Dijitalleşme ve Kullanıcıların Mülksüzleştirilmesi

Eylül ayının üçüncü cumartesi günü yazılım özgürlüğü günü (https://www.softwarefreedomday.org/) olarak kutlanıyor. Etkinliğin amacı özgür yazılım ve yararları hakkındaki farkındalığı artırmak ve özgür yazılım kullanımını yaygınlaştırmak. Yazılımdaki özgürlüğü, hem özgür yazılım hareketinin içinden hem de dışından birçok insanın yaptığı gibi GNU/Linux işletim sistemine indirgememek gerekiyor. Yıllar önce bilgisayar denilince akla ilk gelen sadece ev kullanıcılarının kişisel bilgisayarlarıydı. Kişisel bilgisayarları, dizüstü bilgisayarlar, akıllı telefonlar ve tabletler izledi. Bu süreçte, kullanıcıların bilgisayarla yaratıcı etkileşimi, bir diğer deyişle bilgisayarı, üreticinin öngörmediği veya öngöremediği biçimlerde kullanma olanağı zayıfladı. Günümüzde ise gündelik hayatta kullandığımız nesnelerin bilgisayarlaşmasına şahit oluyoruz. Artık “arabanız tekerlekli bir bilgisayardır; uçak kanatları olan bir bilgisayardır; saatiniz, çocuğunuzun oyuncağı, hatta kalp piliniz özünde bir bilgisayardır” (Perzanowski ve Schultz, 2016). Nesnelerin interneti bağlamında gündeme gelen akıllı cihazlar yine birer bilgisayardır. Bu nedenle bilgisayarlardaki yazılımın özgürlüğü, 27 Eylül 1983’te Richard Stallman’ın GNU (GNU is Not Unix) projesini duyurarak özgür yazılımın fitilini ateşlediği dönemden daha vazgeçilmezdir. Kişisel bilgisayarlarda kullandığımız yazılımların özgürlüğünü düşünmek GNU/Linux, LibreOffice, Mozilla gibi yazılımların başarısı dikkate alındığında artık daha anlaşılırdır. Buna karşın, araba, kalp pili, giyilebilir teknoloji ve mobil cihazlar gibi günümüz bilgisayarlarındaki yazılımların kaynak koduna sahip olunabileceğine, nasıl çalıştığının öğrenilebileceğine ve kodda değişiklikler yapılabileceğine ihtimal vermeyiz. Hatta çoğu insan bu cihazların içinde yazılım bulunduğunu bile unutmuştur. Ama aynı teslimiyet 27 Eylül 1983 için de geçerlidir ve o zaman da özgür bir işletim sisteminin olabileceğine pek ihtimal verilmemektedir.

Bilişim teknolojilerini tartışırken çoğu zaman özgür yazılımdan yardım almak zorunda kalıyorum. Bunun temel nedeni, özgür yazılımın sunduğu alternatifler, açılımlar ve çelişkileriyle birlikte bilişim teknolojilerini ekonomi politik bir yaklaşımla tartışmayı daha anlaşılır ve somut kılması. Örneğin, nesnelerin interneti ve dördüncü endüstri devrimi gibi moda ifadelerin ve bulut bilişim gibi masalların peşine takılmadan önce bu teknolojilerin içinde geliştiği toplumsal ilişkileri, kimin kazanıp kimin kaybettiğini, bu sürece nasıl müdahale edilebileceğini tartışmak gerekir ve bu tartışmada, mülkiyet ilişkileri kritik bir rol oynar. Özgür yazılımcılar, son derece basit ama temel sorularla bu tartışmaya katılmaktadır: Kullandığınız bilgisayarların sahibi miyiz? Değilsek bunu nasıl başarabiliriz? Bu sorulardan sonra, o moda teknolojilerin cilası dökülmeye başlar.

Ayrıca Geray’ın (2016) belirttiği gibi ekonomi politik yaklaşım, neo-klasik iktisatta olduğu gibi toplumsal değer yargılarını dışarıda bırakmaz: “Eşitlik, hakkaniyet, adalet, toplumun/kamunun genel çıkarı gibi değer yargıları çözümlemelere katılır” (age). Fikri mülkiyet haklarına, özellikle de patentlere yöneltilen en büyük eleştirilerden biri araştırmaların kamudan alınan vergilerle finanse edilmesi ama araştırmaların meyvelerinin şirketler tarafından toplanmasıdır. Avrupalı özgür yazılım kuruluşları sürekli bunun gibi adaletsizlikleri sorgulamaktadır. Eylül ayında başlattıkları “kamunu parası, kamunun kodu” (https://publiccode.eu/) adlı kampanyada da sorgulanan yine çok basit ama sürekli görmezden gelinen bir konudur: İnsanların vergileriyle geliştirilen yazılımlar neden özgür yazılım olarak kamuyla paylaşılmaz? Aynı yazılıma tekrar tekrar para ödeyen bir hükümet kamunun çıkarı yerine şirketlerin çıkarını düşünmüyor mudur?

Eleştirel olmayan bir bakış açısı gözetimi ve sansürü de teknolojik gelişmelerin kaçınılmaz sonucu olarak değerlendirir. Özgür yazılım için bunlar yeni teknolojilerin bir özelliği değil kusurudur ve hiç de kaçınılmaz değildir; özel hayatın gizliliği ve ifade özgürlüğü savunulması gereken değerlerdir. Özgür yazılım, yazılım dünyasının dışına taşmış ve Wikipedia gibi projelere ilham vermiş, neoliberalizmin piyasa toplumu dışında başka bir alternatifin olduğunu göstermiştir.

Ancak tam da bu noktada durmak gerekiyor. Özgür yazılım, kapitalizmde sadece (ve son derece ufak) bir çatlaktır. Şimdi sesleri daha az çıksa da ikibinli yılların başında müştereklerden ve ortaklaşa çalışmanın potansiyelinden, bilişim teknolojilerinin toplumsal ilişkilerde yarattığı değişimden etkilenen birçok insan kapitalizmin aşıldığını iddia edecek kadar ileri gitmiştir. Fakat özgür yazılım, başka alanlardaki benzer girişimler gibi, her zaman tehlike altındadır:

Oluşturulan her müşterek, zamanla iki gücün saldırılarına maruz kalacaktır. Birincisi, müşterekleri hiçe sayarak kendi gelirlerini maksimize etmek için açık arayan bireylerin ve şirketlerin kurnazlığı. İkincisiyse, hükümetlerin ekonomik darboğaz zamanlarında (veya piyasa ideolojisinin güdümünde) müşterekleri besleyen kaynakları kurutma, müştereklerinin etkilerini azaltarak kamuoyu desteğini baltalama eğilimi.

Özgür yazılım hareketi, başta FSF (Free Software Foundation) ve FSFE (Free Software Foundation Europe) olmak üzere, patent, DRM (Digital Restrictions Management – Sayısal Kısıtlamalar Yönetimi), bulut bilişim vb kampanyalarından da görülebileceği gibi tehlikenin farkındadır. Bin yılın başında müştereklerden, eşitlik ve özgürlükten bahsedip, sözüm ona enformasyon toplumunu selamlarken günümüzde dijitalleşmeyle gelişen mülksüzleştirmeyle karşı karşıyayız. Özgür yazılım hareketinin yıllardır sorduğu soruları şimdi daha yüksek sesle sormanın zamanı: Bilgisayarlarımızın gerçekten sahibi miyiz? Bilgisayarlarımızın gerçek sahibi olabilmemiz için ne yapmamız gerekiyor?

Bu yazıda, tüketiciler ve satın aldıkları (ya da satın aldıklarını sandıkları!) ürünler arasındaki ilişkinin nasıl değiştiğini göreceğiz. Yazının devamında, sahip olunan nesneye göre değişen farklı mülkiyet biçimleri yer alıyor. Daha sonraki bölümde dijitalleşmeyle beraber kitap, film ve müzik endüstrisindeki yaşanan değişimleri ve bu değişimleri olanaklı kılan biri hukuksal diğer teknik iki aracı, lisansları ve DRM’yi aktarıyorum. Son olarak, aynı araçlarla günümüz bilgisayarlarında uygulanan mülksüzleştirme örneklerini göreceğiz.

Gayrimenkul Mülkiyeti, Bireysel Mülkiyet ve Fikri Mülkiyet

Dijitalleşmeyle beraber fikri mülkiyet haklarının kapsamında toplumun aleyhine, şirketlerin lehine bir genişleme vardır. Ama bu genişleme aynı zamanda kullanıcıların mülksüzleştirilmesiyle beraber gelişmektedir. Bunun örneklerine geçmeden önce mülkiyetin ne olduğunu ve dijitalleşmeyle beraber nasıl bir değişim yaşandığını tartışmak gerekiyor.

Önce mülkiyetin ne olmadığıyla başlayalım. Mülkiyet insanla nesne/kaynak arasındaki bir ilişki değildir. “A, x’e sahiptir” ifadesi mülkiyet ilişkisini tanımlamak için yetersiz kalacaktır. Mülkiyet toplumsal bir ilişkidir. Çünkü A, B’ye karşı x’e sahiptir ve A x’ten yararlanmakla kalmaz kendisi dışındakilerin x ile olan ilişkisini de kontrol eder. Bir diğer deyişle mülkiyet asıl olarak A ve B arasında bir ilişkidir. Fakat bu ilişkinin gerçekleşebilmesi için A ve B’nin x üzerindeki ilişkisi hukuksal olarak tanınmalıdır. B, A’nın izin vermediği biçimde x’e eriştiğinde bunun bir yaptırımının olması gerekir. Bunun yanında, x’e sahip olan A’nın mutlak güç sahibi olduğu yanılgısına düşülmemelidir. A, keyfi biçimde hareket edemez; B’nin de hakları vardır. Ancak her iki tarafın hakları da mutlak değildir. Haklar ve denge, sosyoekonomik koşullar ve teknolojik yeniliklerle yeniden şekillenir.

A ve B arasındaki mülkiyet ilişkisi x’in ne olduğuyla ilişkili olarak farklı biçimlerde karşımıza çıkabilir. Perzanowski ve Schultz (2016), x’in durumuna göre mülkiyeti dörde ayırır: Gayrimenkul mülkiyeti, bireysel mülkiyet, fikri mülkiyet, maddi olmayan şeylerin mülkiyeti [1].

Mülkiyet denilince ilk akla gelen gayrimenkul mülkiyetidir. Gayrimenkul, fiziksel bir alanla tanımlanır. Deprem, toprak kayması veya nehir yatağının değişmesi gibi durumlar olmadığı sürece sabittir, bıraktığınız yerde kalır. x’in gayrimenkul olduğu durumlarda A’nın B’ye göre ilişkisi çeşitli biçimler alabilir. Gayrimenkul sahibi, toprağı kullanma, diğerlerini dışlama, satma, bağışlama veya ondan kâr elde etme hakkına sahiptir. A, x’e sadece ömrü boyunca sahip olabilir (miras bırakamaz) veya devre mülkte olduğu gibi x’i yılın belirli zamanlarında kullanabilir. Bu haklar açık uçludur ve tartışmaya açıktır. Örneğin belediyenin kat sınırlaması olabilir, dairenin işyeri olarak kullanımı yasaklanmış olabilir, arazi sahibi arazisini süpermarket yapmamak kaydıyla kullandırmak isteyebilir veya bir üniversite arazisindeki ağaçların zarar görmemesi şartıyla arazisinden yol geçmesine izin verebilir. Gayrimenkulün hem daha pahalı hem de kullanımı hakkındaki sınırlamaların açık uçlu olması nedeniyle herhangi bir satın almadan önce oldukça ayrıntılı bir araştırma yapılması gerekir. Normal vatandaşlar az sayıda gayrimenkul aldıklarından daha ince eleyip sık dokurlar.

Bireysel mülkiyette ise haklar daha nettir. A, x’e sahipse bununla ne yapacağı ve B’ye karşı hakları daha nettir. B, A’dan Mavi kazak satın aldığında A, B’ye “bunu turuncu pantolonun üstüne giyemezsin” diyemez. Bireysel mülkiyete konu nesneler gayrimenkule göre çok daha ucuzdur ve satın alma sonrası oluşan hakların sınırları daha belirlidir. Bir kitap, buzdolabı, kazak vb satın alan kişi bunu kendisi kullanabilir, satabilir, kiralayabilir, ödünç verebilir veya hediye edebilir. Satış sonrasında A’nın x üzerindeki hakları sona erdiğinden x’i satın alan kişi A’nın yerine geçer. Bireysel mülkiyet, gündelik hayatta o kadar sık deneyimlediğimiz bir ilişkidir ki okuyucu yukarıdaki örnekleri gereksiz olarak değerlendirecektir; başka türlüsünü düşünmek zaten mümkün değildir. Ama sorun da zaten bu açık seçik olan hakların kaybediliyor olmasıdır.

Fikri mülkiyette x, gayrimenkul ve bireysel mülkiyette olduğu gibi maddi bir varlığa sahip olmaması nedeniyle farklıdır. Gayrimenkul ve bireysel mülkiyette x maddi varlığa sahip olduğundan nesnenin ve kaynağın kullanımında kıt kaynak sorunu vardır. Gayrimenkul ve bireysel mülkiyet ilişkileri bu kıt nesne ve kaynakların kullanımını düzenler. Fikir ürünleri için kendiliğinden bir kıtlık söz konusu değildir. Fikri ürünlerinin kullanımı onları azaltmaz, tam tersine artırabilir de. Fikirlerin de bir kullanım değeri vardır; bunların artması ve yayılması arzulanır. Buna karşın, fikir ürünlerini üretenlerin bu çalışmalarının karşılığını alamazlarsa üretmeyecekleri (ya da üretemeyecekleri) savunularak asıl kıtlığın fikir ürünlerinde değil bunun üretimi için gerekli emek gücünde olduğu belirtilir. Fikir ürünlerinin bir diğer farklılığı da bir kere ifşa edildikten sonra kontrol edilmelerinin zorluğudur. Bir araziyi çitleyebilir, özel ve değerli eşyalarınızı kasaya koyabilirsiniz. Ama fikir ürünleri için böyle bir durum söz konusu değildir. Patent, telif, marka yasaları bu korumayı gerçekleştirmek için vardır. Bireysel mülkiyette A, x’i sattığında satın alan kişi A’nın yerine geçer. Fikri mülkiyette ise durum farklıdır. Bir film DVD’si satın aldığınızı varsayalım. Bu sizi filmin sahibi yapmaz; sadece filmin kaydedildiği DVD’nin sahibisinizdir. Normal şartlarda (kopyalama hakkına sahip şirket size bu yetkiyi vermemişse) bu filmi kopyalayıp dağıtamazsınız veya bir oda dolusu izleyiciye gösterim yapamazsınız. Hatta fikri mülkiyetin en saf halinde DVD’yi satın alan kişi bunu başkasına satamaz, kişisel kullanım için yedekleyemez, bir arkadaşına hediye edemez vs. Fakat fikri mülkiyet hakları, A’nın x üzerinde satış öncesinde ve sonrasında tüm haklara sahip olduğu bir ilişki değildir. A’dan x’i satın alan kişi A’nın yerine geçemese de x’i satın alan (B’) ile satın almayan (B) arasında bir fark vardır. A, x’te yayma hakkına sahiptir. Yayma hakkı, “bir eserin aslını veya çoğaltılmış nüshalarını, kiralamak, ödünç vermek, satışa çıkarmak veya diğer yollarla dağıtmak hakkı”dır. Yasa, x’in DVD’sini satın alan B’nin yeniden satış hakkı için şunları söylemektedir:”kiralama ve kamuya ödünç verme yetkisi eser sahibinde kalmak kaydıyla, belirli nüshaların hak sahibinin yayma hakkını kullanması sonucu mülkiyeti devredilerek ülke sınırları içinde ilk satışı veya dağıtımı yapıldıktan sonra bunların yeniden satışı eser sahibine tanınan yayma hakkını ihlal etmez” (Aksu, 2016). Bu durum, “tükenme ilkesi” olarak adlandırılır. Yasa, tükenme ilkesini tanıdığı için satın aldığımız DVD veya kitap bireysel mülkiyete göre değerlendirilebilir.

Kısacası, bir fikir ve sanat ürünündeki telif hakkı ile onun kopyasının mülkiyeti hakkında bir ayrım vardır. İnternet öncesi dönemde de radyo ve televizyon yayınları da telif haklarını etkilemiştir ama yine de asıl gelir kaynağı fiziksel kopyalar olmuştur. Reklam ve kablo aboneliği bile kopyaların önemini azaltmamıştır. “Tükenme ilkesi” ikinci el pazarını ortaya çıkarmış, ikinci el ürünler birinci el ürünlere rakip olmuş ve bu da tüketicinin lehine olmuştur. Tükenme ilkesi, kopyalama hakkına sahip şirketler için satacakları kopya sayısını azalttığı için istenmeyen bir durumdur. Dijitalleşme ile beraber eski kopya biçimlerinin yavaş yavaş ortadan kalkması yeni bir döneme kapı aralamıştır. Dijitalleşmeyle mülkiyet ilişkilerinde yaşanan dönüşüme geçmeden önce kopyalama hakkına sahip şirketlerin tükenme ilkesine düşmanlıklarının tarihte ilginç örneklerinin olduğunu belirtmek isterim. Günümüzde bazı okullar ve kurumlar, kütüphane kullanımını teşvik etmek için kütüphaneden en çok yararlananların isimlerini duyururlar. Vaktini kütüphanede geçirenlere saygı duyarız. Fakat kopyalama hakkı sahibi şirketlerin en büyük düşmanlarından biri kütüphaneler ve buralardan yararlananlardır. İnsanların yeni kitap almak yerine kütüphaneden kitap ödünç almalarını kendi işlerinin baltalanması olarak değerlendirirler. Bunun en çarpıcı örneklerinden biri 1931’de bir grup yayıncının “kitap ödünç verme” sorununu çözmesi için halkla ilişkilerin öncülerinden olan Edward Bernay’i tutmasıdır. Bernay, kitap ödünç alanları aşağılayan bir lakap bulma kampanyası düzenler. Yarışmayı booksneak kazanır (Önerilen diğer lakaplar book weevil, greader, libracide, booklooter, bookbum, culture vulture, bookbummer, bookaneer, biblioacquisiac ve book buzzard.)

iTunes Music Store, Bulut Bilişim ve Dijital Abonelik

Son 15 yılda içeriğe erişim biçimimizde önemli değişiklikler yaşanmıştır. İkibinli yıllara kadar kitap, müzik ve filmler elimizde tuttuğumuz, kitaplığımızda sakladığımız ve birbirimize hediye ettiğimiz fiziksel nesnelerdir ve tüketiciler, tükenme ilkesinin tanıdığı hakla hareket etmektedir. Bu bağlamda, 2003 yılında Apple’ın iTunes Music Store’ı ve yeni iş modelini duyurması bu hakka

önemli bir darbedir. İnternetten müzik eserlerini ücretsiz indirmenin oldukça yaygın olduğu bir dönemde Steve Jobs, insanların hala müzik eserleri için ödeme yapmaya gönüllü oldukları, ama birkaç hit parça için tüm albümü satın almak istemedikleri tespitini yapmaktadır. Jobs’a göre sorun insanların korsan müziğe kaymasını engelleyebilecek bir alternatifin olmamasıdır. Jobs, Müzik şirketleri ve internet kullanıcılarını ‘adil’ bir iş modelinde bir araya getirir. Jobs’a göre herkes kazanacaktır (https://tr.0wikipedia.org/wiki/İTunes_Store):

Müzik çalan insanların % 80’inin bunu istemediğine inanıyoruz, sadece yasal bir alternatif yok. Bu yüzden, ‘buna yasal bir alternatif yaratalım’ dedik. Herkes kazanır. Müzik şirketleri kazanır. Sanatçılar kazanır. Apple kazanır. Kullanıcı kazanır, çünkü daha iyi bir hizmet alır ve bir hırsız olmak zorunda değildir.

iTunes Music Store’a yalnızca Apple cihazlarından erişilebilmekte ve şarkılar başlangıçta DRM (Sayısal Kısıtlamalar Yönetimi) ile korunmaktadır. Kullanıcılar albümün tamamını satın almadan (çoğunlukla 99 sente) tek bir müzik eserini satın alabilmektedir. Apple’ın yeni iş modeli, kendi beklentilerinin de ötesinde büyük ilgi toplar. Jobs’ın öngörüsü doğru çıkmış ve insanlar korsan müziktense dinlediği eser için para ödemeyi tercih etmiştir. Apple’ın öncülüğünü yaptığı bu iş modeli hızla yaygınlaşır. Ancak diğer yandan bireysel mülkiyet için bir dönüm noktasıdır. Artık elinizde arkadaşınıza ödünç verebileceğiniz bir DVD yoktur. Ayrıca tüketiciler DRM’li müziklerini ancak ve ancak bir Apple bilgisayarı kullandıkları sürece çalabileceklerdir. O an için ufak bir ayrıntıdır. Apple kullanıcıları bu ayrıcalıklarının keyfini sürerken DRM ile telif haklarının içerdiği bir hak ortadan kalkmaktadır (Perzanowski ve Schultz, 2016).

Dijital ürünlerde tükenme ilkesi nasıl uygulanacaktır? Fiziksel bir ürünü arkadaşınıza ödünç verdiğinizde sizde bir kopyası bulunmaz. Ama bir müzik dosyasını arkadaşınıza farklı yollarla (taşınabilir bellek, e-posta, Dropbox’a koymak vb yollarla) dosyayı kopyalayarak iletebilirsiniz. Ama her hâlükârda dosyanın telif haklarındaki tükenme ilkesine aykırı hareket etmiş olursunuz. Telif yasaları bu yeni duruma ayak uyduramadan bulut bilişimle [2] ikinci bir dönüşüm yaşanır. 160 GB diske sahip bir iPod alıp tüm müzik koleksiyonunuzu buraya aktarmanız mümkündür. Fakat bir süre sonra iPod yerini akıllı telefon, tablet ve çok amaçlı diğer mobil cihazlara bırakır. Bu cihazlarda üreticiler, yer, ağırlık ve pil ömründen tasarruf edebilmek için yüksek saklama kapasiteli ve ucuz diskler yerine daha düşük saklama kapasiteli ve yüksek fiyatlı disklere yönelmişlerdir. Bulut bilişim, depolama kapasitesi sorununu giderek yaygınlaşan yüksek hızlı mobil veri ağlardan yararlanarak çözecektir. Artık tüm dijital dosyalarımızı bulutta saklayabileceğimiz ve cihazlarımız arasında senkronize edebileceğimiz söylenmektedir (age).

iTunes Music Store’dan satın alınan bir dosya tüketicinin bilgisayarında saklanmaktadır. Elde bir kaset veya DVD yoktur, ama (kimi zaman DRM’li de olsa) bir dosya bilgisayarınızda tutulmaktadır. Bulut iş modelleri ise bunu bir adım daha öteye götürebilmenin yolunu açmıştır. Bilgisayarınızda dosya saklamanın şart olmadığı, bir film izleyeceğiniz veya müzik dinleyeceğiniz zaman buluta erişerek bunu yapabileceğiniz anlatılmaktadır. Bilgisayarınıza indirmeden kullanmayı tercih ettiğinizde dijital dosyaya gerçekten sahip olma şansınız da ortadan kalkmaktadır. Bulut sağlayıcısı şirket, çeşitli gerekçelerle dijital dosyaya erişimizi engelleyebilir veya dosyayı silebilir. Nitekim Apple Medya Hizmetleri Hüküm ve Koşulları’nda bu hak açıkça belirtilmektedir (https://www.apple.com/legal/internet-services/itunes/tr/terms.html):

“Apple size bildirimde bulunarak ya da bulunmaksızın ve dilediği zamanda Hizmetleri (ya da bunların herhangi bir parçasını ya da İçeriğini) değiştirme, geçici olarak durdurma ya da sona erdirme hakkını saklı tutar ve Apple söz konusu haklarını gerçekleştirdiğinde size ya da üçüncü taraflara karşı sorumlu olmayacaktır.” Amazon Kindle kullanıcılarının da deneyimlediği gibi sanal kitap rafınızda duran bir kitap aniden silinebilir. Bunun dışında teknik sorunlar nedeniyle dosyalara erişim olanağınızın geçici veya kalıcı olarak ortadan kalktığı durumlar da olabilmektedir. Eskiden bir kitap yıllarca saklanıp kuşaktan kuşağa aktarılabilirken şimdi kitabın raf ömrü en iyi ihtimalle şirketin ömrü kadardır. Perzanowski ve Schultz (2016), Amazon ve Apple’sız bir dünya hayal edemeyenlere Lehman Brothers, Enron ve Woolworth’ın akıbetini hatırlatmaktadır.

Telif hakları ve tükenme hakkı açısından değerlendirdiğimizde yine belirsiz bir durum vardır. Buluttaki dosyaların tekrar satışı veya ödünç verilmesi belirsizdir. Bazı durumlarda dosya bulut üzerinden kullanılabilmekte bazen de dosyanın bir kopyasının bilgisayara indirilmesi gerekmektedir. Perzanowski ve Schultz’a (2016) göre bulut farklı biçimlerde yorumlanabilir. Birincisi bulutu evinizdeki bir film makarası gibi değerlendirebilirsiniz. Salonunuzda, televizyonun sizin, ama film makarasının film şirketinin olduğu bir düzenek vardır. Filmi izlemek veya bir şarkıyı dinlemek için bir ödeme yaparsınız, ama filme sahip olamazsınız. İkincisi bulut, raflarında kitapların olduğu bir kütüphanedir ve siz kitaplardan birini ödünç alırsınız. Üçüncüsü bulut, bankada kiralık bir kasa gibidir. Şu anda yanınızda olmasa da kasanın içindekiler sizindir ve istediğiniz zaman kasadan evinize getirebilirsiniz. Her üç durum da telif hakları açısından yeni soru(n)lar yaratmaktadır. Fakat ilk iki durum abonelik üzerine kurulu yeni bir iş modeli olarak karşımıza çıkacak ve kullanıcının mülksüzleştirilmesinde üçüncü aşamaya gelinecektir.

Bulutta sakladığınız dosyaların gerçekten sahibi olamazsınız. Bazı durumlarda bu dosyaları bilgisayarınıza da kaydedebilirsiniz. Şirketler indirilen dosyaları, kullanıcı cihazlarını kontrol edebildikleri taktirde DRM ile denetleyebilmektedir. Ama bulutun asıl önemi tüketicilere akıtmalı servisleri (streaming service) tanıtarak, onları abonelik sistemlerine hazırlamak olmuştur.

Klasik abonelikte bir dergiye 2017 yılı için abone olduğunuzda 2018 yılında aboneliğinizi yenilemeseniz de 2017 yılına ait sayılar elinizdedir ve kimse bu hakkınızı elinizden alamaz. Akıtmalı abonelik servislerinde ise aboneliğinizi yenilemediğinizde haklarınızı kaybedersiniz. Buna rağmen, tüketicilere sunduğu avantajlar nedeniyle bu dezavantajlar atlanmaktadır. Abonelik servisleri satın almayla karşılaştırıldığında daha makul bir ücret talep etmekte ve çok sayıda içerik arasından seçim yapabilme olanağı sunmaktadır. Şirketler için oldukça kârlı bir iş modelidir. Farklı müşterilere farklı fiyatlandırma yapabilmektedirler. Yeni iş modelinin önceki dönemlerden en büyük farkı da şirketlerin servisi kullananlar hakkında çok ayrıntılı bilgiye sahip olmalarıdır. Bu da şirketlerin daha hedefli reklamlar yapabilmelerini sağlamaktadır. Akıtmalı servisin kopyalanması ve çoğaltılması olanaksız olmasa da daha zordur. Servis aboneliği kitap ve DVD almayla kıyaslandığında çok daha ucuz görünmektedir. Ama elde satılabilecek bir kopyanın bulunamaması birinci el satışlara rakip olabilecek ikinci el piyasasını da yok etmektedir.

Mülkiyet ilişkilerindeki bu değişim iki önemli araçla gerçekleştirilmiştir: Lisanslar ve DRM.

Okunmayan ve Anlaşılamayan Lisanslar

Perzanowski ve Schultz (2016) lisansların nasıl bir dünya yarattığını göstermek amacıyla almak istediğimiz 100 dolarlık bir şapkanın üzerinde aşağıdaki uyarıyı gördüğümüzde ne yapacağımızı hayal etmemizi ister:

BU ŞAPKA LİSANSLANMIŞ, SATILMAMIŞTIR. ÜZERİNDEKİ ÜCRETİ ÖDEDİĞİNİZDE BU ŞAPKAYI İSTEDİĞİNİZ SIKLIKTA GİYME HAKKINA SAHİPSİNİZ. ŞAPKAYI SÜRESİZ OLARAK ELİNİZDE BULUNDURABİLİRSİNİZ ANCAK ÜRETİCİNİN AÇIK İZNİ OLMAKSIZIN ONU YENİDEN SATMA, ÖDÜNÇ VERME VEYA BAŞKA BİR ŞEKİLDE AKTARMA HAKKINA SAHİP DEĞİLSİNİZ.

Bu mesajı nasıl yorumlayabiliriz? Birincisi, şapka sahibi, şapkaya 100 dolar vermemize rağmen onun sahibi olmadığımızı vurgulamak istemiş olabilir. Onu sadece elimizde bulundurma ve kullanma hakkına sahibiz. İkinci yorum, mülkiyet yasalarının bize tanıdığı hakla onu satabileceğimiz ama bu satışın üreticiye ispatlanabilir bir zararı olduğunda üreticinin zararını karşılamak zorunda olduğumuzdur. Üçüncüsü, uyarının yasal bir belge niteliğine sahip olmadığıdır. Amaç sadece bazı alıcıların gözünü korkutarak şapkayı ödünç vermelerini veya satmalarını engellemektir. Ama yasal olarak hiçbir zorlayıcılığı yoktur.

Bu yorumlardan herhangi biri doğru olabilir. Satış görevlisinden daha ayrıntılı bir açıklama isteyebilir veya böyle alengirli bir alışverişe hiç girmek istemeyebiliriz. Lisans, kişi ve kuruluşlara normal şartlarda sahip olunmayan bir hakkı verir. Örneğin sürücü lisansı, bize trafik araçlarını kullanma hakkı verir. Ama dijital ürünleri kullanırken “Kabul Ediyorum” deyip geçtiğimiz birçok lisans tüketiciye bir hak tanımlamaz, yasalarca verilmiş bir hakkı keyfi olarak sınırlar. Örneğin, özgür yazılım projelerinde kullanılan GPL’de (General Public License – Genel Kamu Lisansı), yazılım sahibi bazı şartlar öne sürerek telif haklarının kendisine tanıdığı hakları kullanıcıya verdiğini belirtir. Özel mülkiyetli yazılımlarda ise lisans, telif haklarının tanımladığı bazı hakların geri alınması için vardır.

Lisanslar çoğunlukla okunmaz; 99 sentlik bir şarkı için iTunes’un Macbeth’ten uzun kullanım şartlarını okumak pek akıllıca değildir. PayPal’inki ise Hamlet’ten de fazladır. Bu lisansların uzunlukları bir yana anlaşılmaları da zordur. Çünkü şirketin yasal haklarını tanımlayan lisanslar sıradan insanların anlaması için yazılmış basit metinler değildir. Çoğu zaman karşımıza uzunca ve anlaşılmaz bir metin çıkar; ya lisansı kabul edip yolumuza devam ederiz ya da reddedip işlemden vazgeçeriz. Başka seçeneğimiz yoktur. Lisansların uzunluğu ve karmaşıklığı dikkate alındığında bunu okuyup anlamanın da bir maliyeti olacağından kabul ettiğimizi belirtip geçeriz. Casus yazılımlara karşı yazılım üreten PC Pitstop adlı şirket EULA’sındaki (End User License Agreement – Son Kullanıcı Lisans Sözleşmesi) bir cümlenin farkına varan ve kendisine e-postayla bunu bildirecek ilk kullanıcıya 1000 dolarlık bir ödül vereceğini yazar. Beklenen e-posta ancak dört ay sonra, yazılım 3000’den fazla indirildikten sonra gelir!

Lisanslamanın öncüsü IBM’dir. Telif hakkı ve patentlerin henüz zayıf olduğu bir dönemde bu yolu tercih etmesi anlaşılır bir durumdur. Fakat lisanslama yazılımı belirsizlik ve ihlallere karşı korumaktan çok yazılımın sonraki kullanımlarını kontrol edebilmek ve rekabeti azaltmak için kullanılmaktadır. Kitap, film ve müzik endüstrisi de yıllardır bunu arzulamış ama başarılı olamamıştır. Şimdi şirketler dijital kitapların ödünç verilme sayısını kısıtlayarak kütüphanelerden adeta intikam almaktadır. Örneğin bu sınır yirmiyse yirminci ödünç verme işleminden sonra kütüphanenin aynı kitaba tekrar ödeme yapması gerekmektedir. Böylece kütüphanelerin, bilgi birikimini gelecek kuşaklara aktarabilme misyonu da yok edilmektedir. Artık herhangi bir kitap sansür veya ekonomik gerekçelerle kütüphanelerden silinebilir, o kitap hiç yayınlanmamış gibi davranılabilir. Daha da kötüsü bu tip lisanslar dijital kitap, film ve müzikle sınırlı değildir; son yıllarda evlerde kullanılan cihazlarda, tüketici elektroniğinde, tarım makinelerinde, kısaca bilgisayar içeren ya da bilgisayarlaşan her alanda karşımıza çıkmaktadır.

Perzanowski ve Schultz (2016) lisansların taraflar arasında yapılan bir sözleşme veya mülkiyet ilişkileri çerçevesinde değerlendirilebileceğini belirtmektedir. Mahkemeler, hemen onaylayıp geçtiğimiz lisansları sözleşme olarak değerlendirmeye meyillidir. Fakat insanlar neyi imzaladıklarını bilebildiklerinde sözleşmenin bir anlamı vardır. Lisanslar, iki tarafın özgür iradesiyle imzalanan sözleşmeler değildir. Kopyalama hakkı sahibinin dayattığı kısıtlamalardır. Lisansları, mülkiyet ilişkileri çerçevesinde değerlendirdiğimizde, lisansların GPL’de olduğu gibi önceden tanımlanmış mülkiyet haklarına dayanması gerektiği ortaya çıkar. Geçerli bir lisansın ortaya konabilmesi için kimin neye sahip olduğuna önceden karar verilmesi gerekir.

Kopyalama hakkı sahibi, ürünü kendine saklayabilir, kiralayabilir veya satabilir. Eğer bir servis, abonelik olarak ilan edilmişse yapacak bir şey yoktur. Fakat reklamlar çoğu zaman aboneliği bir satış gibi göstermekte, kimin neye sahip olduğu belirsiz bırakılmakta, lisanstaki satır aralarında alıcının haklarını kısıtlamaktadır. Yapılan araştırmalar alıcının dijital bir ürünü gerçekten satın almadığını fark ettiğinde başka türlü davranmaya eğilimli olduğunu göstermektedir (age).

DRM (Sayısal Kısıtlamalar Yönetimi)

DRM, dijital içeriğin satış sonrasında da kullanımını kısıtlamayı ya da kontrol etmeyi hedefleyen teknolojilerin genel adıdır. Garip bir güvenlik aracıdır. Evinizdeki kilit, değerli eşyalarınızı dışarıdakilerden korur. DRM ise içeridekilere karşı bir korumadır. Çünkü kullandığınız şeyin gerçekten sizin olmadığı iddiasını taşır.

Dijitalleşme öncesinde ortaya çıkan VCR (videocassette recorder – video kaydedici) teknolojisi tüketiciyi güçlendiren, kopyalama hakkı sahibi şirketlerin tüketici üzerindeki baskısını zayıflatan bir gelişmedir. Bu nedenle Universal, Sony’yi korsan kullanıma yol açmakla suçlamıştır. Sony ise geliştirdiği teknolojinin korsanlık için kullanılabileceği gibi meşru amaçlar için de kullanılabileceğini savunur. Mahkeme, Sony’nin savunmasını haklı bulur ve stüdyoların VCR teknolojisini kontrol altına alma talebini geri çevirir. Bu karar, yalnız Sony için değil, tüketiciler için de önemlidir. Çünkü VCR’de yapılmak istenen tüketicilerin evlerinde gözetlenmesidir.

Hollywood, VCR olayından dersini almıştır. DVD teknolojisinin geliştirilmesine en başından müdahil olur ve CSS koduyla izinsiz kopyalamanın önüne geçmeyi dener. Cihazlarımızın izinsiz film oynatımlara karşı kontrol altına alınması için büyük çaba gösterir. Ama her DRM, er ya da geç, kırılmaya mahkumdur. DRM’li bir sistemi kırmak zordur; bunu ancak en ileri düzeydeki kullanıcılar başarabilecektir. Ama bir hacker DRM’nin açıklarını keşfettiğinde bu bilgi hızla yayılmaktadır ve kırma işlemini kolaylaştıran araçlar teknik bilgisi daha az olan kullanıcılara da ulaşmaktadır. Bu nedenle DRM tek başına yeterli olmayacak, hem hackerların hem de onların açtığı gedikten ilerleyen diğer tüketicilerin durdurulabilmesi için yasalarla kontrol altına alınmaları, tersine mühendisliğin yasadışı ilan edilmesi gerekecektir.

DRM tüketicilerin güvenliğini de tehlikeye atmaktadır. VCR tartışmasında iyi adam olan Sony, bu sefer kötü adamdır. CD’lerinin kopyalanmasını engellemek için kullanıcıların bilgisayarına, onların haberi olmadan bir rootkit yazılımı kurmayı dener. Sony, rootkit yazılımıyla kullanıcıların CD kopyalamasını engelleyebileceğini düşünmektedir. İzinsiz kurduğu rootkit, başında $sys$ ile başlayan her dosya ve süreci bilgisayar kullanıcılarından gizlemektedir. Sony kendi mülkiyet hakkını korumak için açtığı arka kapıyla büyük bir güvenlik açığına neden olur; herhangi bir saldırganın aynı açığı kullanmasının önünde bir engel yoktur. Bu fark edildiğinde ise yaptığını “insanlar rootkit’in ne olduğunu bile bilmiyor, neden buna takılsınlar ki?” diyerek örtbas etmek ister. Fakat tepkiler dinmeyince CD’lerini geri çağırmak zorunda kalmıştır. Sony, DRM’ye başvuran birçok şirketin yaptığı gibi, insanlardan kendi mülkiyet haklarına saygı göstermesini isterken izinsiz olarak onların bilgisayarına girmiş, güvenliklerini tehlikeye atmış ve mahremiyetlerine zarar vermiştir (age).

Lisanslar, DRM ve Gündelik Hayati [3]

Edison’un İki Davası

ABD’de fikri mülkiyet haklarının gelişimi üzerine bir film çekilse filmin baş kötülerinden biri sanırım Thomas Edison olurdu. Edison defalarca yasal boşluklardan yararlanmaya çalışarak her fırsatta rakiplerini saf dışı bırakmak istemiştir. Bazen bunda başarılı olmuş bazen de mahkemeler Edison’un hırslarına geçit vermemiştir. Edison’un en ilginç ve öğretici davalarından ikisi tükenme ilkesi üzerinedir. Doğru akımı destekleyen Edison ile Nikola Tesla’nın alternatif akımına yatırım yapan milyoner George Westinghouse arasında bir mücadele vardır. Edison, alternatif akımın tehlikelerini öne çıkararak doğru akımı teşvik etmek istemektedir. Alternatif akımın elektrikli sandalyede kullanılacağını öğrenmesi ile alternatif akımın tehlikesini anlatmak için eşsiz bir fırsat yakalamıştır: Alternatif akım, öldüren teknoloji!

Westinghouse, patentlerinin elektrikli sandalyede kullanılmasına izin vermez. Fakat Edison’un adamları, alternatif akımın kullanıldığı dinamoların satışından sonra patent sahibinin hakkının tükendiğini, satın alınan bireysel mülkiyetindeki dinamoların kullanımına karışamayacağını savunur ve tarihteki ilk üç elektrikli sandalye Westinghouse’un patentleriyle yapılır. Böylece Edison alternatif akımın insanları öldürdüğünü söylemeye devam eder.

Edison ikinci macerasında ise tükenme ilkesinin karşısında yer almaktadır. Edison’un film projektörü yaygın olarak kullanılmaktadır. Projektör piyasasının doymasından sonra Edison patenti yine kendisine ait olan film makaralarının satışının daha kazançlı olacağını fark eder. Projektöre, kendi film makaraları dışında bir makara kullanamayacağını yazar. Edison’un film makaralarındaki patenti biter bitmez tüketiciler kendi makaralarını yapar. Edison bunun üzerine projektördeki uyarıyı göstererek sadece kendisinin uygun gördüğü (kendi) makaraların kullanılabileceğini iddia eder. Mahkeme, yine tükenme ilkesine göre Edison’un itirazını reddeder ve tarihe de bir not düşer: Patent yasasının amacı bilimin ve yararlı zanaatin ilerlemesini desteklemektedir; patent sahiplerine özel servet sağlamak değil.

Fikri Mülkiyet, Bireysel Mülkiyete Karşı

Şirketler hiçbir zaman pes etmezler. Ama mahkemeler, Edison’dan sonra da uzunca bir süre bireysel mülkiyet lehine benzer kararlar vermeye devam ederler. Özellikle elektronik şirketleri DRM’i her fırsatta kullanmaya çalışmaktadır. Temel stratejileri, Edison’un film makarasındakiyle aynıdır: Bir ürünü sattıktan sonra, tüketicilerin onunla ilgili olabilecek parçalar için de kendilerine gelmelerini sağlamak.

Bu stratejiye başvuran şirketlerden biri de garaj kapısı açacağı üreten Chamberlain’dir. Uzaktan kumandasını kaybeden veya birden fazla arabası olan tüketiciler ek uzaktan kumandayı Chamberlain’den satın almak zorundadır. Skylink ise asıl üretici firmalardan çok daha ucuza yedek uzaktan kumanda satan bir şirkettir. Chamberlain, uzaktan kumandalarının yalnızca kendisinden satın alınmasını sağlamak için, kapı açılmadan önce kumandanın kapıya bir kod göndermesini sağlayan bir DRM tasarlar. Skylink bu kodu çözerek, Chamberlain için uzaktan kumanda üretmeye devam eder. 2002 yılında Chamberlain, fikri mülkiyet hakkının ihlal edildiği gerekçesiyle mahkemeye gider. Mahkeme, tüketicinin Chamberlain’den bir garaj kapısı açacağı satın aldığını ve bunun tüm kullanım haklarına sahip olduğununu belirterek Chamberlain’in başvurusunu reddeder.

Yazıcı kullanıcılarının en büyük sorunlarından biri kartuş bittiğinde doldurulan kartuşların çok pahalı olması ve doldurulduğunda tam verim alınamamasıdır. Kartuş satışı, yazıcı satıcıları için önemli bir gelir kaynağıdır. SCC (Static Control Components, Inc) adlı şirket, Lexmark’a uygun, daha ucuz kartuşlar ürettiğinde Lexmark, DRM’e başvurarak yazıcılarının Lexmark dışındaki kartuşlarla çalışmasını engeller. Lexmark, Edison’un bir zamanlar projektör üzerindeki bir uyarıyla yapmak istediğini teknik olarak gerçekleştirmiştir. Buna karşı SCC, ters mühendislikle DRM’i atlatmayı başarır ve Lexmark yazıcılarla uyumlu kartuşlar satmaya devam eder. DRM’sinin kırılması üzerine Lexmark mahkemeye gider. Mahkeme 2004 yılındaki kararında davayı fikri mülkiyet değil bireysel mülkiyet kapsamında değerlendirir ve “bir Lexmark yazıcı alan tüketici içindeki yazılımla beraber yazıcının kullanım hakkına sahiptir” der.

Bizim Olmayan Nesnelerin İnterneti

Mahkemelerin bireysel mülkiyetten yana olan bu kararlarına rağmen tüketicinin satış sonrasında kısıtlanmasında büyük artış vardır. Dijital kitap, müzik ve filmdeki lisans ve DRM stratejisi, günümüzün bilgisayarlaşan nesnelerine uyarlandığında daha büyük bir tehlike ortaya çıkmaktadır. Etrafımızı bizim olmayan nesnelerin interneti ile sarılmaktadır. Son birkaç yıldaki örnekler önemli dersler içermektedir.

Revolv adlı dağıtım kutusu (hub) çeşitli uygulama ve ev otomasyon sistemlerini kontrol etmek amacıyla geliştirilmiş bir cihazdır. Bir internet bağlantısıyla, evin güvenlik sistemleri, garaj kapıları ve eğlence sistemlerini kontrol edilebilmektedir. Cihazlar 300 dolara, güncellemeler ve yeni özellikler için ömür boyu abonelik vaadiyle satılmaktadır. Revolv Hub’ı üreten şirket 2014 yılında Google’ın nesnelerin interneti şirketi, Nest tarafından satın alınır. Nest, 2016 yılının nisan ayında Revolv’u artık desteklemeyeceğini ve yazılımla çalışan uzaktan kumandalarını çalışamaz hale getireceklerini duyurur. 15 Mayıs’taki yazılım güncellemesiyle Revolv uygulaması artık açılmamakta ve dağıtım kutusu çalışmamaktadır (http://www.businessinsider.com/revolv-smart-home-hubs-lifetime-subscription-bricked-nest-google-alphabet-internet-of-things-2016-4). Şirketler iflas edebilir veya belirli bir sektörden çekilebilir. Bunun satın aldığınız ürünü etkilememesi gerekir. Ama dijital nesnelerde yazılıma sahip olunmadığında satın aldıklarınız da şirketle beraber batıp gider. Lisanslar iki taraflı sözleşmeler olsaydı Google böyle bir karar veremeyecekti. Perzanowski ve Schultz (2016) ileride Google’dan araba satın alırken tekrar düşünmemizi öneriyor!

Ama Google’a da haksızlık etmemek gerekir, bu stratejisinde yalnız değildir. Meşhur traktör üreticisi John Deere’ın yeni traktörleri, motorun çalışmasından kol dayama yerine kadar traktörün çeşitli fonksiyonlarını kontrol edebilen en az sekiz yazılım ve donanım bileşeni içermektedir. Geçmişte, traktörlerin tamamen mekanik olduğu zamanlarda çiftçiler ihtiyaç halinde bakım, parça değiştirme ve tamir işlerini kısmen veya tamamen kendileri de yapabilmekteydi. Şimdi ise traktörleriyle aralarında bir yazılım katmanı vardır ve daha önce kendilerinin veya yakınlarındaki tamircilerin yaptığı işlemler için John Deere’nin yetkilendirildiği servislere gitmeleri gerekmektedir. Yüksek soğutma suyu sıcaklığından düzgün çalışmayan frene veya basit bir koltuk arızasına kadar Deere’e başvurmak ve yüksek paralar ödemek zorunda bırakılırlar. Çiftçiler bunun üzerine Telif Hakları Bürosu’na başvurarak kendi traktörlerini onarma, iyileştirme ve değiştirme hakkı talep ederler. John Deere, sorun ne kadar basit olursa olsun çiftçilerin dijital kaputu açmaya haklarının olmadığını, lisans sözleşmesi gereği sadece traktöre fiziksel olarak sahibi olduklarını ama yazılıma herhangi bir biçimde müdahale etme haklarının olmadığı yanıtını verir. John Deere böylece hem traktörlerinin fiyatını efektif olarak yükseltmiş olmakta hem de tamir sektörüne yaşama alanı vermemektedir (https://modernfarmer.com/2016/07/right-to-repair/). Perzanowski ve Schultz (2016), benzer sorunun nesnelerin internetine de içsel olduğunu belirtmektedir. Birçok durumda nesneleri dijitalleştiren yazılım ve nesneyi satın aldığımızda bu yazılıma da sahip olup olmadığımız sıklıkla ihmal edilen bir konudur.

Ferrari, Ford, General Motors ve Mercedes-Benz gibi ünlü otomobil üreticileri de John Deere’le aynı çizgidedir. Aracın sahipliğiyle yazılımın sahipliğinin karıştırılmaması gerektiği, şirketin yazılımın tek sahibi olduğu öne sürmektedirler. Ayrıca lisanslarında otomobildeki yazılımlara (uzaktan erişim de dahil) her türlü müdahale hakkına sahip oldukları da belirtilmektedir. Aracınızdaki yazılımlar güncellenebilir veya araçtaki dijital veri rızanıza gerek kalmadan silinebilir. Daha da kötüsü aracınız hiçbir mekanik arızası olmadığı halde çalışmayabilir. Kızını doktora yetiştirmeye çalışan Mary Bolender’in başına geldiği gibi araba taksitini üç gün geciktirdiğinizde aracınızın çalışması, ona en ihtiyaç duyduğunuz anda içindeki yazılımla engellenecektir (https://dealbook.nytimes.com/2014/09/24/miss-a-payment-good-luck-moving-that-car).

Bu örneklerden de görülebileceği gibi nesnelerin internetinde çalışan yazılıma sahip olmadığımızda çoğu insanın korktuğu yapay zekalı robotların saldırısından daha tehlikeli bir durumla karşı karşıya kalırız. Etrafımız bizim olmayan nesnelerle sarıldığında şirketler ilişkilerimizin kontrolünü de ele geçirmektedir. Nesnelerin internetini anlatmak için sık sık başvurulan akıllı buzdolabımız geleceğimize sahip çıkamazsak ne yiyeceğimiz konusunda da belirleyici olacak. Bu gücün, bizi daha sağlıklı beslenmeye yöneltmek amacıyla kullanılmayacağını tahmin etmek güç olmasa gerek…

Alternatif?

Dana Lewis ve kocasının yaptıkları, kullanıcılar ellerindeki nesnelerin gerçekten sahibi olduğunda neler yapılabileceğini göstermektedir. Lewis, Seattle’da glikoz monitörüne bağlı yaşayan bir şeker hastasıdır. Elinde taşıdığı kablosuz cihaz Lewis’in kan şekeri çok düştüğünde ya da yükseldiğinde uyarmaktadır. Lewis, uyarı sesini duyamadığından eşiyle beraber programı değiştirerek daha yüksek sesle uyarı vermesini ve sonrasında da bu bilginin diğer mobil cihazlara ulaştırılmasını sağlarlar. Bundan sonra Lewis’in insulin rejimine yoğunlaşırlar. Normal şartlarda hastalar insulin düzeylerini elle düzenlemektedir. Ellerindeki verileri analiz ederek geliştirdikleri algoritmayla insulin düzeyinin ayarlanmasını otomatize etmeyi başarırlar. Ayrıca Lewis’in 30, 60 ve hatta 90 dakika sonraki insulin ihtiyacı tahmin edilebilmektedir. Hatta şimdilerde bu süreci tamamen otomatize etmek için yapay bir pankreas geliştirmeyi de düşünmekteler. Kullanıcılar nesnelerin gerçekten sahibi olduklarında yapabileceklerinin sınırı yoktur: nesneleri istedikleri gibi değiştirebilir, ihtiyaçlarına uyarlayabilir ve yenilikçi çözümler geliştirebilirler.

Sonuç

Son yıllarda ücretlerdeki düşüş ve işsizlik insanları farklı seçeneklere yöneltiyor. Perzanowski ve Schultz’un (2016) belirttiği gibi insanlar alım güçleri düştüğü için Uber gibi alternatifler cazip geliyor. Netflix ve Spotify için de durumun pek farklı olmadığını söylüyor. Dolayısıyla, “müzik eserlerine sahip olmak her zaman iyidir, abonelik her zaman kötüdür” diyerek kestirip atamayız. Ama tüketicilerin, yaptıkları işlemler hakkında bilgilendirilmesi, kabul ettiği sözleşmenin (reklamlarda Buy! yazmasına rağmen) bir abonelik sözleşmesi olduğunu bilmesi lazım. Ayrıca, insanların birbirleriyle paylaşabileceği bireysel mülkiyetinin olmaması kültürel yapıda önemli değişimlere neden olabilir.

En önemlisi de “dijital bir nesne satın aldığınızda, neyi satın olmuş oluyoruz?” sorusunun net olarak yanıtlanması gerekiyor. Lambalarımız, termostatımız, fırınımız, kahve makinemiz, buzdolabımız elimizden uçup gidiyor. Bizim olmayan nesnelerin internetinde ve dijitalleşen nesnelerde şirketlerin temel tezi nesneyi sattıkları, ama yazılımı satmadıkları.

O zaman yazılımı ve onun ürettiği veriyi de talep etmek gerekiyor…

Notlar:

[1] İlk üçü arasındaki ayrım dijitalleşmeyle yaşanan değişimin anlaşılabilmesi için önemlidir. Dördüncüsü, güvenlik, taksi plakası ve hükümet tarafından tanınan bir işi yapabilme lisanslarında olduğu gibi fiziksel bir varlığı olmayan, ama fikri mülkiyet kapsamına alınamayacak alanları kapsamaktadır.

[2] Bulut bilişim, TSE’nin tanımına göre “işlemci gücü ve depolama alanı gibi bilişim kaynaklarının ihtiyaç duyulan anda, ihtiyaç duyulduğu kadar kullanılması esasına dayanan, uygulamalar ile altyapının birbirinden bağımsız olduğu ve veriye izin verilen her yerden kontrollü erişimin mümkün olduğu, gerektiğinde kapasitenin hızlı bir şekilde arttırılıp azaltılabildiği, kaynakların kullanımının kolaylıkla kontrol altında tutulabildiği ve raporlanabildiği bir bilişim türüdür.”

[3] Buradaki örnekler, Perzanowski ve Schultz’dan (2016) alınmıştır.

Kaynaklar

Aksu, M. (2016). İnternet Üzeri̇nden Yayılan Eserlerde Tükenme İlkesi̇? (Di̇ji̇tal Tükenme İlkesi̇?). Ticaret ve Fikri Mülkiyet Hukuku Dergisi, 2(1).

Geray, H. İletişim, İktisat ve Kamusal Düzenleme Üzerine, İletişim Ağlarının Ekonomisi, Der: Başaran F. ve Geray H., Ankara: Ütopya, 2016.

Morris, D. (2014). Sağlık Hizmetlerinde Topyekun Reform Nasıl Kazanılır?, J. Walljasper, Müştereklerimiz: Paylaştığımız Herşey, Metis Yayınları

Perzanowski, A. ve Schultz, J. (2016). The end of ownership: Personal property in the digital economy. MIT Press.

 

 

23 Kasım 2017

Posted In: Açık Standartlar, Apple, Bulut Bilişim, dijital abonelik, dijitalleşme, DRM, Emek, Erişim Hakkı, Fikri Mülkiyet, google, Gözetim, güvenlik, iTunes, lisanslar, mülkiyet, mülksüzleştirme, nesnelerin interneti, Netflix, özel mülkiyetli yazılım, Özgür yazılım, Patent, sahipli yazılım, Spotify, Teknoloji Tarihi, Telif, tükenme ilkesi

KRACK: WPA2 Protokolünü Hedef Alan Bir Saldırı

Kablosuz internet cihazlarımızla (bilgisayar, telefon, vb) evlerde, iş yerlerinde vs bağlandığımız kablosuz ağların çoğunu koruyan WPA2 şifreleme algoritmasını etkisiz hale getiren bir atak geliştirilmiş. KRACK adı verilen bu atak kablosuz ağların parolalarını kırmıyor, yani evlerimizdeki internete kaçak ortağımız olmuyor ancak daha kötüsü cihaz ve erişim noktası arasındaki şifrelemeyi etkisiz hale getirerek siz ve internet arasında giden gelen bilgileri saldırgan kişilerin okuyabilir hale gelmesine yol açıyor. Üstelik bu atak en azından mayıs ayından beri başarıyla çalışıyormuş ancak ilk defa şimdi yaygınca bilinir hale gelmiş.

Biz ne yapabiliriz bu atak karşısında? Ziyaret ettiğimiz web sayfalarına mümkün olduğunca https üzerinden erişmeye çalışalım, ne kadar az şifrelenmemiş web trafiği yaratırsak o kadar iyi. Ayrıca kullandığımız bilgisayarların, telefonların, modemlerin vb her fırsatta yazılım güncellemelerini takip edelim. Örneğin bir çok Linux tabanlı işletim sisteminde WPA2 şifrelemeli ağlara bağlanmamızı sağlayan wpasupplicant yazılımına gerekli yamalar geldi bile. Windows’lar için de gerekli yamalar yayınlanmış. Şu an için yapacak başka da bir şey yok.

Atak hakkında detaylı bilgiye https://www.krackattacks.com/ adresinden, atakla ilgili yayınlanan bilimsel makaleye de https://papers.mathyvanhoef.com/ccs2017.pdf adresinden erişebilirsiniz.

17 Ekim 2017

Posted In: android, Gezegen Yazıları, güvenlik, ios, linux, windows, wpa2

Özgür yazılım penceresinden WannaCry

Birkaç gündür neredeyse bütün haberlerde bir fidye yazılımı olan WannaCry hakkında okuyoruz. Microsoft'un bütün işletim sistemlerini etkileyen bir samba açığından faydalanan bu yazılım kullanıcıların bilgisayarlarındaki dosyaları şifreledikten sonra 300$ ödeme yapmaları halinde bu durumdan kurtulabileceklerini anlatan bir mesaj gösteriyor. İşin teknik kısmı hakkında çokça yazılıp çizildiğinden bu yazıda başka bir konudan; özgür yazılımın yaşananlara nasıl bakması gerektiğinden bahsetmek istiyorum. Sadece Microsoft'un işletim sistemlerini etkileyen bu büyük açığı bir avantajmış gibi kullanmadan önce aşağıdaki konularda düşünmemiz gerekiyor.


Neden özgür yazılım kullanılsın istiyoruz?

Biz özgür yazılımları daha güvenli oldukları, daha hızlı oldukları veya daha özelleştirilebilir oldukları için mi kullanıyoruz? Toplam sahip olma maliyetleri daha düşük diye mi özel mülk yazılımlar yerine özgür yazılımları tercih ediyoruz? Özgür yazılımlar bu saydığım avantajlara hatta daha fazlasına sahip oldukları halde sahipli yazılımlar karşısındaki gerçek üstünlükleri bunlar değil elbette. Özgür yazılımları herkesin istediği amaçlar için çalıştıramadığı, programın nasıl çalışabildiğini anlayamadığı, ihtiyacına uygun şekilde değiştiremediği, elindeki yazılımı dağıtmasının önünde kısıtlamaları olan sahipli yazılımlarla karşılaştırmaya buradan başlamamamız gerekir. Eğer temel argümanımız hız, güvenlik, ucuzluk olursa yarın sahipli bir yazılım bu konularda öne geçtiğinde söyleyecek sözümüz kalmaz. Kendimizi kandırmayalım bazıları hali hazırda bu konuların bazılarında daha ilerideler ama biz yine de özgür yazılımları kullanma taraftarıyız. İnsanların özgürce kullanıp, dağıtamadığı yazılımları özgür yazılımlarla kıyaslamaya başlamadan önce onların minimum insani ihtiyaçları karşılamaları gerekir [1]. İnsanlara, şirketlere, kamuya neden özgür yazılımlar kullanmaları gerektiğini doğru argümanlarla açıklamak çok önemli [2].

Özgür yazılım kullanılsaydı benzer bir durumla karşılaşılamaz mıydı?

Elbette karşılaşılabilirdi. Hatta karşılaşıldı da. GNU/Linux ve *BSD'lerde en çok kullanılan kabuk olan bash'in bu hatayla karşılaştırılabilecek büyüklükte bir hatası olan shellshock ancak 25 yıl sonra farkedilebildi. Bash'in kaynak kodları bu süre boyunca hepimizin gözlerinin önündeydi hem de. Bu yazdıklarımdan elbette kaynak kodların erişilebilir olmasının güvenlikle ilgili olumlu etkisinin olmayacağı anlamı çıkartılmamalıdır [3]. Bugün yaygın olarak kullanılan bir özgür yazılıma eklenen kodlara dünyanın her köşesinden geliştiriciler, geliştirici adayları ve meraklılar bakıyor. Kaynak kodlarını göremediğimiz bir yazılıma bir arka kapı kolaylıkla eklenebilirken aynı şeyi bir özgür yazılıma yapmak (imkansız demeyeyim ama) çok çok zordur. Durum böyle olmasına rağmen özgür yazılımlarda güvenlik sorunu hiç olmaz dememek gerekir, çünkü yaşadığımız örnekler var. Bugün wannacry sadece Windows'ta yaşanıyor siz GNU/Linux kullanın dersek yarın shellshock benzeri bir durumda söyleyecek sözümüz kalmaz. Bizim temel argümanımız özgürlük olmalıdır ve bu GNU/Linux kullanın demek için yeterlidir.

Microsoft'un neredeyse kimsenin kullanmadığı samba-v1'e hala destek veriyor olması görülmedik bir şey midir?

Geriye uyumluluk bütün yazılımların ciddi sorunlardan biri durumunda maalesef. Eski sürümlere destek verildiğinde böyle şeyler olabilirken desteğin kesilmesi de başka sorunlara yol açabiliyor bazen. Windows10'a bile samba-v1.0 desteğini vermesi elbette Microsoft'un kabahati ama bu hiç yapılmayan bir yanlış da değil. Neredeyse her yerde TLS 1.2 kullanılırken SSL'in eski sürümlerine verilen desteğin suistimal edilmesi yüzünden yaşadığımız şeyler üzerinden çok da uzun zaman geçmedi. Microsoft zamanında Windows'lardan bu desteği kaldırabilirdi ve bu onu daha iyi bir işletim sistemi yapmazdı. Bizim windows ve diğer sahipli işletim sistemlerini kullanmayın dememizin arkasında yatan şey onların tasarım ve planlama hataları değil özgür olmamalarıdır.

Microsoft Windows XP kullanıcılarına bir şey borçlu mu?

Microsoft'un Windows XP'yi piyasaya sürüş tarihi 2001. Elimizi vicdanımıza koyup konuşalım hangi işletim sistemine 16 yıl destek veriliyor? Dört yıl önce XP desteği artık sona erdi diye de yazdılar. XP çıktığı tarihte piyasada olan Debian 2.2 veya Redhat 6.2 için destek alamadığından şikayetçi kimse var mı? Aradan geçen bunca yılda kamunun kaynaklarını bir özgür işletim sistemine geçişte kullanmamış ve hala Windows XP kullandıran yöneticiler kusura bakmasınlar ama suçun önemli bir kısmı onları üzerinde. 

WannaCry'dan etkilenenler elbette sadece XP kullanıcıları değil bütün Windows sürümlerinin kullanıcıları oldu ama tahmin edilenin çok üzerinde XP kullanıcısı olduğu da görülmüş oldu. Bir kurumun yöneticisi arka planda ne yaptığını bilmediği, en temel insani ilkelere uygun olmayan bir işletim sistemini kullandırıyorsa suçu Microsoft'a atamaz bence.

GNU/Linux veya BSD'ler Windows'un alternatifi mi?

Özgür yazılımdan, özgür işletim sistemlerinden sanki Windows'un alternatifiymiş gibi bahsetmeyi kabul edilemez buluyorum. Bu konuda daha önce çokça yazdığım için tekrarlamak yerine aşağıya bağlantılarını bırakıyorum. [4], [5], [6]

16 Mayıs 2017

Posted In: Gezegen, gnu, güvenlik, linux, microsoft, Özgür yazılım, wannacry

Kaynak kodun açık olması güvenliği nasıl etkiler?

Özgür yazılımla yeni tanışmış olanların aklına ilk gelen sorulardan biri kaynak kodun açık olmasının bir güvenlik sorunu oluşturup oluşturmayacağı oluyor. Madem programın kaynak kodu ortada saldırganlar bunu saldırı için de kullanabilirler, bu da olumlu bir şey değil diye düşünüyor büyük kalabalıklar. Güvenlikle ilgili neredeyse bütün yazılımların kaynak kodlarının açık olması, kullandığımız bütün şifreleme araçlarının kodlarının ortada olması içinizi rahatlatmıyorsa birlikte bakalım durum gerçekten böyle mi?

Algoritmayı gizleyerek güvenlik sağlanamaz

Kriptografi dersinin başlangıcında anlatılan konu budur: bir algoritmayı gizleyerek onu daha güvenli hale getiremezsiniz. Konuyla ilgisi yok ama gizlenmesi gereken şey algoritma değil anahtar olmalıdır. Eğer güvenlik için tek dayanağınız algoritmanın gizliliği olursa o sızdırıldığında (saklanmak isteyen her şey bir gün sızdırılacaktır) algoritmanın yenilenmesi gerekecektir. Bunun ne kadar büyük maliyetli bir iş olacağı düşünülünce açıklıktan başka alternatif olmadığı da görülecektir.

Hatasız yazılım olmaz!

Yazdığınız programın kaynak kodunu ister açın isterseniz kapalı tutun mutlaka hatalar/açıklar içerecektir. Yazılımı tek başınıza sizin yazmış olmanız veya bir grupla geliştirmiş olmanız bu gerçeği değiştirmeyecektir. Ne kadar kalabalık bir geliştirici topluluğunuz olursa hatalar da o kadar azalacaktır. Benzer şekilde test için projeye ayırabileceğiniz kaynak da hataların azaltılmasına olumlu katkıda bulunacaktır. Projenizin kaynak kodlarını geliştirici ekipten başka kimsenin görmesine izin vermezseniz bütün bu yük sizin üzerinizde olacaktır. Halbuki projenizi bir özgür yazılım veya açık kaynak lisansıyla lisanslarsanız kaynak kodlarınıza başkaları da bakıp hataları size bildirebilecek veya daha da iyisini yapıp iyileştirmeleri size gönderebilecektir. Eğer benim projeme kim bakacak diyorsanız kendi endişenizi kendiniz ortadan kaldırmışsınız demektir ama projenizi dışarıdan katkı almaya uygun bir şekilde lisanslarsanız projeye ayıracağınız bütçe ile bedelini ödeyemeyeceğiniz geliştiricilere ve testçilere kavuşabilirsiniz.

Özgür yazılımlara daha çok göz bakar

Yazılımın geliştiricisi değil de kullanıcısı iseniz daha çok kişi tarafından ortaklaşa geliştiriliyor olması ve daha fazla test edilmiş olması sizin için daha az hata barındıran bir yazılım anlamına gelecektir. Neden bir şirketin çalıştırabileceği sınırlı sayıda yazılım geliştiriciye güvenebilirken dünyanın dört bir tarafına dağılmış çok daha büyük kalabalıklara güvenmeyeceksiniz? Hangi şirket bir tarayıcı yaklaşık 5000 kişinin kod göndermesine, yani yazılımın kodlarını okumasına kaynak ayırabilir? Bunu ancak özgür yazılımın gücü sağlayabilir.

Yazılımların hataları çoğunlukla kod okuyarak bulunmaz

Bir projenin kaynak kodlarını okuyup hatasını bulmak tahmin edilenden çok daha zor bir iştir. Elbette yazılımların hataları, açıkları kodları da okunarak tespit edilebilir ama yukarıdaki örneğe bakarsanız yaklaşık 16 milyon satırlık bir projede bunun pek kolay bir iş olmayacağını tahmin edebilirsiniz. Peki yazılımların açıkları nasıl bulunuyor? Belirli koşullar altındaki davranışlarına bakılarak elbette. Neredeyse bütün GNU/Linux dağıtımlarının varsayılan olarak kullandığı kabuk olan bash'in 1989'dan bu yana içerdiği bir hata ancak 2014'de görülebildi. Eğer kodu okuyup açığı tespit etmek sanıldığı kadar kolay olsaydı bu 25 yıldan kısa sürerdi herhalde.

Özgür yazılımların açıkları çok hızlı kapatılabilir

Özgür yazılımlar kullanıcılarına yazılım üzerinde değişiklik yapma ve bu değişikliği dağıtma hakkı verdiklerinden bir yazılım için geçerli bir hata veya açık bulunduğunda onu mutlaka geliştiricinin düzeltmesi gerekmez. Yazılımın geliştiricisini veya ait olduğu firmayı beklemek zorunda kalmazsınız özgür yazılım kullanırken.

Yazılımın kaynak kodlarının açık olması elbette yukarıda saydığım avantajlar için yeterli değildir. Eğer kullanıcılar yazılımı istedikleri gibi çalıştıramıyorsa, değiştiremiyorsa, dağıtamıyorsa veya değiştirdiği halini dağıtamıyorsa yazılım bu getirilerden mahrum kalacaktır. Yani sadece kaynak kodun açık olmasından sihirli bir iyileştirme beklememek gerekir. Bu avantajları bize sağlayan şey özgür yazılımdır.

29 Nisan 2017

Posted In: Gezegen, güvenlik, Özgür yazılım

Üniversiteler eposta bayrağını nasıl kaybetti?

Üniversitelerin bilgi işlem daire başkanlıkları çoğunlukla kısıtlı personelle ama çok büyük özveriyle çalışan birimleridir. İşler yolunda giderken, yani internet bağlantısında bir problem olmadığında, ne yaptıkları pek anlaşılmaz ama en küçük kesintide hatırlanırlar. Üniversitelerin verdiği servisler çoğunlukla bu özverili personelin öğrenme isteğinden ve merakından kaynaklanır. Amirlerinin çoğunlukla adını bile duymadıkları servisleri kendi kurumlarında etkinleştirmek için hiç karşılığını almadıkları fazla mesailer harcarlar. ULAKBİM'in bilgi işlem personellerini bir araya getirdiği etkinliklerde heyecanla servisleri nasıl ayağa kaldırdığını anlatan çok sunum dinlemiş biri olarak yazıyorum bunları.

On yıl kadar önce neredeyse bütün üniversiteler diğer bütün servisleri gibi kendi eposta servislerini de kendi sunucularında tutarlardı. Zaten çok kısıtlı kaynaklarla çalışan bilgi işlem daire başkanlıkları çoğunlukla GNU/Linux kullanarak verirdi bu hizmeti. Kendi yetişmiş personeli olmasa bile civardaki üniversitelerdeki meslektaşlarından destek alarak bir kere kurulunca kuruma yetecek bir düzen kurulmuş olurdu.

Yukarıdaki cümleler hep geçmiş zamanlı çünkü bugün tablo çok büyük ölçüde değişmiş durumda. Aşağıda ayrıntılarını okuyacağınız gibi üniversiteler bu servisi büyük oranda artık kendileri vermiyorlar. Bir servisi vermek demek onun ayakta durması ve geliştirilmesi sırasında öğrenilecek şeylerle personelin kendisini geliştirmesi de demek olduğundan bilgi işlem daire başkanlıkları bu görevi başkalarına teslim ederken kendilerini de çok şeyden mahrum bırakıyorlar. Durum gerçekten bahsettiğim kadar vahim mi birlikte bakalım.


Bugün itibariyle Yüksek Öğretim Kurulu Başkanlığının bilgilerine göre 183 üniversitemiz var.
  • Bunların 7 tanesinin ya alan adı bile belli değil ya da henüz eposta servisi vermiyor. 
  • 51 üniversite personelinin elektronik postalarını Google'a devretmiş durumda. DNS sunucularına girilen bir kayıtla bütün eposta yönetimi işini Google'a teslim ederek bir odadan diğerine gönderilen epostanın kendi kampüslerindeki sunucuya değil California'ya gidip geri dönmesine neden olmuş durumdalar. Mesafeyi gözünüzde daha iyi canlandırabilmeniz için Mardin'den gönderilen bir epostanın gidip geldiği yolun bir ekran görüntüsü koyuyorum. Bu bağlantı için ödenen bedeli hepimizin vergileriyle yaptığımızı hatırlatmama eminim gerek yoktur.

  • 38 üniversite Microsoft'un çevrimiçi Outlook servisini kullanıyor. Bunu yapan üniversiteler de yine epostaları üzerindeki bütün kontrolü kaybetmiş durumdalar. Aşağıdaki ekran görüntüsü de Şırnak'tan gönderilen epostaların iletim merkezini gösteriyor.

  • 1 üniversite epostalarını Yandex'e, 1'i de Superonline'a teslim etmiş durumda.
  • Epostalarını bulut servislerine vermemiş üniversitelerden 29 tanesi Microsoft işletim sistemleri kullanarak bu servisi kendisi işletiyor.
  • 1 üniversite IBM AIX kullanırken, 2 üniversite de Oracle ile eposta servisini ayakta tutuyor.
  • 4 üniversite eposta servisini FreeBSD/OpenBSD kullanarak kendi sunucularında barındırıyor.
  • Sadece 49 üniversite bu servisi bir GNU/Linux dağıtımı kullanarak sürdürüyor. Bunların 18'inin sayfasından zimbra kullandıkları açıkça görülebiliyor.
Üniversitelerin özgür yazılımlar kullanarak kolayca yönetebilecekleri bu servisi yurtdışındaki bulut servislerine (başkasının bilgisayarına) teslim etmelerinin nedenlerini ve bunun yol açtığı şeyleri de bir sonraki yazıya bırakmadan önce bu bilgilere nasıl ulaştığımı yazayım kısaca: YÖK'ün sayfasından üniversitelerin alan adlarını öğrendikten sonra bir çok alternatifin arasından mxtoolbox'tan eposta sunucusu kaydını sorgulamak için 'MX Lookup' seçeneği kullanılabilir. Bununla google ve MS outlook kullananlar hemen görülebilirken kalanlar için üniversite sayfalarına girip 'eposta' bağlantılarını takip etmek yeterli olacaktır.

4 Nisan 2017

Posted In: eposta, Gezegen, google, güvenlik, microsoft, Özgür yazılım, Üniversite, yandex, zimbra

Son kullanıcı için özgür yazılım neden önemli? -2-

Meraklısı için bu serinin ilk yazısı burada.

Neredeyse herkesin evinde üzerinde kamera ve mikrofon bulunan, internete bağlanabilen televizyonların olduğu bir dönemdeyiz. Mikrofonlar sayesinde televizyonları kumanda kullanmadan yönetmek mümkün olabilirken, kameralarla görüntülü görüşmeler dev ekranlardan gerçekleştirilebiliyor. Hayatı kolaylaştıran gelişmeler gibi görünen bu "olanaklar" bazılarımıza birer 1984 sahnesi gibi görünse de yaşantımızın birer parçası oldular bile.

Üzerinde internete bağlanabilen ve uygulamalar kurulabilen bir işletim sistemi bulunan, kamera ve mikrofonu kontrol edebilen televizyonların aslında birer bilgisayar olduğu gerçeği son kullanıcının genellikle gözünden kaçıyor. Bu televizyonların işletim sistemleri ve üzerinde koşan yazılımlar da çoğunlukla sahipli, kapalı kaynak kodlu yazılımlar oluyor. Bir kaç örnekle bu yazılımların özgür yazılım olup olmamasının son kullanıcıyı nasıl etkilediğine bakalım.



Yaklaşık iki yıl önce Samsung televizyonların kullanıcıların seslerini kaydetmesiyle ilgili yazılar okumuştuk. Samsung bunun bir güvenlik sızıntısı değil bir özellik olduğunu ve kapatılabildiğini söylese de ses kaydetmeyi kontrol eden yazılım da kapalı kaynak kodlu bir yazılım olduğundan kaydetme işlemini gerçekten kapatıp kapatmadığının tek garantisi Samsung firması elbette. Bu televizyonlardaki yazılımlar özgür yazılım olsaydı kullanıcılar sadece Samsung'a güvenmek yerine onun kodlarına bakabilecek binlerce yazılım geliştiriciye güvenebileceklerdi.

Daha bugün çıkan bir haberde de internete bağlanabilen oyuncak ayıların sahiplerinin diğer bilgilerinin yanı sıra kaydettikleri seslerin de ele geçirildiği yazıyordu.

Kullandığımız diğer cihazlar da üzerinde sesli komutlara cevap veren bir çok ajan çalıştırıyor. Amazon tabletlerde Alexa, Apple üründe bulunan Siri bunların en yaygın örnekleri. Her iki uygulamanın da sesleri dinleyip ona cevap verme özellikleri kapatılabiliyor. Elbette gerçekten kapattıklarına inanırsanız. Bu ürünler de kapalı kaynak kodlu olduklarından kapandı denilen özelliklerin gerçekten kapandığına inanmak için tek dayanağınız karşınıza çıkan kapandı mesajı. Apple da, Amazon da garantisi benim diyor. Televizyonun satın alındığı yer böyle dese; yani bozulursa bana getir, marka garantisi yok ama garantisi benim dese onu almayacak insanlar dünyanın bir ucundaki şirketlere güvenip bu cihazları kullanıyorlar.

Bahsettiğim cihazlar üzerinde koşan yazılımlar özgür yazılım olsaydı elbette onları satın alanların çok büyük çoğunluğu o yazılımların kaynak kodunu açıp bakamayacaktı ama zaten ihtiyacımız olan da bu değil. Yazılım özgür olduğunda (hatta açık kaynak kodlu olduğunda bile) üretici haricindeki insanların kontrolüne açık olacağından güvenebileceğimiz çok geniş bir kitle olacaktır. Böyle olduğunda ise ne evinizdeki televizyon sizden habersiz sesinizi kaydedebilir ne de tabletiniz artık seni dinlemiyorum dediğinde açık kalmaya devam edebilir.

Elbette yine de güvenlik açıkları olacaktır ama bunları farketme ve düzeltme konusundaki tek umudumuz bir ticari firma olmaktan çıkacaktır. Ayrıca yukarıda bahsedilenlerin güvenlik açığı değil kasıtlı yapılan şeyler olduğunu aklımızdan çıkartmayalım.

Özgür yazılım konuya sadece mahremiyeti açısından yaklaşan son kullanıcılar için bile bu derece önemli.

28 Şubat 2017

Posted In: amazon, Apple, Gezegen, güvenlik, Özgür yazılım

SHA1’in kırılması ne anlama geliyor?

İnternette güvenlik, gizlilik, bütünlük gibi konular çoğunlukla bizim üzerinde pek düşünmediğimiz ve kullandığımız yazılımlar tarafından halledilen konular arasında yer alıyor. Örneğin internette bankacılık işlemi yaparken bağlandığımız sunucu gerçekten bağlanmak istediğimiz sunucu mu, gönderip aldığımız verileri araya giren birileri ele geçirip ondan bir anlam çıkartabiliyor mu diye düşünmüyoruz. Bu işlemleri tarayıcımız bizim yerimize yapıyor. O da verilerin şifrelenmesi ve sunucuların doğrulanması gibi işlemleri kriptografik protokolleri kullanarak gerçekleştiriyor. Benzer şekilde kullandığınız programlar güncellemeleri indirdikten sonra onların bozulmadan indiğini kontrol etmek için benzer kriptografik araçları arka planda çalıştırıyorlar.

Kriptografinin diğer kullanım alanlarının yanı sıra veri bütünlüğünün kontrol edilmesi de hepimiz için büyük önem taşıyor. Bu işlem için dosya içeriklerini kontrol etmek yerine onların tek yönlü fonksiyonlar kullanılarak özetleri çıkartılıyor ve bu özetler karşılaştırılarak dosyalar bozulmaya uğramış mı veya araya giren biri tarafından değiştirilmiş mi anlaşılabiliyor. Tek yönlü fonksiyonlar derken de her x için f(x)'in benzersiz bir şekilde ve kolayca hesaplanabildiği ama f(x) değeri verildiğinde ona karşılık gelen x değerinin hesaplanamadığı (ya da hesaplanması çok uzun süren) fonksiyonları kastediyoruz. Elbette her dosya için benzersiz bir özet üretme işinin de sınırları var. Ne kadar uzun özet üretilirse özetlerin benzersiz olması o kadar mümkün hale geliyor ama bu da (diğer konuları işin içine katmadan söylemek gerekirse) özet alma ve onu doğrulama işleminin süresini uzatıyor.

Farklı uzunluklarda özetler üreten md5, sha1, sha256 ve sha512 gibi algoritmalar mevcut. Bunların bir dosya için ürettikleri özetlere şöyle örnekler vermek mümkün. Bu adresteki pdf dosyasını indirip siz de aynı sonuçları üretebilirsiniz.

MD5SUM: ee4aa52b139d925f8d8884402b0a750c
SHA1SUM: 38762cf7f55934b34d179ae6a4c80cadccbb7f0a
SHA256SUM: 2bb787a73e37352f92383abe7e2902936d1059ad9f1ba6daaa9c1e58ee6970d0
SHA512SUM: 3c19b2cbcf72f7f5b252ea31677b8f2323d6119e49bcc0fb55931d00132385f1e749bb24cbd68c04ac826ae8421802825d3587fe185abf709669bb9693f6b416

Özetlerin boyutlarındaki farklılık dikkatinizi çekmiş olmalı. Bu özetlerle yapılmaya çalışılan şeyin farklı dosyalar için farklı (benzersiz) özetler üretmek olduğunu yukarıda söylemiştim. MD5 bu yazıda bahsi geçen algoritmalar arasında en kısa özeti üreten algoritma olduğundan farklı iki dosyanın özetlerinin çakışması olasılığı en yüksek olan algoritma da aynı zamanda. İlk akla gelen şey madem en uzun özet sha512 ile üretilebiliyor her yerde o kullanılsın şeklinde olsa da bir dosyanın md5 özetini almakla sha512 özetini almak arasında süre olarak gerçekten çok büyük farklar var. Küçük dosyalarda özet çıkartma süresi farkedilemeyecek kadar yakın olsa da dosya boyutu büyüdükçe (hatta disk kalıplarının özetlerinin alındığı düşünüldüğünde) aradaki fark çok büyük oluyor.

SHA1 için 2005 yılından bu yana saldırılar yapılabildiği bilinse de http://shattered.it/ adresinde anlatılan tipte güçlü bir saldırı imkanı olmadığı düşünülerek hala çok yaygın olarak kullanılıyordu. Sayfaya girdiğinizde görebileceğiniz gibi sha1 özetleri aynı olacak şekilde birbirinden farklı iki pdf dosyası üretilmiş ve bunun başka dosyalar için de nasıl gerçeklenebileceği konusunda ayrıntılı bilgiler verilmiş durumda. Burada ilgi çekebilecek noktalardan biri de aynı sha1 özetine sahip iki dosyanın md5 özetlerinin hala farklı olması. Hem md5, hem de sha1 özeti aynı olacak şekilde farklı dosyalar üretmek elbette bambaşka bir konu.

SHA1 dosya bütünlüğünün kontrolü yanı sıra yazılım depolarının ve güncellemelerinin kontrolünden tutun da kredi kartı bilgilerinin transferine kadar pek çok konuda çok yaygın olarak kullanıldığından yazılım geliştiricileri ve sistem yöneticilerini ilgilendiren çok önemli gelişme bu. Yukarıda da gördüğümüz gibi sha1'i kullanmayacak olsak da alternatifsiz değiliz; kullanabileceğimiz başka algoritmalar var. Olmasaydı bile yenilerini yazmak imkanı her zaman mevcut.

Son kullanıcıların ise kullandıkları yazılımları güncel tutmaktan başka yapabilecekleri bir şey yok.

Düzenleme: Yazıda yaptığım ifade hatalarını düzeltmeme yardımcı olan Kadir Altan'a teşekkür ederim.

24 Şubat 2017

Posted In: Gezegen, güvenlik, sha1

Metasploit Framework Giriş

Metasploit Framework, güvenlik açıklarının bulunmasını ve bulunan açıkların kullanılmasını sağlayan bir araçtır. Ruby ile sıfırdan tekrar yazılmıştır.(öncesinde Perl ile yazılmış) Kullanılan terimlerin anlamlarını öğrenip birşeyler denemeye başlayınca ne olduğu insanın aklında daha çok şekilleniyor :) 

Terminoloji:

Exploit: Bir sistemin ya da programın zayıflığından faydalanarak sisteme girişi sağlayabilen ya da zarar veren yöntemlerin tamamıdır.

Local Exploit: Oturum açılmış halde olan sistemde bulunan servis veya yazılımların zayıflıklarını sömüren exploit türüdür.

Remote Exploit: Ağ üzerinden uzaktaki sistemin zayıflıklarını sömüren exploit türüdür.

Payload: Hedef sistemde istenilen eylemi gerçekleştiren bileşendir. Exploitten sonra çalışır.

Auxiliary: Modüller için geliştirilen ek programlar, yardımcı araçlardır. Exploit öncesi sistem hakkında bilgi toplama amaçlı kullanılırlar.

MsfConsole, içinde pek çok hazır exploit bulunduran aynı zamanda bu exploitleri yerel ve uzak erişim için yapılandırabilen bir yazılımdır.

Ubuntu'ya Msfconsole kurulumu için buraya bakabilirsiniz.

MsfConsole:


help: Kullanabileceğimiz komutları ve ne işe yaradıklarını görebiliriz.

Komut          Açıklama
banner        MsfConsole açılış ekranını gösterir.
info             Bir veya daha fazla modül hakkında bilgi verir.
irb               İrb scripting modunu getirir.
jobs            Yapılan işleri gösterir ve düzenler.
load            Eklenti yüklenmesi için kullanılır.
loadpath     Belirtilen yoldan istenilen modülü/exploiti yükler.
route           Oturum trafiğinin yönlendirilmesini sağlar.
save            Etkin veriyi kaydeder.
search         Modül ismi veya açıklamalarda arama yapar.
sessions      Aktif oturumları gösterir ve oturum bilgisi verir.
set               Payload seçiminde bir verinin atamasını yapar.
show           Belirtilen modülü veya tüm modlleri listeler.
sleep           Belirtilen zaman zarfında hiçbir işlem yapılmaması gerektiğini belirtir.
use              Modül seçer.
version        Konsol uygulamasının versiyonunu gösterir.

show exploits: MsfConsole platformundaki exploitleri listeler.
use <exploit>: Exploit seçmek için kullanılır.
show targets: Seçilen exploitin hangi sistemleri etkilediğini görmek içn kullanılır.











set targets <hedefno>: Hedefi seçmek için kullanılır. 
show payloads: Msf’de bulunan payloadları listelemek için kullanılır.


info <payload_adi>: İstenilen payload hakkında detaylı bilgi döndürür.
set PAYLOAD <payload_adi>: Payload seçmek için kullanılır.
show options: Yapılacak saldırı için seçeneklerin görülmesinde kullanılır. "Required" sütununda yes ile belirtilmiş olan seçeneklerin ayarlanması gerekir.


set <RHOST, RPORT, LHOST, LPORT>: Required kısmındaki bilgileri girmek için kullanılır.
exploit:  Gerekli tüm yapılandırma bittikten sonra saldırı başlatmak için kullanılır.

Güvenlik yeni yeni ilgimi çeken bir konu. Öğrendikçe daha fazla yazmaya çalışacağım. Kolay gelsin :)

9 Mayıs 2015

Posted In: giriş, güvenlik, linux, metasploit, msfconsole

NFS sunucu portları nasıl sabitlenir?

NFS diğer teknolojilere göre ek yükü az, verimli ve hızlı bir dosya paylaşım protokolü. Fakat bilinen güvenlik açıklarından dolayı güvenlik duvarı arkasında çalıştırılması gerekiyor. Ek tanım yapılmadığında sabit 2, değişken 7 port kullanıyor. Firewall kuralı yazılabilmesi için bu portları sabitleyip iptables kuralını yazalım;

/etc/sysconfig/nfs dosyasına eklenmesi gereken satırlar;

RQUOTAD_PORT=875
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
STATD_PORT=662
STATD_OUTGOING_PORT=2020
RDMA_PORT=20049

iptables kuralı;

iptables -A INPUT -m multiport --dports 662,111,2049,32769,875,892,2020,20049,32769 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -m multiport --sports 662,111,2049,32769,875,892,2020,20049,32769 -m state --state ESTABLISHED -j ACCEPT

24 Mart 2015

Posted In: güvenlik, iptables, linux, lkd, nasıl, nfs, nfs server, nfs sunucu, port, port fix, port sabitleme, sevurity, teknik, tr

NFS sunucu portları nasıl sabitlenir?

NFS diğer teknolojilere göre ek yükü az, verimli ve hızlı bir dosya paylaşım protokolü. Fakat bilinen güvenlik açıklarından dolayı güvenlik duvarı arkasında çalıştırılması gerekiyor. Ek tanım yapılmadığında sabit 2, değişken 7 port kullanıyor. Firewall kuralı yazılabilmesi için bu portları sabitleyip iptables kuralını yazalım;

/etc/sysconfig/nfs dosyasına eklenmesi gereken satırlar;

RQUOTAD_PORT=875
LOCKD_TCPPORT=32803
LOCKD_UDPPORT=32769
MOUNTD_PORT=892
STATD_PORT=662
STATD_OUTGOING_PORT=2020
RDMA_PORT=20049

iptables kuralı;

iptables -A INPUT -m multiport --dports 662,111,2049,32769,875,892,2020,20049,32769 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -m multiport --sports 662,111,2049,32769,875,892,2020,20049,32769 -m state --state ESTABLISHED -j ACCEPT

23 Mart 2015

Posted In: güvenlik, iptables, linux, lkd, nasıl, nfs, nfs server, nfs sunucu, port, port fix, port sabitleme, sevurity, teknik, tr

Twitter Auto Publish Powered By : XYZScripts.com