Her Şey Bozuk

Quinn Norton’ın The Message’da yayınlanan “Everything is Broken” makalesinin Türkçe çevirisi.


Bir zamanlar, arkadaşlarımdan birisi kazara binlerce bilgisayarı ele geçirdi. Bir yazılımın içerisinde bir güvenlik açığı buldu ve onunla oynamaya başladı. Bu süreç içerisinde, bir ağ üzerinde tam yönetici yetkisini nasıl alabileceğini keşfetti. Bunu bir scripte yerleştirdi, neler olacağını görmek için çalıştırdı ve ardından yaklaşık dört saatlik bir uyku için yatağa gitti. Ertesi sabah işe giderken neler olduğunu görmek için kontrol ettiğinde fark etti ki neredeyse 50,000 bilgisayarın efendisi olmuştu. Korkudan neredeyse kusma evresini atlattıktan sonra hepsini öldürdü ve alakalı tüm dosyaları sildi. En sonunda da hard diski ateşe attığını söyledi. Size ismini söyleyemem, çünkü Federal hapishaneye girmek istemiyor, eğer kendisi birilerine bu açıktan ve neler yapabildiğinden bahsetseydi olacak olan buydu. Peki bu açık kapatıldı mı? Eninde sonunda ama arkadaşım tarafından değil. Bu öykü hiç de abartılı değil. Hacker ve güvenlik camiasında yeterince vakit geçirirseniz bunun gibi ve hatta daha kötü öyküleri duyarsınız.

Teknolojinin nasıl kıtı kıtına çalıştığını ve hayatımızın altyapısının nasıl balya telinin IT versiyonuna bağlı olduğunu ortalama insanlara açıklamak çok zor.

Bilgisayarlar, ve bilişim, bozuk.


Sen kötü inşa et, onlar gelir.

Birçoğumuz için, özellikle güvenlik ve yasadışı dinleme konularını takip edenler için, ortaya çıkarılanlar büyük sürpriz olmadı. Detaylarını bilmiyorduk, ama bir gözü yazılım dünyasında olanlar bilgisayar teknolojilerinin hasta ve bozuk olduğunu biliyordu. Yıllardır bundan faydalanmak isteyenlerin şahin gibi tepemizde döndüğünün farkındaydık. NSA internetin en büyük predatorü değil ve öyle de olmadı, sadece ortalıktaki en büyük leş yiyici. Hepsi kıyametin güçlü matematik büyücüleri olduğu için bu kadar iyi değiller.

NSA çok iyi çünkü yazılım boktan.

Snowden’ın sızıntıları yayınlanmaya başlamadan sekiz ay önce şu tweeti yazmıştım:

https://twitter.com/quinnnorton/statuses/236655133046501376

Bu, sırtımızı yaslayabileceğimiz iyi bir yazılım aramanın kaybetmeye mahkum bir savaş olduğunu bıkkınca kabullenişimdi. Parası veya zamanı olmayan insanlar tarafından yazılan yazılımların çoğu, yazılımcı evine gidebilecek ve ailesini görebilecek kadar iyi çalışmaya başladığında yayınlanıyor. Bizim elimize gelenler de genellikle berbat hâlde oluyor.

Yazılım çok kötü çünkü çok kompleks; çünkü aynı bilgisayardaki diğer programlarla konuşmaya çalışıyor, hatta bağlantılar sayesinde diğer bilgisayarlarla. Sizin bilgisayarınız bile aslında birden çok bilgisayar sayılır, kutu içinde kutu gibi, ve o her bir bilgisayar birbiriyle koordine olmaya ve konuşmaya çalışan programlarla dolu. Bilgisayarlar inanılmaz derecede kompleks hâle geldi, bu sırada insanlar hâlâ kendisini Tanrı zanneden aynı gri çamur olarak kaldı.

Sizin ortalama boktan Windows sisteminiz o kadar kompleks ki, dünyada tam olarak yaptığı tüm işlemleri veya nasıl yaptığını bilen bir tek kişi yok.

Düşünün, milyarlarca küçük bilinmez kutu içinde kutular aynı anda durmaksızın konuşmaya ve aralarında görevler koordine etmeye çalışıyor, bitlerce data paylaşıyor ve minicik bir programdan kocaman bir programa, bir tarayıcı mesela, komutlar aktarıyor: işte bu internet. Bunların hepsinin neredeyse eşzamanlı ve akıcı bir biçimde olması gerekiyor, yoksa sepete attığınız sinema biletleri kaybolduğu için öfleyip püfleyeceksiniz.

Casual oyunlar oynadığınız ve barda tuvalete düşürüp durduğunuz telefonların, on yıllardır uzaya gitmekte kullanılan teknolojilerin toplamından daha güçlü olduğunu söyleyip dururuz.

Ancak NASA’nın yazılımlarını anlamak ve onlarla ilgilenmek için devasa bir dahiler ekibi var. Telefonunuzun ekibiyse sadece sizsiniz.

Bir de hep siz Candy Crush Saga oynarken sorduğu için erteleyip durduğunuz otomatik güncelleme sistemi.

Tüm bunlar yüzünden güvenlik korkunç durumda. Ayrıca sinir bozucu hatalar ve imkansız diyaloglar yüzünden, programların sıklıkla özel bir tür hacklenebilir açıkları olur, güvenlik camiası bunlara 0gün der. Hiç kimse kendisini 0günlerden koruyamaz. Bu onların tanımlayıcı özelliğidir — 0, bu tür saldırılarla uğraşmak için elinizde kalan gün sayısıdır. Eh işte, çok da korkunç değil tarzında 0günler vardır, gerçekten korkunç 0günler vardır ve bir de felâket seviyesindeki 0günler vardır ki buna denk gelenler evin anahtarını ele geçirmiş demektir. Size garanti verebilirim ki şu anda bunu okuduğunuz alette bu üç türden 0günler de mevcut. “Ama Quinn,” dediğinizi duyuyorum, “Eğer kimse bilmiyorsa, onların olduğunu sen nereden biliyorsun?” Çünkü fena değil seviyesindeki yazılımlar bile korkunç yazılımlarla birlikte çalışmak zorunda. İşi yazılımları güvenli hâle getirmek olan insanların sayısı rahatça büyükçe bir barı doldurabilir ve ben onları içerken gördüm. Hiç iç açıcı değildi. Bu acaba size olur mu meselesi değil, sadece ne zaman olacak meselesi.

Bu gerçekten birkaç yıl önce olmuş bir olay. Bir Debian geliştiricisi, başka bir yazılımdan gelen şikayet mesajından kurtulmak için bir satır kodu devre dışı bıraktı ve bunun aslında onların şifrelemesini çok basit saldırılara açık hâle getirdiğini fark etmedi. (https://www.xkcd.com/424/)

Bir de şu açıdan bakın, her güvenlik güncellemesi geldiğinde (Linux konsolum için bu neredeyse her gün), güncellenen her neyse bozuktu, orada saldırıya açık bir şekilde kim bilir kaç zamandır yatıyordu. Kimi zaman günler, kimi zaman yıllardır. Kimse güncellemelerin bu yanını öne çıkarmaz. “Bu güncellemeyi mutlaka indir, kritik bir yama!” derler ve “…çünkü geliştiriciler öyle büyük sıçtılar ki çocuğunun kimlik bilgileri muhtemelen eroin bağımlısı script kiddieler tarafından Estonya Mafyasına satılmıştır.” kısmını söylemeden bırakırlar.

Gerçekten kötü açıklar (“Daha Sonra Yeniden Başlat”a tıkladığınız için kim bilir hangileridir bunlar) sömürebilecekleri yazılım versiyonlarını arayan hackerlar, hükümetler ve internetin diğer vahşileri tarafından taranabiliyor. Bu taramalarda belirip “Hey! Ben! Benim açığım var!” diyen her bilgisayar, diğer binlerce ve hatta onbinlerce bilgisayarla birlikte bir botnetin parçası hâline gelebilir. Bu zombileştirilen bilgisayarlar sıklıkla tekrar ele geçirilir ve başka botnetlerin de parçası olur. Kimi botnetler, bilgisayarınızı başka botnetlerle paylaşmamak için onu yamalar ve diğerlerini dışarı atar. Eğer bunlar oluyorsa nasıl bilebilirsiniz? Bilemezsiniz! Online hayatınızın saatlik olarak kiralanıp kiralanmadığını çözmeye çalışırken size iyi eğlenceler!

Bir dahaki sefere büyükannenizin yeterince cool olmadığını düşündüğünüzde, tehlikeli Rus suçluların denizaşırı kumarhanelerden para koparmak için yaptığı DDoS ataklarına verdiği destekleri de hesaba katın.
Internet Census’a göre dünyadaki hacklenmiş şeylerin haritası.

Geçtiğimiz günlerde anonim bir hacker, gömülü Linux aletleri ele geçiren bir script yazdı. Bu ele geçirilen bilgisayarlar internetin geri kalanını taradı ve internetin yapısı hakkında öncesinde bildiklerimizden çok daha fazlasını söyleyen bir anket yarattı. Bu küçük hacklenmiş konsollar datalarını teslim ettiler (toplamda 10 TB) ve sessizce hacki devre dışı bıraktılar. Gezegeni köküne kadar hacklemenin güzel ve kullanışlı bir örneğiydi. Eğer bu tehlikeli yazılım gerçekten zararlı olsaydı, hepimizin ağzına sıçmıştı.

Çünkü sırtımızı yasladığımız bilgisayarların hepsi o kadar kötü durumda: hastanelerde, hükümet binalarında ve bankalarda olanlar; cep telefonunuzun içindekiler; ışık anahtarlarında, akıllı sayaçlarda ve hava trafiği kontrol sistemlerinde kullanılanlar. Altyapıyı ve üretimi kontrol eden endüstriyel bilgisayarlardaysa durum çok daha kötü. Tüm detayları bilmiyorum ama bilenler bilgisayar güvenliği dünyasının en alkolik ve nihilist olanları. Bir diğer arkadaşım, yaptıkları temel testin başlangıcında gönderdiği sakat ping ile, kazara bir fabrikanın tüm sistemlerini kapattı. Bilmeyenler için ping, bir bilgisayardan ağ üzerindeki başka bir bilgisayara gönderebileceğiniz en küçük isteğe deniliyor. Fabrikadaki her şeyi tekrar aktif hâle getirmeleri bir günlerini aldı.

Bilgisayar uzmanları çok farklı ve çok daha harika seviyedeki, parlak matematiksel mükemmellikten yapılmış ve arayüzü asabi bir eşeğin bokuna benzeyen yazılımları kullanıyormuş gibi yapmayı severler. Yalan. Bunların size sunduğu güvenlik temelde anlaşılmazlıklarından gelir, bunları o kadar az insan kullanır ki bunlara saldırmak için araçlar yapmanızın anlamı olmaz. Tabi eğer sysadmini devirmek istemiyorsanız, yani NSA değilseniz.


İyi kodlanmış bir şifreli chat, yanlış giden ne olabilir ki?

Bilgisayar uzmanlarının, kullanmayan normal insanlara burun kıvırdığı bir örneği ele alalım: OTR. OTR, ya da Off The Record (Kayıt Dışı diye çevirebiliriz -çn) mesajlaşma, normal düz metin anında mesajlaşmanın içerisine bir şifreleme katmanı yerleştirir. Tıpkı AIM, Jabber ya da her ne kullanıyorsanız ona girip kodlu konuşmanız gibi, tek farkı kodlamayı bilgisayar sizin yerinize yapıyor. OTR akıllı ve sağlam, dikkatlice incelendi ve o baş belası 0günlerden neredeyse hiç olmadığına eminiz.

Ancak OTR sizin direkt kullanabildiğiniz bir program değil.

OTR yazılımı için bir standart var ve bir de kütüphane, ancak bunlar kendi başlarına hiçbir şey yapmıyor. Bunlar ahmak insanların diğer ahmak insanlarla birlikte kullanabileceği başka bir yazılıma eklemleniyor. Şimdiden bunun sonunun gözyaşlarıyla biteceğini anlamışsınızdır.

OTR’ı asıl kullanan, libpurple isimli bir kütüphaneyi kullanan başka bir yazılımdır. Eğer infosec züppelerinin kendi arayüzünü sıçan eşekler gibi strese girdiğini görmek isterseniz, libpurple’dan bahsedin. Libpurple, C isimli programlama dilinde yazıldı.

Ve C iki şey için çok iyidir: güzel görünmek ve hafıza yönetiminde felaket 0günler yaratmak.
http://xkcd.com/1354/

Heartbleed, tüm dünyayı etkileyen bir açıktı; şifreleri, şifreleme anahtarlarını ve kim bilir başka neleri sızdırıyordu. Klasik mükemmel C.

Libpurple, açık kaynak chat yazılımlarının dünyadaki her türlü anında mesajlaşma sistemiyle konuşabilmesini sağlamak isteyen ve güvenliği ya da şifrelemeyi zerre umursamayan insanlar tarafından yazıldı. Kodu analiz eden güvenlik tayfası, libpurple’ı sömürmek için o kadar çok yol var ki yamalamanın hiç bir anlamı olmaz dedi. Tamamen çöpe atılmalı ve baştan yazılmalıydı. Bunlar sadece birilerinin sizin şifreli mesajlaşmanızı okumasını sağlayacak açıklar değil; bunlar başkalarının sizin bilgisayarınızı tamamen ele geçirmesini, yazdığınız ve okuduğunuz her şeyi görmesini ve muhtemelen kameranızdan sizin burnunuzu karıştırmanızı izlemesini sağlayacak açıklar.

Bu sevimli araç, OTR, onu kullanan birçok sistemde libpurple’ın üzerinde oturmakta. Bir şeyi açıklığa kavuşturmama izin verin, çünkü bazı geekler bile bunu anlamıyor: eğer saldırgan sizinle birlikte datayı ekranınızdan okuyabiliyorsa, ki emin olun yapabilir, şifrelemenizin ne kadar iyi olduğunun hiçbir önemi yok. Nasıl yapacaklarını biliyor ya da bilmiyor olabilirler ama yapabilirler. Bilgisayarınızda bin tane libpurple var: kısıtlı bir bütçe ve gerçekdışı deadlinelarla, sisteminizin geri kalanını nasıl güvenli tutacağını bilmeyen ya da umursamayan insanlar tarafından yazılmış küçük yazılım parçaları.

Bu küçük açıklardan herhangi birisi bilgisayarınızdaki her şeyi ele geçirmeye yarayabilir. Bu yüzden güncelleyip duruyoruz ve belki de güncelleme davetsiz misafirleri bilgisayarımızdan kovuyor, belki de kovamıyor. Kimse bilmiyor!

Size güncellemeleri kurun dediğimizde geminizi tamir edin demiyoruz. Size boyunuzu aşmadan önce suyu boşaltmaya devam edin diyoruz.

Bu korku ve terör sahnesinden biraz uzaklaşmak için şunu söyleyeyim, işler eskisinden çok daha iyi durumda. 1990'larda elimizde olmayan, gerzekçe yazılmış programların ciddi zararlar vermesini önleyen sandboxlama gibi araçlarımız var. (Sandboxlama, bir programın diğer küçük programlarla tüm ilişkisini keserek ya da yapmaya çalıştığı her şeyi başka hiçbir şey görmeden temizleyerek onu bilgisayarın içindeki küçük sanal bir bölümde tutar.)

Belli sınıflara ait korkunç açıkların tamamı smallpox yoluyla gönderildi. Güvenlik hiç olmadığı kadar ciddiye alınıyor ve zararlı yazılımlara anında yetişmeye çalışan bir ağ dolusu insan var. Ama gerçekten hepsine yetişemiyorlar. Bu problemlerin ekosistemi on yıl öncesinden o kadar büyük ki, bir ilerleme kaydediyormuş gibi görünmüyoruz.

İnsanlar da bozuk.

“Sana güveniyorum…” Anonymous’taki kaynaklarımdan duymayı en az sevdiğim sözdü. Kaçınılmaz olarak devamında bana söylememeleri gereken bilgiler geliyordu. Güvenmeyi öğrendiğiniz birisiyle kişisel bir şeyler paylaşmak en doğal ve insani şeylerden birisi. Ama hiddetle Anonlara hatırlatıp duruyordum; bir başka insanla iletişime geçmeden önce bir bilgisayarla, sayısız sunucuyla, anahtarla, modemle, kabloyla, kablosuz linklerle ve benim sürekli hedef hâlinde olan bilgisayarımla iletişime geçiyorlardı. Tüm bunların hepsi bir derin nefes alma süresinde gerçekleşiyordu. Malumun ilamı olacak ama tekrar etmeye ihtiyacımız var: insanlar bu şekilde düşünmek için tasarlanmadı.

Yazılımları doğru kullanmayı kimse beceremez. İstisnasız herkes sıçıp bırakır. OTR ilk mesaj gönderildikten sonra şifrelemeye başlar, güvenlik uzmanlarının ve 20 ülkede başına ödül konmuş hackerların sıkça unuttuğu bir şeydir bu. Birçok aletteki, sitedeki ve hesaptaki verilerinizi güvende tutmak için lazım olan tüm şifreleme ve şifre çözme anahtarlarınızı yönetmeyi başarmak teoride mümkündür, tıpkı kendi kendinize apandis ameliyatı yapmanızın teoride mümkün olduğu gibi. Bir seferinde bu adam Antarktika’da becermişti, siz niye yapamayasınız?

Tanıdığım her zararlı yazılım uzmanının ellerindeki bazı dosyaların ne olduklarını unutmuşlukları, ardından ne olduğunu öğrenmek için tıklamışlıkları ve sonrasında analiz etmeleri gereken bir zararlı yazılımı aktif hâle getirdiklerini fark etmişlikleri var. Biliyorum çünkü bir seferinde içinde kötü bir şey olduğunu bilmeme rağmen bir PDF dosyasıyla aynısını yaptım. Anlattığımda arkadaşlarım bana güldü ve ardından sessizce hepsi aynı şeyin başlarına geldiğini itiraf etti. Eğer en iyi zararlı yazılım uzmanlarının bazıları bile ellerindeki saldırgan dosyaların ne olduklarını unutuyorsa, ebeveynlerinizin sizden gelmiş gibi görünen bir e-kart karşısında ne kadar şansı olabilir ki?

Neredeyse her gün aldığınız çalıştırılabilir mail ekleri (Word, Excel ve PDF gibi şeyler de dahil) hemen herkesten geliyor olabilir, insanlar Gönderen: kısmını istedikleri gibi doldurabilirler ve bu eklerden herhangi birisi bir 0gün gibi çalışarak bilgisayarınızı ele geçirebilir. Muhtemelen bu yüzden büyükanneniz Ruslara çalışmaya başladı ve rakipleriniz tüm ürün planlarınızı önceden biliyor. Ama gelen ekleri açmayı reddederseniz, modern dünyada bir ofis işinde çalışabilmeniz imkansız hâle gelir. Seçiminizi yapın: ya daima tehlikeli ve zararlı yazılımlara tıklama riskiyle yaşayacaksınız ya da bir köprü altında yaşamaya başlayıp eski evinizin bahçesine notlar bırakarak çocuklarınıza onları ne kadar sevdiğinizi ve özlediğinizi söyleyeceksiniz.

Güvenlik ve gizlilik uzmanları metadata ve ağ paylaşımı konusunda insanlara nutuk atıyorlar ancak bunları kontrol altında tutmak ancak her sabah kendinize kan testi yapmak kadar kolay ve doğal. Toplumsal açıdan özel hayatımızdan vazgeçmenin riskleri korkutucu. Ama bunu korumak için bireysel olarak göstereceğiniz çaba da sizi sosyal anlamda sakat bırakacak sonuçlara neden olabilir. Tüm bunlar kendimiz ve ailemiz için istediklerimizle, insanlar olarak hayatta kalmak için topluluklara ihtiyaç duymamız arasındaki boktan bir yıpratma savaşı — şirketler tarafından nakde çevrilen ve devletler tarafından gözetlenen bir Meksika açmazı.

Ben de tüm bunların içerisinde yaşıyorum ve sizden iyi hâlde değilim. Bir seferinde gizli kaynaklarımdan birisine kimliğimi doğrulamak için bir sürece girmiştim. Bulunduğum yeri ve zamanı gösteren bir grup fotoğraf çekmem gerekiyordu. Hepsini yükledim ve röportaja devam etmek için iznimi aldım. Ancak sonradan ortaya çıktı ki bu doğrulama fotoğraflarından hiç birisi ona ulaşmamıştı, çünkü tedirgin bir şekilde bilgisayarımı kapattığım için yükleme tamamlanmamıştı. “Peki neden röportaja izin verdin?” diye sordum kaynağıma. Cevabı, “Çünkü sadece sen bu kadar aptal olabilirdin.” oldu.

Touché.

Eğer benim gibi kendisini bu konularda iyi eğitmiş ve bu konulara sürekli dikkat eden bir yetişkin bile beceremiyorsa, gerçek işleri ve hayatları olan insanların ne kadar şansı olabilir ki?


Sonuçta, bozuk olan kültürün kendisi.

Birkaç yıl önce, gizlilik ve güvenlik yazılımları konusunda çalışan ve saygı duyulan bir grup insana gittim ve onlara sorular sordum.

Öncesinde bir şeyi açıklamam gerekiyordu:

“Dünyanın büyük bir kısmı kullandıkları bilgisayarlara yazılım kurma yetkisine sahip değil.”

Dünyada bilgisayar kullanan birçok insan, kullandıkları bilgisayarların sahibi değil. Bu bir kafe, okul, işyeri ya da dünyanın büyük bir kısmı olabilir, sonuçta bir masaüstü uygulaması kurmak her zaman bir seçenek olmuyor. Haftada ya da iki haftada bir, daha iyi güvenlik ve gizlilik imkanlarına muhtaç birileri benimle iletişime geçiyor ve onlara yardımcı olmaya çalışıyorum. “Şunu indi…” diye başlıyorum ve orada duruyoruz. Karşımdaki kişinin söylediği bir sonraki şey bilgisayarına bir yazılım kuramadığı oluyor. Genellikle bunun sebebi, bir yerlerde bir IT departmanının ağı yönetmek adına onların yetkisini kısıtlaması oluyor. Bu insanlar ellerinin altında olanlarla kullanabilecekleri araçlara ihtiyaç duyuyorlar, bu da genellikle web tarayıcılar oluyor.

Hackerlara, kriptograflara, güvenlik uzmanlarına, yazılımcılara ve diğerlerine sorduğum soru şuydu: Bilgisayarına yeni bir yazılım indiremeyen insanlar için en iyi seçenek nedir? Cevap hepsinde ortaktı: hiçbir şey. Hiçbir seçenekleri yok. Düz metinde konuşmaya devam etmeliler dendi, “bu sayede yanlış bir güvenlik duygusuna kapılmazlar.” Daha iyi yazılımlara erişimleri yoksa, onu izleyenleri rahatsız edecek bir şeyler yapmasalar iyi olur dediler. Ama onların hükümetlerle, şirketlerle ve suçlularla uğraşan ve gerçekten zarar görebilecek aktivistler, organizatörler ve gazeteciler olduğunu, gerçekten tehlikede olan insanlar olduğunu söyledim. O zaman kendilerine bilgisayar almaları lazım dediler.

Bu kadardı, cevap buydu: ya kendine bilgisayar alabilecek kadar zengin ol ya da geber. Bunun yeterli olmadığını söyledim, birkaç mantıksız Twitter kavgasında karalandım ve yoluma devam ettim.

Kısa bir süre sonra bağlantının nerede koptuğunu anladım. Yine aynı uzmanlara gittim ve açıkladım: vahşi koşullarda, gerçekten tehlikeli durumlarda -insanların silahla avlandığı durumlarda bile- şifreleme ve güvenlik çökse bile, insanlar konuşmayı bırakmıyorlar. Sadece yakalanmamayı umuyorlar.

Şans oyunlarını binlerce yıldır ayakta tutan insanların bu uzun olasılıklara karşı savaşma dürtüsü. “Belki bundan paçayı kurtarırım, denemekten ne çıkar!”

Düşman yapılara karşı iletişimlerini otosansürleme konusunda teknolojiyle arası iyi olmayan aktivistler Anonlar ne kadar iyiyse o kadar iyi; veya metadata, sosyal medya paylaşımları ya da OTR şifreleme başlamadan önceki mesaj konusunda dikkatli olması gereken insanlar kadar. Hepsi uçar.

Bu sohbetler, aktivistlerin veya gazetecilerin sürekli bir şeyleri riske attığının farkında olmayan güvenlik tayfasındaki bazı insanları uyandırdı. Kimileri o zaman öldüren mantıksız Twitter kavgalarında benim tarafıma geçti, mükemmel olmasa da bir şeylerin olmasının hiçbir şeyin olmamasından daha iyi olacağını fark ettiler. Ama güvenlik camiasının büyük kısmı mükemmel kodlarını yazacakları mükemmel dünya için bekliyor.


Bir de diğer yanda İstihbarat Topluluğu var, kendilerine IC (Intelligence Community) diyorlar. Onların herkesi sürekli olarak izlemeyi bırakmasını çok isteriz ama onlar da bizim bu konuda mızmızlanmayı bırakmamızı istiyorlar.

Onlarla birlikte zaman geçirdikten sonra neden tüm bu şikayetleri hiç umursamadıklarını anladığıma eminim. IC içerisindekiler dünyanın en çok gözetim altında tutulanları arasındalar. Yaptıkları her şeyin ince dişli bir tarakla -iş arkadaşları, patronları, avukatları, diğer teşkilatlar, başkan ve kimi zaman meclis- elden geçirildiğini biliyorlar. Onlar canlı yayında izleniyorlar ve bundan şikayet etmiyorlar.

Artan gözetime karşı yapılan tüm bu çağrılarda, insan doğasının temelleri ihmal ediliyor. Casuslara yaptıklarının yanlış olduğunu onlara daha fazlasını yaparak öğretemezsiniz.

Her zaman boşluklar olacak ve bu boşluklar olduğu ya da yaratılabilir olduğu sürece, gözetim olabildiğince yaygın olmaya devam edecek. İnsanlar genelde benmerkezci yaratıklardır. Casuslar da birer insan ve gizlilik olmadan yaşamanın neden kötü olduğunu kendileri deneyimlemedikleri sürece bilemeyecekler.

Ancak bu daha küçük bir sorun. Kültürel felaket, herkesi izleme işini kolaylaştırmak için asıl yaptıkları şey. Tüm bu açığa çıkanlar arasında en rahatsız edici olanlar 0gün marketi, açık istifleri ve standartların zayıflatılmasıydı. Asıl soru, tüm bu açıklar, şifre çözmeler, dinlemeler ve profil çıkarmalar içerisinde güvende tutulan “biz”in içerisine kimlerin dahil edildiği. Natanz’a Stuxnet üzerinden saldırdıklarında ve diğer tüm nükleer tesisleri saldırıya açık bıraktıklarında sessizce farkına vardık ki soruda geçen “biz” IC ile başlıyor ve bitiyor. İşte asıl büyük tehlike burada.

Ne zaman IC ya da DOD (Savunma Bakanlığı) ya da Yönetim Kurulu tek gerçek Amerikalı ve geri kalan bizler emir altındaki Amerikalılar olarak görüldüğünde ve daha kötüsü Amerika’yla ilişkisi olmayanlar insan olarak bile görülmediğinde; bizler sadece zaman geçtikçe insanlığımızı kaybediyoruz.

İsteklerimiz IC ile çakıştıkça, onların gözünde daha da değersiz ve elimizdeki haklara layık olmayanlar oluyoruz. NSA’in her açık istifinde ve altyapılarımızdaki kriptografik güvenliğe her müdahalesinde, bu açıkları NSA dışındaki insanlar üzerinde kullanmanın çok da önemli olmadığını anlıyoruz. Kendilerini korumak, bizleri korumaktan önce geliyor.

Askerlere karşı iyi olmamızın, onları onurlandıran ve onlara teşekkür eden geleneklere sahip olmamızın teoride bir sebebi var, çünkü onların bizlerin iyiliği için kendilerini feda ettiğini düşünüyoruz. Ancak NSA için tam tersi geçerli durumda. Bizim iyiliğimiz, güvenliğimiz onların dünyayı gözetleme işini kolaylaştırmak için feda ediliyor. Ve bu güç kültürünün bir parçası olduğunda, her türlü istismarın yolda olması anlamına geliyor.

Ancak tüm bu kültürel sorunların en büyüğü hâlâ üzerinde durmadığım bir grupta yatıyor, tüm bu çılgınlığın içerisinde hayatlarını sürdüren normal insanlar.

Normallerle teknoloji arasındaki sorun, normallerle siyaset ve genel olarak toplum arasındaki sorunla aynı. İnsanlar güçsüz ve yalnız olduklarına inanıyor ama onları yalnız ve güçsüz bırakan tek şey de bu inançları. Bir arada çalışan insanlar son derece ve korkutucu derecede güçlü hâle geliyor.

Ortak bir hayal etrafında organize olan insanların meydana getirdiği bir hareketin yapabileceklerinin elbette bir sınırı vardır ama biz daha o sınırı bulamadık.

Facebook ve Google çok güçlü görünebilir ama total yıkım her an sadece bir hafta uzakta olabilir. Bir sosyal ağı tek kişinin bırakmasının, o kişiye maliyetinin ağır olacağını biliyorlar, ama topluca bırakıldığında bu tamamen sıfıra iner. Windows’u daha iyi yazılmış bir sistemle değiştirebiliriz. ABD hükümeti bir genel isyanla sadece birkaç günde devrilebilir. Bir toplu göç ya da isyan her şeyi değiştiremez, çünkü şirketler ve hükümetler ölmektense istekler karşısında esnemeyi tercih ederler. Ancak bunlar paçayı kurtarabilecekleri her şeyi de yaparlar, ve onların paçayı kurtarmasına izin verenlerin bizler olduğunu hep unutuyoruz.

Bilgisayarların hem gizlilik hem de koordinasyon içinde çalışamamasının sebebi bunun matematiksel olarak imkansız olması değil. Verilerimizi organize edecek veya güvenle şifreleyecek birçok şema var, gizliliğimizi geri kazanabileceğimiz ve bilgisayarlarımızın temelde daha iyi çalışmasını sağlayabileceğimiz birçok yol var. Bunlar henüz biz olmalarını talep etmediğimiz için gerçekleşmiyor, bunları yapacak yeterince zeki birileri olmadığı için değil.

Evet; geekler, yöneticiler, ajanlar ve ordu dünyanın ağzına sıçmış olabilir. Ama sonuçta, bir araya gelerek dünyayı bu boktan temizlemek de biz insanların işi.