28 Şubat 2017 Salı

Son kullanıcı için özgür yazılım neden önemli? -2-

Meraklısı için bu serinin ilk yazısı burada.

Neredeyse herkesin evinde üzerinde kamera ve mikrofon bulunan, internete bağlanabilen televizyonların olduğu bir dönemdeyiz. Mikrofonlar sayesinde televizyonları kumanda kullanmadan yönetmek mümkün olabilirken, kameralarla görüntülü görüşmeler dev ekranlardan gerçekleştirilebiliyor. Hayatı kolaylaştıran gelişmeler gibi görünen bu "olanaklar" bazılarımıza birer 1984 sahnesi gibi görünse de yaşantımızın birer parçası oldular bile.

Üzerinde internete bağlanabilen ve uygulamalar kurulabilen bir işletim sistemi bulunan, kamera ve mikrofonu kontrol edebilen televizyonların aslında birer bilgisayar olduğu gerçeği son kullanıcının genellikle gözünden kaçıyor. Bu televizyonların işletim sistemleri ve üzerinde koşan yazılımlar da çoğunlukla sahipli, kapalı kaynak kodlu yazılımlar oluyor. Bir kaç örnekle bu yazılımların özgür yazılım olup olmamasının son kullanıcıyı nasıl etkilediğine bakalım.



Yaklaşık iki yıl önce Samsung televizyonların kullanıcıların seslerini kaydetmesiyle ilgili yazılar okumuştuk. Samsung bunun bir güvenlik sızıntısı değil bir özellik olduğunu ve kapatılabildiğini söylese de ses kaydetmeyi kontrol eden yazılım da kapalı kaynak kodlu bir yazılım olduğundan kaydetme işlemini gerçekten kapatıp kapatmadığının tek garantisi Samsung firması elbette. Bu televizyonlardaki yazılımlar özgür yazılım olsaydı kullanıcılar sadece Samsung'a güvenmek yerine onun kodlarına bakabilecek binlerce yazılım geliştiriciye güvenebileceklerdi.

Daha bugün çıkan bir haberde de internete bağlanabilen oyuncak ayıların sahiplerinin diğer bilgilerinin yanı sıra kaydettikleri seslerin de ele geçirildiği yazıyordu.

Kullandığımız diğer cihazlar da üzerinde sesli komutlara cevap veren bir çok ajan çalıştırıyor. Amazon tabletlerde Alexa, Apple üründe bulunan Siri bunların en yaygın örnekleri. Her iki uygulamanın da sesleri dinleyip ona cevap verme özellikleri kapatılabiliyor. Elbette gerçekten kapattıklarına inanırsanız. Bu ürünler de kapalı kaynak kodlu olduklarından kapandı denilen özelliklerin gerçekten kapandığına inanmak için tek dayanağınız karşınıza çıkan kapandı mesajı. Apple da, Amazon da garantisi benim diyor. Televizyonun satın alındığı yer böyle dese; yani bozulursa bana getir, marka garantisi yok ama garantisi benim dese onu almayacak insanlar dünyanın bir ucundaki şirketlere güvenip bu cihazları kullanıyorlar.

Bahsettiğim cihazlar üzerinde koşan yazılımlar özgür yazılım olsaydı elbette onları satın alanların çok büyük çoğunluğu o yazılımların kaynak kodunu açıp bakamayacaktı ama zaten ihtiyacımız olan da bu değil. Yazılım özgür olduğunda (hatta açık kaynak kodlu olduğunda bile) üretici haricindeki insanların kontrolüne açık olacağından güvenebileceğimiz çok geniş bir kitle olacaktır. Böyle olduğunda ise ne evinizdeki televizyon sizden habersiz sesinizi kaydedebilir ne de tabletiniz artık seni dinlemiyorum dediğinde açık kalmaya devam edebilir.

Elbette yine de güvenlik açıkları olacaktır ama bunları farketme ve düzeltme konusundaki tek umudumuz bir ticari firma olmaktan çıkacaktır. Ayrıca yukarıda bahsedilenlerin güvenlik açığı değil kasıtlı yapılan şeyler olduğunu aklımızdan çıkartmayalım.

Özgür yazılım konuya sadece mahremiyeti açısından yaklaşan son kullanıcılar için bile bu derece önemli.

24 Şubat 2017 Cuma

SHA1'in kırılması ne anlama geliyor?

İnternette güvenlik, gizlilik, bütünlük gibi konular çoğunlukla bizim üzerinde pek düşünmediğimiz ve kullandığımız yazılımlar tarafından halledilen konular arasında yer alıyor. Örneğin internette bankacılık işlemi yaparken bağlandığımız sunucu gerçekten bağlanmak istediğimiz sunucu mu, gönderip aldığımız verileri araya giren birileri ele geçirip ondan bir anlam çıkartabiliyor mu diye düşünmüyoruz. Bu işlemleri tarayıcımız bizim yerimize yapıyor. O da verilerin şifrelenmesi ve sunucuların doğrulanması gibi işlemleri kriptografik protokolleri kullanarak gerçekleştiriyor. Benzer şekilde kullandığınız programlar güncellemeleri indirdikten sonra onların bozulmadan indiğini kontrol etmek için benzer kriptografik araçları arka planda çalıştırıyorlar.

Kriptografinin diğer kullanım alanlarının yanı sıra veri bütünlüğünün kontrol edilmesi de hepimiz için büyük önem taşıyor. Bu işlem için dosya içeriklerini kontrol etmek yerine onların tek yönlü fonksiyonlar kullanılarak özetleri çıkartılıyor ve bu özetler karşılaştırılarak dosyalar bozulmaya uğramış mı veya araya giren biri tarafından değiştirilmiş mi anlaşılabiliyor. Tek yönlü fonksiyonlar derken de her x için f(x)'in benzersiz bir şekilde ve kolayca hesaplanabildiği ama f(x) değeri verildiğinde ona karşılık gelen x değerinin hesaplanamadığı (ya da hesaplanması çok uzun süren) fonksiyonları kastediyoruz. Elbette her dosya için benzersiz bir özet üretme işinin de sınırları var. Ne kadar uzun özet üretilirse özetlerin benzersiz olması o kadar mümkün hale geliyor ama bu da (diğer konuları işin içine katmadan söylemek gerekirse) özet alma ve onu doğrulama işleminin süresini uzatıyor.

Farklı uzunluklarda özetler üreten md5, sha1, sha256 ve sha512 gibi algoritmalar mevcut. Bunların bir dosya için ürettikleri özetlere şöyle örnekler vermek mümkün. Bu adresteki pdf dosyasını indirip siz de aynı sonuçları üretebilirsiniz.

MD5SUM: ee4aa52b139d925f8d8884402b0a750c
SHA1SUM: 38762cf7f55934b34d179ae6a4c80cadccbb7f0a
SHA256SUM: 2bb787a73e37352f92383abe7e2902936d1059ad9f1ba6daaa9c1e58ee6970d0
SHA512SUM: 3c19b2cbcf72f7f5b252ea31677b8f2323d6119e49bcc0fb55931d00132385f1e749bb24cbd68c04ac826ae8421802825d3587fe185abf709669bb9693f6b416

Özetlerin boyutlarındaki farklılık dikkatinizi çekmiş olmalı. Bu özetlerle yapılmaya çalışılan şeyin farklı dosyalar için farklı (benzersiz) özetler üretmek olduğunu yukarıda söylemiştim. MD5 bu yazıda bahsi geçen algoritmalar arasında en kısa özeti üreten algoritma olduğundan farklı iki dosyanın özetlerinin çakışması olasılığı en yüksek olan algoritma da aynı zamanda. İlk akla gelen şey madem en uzun özet sha512 ile üretilebiliyor her yerde o kullanılsın şeklinde olsa da bir dosyanın md5 özetini almakla sha512 özetini almak arasında süre olarak gerçekten çok büyük farklar var. Küçük dosyalarda özet çıkartma süresi farkedilemeyecek kadar yakın olsa da dosya boyutu büyüdükçe (hatta disk kalıplarının özetlerinin alındığı düşünüldüğünde) aradaki fark çok büyük oluyor.

SHA1 için 2005 yılından bu yana saldırılar yapılabildiği bilinse de http://shattered.it/ adresinde anlatılan tipte güçlü bir saldırı imkanı olmadığı düşünülerek hala çok yaygın olarak kullanılıyordu. Sayfaya girdiğinizde görebileceğiniz gibi sha1 özetleri aynı olacak şekilde birbirinden farklı iki pdf dosyası üretilmiş ve bunun başka dosyalar için de nasıl gerçeklenebileceği konusunda ayrıntılı bilgiler verilmiş durumda. Burada ilgi çekebilecek noktalardan biri de aynı sha1 özetine sahip iki dosyanın md5 özetlerinin hala farklı olması. Hem md5, hem de sha1 özeti aynı olacak şekilde farklı dosyalar üretmek elbette bambaşka bir konu.

SHA1 dosya bütünlüğünün kontrolü yanı sıra yazılım depolarının ve güncellemelerinin kontrolünden tutun da kredi kartı bilgilerinin transferine kadar pek çok konuda çok yaygın olarak kullanıldığından yazılım geliştiricileri ve sistem yöneticilerini ilgilendiren çok önemli gelişme bu. Yukarıda da gördüğümüz gibi sha1'i kullanmayacak olsak da alternatifsiz değiliz; kullanabileceğimiz başka algoritmalar var. Olmasaydı bile yenilerini yazmak imkanı her zaman mevcut.

Son kullanıcıların ise kullandıkları yazılımları güncel tutmaktan başka yapabilecekleri bir şey yok.

Düzenleme: Yazıda yaptığım ifade hatalarını düzeltmeme yardımcı olan Kadir Altan'a teşekkür ederim.

16 Şubat 2017 Perşembe

Son kullanıcı için özgür yazılım neden önemli? -1-

Bu konuda çok zamandır yazmak istiyorum ama çok uzun bir yazı yerine her yazıda ayrı örneklerin olduğu bir kaç yazı yazmaya karar verdim. İlk örnek çok severek kullandığım pebble.

Pebble arkasında bilindik bir marka olmadan milyonun üzerinde saat satabilmiş bir girişimdi. Kitle fonlaması tarihinin en başarılı, sevilen ve rekabetçi ürünlerinden birini ortaya çıkaran firma geçtiğimiz aylarda fitbit'e satıldı. Fitbit sadece fikri mülkiyet haklarını satın aldı ve artık pebble üretmeyecek. Pebble'ın da elinde sadece donanım kaldı ve üzerindeki yazılımlar olmadan saat satamayacağı için bu harika ürün artık satılmayacak. İşin kötüsü çok yakın gelecekte elimizdeki saatleri de aldığımız amaca uygun kullanamıyor olacağız.

Pebble etkileşimli saatlerin en başarılısıydı bence. Hem IOS, hem android cihazlarla çalışması, zamanla çok genişlemiş ve giderek büyüyen marketi ve bir haftayı geçen şarj süresi onu alternatiflerinin önüne geçiriyordu. Apple ürünlerinden ucuzdu ama onlardan ucuz olmamak oldukça zor bir konu zaten. Geliştiricilere hem yerellerinde hem de bulutta çalışma ortamları sağlaması ve insanları pebble üzerinde uygulama geliştirmeye teşvik etmesi etrafında kalabalık bir kitle oluşmasını sağlamıştı. Hatta Gülşah LibreOffice'in giyilebilir teknolojilerle ilk etkileşimimiz diyerek duyurduğu pebble-remote'u geliştirmiş ve bu LibreOffice geliştiricisi ve TDF üyesi olmasının ilk adımı olmuştu.

Buraya kadar her şey çok güzelken pebble'ın eksik tarafı donanım sürücülerinin ve üzerinde çalışan rom'un özgür olmayışıydı. Pebble büyük bir ivmeyle büyürken çok az kişinin aklında ileride bu firma ortadan kalkarsa saatleri nasıl kullanacağız sorusu vardı. Pebble da yakın vadede kaybolacak gibi görünmüyordu, ard arda kickstarter projeleri rekorlar kırıyor, hep yenilikler peşinde koşuyordu. Bugün geldiğimiz noktada ise kollarımızdaki bu çok da ucuz olmayan ama çok sevdiğimiz saatlerin ömürleri tükenmek üzere. Bunu kısaca açıklayayım: pebble cep telefonuyla bluetooth ile haberleşip bildirimleri almanıza ve telefondaki bazı şeyleri yönetmenize imkan veren bir saat. Cep telefonuna kurulan uygulama da ilk olarak pebble sunucularına bağlanıp kullanıcı hesabını etkinleştiriyor. Önümüzdeki dönemde fitbit bu sunucuları çalıştırmayı durdurduğunda kolumuzdaki saat elimizdeki telefona bağlanamıyor olacak. Bu zaman gelmeden yeni bir android/IOS sürümü çıkarsa telefon uygulaması bu işletim sistemlerine kurulamayacak. Ya telefonlarımızdan, ya da saatlerimizden vazgeçmek zorunda kalacağız.

Eğer pebble üzerinde koşan yazılımlar özgür yazılım olsaydı, pebble ortadan kalkmadan çok önce alternatif rom'lar piyasada dolaşıyor olurdu. Kimse yapmamış olsa biz yapardık bunu ;) Kolumuzdaki saatleri onların yaşam ömürlerinin sonuna veya biz bıkana kadar kullanabilirdik.

Özgür yazılım konuya sadece faydacı açıdan yaklaşan son kullanıcılar için bile bu derece önemli.

15 Şubat 2017 Çarşamba

Hangi Masaüstü Ne Kadar Türkçe Konuşuyor? -9-

Aynı başlıkla dokuzuncu yazıyı yazmak biraz garip ama son yazıyı yazalı neredeyse bir yıl geçmiş diyerek bir durum tespiti yapayım yine. Aradan geçen bu sürede neredeyse kimseyi çeviri çalışmalarına çekemedik. Hiçbir kurum, şirket bu çalışmalara destek olmak için adım atmadı. Aşağıda bahsedeceğim büyük özgür yazılım projelerini neredeyse bütün GNU/Linux kullanıcıları kullanıyor ama kimse çevirmediği gibi çevirenlere de destek olmuyor. Bu projeleri çevirenlerin sayısı iki elin parmaklarını geçmeyecek kadar az.

Sahipli yazılımlar yerine özgür yazılımların kullanılması bizim camiadaki herkesin dileği. İngilizce bilmeyen kullanıcıların kendi dilinde olmayan bir yazılımı kullanamayacağı da herkesin malumu. Ülkemizde devlet kurumlarında ve özel firmalarda özgür yazılımlar kullanılsın istiyoruz ama bu yazılımlar nasıl Türkçe konuşacak diye neredeyse kimse düşünmüyor. Bu yazılımları bir avuç gönüllünün çevirdiği göz ardı ediliyor hep.

Bir kere şunda anlaşalım istiyorum: özgür yazılımların çevirileri bu işi yapan gönüllülerin sorumluluğu değil. Biz bu işi gönüllü olarak yapıyoruz. Yarın yapmayabiliriz. Çeviri yapmayı bıraksak ülkede neredeyse kimse çeviri durumlarını takip etmediği için ancak kullanıcı şikayetlerinden fark edilecek kadar sahipsiz durumda bu konu. MS Ofis yerine LibreOffice, Photoshop yerine Gimp kullanın demek kolay ama nasıl kullanacak insanlar bunları diye düşününce bunun kendiliğinden olmadığını fark etmek gerekiyor.

Aslında bunları bir umutla yazmıyorum. Seneye yine bu konuda yazarsam durumun değişmeyeceğini de biliyorum. Şimdi rakamlara geçelim:

KDE: Geçen yıl %95 olan KDE çeviri oranı %81'e düşmüş durumda. Yardım içeriği ise hiç çevrilmedi.

GNOME: Geçen yıl %96 olan çeviri oranı %90'a geriledi. Yardım içeriği neredeyse hiç çevrilmeden duruyor.

Enlightenment: Geçen yıl %78 olan çeviri oranı %74'e geriledi.

XFCE: Geçen yıl tamamen yerelleştirildi diye yazdığım xfce %99 çeviri oranına sahip.

LibreOffice: Geçen yıl hem arayüzü hem de yardım içeriği tamamen yerelleştirilmiş olan LibreOffice'de durum kötüye gidiyor. Arayüz benim şahsi çabamla neredeyse tamamen çevrildi ama yardım içeriğinde 55496 kelime çevrilmeyi bekliyor. Bu LibreOffice'in yeni sürümünde eklenen özelliklerin hiçbirinin yardım içeriği Türkçeye çevrilmedi demek. Elbette yeni sürümde düzeltilen, geliştirilen konuların da yardım içerikleri çevrilmeden duruyor. İşin ilginç yanı bunu biz çevirmenler haricinde önemseyen de yok.

OpenOffice: Zor zamanlardan geçen OpenOffice'e yeni bir şey eklenmemesine rağmen Burak Yavuz'un gayretleriyle arayüzü %100 Türkçe kullanılabilir durumda ama yardım içeriğinden 277297 kelime çevrilmeyi bekliyor. Bu sadece Burak Yavuz'un sorunu gibi davranıyoruz maalesef.

Listeyi uzatmak mümkün ama derdimi anlatabildiğimi düşünüyorum. Özgür yazılım çevirileri sadece biz çevirmenlerin sorumluluğu değil.

14 Şubat 2017 Salı

Akademik Bilişim 2017'nin ardından

Akademik Bilişim Konferanslarının 19.sunu bu yıl Aksaray Üniversitesinin ev sahipliğinde gerçekleştirdik. Konferansın ve konferans öncesinde düzenlediğimiz kursların ölçeği her yıl biraz daha büyüyor. Dünyayı bilemiyorum ama Türkiyede benzeri olmayan ölçekte ücretsiz kurslar düzenleniyor her yıl konferans öncesi. Bu yıl 160 civarında eğitmen 62 sınıfta 1800'e yakın kursiyere 4 gün eğitim verdi. Ölçeğin bu kadar büyük olması yanında bir çok sorunu da getiriyor elbette. Binde bir olur denecek şeylerden günde bir kaç tane oluyor. Geçen yıl internet bağlantısında çok sorun yaşamışken bu yıl da konaklamayla çok uğraşmak zorunda kaldık. Bunda kursiyerlerin önemli bir kısmının konaklama istiyorum diye başvurmadan Aksaray'a gelmesi ve kalacak yerlerinin olmaması ciddi rol oynadı. Onları açıkta bırakmayalım derken konu üstesinden gelmesi çok zor bir hal aldı maalesef. Bu yılın hatalardan dersler çıkartarak seneye tekrarlamamaya çalışacağız.


Ülkemizin içinden geçtiği olağanüstü dönem elbette bu yıl konferansı da etkiledi. Hem bildiri sayısında hem de katılan firma sayısında gözle görülür bir düşüş yaşandı. Ülkenin her yanından katılımın olduğu böyle bir etkinliğin ülkenin şartlarından etkilenmemesi elbette düşünülemezdi.

Her yıl olduğu gibi bu yıl da uzun zamandır görmediğimiz arkadaşları gördüğümüz, yeni arkadaşlar edindiğimiz, dolu dolu geçen bir hafta oldu. Büyük özveriyle çalışan yerel organizasyondaki arkadaşlara, gönüllü eğitmenlere ve katılımcılara bir kez daha teşekkürlerimi yazıyorum.

Bu konferansın 19 yıldır yaşamasının ardındaki isim elbette Mustafa Akgül'dür. Olağan üstü çabası, özverisi ve emeği sayesinde binlerce kişinin hayatı değiştiren bu büyük adama sevgilerimi ve saygılarımı bir kere de buradan yazmış olayım. Hocam sen çok yaşa \o/

Umarım konferansın yirmincisine de katılıp ardından bir yazı yazabilirim.

XXII. Türkiye'de İnternet Konferansı, Akademik Bilişim 2018 ve 3. Kamu Açık Kaynak Konferansı

Türkiye'de İnternet Konferans larının yirmi ikincisi bu yıl 2-4 Kasım 2017 tarihlerinde Bahçeşehir Üniversitesinde yapılacak. 3.  Kamu...