Cyber Take-Off ’22 Özeti
Türk Hava Yolları tarafından 2. si düzenlenen Cyber Take-off işe alım programının bitişinden uzun bir zaman geçti. Sertifikalar paylaşıldı, profil fotoğrafları değiştirildi 😆. Birazcık dinlenmenin ve planlamanın ardından ileride hatırlayabileceğim ve artıları-eksileri üzerine yorum yapabileceğim bir yazı yazmak istedim.
Neydi Bu Cyber Take-Off
Yazının girişinde de belirttiğim üzere THY tarafından düzenlenen bu program 3 etaptan oluşmaktaydı. İlk olarak genel katılımcı kitlesinin başvurusu alınarak, siber güvenlik temellerini kapsayan bir test sınav gerçekleştirildi. Tahmini sayı -tam olarak hatırlamıyorum- 1000 kişinin üzerinde bir başvuru arasından, 100 kadar katılımcı ile online eğitim programı gerçekleştirildi. Bu eğitim süreci; hafta içi her akşam 4'er saatlik olmak kaydıyla ve cumartesi günü işlenen derslere yönelik test sınavları ile birlikte, 1 ay boyunca devam etti. Programın sonucunda yapılan CTF yarışması ile 30 kişilik bir ekip İstanbul’da düzenlenecek olan kamp programına dahil edildi. Bu kamp süreci de 15 gün, 8:30–18:00 saatleri arasında ders, yemek sonrası bireysel çalışma ya da kariyer sohbetleri gibi etkinlikler, geceye bir güneş gibi doğan time capsule soruları ile geçildi 😄. Bu süreç içerisinde 2 kez akşam üzeri CTF düzenlenerek genel puan durumunu etkileyecek sınavlar gerçekleştirildi. (PCAP sorusunda doğru formatı bulmak için 1 saat harcamam dışında güzel sorulardı 😅)
Ben Nasıl Dahil Oldum Bu Programa?
Bu kamptan öncesinde part time olarak bir şirkette aday mühendis olarak çalışıyor, bir yandan da okulumdaki dersler ile tabiri caiz ise uğraşıyordum. Daha öncesinde siber güvenlik üzerine bilgi birikimim olması beni bu süreçlerde oldukça rahatlattı. Eğitmenlerin kullanmış oldukları kelimeler, araçlar vs daha öncesinde de duyduğum, gördüğüm şeyler oldukları için yapılan sınavlarda da beni bir adım öne geçirmişti. Sınavlar ve katılımımın değerlendirilmesi ile kampa dahil olan 30 kişiden biri olmaya hak kazandım. Bu süreçte de çalıştığım yerden ayrılmam gerektiği gibi bir şart geldi önüme. (Burada da aldığım kararın ne kadar sağlıklı olduğunu ilerleyen günlerde göreceğim.)
Kamp Süreci
Final sınavlarım tam olarak kampın başladığı zamana denk gelmekteydi. 2 günlük bir gecikmeyi kamp sorumlusu Timur hocam ile konuşarak çözmüştük. Kamp alanına ulaştığımda t-shirtler, hediyeler ve bilgisayar verildi. (Masraftan hiç kaçınılmamıştı.) Kampta olan diğer arkadaşları o akşam görmüştüm ilk defa. Herkes harıl harıl bir şeyler hackliyordu. Aklımdan ilk geçen şey buradan başarılı bir şekilde ayrılmanın kolay olmayacağıydı. Takip eden günlerde arkadaşlar ile tanışırken bir yandan da ortama ısınmaya çalıştım. Çok fazla zaman almadı bu süreç. Kendi adıma konuşmak gerekirse eğitimleriyle, yarışmalarıyla, sohbetleriyle dolu dolu bir kamp geçirdim.
Eğitimler & Eğitmenler
Eğitim konuları kamp için oldukça uygun hazırlanmıştı. Eğitmenlerin bu eğitimleri de uygulamalı hale getirerek anlatması yahut sektöre dair edindikleri tecrübeleri aktarması ilgiyi arttıran unsurlar arasında yer alıyordu. Ancak, online eğitim sürecinde 1 haftalık bir web uygulama güvenliği eğitimi verildi ve aynı eğitim 1 gün olarak bu kamp içerisinde de yer aldı. Buradaki eğitimler farklı eğitmenler tarafından verildi. (Yanlış anlaşılmasın lütfen, iyi ya da kötü olarak değerlendirmiyorum bu eğitimi). Bu 1 gün, sızma testi eğitimine ya da başka bir eğitime aktarılabilirdi. Bunun haricindeki eğitimler online eğitimdeki derslerin üstüne koyarak karar verilmişti.
Eğitmenler alanlarında bilgili, sorulan sorulara ilgi ile cevap vermeleri, sektörde edindikleri tecrübeleri aktarma konusunda oldukça cömerttiler. Ancak, bazı eğitimlerde verilen uygulama materyallerinin artık değişmesi gerektiğini düşünmekteyim. Uygulama güvenliğinde bWAPP ya da DVWA anlatılmaması gibi. Port Swigger’ın uygulama güvenliği platformu gerçekten iyi bu konuda ya da alternatif bir uygulama geliştirilerek OWASP’a yönelik bir platform geliştirilmesi daha doğru olacaktır. Bunun aynısı mobil taraf için de geçerli. (Eğitmenlerin bu konuda vakti olmadığı aşikar. Değişmesine inandığım şeyleri yazıyorum. Bunlar da bitirme için güzel bir proje olabilir.)
Sızma testi eğitimlerinde metasploitable anlatılması da bir eksi. Eğitmen yine burada, yoğun olduğundan bu makineyi anlatabilir. Ancak vulnhub gibi bir platformdan bir makine iletmesi bu makine üzerinden temel sızma testi metodolojisini anlatması daha doğru olacaktır. Kamp dahilinde bu eğitimi bize veren hocamız, kendisinin yoğun olduğunu belirtti.Metasploitable’dan oluşan eksik kısmı sektöre yönelik anlattıkları ve verdiği değerli bilgiler ile telafi ettiğini düşünüyorum.
Kamp sürecinde en zevk alarak dinlediğim ders Incident Response idi. Hem eğitmenin anlatış biçimi, eğitim süresi, verilen bilginin uygulama ile desteklenmesi yerindeydi. 3 gün süren bu eğitimde bildiklerimi tazeleme, yeni şeyler öğrenme, sektörden bir insan daha tanıma fırsatı buldum ayrıca.
Kariyer Sohbetleri
Akşam yemeğinden sonra gerçekleşen oturumlardı. Sektörün tanıdığı isimlerle ve kariyerini, adını her gün duyduğumuz şirketlerde devam ettiren insanlar ile sohbet etme fırsatımız oldu. Yüz yüze gerçekleşen oturumlar daha etkileyiciydi açıkçası. Bu oturumlardan 2 tanesi online olarak gerçekleşti. Sohbete katılan kişilerin neden iyi olduklarını sizlere anlattıkları şeyleri tartınca anlamamak imkansız. Yaşantılarından, düşüncelerinden, geleceğe yönelik verdikleri tavsiyelerden ziyadesiyle faydalandım. Sohbetlerden kendime çıkardığım en önemli ders; başarısızlık bir ödül olabilir benim için.
Bir de her gün bize kariyer sohbeti veren Timur hocamız vardı. Bir paragraftan fazlasını hak ediyor kendisi. Kampa dahil olup iyi ki tanıdım dediğim birisidir. Her ders arasında etrafında öğrenciler ile sohbet edip, bilgi birikimini anlatmaktan çekinmeyen bir insan. Siber güvenliğin yanı sıra hayata dair de güzel ipuçları verdi. Gelecek programınların başında da umarım kendisi olur ve genç arkadaşlarımın ufkunu açar.
Sonuç Olarak
Kamp biterken CTF’lerde sırası ile 4 ve 5. inci oldum. Time capsuler’im pek iyi değil açıkçası bir tanesini çözebildim. (Gece aniden uyanınca düşünemiyor insan 😅). Sonuç için, dediğim gibi ilerleyen günlerde belli olacak. Buradan THY’ye böyle bir etkinliği düzenlendiği, eğitmenlere anlatımları, kariyer sohbetlerinde bizleri aydınlatanlara, CTF’leri ve time capsulleri hazırlayan ekibe çok teşekkür ederim. John Doe’nun da Amerikalı Karate Kid olduğunu öğrettiği için Timur hocama teşekkür ederim 😆. Esenlikle ✋
