Güvenlik Kitapları Hakkındaki Değerlendirmelerim
Bilgisayar güvenliğiyle ilgili güncel bilgileri blog yazıları, konferans konuşmaları, akademik makaleler üzerinden takip etsek de, kitaplardan ilgili alanla ilgili kapsamlı bilgi edinebiliyoruz. Ancak, farklı konularda yazılmış onlarca kitap var ve her geçen gün yenileri çıkıyor. Ne yazık ki bunların hepsini okumak pek mümkün değil. Bu yazıda, son 2-3 senede okuduğum kitaplar hakkındaki değerlendirmelerime yer vereceğim. Bu listeyi yeni kitaplar okudukça güncellemeyi de planlıyorum. Okuyacağınız bir sonraki kitabı bu listeden seçebilirsiniz.
Kitap: The Tangled Web: A Guide to Securing Modern Web Applications 1st Edition
Çıkış Yılı: 2011
Tavsiye Seviye: Giriş, Orta, İleri
Puan: 10/10
Yorum: Web teknolojilerinin çalışma prensiplerini, tasarım konseptlerini ve güvenlik konuları çok güzel ele alan bir kitap. Giriş, orta, ileri seviye herkesin elde edeceği güzel bilgilerle dolu. Bazı bilgiler biraz eskimiş olsa da temel konseptler çoğunlukla aynı.
Kitap: The Practice of Network Security Monitoring
Çıkış Yılı: 2013
Hedef Seviye: Giriş
Puan: 10/10
Yorum: Kendi adıma en çok verim aldığım kitap budur diyebilirim. Defansif güvenliğe çok güzel bir giriş yaptırıyor, Security Onion yazılımını güzel bir şekilde öğretiyor, evde minik bir SOC işletme deneyimini yaşatıyor. Güvenliğin ofansif tarafıyla uğraşıyorsanız ve defansif tarafı da öğrenelim artık diyorsanız kesinlikle tavsiye edebileceğim bir kitap.
Kitap: The Web Application Hacker’s Handbook
Çıkış Yılı: 2011
Tavsiye Seviye: Giriş, Orta
Puan: 10/10
Yorum: Web güvenlik penetration testine başlayacaklar, ya da bilgilerini tazelemek isteyenler için müthiş bir kitap. Bazı bilgiler güncelliğini yitirmiş olsa da genel konseptler hakkında çok güzel bilgi sağlıyor.
Kitap: Serious Cryptography
Çıkış Yılı: 2017
Tavsiye Seviye: Giriş, Orta, İleri
Puan: 8/10
Yorum: Kriptoloji konusunda kendini geliştirmek isteyenler çok güzel, herşey bir arada bir kaynak. Algoritmalara dair hem üstten bir bakış sunuyor hem de işin matematiksel boyutuna derinlemesine giriyor. Bazı matematiksel kısımlar beni epey aştı ama genel olarak güzel bir kitaptı.
Kitap: iOS Application Security: The Definitive Guide for Hackers and Developers
Çıkış Yılı: 2016
Tavsiye Seviye: Giriş, Orta, İleri
Puan: 8/10
Yorum: Bu kitabı tamamen sindirebildiğimi söyleyemem, bazı kısımlar beni oldukça aştı. O kısımları atlayarak okudum. Ancak genel olarak iOS güvenlik mekanizmaları hakkında detaylı bilgi edinmiş oldum. Eğer iOS hakkında genel bir bilgim olsun diyorsanız bu kitap yerine internetten daha özet kaynaklar bulabilirsiniz.
Kitap: Certified Ethical Hacker Version 9 Study Guide (ya da en son versiyon herneyse)
Çıkış Yılı: 2016/2019
Tavsiye Seviye: Giriş
Puan: 8/10
Yorum: CEH tırt bir sertifika, bu konuda hepimiz hem fikiriz. Ama bu çalışma kitabı sertifika dışında çok güzel bir güvenliğe giriş kitabı. Yeni başlayanlar için temel konseptler sade bir şekilde anlatılıyor. Güvenliğe yeni başlayan herkese tavsiye ederim bu kitabı.
Kitap: Introduction to Artificial Intelligence for Security Professionals
Çıkış Yılı: 2017
Tavsiye Seviye: Giriş, Orta
Puan: 7/10
Yorum: Cylance ekibinin ücretsiz çıkardığı bir kitap. Yapay zeka ve makine öğrenmesi konularının güvenlik sektöründe nasıl kullanıldığı ele alınmış. Hem yapay zeka kavramlarına hem de güvenlikte kullanımına güzel bir giriş yapmak için tavsiyemdir.
Kitap: Cracking Codes with Python: An Introduction to Building and Breaking Ciphers
Çıkış Yılı: 2018
Tavsiye Seviye: Giriş, Orta, İleri
Puan: 7/10
Yorum: Temel seviye Python ve kriptoloji bilginiz varsa onları ilerletmeniz için, ileri seviye bilginiz varsa eğlenmeniz için çok güzel bir kitap. Bilinen encryption algoritmalarını size Python’la yazdırıyor, ve yine bunlara saldıran kodlar yazdırıyor. Kitap giriş seviye Python’a çok vakit ayırırken bazen bir anda çok ileri seviye anlatıma geçebiliyor. Bu da sıkça “aman aman nereye geldik” etkisi oluşturabiliyor. Ama yine de güzel kitap.
Kitap: The Hacker Playbook 3
Çıkış Yılı: 2018
Tavsiye Seviye: Giriş
Puan: 7/10
Yorum: Hacker Playbook’un red team aktiviteleri için yazılmış versiyonu. Red team’e yeni başlayacaklar için çok güzel bir kaynak. Ama orta seviye bilginiz varsa size çok birşey katmayacaktır.
Kitap: Cryptography Engineering: Design Principles and Practical Applications
Çıkış Yılı: 2010
Tavsiye Seviye: Giriş, Orta
Puan: 7/10
Yorum: Kriptoloji hakkında kapsamlı ve güzel bir kitap. Ama “Serious Cryptography” kitabının anlatım tarzı daha akıcı, onu tavsiye ederim. İkisini birden okumaya gerek yok.
Kitap: Practical Packet Analysis
Çıkış Yılı: 2017
Tavsiye Seviye: Giriş, Orta, İleri
Puan: 7/10
Yorum: Wiresharkla paket analizi hakkında çok detaylı bir kitap. Kitap aslında güzel de birkaç ay sonra Wireshark’ta detaylı birşeyler yapmam gerektiğinde yine Google’dan açıp baktım, kitaptaki hiçbir bilgiyi hatırlamadım. Gündelik hayatta Wireshark’ı aktif kullanmıyorsanız bu kitapta öğrendiğiniz herşeyi muhtemelen unutacaksınız. Ona göre okuyun.
Kitap: Threat Modeling: Designing for Security
Çıkış Yılı: 2014
Tavsiye Seviye: Orta, İleri
Puan: 6/10
Yorum: Kitabı okurken sıkıcı anlatımından ve konuyu sakız gibi çok uzatmasından ötürü bitiremeden bırakmıştım. Konuyu aşırı uzatmasından kaynaklı 200 sayfa sürmesi gereken kitap 600 sayfa sürmüş. Bu kitaba tekrar şans verip okumak istiyorum.
Kitap: Metasploit: The Penetration Tester’s Guide
Çıkış Yılı: 2011
Tavsiye Seviye: Giriş
Puan: 6/10
Yorum: Metasploit hakkında detaylı bir kaynak. Ancak Metasploit’in şu an geldiği noktaya biraz uzak kaldı. O yüzden bununla vakit harcamayın derim.
Kitap: Gray Hat Python
Çıkış Yılı: 2009
Tavsiye Seviye: Orta, İleri
Puan: 6/10
Yorum: Python’ın tersine mühendislik ve low-level programlama konusunda kullanımına bolca değinilmiş bir kitap. Tersine mühendislikle pek aram olmadığı için bu kitaba haksızlık ediyor olabilirim ama anlatımını kafa karıştırıcı buldum.
Kitap: Black Hat Python
Çıkış Yılı: 2014
Tavsiye Seviye: Giriş, Orta
Puan: 5/10
Yorum: Eğer Python dilini öğrenmeye yeni başladıysanız bu kitap faydalı olabilir. Ancak onun dışında pek tavsiye edebileceğim bir kitap değil. Web sitelerine Python ile request göndermeye dayalı brute-force tipi saldırılarla alakalı verilen örnekler internette onlarca kez işlendi. Scapy örnekleri de aynı şekilde. Bu konuda blog yazılarından daha çok şey öğrenebilirsiniz.
Kitap: Penetration Testing: A Hands-On Introduction to Hacking
Çıkış Yılı: 2014
Tavsiye Seviye: Giriş
Puan: 5/10
Yorum: Güvenliğe yeni başlayanlar için fena sayılmayacak bir kaynak ancak kitaptaki bazı teknikler artık eskidi diyebiliriz. Kitabın çoğunu atlayarak okudum.
Kitap: Gray Hat C#
Çıkış Yılı: 2017
Tavsiye Seviye: Orta, İleri
Puan: 4/10
Yorum: Kitabın ilk 50 sayfası falan çok güzel gidiyordu. C#’da master-slave mantığının nasıl kurulacağına dair güzel bilgiler vardı. Fakat daha sonra kitap popüler güvenlik araçlarının (Nessus, Nexpose vs.) API’leriyle C#’ın nasıl iletişim kuracağına, bu araçları nasıl otomatikleştireceğimize dair bilgilerle ilerledi. Bunun gerçekten Gray Hat C#’lık ne tarafı var anlamadım. Seneye falan değişecek API’ler için 200 sayfa ayırmaya gerek var mıydı? Kitap daha sonra güzel olan ama asla ezbere hatırlayamayacağım bazı bilgilerle devam edip bitti. Pek tavsiye etmiyorum malesef.
Kitap: Security Engineering: A Guide to Building Dependable Distributed Systems
Çıkış Yılı: 2008
Tavsiye Seviye: Giriş, Orta
Puan: 3/10
Yorum: Hayatımda nadiren bir kitaptan bu derece sıkılmışımdır… Adam 900 sayfa masal anlatmış… diye düşünürken kitabın 2008 yılında çıktığını az önce fark ettim. O yıllar için güzel bir kitap olabilir belki ama yine de uzak durmanızı tavsiye ederim.
Kitap: Red Team Field Manual
Çıkış Yılı: 2014
Tavsiye Seviye: Giriş, Orta, İleri
Puan: 3/10
Yorum: Bu aslında içinde sıkça kullanılan komutları barındıran bir kitapçık. Kitabı ilk aldığımda göz gezdirdim ancak daha sonra açıp hiç komut falan bakmadım. Bunu yapan başka kimse de görmedim. Çok gerekli olduğunu söyleyemeyeceğim.
Kitap: Advanced Penetration Testing: Hacking the World’s Most Secure Networks
Çıkış Yılı: 2017
Tavsiye Seviye: Giriş
Puan: 2/10
Yorum: Güvenlik kitaplarının “Batman v Superman”ine hoşgeldiniz. Bu kitap benim ciddi manada sinirlerimi bozdu. Kitabın adı bu kadar iddialı olmasa belki bu kadar sinirlenmezdim. Ama “Hacking the World’s Most Secure Networks” yazıp çocuk masalı anlatmış bu arkadaş. Güzel bir senaryoyla başlayıp Kerimoğulları gıda tekstil turizm ltd şirketinin bile yemeyeceği tarz saldırılarla devam ediyor. Devasa güvenlik mekanizmalarını nasıl atlayacağımıza dair detaylı hiçbir bilgi yok. Bu kitabı okumak yerine Kurtlar Vadisi ilk 97 bölümden herhangi bir sahne izleyin daha çok faydasını görürsünüz.
Kitap: Hacking Exposed Industrial Control Systems
Çıkış Yılı: 2016
Tavsiye Seviye: Giriş
Puan: 2/10
Yorum: Nefret ettiğim kitaplardan bir tanesi daha. Endüstriyel sistemlerin güvenliği hakkında detaylı bilgi edinirim diye okudum ama bu da malesef yeni başlayanlara masal anlatan bir kitap çıktı.
Kitap: The Smart Girl’s Guide to Privacy
Çıkış Yılı: 2015
Tavsiye Seviye: Bilgisayar kullanmayı yeni öğrenenler
Puan: 1/10
Yorum: Bu kitabı OPSEC (operasyon güvenliği) ve gizlilik konusunda yeni bilgiler edinirim belki diye okumuştum. Kitabın bunlarla pek bir alakası yok. Kocasını aldatmak isteyen hanımlar için el kitabı gibi birşey. Vakit kaybı.