederken, Zafiyet Analizi (VA) ve Sızma Testi (PT) arasındaki ayrımı netleştirmelidir. Bu iki yöntem, siber risk matrisinde farklı sütunları doldurur.

1. Zafiyet Analizi (Vulnerability Assessment – VA):

• Amacı (Kapsam): Bir ağdaki tüm bilinen zafiyetlerin taranması ve listelenmesidir. Amaç, mümkün olduğunca geniş bir envanter oluşturmaktır.
• Yöntem: Otomatik araçlar (Nessus, Qualys, OpenVAS) kullanılır.
• Çıktı: Uzun bir zafiyet listesi; genellikle yanlış pozitifler (false positives) içerir. Zafiyetin gerçekten sömürülebilir olup olmadığı kanıtlanmaz.
• İşletme Değeri: Hızlı, düşük maliyetli, rutin güvenlik hijyeni için kullanılır.

2. Sızma Testi (Penetration Testing – PT):

• Amacı (Kanıt): Seçilen kritik hedefler üzerinde, bir zafiyetin başarıyla sömürülebildiğini ve erişim elde edilebildiğini kanıtlamaktır.
• Yöntem: Yüksek seviyede manuel uzmanlık, yaratıcılık ve sömürü zincirlerinin (Exploit Chains) oluşturulmasını gerektirir.
• Çıktı: Az sayıda, ancak istismar edilebilirliği kesin olarak kanıtlanmış zafiyetin bulunduğu, yönetime sunulan somut bir risk senaryosu.
• Stratejik Değeri: Pahalıdır, ancak yönetime “Eğer saldırgan burayı bulsaydı, sonuç ne olurdu?” sorusunun kesin cevabını sunar.

B. Risk Matrisinde Konumlandırma (Endüstri Mühendisliği)

Pentest, zafiyet analizinin çıktısını alır ve risk matrisinde şu dönüşümü gerçekleştirir:

Kriter	Zafiyet Analizi (VA)	Sızma Testi (PT)
Olasılık (Likelihood)	Yüksek/Orta/Düşük (Teorik tahmin)	Kanıtlanmış Yüksek (Erişim sağlanmıştır)
Etki (Impact)	Potansiyel hasar tahmini	Gerçekleşen Hasar (Somut kanıt, Örn: Admin parolası)
Sonuç	Teorik Risk Listesi	Gerçek Risk Senaryosu (Raporun Yönetime Tesiri Yüksek)

Bilim İnsanı Görüşü: Güvenlik üzerine etkili yazıları olan Marcus Ranum, “Güvenlik, bir ürün değil, bir bakış açısıdır” der. Bu bakış açısı, Pentest’in derinliğinde yatar; çünkü Pentest, bir aracın yapamadığı yaratıcı düşünceyi ve zafiyet zincirlerini birleştirme yeteneğini kullanır.

C. İşletme Kararları ve Kaynak Tahsisi

Selçuk Dikici‘nin İşletme ve Sistem Mühendisliği deneyimine göre, VA ve PT’nin optimal entegrasyonu şu şekilde olmalıdır:

1. Sık ve Geniş VA: Kurum, yüzlerce veya binlerce sistem üzerindeki temel güvenlik ayarlarını ve yama yönetimini sürekli kontrol etmek için (aylık veya haftalık) VA araçlarını kullanır.
2. Odaklı PT: Yılda bir veya iki kez (veya kritik mimari değişikliklerden sonra), PT’yi yalnızca en değerli varlıklar (Finansal Veritabanları, Patent Sunucuları, Üst Düzey Yöneticilerin hesapları) üzerinde uygular. Bu, sınırlı uzman kaynağını en yüksek risk alanına yönlendirme stratejisidir.

Pentest, bu nedenle, bir maliyet unsuru değil, kurumun en büyük siber risklerine karşı aldığı en önemli sigorta poliçesi olarak değerlendirilmelidir. Bu kanıtlanmış risk senaryoları, güvenlik bütçesinin artırılması için yönetim kuruluna sunulacak en güçlü argümanlardır.

BÖLÜM 2: ETİK VE HUKUKİ ÇERÇEVE: ADALETİN SINIRLARI

Siber güvenlik alanında en sık göz ardı edilen gerçek şudur: Bir zafiyeti bulmak teknik bir başarıdır; ancak o zafiyeti bulmak için sisteme girmek, eğer yetkiniz yoksa, cezai bir suçtur.

Bu bölüm, Hukuk-Adalet ve İşletme eğitimlerinin kesişim noktasını temsil eder. Etik hackerlık, yüksek teknik beceri gerektirse de, varlığını ve yasallığını yalnızca yazılı rıza (yetkilendirme) ilkesine borçludur. Yetkisiz bir eylem, iyi niyetli bile olsa, TCK kapsamında “Bilişim Suçu” teşkil eder.

Burada, sızma testlerinin neden bir Hukuki Sözleşme ile başlaması gerektiğini, siber alanın ceza hukuku boyutlarını ve özellikle KVKK ve GDPR kapsamında hassas veri yönetimiyle ilgili kurumsal uyumluluk (compliance) sorumluluklarını inceleyeceğiz. Etik hacker, sadece bir teknisyen değil, aynı zamanda Hukuk Müşavirliği görevini üstlenmiş bir risk yöneticisidir. Bu bölüm, Beyaz Şapkalı kalmak için atılması gereken yasal adımların kılavuzudur.

2.1. Yasal Yetkilendirme: Rızanın Hukuki ve Cezai Açıdan Önemi

Odak Disiplin: Hukuk-Adalet (Ceza Hukuku), İşletme

A. Rıza İlkesi: Hukukun Altın Kuralı

Etik hackerliğin varlığı, eylemin hukuka uygunluk nedeni olan rızaya (izin/yetkilendirme) dayanır. Hukukta, bir eylemin suç teşkil etmemesi için yasal bir dayanağının olması gerekir. Bir bilişim sistemine dışarıdan müdahale etmek, teknik olarak sızma olsa da, yasal rıza ile yapıldığında hukuki bir hizmete dönüşür.

1. Rızanın Hukuki Niteliği: Rıza, TCK’da yer alan suçlarda hukuka uygunluk nedeni olarak kabul edilen, kişinin kendi hakkı üzerindeki tasarruf yetkisinin bir yansımasıdır. Bilişim sistemleri üzerindeki mülkiyet ve tasarruf hakkı sistem sahibine aittir. Sistem sahibi, bu hakkı geçici ve sınırlı bir süre için, belirli bir amaca yönelik olarak (pentest) etik hackera devreder.

2. Rıza Olmaksızın Eylem: Anında Suç Teşkil Etmesi: Eğer bir hacker, bulduğu zafiyetin kritikliğini göstermek amacıyla bir kuruma izinsiz olarak sızarsa, niyeti ne kadar iyi olursa olsun, bu eylem TCK 243. Maddesi kapsamında değerlendirilecektir. İyi niyet, ceza hukukunda eylemi hukuka uygun hale getirmez; olsa olsa cezada indirim sebebi olabilir.

Bilim İnsanı Görüşü: Ceza hukuku profesörleri, bilişim suçları konusunda niyetin değil, objektif hareketin esas alındığını belirtirler. Bir hackerın parolasız bir sisteme girmesi bile, eğer yetkilendirme yoksa, “izinsiz erişim” suçunu tamamlar.

B. Rızanın Geçerlilik Şartları ve Hukuki Açıdan Dayanıklılığı

Bir etik hackerin kendisini yasal olarak koruması için, aldığı rıza/yetkilendirmenin aşağıdaki şartları taşıması gerekir:

• Açık ve Yazılı Olmalı: Sözlü izin veya e-posta mesajı yeterli değildir. Hukuki delil gücünü artırmak için, yazılı bir sözleşme veya yetkilendirme mektubu (Letter of Authorization) şarttır. Bu belge, herhangi bir cezai soruşturmada etik hackerın temel savunma belgesidir.
• Aydınlatılmış Rıza (Informed Consent): Sistem sahibi, testin potansiyel riskleri (sistem kesintisi, veri kaybı riski vb.) konusunda tam olarak bilgilendirilmiş olmalıdır. Rıza, bu risklerin bilincinde olarak verilmelidir.
• Belirli ve Sınırlı Olmalı: Rıza, testin kapsamı, süresi ve hedefleri açısından net sınırlara sahip olmalıdır. “Her şeyi test edebilirsin” şeklinde genel bir rıza hukuken zayıftır.

C. Etik Hacking’de Yanlış Anlaşılan Rıza Tipleri

• Zımni Rıza (İma Edilen İzin): Sistemin korunmasız bırakılması (örn. zayıf parola kullanılması) “Beni hackleyebilirsin” anlamına gelmez. Hukuken, rıza açıkça beyan edilmelidir.
• Kamuya Açık Sistemler: Bir web sitesinin veya uygulamanın herkese açık olması, ona sızma girişiminde bulunma izni vermez. Kamuoyu, sistemin normal işleyişinden yararlanma iznine sahiptir, sistemi test etme veya zafiyet arama iznine değil.

2.2. TCK’daki Bilişim Suçları: Yetkisiz Erişim ve Veri İhlali Yaptırımları

Odak Disiplin: Hukuk-Adalet (Özel Hükümler), İşletme

Türk Ceza Kanunu (TCK), Bilişim Alanında İşlenen Suçlar başlığı altında etik hackerların sınırlarını çizen temel hükümleri barındırır. Bu maddelerin kapsamını anlamak, bir pentestin ne zaman durdurulması gerektiğini belirler.

A. TCK Madde 243: Bilişim Sistemine Girme Suçu

Bu, izinsiz sızma testlerinin doğrudan ihlal ettiği temel maddedir.

• Suçun Tanımı: Bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak girmek ve orada kalmaya devam etmek.
• Cezai Boyutu: Hapis cezası öngörür. Cezanın artırılması ise sistemdeki verileri bozma, yok etme veya değiştirme kastının olup olmadığına bağlıdır.
• Etik Hacker Açısından: Yazılı yetkilendirme, bu suçun “hukuka aykırı olarak” unsurunu ortadan kaldırır. Ancak yetki aşıldığı anda (Scope Creep), eylem “hukuka aykırı” hale gelir ve suç tamamlanır.

B. TCK Madde 244: Sistemi Engelleme, Bozma, Verileri Değiştirme ve Yok Etme

Bu madde, eylemin sadece girişten ibaret olmadığı, aynı zamanda sistemin işleyişine zarar verdiği veya verileri manipüle ettiği durumları kapsar.

• Etik Hacker Riski (Aydınlatılmış Rıza): Etik hackerlar, özellikle DoS/DDoS simülasyonları veya Exploit testleri yaparken, sistemin çökme riskini taşır. Bu riskin gerçekleşmesi durumunda, yetkilendirme sözleşmesinde bu tür eylemlere izin verilip verilmediği, ve hasarın kasti olup olmadığı büyük önem taşır. Eğer sözleşmede bu riskler açıkça belirtilmemişse, etik hacker hukuki riskle karşı karşıya kalabilir.
• Mühendislik ve Hukuk Kesişimi: Bir mühendis olarak etik hacker, kullanacağı Exploit’in yıkıcı potansiyelini önceden öngörmeli ve sistem sahibiyle paylaşmalıdır.

C. TCK Madde 245: Banka veya Kredi Kartlarının Kötüye Kullanılması

Bu madde, etik hackerların bulduğu zafiyetlerin finansal sonuçlarına dair sorumluluklarını içerir.

• Finansal Veri Hırsızlığı Simülasyonu: Bir pentest sırasında, hackerın test ortamında bile gerçek banka kartı numaralarına erişmesi ve bunları kullanması (simüle etse dahi) çok ciddi hukuki riskler taşır. Bu tür veriler, test ortamında dahi maskelenmeli (anonimleştirilmelidir).

D. TCK Madde 135-136: Kişisel Verilerin Kaydedilmesi ve Hukuka Aykırı Olarak Verme veya Ele Geçirme

Bu maddeler, KVKK ve GDPR’ın temelini oluşturur ve bilişim suçlarının yanı sıra veri gizliliğini de kapsar.

• Etik Hacker Sorumluluğu: Pentest sırasında elde edilen kişisel verilerin (PII) herhangi bir üçüncü tarafla paylaşılması veya sözleşme dışı kullanılması, bu maddeler kapsamında ağır cezai yaptırımlara tabidir. Etik hacker, sadece teknik bir zafiyeti değil, aynı zamanda verinin hukuki varlığını da korumakla yükümlüdür.

2.3. Kapsam Sözleşmesi (Scope of Work): Hukuki Koruma Kalkanı ve Unsurları

Odak Disiplin: Hukuk-Adalet (Sözleşme Hukuku), Endüstri Mühendisliği

Kapsam Sözleşmesi (Scope of Work – SOW) veya Yetkilendirme Mektubu, etik hackerin yasal dokunulmazlığını sağlayan en kritik belgedir. Bu belge, Endüstri Mühendisliği hassasiyetiyle, testin proses sınırlarını belirler.

A. SOW’un Temel Hukuki Fonksiyonları

1. Hukuka Uygunluk Belgesi: SOW, hackerın eylemini TCK kapsamında meşru kılan yasal rızanın kanıtıdır.
2. Sorumluluk Sınırlandırması: Test sırasında oluşabilecek beklenmedik hasar veya kesintilerde, tarafların sorumluluklarını netleştirir (Özellikle DoS/DDoS testlerinde kritiktir).
3. Gizlilik Anlaşması (NDA): Hackerın test sırasında elde edeceği tüm bilgilerin ticari sır olduğu ve ifşa edilemeyeceği hükmünü içerir.

B. Kapsam Sözleşmesinin (SOW) Detaylı Unsurları

SOW, aşağıdaki 5N1K prensibine göre hazırlanmalıdır:

1. Ne (What – Testin Kapsamı):
   • Hedefler: Hangi IP adresleri, sunucu adları, web uygulamaları, mobil uygulamalar.
   • Kapsam Dışı (Out-of-Scope): Hangi sistemlere (örneğin, üçüncü taraf tedarikçilerin ağları, kritik donanımlar) dokunulmayacağı açıkça belirtilmelidir. Bu, Endüstri Mühendisliği terminolojisiyle proses sınırlarının çizilmesidir.
2. Ne Zaman (When – Süreç):
   • Testin başlangıç ve bitiş tarihi ve saati (Örneğin, Pazar gecesi 02:00 – 06:00 arası). Bu, sistem yöneticilerinin müdahaleye hazır olmasını sağlar.
3. Nasıl (How – Metotlar):
   • Hangi saldırı türlerine izin verildiği (Örn: DoS/DDoS izni var mı? Sosyal Mühendislik hangi çalışanlara uygulanabilir?).
   • Hangi kullanıcı adı/parola ile testin yapılacağı (Black Box, White Box veya Gray Box).
4. Kim (Who – Taraflar ve İletişim):
   • Saldırı Ekibi Lideri ve Müşteri Acil Durum İletişim Yetkilisi (Testin durdurulması gerektiğinde aranacak kişi).
5. Nerede (Where – Lokasyon):
   • Fiziksel sızma testleri için, hangi binalara, hangi saatler arasında girilebileceği.

C. Kapsam İhlali (Scope Creep) ve Hukuki Sonuçları

Selçuk Dikici‘nin Hukuk-Adalet birikimi, kapsam ihlalinin en büyük risk olduğunu gösterir. Hacker, yetkilendirilmemiş bir IP adresine yanlışlıkla dahi sızsa, bu teknik hata hukuken “yetkisiz erişim” olarak yorumlanabilir ve SOW’un sağladığı koruma kalkanını kaldırır. Bu durumda:

• Hacker, hukuki korumasını kaybeder.
• Müşteri, yetkisiz eylemden kaynaklanan zararlar için tazminat davası açabilir.

2.4. KVKK/GDPR Uyum Analizi: Hassas Veri Yönetimi ve Sorumluluk

Odak Disiplin: Hukuk-Adalet (Veri Koruma Hukuku), İşletme

Etik hackerlar, sızma testleri sırasında kaçınılmaz olarak kişisel veriye (PII) veya hassas ticari bilgilere erişebilirler. Bu verilerin yönetimi, TCK’nın ötesinde, KVKK (Türkiye) ve GDPR (AB) gibi veri koruma kanunlarıyla düzenlenir.

A. Veri Sorumlusu ve Veri İşleyen Kavramları

• Veri Sorumlusu (Müşteri Kurum): Verilerin işleme amaçlarını ve araçlarını belirleyen kurumdur. Hukuki ve idari sorumluluğun büyük çoğunluğu ondadır.
• Veri İşleyen (Etik Hacker Şirketi): Veri Sorumlusunun talimatları doğrultusunda veriyi işleyen taraftır. Etik hacker, bir veri işleyen olarak hareket eder ve veri sorumlusunun talimatlarına uymak zorundadır.

B. Pentest Sürecinde KVKK/GDPR Gereklilikleri

1. Veri Minimalizasyonu (Endüstri Mühendisliği): Mümkünse, test verilerinin gerçek kişisel veriler yerine anonim, maskelenmiş veya sentetik verilerle yapılması. Gerçek veriye erişim bir zorunluluk olmamalıdır.
2. Erişim Kısıtlaması: Etik hackerın, elde ettiği kişisel veriye sadece testin gerektirdiği minimum süre boyunca ve minimum sayıda kişi tarafından erişmesi sağlanmalıdır.
3. İfşa Yasağı: Test sırasında elde edilen hiçbir kişisel veri, raporlama amacıyla dahi (anonimleştirilmeden) ifşa edilemez veya üçüncü taraflarla paylaşılmaz.
4. İmha Zorunluluğu: Test tamamlandıktan ve rapor teslim edildikten sonra, elde edilen tüm kişisel veri kopyaları derhal ve güvenli bir şekilde imha edilmelidir. Bu, Sistem Mühendisliği prensipleriyle imha prosesinin doğrulanmasını gerektirir.

C. GDPR ve KVKK İdari Para Cezaları Riski

Veri ihlallerinde uygulanan idari para cezaları son derece yüksektir (GDPR’da yıllık küresel cironun %4’üne kadar). Etik hackerın, bir zafiyeti sömürmesiyle ortaya çıkan veri ihlali potansiyeli, bu cezaları tetikler. İşletme perspektifinden, bu cezalar, etik hackerin risk yönetimindeki başarısızlığının doğrudan finansal sonucudur.

2.5. Sorumlu Açıklama Prensibi: Etik Zorunluluk ve Ticari İtibar Yönetimi

Odak Disiplin: İşletme, Etik ve Hukuk-Adalet

Bir zafiyetin tespit edilmesi, etik hackerin görevini bitirmez; aksine, en kritik etik ve ticari sorumluluğu başlatır: Zafiyetin ne zaman, kime ve nasıl açıklanacağı.

A. Full Disclosure (Tam İfşa) vs. Responsible Disclosure (Sorumlu Açıklama)

• Full Disclosure (Etik Olmayan): Zafiyetin, yama (patch) yayınlanmadan hemen önce veya hemen sonra kamuoyuna duyurulması.
  • Ticari Risk: Kurumun yamayı uygulaması için yeterli zamanı olmaz ve bu süre zarfında Siyah Şapkalı saldırganlar (Zero-Day sömürüsü) için açık hedef haline gelir. Bu, İşletme itibarını ve güvenliğini doğrudan tehlikeye atar.
• Responsible Disclosure (Etik ve Kabul Gören): Zafiyeti bulan hackerın, ilk olarak sadece etkilenen kuruluşa özel (gizli) olarak bildirim yapması ve kuruluşa sorunu gidermesi için makul bir süre tanıması.

B. Sorumlu Açıklamanın Standart Süreçleri

Etik hackerlik topluluğu ve sektör otoriteleri (örneğin CERT/CC), genellikle aşağıdaki süreci önerir:

1. Gizli Bildirim (Hemen): Zafiyetin tüm detayları, kurumun acil durum iletişim noktasına gizli (tercihen şifreli) bir kanaldan bildirilir.
2. Yama Süresi (30-90 Gün): Kuruluşa, zafiyeti analiz etme, yama geliştirme ve dağıtma için makul bir süre tanınır (Genellikle 90 gün, kritik zafiyetler için daha az).
3. Kamuya Açıklama: Belirlenen süre sonunda veya kurum yamanın uygulandığını onayladıktan sonra, zafiyetin teknik detayları (kanıt kodu hariç) kamuoyuna duyurulur.

C. İtibar Yönetimi ve Finansal Sonuçlar

Selçuk Dikici‘nin İşletme tecrübesiyle bakıldığında, sorumlu açıklama bir lüks değil, şeffaf kriz yönetimi zorunluluğudur.

• Pozitif İtibar Etkisi: Kurum, zafiyetin bulunmasına izin vermesi ve sorunu sorumlu bir şekilde ele almasıyla sektörde olgun ve güvenilir olarak algılanır.
• Finansal Etki: Sorumlu açıklama, veri ihlali maliyetini düşürür. IBM raporlarına göre, hızlı aksiyon alan ve sorumlu bir şekilde açıklama yapan kurumlar, ihlalden kaynaklanan ortalama maliyeti önemli ölçüde azaltmaktadır.

D. Bug Bounty Programlarının Rolü (Yasal Teşvik)

Bug Bounty programları, sorumlu açıklamayı kurumsallaştıran platformlardır. Bu programlar, hackerlara yasal bir çerçeve, net bir kapsam ve finansal bir ödül sunarak, gri şapkalı eylemleri bile Beyaz Şapkalı kategoriye taşımayı amaçlar. Etik hackerlar için bu platformlar, hukuki riskten arınmış, verimli bir çalışma ortamı sağlar.

BÖLÜM 3: SİSTEMATİK PENTEST METODOLOJİLERİ VE ARAÇLARI

Odak Disiplinler: Endüstri Mühendisliği, Endüstriyel Elektronik

Bu bölüm, etik hackerliğin teorik temellerinden, pratik uygulama sürecine geçişi temsil eder. Etik hacker, bir saldırganın zihniyetini taklit eden bir siber süreç mühendisidir.

Endüstri Mühendisliği, süreçleri optimize etme sanatıdır. Pentest de kaotik bir keşif değil, öngörülebilir adımlardan oluşan, tekrarlanabilir ve ölçülebilir bir proses olmalıdır. Bu bölümde, sızma testinin endüstriyel standartları (CEH, PTES) ile kıyaslanarak, bir saldırganın operasyonel süreçlerini sistematik olarak ele alacağız. Endüstriyel Elektronik bilgisi ise sistemlerin düşük seviyeli (donanım/protokol) çalışma mantığıyla sömürülebilirliğini anlamamızı sağlayacaktır.

3.1. Pentest Prosesinin 6 Aşaması: CEH ve PTES Standartlarıyla Kıyaslama

Odak Disiplin: Endüstri Mühendisliği (Proses Yönetimi)

Sızma testi, rastgele bir saldırı denemeleri dizisi değildir; bir dizi mantıksal, sıralı ve birbirine bağımlı adımdan oluşan yapılandırılmış bir süreçtir. Bu yapı, hem denetlenebilirliği hem de sonuçların kalitesini sağlar.

A. Pentest Prosesinin Altı Temel Aşaması (PTES – Penetration Testing Execution Standard): PTES, etik hackerin operasyonel verimliliğini artıran, kabul görmüş bir endüstriyel süreç modelidir.

1. Ön Sözleşme ve Etkileşim (Pre-engagement): (Bölüm 2’de ele alındı.) Hukuki rıza, Kapsam Sözleşmesi (SOW) ve iletişim kanallarının belirlenmesi.
2. Keşif (Reconnaissance): Hedef sistemler hakkında pasif ve aktif bilgi toplama. (Bölüm 3.2)
3. Tarama ve Numaralandırma (Scanning & Enumeration): Canlı sistemlerin, açık portların ve zafiyetlerin otomatik araçlarla tespiti. (Bölüm 3.3)
4. Erişim Elde Etme (Gaining Access / Exploitation): Bulunan zafiyetleri sömürerek sisteme ilk erişimin sağlanması. (Bölüm 3.4)
5. Erişimi Koruma ve Derinleştirme (Maintaining Access & Post-Exploitation): Elde edilen erişimi kalıcı hale getirme, yetki yükseltme (Privilege Escalation) ve iç ağda yatay hareket etme (Lateral Movement). (Bölüm 3.5)
6. Analiz ve Raporlama (Analysis & Reporting): Bulunan zafiyetlerin iş riskine göre önceliklendirilmesi ve detaylı düzeltme önerileriyle birlikte yönetime sunulması. (Bölüm 6.1)

B. CEH (Certified Ethical Hacker) Metodolojisi ile Kıyaslama CEH, genellikle süreç yönetiminden çok araç ve teknik kullanımına odaklanırken, PTES/OSSTMM gibi standartlar Endüstri Mühendisliği yaklaşımını benimseyerek sürece odaklanır.

• Önemli Fark: PTES, Post-Exploitation (Sömürü Sonrası Eylemler) aşamasına büyük önem verir. Etik hacker, sadece bir zafiyet bulmakla kalmaz; o zafiyetin sistemin en kritik varlığına ulaşmak için nasıl kullanılabileceğini kanıtlamak zorundadır.

C. Proses Kontrolü ve Metrikler Endüstri Mühendisliği bakış açısıyla, her aşama bir kontrol noktasıdır:

• Girdi (Input): Keşif aşaması için girdi, SOW’daki hedef IP aralığıdır.
• Süreç (Process): Tarama araçlarının kullanılması.
• Çıktı (Output): Tarama sonuçları (Açık portlar, bilinen zafiyetler).
• Geri Bildirim (Feedback): Elde edilen çıktı, bir sonraki aşama (Sömürü) için girdi olarak kullanılır. Eğer tarama sonuçları yetersizse, Keşif aşamasına geri dönülerek daha fazla bilgi toplanır.

Bu döngüsel ve sistematik yaklaşım, Pentest’in kaostan uzak, ölçülebilir bir kalite güvencesi faaliyeti olmasını sağlar.

---

3.2. Aşama 1: Keşif (Reconnaissance): Pasif ve Aktif Bilgi Toplama Teknikleri

Odak Disiplinler: Endüstri Mühendisliği (Bilgi Akışı Analizi), İşletme

Keşif, bir sızma testinin en kritik aşamasıdır. Etik hackerın bu aşamada harcadığı zaman, sonraki aşamalarda harcayacağı zamanı doğrudan azaltır. Başarılı bir keşif, rastgele saldırı denemelerinin önüne geçer ve hedefi en zayıf noktasından vurmayı sağlayacak stratejik bilgiyi sunar.

A. Pasif Bilgi Toplama (Görünmez İzleme) Pasif keşifte, hedef sistemle doğrudan bir etkileşim kurulmaz, bu sayede sistemin güvenlik cihazları (IDS/IPS) tarafından tespit edilme riski minimaldir.

• OSINT (Açık Kaynak İstihbaratı):
  • İşletme/İtibar Yönetimi: Şirketin web sitesi, sosyal medya hesapları (LinkedIn, X/Twitter), iş ilanları (Hangi teknolojileri kullandıklarını gösterir).
  • Teknik: Google Dorking (Belirli dosya türlerini, dizinleri arama), Whois kayıtları, DNS bilgisi sorgulama (dig, nslookup) ve arşivlenmiş web sitesi verileri (Wayback Machine).
  • Hedef: Organizasyon yapısını, anahtar çalışan adlarını ve kullanılan teknolojilerin versiyonlarını (örneğin “Senior Python Developer arıyoruz”) öğrenmek.

B. Aktif Bilgi Toplama (Doğrudan Etkileşim) Aktif keşif, hedef sistemle doğrudan paket alışverişini içerir. Bu, tespit edilme riskini artırır, bu nedenle SOW’da bu eylemlere izin verilmiş olması gerekir.

• DNS Transferi: Sunucunun tüm DNS kayıtlarını almayı denemek. (Genellikle modern sistemlerde kapalıdır, ancak başarılı olursa çok değerli haritalama bilgisi sağlar).
• Ping Taramaları: Ağdaki hangi IP’lerin canlı olduğunu belirlemek.
• Port Taraması: Hedef sistem üzerindeki hangi ağ servislerinin çalıştığını (port 80-HTTP, port 22-SSH vb.) bulmak için kullanılan kritik adımdır.

C. Endüstri Mühendisliği: Bilgiyi Stratejik Silaha Çevirme Etik hacker, topladığı bilgileri bir süreç akış şemasına döker:

• Varlık Haritası Oluşturma: Hedef IP’ler, sunucu isimleri, çalışan e-posta adresleri (Var-lıklar).
• Saldırı Yüzeyi Analizi: Toplanan bilgilerle sistemin dışarıya dönük yüzeyinin haritasını çıkarma. (Örn: “Dışarıya açık tek zayıf nokta, güncel olmayan bir FTP sunucusu”).
• Risk Önceliklendirmesi: Hangi bilginin, hangi varlığa ulaşmak için kullanılabileceğini belirleme. Bu, testin bir sonraki aşaması olan taramayı (Scanning) gereksiz sistemlere odaklanmaktan kurtarır ve verimli hale getirir.

---

3.3. Aşama 2-3: Tarama ve Zafiyet Analizi: Nmap ve Otomatik Tarayıcılar

Odak Disiplinler: Endüstriyel Elektronik (Protokol Analizi), Endüstri Mühendisliği

Keşif aşamasında toplanan genel bilgiler, bu aşamada hedefin teknik zayıflıklarına dair kesin verilere dönüştürülür. Endüstriyel Elektronik ve protokol bilgisi, tarama araçlarının sadece bir “düğmeye basma” aktivitesi değil, protokol seviyesinde bir analiz olduğunu anlamamızı sağlar.

A. Tarama (Scanning): Nmap ile Ağın Düşük Seviyeli Mimarisine Bakış Tarama, aktif keşfin en keskin aracıdır. Nmap (Network Mapper), bir ağdaki cihazları ve çalışan servisleri tespit etmek için en yaygın kullanılan araçtır.

1. Port Tarama Türleri:
   • TCP SYN Tarama (Yarı Açık Tarama): Nmap, bir bağlantıyı tamamen kurmadan (sadece SYN paketini gönderir, ACK almadan RST gönderir) portun açık olup olmadığını anlar. Bu, güvenlik duvarları için daha az belirgin bir yöntemdir.
   • UDP Tarama: UDP’nin bağlantısız doğası nedeniyle daha zordur, ancak DNS, SNMP gibi kritik servisleri bulmak için önemlidir.
2. İşletim Sistemi (OS) ve Versiyon Tespiti: Nmap, TCP/IP yığınındaki ince farklılıkları (Endüstriyel Elektronik bilgisi) analiz ederek hedefin işletim sistemini (Windows, Linux) ve çalışan servisin kesin versiyonunu (örneğin Apache 2.4.29) tahmin edebilir. Versiyon bilgisi, bir Exploit (Sömürü kodu) bulmak için hayati önem taşır.

B. Zafiyet Analizi (Vulnerability Analysis): Otomatik Tarayıcılar Zafiyet tarayıcıları (Nessus, OpenVAS), versiyon tespiti ile elde edilen bilgiyi, bilinen zafiyetlerin büyük bir veritabanıyla (CVE – Common Vulnerabilities and Exposures) karşılaştırır.

• İşlev: Otomatik tarayıcılar, bulunan her servis versiyonu için (Örn: IIS 7.5), bu versiyonla ilişkili bilinen güvenlik açıklarını listeler.
• Endüstri Mühendisliği Eleştirisi: Bu tarayıcılar, genellikle yanlış pozitifler (False Positives) üretir (Zafiyet olduğunu raporlar, ancak değildir) ve zafiyet zincirlerini birleştiremezler. Bu nedenle, çıktısı bir sonraki aşama olan Sömürü (Exploitation) aşamasında manuel olarak doğrulanmalıdır.

C. Sömürü Hazırlığı ve Risk Önceliklendirmesi Bu aşamanın çıktısı, bir eylem planıdır.

• Önceliklendirme: Bulunan tüm zafiyetler, CVSS (Common Vulnerability Scoring System) skoru ile ciddiyetine göre sıralanır. Etik hacker, en yüksek skorlu ve en kolay sömürülebilir zafiyete odaklanır.
• Zafiyet-Exploit Eşleşmesi: Belirlenen kritik zafiyetler için, Metasploit gibi platformlarda mevcut uygun sömürü kodları (Exploits) bulunur ve test ortamında denenmeye hazırlanır.

Bu sistematik süreç, Endüstri Mühendisliğinin bir yansımasıdır: Kaynakları (zaman ve çaba) en yüksek etkiyi yaratacak alana yönlendirme.

---

3.4. Aşama 4: Erişim Elde Etme ve Sömürü: Metasploit Kullanım Mantığı

Odak Disiplinler: Endüstriyel Elektronik, Sistem Mühendisliği

Sömürü (Exploitation), pentestin en teknik ve hukuki açıdan en hassas aşamasıdır. Bu aşamada, zafiyet, bir Exploit kodu aracılığıyla sisteme ilk erişimi sağlamak için kullanılır.

A. Exploit (Sömürü Kodu) ve Zafiyet İlişkisi Exploit, bir yazılımdaki veya donanımdaki zafiyeti (örneğin, belleğe hatalı veri yazma/Buffer Overflow) kullanarak, sistemin normal akışını değiştiren ve saldırganın istediği kodu çalıştırmasına olanak tanıyan kod parçasıdır.

• Endüstriyel Elektronik Perspektifi: Bir Exploit, hedef sistemin düşük seviyeli mimarisine (işlemci belleği, yığın/stack yapısı) ilişkin derin bilgi gerektirir. Exploit, sisteme gönderilen veriyi bir komut olarak algılatmayı amaçlar.

B. Metasploit Çerçevesi (Framework) Kullanımı Metasploit, penetrasyon test uzmanlarının en temel aracıdır. Yüzlerce bilinen Exploit ve Payload’ı (Sistemde çalıştırılacak kötü amaçlı kod) içeren kapsamlı bir platformdur.

1. Metasploit Mantığı:
   • Hedef Belirleme: Kullanılacak Exploit (Örn: exploit/windows/smb/ms08_067_netapi).
   • Payload Seçimi: Exploit başarılı olduktan sonra hedef sistemde ne yapılacağını belirleyen kod (Örn: payload/windows/meterpreter/reverse_tcp). Bu, genellikle sızma test uzmanına hedef sistemde komut çalıştırma yetkisi veren bir ters bağlantı (Reverse Shell) açar.
   • Parametre Ayarları: Hedef IP adresi (RHOST), dinleme adresi (LHOST), portlar vb. ayarların yapılması.
2. Sistem Mühendisliği Fonksiyonu: Metasploit, bir Exploit’i tekrarlanabilir ve kontrollü bir süreç haline getirerek, manuel olarak yazılacak sömürü kodunun yaratacağı riskleri azaltır.

C. Erişim Elde Etme ve Yetki Yükseltme (Privilege Escalation) İlk erişim genellikle düşük yetkili bir kullanıcı (örneğin, bir web sunucusu kullanıcısı) olarak sağlanır. Etik hackerın bir sonraki adımı, sistemin kontrolünü tamamen ele geçirmek için yetkisini yükseltmektir (Root veya Administrator yetkisi).

• Yetki Yükseltme Yöntemleri:
  • Sistemdeki yanlış yapılandırılmış servisleri bulma.
  • Çekirdek (Kernel) zafiyetlerini sömürme.
  • Parola bilgisi içeren konfigürasyon dosyalarını okuma.

D. Hukuki Sınır (Kritik Uyarı): Erişim elde edildiği an, etik hackerın yasal dokunulmazlığı SOW’un sınırlarına bağlıdır. Eğer SOW’da yetki yükseltme ve veri çıkarma simülasyonu izni yoksa, bu aşamada durmak veya sadece kanıt (screenshot) almak zorunludur.

---

3.5. Aşama 5: Kalıcılık ve İzleri Temizleme: Hukuki ve Teknik Sorumluluklar

Odak Disiplinler: Hukuk-Adalet, Sistem Mühendisliği

Bu aşama, Siyah Şapkalı bir hackerın en kritik eylemlerini taklit eder: Sisteme gizlice geri dönme yeteneğini garanti altına almak ve eylemlerinin kanıtını silmek. Etik hacker, bu eylemleri gerçekleştirirken, hukuki ve teknik sorumluluğunu tam olarak anlamalıdır.

A. Kalıcılık (Persistence) Mekanizmaları Kalıcılık, etik hackerın sistemden düşse veya oturumu kapansa bile sisteme tekrar erişebilmesi için kurduğu arka kapı mekanizmasıdır.

• Sistem Mühendisliği:
  • Arka Kapı (Backdoor) Kurulumu: Gizli kullanıcı hesapları oluşturma, bilinen servislerin ayarlarını değiştirerek kötü amaçlı kod çalıştırma.
  • Zamanlanmış Görevler: Sistemin yeniden başlatılması durumunda dahi Payload’ın tekrar çalışmasını sağlamak için cron (Linux) veya Görev Zamanlayıcısı (Windows) kullanma.

B. İzleri Temizleme (Covering Tracks): Hukuki Hassasiyet Siyah Şapkalı bir hacker, yakalanmamak için izlerini siler. Etik hacker, bu eylemi taklit ederken çok dikkatli olmalıdır.

• Log Kayıtlarını Manipüle Etme: history dosyasını silme veya sistem loglarını (olay günlükleri) manipüle etme.
• Hukuki Çıkarım: Etik hacker, kendi eylemini gizleyen bu mekanizmaları test amacıyla yapabilir. Ancak, bu eylemi gerçekleştirdikten sonra, sistemdeki orijinal log kayıtlarını geri yüklemek veya logların temizlendiğini raporda açıkça belirtmek zorundadır. Aksi takdirde, kanıtların karartılması suçlamasıyla karşı karşıya kalabilir.

C. Son Durum: Sistemin Onarılması Pentest’in etik ve hukuki olarak en önemli adımı, testin sonunda sisteme verilen tüm zararın geri alınmasıdır.

• Sistem Mühendisliği Sorumluluğu: Kurulan arka kapılar, açılan kullanıcı hesapları veya değiştirilen sistem dosyaları, test sonunda tamamen temizlenmeli ve sistem orijinal durumuna döndürülmelidir. Bu, SOW’un bir parçası olmalıdır ve bir yasal zorunluluktur.

---

3.6. Teknik Laboratuvar Kurulumu: Kali Linux Ortamına Giriş

Odak Disiplinler: Endüstriyel Elektronik, Sistem Mühendisliği

Teori ve hukuki çerçeveyi anladıktan sonra, etik hackerin operasyonel altyapısını kurması gerekir. Sızma testleri, canlı ve üretim sistemleri üzerinde denenmeden önce, kontrollü bir ortamda (Test Lab) güvenli bir şekilde pratik edilmelidir.

A. Kali Linux: Endüstri Standardı İşletim Sistemi Kali Linux (eski adıyla BackTrack), sızma testi ve adli bilişim için özel olarak tasarlanmış, yüzlerce önceden yüklenmiş araç içeren popüler bir Debian tabanlı Linux dağıtımıdır.

• Neden Kali Linux?
  • Verimlilik (Endüstri Mühendisliği): Metasploit, Nmap, Wireshark, Burp Suite gibi temel araçların tek bir platformda entegre olarak gelmesi.
  • Hukuki Koruma: Test ortamında kullanılan bu araçlar, gerçek dünyada yasadışı amaçlarla kullanılabilecek olsa bile, kontrollü ve sanal ortamda yasal sınırlar içinde kalmayı sağlar.

B. Sanallaştırma Ortamı Kurulumu (System Engineering) Güvenli bir laboratuvar ortamı, gerçek dünyayı taklit eden sanal makineler (Virtual Machines) üzerinde kurulur.

• Hipervizörler: Oracle VirtualBox veya VMWare Workstation gibi araçlar kullanılır.
• Ağ Segmentasyonu: Saldırgan (Kali Linux) ve Hedef (Örn: Windows Server, Metasploitable) makineler, ana üretim ağından tamamen izole edilmiş bir İç Ağ (Internal Network) üzerine yerleştirilir. Bu, yanlışlıkla ana ağa sızma riskini (Hukuki risk) ortadan kaldırır.

C. Hedef Sistem Olarak Metasploitable Kullanımı ve Diğer Zafiyetli Sistemler

Güvenli bir laboratuvar ortamının kurulmasının kritik bir bileşeni, etik hackerın öğrendiği teknikleri uygulayabileceği, yasal ve etik sınırlar içinde kalmasını sağlayan deney hedefleri sağlamaktır. Üretim sistemlerinde veya canlı sunucularda test yapmadan önce, bu kontrollü hedefler üzerinde pratik yapmak zorunludur.

1. Metasploitable’ın Rolü ve Mimarisi

• Tanım: Metasploitable, Rapid7 tarafından geliştirilen ve bilerek birçok güvenlik zafiyeti içeren bir Linux tabanlı sanal makinedir. Adını, sızma testi aracı olan Metasploit Framework ile kolayca sömürülebilir olmasından alır.
• Amaç (Sistem Mühendisliği): Etik hackerın, keşiften (Nmap taraması) sömürüye (Metasploit kullanımı) ve yetki yükseltmeye kadar tüm Pentest prosesini güvenli bir şekilde döngüsel olarak uygulamasını sağlamak.
• İçerdiği Zafiyetler (Endüstriyel Elektronik/Yazılım): Metasploitable, özellikle eski ve yama yapılmamış birçok ağ servisini (FTP, SSH, Samba, Tomcat) çalıştırır ve yaygın web uygulaması zafiyetleri (SQL Injection gibi) barındırır. Bu, Endüstriyel Elektronik açısından protokollerin ve servislerin düşük seviyeli sömürüsünü öğrenmek için idealdir.

2. Laboratuvar Ortamındaki Konumlandırma

• İzole Ağ: Metasploitable ve saldırgan (Kali Linux) sanal makineleri, hipervizör üzerinde tamamen izole edilmiş bir “Yalnızca Ana Bilgisayar Ağı (Host-Only Network)” veya “Dahili Ağ (Internal Network)” üzerine kurulmalıdır.
  • Bu, Metasploitable’ın içerdiği yüksek riskli zafiyetlerin, yanlışlıkla gerçek dünyaya veya ana ağınıza sızmasını önleyen kritik bir hukuki ve teknik önlemdir.
• Simülasyon Değeri: Bu izole ağ, gerçek dünyadaki bir şirket ağının fiziksel veya mantıksal olarak ayrılmış ağ segmentasyonunu taklit eder.

3. Diğer Zafiyetli Hedef Sistemler (Pratiği Zenginleştirme)

Etik hackerin becerilerini çeşitlendirmesi için Metasploitable dışında kullanabileceği başka hedefler de vardır:

• OWASP Broken Web Applications (BWA): Sadece web uygulaması zafiyetlerine (XSS, SQLi, CSRF) odaklanmış, çeşitli platformlarda (PHP, Java) zafiyetli uygulamalar içeren bir koleksiyondur.
• Hack The Box / TryHackMe Sanal Makineleri: Sürekli güncellenen, belirli beceri setlerine odaklanmış (Örn: Linux yetki yükseltme, ağ protokolü sömürüsü) ve gerçekçi senaryolar sunan bağımsız zafiyetli makineler.
• Kurulumu Yapay Olarak Zafiyetli Bırakılmış Sistemler: Bir etik hacker, sıfırdan bir Windows Server 2019 kurabilir ve kasıtlı olarak bir yama (patch) uygulamasını atlayarak veya zayıf bir Active Directory politikası belirleyerek kendi test hedefini oluşturabilir.

4. Sistem Mühendisliği Çıkarımı: Tekrarlanabilirlik

Test laboratuvarı, tekrar edilebilirlik ilkesini sağlamalıdır. Sömürü denemeleri başarısız olduğunda veya sistem çöktüğünde (TCK 244 riskinden kaçınarak), sanal makinenin “anlık görüntüsü” (Snapshot) geri yüklenerek test süreci hızlıca sıfırlanabilir. Bu, sistem mühendisliğindeki hata kurtarma (Disaster Recovery) ve sürekli iyileştirme ilkelerini yansıtır.

Bu kontrollü ve yasal ortam, etik hackerın yalnızca teorik bilgi edinmesini değil, aynı zamanda pratik yeteneğini sürekli olarak ölçmesini ve geliştirmesini sağlar.

BÖLÜM 4: TEMEL SALDIRI VEKTÖRLERİ VE TEKNİK ANALİZ

Siber savunma, bir kilit ustasının hırsızın nerede ve nasıl zorlayacağını bilmesi gibidir. Bu bölüm, temel saldırı vektörlerinin ardındaki teknik mekanizmaları ve bu zafiyetlerin kurumun iş hedefleri üzerindeki finansal ve operasyonel etkisini derinlemesine inceleyecektir. Endüstriyel Elektronik eğitimi, bize donanım ve protokollerin en düşük seviyesinde yatan mantığı anlamayı sağlarken, İşletme perspektifi bu teknik zafiyetlerin nihai kurumsal maliyetini hesaplamamızı sağlar.

4.1. Web Uygulama Zafiyetleri: SQL Injection ve XSS Hata Kaynağı Analizi

Odak Disiplinler: Endüstriyel Elektronik (Veri Akışı), İşletme (Veri İhlali Maliyeti)

Web uygulamaları, bir kurumun en görünür ve en sık sömürülen saldırı yüzeyini oluşturur. Bu zafiyetler, uygulamanın kullanıcı girdisini yeterince doğrulamaması veya temizlememesi (sanitasyon) sonucu ortaya çıkar.

A. SQL Injection (SQLi): Veritabanı Mantığına Saldırı SQL Injection, bir saldırganın uygulama aracılığıyla veritabanına doğrudan SQL komutları göndermesini sağlayan kritik bir zafiyettir.

1. Teknik Hata Kaynağı (Endüstriyel Elektronik): Hata, yazılımın Veri (Data) ile Komut (Command) arasındaki ayrımı kaldıran zafiyetli kodlama pratiğinden kaynaklanır. Örneğin, bir form alanına girilen metin, doğrudan bir SQL sorgusu (query) içine yerleştirilir. Saldırgan, bu metni kullanarak sorguyu kapatır ve kendi kötü amaçlı sorgusunu ekler (Örn: ‘ OR 1=1 –).
2. Sömürünün Etkisi (İşletme): SQLi genellikle veritabanının tamamına izinsiz erişimle sonuçlanır.
   • Etki: Müşteri kredi kartı bilgileri, fikri mülkiyet, hassas kurumsal strateji belgeleri.
   • ROI Analizi: Başarılı bir SQLi, siber suçun ROI’sini anında maksimize eder, çünkü çalınan her bir müşteri kaydı karaborsada para eder ve KVKK/GDPR kapsamında çok yüksek cezalar (Milyon Dolar) doğurur.

B. Cross-Site Scripting (XSS): Kullanıcı Güvenini Sömürme XSS, saldırganın kötü amaçlı istemci tarafı (client-side) script kodunu (genellikle JavaScript) meşru bir web sitesine enjekte etmesi ve bu kodu, siteyi ziyaret eden diğer kullanıcıların tarayıcılarında çalıştırmasıdır.

1. Teknik Hata Kaynağı (Endüstriyel Elektronik): Hata, sunucunun kullanıcı girdisini (örneğin bir yorum alanı) HTML kodu olarak işleyerek, bunu diğer kullanıcılara filtrelemeden sunmasıdır.
2. Sömürünün Etkisi (İşletme):
   • Session Hijacking: Saldırgan, kurbanın tarayıcısında çalıştırdığı script ile kurbanın oturum çerezlerini (cookie) çalabilir ve kurbanın hesabına izinsiz giriş yapabilir.
   • İtibar Kaybı: Bir XSS saldırısı, sitenin kullanıcılarına phishing saldırıları yapmak veya itibarı zedeleyecek içerikler göstermek için kullanılabilir.

C. Savunma Stratejisi: Temel savunma, tüm kullanıcı girdilerinin temizlenmesi (sanitasyon) ve filtrelenmesidir. Modern kodlama pratiklerinde, veri ve komutun ayrılması için “Hazırlanmış İfadeler (Prepared Statements)” kullanılmalıdır.

---

4.2. Kriptografi Zafiyetleri: Şifreleme Mantığı ve Zayıf Anahtar Tespiti

Odak Disiplinler: Endüstriyel Elektronik (Matematiksel Mantık), İşletme (Uyumluluk Riski)

Kriptografi, verinin gizliliğini ve bütünlüğünü korumak için temel bir mekanizmadır. Ancak kriptografideki zafiyetler, matematiksel kusurlardan veya kötü uygulamadan kaynaklanabilir. Etik hacker, bir şifreleme algoritmasını kırmak yerine, genellikle kötü uygulama biçimlerini hedefler.

A. Şifreleme Mantığı ve Uygulama Hataları Kriptografinin kendisi (örneğin AES-256) nadiren zayıftır; genellikle zayıflık, onun bir yazılıma nasıl entegre edildiğinde ortaya çıkar.

1. Zayıf Anahtar Yönetimi (Endüstriyel Elektronik):
   • Hata Kaynağı: Şifreleme anahtarlarının sabit kodlanması (Hardcoding), güvenli olmayan yerlerde (versiyon kontrol sistemleri) depolanması veya çok kısa/zayıf anahtarlar kullanılması.
   • Analiz: Kısa anahtarların (örneğin 64-bit DES) modern işlemcilerle kısa sürede kaba kuvvetle (brute-force) kırılabileceği teknik olarak kanıtlanabilir.
2. Yanlış Algoritma veya Protokol Seçimi: Eski ve zafiyetli şifreleme protokollerinin kullanılması (Örn: SSL v2/v3, zayıf TLS sürümleri).

B. Kriptografi ve Yasal Uyumluluk (İşletme) KVKK ve GDPR, hassas verilerin (PII) yetkisiz erişime karşı korunmasını zorunlu kılar. Etkin kriptografi, bu yasal uyumun temel direğidir.

• Risk Analizi: Bir sunucuda zayıf şifreleme anahtarı bulunması (Örn: 512-bit RSA), sadece teknik bir zafiyet değil, aynı zamanda verilerin yasal gerekliliklere uygun şekilde korunmadığının somut kanıtıdır.
• İşletme Etkisi: Bu durum, bir veri ihlalinde (data breach) şirketin ihmalini kanıtlar ve doğrudan yasal cezalara yol açar.

C. Etik Hackerin Rolü: Etik hacker, uygulamanın şifreleme fonksiyonlarını (Örn: Web sitesinin SSL/TLS yapılandırması) test ederek, modern güvenlik standartlarına (Örn: TLS 1.2 ve üzeri) uygun olup olmadığını denetler.

---

4.3. Ağ ve Protokol Saldırıları: MitM ve ARP Protokolünün Sömürülmesi

Odak Disiplinler: Endüstriyel Elektronik (Protokol Mantığı), İşletme (İletişim Güvenliği)

Ağ saldırıları, OSI modelinin alt katmanlarına (özellikle 2. ve 3. katman) odaklanır. Bu saldırılar, ağ cihazlarının ve protokollerin temel çalışma mantığındaki güven varsayımlarını kullanır.

A. Man-in-the-Middle (MitM) Saldırısı: İletişime Sızma MitM saldırısı, saldırganın iki iletişim kuran taraf (Örn: Kullanıcı ve Banka Sunucusu) arasına gizlice girerek, tüm trafiği izlemesini veya değiştirmesini sağlayan genel bir saldırı türüdür.

B. ARP Protokolünün Sömürülmesi (ARP Spoofing) Ağ katmanında en sık kullanılan MitM tekniği, ARP (Address Resolution Protocol) protokolünün sömürülmesidir.

1. Teknik Hata Kaynağı (Endüstriyel Elektronik):
   • ARP, yerel ağdaki (LAN) cihazların IP adreslerini fiziksel MAC adresleriyle eşleştirmesini sağlar.
   • Güven Varsayımı: ARP protokolü, gelen ARP cevaplarının doğru olduğunu varsayar ve bu bilgiyi anında önbelleğe (cache) alır. Bu, bir güvenlik kusurudur.
   • Sömürü: Saldırgan (etik hacker), kurbana (Kullanıcı) ve ağ geçidine (Router) sahte ARP paketleri göndererek, “Ben Router’ım” ve “Ben Kullanıcı’yım” mesajlarını yayımlar. Sonuç olarak, tüm trafik saldırganın bilgisayarından geçer.
2. Sömürünün Etkisi (İşletme):
   • Bilgi Hırsızlığı: Ağ trafiği şifrelenmemişse (HTTPS yerine HTTP), parolalar, oturum bilgileri ve hassas belgeler anında çalınır.
   • Operasyonel Kesinti: Özellikle endüstriyel ortamlarda (SCADA), protokol trafiğinin manipülasyonu, fiziksel üretim süreçlerinin durmasına veya hatalı çalışmasına neden olabilir.

C. Etik Hackerin Analizi: Etik hacker, bir MitM saldırısını simüle ederek kurumun ağ trafiğinin şifreleme düzeyini ve protokollerin güvenlik ayarlarını (Örn: ARP güvenliği için statik ARP girişleri veya Port Güvenliği) kanıtlar.

---

4.4. Parola Kırma Teknikleri: John the Ripper ve İşletme Güvenlik Politikası Etkisi

Odak Disiplinler: İşletme (Politika), Endüstriyel Elektronik (Hesaplama Gücü)

Parola kırma (Password Cracking), çalınan parola karma değerlerinin (hash) orijinal metne dönüştürülmesidir. Başarılı bir parola kırma eylemi, doğrudan zayıf kurumsal güvenlik politikalarının sonucudur.

A. Kırma Teknikleri ve Kriptografik Karma (Hash) Değerleri Sistemler, parolaları doğrudan depolamaz; bunun yerine, onlardan tek yönlü bir matematiksel fonksiyon (hash) oluşturur.

1. John the Ripper (Teknik Araç): John the Ripper gibi araçlar, ele geçirilen hash’leri (Örn: Linux /etc/shadow veya Windows SAM veritabanından) kırmak için kullanılır.
2. Kırma Metotları:
   • Sözlük Saldırısı (Dictionary Attack): En yaygın kelimeleri ve kombinasyonlarını dener.
   • Kaba Kuvvet (Brute-Force): Olası tüm karakter kombinasyonlarını dener.
   • Gökkuşağı Tabloları (Rainbow Tables): Önceden hesaplanmış hash değerlerinin büyük tablolarını kullanarak kırma işlemini hızlandırır.

B. Endüstriyel Elektronik (Hesaplama Gücü): Parola kırmanın başarısı, büyük ölçüde saldırganın hesaplama gücüne (CPU/GPU) bağlıdır. Etik hacker, bir hash’in ne kadar sürede kırılabileceğini (Örn: 8 haneli bir şifrenin GPU ile 3 saatte kırılabileceği) kanıtlayarak, yönetime teknik bir risk skoru sunar.

C. Zayıf Parola Politikasının İşletme Etkisi: Parolaların kolayca kırılabilir olması, aşağıdaki kurumsal zafiyetlerin doğrudan kanıtıdır:

• Zayıf Şifreleme Fonksiyonu: Eski veya zayıf hash algoritmaları (Örn: MD5) kullanılması.
• Parola Politikası Eksikliği: Parola uzunluğu, karmaşıklık ve periyodik değişim gereksinimlerinin olmaması.
• Sistem Yönetiminde Hata: Kullanıcıların sistem tarafından zorunlu kılınan parolalar yerine, kişisel ve zayıf parolalar kullanmasına izin verilmesi.

İşletme Çıkarımı: Etik hackerin kırma testleri, İK departmanları ve BT yönetimi için güçlü parola politikalarının (Örn: Minimum 14 karakter, düzenli değişim) uygulanmasını zorunlu kılan en somut argümanı sağlar.

---

4.5. Sosyal Mühendislik: İnsan Faktörü Risk Yönetimi ve Eğitim Programları

Odak Disiplinler: İşletme (Risk Yönetimi), Hukuk-Adalet (Eğitim Yükümlülüğü)

Sosyal Mühendislik, teknik bir zafiyetten ziyade, insan psikolojisindeki güven, korku veya merak gibi duygusal eğilimleri sömürerek hassas bilgi çalma eylemidir. Siber güvenlik zincirinin en zayıf halkası her zaman insandır.

A. Sosyal Mühendislik Teknikleri:

1. Kimlik Avı (Phishing): En yaygın yöntemdir; e-posta veya web sitesi aracılığıyla kullanıcıları kandırarak parola veya kredi kartı bilgisi elde etme.
2. Kılık Değiştirme (Impersonation): Kendini IT çalışanı, üst düzey yönetici veya üçüncü taraf tedarikçi olarak tanıtma.
3. Baiting (Yemleme): Şirket otoparkına üzerinde “Maaş Bilgileri 2024” yazan bir USB bellek bırakma.

B. İnsan Faktörü Risk Yönetimi (İşletme) Bir kurum ne kadar güçlü güvenlik duvarı (Firewall) kursa, ne kadar karmaşık şifreleme kullansa da, bir çalışan tek bir e-postayı tıklayarak veya bir parolayı telefonda söyleyerek tüm sistemi tehlikeye atabilir.

• Risk Analizi: Bir sosyal mühendislik saldırısının maliyeti, doğrudan teknik güvenlik önlemlerinin maliyetini gölgede bırakır. Bir fidye yazılımı (Ransomware) saldırısının başlangıcı, genellikle bir phishing e-postasıdır.
• Etik Hackerin Rolü (Sınırları): Sosyal mühendislik testleri, Kapsam Sözleşmesi (SOW) tarafından açıkça yetkilendirilmelidir. Kapsam, test edilecek çalışan sayısı ve hangi bilgilerin isteneceği ile sınırlıdır.
• Hukuki Boyut (Hukuk-Adalet): Çalışanların bilinçlendirilmesi, KVKK/GDPR kapsamında bir zorunluluktur. Etik hackerin raporu, kurumun bu yasal yükümlülüğünü yerine getirmek için zorunlu olan eğitim programlarının gerekliliğini somut verilerle destekler.

C. Savunma ve Eğitim: Sosyal mühendisliğe karşı en etkili savunma, sürekli ve zorunlu siber güvenlik farkındalık eğitimleri ve simülasyonlardır (Simüle edilmiş phishing saldırıları). Bu, teknik bir sorun değil, bir kurumsal kültür ve süreç yönetimi sorunudur.

BÖLÜM 5: GELECEK TRENDLER: YENİ ALANLAR VE SİSTEM MÜHENDİSLİĞİ

Odak Disiplinler: Sistem Mühendisliği, Endüstriyel Elektronik

Geleceğin siber güvenlik ortamı, statik ağlardan dinamik bulut platformlarına, basit bilgisayarlardan milyarlarca birbirine bağlı nesneye (IoT) ve hatta kuantum hesaplama tehdidine doğru kaymaktadır. Bu bölüm, etik hackerın ve siber savunmanın Sistem Mühendisliği prensipleriyle bu yeni ve karmaşık sistemleri nasıl analiz etmesi ve koruması gerektiğini ele alacaktır. Yeni vektörler, geleneksel pentest metodolojilerinin ötesine geçen, düşük seviyeli elektronik (Endüstriyel Elektronik) ve karmaşık sistem tasarımı bilgisi gerektirir.

---

5.1. Bulut Güvenliği Zorlukları: Sorumluluk Modeli ve IAM Zafiyetleri

Odak Disiplinler: Sistem Mühendisliği, İşletme

Kurumların altyapılarını genel bulut sağlayıcılarına (AWS, Azure, Google Cloud) taşıması, güvenlik sınırını ağ çevrelerinden (perimeter) Kimlik ve Erişim Yönetimi (IAM) katmanına kaydırmıştır.

A. Paylaşılan Sorumluluk Modeli (Shared Responsibility Model) Bulut güvenliğinin temelini, sorumluluğun bulut sağlayıcısı (CSP) ve müşteri arasında paylaştırılması oluşturur. Bu, bir Sistem Mühendisliği yaklaşımıyla riskin bölümlere ayrılmasıdır:

• Bulut Sağlayıcısının Sorumluluğu (Güvenlik için): Donanım, ağ altyapısı, sanallaştırma yazılımı ve veri merkezlerinin fiziksel güvenliği. (IaaS modelinde daha geniştir.)
• Müşterinin Sorumluluğu (Güvenlik içinde): Müşteri verisi, platformlar arası Kimlik ve Erişim Yönetimi (IAM), işletim sistemi yapılandırması, uygulama kodları ve şifreleme.
  • Etik Hackerin Odak Noktası: Müşterinin hatalı yapılandırdığı katmanlar (IAM politikaları, S3/Blob depolama ayarları, güvenlik grupları).

B. IAM (Kimlik ve Erişim Yönetimi) Zafiyetleri Bulut ortamlarında birincil saldırı vektörü, ağ zafiyetlerinden ziyade yanlış yapılandırılmış kimlik ve yetkilendirme (IAM) politikalarıdır.

1. Aşırı Yetkilendirme: Bir kullanıcıya veya bir servise (örneğin bir Lambda/Fonksiyon servisi) ihtiyacı olandan daha fazla izin verilmesi.
   • Sistem Mühendisliği Analizi: En Az Yetki Prensibinin (Principle of Least Privilege) ihlalidir. Etik hacker, bu durumu kötüye kullanarak, düşük yetkili bir servisten kritik bir veri tabanına (örneğin tüm müşteri bilgilerini içeren bir depolama birimine) erişimi kanıtlar.
2. Erişim Anahtarı Yönetimi: IAM kullanıcılarının veya servislerin erişim anahtarlarının (Access Keys) kaynak kodda sabit kodlanması (hardcoding) veya versiyon kontrol sistemlerine sızdırılması.

C. Bulut Pentesti Metodolojisi: Bulut pentesti, klasik IP taramasından farklı olarak, yapılandırma denetimleri ve IAM simülasyonlarına odaklanır. Araçlar (Pacu, CloudGoat) kullanılarak, IAM zincirleri sömürülerek “Yetki Yükseltme” (Privilege Escalation) denenir. Bu, risklerin bulut ortamında nasıl yayıldığını ölçen kritik bir Sistem Mühendisliği testidir.

---

5.2. IoT ve Kritik Altyapılar (SCADA): Düşük Seviye Elektronik ve Fiziksel Riskler

Odak Disiplinler: Endüstriyel Elektronik, Sistem Mühendisliği

Geleceğin siber güvenliği, sadece dijital verileri değil, fiziksel dünyayı kontrol eden sistemleri de içerir. Nesnelerin İnterneti (IoT) ve Kritik Altyapı Kontrol Sistemleri (SCADA/ICS), Endüstriyel Elektronik bilgisine sahip etik hackerlar için yeni ve yüksek etkili bir alandır.

A. IoT Güvenliği Zorlukları IoT cihazları (akıllı evler, sensörler, giyilebilir teknolojiler), genellikle düşük maliyetli donanım üzerine kurulur ve güvenlik döngüsünün en zayıf noktasını temsil eder.

1. Donanım ve Bellenim Zafiyetleri (Endüstriyel Elektronik):
   • Fabrika Varsayılanları: Cihazların üzerinde sabitlenmiş (hardcoded) varsayılan parolalar veya anahtarlar.
   • Güncelleme Eksikliği: Bellenim (Firmware) güncellemelerinin olmaması veya güvensiz yöntemlerle yapılması.
   • Fiziksel Erişim: Cihazın JTAG, UART veya SPI gibi hata ayıklama portlarının erişime açık bırakılması, saldırganın bellenime doğrudan fiziksel erişimini sağlar.
2. Sistem Mühendisliği Hatası: IoT cihazlarının ağa izole edilmeden (segmentasyon olmadan) bağlanması, tek bir sensörün sömürülmesiyle tüm kurumsal ağa erişim elde edilmesine yol açar (Yatay Hareket).

B. Kritik Altyapılar (SCADA/ICS) ve Fiziksel Riskler SCADA (Gözetleyici Kontrol ve Veri Toplama) sistemleri, elektrik şebekeleri, su arıtma tesisleri, doğalgaz boru hatları gibi hayati altyapıları yönetir.

• Etki: Bu sistemlere yönelik siber saldırılar (örn. Stuxnet), sadece veri kaybına değil, fiziksel hasara, can kaybına ve ulusal güvenlik krizlerine yol açabilir.
• Protokol Zafiyetleri: SCADA sistemleri genellikle modası geçmiş, güvenlik düşünülmeden tasarlanmış endüstriyel protokoller (Modbus, Profibus) kullanır. Bu protokoller, yetkilendirme veya şifreleme mekanizmalarına sahip değildir.
• Etik Hackerin Rolü: Düşük seviyeli protokol analizi (Wireshark ile) yaparak, endüstriyel kontrol komutlarının (Örn: “Vanayı Kapat”) manipüle edilebilir olduğunu kanıtlamak. Bu, Fiziksel Risk Yönetimini kurumsal gündemin en üstüne taşır.

---

5.3. Yapay Zeka (AI) Etkisi: Saldırı Otomasyonu ve Algoritmik Güvenlik Testi

Odak Disiplinler: Sistem Mühendisliği, İşletme

Yapay Zeka (AI) ve Makine Öğrenimi (ML), güvenlik alanında çift taraflı bir kılıçtır: Hem savunmayı güçlendirir hem de saldırıları beklemediğimiz şekillerde otomatize eder.

A. AI’nın Saldırı Otomasyonuna Etkisi AI, siyah şapkalı hackerların keşif ve sömürü süreçlerini verimli hale getirecek yeni yöntemler sunar.

1. Akıllı Keşif ve Tarama: AI algoritmaları, manuel tarayıcıların atladığı, nadir zafiyet zincirlerini (Exploit Chains) otonom olarak bulabilir. Büyük veri kümeleri üzerinden, en yüksek ROI’ye sahip saldırı vektörlerini tahmin ederek hedeflemeyi optimize eder.
2. Gelişmiş Sosyal Mühendislik: Büyük dil modelleri (LLM), kurbanın iletişim tarzını ve kişisel bilgilerini kullanarak son derece ikna edici ve kişiselleştirilmiş (spear-phishing) e-postalar ve ses taklitleri üretebilir (Deepfake). Bu, insan faktörü riskini üst düzeye çıkarır.

B. Algoritmik Güvenlik Testi (Adversarial AI) Etik hacker, savunma amaçlı kurulan AI/ML sistemlerinin güvenliğini test etmek zorundadır.

1. Veri Zehirleme (Data Poisoning): Saldırganın, ML modelini yanlış eğitmek için eğitim veri setine kötü niyetli veriler enjekte etmesi. Örn: Bir siber saldırı tespit sistemini, kötü amaçlı trafiği normalmiş gibi görmesi için eğitmek.
2. Model Kaçırma (Model Evasion): Saldırganın, küçük ve algılanması zor değişiklikler yaparak (algoritmik parazit), bir saldırı tespit sisteminin (IDS) veya yüz tanıma yazılımının kendisini tespit edememesini sağlaması.

C. Sistem Mühendisliği Çıkarımı: Geleceğin güvenlik mühendisleri, AI/ML modellerini sadece yazılım olarak değil, güvenlik süreçlerinin bir parçası olarak ele almalıdır. Etik hackerın görevi, bu modellerin güvenilirlik (Reliability) ve savunma mekanizması (Resilience) özelliklerini sınamaktır.

---

5.4. Mobil ve API Güvenliği: Yeni Sistem Sınırları ve Test Yöntemleri

Odak Disiplinler: Sistem Mühendisliği, İşletme

Geleneksel web uygulamalarının aksine, modern iş süreçleri büyük ölçüde mobil uygulamalar (iOS/Android) ve bunların arka uç sistemlerle iletişim kurduğu API’ler (Uygulama Programlama Arayüzleri) üzerinden yürütülür. Bu, yeni bir saldırı yüzeyi ve yeni bir Sistem Mühendisliği bakış açısı gerektirir.

A. Mobil Uygulama Pentesti Zorlukları Mobil uygulamaların güvenliği, hem istemci tarafındaki (telefon üzerindeki uygulama) hem de sunucu tarafındaki (API) zafiyetleri kapsar.

1. Tersine Mühendislik (Reverse Engineering): Saldırgan, mobil uygulamayı (APK/IPA dosyaları) tersine mühendislikle analiz ederek kritik sırları (API anahtarları, şifreleme mantığı) elde edebilir.
2. Veri Depolama Zafiyetleri: Hassas verilerin (kullanıcı tokenları, kişisel bilgiler) cihazın güvensiz depolama alanlarında (Örn: SharedPreferences) şifrelenmeden tutulması.

B. API Güvenliği: Yeni Erişim Kapısı API’ler, kurumsal veritabanlarına giden ana yollardır. API zafiyetleri, bir web arayüzünden çok daha kolay ve yıkıcı şekilde sömürülebilir, çünkü genellikle daha az kısıtlama içerirler.

1. Broken Access Control (Eksik Erişim Kontrolü): En yaygın ve kritik zafiyettir. API, kullanıcının bir kaynağa erişim yetkisi olup olmadığını düzgün kontrol etmez.
   • Örnek (BOLA – Broken Object Level Authorization): Saldırgan, kendi kimlik numarası yerine bir başkasının kimlik numarasını API isteğine göndererek, diğer müşterinin verilerine erişebilir.
2. Sistem Mühendisliği Uygulaması: Etik hacker, bir API’yi bir kara kutu (Black Box) olarak değil, bir iş mantığı prosesi olarak ele almalıdır. Test, iş mantığının zafiyetlerini (Örn: Aynı sepete sonsuz indirim kodu girilebilmesi) hedeflemelidir.

C. İşletme Etkisi: API zafiyetleri, toplu veri sızıntılarına yol açar. Bir API zafiyeti ile yüzlerce kullanıcının verisine saniyeler içinde ulaşılabilir, bu da veri ihlali riskinin hızını ve ölçeğini katlanarak artırır.

---

5.5. Kuantum Hesaplama Tehdidi ve Kriptografik Geçiş (PQC)

Odak Disiplinler: Sistem Mühendisliği, Endüstriyel Elektronik (Kriptografi)

Kuantum Hesaplama, gelecekteki siber güvenlik paradigmasını kökten değiştirecek en büyük tehdittir. Kuantum bilgisayarların ortaya çıkması, mevcut şifreleme standartlarının büyük bir kısmını işe yaramaz hale getirecektir.

A. Kuantum Tehdidinin Mekanizması Kuantum bilgisayarlar, klasik bilgisayarlarla karşılaştırılamayacak kadar güçlüdür. İki kuantum algoritması kritiktir:

1. Shor Algoritması: Mevcut tüm yaygın Açık Anahtarlı Kriptografi (Public-Key Cryptography) sistemlerini (RSA ve Elliptik Eğri Kriptografisi – ECC) hızlıca kırma potansiyeline sahiptir. İnternet iletişiminin ve dijital imzaların temelini oluşturan tüm sistemler tehlike altındadır.
2. Grover Algoritması: Simetrik anahtar şifreleme (Örn: AES) ve karma (hash) fonksiyonlarını kırmak için gereken süreyi radikal şekilde azaltabilir.

B. Kriptografik Geçiş (Post-Quantum Cryptography – PQC) Savunma tarafında, matematikçiler ve Sistem Mühendisleri, kuantum sonrası döneme dayanıklı yeni algoritmalar geliştirmektedir (Örn: Kafes tabanlı Kriptografi, Hash tabanlı imzalar).

• Sistem Mühendisliği Zorluğu: PQC algoritmaları genellikle çok daha büyük anahtarlar ve imzalar üretir. Bu, mevcut ağ bant genişliği ve depolama altyapısı üzerinde büyük bir yük oluşturacaktır. Sistemlerin bu yeni, daha büyük veri yapılarını destekleyecek şekilde yeniden tasarlanması (geçiş stratejisi) gerekmektedir.

C. Etik Hackerin Rolü (Bugünün Görevi): Etik hackerın bugünkü görevi, kuantum tehdidini test etmek değil, kurumun bu geçiş için ne kadar hazırlıksız olduğunu kanıtlamaktır:

1. Kripto Envanteri: Kurumun hangi verileri, hangi algoritma ve anahtar uzunlukları ile şifrelediğini listeleyen bir envanter oluşturmak.
2. Gelecek Risk Raporu: Kuantum dayanıklı olmayan (RSA gibi) sistemlerin değiştirilmesi için bütçe ve zaman çizelgeleri öneren, yönetime yönelik stratejik bir risk raporu hazırlamak.

---

SONUÇ ve İLERİ OKUMALAR

Bu kılavuz, etik hackerlığı sadece bir teknik beceri seti olarak değil; İşletme, Hukuk, Endüstri Mühendisliği ve Endüstriyel Elektronik disiplinlerinin kesişiminde yer alan, sistematik, stratejik ve yasal zorunluluk taşıyan çok disiplinli bir proses olarak konumlandırmayı amaçladı. Selçuk Dikici’nin uzmanlık alanlarının gösterdiği gibi, dijital dünyada savunmayı kazanmak için, saldırganın motivasyonunu (ROI), eyleminin yasal sınırlarını (TCK, KVKK) ve sistemin operasyonel bütünlüğünü (Sistem Mühendisliği) aynı anda anlamak gerekir.

6.1. Sonuç: Etik Hackerliğin Kurumsal Stratejideki Vazgeçilmez Yeri

Odak Disiplinler: İşletme, Sistem Mühendisliği

Etik hackerlik, modern bir kuruluşun risk yönetimindeki en önemli proaktif araçtır. Bir sigorta poliçesi veya bir yedekleme (backup) planı gibi, potansiyel kayıpları önceden ölçen ve minimize eden bir stratejik yatırımdır.

A. Etik Hackerlik: Bir Süreç Yönetimi Aracı Sistem Mühendisliği açısından:

• Ölçülebilir Kalite: Etik hacking, güvenlik kalitesini deneysel olarak ölçen tek mekanizmadır. Bir zafiyetin “kırılabildiği” kanıtlandığında, bu bilgi, yöneticiler için soyut bir risk değil, somut bir operasyonel kusurdur.
• Sürekli İyileştirme (Deming Döngüsü): Sızma testleri, tek seferlik bir olay değil, kurumun güvenlik duruşunun sürekli Kontrol (Check) ve Harekete Geçme (Act) aşamalarıdır.

B. Maliyetten Kaçınma Stratejisi (İşletme) Etik hackerliğe yapılan yatırımın ROI’si, önlenen hasarın (veri ihlali cezası, itibar kaybı, iş sürekliliği kesintisi) maliyetinden kat kat fazladır.

• Finansal Savunma: Bir pentestin maliyeti (örneğin $20.000), ortalama bir veri ihlalinin maliyetinin (Milyon Dolar) yanında ihmal edilebilir düzeydedir.
• Yasal Güvence: Düzenli, yazılı sözleşmeye dayalı (SOW) pentestler, bir veri ihlali sonrası yasal otoriteler (KVKK gibi) nezdinde, kurumun gerekli özeni gösterdiğini kanıtlayan temel delil olur.

C. Sonuç Cümlesi: Dijital çağda hayatta kalmak, mükemmel kod yazmakla değil, sistemin zafiyetlerini rakibinizden önce, yasal sınırlar içinde bularak sürekli olarak yönetmekle mümkündür. Etik hacker, bu sürecin vazgeçilmez pusulasıdır.

---

6.2. Disiplinlerarası Alanlarda Kariyer ve Gelişim Önerileri

Odak Disiplinler: Hukuk, İşletme, Sistem Mühendisliği

Siber güvenlik endüstrisi, sadece teknik kod yazma yeteneğine sahip bireylerden çok, riski ve hukuku anlayabilen disiplinlerarası düşünürlere ihtiyaç duymaktadır. Selçuk Dikici’nin profili, bu geleceğin uzmanını temsil eder.

A. Etik Hackerlar için Dikey Uzmanlaşma Yolları:

1. Hukuk-Uyumluluk Odaklılık (Audit ve Compliance): Pentest becerilerini alarak, bulguları doğrudan KVKK, GDPR, ISO 27001 veya SOC 2 gibi yasal ve endüstriyel standartlarla eşleştiren roller. (Örn: GRC – Governance, Risk, and Compliance Uzmanı). Hukuk ve İşletme bilginizi burada kullanın.
2. Sistem Mimarisi Odaklılık (DevSecOps): Sızma testi ve zafiyet analizi bilgisini alarak, güvenlik kontrollerini yazılım geliştirme döngüsünün (SDLC) en başına entegre eden roller. Güvenli kodlama prensiplerini ve mimari tasarım kusurlarını hedefleyin. Sistem Mühendisliği burada kritiktir.
3. Endüstriyel Odaklılık (OT/IoT Güvenliği): Ağ/web zafiyetlerinin ötesine geçerek SCADA, otomotiv veya medikal cihazlar gibi düşük seviyeli elektronik ve özel protokollere odaklanan roller. Endüstriyel Elektronik bilginizi burada kullanın.

B. Gelişim için Tavsiye Edilen Disiplinlerarası Yetkinlikler:

• Hukuk Eğitimi: Siber suçlar, veri gizliliği (KVKK/GDPR) ve sözleşme hukuku (SOW hazırlama) konularında temel hukuki bilgi edinmek.
• İşletme Yönetimi Eğitimi: Risk analizi, iş sürekliliği (BCP), finansal modelleme (ROI hesaplama) ve yönetim kurulu düzeyinde raporlama becerilerini geliştirmek.
• İletişim ve Raporlama: Teknik bulguları, teknik bilgisi olmayan üst düzey yönetime (C-Level) açık, net ve iş riski odaklı bir dille sunabilmek.

---

6.3. Kaynakça ve İleri Sertifikasyon Yolları

Odak Disiplinler: Teknoloji, Yönetim

Bu kılavuzda anlatılan metodolojileri ve prensipleri profesyonel hayata taşımak için endüstri tarafından tanınan sertifikasyonlar ve kaynaklar gereklidir.

A. İleri Teknik Sertifikalar (Pratik Odaklı):

1. OSCP (Offensive Security Certified Professional): Endüstride en saygın, pratik beceriye dayalı Pentest sertifikasıdır. Adayın gerçek bir laboratuvar ortamında sızma testini başarıyla tamamlamasını gerektirir (Bölüm 3).
2. CEH (Certified Ethical Hacker): Pentest metodolojilerini ve araçlarını kapsayan geniş tabanlı bir sertifikadır. Temel terminoloji ve standartları anlamak için iyi bir başlangıçtır (Bölüm 3.1).
3. eCPPT (eLearnSecurity Certified Professional Penetration Tester): Daha çok manuel sömürü ve raporlamaya odaklanan, gerçekçi bir ağ ortamında pratik yapan bir sertifika.

B. Yönetim ve Hukuk Odaklı Sertifikalar (Stratejik Odaklı):

1. CISSP (Certified Information Systems Security Professional): Siber güvenlik yönetimi ve stratejisi, risk yönetimi ve siber güvenlik programlarının mimarisine odaklanır. Sistem Mühendisliği ve İşletme perspektifleri için temeldir.
2. CISA (Certified Information Systems Auditor): BT sistemlerinin denetimi, kontrolü ve güvencesi konularında uzmanlaşmayı sağlar. Pentest bulgularını denetim çerçevesine oturtmak için önemlidir.
3. CISM (Certified Information Security Manager): Siber güvenlik programlarının tasarımını, yönetimini ve risk yönetimini (İşletme) kapsar.

C. Kaynakça ve Standartlar:

• PTES (Penetration Testing Execution Standard): Pentest sürecinin sistematik, 6 aşamalı prosesini detaylandıran endüstri standardı (Bölüm 3.1).
• OWASP Top 10: Web uygulama zafiyetlerinin en güncel listesi ve analizi (Bölüm 4.1).
• NIST SP 800 Serisi: ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün kapsamlı güvenlik ve risk yönetimi kılavuzları.

ÖZET

---

ETİK HACKERLİK: PROAKTİF SİBER SAVUNMA VE SIZMA TESTLERİ KILAVUZU

Detaylı Özet ve Disiplinlerarası Analiz

Bu kılavuz, siber güvenliğe sadece teknik bir kodlama meselesi olarak değil, çok katmanlı bir disiplinlerarası yönetim süreci olarak yaklaşmaktadır. Yazar Selçuk Dikici, Endüstri Mühendisliği, İşletme, Hukuk ve Endüstriyel Elektronik birikimini kullanarak, etik hackerliği (Beyaz Şapkalı) proaktif bir risk yönetimi, sistematik bir süreç kontrolü ve yasal bir zorunluluk olarak konumlandırır.

---

I. Bölüm 1: Etik Hackerliğin Sistematik Temelleri (Mühendislik ve İşletme)

Bu bölüm, siber güvenliği kaostan uzak, ölçülebilir bir proses olarak tanımlar.

• Siber Güvenliğin Temelleri (Endüstri Mühendisliği): Varlık (Asset), Tehdit (Threat) ve Zafiyet (Vulnerability) tanımlanarak, Risk (Risk) bu üç unsurun matematiksel bir fonksiyonu olarak ele alınır. Önceliklendirme, potansiyel etkiye göre yapılır.
• Hacker Profilleme (Hukuk ve İşletme): Beyaz (Etik/Yasal), Siyah (Kötü Niyet/Kâr Odaklı) ve Gri Şapkalı (İzinsiz Eylem) ayrımı yapılır. Gri Şapkalı eylemlerin iyi niyetli olsa bile hukuken yetkisiz erişim suçu teşkil ettiği vurgulanır.
• Siber Suçun ROI’si (İşletme): Siyah Şapkalı hacker’ın eylemi, finansal bir girişim olarak görülür. Etik hacker’ın stratejisi, saldırganın yatırım getirisini (ROI) artan operasyonel maliyet ve azalan finansal getiri ile negatif bölgeye çekmektir.
• Pentest vs. Zafiyet Analizi: Zafiyet Analizi (VA) geniş kapsamlı, otomatik ve teorik bir risk listesi sunar. Sızma Testi (PT) ise dar kapsamlı, manuel ve istismar edilebilirliği kanıtlanmış somut bir risk senaryosu sunarak yönetimin karar almasını sağlar.

---

II. Bölüm 2: Etik ve Hukuki Çerçeve: Adaletin Sınırları (Hukuk ve İşletme)

Bu bölüm, teknik bir eylemin ne zaman suç teşkil ettiğini belirleyen yasal sınırları çizer.

• Yasal Yetkilendirme (Rıza): Etik hackerliğin varoluş koşulu, sistem sahibinin açık, yazılı ve aydınlatılmış (riskleri bilerek) rızasıdır. Rıza olmaksızın en iyi niyetli sızma girişimi bile TCK kapsamında Bilişim Suçu teşkil eder.
• TCK’daki Bilişim Suçları: TCK Madde 243 (Bilişim Sistemine Girme) ve 244 (Verileri Değiştirme/Bozma) etik hackerın doğrudan muhatap olduğu maddelerdir. Yetki kapsamının (Scope of Work) aşılması (Scope Creep) anında suç teşkil eder.
• Kapsam Sözleşmesi (SOW): Etik hackerın hukuki koruma kalkanıdır. Testin Ne, Ne Zaman, Nasıl, Nerede yapılacağını, özellikle kapsama dahil ve hariç tutulan sistemleri detaylıca belirlemelidir.
• KVKK/GDPR Uyum: Etik hacker, test sırasında eriştiği hassas verileri (PII) korumakla yükümlüdür. Testler, mümkünse anonimleştirilmiş veriler üzerinde yapılmalı; veri ihlali riskine karşı kurumun uyumluluğu test edilmelidir.

---

III. Bölüm 3: Sistematik Pentest Metodolojileri (Mühendislik ve Elektronik)

Pentest, rastgele değil, ölçülebilir, Endüstri Mühendisliği prensipleriyle yönetilen 6 aşamalı bir süreçtir.

• Pentest Prosesinin 6 Aşaması (PTES/CEH): Keşif, Tarama, Zafiyet Analizi, Erişim Elde Etme (Exploitation), Kalıcılık/İz Temizleme ve Raporlama.
• Keşif (Reconnaissance): Pasif (OSINT, Whois) ve Aktif (Ping, Port Tarama) yöntemlerle hedefin haritasını çıkarmak, saldırıyı rastgele denemelerden stratejik bir vuruşa dönüştürmenin temelidir.
• Tarama ve Zafiyet Analizi: Nmap gibi araçlarla sistemlerin düşük seviyeli mimarisi (Portlar, Servis Versiyonları) tespit edilir. Bu versiyonlar bilinen zafiyetlerle (CVE) eşleştirilerek sömürü (Exploit) için zemin hazırlanır.
• Erişim Elde Etme (Exploitation): Metasploit gibi çerçeveler kullanılarak, zafiyetler sömürülür ve sisteme ilk erişim sağlanır. Ardından, tam kontrol için Yetki Yükseltme (Privilege Escalation) hedeflenir.
• Kalıcılık ve İz Temizleme: Etik hacker, bir arka kapı (backdoor) kurmayı simüle eder ve sistem loglarını silerek izlerini gizler. Bu eylemler, teknik olarak raporlanmalı ve test bitiminde sistemden kesinlikle temizlenmelidir (Hukuki Zorunluluk).
• Teknik Laboratuvar: Kali Linux, zafiyetli hedef sistemler (Metasploitable) ve izole edilmiş bir sanal ağ (Host-Only) kullanılarak, yasal risk olmadan pratik yapmaya olanak tanıyan kontrollü bir Sistem Mühendisliği ortamı kurulur.

---

IV. Bölüm 4: Temel Saldırı Vektörleri ve Teknik Analiz (Elektronik ve İşletme)

En yaygın saldırı türlerinin teknik kök nedenleri ve kurumsal riskleri analiz edilir.

• Web Uygulama Zafiyetleri (SQLi, XSS): Hata, uygulama kodunun Veri ve Komut arasındaki ayrımı kaldıran güvensiz kullanıcı girdisi işlemesinden kaynaklanır. SQLi, anlık ve büyük ölçekli veri ihlali (yüksek İşletme riski) demektir.
• Kriptografi Zafiyetleri: Güvenlik, algoritmanın kendisinden çok (AES-256), onun yanlış uygulanması (zayıf anahtar yönetimi, eski protokoller) sonucu tehlikeye girer. Bu durum doğrudan KVKK/GDPR uyum ihlali anlamına gelir.
• Ağ ve Protokol Saldırıları (MitM, ARP Spoofing): ARP gibi temel ağ protokollerinin güven varsayımlarını kullanarak iletişimin arasına girilir. Bu, şifrelenmemiş trafiğin çalınmasını sağlar (Endüstriyel Elektronik’in protokol analizi).
• Parola Kırma Teknikleri: Kırılan hash’ler, zayıf parola politikalarının kanıtıdır. Etik hacker, kırma süresini (Hesaplama Gücü) kanıtlayarak, yönetimi güçlü politika uygulamaya zorlar.
• Sosyal Mühendislik: İnsan faktörü, en zayıf halkadır. Phishing, kurumsal güvenlik duvarlarının etrafından dolaşarak en kritik bilgilere ulaşmayı sağlar. Etik hacker, bu simülasyonlarla İnsan Kaynakları ve Eğitim programlarının zorunluluğunu kanıtlar.

---

V. Bölüm 5: Gelecek Trendler ve Sistem Mühendisliği (Sistem Mühendisliği ve Elektronik)

Siber güvenlik sınırının bulut, IoT ve yapay zekaya kayması.

• Bulut Güvenliği (AWS, Azure): Sorumluluk Modeli, güvenlik sınırını altyapıdan Kimlik ve Erişim Yönetimi (IAM) katmanına kaydırır. Etik hacker, en çok aşırı yetkilendirme ve hatalı yapılandırma zafiyetlerine odaklanır.
• IoT ve SCADA: Siber riskin fiziksel dünyayla kesişimidir. Zafiyetler, düşük seviyeli elektronik (bellenim, fabrika varsayılanları, SCADA protokolleri) ve fiziksel hasar potansiyelini içerir.
• Yapay Zeka (AI) Etkisi: AI, sızma sürecini otomatize edebilir (Akıllı Keşif). Etik hacker ise, savunma amaçlı kurulan AI sistemlerinin Veri Zehirleme veya Model Kaçırma saldırılarına karşı dayanıklılığını test etmelidir.
• Mobil ve API Güvenliği: API’ler, kurumsal verilere açılan yeni ana kapıdır. Pentestler, sadece mobil uygulamayı değil, özellikle Eksik Erişim Kontrolü (BOLA) gibi API iş mantığı zafiyetlerini hedeflemelidir.
• Kuantum Hesaplama Tehdidi: Shor algoritması, mevcut RSA/ECC gibi temel kripto sistemlerini gelecekte kırarak küresel bir krize neden olabilir. Etik hacker, kurumun Kuantum Sonrası Kriptografiye (PQC) geçiş hazırlığını raporlamalıdır.

---

VI. Stratejik Sonuç

Etik hackerlik, yalnızca teknik bir hizmet değil, kurumun kurumsal stratejisi, yasal uyumluluğu ve finansal sürdürülebilirliği için vazgeçilmez bir süreçtir. Bu alanda kariyer yapmak isteyenler, teknik sertifikaların (OSCP, CEH) yanı sıra, yönetim (CISSP, CISM) ve hukuk/uyumluluk (KVKK/GDPR) konularında disiplinlerarası yetkinlik kazanmalıdır.

Siber Güvenlikle İlgili Söylemler.

Söz	Söyleyen (veya Atfedilen Kaynak)
“Siber güvenlikte en zayıf halka, genellikle en iyi teknolojiye sahip olandır: İnsan.“	Bruce Schneier (Güvenlik Uzmanı ve Kriptograf)
“İki tür şirket vardır: Hacklendiğini bilenler ve henüz bilmeyenler.”	Sidney Taurel (Eli Lilly’nin eski CEO’su) / Genellikle Endüstri Atasözü olarak kullanılır.
“Kriptografi, matematiğin son kalesidir. Onu kırmaya çalışanlar, genellikle uygulamadaki hataları hedefler.”	Bruce Schneier
“Sisteminizdeki en büyük zafiyet, onu test etme cesaretine sahip olmamanızdır.”	Anonim / Etik Hacking Endüstrisi
“Savunma bir maratondur; saldırı ise en zayıf noktanızda yapılan bir sprint.”	Endüstri Atasözü
“Bir güvenlik duvarı ne kadar iyi olursa olsun, bir sosyal mühendislik saldırısı onu saniyeler içinde anlamsız kılabilir.”	Kevin Mitnick (Eski Hacker, Güvenlik Danışmanı)
“Güvenlik, bir ürün değil, kesintisiz bir süreç ve sürekli bir dikkat halidir.”	W. Edwards Deming (Kalite Yönetimi Gurusu – Güvenliğe adapte edilmiştir)
“Yama (Patch) yapmamak, ‘saldırı lütfen gelsin’ demenin dijital yoludur.”	Endüstri Atasözü
“Parolanız, dijital kalenizin kapısıdır. Tek bir kapı ile tüm krallığı korumayın.”	Vint Cerf (İnternetin Babalarından)
“En ucuz siber güvenlik yatırımı, çalışanlarınıza vereceğiniz eğitimdir.”	Endüstri Atasözü
“Bulut güvenliği, sorumluluğu paylaşılan bir paradokstur. Bulut sağlayıcısı için güvenliği sağlar, siz içinde güvenliği sağlamalısınız.”	Amazon Web Services (AWS) – Paylaşılan Sorumluluk Modeli
“IoT cihazları akıllı olabilir, ancak çoğu zaman güvenli değildir. Fiziksel riskler, dijital zafiyetlerden başlar.”	Endüstri Atasözü / IoT Güvenlik Uzmanları
“Hukuki rıza olmaksızın en iyi niyetli sızma girişimi bile, TCK kapsamında yetkisiz erişim suçudur.”	Selçuk Dikici (Bu kılavuzun Hukuki Çerçeve Vurgusu)
“Saldırgan, sisteme değil, genellikle bir protokole, bir varsayıma ya da bir insan hatasına saldırır.”	Dan Kaminsky (Güvenlik Araştırmacısı)
“Siber güvenliği sadece ‘kod’ olarak görenler, büyük resimdeki hukuki ve ticari riski asla göremezler.”	Selçuk Dikici (Multidisipliner Yaklaşım Vurgusu)
“Riski sıfırlayamazsınız, sadece yönetebilir ve kabul edilebilir seviyelere çekebilirsiniz.”	Anonim / Risk Yönetimi Uzmanları
“API’ler, modern iş dünyasının ana arterleridir. Onların erişim kontrolündeki bir kusur, toplu veri sızıntısının garantisidir.”	OWASP (Open Web Application Security Project)
“Teknolojinin sunduğu her kolaylık, yeni bir güvenlik zafiyeti olarak geri dönebilir.”	Anonim
“Veri, yeni petroldür; onu koruyan güvenlik ise yeni enerjidir.”	Anonim
“Başarılı bir sızma testi (pentest), bir başarısızlık değil, büyük bir veri ihlalinin önlenmesinde kazanılmış bir zaferdir.”	Etik Hacking Endüstrisi

---

TÜM KILAVUZ  İÇİN DETAYLI KAYNAKÇA VE İLERİ OKUMALAR LİSTESİ

Bu kapsamlı kılavuzda ele alınan her bir disiplin ve teknik konu başlığı için, etik hackerın ve stratejik güvenlik profesyonelinin derinlemesine bilgi edinebileceği akademik, endüstriyel ve yasal kaynaklar aşağıda listelenmiştir.

---

I. Hukuk, Etik ve Yönetim (Bölüm 2 ve İşletme Odakları)

Konu Alanı	Kaynak / Standart	Açıklama
Yasal Çerçeve (Türkiye)	Türk Ceza Kanunu (TCK): Madde 243, 244	Bilişim Sistemine Girme ve Sistemi Engelleme/Bozma/Veri Değiştirme suçlarının yasal dayanağı. Etik hacking sınırlarının temelini oluşturur.
Veri Gizliliği (Türkiye)	Kişisel Verilerin Korunması Kanunu (KVKK)	Hassas veri (PII) işleme, koruma ve veri ihlali durumunda bildirim yükümlülükleri.
Veri Gizliliği (Uluslararası)	GDPR (General Data Protection Regulation)	Özellikle uluslararası ticaret yapan şirketler için veri koruma ve yasal cezaların çerçevesi.
Risk Yönetimi Standartları	ISO 27001 (Bilgi Güvenliği Yönetim Sistemi)	Bilgi güvenliği programının kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için uluslararası standart.
Kurumsal Yönetim	COBIT (Control Objectives for Information and Related Technologies)	BT yönetimini ve kurumsal hedeflerle uyumlu hale getirmeyi amaçlayan yönetim çerçevesi.

---

II. Teknik Metodoloji ve Standartlar (Bölüm 3 ve 4)

Konu Alanı	Kaynak / Standart	Açıklama
Pentest Metodolojisi	PTES (Penetration Testing Execution Standard)	Keşiften raporlamaya kadar pentest sürecini standartlaştıran 6 aşamalı kapsamlı endüstri kılavuzu.
Web Güvenliği Zafiyetleri	OWASP Top 10	Web uygulamalarında en kritik 10 güvenlik riskini ve korunma yöntemlerini içeren sürekli güncel rehber.
Ağ Güvenliği ve Keşif	Nmap Documentation (Network Mapper)	Ağ keşfi, port tarama ve servis tespiti için kullanılan temel aracın resmi kılavuzları ve teknik dokümantasyonu.
Exploitation Çerçevesi	Metasploit Unleashed (Offensive Security)	Metasploit Framework’ün kullanımı, modül geliştirme ve exploitation teknikleri için ücretsiz çevrimiçi eğitim ve dokümantasyon.
Zafiyet Veritabanı	CVE (Common Vulnerabilities and Exposures)	Kamuoyuna açıklanmış tüm siber güvenlik zafiyetleri için standart isimler (ID’ler) ve tanımlar içeren uluslararası havuz.

---

III. Gelecek Trendler ve İleri Teknolojiler (Bölüm 5)

Konu Alanı	Kaynak / Standart	Açıklama
Bulut Güvenliği	CSA (Cloud Security Alliance) STAR Programı	Bulut bilişim güvenliği uygulamalarını değerlendiren ve belgelendiren lider organizasyon ve raporları.
Bulut Sorumluluk Modeli	AWS / Azure / GCP Resmi Dokümantasyonları	Bulut sağlayıcılarının Paylaşılan Sorumluluk Modeli’nin detaylı açıklaması ve müşteri yükümlülükleri.
IoT ve SCADA/ICS	NIST SP 800-82 (Guide to Industrial Control Systems (ICS) Security)	Kritik altyapı sistemleri (SCADA) ve operasyonel teknoloji (OT) güvenliği için federal standartlar ve rehber.
Kuantum Kriptografi	NIST PQC Standardization Project	Kuantum sonrası kriptografi (PQC) için aday algoritmaların değerlendirilmesi ve gelecekteki standartların belirlenmesi süreci.
API Güvenliği	OWASP API Security Top 10	Mobil ve web servisleri için API’lara özgü en kritik güvenlik risklerini listeleyen rehber.

---

IV. Gelişim ve Sertifikasyon Yolları

Sertifika Alanı	Sertifika Adı	Odak Noktası
Pratik Hacking (Teknik)	OSCP (Offensive Security Certified Professional)	Gerçek bir laboratuvar ortamında manuel sızma testi becerisini kanıtlamaya odaklanan, endüstride en saygın sertifika.
Temel Pentest ve Araçlar	CEH (Certified Ethical Hacker)	Pentest metodolojileri, araçları ve etik kurallar hakkında geniş bir bilgi tabanı sunar.
Yönetim ve Strateji	CISSP (Certified Information Systems Security Professional)	Güvenlik yönetimi, risk, uyumluluk ve güvenlik programlarının tasarımı konularına odaklanır. (Sistem Mühendisliği Yöneticisi için ideal).
Denetim ve Kontrol	CISA (Certified Information Systems Auditor)	BT denetimi, sistem kontrolü ve güvencesi konularında uzmanlık sağlar. (Hukuk ve İşletme perspektifi).

---

V. Yazılım ve Araçlar

Kategori	Araç Adı	Rolü (Kullanıldığı Bölüm)
İşletim Sistemi	Kali Linux	Pentest için gerekli tüm araçları içeren ana saldırgan platformu. (Bölüm 3.6)
Hypervisor	VMware Workstation / Oracle VirtualBox	Güvenli sanallaştırma laboratuvarı kurmak için kullanılan yazılımlar. (Bölüm 3.6)
Ağ Analizi	Wireshark	Ağ trafiğini yakalama ve analiz etme, düşük seviyeli protokol zafiyetlerini (ARP, MitM) anlama. (Bölüm 4.3)
Exploitation Çerçevesi	Metasploit Framework	Zafiyetleri sömürme (Exploitation) ve yetki yükseltme (Privilege Escalation) işlemleri için araç. (Bölüm 3.5)
Parola Kırma	John the Ripper / Hashcat	Ele geçirilmiş parola karma değerlerini (Hash) kırmak için kullanılan araçlar. (Bölüm 4.4)
Keşif	Nmap	Ağ haritalama ve port/servis tarama aracı. (Bölüm 3.3)