Bu, orijinali İngilizce olan bir sayfanın çevirisidir.

Bilgisayarınıza Güvenebilir misiniz?

Bilgisayarınız emirleri kimden almalıdır? Birçok insan bilgisayarlarının, başka birilerinin değil, kendi emirlerine uymasını ister. “Güvenli işletim” (trusted computing) olarak adlandırdıkları bir planla, Microsoft ve Intel gibi bilgisayar firmalarıyla birlikte büyük medya kuruluşları (film firmaları ve müzik firmaları dahil olmak üzere) bilgisayarlarınızın sizin yerine kendilerine uymasını planlamaktadır. Özel mülk programlar daha önce kötü niyetli özelliklere sahipti ancak bu plan onu evrensel hale getirecektir.

Özel mülk yazılım temel olarak bilgisayarın ne yaptığını kontrol edemediğiniz anlamına gelmektedir; kaynak kodunda çalışamaz ya da onu değiştiremezsiniz. Akıllı iş adamlarının, sizi dezavantajlı duruma sokmak için yollar bulması şaşırtıcı değildir. Microsoft bunu defalarca yapmıştır: Windows’un bir sürümü, hard diskinizdeki tüm yazılımı raporlayacak şekilde tasarlanmıştır; Windows Medya Player’daki yakın zamandaki bir “güvenlik” yükseltmesi, kullanıcıların yeni kısıtlamalara uymasını gerektirmiştir. Ancak Microsoft bu konuda yalnız değildir: KaZaa müzik paylaşım yazılımı, bilgisayarınızın kullanımını KaZaa'nın iş ortağının müşterilerine kiralayacak şekilde tasarlanmıştır. Bu kötü niyetli özellikler genellikle sırdır ama bunları bilseniz, ortadan kaldırmanız zordur çünkü kaynak koduna sahip değilsiniz.

Geçmişte, bunlar ayrı olaylardı. “güvenli işletim”, açıklığı sağlamaktaydı. “Tehlikeli işletim” (treacherous computing) bunun için daha uygun bir isimdir çünkü plan, bilgisayarınızın size her zaman sistematik olarak uymamasının sağlanması için tasarlanmıştır. Gerçekte, bilgisayarınızın genel amaçlı bir bilgisayar olarak çalışmasını durdurmak için tasarlanmıştır. Her işlem, açık izin gerektirebilir.

Güvenilmez işletimin altındaki teknik fikir, bilgisayarın sayısal bir şifreleme ve imza cihazını içermesi ve tuşların sizden gizli tutulmasıdır (Microsoft’un bu sürümü “palladyum” olarak adlandırılır). Özel mülk programlar, başka hangi programları çalıştırabileceğinizi, hangi belgelere ya da verilere erişebileceğinizi ve bunları ne gibi programlara aktarabileceğinizi kontrol etmek için bu cihazı kullanır. Bu programlar, İnternetten yeni yetkilendirme kurallarını indirecek ve bu kuralları çalışmanıza otomatik olarak dayatacaktır. Bilgisayarınızın yeni kuralları İnternetten düzenli olarak almasına izin vermezseniz, bazı özellikler otomatik olarak görevini yapmayı durduracaktır.

Tabi ki, Hollywood ve müzik firmaları “DRM” (Sayısal Kısıtlama Yönetimi) içingüvenilmez işletimi kullanmayı planlamaktadır, böylece indirilen videolar vemüzik, yalnızca belirtilen tek bir bilgisayar üzerinde oynatılabilir. En azından bu firmalardan alacağınız yetkilendirilmiş dosyalar kullanılarak paylaşım ta-mamen imkansız hale gelecektir. Ancak sizin yani halkın bu şeyleri paylaşma özgürlüğünüz ve yeteneğiniz olmalıdır (Birilerinin şifrelenmemiş sürüm-leri üretmek, yüklemek ve paylaşmak için bir yol bulmasını bekliyorum, böylece DRM tamamen başarılı olmayacaktır ancak sistem aklanmış değildir).

Paylaşımın imkansız hale getirilmesi yeterince kötüdür ancak durum daha da kötüleşmektedir. E-posta ve belgeler için de aynı özelliğin kullanılmasına ilişkin planlar vardır, iki hafta içinde ortadan kaybolan e-postalar ya da bir firmada yalnızca seçilen bilgisayarlarda okunabilen belgeler gibi.

Patronunuzun sizden riskli bir iş yapmanızı istediğini hayal edin; bir ay sonra, iş olumsuz sonuç verdiğinde, kararın size ait olmadığını göstermek için e-postayı kullanamazsınız. Emir size ortadan uçan mürekkeple verildiğinde, “yazılı olarak emir almak” sizi korumaz.

Patronunuzdan yasal olmayan ya da ahlaken kötü bir politikayı ifade eden bir e-posta aldığınızı hayal edin, örneğin, bu e-posta, firmanın yıllık denetim raporlarının parçalanması ya da ülkeniz için ciddi bir tehdit oluşturacak olan bir durumu içerebilir. Bugün bunu bir muhabire gönderebilir ve eylemi açığa vurabilirsiniz. Güvenilmez işletimle, gazeteci belgeyi okuyamayacak; bilgisayarı buna izin vermeyecektir. Güvenilmez işletim, tahrip için bir cennet haline gelir.

Microsoft Word gibi kelime işlemcileri, belgelerinizi kaydederken güvenilmez işletimi kullanabilir, bu nedenle, rekabet eden diğer kelime işlemcileri sizin belgelerinizi okuyamaz. Bugün, özgür kelime işlemcilerinin Word belgelerini okumalarını sağlamak için Word biçiminin sırlarını deneysel çalışmalarla anlamalıyız. Word, kaydederken, güvenilmez işletim ile belgeleri şifreliyorsa, özgür yazılım, bunları okumak için yazılım geliştirme şansına sahip olmayacaktır ve bunu başarabilsek bile, bu gibi programlar, Dijital Milenyum Telif Hakkı Hareketi tarafından yasaklanabilir.

Güvenilmez işletimi kullanan programlar, İnternetten sürekli olarak yeni yetkilendirme kuralları indirecek ve bu kuralları otomatik olarak çalışmanıza dayatacaklardır. Microsoft ya da A.B.D. hükümeti, yazmış olduğunuz bir belgede söylediğiniz bir şeyi sevmiyorsa, herhangi birinin söz konusu belgeyi okumasına izin verilmemesini tüm bilgisayarlara söyleyen yeni yönergeleri gönderebilirler. Yeni yönergeleri indirdiğinde her bir bilgisayar kurallara uyacaktır. Yazılarınız 1984 tarzı, önceki olayları kapsayan silintilere tabi tutulacaktır. Bunu kendiniz okuyamayabilirsiniz.

Güvenilmez bir bilgisayar uygulamasının ne gibi kötü şeyler yaptığını bulacağınızı, ne kadar ıstıraplı olduklarını öğreneceğinizi ve onları kabul edip etmeyeceğinizi düşünebilirsiniz. Bunun kabul edilmesi aptalca ve öngörüsüzce olacaktır ancak temel nokta, göstermekte olduğunuz çabanın yeterli olmayacağıdır. Bir kere programa güvendiğinizde, oltaya düşersiniz ve bunu bilirler; o zaman anlaşmayı değiştirebilirler. Bazı uygulamalar farklı bir şeyler yapacak olan yükseltmeleri otomatik olarak indirecektir, ve onlar, size yükseltip yükseltmeme konusunda seçim şansı vermeyecektir.

Bugün özel mülk yazılım tarafından sınırlandırılmaktan özel mülk yazılımı kullanmayarak kurtulabilirsiniz. GNU/Linux ya da başka bir özgür yazılım sistemini kullanırsanız ve üzerine özel mülk yazılımları kopyalamazsanız, o zaman bilgisayarınızın ne yaptığını kontrol edebilirsiniz. Özgür bir yazılım kötü niyetli bir özelliğe sahipse, topluluktaki diğer geliştiriciler, bunu çıkartırlar ve siz düzeltilmiş sürümünü kullanırsınız. Ayrıca özgür olmayan işletim sistemlerinde özgür uygulama programlarını ve araçlarını da çalıştırabilirsiniz; bu size tam özgürlüğün verilmesini sağlamaz ancak birçok kullanıcı bunu yapmaktadır.

Güvenilmez işletim, özgür işletim sistemlerinin ve özgür uygulamalarının varlığını tehlikeye atmaktadır çünkü bunları çalıştırmanız mümkün olmayabilir. Güvenilmez işletimin bazı sürümleri, işletim sisteminin belirli bir firma tarafından özel olarak yetkilendirilmesini gerektirecektir. Özgür yazılım sistemleri böyle bir sisteme kurulamayabilir. güvenilmez işletimin bazı sürümleri, her programın, işletim sistemi geliştiricisi tarafından özel olarak yetkilendirilmesini gerektirecektir. Bu gibi bir sistem üzerinde özgür uygulamaları çalıştıramazsınız. Bunun nasıl olduğunu belirler ve birilerine anlatırsanız, bu bir suç olabilir.

Tüm bilgisayarların güvenilmez işletimi desteklemesini ve eski bilgisayarların İnternete bağlanmasının önlenmesini isteyen öneriler halihazırda A.B.D. kanunlarının arasına sokulmak üzere önerilmektedir. CBDTPA (Tüket Ama Programlama Yapmaya Çalışma olarak adlandırmaktayız) bunlardan biridir. Ancak sizi yasal olarak güvenilmez işletime zorlayamasalar bile, güvenilmez işletimin kabul edilmesine ilişkin baskı korkunç seviyelerde olabilir. Çeşitli problemlere neden olmasına rağmen, bugün, insanlar haberleşmek için genellikle Word biçimini kullanmaktadır (Word biçimi kullanımına son verebiliriz). Yalnızca güvenilmez işletim ile en son Word belgeleri okunabiliyorsa, durumu yalnızca münferit hareket (al ya da alma) açısından görürlerse, birçok insan ona dönecektir. Güvenilmez işletime karşı koymak için, iş birliği yapmalı ve duruma toplu bir tercih olarak göğüs germeliyiz.

Güvenilmez işletim hakkında daha fazla bilgi için, “Güvenli İşletim” Sıkça Sorular Sorular sayfasına bakınız.

Güvenilmez işletimin engellenmesi, çok sayıda vatandaşın örgütlenmesini gerektirecektir. Yardımınıza ihtiyacımız var! Lütfen FSF'nin Sayısal Kısıtlama Yönetimine karşı kampanyası olan Tasarımda Hatalıyı destekleyin.

Notlar

  1. Bilgisayar güvenliği alanında “güvenli işletim” başka bir anlamda kullanılmaktadır; lütfen iki anlam arasındaki farka dikkat edin.

  2. GNU Projesi, güvenli ve özel e-posta göndermek için kullanabileceğiniz açık anahtar şifreleme ve sayısal imzaları uygulayan bir program olan GNU Gizlilik Koruyucusunu [:GNU Privacy Guard] dağıtmaktadır. GPG’nin güvenli işletimden nasıl farklı olduğunun keşfedilmesi ve birini yardımcı, diğerini tehlikeli yapan şeyin ne olduğunun görülmesi yararlıdır.

    Biri size şifreli bir belgeyi yollamak için GPG’yi kullandığında ve siz, kodunu çözmek için GPG’yi kullandığınızda, sonuç, okuyabileceğiniz, başkalarına gönderebileceğiniz, kopyalayabileceğiniz ve hatta birilerine yine güvenli bir şekilde göndermek için yeniden şifreleyebileceğiniz şifreli olmayan bir belgedir. Güvenilmez bir bilgisayar çalışması uygulaması, ekrandaki sözcükleri okumanıza izin verir ancak başka şekillerde kullanabileceğiniz şifreli olmayan bir belge oluşturmanıza izin vermez. Özgür bir yazılım paketi olan GPG, güvenlik özelliklerinin kullanıcılar tarafından erişilebilir olmasını sağlar; insanlar, bu özelliği kullanır. Güvenilmez işletim ise, kullanıcılar üzerinde kısıtlamalar dayatmak için tasarlanmıştır; güvenilmez işletim insanları kullanır.

  3. Güvensiz hesaplamanın destekçilerinin söylemlerinin odak noktasını yararlı kullanımlar oluşturur. Söyledikleri genellikle doğrudur, ama önemsizdir.

    Çoğu donanım gibi, güvensiz-hesaplama donanımı da zararlı olmayan amaçlarla kullanılabilir. Ancak bu özellikler başka şekillerde de gerçekleştirilebilir, güvensiz-hesaplama donanımı olmadan da. Teme farklılık, güvensiz hesaplama kullanıcıların şu kötü durumla karşılaşmalarına neden olur: bilgisayarınız size karşı çalışmak üzere donatılır.

    Ne diyorlarsa doğrudur, ben ne diyorsam da doğrudur. Bu ikisini birlikte düşünün, ne elde ediyorsunuz? Güvensiz hesaplama özgürlüğünüzü elinizden almak için bir plandır, ne kaybedeceğimizi görmemizi engellemek için ufak yararlar sunmaktadır.

  4. Microsoft bir güvenlik ölçütü olarak Palladium'u sunmakta, ve bunun virüslere karşı koruma sağlayacağını iddia etmektedir, ancak bu iddia açıkça yanlıştır. Ekim 2002'de Microsoft Research tarafından yapılan bir sunumda Palladium'un özelliklerinden biri olarak var olan işletim sistemleri ve uygulamaların çalışmaya devam edeceği söylenmiştir; bu nedenle, virüsler bugün yapabildikleri bütün herşeyi yapmaya devam edeceklerdir.

    Microsoft çalışanları Palladium ile birlikte “güvenlik”'ten bahsederken, gerçekte kelimenin anlamını kastetmemektedirler: istemediğiniz şeylerden bilgisayarınızı korumak. Kastettikleri bilgisayarınızdaki veri kopyalarına başkalarının istemediği yollarla erişiminizden korumaktır. Sunumdaki bir saydamda Palladium'un koruduğu bir çok giz tipleri listelenmişti, bunların arasında “üçüncü parti gizler” ve “kullanıcı gizleri”—ancak “kullanıcı gizleri”ni tırnaklar arasındadır, bu bir şekilde Palladium kapsamında bir absürdlüğü göstermektedir.

    Sunumda güvenlik kapsamıyla çoğu kez ilişkilendirdiğimiz başka terimleri sıkça kullanmaktadır, örneğin “saldırı”,“kötücül kod”, “aldatma” (spoofing), “güvenli” gibi. Hiçbiri asıl anlamlarında kullanılmamaktadır. “” birinin size zarar vermeye çalışması anlamına gelmiyor, müziklerinizi kopyalamaya çalıştığı anlamına geliyor. “Kötücül kod ”, başkasının makinenizin yapmasını istemediği bir şeyi yapması üzerine sizin tarafından kurulan kod anlamına geliyor. “Aldatma” birinin sizi aldattığı anlamına gelmiyor, sizin Palladium'u aldattığınız anlamına geliyor. Örnekler arttırılabilir.

  5. Palladium geliştiricileri tarafından yapılan bir beyanda bilgiyi kim geliştirdiyse veya topladıysa, bu bilgiyi nasıl kullandığınızı kontrol etmeye hakkı olduğuna dair temel bir düstur söylenmiştir. Bu etik ve yasal sistemin önceki fikirlerinin devrimsel bir tersine döndürülmesini göstermektedir ve benzeri görülmemiş bir kontrol sistemi yaratmaktadır. Bu sistemlerin belirli problemleri kazayla ortaya çıkmamamıştır; temel hedeften kaynaklanmaktadır. Bu hedef reddetmemiz gereken bir hedeftir.


2015 itibariyle, bir şeyin kopyalarını dağıtmanın ana yolu İnternettir, özellikle de webtir. Bugünlerde şirketler dünya çapında DRM'yi dayatmak, web sunucularıyla kopyaları edinmek için konuşan programlar tarafından bunu zorunlu kılmak istiyorlar. Bunun anlamı tarayıcınızla birlikte işletim sisteminiz üzerinde bir denetim kurmaya kararlılar. Bunun bir yolu “uzaktan doğrulama” aracılığıyla yapmaktır, bu bilgisayarınızın tüm çalıştırdığı yazılımı, gizleme imkanı olmadan, web sunucusuna “doğruladığı” bir servistir. Doğruladığı yazılımlar web tarayıcıyı (DRM içerdiği ve şifreli veriyi almanın başka bir yoluna sahip olmadığını kanıtlamak için), çekirdeği (çalışan tarayıcıyı yamalama imkanı sunmadığını kanıtlamak için), başlatma yazılımını (başlatırken çekirdeği yamalama imkanı sunmadığını kanıtlamak için), ve DRM şirketlerinin üzerinizdeki idaresinin güvenliğiyle ilgili diğer her şeyi içeriyor.

Kötü bir imparatorluğun etkin iktidarını zayıflatabileceğiniz tek açık, ne yaptığınızı saklama ve gizlemeye ilişkin bir yönteme sahip olmanızdır. Başka bir ifadeyle, imparatorluğun gizli polisine yalan söyleyebilmeniz gerekiyor. “Uzaktan doğrulama”, bilgisayarınızı özgürleştirip özgürleştirmediğinizden bağımsız olarak, sunucusu sorduğunda bir şirkete bilgisayarınızı doğruyu söylemeye zorlama planıdır.

2015 itibariyle, güvenilmez işletim bilgisayarlarda “Güvenli Platform Modülü” biçiminde gerçekleştirildi; ancak, pratik nedenlerden dolayı, TPM, Dijital Kısıtlamalar Yönetimini onaylamak için bir uzaktan doğrulama platformu sağlama amacı açısından tam bir başarısızlık oldu. Bu nedenle, DRM kullanan şirketler başka yöntemler kullanıyor. Şu an, “Güvenli Platform Modülü” DRM için kullanılmıyor bile, üstelik bunu DRM için kullanma açısından hiç de uygun olmadığını düşünmek için bir çok neden var. Ne gariptir ki, “Güvenli Platform Modülü”nün mevcut kullanımları sadece, örneğin hiç bir kimsenin bilgisayardaki sistemi gizlice değiştirmediğini doğrulamak gibi, masum ikincil kullanımlardır.

Dolayısıyla, PC'ler için mevcut olan “Güvenli Platform Modüllerinin” 2015'den itibaren tehlikeli olmadığı sonucuna varıyoruz ve bu modülleri bilgisayarda barındırmak veya sistem yazılımlarında desteklemek için bariz bir neden yok.

Ebette durumun umut verici olduğu düşünülmemeli. Bazı ARM PC'lerde veya taşınabilir telefon, araba, TV ve diğer aygıtlardaki işlemcilerde bilgisayar sahibinin içerisindeki yazılımı değiştirmesinden alıkoyan başka donanımsal sistemler kullanılıyor ve bu sistemler beklediğimiz kadar kötüler.

Bu ayrıca uzaktan doğrulamanın tehdit olmadığı anlamı da çıkarılmamalı. Eğer bir aygıt bunu gerçekleştirmeyi başarırsa, bu kullanıcıların özgürlüğüne ciddi bir tehdit oluşturacaktır. Mevcut “Güvenli Platform Modülü” zararsız, çünkü uzaktan doğrulamayı uygulanabilir yapmakta başarısız oldu. Gelecekteki bütün çabaların da başarısız olacağı varsayımında bulunmamalıyız.


2022 itibariyle, TPM2, yeni bir “Güvenli Platform Modülü”, gerçekten de uzaktan doğrulamayı ve DRM'yi destekliyor. 2002 yılında uyardığım tehdit, korkunç bir hakikate dönüştü.

Uzaktan doğrulama “Google SafetyNet” (şimdi “Play Integrity API”'nin bir parçası) tarafından, gözetleyen telefonlarda çalışan Android işletim sisteminin resmi bir Google sürümü olduğunu doğrulamak amacıyla, fiilen kullanılıyor.

Bu kötücül işlev halihazırda GrapheneOS üzerinden kimi bankacılık uygulamalarını çalıştırmayı imkansız kılıyor, halbuki bu işletim sistemi Android'in, Android'te normalde mevcut özgür olmayan yazılımların tümü olmasa da bazılarını ortadan kaldıracak şekilde değiştirilmiş bir sürümüdür.

Android'in özgür bir sürümü, mesela Replicant, muhakkak aynı engelle karşılaşacaktır. Eğer özgürlüğünüze Replicant kuracak kadar değer veriyorsanız, bilgisayarlarınızdaki herhangi bir özgür olmayan uygulamaya da (bankacılık için olsun olmasın) müsamaha göstermeyi reddedebilirsiniz. Her şeye rağmen, Google'nin kullanıcıların işletim sisteminlerini değiştirip değiştirmediklerini gözetlemesi ve onunla ne yapabileceklerini emretmesi adaletsizdir.