İnternetler. Derleme Kasım Türkçesi: Işık Barış Fidaner. yersizseyler.wordpress.com

Transkript

1

2 İnternetler Derleme Kasım 2014 Türkçesi: Işık Barış Fidaner yersizseyler.wordpress.com Kitabın LaTeX kodları yine CC Attribution- NonCommercial 3.0 Unported Lisansı altındadır. 2

3 İçindekiler Başkan Reif Aaron Swartz üzerine MIT topluluğuna yazdı Rafael Reif Matematikçiler, neden konuşmuyorsunuz? Charles Seife NSA Üzerine Matthew Green AMS, NSA İle Bağlarını Koparmalıdır Alexander Beilinson Özgür yazılım bir politik felsefedir Richard Stallman ile görüşme Apple tarihin en sıkı dijital kelepçelerine sahip Richard Stallman ile görüşme Etkin Yönetim Teknolojisi : Intel donanımlarında bulunabilen müphem uzaktan kumanda Vandewege, Garrett, Stallman

4 Bulutta Özgürlük Slavoj Žižek WikiLeaks özgürlük yanılsaması karşısında nasıl gözlerimizi açtı Slavoj Žižek İstanbul da İnternet Yönetişim Forumu nda nasıl ayakta kalınır ve ne gereği var? Maria Farrell İnternet ulusu? Milton Müller İlkeler Bildirgesi Radiobubble

5 Başkan Reif Aaron Swartz üzerine MIT topluluğuna yazdı 1 Rafael Reif 13 Ocak 2013 newsoffice.mit.edu MIT 2 topluluğu üyelerine: Dün şok edici ve korkunç haberi aldık: Cuma günü New York ta, Aaron Swartz, MIT topluluğundaki birçok kişinin iyi bildiği ve hayranlık duyduğu bu çok özel genç adam, kendi yaşamına kıydı. Bu trajedi ile, ailesi ve arkadaşları ifade edilemez bir kaybın acısını yaşamakta, ve biz de en derin taziyelerimizi sunmaktayız. Aaron u bilmeyenlerimiz için bile, kısa yaşamının izleri onun harikulade yaratıcılığı ve idealizmi ile parlamaktadır. Aaron un MIT ile formel bir bağlılığı olmamasına rağmen bunu size yazıyorum, çünkü topluluğumuzun birçok üyesi onu çok severdi ve çünkü MIT onun 2011 de başlayan legale mücadelelerinde bir rol oynamıştı. Çok açık olarak ifade etmek istiyorum ki ben ve MIT de hepimiz, birçok kişinin yaşamına dokunmuş olan bu vaatkar genç adamın ölümüne aşırı derecede üzüldük. Trajedi ile sonlanan bir dizi olayda MIT nin herhangi bir rol oynamış olduğunu düşünmek içimi acıtıyor. Geçtiğimiz iki yılın karmaşık olaylarını burada özetlemeye kalkışmayacağım. Bugün, dahil olmuş herkesin kendi eylemleri üzerine düşünme zamanıdır, ve bu MIT de hepimizi içermektedir. Profesör Hal Abelson dan, ağımız üzerinde sıradışı etkinlikleri ilk algıladığımız 2010 güzünden bugüne 1 13 Ocak 2013 günü saat 16:15 te MIT Başkanı L. Rafael Reif bu mesajı MIT topluluğuna e-posta olarak gönderdi. 2 çn. \ em- ī- tē\ 5

6 kadar MIT nin dahiliyetinin eksiksiz bir çözümlemesini yaptırmasını istedim. Bu çözümlemede, MIT nin eylemlerini anlayıp dersler çıkarabilmek için, MIT nin elindeki seçenekleri ve MIT nin aldığı kararları tarif etmesini istedim. Bana ulaştığında raporu 3 MIT topluluğu ile paylaşacağım. Umuyorum ki hepimiz topluluğumuzda Aaron un ölümünden etkilenmiş olduğunu bildiğimiz üyelere elimizi uzatacağız. Her zaman olduğu gibi MIT Médicale, uzman rehberlik sağlamaya hazırdır, hiçbir şey kişisel anlayış ve desteğin yerini tutamayacak olsa da. Üzüntü ve derin anlayışla, L. Rafael Reif 3 çn. Raporun yayınlandığı adres: swartz-report.mit.edu Rapordaki giriş kısmının dördüncü maddesi şöyle: 4. Aaron Swartz ın intiharı öncesinde, tutuklanmasından hemen sonraki periyotu saymazsak, MIT topluluğu meseleye çok az önem vermiştir. Endişelerini yönetime ifade eden öğrenci, öğretim üyesi ve mezunlar az sayıdadır. MIT kararvericileri, MIT nin tarafsızlık ve sınırlı dahiliyet duruşunu muhafaza ederek, suç duyurusunun ardından bir yıl boyunca suçlamaların detaylarını araştırmamış, doğruluklarına dair bir görüş oluşturmamışlardır. MIT nin almış olduğu konuma göre ABD karşısında Swartz, MIT nin taraf olmadığı bir davadan ibaretti. Gerçi MIT, savcılıkta MIT Aaron Swartz ın hapis cezası almasını istiyor izlenimi olmamalı diyerek ABD Başsavcılığı nı bilgilendirdi. (MIT aslında hapis cezasına karşı çıktığını söylemedi.) MIT nin dikkate almadığı etkenler arasında, sanığın İnternet teknolojisine katkı yapan başarılı ve tanınan biri olması; Bilgisayar Sahteciliği ve İstismarı Kanunu nun modern bilgisayarcılığa uygulandığında kötü yazılmış ve tartışmaya açık bir ceza kanunu olması ve İnternet topluluğunu bir bütün olarak etkilemesi ve yaygın olarak eleştiriliyor oluşu; ve Birleşik Devletler hükümetinin alenen saldırgan bir kovuşturma yürütmekte olduğu sayılabilir. MIT ihtiyatlı bir konum almış olabilir, fakat kovuşturmanın vuku bulduğu enformasyon politikalarını layıkıyla hesaba katmamıştır, ki geleneksel olarak MIT nin insanları bu alanda tutkulu liderler olmuşlardır. 6

7 Matematikçiler, neden konuşmuyorsunuz? Charles Seife 22 Ağustos 2013 slate.com Ulusal Güvenlik Ajansı nda beraber çalıştığımız arkadaşlarıma açık mektup: Çoğu kişi Von Neumann 4 binasının tarihini bilmez. Princeton daki mühendislik avlusunun arkasına saklanmış bu bina neredeyse penceresizdir. Gözleri parlayan genç bir matematik öğrencisi olarak lisansa başladığım yıl Ulusal Güvenlik Ajansı nda 5 çalışmak üzere işe alınmıştım. Von Neumann binasında önceden Savunma Analizleri Enstitüsü vardı. Matematik ağırlıklı bu araştırma örgütü o zamanlar kendi ismini anmaya cesareti olmayan bu ajans için çalışırdı. Şunları keşfettim: Princeton ve NSA arasındaki yakın bağlar onlarca yıl öncesine gidiyordu; ders aldığım bazı profesörler ulusal güvenlik yararına çok zor matematik problemleriyle boğuşan şifre maymunlarından oluşan gizli bir cemaatin parçasıydılar. Cemiyete katılmaktan gurur duydum hayalimdekinden çok daha genişti. NSA uzmanı James Bamford a göre ajans, gezegende en çok matematikçi çalıştıran işveren konumunda. Yüksek nitelikli ve çok küçük olmayan herhangi bir matematik bölümünde en az bir öğretim üyesinin NSA e iş yaptığını söylesek yanıltıcı olmaz. Her yıl ülkenin her yanından genç ve hevesli matematik öğrencilerini araklayan Yönetici Yaz Okulu nun kanatları altında 1992 ve 1993 yıllarında NSA için çalıştım. Güvenlik denetimini geçtikten sonra yalan makinasıyla test 4 çn. Von Neumann, Manhattan Projesi nde çalışan birçok bilimciden biriydi. ABD bu projeyle, Hiroşima ve Nagazaki de imha ve soykırım amacıyla kullandığı atom bombasını geliştirmişti. Manhattan projesi hakkında bir yazı: Savaşın gölgesinde bilim 2005 Evrensel Gençlik (yersizseyler.wordpress.com) 5 çn. National Security Agency : NSA :\ en- es- ā\ 7

8 edilmemin yanısıra birkaç FBI ajanı kampüste gezinerek yaramazlıklarımı araştırmışlardı endoktrinasyon için Fort Meade ye yollandım. İlk güvenlik brifingimi alalı 20 yıldan çok zaman geçmiş, öğrendiklerimin çoğu eskimiştir. Öyle bir ajans yok ( No Such Agency : NSA) lakabını o zamanlar çok az kişi duymuştu ve devlet de bunu böyle istiyordu. NSA hakkında tek sözcük etmemek üzere eğitildik; biri sorarsa Savunma Bakanlığı na çalışıyorduk. Özgeçmişimde, NSA in çıkardığı kimlik kartlarında bile böyle yazıyordu. Artık böyle bahanelere gerek yok. Ajans açığa çıktı ve birinci sayfa manşetlerinin demirbaşlarından oldu. Bize 1992 de öğretildiğine göre gizli belgelere damgalanan parola sözcükler sıkıca korunan sırlardı ve bunları dışarıdakilere açmak suçtu. Ama hızlı bir Google araması gösteriyor ki devlet sitelerindeki belgeler, o zamanlar sadece yetkili birkaç kişinin bilebildiği parola ve ifadelerle dolu. O brifinglerde söyledikleri başka bir şey de NSA in gücünün hiçbir zaman ABD vatandaşlarına karşı kullanılmayacağıydı. Kayıt olduğumuz o gün ajans bize açıkça söylemişti: ulusumuzu sadece yabancı düşmanlara karşı koruma yetkimiz vardı, yurttaşlarımıza karşı değil. Başka türlüsü NSA tüzüğüne aykırı olurdu. Daha önemlisi, böyle bir ihlalin oradakilerin kültürüne aykırı olacağını kuvvetle hissediyordum. İki yaz orada çalıştıktan sonra şuna samimiyetle inanmıştım: eğer çalışmalarımızın Amerikalı kardeşlerimizi gözetlemek için kullanılacağını düşünseler iş arkadaşlarım dehşete kapılırdı. Yoksa bu da mı değişti? Tanıştığım matematikçi ve kriptanalistler ülkenin her yerinden farklı yaşamlardan gelmişti, ama hepimiz ajansa aynı iki sebeple gelmiş gibiydik. İlk Charles Seife nin Ulusal Güvenlik Ajansı kimlik kartı 8

9 olarak, hepimiz matematiğin seksi olduğunu biliyorduk. Matematikçi olmayan birine bu tuhaf gelebilir, ama belirli matematiksel problemler sanki bir şey yayıyor yerçekimi gibi bir önem hissi, çözümü yakalamaya çok uzak değilim hissi. Büyük bir şey var ve biraz güçlü düşünürsen senin olacakmış gibi. Kaydolduğumda NSA de yapılan matematiğe ilgi duyuyordum ama niçin orada olduğuma dair bir fikrim yoktu. NSA e ulaştıktan sonra, daha bir hafta geçmeden, hayatımda gördüğüm en büyüleyici matematik problemlerinden oluşan bir açık büfe sunuldu bana, zeki bir lisans öğrencisinin dişine göreydiler. Hiç böylesini görmemiştim ve asla da göremeyeceğim. Bizi oraya çeken veya zannımca bizi çeken diğer şey ise ülkemize yardımı dokunacak bir şey yaptığımıza dair idealist bir bakıştı. Düşmanının mektubunu okumanın centilmenliğe aykırı olduğu fikrine kapılmayacak kadar tarih bilgim vardı. Ve girdiğimden itibaren, ajansın ulusal güvenliğe yaptığı etkilerin birçok yolunu görmüştüm. Acemiyken bile, küçük de olsa bir fark yaratabileceğimi hissetmiştim. Tanıştığımız bazı kıdemli matematikçiler Birleşik Devletler in güvenliği üzerinde elle tutulur bir etkiyi açıkça bırakmışlardı, bu efsaneleri kulübümüz dışında kimse bilmezdi. İdealizm naifti demek istemiyorum aslında. İstihbarat oyununun öte yanında biraz vakit geçiren herhangi biri yapılan hesapların ne kadar büyük olabileceğini bilir. Bize emanet edilmiş görünüşte küçük bir sırrın açığa çıkması yüzünden gerçek insanların ölebileceğini hepimiz anlarız. Ulusu korumak için istihbarat toplamanın bazen el altı taktikler gerektirdiğinin de farkındayız. Ama hepimiz o taktiklerin kanunla sınırlandığını biliyorduk, kanun hep siyah beyaz olmasa bile. Ajans ısrarla ve defalarca bize dedi ki: inşa ettiğimiz silahlar ve silahtılar, bilgi silahı olsalar da kendi halkımıza çevrilmeyecekti, yalnızca düşmanlarımıza karşı kullanılacaktı. Ajansın bize verdiği sözü bozduğu gerçeği ile yüzleştiğimize göre şimdi ne yapacağız? Şimdi biliyoruz ki Birleşik Devletler deki her Verizon müşterisinin telefon kayıtları, Birleşik Devletler dahilinde yapılan aramalar üzerinde güya yetkisi bulunmayan bu ajansımıza teslim ediliyor. Çarşamba günü ajansın tamamen yurtiçi onbinlerce epostayı topladığına dair yeni kanıtlar ortaya çıktı. Ajansın ABD yurttaşlarını gözetleyebilmek için geniş çaplı yetenekleri olduğunu, düzenli olarak sehven bunu yaptığını biliyoruz. Ve güvenilir iddialara göre ajans bazen bu bilgileri gayet bilinçli olarak kullanmakta. Eğer ki ajans araçları cidden sadece düşmanlara karşı kullanılıyorsa, sıradan yurttaşların artık düşman sayıldığı söylenebilir. 9

10 NSA için yaptığım hiçbir araştırma öyle büyük önem taşımıyordu. Yaptığım çalışmaların devletin herhangi bir gizli arşivinde toz topladığından kuşkum yok. Ajans için çok kısa bir süre çalıştım ve aradan çok uzun zaman geçti. Yine de dehşete kapıldığımı söyleme mecburiyeti hissediyorum. Eğer bizim bildiğimiz ajans bugün buysa, böyle bir ajansa yaptığım küçük de olsa her katkı için özür diliyorum. Tanıdığım eski NSA cilerin siz eski iş arkadaşlarım, dostlarım, profesörlerim ve mentor larımın nasıl dehşet içinde olduklarını tahmin edebiliyorum. Benden farklı olarak siz iş yaşamınızın çoğunu NSA in gücünü inşa etmesine yardım ederek harcadınız ve şimdi görüyorsunuz ki senelerce yaptığınız çalışmalar asla olmaması gereken amaçlara hizmet etmekte. Bugün kendinizi ifade ederseniz ne gizlilik anlaşmanız ne de onurunuz zedelenecektir. NSA güveninizi zedelerken ve çalışmalarınızı kötüye kullanırken ülkenin her yanındaki üniversitelerden tanıdığım profesörler nasıl sessiz kalabilirler? Sessiz kalacak mısınız gerçekten? 10

11 NSA Üzerine Matthew Green6 6 Eylül 2013 blog.cryptographyengineering.com Yılın en büyük kripto haberine naçizane katkımı anlatayım müsaadenizle. Birkaç hafta önce ProPublica dan muhabir beni aradı ve şifreleme [encryption]7 hakkında genel sorular sordu. Bunun tuhaf bir görüşme olacağını hemen anladım, çünkü bu bey NSA in şifrelemeyi [encryption] yenebilecek muazzam yetenekleri olduğuna ikna olmuşa benziyordu. Ve hey ahbap ne dersin NSA in şifrelemeyi [encryption] yenebilecek muazzam yetenekleri var mı ha? tarzında değildi bu. Hayır, yenilgiyi çoktan kabullenmişti. Sadece detayların pazarlığını yapıyorduk. Tuhaflık bir yana (kısa da olsa) eğlenceli bir konuşmaydı, çoğunlukla hipotezler üzerine. NSA bunu yapabiliyorduysa, nasıl yapabilirdi? Etkisi ne olurdu? Kabul etmem gerekir ki bu noktada en büyük dertlerimden biri takıntılı biri olarak gözükmemekti. Ne de olsa NSA komplo teorici çatlaklara fazlaca benzeyecek konuşmalarım aktarılsa iş arkadaşlarım bana gülerdi. O zaman belki havalı güvenlik partilerine davet edilmeyebilirdim. 6 Kriptograf, Johns Hopkins Üniversitesinde araştırmacı profesör. Kablosuz ağlar, ödeme sistemleri ve dijital içerik koruma platformlarında kullanılmak üzere kriptografik sistemler tasarladı ve analiz etti. Araştırmasında kriptografinin kullanıcı gizliliğini desteklemek için kullanılma yollarına bakıyor. Müdüriyet bu blog yazısını kaldırmasını istedi. 7 çn. encryption/decryption terimlerini şifreleme diye çevirdim, ama her seferinde [encryption] [decryption] diye belirtme gereği duydum, bu terimlerin encipherment/decipherment ile karıştırılmaması için. 11

12 Bütün bunları şu yüzden anlatıyorum: Bugün bomba gibi düşerek NSA in şifrelemeyi [encryption] yenme çabalarını açıklayan sızıntılar karşısında tamamen hazırlıksızdım. Hesaba kattığım hipotezlerin en kötüsü doğru çıkmanın ötesinde, aklıma hayalime gelmeyecek ölçeklerde doğrulanıyordu. Artık takıntılı falan değildim. Takıntının yanına bile yaklaşamamıştım. Ve NYT/ProPublica haberinin kaynak gösterdiği belgeleri görme imkanı bulamadığım için ki onları görmek için neler vermezdim bu eksikliği tamamen spekülasyonla doldurmakta kararlıyım. İşte bu blog yazısı tam olarak bu olacak. Bullrun ve Dandik İsim ProPublica/NYT veya Guardian ın haberlerini okumadıysanız, muhtemelen okumanız lazım. Uzun geldiği için okuyamadıysanız, özetle: NSA çok kötü şeyler yapıyormuş. Yılda toplam 250 milyon $ maliyetle şunlar dahil: Kriptografinin zayıf ya da kırılgan olması için ulusal standartların kurcalanması (özellikle NIST ten bahsediliyor). Protokollerin zayıflatılması için standart komiteleri üzerinde nüfuz kullanılması. Şifrelemeyi [encryption] ve rastgele sayı üreteçlerini zayıflatmak için donanım ve yazılım sağlayıcılarla işbirliği yapılması. Yeni nesil 4G telefonlar için kullanılan şifrelemeye [encryption] saldırılması. Büyük bir internet peer-to-peer ses ve metin iletişim sisteminden (Skype?) açık metin erişimi sağlanması. Kırılgan anahtarların tespit edilerek kırılması. Küresel telekomünikasyon sektörüne sızmak üzere İnsan İstihbarat birimi kurulması. Ve hepsinden kötüsü (bence): SSL bağlantıların şifrelerinin bir şekilde çözülmesi [decrypt]. Bütün bu programlar farklı kod adlarıyla anılıyor, ama NSA in şifre çözme [decryption] programı Bullrun ismiyle geçtiğinden burada bu ismi kullanacağım. 12

13 Kriptografik bir sistem nasıl kırılır Kısa bir blog yazısına göre çok fazla şey var, o yüzden birkaç genel fikirle başlayacağım. Bu blogun okurları bilir, kriptografik bir sistemi kırmanın temelde üç yolu vardır. Rastgele sıralarsak şunlardır: 1. Kriptografiye saldırmak. Kullandığımız standart algoritmalar karşısında bu zordur ve etkili olması pek muhtemel değildir (RC4 gibi istisnalar dışında). Ancak kriptografide birçok karmaşık protokol vardır ve bazen bunlar kırılgan olabilirler. 2. Altyapıyı hedef almak. Kriptografi hemen hemen her zaman yazılım altyapısına dayanır ve yazılım bir faciadır. Donanım da ondan çok iyi değildir. Etkin yazılım istismarları maalesef sadece hedefli saldırılarda işinize yarar. Amacınız kitlesel gözetimse inşa edilen sisteme güvensizliği daha en başından dahil etmeniz lazımdır. Yani sağlayıcılarla anlaşarak arka kapılar ekletmeniz lazımdır. 3. İnsansal tarafa erişim. Anahtarı vermesini sağlayabiliyorsanız bilgisayarını hack lemeye ne gerek var? Bruce Schneider, belgeleri görmüş olarak diyor ki matematik iyi, ama kodları bozmuşlar. Ayrıca NSA hile yapıyor muş. Belgelere güvenebileceğimizi varsayarsak, bu içimizi rahatlatan bir haber. Ama bu aynı zamanda bol bol (2) ve (3) göreceğimiz anlamına geliyor. İşletim sistemine göre SSL sunucuları. Kaynak: Netcraft. 13

14 O zaman hangi koda dair kaygı duymalıyız? Hangi donanım? Sorabileceğimiz en yerinde soru heralde bu. Ticari şifreleme [encryption] kodlarından bahsediyorsak, bunların hepsinin aslan payı toplamda birkaç kütüphane kullanır. Bunların en yaygın olanları muhtemelen Microsoft CryptoAPI (ve Microsoft SChannel) ve OpenSSL kütüphanesidir. Yukarıdaki kütüphaneler arasında en çok şüphe çeken muhtemelen Microsoft oluyor. Microsoft un algoritmaları iyi (ve paranoyak!) insanların elinden geçiyorsa bile ekosistemleri bilindiği gibi baştan aşağı kapalı kaynaklıdır. Microsoft un kodunu (yeterince lisans anlaşması imzalarsanız) görmeniz mümkündür ama o kodu asla kendiniz derleyemezsiniz. Ayrıca pazarda payları var. Şifreleme [encryption] sistemlerini zayıflatanlar ticari sağlayıcılarsa, bunlardan en olağan şüpheli heralde Microsoft tur. Ve bu bir sorun, çünkü İnternet üzerindeki web sunucularının yaklaşık %20 si ve SSL sunucuların yaklaşık yüzde kırkı! Microsoft IIS kullanıyor. Dahası, Windows da çalışan üçüncü-taraf şifreleme [encryption] programları bile, rastgele sayı üreteçleri dahil olmak üzere genelde CAPI bileşenlerine dayanıyor. Yani bu programlar bir anlamda Microsoft un insafına kalmış oluyor. En muhtemel ikinci adayımız OpenSSL. Açık kaynaklı ve ortaklaşa geliştirilen OpenSSL gibi bir kütüphanenin kırılgan olabileceğini ima etmem sapkınlık gibi gelebilir. Ama muazzam miktarda İnternet trafiğinin güvenliği bu yolla sağlanıyor. Sadece Apache SSL in egemenliği nedeniyle değil, OpenSSL in her yerde kullanılıyor olması nedeniyle. Birçok ticari şifreleme [encryption] ürününün OpenSSL etrafında ince bir ambalaj olduğunu fark etmek için FIPS SMVP doğrulama listelerine bir bakmanız yetecektir. OpenSSL açık kaynaklı olmasına rağmen maalesef belirli aralıklarla kırılganlıklar tükürmekte. Bunun bir sebebi, yamalı bohça bir kabus olması, ki ilk halini geliştiren programcı açısından Bignum division 8 öğrenmesinin eğlenceli bir yoluydu. Diğer sebebi ise crypto nun inanılmaz karmaşıklığı. Sonuç itibariyle, çok az kişi kodların tamamını anlayabiliyor. Donanım tarafındaysa (hazır asılsız suçlamalara başlamışken) yakında bütün Intel işlemcilere eklenecek olan Intel Güvenli Anahtar ve ona bağlı rastgele sayı üreteçlerine tekrar göz atmak korkunç yararlı olacak. Sorun olmasa bile bugünkü haberden sonra bunları uluslararası çapta satmak korkunç zor bir iş olacaktır. 8 Bu yazının ilk halinde Eric Young ın C öğrenmek üzere OpenSSL yazdığına dair (güvenilir bir kaynaktan!) duyduğum bir öyküyü aktarmıştım. Aslında C değil Bignum division öğrenmek için yazmış, ki bu çok daha havalı! Kusura bakma Eric! 14

15 Hangi standartlar? Bana sorarsanız bugünkü sızıntının en ilginç ve en endişe verici kısmı heralde budur. Yazılımlar tamam hep bozuktur, ama standartları teoride herkes tarafından okunuyor. Bir standardı kimseye fark ettirmeden zayıflatmanın aşırı zor bir iş olması gerekir. Ama Guardian ve NYT haberlerinde NSA in standartları zayıflattığına dair çok kesin iddialar var. Guardian özellikle Ulusal Standartlar ve Teknoloji Enstitüsü nü (NIST) ve 2006 da yayınladıkları bir standardı işaret ediyor. Kriptografların NIST hakkında hep karmaşık duyguları olmuştur ve bunun en büyük nedeni NIST in NSA le olan karmaşık ilişkisidir. Mesele şu: NSA görünüşte hem savunmacı hem saldırgan misyonlar taşıyor. Savunmacı misyon oldukça basit: ABD bilgi sistemlerinin faka basmamasını garanti altına almak. Bu misyonun önemli bir kısmı NIST ile verimli bir işbirliği içerisinde gerçekleşiyor ve bu yolla Federal Bilgi İşlem Standartları (FIPS) ve NIST Özel Yayınları gibi güvenlik standartlarının desteklenmesi sağlanıyor. Kriptografların NIST hakkında karmaşık duyguları vardır demiştim, çünkü hepimiz biliriz ki NSA in NIST i isterse iyiye isterse kötüye kullanma gücü vardır. Bugüne kadar, zaman zaman yaşanan arızalara ve NIST kriptografik standartlarından bir tanesinde arka kapı olabileceğine dair ilginç ka- 15

16 nıtlara rağmen, kötü niyeti gösteren kesin kanıtlarımız yoktu. Ama şimdi belki bu ilişkiyi yeniden gözden geçirmemiz gerekecek. Bu iş ne kadar delice görünürse görünsün. Maalesef, rastgelemsi [pseudo-random] sayı üreteçlerinden hash işlevlerine ve cipher lara, hatta SSL/TLS için kullandığımız özel eliptik eğrilere kadar, NIST e fazlasıyla bağlıyız. Bu bileşenlerin herhangi birinde arka kapı bulunma ihtimali uzak görünse de, güven ihlal edilmiştir. Bunu bertaraf etmek akıl almaz bir kabus olacak. Hangi insanlar? Muhtemelen bütün bunların içinde en büyük dert, NSA ve belirtilmemiş telekom sağlayıcılar arasındaki işbirliğinin kanıtları. ABD nin (ve uluslararası) büyük telekom taşıyıcılarının fiberoptik kablolarından NSA in veri toplaması için rutin destek verdiklerini zaten biliyoruz. Ama bu veriler şifreliyse [encrypted] hiçbir işe yaramaz. Yazılımdan verilen tavizler ve zayıf standartlar NSA in işlerini halletmesini kolaylaştırabilse dahi, şifreli [encrypted] verilere erişmenin bilinen en kolay yolu anahtarları istemektir veya çalmaktır. Hücresel şifreleme gibi basit (her taşıyıcıda tek bir anahtar veritabanı ile korunan) şeylerden, görece kısa birkaç RSA anahtarıyla korunan SSL/TLS e kadar bu durum böyledir. Google, Facebook, Yahoo gibi dijital çevrimiçi hizmetlerin çoğuna evsahipliği yapan ulus olarak iyi ve kötü olan bir durum, bütün bu önemli anahtarların burada ABD topraklarında bulunması. Bununla birlikte, bu hizmetlerle iletişim kuran insanlar yani hedefler belki yabancıdırlar. Veya ABD vatandaşıdırlar. Veya kim olduklarını bilmeyerek bütün trafiklerini toplayıp şifrelerini kaldırıp [decrypt] anahtar kelimelerini aratırsın. Bu demek oluyor ki NSA ve GCHQ, tamamen tesadüfi olarak, ya doğrudan Sertifika Yetki anahtarlarına 9 erişiyor, ya da ABD li sağlayıcılardan gidip anahtarları çalıyor ve mümkündür (veya muhtemeldir) ki müdürleri de bunu bilmiyor. Bu işler için sadece sunuculara fiziki veya elektronik erişimi olan az sayıda kişiye ihtiyaç var, yani oldukça uygulanabilir 10. Birkaç gün 9 Yazının ilk halinde Sertifika Yetkisi yolundan bahsetmemişim, gözümden kaçmış bu noktayı gösterdiği için Kenny Patterson a teşekkürler ama ben hala (aktif olarak ortacı saldırısı yapmayı gerektirmeyen) pasif kulakmisafirliği için bunun daha az uygulanabilir bir saldırı olduğunu düşünüyorum. Ve burada yapılan kulakmisafirliğinin çoğu pasif gibi gözüküyor. 10 Google burada önemli bir istisna, çünkü birçok bağlantısında Mükemmel İleri Gizlilik uyguluyor, böylece anahtar hırsızlığı burada işe yaramaz. Bunu aşmak için NSA in yazılımı bozması veya şifrelemeyi [encryption] başka bir yolla kırması gerekir. 16

17 önce bu işleri hesaba katmıyorduysam bunun tek sebebi, böyle bir şeyin yasadışı değilse bile basbayağı ahlaksızca gözükmesi ve dahası NSA in PRISM gibi programlarla belirli kullanıcıların verilerine ulaşabilmek için güya uyması gereken denetim ve dengelere devasa bir tehdit oluşturmasıydı. Bence bu programın varlığı muhtemelen bugünkü bütün haberlerin en beklenmedik parçasıydı. Bir anlamda en üzücü parçasıydı. Peki bütün bunlar ne demek? Keşke bilseydim diyebiliyorum. Bir yandan, ya bütün güvenlik sektörü olarak birkaç gün bunları konuşup sonra hep birlikte normal yaşantımıza dönersek, ya bir daha bunları düşünmezsek diye endişeliyim. Umarım böyle olmaz tabi. Şu anda olayları kendi haline bırakamayacağımız kadar çok cevapsız soru var. Yakın vadede en olası etki, güvenlik sektörüne çok daha az güven duyulması olacaktır. Ve ABD ve ihraç ettiği yazılımlara çok daha az güven duyulacak. Belki bu iyi bir şeydir. Kapalı kod ve desteklenmeyen standartlara güvenilmemesi gerektiğini yıllardır söylüyoruz: artık insanların doğrulaması gerekecek. Daha iyisi, açığa çıkan bu bilgiler, bir dizi yeni araştırma başlamasını ve yeni kriptografik yazılımlar tasarlanmasını tetikleyebilir. OpenSSL gibi açık kodların dahi daha uzman ellerden geçmesi gerektiğini söylüyorduk. Ne yazık ki bu konuya fazla ilgi olmadı çünkü alanımızdaki akıllı araştırmacılar bu sorunları nedense çözülmüş sayıyor ve ilginç bulmuyorlar. İşte bugün öğrendik, bayağı bayağı çözülmüşler. Tabi bizim sandığımız gibi değil. 17

18 AMS, NSA İle Bağlarını Koparmalıdır Alexander Beilinson 12 Eylül 2013 golem.ph.utexas.edu AMS nin (Amerikan Matematik Topluluğu) NSA (Ulusal Güvenlik Ajansı) ile bütün bağlarını koparması için bu Mektubu Editör e yazmaktayım: Edward Snowden in kamuoyuna sağladığı ve halen sağlamakta olduğu açıklamalar, NSA in muazzam gizli casusluk programları hakkında belirgin ve güvenilir bilgiler, komplo teorisi kuranların hayal edebileceği bütün çılgınlıkların ötesindedir. Yapılması gereken, yalnızca ABD yurttaşlarını değil dünyanın her yerindeki insanları ilgilendiren bir meseledir: NSA bütün gezegen çapında İnternet güvenliğini ve iletişim mahremiyetini yok etmiştir. Eğer ki herhangi bir tedavi mümkünse, muhtemelen NSA ve türevlerini toplumsal olarak kabul edilemez yapmakla başlayacak gençlik günlerimde KGB için çalışıyor olmanın Sovyetler Birliği nde birçok kişi için toplumsal olarak kabul edilemez olmasındaki gibi. AMS düzenli olarak NSA in iş ilanlarını yayınlamakta ve NSA Matematiksel Bilimler Burs Programı üzerine değerlendirmeler yürütmekte. NSA ve AMS arasındaki ilişki ortakyaşar bir ilişki gibi görünmekte: NSA kendi işleri için matematikçilere ihtiyaç duymakta, AMS de araştırma fonlarını artırmak istemekte. Fakat etkinlikleriyle insan toplumunun dokusuna bunca zarar veren herhangi bir örgütle herhangi bir ilişki sağlıksızdır. Tutarlılığın gereği olarak, AMS NSA ile olan bütün irtibatını kesmelidir. 18

19 Özgür yazılım bir politik felsefedir Louis Suarez-Potts Mayıs 2001 gnu.org Louis Suarez-Potts un Stallman ile yaptığı Mayıs 2001 tarihli görüşme: Richard M. Stallman özgür yazılımın (ismini de koymuş olan) en ünlü pratisyeni/kuramcısıdır. Özgür burada ifade özgürlüğü anlamındadır. Stallman ın özgür yazılım hareketindeki en ünlü müdahalesi tabi ki GNU Genel Kamusal Lisansı ydı 11. Lisansın kodladığı copyleft kavramının merkezi fikri Stallman ın tarifiyle herkese programı çalıştırma, kopyalama, değiştirme ve türetilmiş versiyonlarını dağıtma hakkı vermesi, ama kendi kısıtlamalarını ekleme hakkı vermemesidir. Yani özgür yazılım ı tanımlayan elzem özgürlükler kopya sahibi olan herkes için güvencededir; bunlar vazgeçilemez haklar olurlar. 12 Bütün özgür-yazılım lisansları muhtemelen varoluşunu Stallman ın görüşüne borçlu, OpenOffice.org kodunu idare eden lisanslar da dahil olmak üzere. Stallman ın çalışması tabi ki pratik bir kararlılıktır. Kendisinin yazdığı veya yardım ettiği kodlama başarılarının kısa bir listesi Emacs ın yanısıra GNU/Linux sisteminin çoğu kısmını içerir. Stallman 1990 da McArthur Vakfı nın fellowship fonlarını kullanarak özgür yazılım çalışmalarını daha da ilerletti GPL 1985 te herhangi bir programa uygulanabilecek genel bir lisans olarak GPL i yarattı 12 Stallman, GNU İşletim Sistemi ve Özgür Yazılım Hareketi, DiBona, Açık Kaynaklar: Açık Kaynak Devriminden Sesler 13 Moody, İsyancı Kod da Stallman ın görevinin iyi bir anlatımını bulabilirsiniz. 19

20 Bu görüşme fırsatı, Mayıs ta Sun Cupertion kampüsündeki dersini Stallman görmemle ortaya çıktı. O zaman Stallman la bir e-posta görüşmesi yapmak istemiştim. Kabul etti ve kısa süre sonra aşağıdaki sorular dizisini ona gönderdim, uzun uzun cevapladı. Fakat sonraki çabalarım sonuç vermediği için bu görüşme yalnızca ilk geçişten oluşuyor. Sonuç olarak bazı ilginç ve zorlu yollara doğru uzanamadım. Ek bağlantılar vererek Stallman ın politikasına dair bir bağlam oluşturmaya çalıştım. Tabi söylemek gereksiz ama Stallman ın görüşleri kendine aittir ve ne benimkileri ne de OpenOffice.org unkileri temsil eder. Daha fazla bilgi için okuyucuların GNU web sitesini ve Stallman ın kişisel sitesini ziyaret etmelerini öneririz. LSP: Bu görüşmede şu anki çalışmanıza odaklanmak ve ne çeşit bir toplumda yaşamamız gerektiği sorunsalına odaklanmak isterim. Şu anki ve en azından son onyedi yılki odağınız yazılım kullanarak toplumsal düzenlemeleri daha etik yapmaya çalışmak oldu. Fakat, özetle, burada benim daha etik toplum dediğim bu nosyon ile ne kastediyorsunuz? RS: Başka insanların işbirliği yapma özgürlüğüne saygı duyarak ortaklaşa çalışma ruhunu cesaretlendirmeye ihtiyacımız var, onları bölerek hakimiyet kuracak tezgahlar geliştirmeye değil. LSP: Bu bizi oldukça önemli ve okuyucularımız için açıklayabileceğinizi umduğum bir noktaya getiriyor. Etiğinizi özgür yazılım terimi ile ifade etmeyi seçiyorsunuz ve buradaki özgür ele geçirme özgürlüğü değil kısıtlamalardan muaf olmak anlamında. Ama insanlar giderek daha çok Açık Kaynak demeye başladılar ve sizin perspektifinize göre daha yakın zamanda çıkan (1998) bu terimin belirgin sorunları var. Bu ikisi arasında, özgür yazılım bir yaşama etiğini ifade ediyor ve daha adil bir toplum vaadini öne çıkarıyor, diğeri, açık kaynak ise böyle değil. Acaba bu şekilde belirtmek adilce mi? Bu meseleye yanıt verebilir misiniz ve bu ayrımları okurlarımız için açıklayabilir misiniz? RS: Bu tam olarak doğru. Bir zamanlar biri şöyle demişti: açık kaynak bir geliştirme metodolojisidir; özgür yazılım bir politik felsefedir (veya toplumsal harekettir). Açık kaynak hareketinin odaklandığı şey, kullanıcıların yazılımı paylaşma ve değiştirme özgürlüklerine saygı duyarak kazanç sağlayabileceklerine iş 20

21 dünyasını ikna etmektir. Biz özgür yazılım hareketi olarak bu çabalara değer veriyoruz, ama biz daha önemli bir meselenin sözkonusu olduğuna inanıyoruz: bütün programcılar diğer insanların özgürlüklerine saygı duymaya etik olarak mecburdurlar. Kazanç sağlamak kendi içinde yanlış değildir, ama başka insanlara kötü davranılmasını gerekçelendiremez. LSP: Bu yolu izlersek, etik toplum fikrinizin nasıl adlandırılabileceğine dair dikkate değer bir kafa karışıklığı var. Çoğu kişi, hatalı olarak, bir komünizm ileri sürdüğünüzü varsayıyor. RS: Belirli iş pratiklerini eleştiren herhangi birisi zaman zaman komünist olarak adlandırılmayı bekleyebilir. Bu, konuyu değiştirerek meseleyi atlatmanın bir yoludur. Eğer insanlar yapılan suçlamaya inanırlarsa eleştirmenlerin gerçekten söylediklerini dinlemezler. (Komünizme saldırmak, özgür yazılım hareketinin görüşlerine saldırmaktan çok daha kolaydır.) LSP: Pekka Himanen, yakın zamandaki çalışması Hacker Etiği nde haklı olarak bu iddialara karşı çıktı. Daha ileri gideceğim: ileri sürdüğünüz şey Amitai Etzioni gibi politik kuramcıların komünitaryanizm olarak tarif edeceği şeylere yakın 14. Ve komünitaryanizm, çoğu kişinin kapitalizm ile ilişkilendirdiği pazar ekonomisine hiç de düşmanca değil. Hatta tam tersi. Etik sisteminizin politikası denebilecek bu konuda ne dersiniz? RS: Yaşamda iş için bir yer vardır, ama iş in herkesin yaşamına hükmetmesine izin verilmemelidir. Demokrasinin esas fikri, çoğunluğun eline zengin azınlığın gücünü denetleyebileceği bir yol vermekti. Bugün iş sahipleri çok fazla politik güç sahibi, ve bu ABD ve diğer ülkelerde demokrasinin altını oymakta. Adaylar iş dünyası tarafından veto edilme ihtimali ile karşı karşıya olduklarından iş dünyasının emirlerine itaat etmemeyi göze alamıyorlar. Kanun yapma gücü seçilmiş meclislerden kamu sağlığı, çevre koruması, emek standartları ve genel yaşam standartlarını iş dünyasının çıkarlarına tabi kılmak üzere tasarlanmış WTO 15 gibi demokratik olmayan kuruluşlara aktarılıyor. NAFTA 16 altında Mississipi de rekabet karşıtı pratiklerden suçlu bulunmuş Kanadalı bir firma, bu karardan kaynaklanan iş kayıpları için tazminat almak üzere Federal bir dava açıyor. Rekabet karşıtı pratiklere karşı kanun yapma hakkını NAFTA nın devletlerin elinden aldığı söyleniyor. 14 mesela 15 Dünya Ticaret Örgütü 16 Kuzey Amerika Serbest Ticaret Ortaklığı 21