Hacking'de Hızlı Yazmanın Önemi

[Shiva]

Hacking'de hızlı yazmanın önemi, yoktur. Hepimizin alışa geldiği filmlerde hacker diye gördüğümüz şey deli gibi klavyede tuşlara basan insanlardan ibaret oluyor, belki de işin en doğru teknik detayına giren tek şov Mr.Robot'dur.

Ne zaman konu hacking ve type speed olsa aklıma internetteki bir instagram mesajı gelir. "Abi merhaba dakikada 100 kelime yazabiliyorum nasıl hacker olabilirim ?" bu gerçekten birisine atılmış tamamen gülünç bir DM, küçük çocuklar bu algıya kendini kaptırıp asıl odaklanmaları gereken şeyleri heba ediyorlar, ben küçük çocukların bu alanla ilgilenmesine pek de laf etmiyorum ne de olsa idealler bu yaşlardan gelişmeye başlar. Ancak yanlış öğreniyorlar.

Peki ya bu algıyı ilk oluşturan eserler neler ? Büyük bir ihtimalle hacker kavramının popüler kültürdeki mihenk taşını oluşturan eserlerden birisi Swordfish filmidir (Kod Adı Kılıçbalığı, 2001). Pek de meşhur ve sevilen bir aktör olan Hugh Jackman'ın bilgisayar klavyesinde inanılmaz hızlı bir şekilde yazı yazdığını görüyoruz.

Sahne:

Eğer daha yakından bakacak olursak sonraları yaptığı tek şeyin manual bir brute force saldırısı olduğunu görebiliriz. Ki bu da pek çok kişiye göre hacking sayılmaz bile. Ancak yaratılan algı ne de olsa "hacker/yazılımcı hızlı yazmak ZORUNDADIR oluyor.

Bu yazıyı yazmamın asıl amacı biraz da hacking yöntem ve tekniklerinden bahsetmekti açıkçası. Buraya kadar gelemeyip, sıkılıp yazıyı kapatanlar bundan bir haber olacaklar tabii

İlk olarak neden o tür bir hızlı yazma durumunun çok zor olduğundan bahsedelim: burada (genel olarak) imkansız olan şey hızlı yazması değil, hızlı yazmakla hacking'in bir ilişkisi olabileceği düşüncesi. Bilgisayarınız ne kadar iyi olursa olsun bir sistemin portlarını görmek için nmap taraması başlatıyorsunuz, şimdi o tarama birkaç saat sürdüğü sırada hızlı yazmanızın ne gibi bir önemi olabilir ki ? ya da bir kimse sızdığı sistem üzerinden forensics işlemi başlatacak, ancak uygun olan dizini (/usr/share/Msploit-framework/modules/post/windows/gather/forensics) ve komutu hatırlayamıyor ya da bilmiyor, bu durumda o dizini ya da komutu hızlı yazmasının ne gibi bir önemi kalır ki ? Hacker yazacağı komutları, hangi durumda ne kullanılması gerektiğini iyi bilirse hızlı yazmasının HİÇ önemi yoktur, yalnızca bir işi 3 dakikadan en fazla 2 dakikaya düşürür o kadar. Çünkü sızma testi yapan kimse vaktini komut/kod yazarak değil düşünerek harcar. Efektif saldırı yöntemlerini, nereye ne yaparsa ne olacağı, hangisi daha anlaşılmaz olur gibi şeyleri düşünmelidir.

Haydi yüzeysel bir senaryo kuralım: iki adam Kale Havacılık'ın server'ına erişmek istiyor, birisi dakikada 200 type yapıyor diğeri 50. Hızlı yazan website üzerinde durup sitenin /old URI'si üzerinde CSRF ve XSS buluyor (bu arada gerçekten bu açıklar mevcut sitede) bu işlemi manual yaptığını düşünürsek (hızlı da yazıyor) 50dk da açık keşfetti. Diğer yavaş olan adam ise direkt portlar üzerinden exploit uygulamaya başladı, bir exploit'in işe yaraması 1 saat sürdü dersek (büyük büyük yazıyorum) yavaş yazan adam 1 saat içinde sisteme sızdı, shell aldı vs. diğer adam ise site üzerinde hiç de efektif olmayan iki açığı bulmak için 50dk harcadı. Yani demek istediğim şey şu:

Hacking'de hız önemlidir ancak hızı belirleyen şey yazı değil sistematik düşünce ve stratejidir.

Bu örnekteki sistem Fassenheim-2 reaktörü de olabilirdi, sıradan bir evin içindeki laptop da.

Bu yüzden çok okuyan mı daha iyi bilir, çok "yazan" mı dersek tabii ki de cevap okuyan olacaktır.

​