Lise çağındaki genç bir bireyin hayatının geri kalanında ne yapmak istediğini belirlemesi ve daha sonra bu alanın dışına çıkmayı düşünmeden bunu sürdürmesi nadir görülen bir durumdur. 2013’e geri dönelim – Okulumda 5. yılımdayım, İskoç Yüksek Lisansımı geçtim ve bazı çıraklık başvurularının yanı sıra üniversiteye gitmeyi düşünüyorum. Heriot-Watt Üniversitesi’nden aldığım Arkwright bursuyla yolumu kafamda çizmiştim. Ülkedeki en iyi kurumlardan birinde Mühendislik Derecesi alma çabam makul bir yaklaşım gibi görünüyordu. Daha sonra bana BP’den çıraklık teklifi geldiğinde işin içine bir İngiliz anahtarı atıldı. Bana göre bu, profesyonel olarak gelişebileceğim küresel bir şirkette hayatımın fırsatıydı. Tam zamanlı üniversiteyi düşünmek için hiç düşünmeden ya da omzumun üzerinden bakmadan onu yakaladım. Parlak bir öğrenciydim ve Proses Teknolojisi alanında üniversite yeterliliği ve iş deneyiminin yanı sıra BP gibi küresel bir şirketin benim için doğru hareket olduğunu hissettim.
2023 Sonbaharına doğru hızla ilerleyelim. Şu anda web uygulaması güvenlik testlerinde uzmanlaşmış tam zamanlı bir Siber Güvenlik Danışmanı/Sızma Test Uzmanı/Etik Hacker’ım ve şu anda Cyber Scheme Ekip Üyesi sertifikasına sahibim. Peki ne değişti? Peki neyi farklı yapardım? Dürüst olmak gerekirse – pek değil.
Bazen okuldan hemen sonra Siber Güvenlik okumak istediğime karar vermiş olsaydım ne olurdu diye merak ediyorum. Gerçek şu ki, bilgisayarlara karşı her zaman bir tutkum vardı ve işlerin nasıl yürüdüğünü anlamaya yönelik amansız bir merakım vardı; bu, bilgisayar korsanlığını seven birinin tarifi. Burada “asla bilmediğin şeyi gerçekten kaçırmama” unsurunun var olduğunu düşünüyorum. Siber Güvenlik, okuldan ayrılmayı hiç düşünmediğim bir şeydi; bunu istemediğim için değil, daha çok, bazı nedenlerden dolayı okulumda bilişimin “reklamı” yapılmadığı için. Mühendisliğe doğru yönelme oldukça güçlüydü ve ben bunda iyiydim. BP’den teklif geldiğinde, bu, doğru ya da yanlış olsun, aklımdan çıkamadığım bir şeydi.
Okulu bıraktım ve üniversitede Proses Teknolojisi okumaya başladım; damıtma süreçlerini ve sıvıların ve gazların borulardan nasıl geçtiğini vb. anladım. Daha sonra üç yılımı BP’nin İskoçya’daki petrol ve gaz tesislerinde işe yerleştirme ve vardiyalı çalışma için harcadım. Çırak olarak geçirdiğim süre boyunca öğrendiğim kadarıyla ve muhtemelen yarın çok kademeli bir gaz kompresörünü soğuk çalıştırabilecek olsam da, müşterilerim bunun web uygulaması test metodolojimde yer almadığını bilmekten memnuniyet duyacaktır. Ne olursa olsun, çıraklığımdan mezun olduktan sonra Petroineos’ta tam zamanlı çalışmaya geçmem bir sonraki görevimde çok önemliydi.
Petroineos’ta geçirdiğim zamandan çoğunlukla keyif aldım; ancak hayatımda ne yapmak istediğimi ve nasıl bir insan olmak istediğimi doğru bir şekilde yeniden değerlendirmemi sağladı. Bazen yalnızca yaşın ve deneyimin tanımlayıp şekillendirebileceği bir bakış açısı geliştirmeye başladım.
Bütün bunları yakın bir arkadaşımla poker oynayıp biraz viski içerken konuştuğumu hatırlıyorum. O bir pentester’dı (hala da öyle) ve çalışmaları beni büyüledi. Bunu her zaman hayatımın önemli bir noktası olarak açıklarım; bir Cumartesi gecesi, bir grup etik hacker’ın, geliştiricinin ve teknoloji alanında çalışan diğer kişilerin çalışmaları hakkında tutkuyla ve heyecanla konuşmalarını dinledim. Bu pek çok insana standart gelebilir ama o zamanlar işim hakkında söyleyecek heyecan verici hiçbir şeyim yoktu ve izin günlerim bir kaçıştı. Muhtemelen etik bir hacker olmanın nasıl bir şey olduğuna dair çok fazla soru sordum ama o arkadaşımın bana şunu söylediğini her zaman hatırlıyorum: “Harika bir pentester olursun. Eğer düşünürsen bana haber ver.” Bugün bile buna gülüyoruz çünkü hemen hemen orada evet dediğimi ve ne yapmam gerektiğini sorduğumu hatırlıyorum ve o da bana hiçbirimizin ne olduğunu hatırlayamadığı temel bir soru sordu ama bu önemsizdi. Mesela “Peki, Linux’un ne olduğunu biliyor musun?” Bildiğim şey şu ki, her ne idiyse, hiçbir fikrim yoktu. Eğrinin dikliğini çok çabuk fark ettim.
İşe döndüğümde biraz moralim bozuldu. Rafineri kapılarının ötesinde yeni bir dünya ortaya çıkmıştı ama bu bir milyon mil uzaktaydı. Kodlama bilmiyorken etik hacker olmayı nasıl öğrenebilirim? Eğer Linux’un ne olduğunu bilmeseydim bunu nasıl yapabilirdim? Üzerinde beyaz yazı bulunan o siyah ekranın nasıl kullanılacağını bilmem gerekiyor muydu? Bu bana oldukça yabancı!
Bunu aklımın bir köşesine ittim ve kendimi mevcut işime geri vermeye çalıştım ve sonunda tesis sistemlerini iyileştirmek için bir bütçemin olduğu geçici bir görevde çalışmaya başladım. İlk önce daldım, tehlikeli bir ortamda çalışmak için ATEX dereceli tabletler geliştiren şirketlerle iletişime geçmeye ve bunların rafineride nasıl uygulanacağını araştırmaya başladım.
Başlangıçta başarmaya çalıştığım şeyin yapılamayacağı söylendi, sonunda rafineri müdüründen tam destek aldım ve proje başlatıldı. 1940’larda inşa edilmiş bir tesise teknoloji taşınıyor! Ta ki Mart 2020’de COVID nedeniyle vardiyaya geri gönderilene kadar. Proje benden alındı ve bununla ilgili tüm sorumluluğu kaybettim. Fikrim, değişimi geliştirme dürtüm ortadan kayboldu ve sonunda tekrar eski rolümde çalışmaya başladım, ortaya çıkıp eve döndüm.
Arkadaşımı aradım ve şöyle dedim: “Sana seslenmemi söylediğini hatırlıyor musun? Sızma testine nasıl giriyorsunuz?” “Kali Linux’u sanal makineye indirin, bana ‘Merhaba dünya!’ yazarken çekilmiş bir fotoğrafınızı gönderin. terminalde.” Ben de “Kali ne ve ne?” diye yanıt verdim.
Ve ben bağımlıydım. Doğruca bilgisayarın başına geçtim ve saatlerce araştırdım. Doğrudan Saldırı Güvenliği web sitesine, Reddit’e, her şeye. “Bu şeyi nasıl çalıştırırım, ne işe yarar?” Birkaç saat sonra ona ekran görüntüsünü gönderdim ve böylece etik hackleme yolculuğuma başladım.
TryHackMe’yi ve Hack The Box’ı buldum. Kuşkusuz, terminalin ne olduğunu bile bilmeyen biri için ikincisi biraz fazla ileri düzeydeydi, ancak bilgi eksikliği bende daha fazlasını öğrenme isteği uyandırdı. HTB laboratuvarları için YouTube’da izlenecek yolları izledim ve temel düzeyde ne olduğuna dair bir fikir edindim. Linux kabuğunda olma sevgisini yeni geliştirdim; bir kaçış gibi geldi. TryHackMe için ilk VPN bağlantı dosyamı indirdiğimi ve bunun ne olduğunu veya ne yaptığını anlamadığımı hâlâ hatırlıyorum. Linux’un temellerini öğrenmek ve kabuğun içinde oyalanmak için saatler harcadım; sırf oradan tekrar çıkmak için bir dizine “cd” girerek. Sırf izinlerini değiştirmek için bir dosya oluşturup ardından tekrar silmek. Bilgisayarlarla ilgilenmeyen biri için bu cehennem gibi görünebilir ama benim için bağımlılık yapıcıydı. Ama bir sorun vardı. Baktığım her yerde başka bir şey hakkında daha fazla bilgi vardı, sonra o şey hakkında daha fazla bilgi vardı. Bütün bu kısaltmalar, SSH bu ve FTP bu ve nasıl 65535 port olabilir; MacBook’umda yalnızca 2 USB bağlantı noktası var, bir şeyleri mi kaçırıyorum? Bundan sonra ne öğrenilmeli? Seçenek felci, aşırı bilgi yüklemesi. O kadar bağlandım ve yatırım yaptım ki, eğitime daha yapılandırılmış bir yaklaşım sağlamak için Açık Üniversite’de Siber Güvenlik alanında yarı zamanlı bir derece almaya başladım. Onu sevdim; İlk kez öğrenmeyi sevdim. İş ahlakım değişti (YouTube’daki Ali Abdaal sayesinde) ve zihniyetimi değiştirdim.
İşimi yaptım ve üniversitede ders çalıştım ama bunu yapmadığım zamanlarda laboratuvarlar veya TryHackMe modülleri yapıyordum. Üniversite kursu sıfırdan başladı ve bana Python’da ağ oluşturma temellerini ve giriş seviyesi programlamayı öğretti. BT temellerinin daha niş “hackleme” kaynaklarıyla birleşimi mükemmel bir denge haline geliyordu.
Beni sektöre sokmak için OSCP yapmayı düşünene kadar her şey iyi gidiyordu. Sınavı araştırmak ve benzer OSCP benzeri kutuların izlenecek yollarını izlemek beni tren gibi etkiledi. Olmam gereken seviyeye yaklaşamadım. Bu şimdiye kadar yaptığım en zor şeydi ve nereye baksam daha da zorlaşıyordu. Tekrar moralim bozuldu. Pentester olmaya nasıl sıçrayabilirim?
Çalışmaya devam ettim. Üniversitedeki sınavlarımda da başarılıydım; ilk yılımda Üstünlük elde ediyordum. Ama hâlâ tam zamanlı bir pentester değildim. Çalışmaya devam ettim. Ne kadar çok şey bilmiyorsam, o kadar çok bilmek istiyordum. Bu bir kısır döngüydü. Skye Adası’nda arkadaşlarımla tatilde olduğumu hatırlıyorum ve yolda ve neredeyse tüm zaman boyunca orada çalıştım. Sabah 10’dan gece yarısına kadar Kali’deydim, öğütüyordum. Ben onlardan farklı gördüm. İşten izin zamanım olmasına rağmen, akşamları ateşin önünde bir kahve ve birkaç bira eşliğinde, manzara değişikliğiyle ders çalışma ve hackleme fırsatı olarak gördüm.
Sonra bir gün, Kıdemsiz/Stajyer Siber Güvenlik Danışmanı için bir iş ilanı gördüm. Heyecanlıydım ama o an çok kısa sürdü. Bunu yapamazdım değil mi? Petrol ve gaz sektöründe çalışıyorum; beni neden dikkate alsınlar ki? Peki mezunlar? Yarı zamanlı olarak elimde 2 yılım bile yok! Ama yine de bunun için gittim. Kaybedecek ne vardı?
Sonunda o işi aldım. Halen oradayım, Akademi programından mezun olduktan sonra Danışman pozisyonuna geçtim. Kendimi zavallı biri gibi, bloktaki yeni çocuk gibi hissettim. Sahtekarlık sendromu gerçekti. Ancak aldıkları eğitim muhteşemdi ve şirkete katıldığımdan beri aldığım destek, şimdiye kadar verdiğim en iyi kararın siber ortama adım atmak olduğu fikrini kafamda pekiştirmekten başka bir işe yaramadı. Ayrıca, verilen destek ve eğitimlerin yanı sıra gece geç saatlere kadar süren bazı çalışma oturumları sonucunda, sektöre başladıktan 8 ay sonra, daha önce hiçbir BT deneyimim olmadan, ilk denememde Cyber Scheme Ekip Üyesi sınavını geçtim. Bir yandan temelleri geliştirirken, bir yandan da saldırgan siber güvenliğin niş alanında bilmem gereken materyalde gezinmeye çalışmak en büyük zorluktu. Ancak, bu sıkı çalışmanın karşılığını aldım ve artık sevdiğim şeyi, tutkumu paylaşan harika bir grup insanla birlikte yapabiliyorum.
Son iki buçuk yıl inişli çıkışlı geçti ama benim için dönüm noktası o poker gecesiydi. Bu kadar çok insanın boş zamanlarında bile yaptıkları işe tutkuyla bağlı olduğunu görmek ilham vericiydi. Eğer iş için yaptığınız işi sevebiliyorsanız, hayatımızın ne kadarının çalışarak geçtiğini göz önüne alırsak, bu işin yarısıdır.
Yine de bu süreçte öğrendiğim bazı önemli şeyleri belirtmekte fayda var. Siber yolculuğumda hiçbir şeyi değiştirmezdim. Daha önce başlasaydım, yani okuldan hemen sonra siber güvenlik alanında eğitim almış olsaydım, şu an bulunduğum yerden çok daha ileride olacağımı hissederdim. Ama artık buna inandığımı sanmıyorum. Basitçe söylemek gerekirse, önceki görevlerimden öğrendiğim dersler ve bir işte ne istemediğimi kendi kendime tanımlayabilmek bana ilerlemek için itici güç verdi. Bazen bir şeyin kötü yapıldığını görmek değişime ilham veren katalizördür. Güvenlik danışmanı olmak, başkalarının daha bilinçli olmalarına ve onları tehditlere karşı korumalarına yardımcı olmamı sağlıyor ve bu, günün sonunda dizüstü bilgisayarınızı kapattığınızda hissettiğiniz güzel bir duygu.
Eğer okuldan hemen sonra eğitim görseydim muhtemelen teknik olarak daha bilgili olacağımdan şüphem yok. Bununla birlikte, hem önceki görevlerimde hem de sibere geçiş sırasında kazandığım bakış açısı, geçimimi sağlamak için ne yaptığımı takdir etmemi sağlama ve sonuç olarak beni hem bir iş olarak hem de bir birey olarak gelişmeye itme konusunda paha biçilemez bir değere sahip oldu. kişi ve bir pentester olarak.
Başlamak için asla geç değildir. Çimlerin geldiğiniz yerden çok daha yeşil hale geldiğini bilmek, daha hızlı koşmanızı sağlayabilir.
Ross, 2023 Güvenlik Ciddi İsimsiz Kahramanlar Ödülleri’nde Yükselen Yıldız kategorisinde finalist oldu