Hadi gelin şunu bir konuşalım.
Özellikle de arkasında bir kurum olmayan, karşımda muhatap bulup bulamayacağım bir yazılıma ne güveneyim diyenlerin ne diyeceğini merak ediyorum.
Not: Kesinlikle Micros~1'un başına geldi diye de yazmıyorum bunu, isteyen yerine başka başka bir ticari firma koysun. Burda tartışmak istediğim, eli yüzü düzgün, şahane ofisleri olan, uzun bacaklı marketing elemanlarına, yakışıklı satış temsilcilerine sahip, oyunu kuralına göre oynayan firmaların verdiğini söylediği ve gerçekte verdiği teknik destekle ilgili. Bu yüzden lütfen "Micros~1 böyle zaten, bunlardan da bu beklenirdi" gibi ifadelerden kaçınıp tartışmanın özüne dair bir şeyler katmanızı bekliyorum.
Durum şu; işletim sistemi üreticiniz size diyor ki "Evet böyle bir açık var 27 Aralık'da ortaya çıktı, evet gelmiş geçmiş en büyük güvenlik açığı, Windows 95'den bu yana bütün sistemleri ilgilendiriyor. Şu anda bir yama üstünde çalışmaktayız. Yama bitti, çalışıyor, fakat bir hafta kadar yan etkilerini test edeceğiz ve tahmini olarak 10 Ocak gibi de yayınlayacağız. Zaten ortada bu açığı kullanan pek bir tehdit de yok çok endişelenmeyin"
Ne yaparsınız?
Bir düşünelim, genel yaklaşım başta Sans olmak üzere, Security Focus, packetstorm gibi siteleri dolaşıp bu konuda bilgi edinmeye çalışmak olacaktır sanırım. Ve bu araştırma sonucunda, SANS'ın da tavsiye ettiği, güvenilir bulduğu bir bağımsız uzmanın hazırladığı resmi olmayan bir yama ile karşı karşıya kalıyorsunuz.
Ve görünen o ki, önümüzdeki beş gün içinde en iyi çözüm bu. Ne yaparsınız?
Gelmek istediğim nokta belli. Gidin belli bir ölçeğin üstündeki yazılımlara bakın, altyapıda kullanılan yüzbinlerce dolarlık yazılımlara, büyük sistemlere. Yeteri kadar kullanımdan sonra mutlaka bir sorun çıktığında haftalarca üreticiden "tamam sizin vakayı not ettik, ilgileniyoruz" dışında bir cevap alamadığı ya da saatlerce telefon konuşmaları yapıp, en sonunda "bu bir bug, bir sonraki versionu bekleyin" cevabıyla karşı karşıya kaldığı durumlarla karşılaşacaksınızdır. Dahası, çeşitli eskalasyon süreçleri sonunda (eğer iyi bir firmaysa) karşınıza yazılımın o kısmını yazmış olan kişi ile karşılaşabilirsiniz son kontatk olarak?
Sorun şu ki, birçok çalışanın derdi aslında problemin çözülmesi değil. Özgür Yazılım camiasının aslında anlayamadığı asıl nokta bu, çözüm odaklı yaklaşıyor oldukları ve bunun yanlış olması. Risk yönetiminde de esas, riski yoketmek değildir. Çünkü eğer ortada risk yoksa, iş de yoktur, mesele riski yoketmek değil, riski yönetmektir. Bir risk varsa, ya bunu minimize edersiniz, ya karşılığını değerlendirir kabullenirsiniz, ya da delege edersiniz.
Dolayısıyla, bir problem çıktığında ve bu problem üretici firma çözüm sağlamadığından dolayı çözülemediğinde birçok güzide kurumumuzda çok büyük de dert yaşanmaz. Sorumluluk delege edilmiştir, cevap bekliyorsunuzdur.
Ama Özgür Yazılım'la iş yapıyorsanız, gidecek yolunuz vardır, problemlerinizi zaten birçok durumda işe yaramayan, kaçış noktaları olan bir bakım anlaşmasıyla değil, bilgileriniz, bağlantılarınız ve birçok durumda hiçbir karşılık gözetmeden bilgi alabileceğiniz Özgür Yazılım camiasından aldığınız desteklerle çözebilirsiniz.
Peki ne oldu? Ben birkaç tane sümüklü üniversite öğrencisinin yazdığı yazılım konusunda allahbilir nasıl destek alırım? diyerek burun kıvıran müdürler, sonuçta bir elemanın yazdığı resmi olmayan yamaya kaldılar. Yukarda belirttiğim gibi koskoca şirketler, operasyonlarının en büyük yükünü alan yazılım işlemez olduğunda, yazılımı yazan kişiye kadar gitmek durumunda kaldılar. Hani bu Özgür Yazılım'ların zayıf noktasıydı? Hani insana bağımlı kalmak kötüydü? Peki bu şekilde bağımlı olabileceğiniz ve böyle birisi olduğu için günü kurtardığınız durumlar ne olacak?
Asıl soruya dönersek peki madem böyle durumlar var ve bunlar çok da istisna kabilinden değil, Özgür Yazılım dünyasının yanlış yaptığı şey ne öyleyse? Veya neden bu model, bütün bu avantajlarına rağmen yarışa geriden başlıyor gözüküyor ya da hakettiği ilgiyi görmüyor sizce? Bu "kurumsal destek" yalanını yöneticilere anlatabilmenin yolu ne?
Ne dersiniz?
27 Aralık tarihinde ortaya çıkan Windows Meta File Exploit bir fenomen halini almış durumda. Windows 95'den bu yana bütün sürümlerde bulunduğu tespit edilen açık, Internet Explorer üstünden gösterilen imajlar vasıtasıyla kod çalıştırılmasını sağlıyor ve en çok Windows XP'leri etkiliyor.
Microsoft tarafından yapılan açıklamada resmi yamanın 10 Ocak'tan önce yayınlanamayacağının belirtilmesi çok ciddi endişeler uyandırıyor. Bazı uzmanlar gayri resmi bir yamayı önerirken, Mozilla Firefox kullanıldığı takdirde sözkonusu kod çalıştırılmadan önce kullanıcının onayının istendiği ve bunun geçici bir önlem olabileceği belirtiliyor.
Microsoft tarafından yapılan açıklamada resmi yamanın 10 Ocak'tan önce yayınlanamayacağının belirtilmesi çok ciddi endişeler uyandırıyor. Bazı uzmanlar gayri resmi bir yamayı önerirken, Mozilla Firefox kullanıldığı takdirde sözkonusu kod çalıştırılmadan önce kullanıcının onayının istendiği ve bunun geçici bir önlem olabileceği belirtiliyor.
