ErenTurkay

ErenTurkay

Eren Türkay

http://erenturkay.com/

İrlanda


0 takip ediyor | 0 takip ediliyor


Bilgi alanları

AmateurRadio DNS Networking linux

İlgi alanları

Programlama ve Programlama Dillerinin İlkeleri: Açık Ders ( 4)

Videonun basinda COMP 313 ve 314 gorunce once birkac damla yas gozlerimden suzuldu :) O dersleri alabilen son nesilden biriyim ve gercekten cok ogretici/egitici derslerdi. Sonrasinda Bilgisayar Muhendisligi mufredatindan kaldirildi ve CS de kapanmisti zaten. Master Class dersleri de her daim eglenceliydi.

Velhasil, ulkede guzel seyler cezasiz kalmiyor. Bu videolarin internet ortamina tasinmis olmasi sevindirici.

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?) ( 9)

İnsan düşünmeden edemiyor; bir akademisyen bir ticari yazılımı kimin kullanıp kullanmadığına neden bu kadar kafayı takar ve popüler olan bir yazılımın kullanıcı kaybı yaşama ihtimali ile neden bu kadar ilgilenir.

Zeynep Tufekci'nin populer bir yazilimin kullanici kaybi ile ilgilendigini hic zannetmiyorum ve yazdigi yazida buna dair bir emare mevcut degil. Bahsedilen su:

Since the publication of this story, we’ve observed and heard from worried activists, journalists and ordinary people who use WhatsApp, who tell us that people are switching to SMS and Facebook Messenger, among other options–many services that are strictly less secure than WhatsApp.

Burada kalkip baglantida oldugu aktivistlerin, gazetecilerin isimlerini teker teker yazip "alin elimde veri var" demesini beklemeyin lutfen.

Yazinin tamamini okudunuz mu bilmiyorum ancak yukarida yazdiginiz butun yorumlarin cevabini bulabilirsiniz. Alintilayacak olursam:

Signal is well-designed. Many in the security community use and consistently recommend it. However, the very thing that makes Signal a recommendation for people at high risk—that it drops messages at any sign of hiccup—prevents a large number of ordinary people from adopting it. Our community has used Signal for a long time, and have been trying to convert people to it, but its inevitable delivery failures (some by design, to keep users safer, and some due to bandwidth or other issues) mean that we often cannot convince people to use it despite spending a lot of effort trying to convince them—even people who have a lot at stake.

Onceki yorumlarimda bahsettigim gibi burada backdoor mevcut degil, kullanilabilirlik icin yapilmis bir trade-off mevcut. Bu sekilde "whatsapp guvenli degil, icerisinde backdoor var" gibi yanlis bir yaziyi Guardian'da yayinlarsaniz, FUD yaymis olursunuz. Bu da konu hakkinda pek bilgisi olmayan ancak tek istegi kolay ve guvenli bir bicimde mesajlasmak olan insanlarin kafalarinin karismasina neden olur. Sonuc olarak da guvensiz alternatiflere sirf herhangi bir web sitesi "guvenli" diyor diye yonlenebilirler.

The reason people, including journalists and activists, use WhatsApp over Signal isn’t because people are flaky, but because in the real world, reliability, usability and a large user base are key to security. Activists and journalists communicate a lot with ordinary people, and need to be certain that their messages are communicated as reliably as possible, using the same system as their recipient will use–hence the advantage of WhatsApp with its huge user base.

Yukarida yazdigim yorumu tekrar ediyorum, Facebook'u yaptigi diger her sey uzerinden elestirebilirsiniz ancak WhatsApp'in milyonlarca normal insana uctan-uca sifrelemeyi kolay ve kullanilabilir bir bicimde sunmasi bunlardan biri degil. Ayni zamanda hepimiz biliyoruz ki Guardian haberi tamamiyle yaniltici ve attiklari baslik baska bir sekilde olmaliydi.

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?) ( 9)

WhatsApp geçmişinde ciddi güvenlik açıkları yaşadı. Bundan daha doğal bir şey de olamaz çünkü merkezi bir sunucu üzerinden gerçekleşen iletişim en nihayetinde ne kadar güvenli olabilir ki

Buna katilmiyorum. Ayni anaolji ile HTTPS de guvensiz denmis oluyor ki merkezi bir sunucu ile iletisime geciliyor ve dogru yapilandirildigi zaman gayet guvenli. Buradaki problem sunucunun merkezi ya da P2P oldugu ile alakali degil. P2P olsaydi da ayni durum soz konusu olacakti. Madde halinde yazdiklarinizi destekleyecek somut ornekler verebilirseniz daha saglikli olacagini dusunuyorum. Bu hali ile maalesef spekulasyondan oteye gecmiyor.

Güvenli veya kolay: Birini seçmek zorunda mıyız? (veya: WhatsApp gerçekten güvenli mi?) ( 9)

Buradaki tartisma konusu biraz da kullanilabilirlik ve guvenlik uzerinde. Arastirma konusu olan "guvenlik acigi" ana akim medya tarafindan sanki butun mesajlar okunabilecek ve WhatsApp arka kapi koymus gibi veriliyor ki yazida aciklandigi gibi durum boyle degil.

Durum: Kullanici offline oldu, yeni bir cihaz aldi veya MITM yapilarak araya girildi, dolayisiyla yeni bir anahtar olusturuldu ancak diger butun kisilerde eski anahtar var. Kullanicinin offline olmasi ile yeniden online olma arasinda birtakim mesajlar gonderildi.

Burada 2 secenek var: 1. Signal: Bu gonderilen mesajlari ve sonrasinda gonderilecek olan mesajlari karsi tarafa ulastirmayip, manuel olarak 2 kullanici arasinda anahtarlari dogrulamayi istiyor. Bu telefonlari ayni ortamda bulundurup QR code okutmayi iceriyor. Kullanilabilirlikten odun veriyor. 2. WhatsApp: Bir trade-off yaparak kullanilabilrligi tercih ediyor. Karsi taraf ile anahtar dogrulamasini otomatik yapiyor ve bildirim olarak "bu kullanicinin anahtari degisti" mesaji gonderiyor (eger secili ise). Offline olarak gonderilen mesajlar yeni anahtar ile sifrelenip kullaniciya gonderiliyor ve bu da MITM'a olanak olusturuyor.

WhatsApp milyonlarca kisiye uctan uca sifreleme sunarak mesajlasma uzerinde devlet denetimini daha da zorlastirdigi icin onemli bir teknoloji. Hicbir sekilde bunu uygulamayip yollarina devam edebilirlerdi ancak bunu tercih etmediler. WhatsApp ya da Facebook'u baska her turlu sebepten elestirebiliriz ancak uctan uca sifrelemeyi milyonlarca kisiye cok kolay bir bicimde saglamak bunlardan biri degil.

Ayrica WhatsApp "yazilarinizi kimse goremez" araci degil. Sadece son kullanici icin yeterince guvenli bir mesajlasma araci. Eger daha buyuk bir derdiniz var ise kullanilabilirlikten odun verip baska araclar kullanmaniz en mantikli hareket.

Dyn, DDoS ve Mirai ( 8)

Bu cok ilginc. Normalde SERVFAIL durumunda sorguyu yapan DNS cozumleyicisinin tekrar sorgu yapmadan önce SOA kaydndaki negative TTL kadar beklemesi gerekir diye biliyordum ben. Aksi halde bahsedildigi gibi TTL'in dolmasiyla birlikte cok ciddi bir DNS Amplification durumu yasanacaktir.

Negative TTL sadece NXDOMAIN cevabi durumda ise yariyor. Bu durumda ise refresh timeout gectigi icin SOA kaydina ulasmak istediginde bunu basaramiyor ve SERVFAIL aliyor. Bu noktada hangi resolverin nasil implement ettigini bilmiyorum ancak su cevapta biraz aciklamis. Yeni Bind versiyonunda hardcoded olarak 1 saniye olarak ayarlanmakta. Binlerce insanin Dynect servisine sorgu yaptigini varsayarsak halihazirda saniyede Twitter/Github/Spotify kullanan insan sayisi kadar istek gonderilecek ki az buz bir rakam degil :)

Bu noktada yapilmasi gereken esasinda exponential backoff tarzi bir teknigi uygulamak. Bildigim kadariyla DNS sunucularinda bu implement edilmis degil.

Dyn, DDoS ve Mirai ( 8)

Genellikle ICMP paketi gönderildiğinde TTL 0'a ulaştığı zaman bu paketi geri göndermeyip işliyorsa, arada başka bir router'ın olduğunu MTR uygulaması görebiliyor ancak paket geri gelmediği için ne olduğunu gösteremiyor. Konu ile ilgili stackoverflowida şöyle bir soru sorulmuş ve yukarıdakı durumu açıklayan cevap da yazılmış.

URL Parametrelerini doğru kullanmayınca başa gelenler ( 2)

Haha. En azindan HTML taglerini temizleyecek kadar zahmete girismisler :)

2017: Bir yatırım cenneti olarak Türkiye ( 17)

Yorumun "doviz ile kazanip TL ile harca" kismina katiliyorum. Elimdeki veri seti buyuk olmamakla birlikte genellestirme yapmaktan kacinarak cevremdeki bircok kisinin (ben de dahil olmak uzere) yurtdisinda yasama karari ekonomik sebepler ile degil, tam aksine yukarda bahsedilen yasam kalitesi.

Merak ettigim sey ise Turkiyedeki yazilim sektoru disaridan is alabiliyor mu yoksa icinde bulunulan politik durum dolayisiyla bu konuda da bir gerileme mevcut mu?

Fazlamesai: Yine Yeni Yeniden (veya: The Matrix Reimagined) ( 29)

Hadi bakalim hayirli olsun. Yeni arayuz gercekten cok hos olmus.

PlayOnLinux ( 7)

Tabiriniz ile "bizden biri" olması hataların göz ardı edilebileceği anlamına gelmiyor.. En azından bir alıntı yapıldığında nereden yapıldığını belirtmeyi unutmamak gerek, gözden kaçırılmış olabilir tabi ama bunun gözardı edilmesi hoş olmazdı bence. :)

PlayOnLinux ( 7)

Bu yazı ozgurlukicin.com adresinde "Deniz Ege Tunçay" imzası taşıyor. Ve öyle görünüyor ki hiç bir kaynak belirtmeden aynen kopyala-yapıştır yapmışsınız ki bu kabul edilebilir bir davranış değil...

http://ozgurlukicin.com/oyun/playonlinux/

Pardus GNU/Linux Dağıtımını Çinliler Kullanacak Mı? ( 14)

Biz geliştiriciler neden bu olaydan haberdar değiliz acaba? Yüce medyamızı kutluyorum, bizden önce haberleri oluyor!

Çağrı: Kodla.net ( 2)

Güzel bir çalışma olacağa benziyor, umarım çalışmanızda başarılı olursunuz. Her ne kadar henüz döküman yazılmamış olsa da takıldığım bir nokta var;

Tüm Hakları Saklıdır. ©2007 *.Kodla.NET

Bu ibare neyi belirtiyor? Herhangi bir lisans metni belirtilmemiş sayfada. Şu durumda ben kodla.net'de yazılan herhangi bir dökümanı aynen kopyalayıp kaynak belirterek de olsa yayınlayamam, sizden izin almam gerekir. Herhangi bir ticari amaç gütmeyen bir sitede bunun olması çok kötü. İsterseniz yazılan dökümanlar için Creative Commons lisans çeşitlerine bir göz atın, bu tür projeler için ideal.

Skype Sunucuları ve Ruslar? ( 3)

Hacker kelimesinin ne anlama geldiğini gayet iyi bildiğime inanıyorum, ben orada "Rus Hacker" gibi bir tamlamanın artık sıktığını da belirtmiştim, sanırım yanlış anlamışsınız..

Pardus gerçekten... ( 91)

Geliştirici listesindeki uslubunuz'a bir bakarsanız size verilen cevapların da ona layık olduğunu görürsünüz. Haber'e sadece size verilen cevapların linkini ekleyip "Pardus geliştiricileri şöyle, Pardus özgür değil" vs. şeklinde rant elde etmeye çalışmak komik olmuş. Söyler misiniz özgürlük denen kavramı tam olarak bildiğinizden emin misiniz?

Fazlamesai kullanıcılarına [0] linkinden başlayarak thread'leri okumasını rica ediyorum. Sayın Evrim Bey, lütfen insanları yanlış yönlendirmeyin, böyle yaparak hem kendinize zarar veriyorsunuz, hem de zamanımızı yiyerek yarar sağlamıyorsunuz.

O postada ne gibi bir açık kaynak felsefesinden bahsedebilirsiniz, söyler misiniz? Açıkca "alın bu dökümana bakın, bir şeyler öğrenin" diyorsunuz, hatta mantıklı birşeyler yazmaya bile üşenip o linkte yazanları kopyalıyorsunuz. Üslubunuz bu oldukça size siz gibi davranılacağını unutmayın.

"Bakın şu sayfada şunları yapmışlar, pisi'de şu eksik olmuş, bu eksikliği tamamlamak pisi'nin gelişmesine faydalı olabilir. Bu arada svn yerine git kullanmak dağıtık sürüm yönetimi için güzel bir araç, git kullanmamanızın bir sebebi var mı?"

Şeklindeki güzel ve yapıcı üslublu bir postaya düzgün yanıt vermeyecek bir geliştirici tanımıyorum. Varsa söyleyin?

Son olarak diyeceğim şu ki, kendi hatanızın farkında olun ve başkalarına saldırmaktan vazgeçin, hatayı önce kendinizde arayın, sonra "Pardus geliştiricileri şunları şunları dedi, kullanıcıları aşağılıyor, içlerine kapanık ve kendi bildiklerini okuyorlar" diyin...

[0] http://liste.pardus.org.tr/gelistirici/2007-June/008217.html

Xfce 4.4.1 ( 7)

Mail adresi düzeltilmesi yanlış yapılmış,

erenturkay@xfce.org olması gerekiyordu :)

PHP 5.2.1 Çıktı ( 3)

Gettext ile tr_TR locale kullanırken sınıf içerisindeki bir metoda erişemeyen ve bu hatanın php6'ya kadar çözülmeyecek olması söylenilen, yüzlerce güvenlik açığı olan bir dili kullanmak ne derece doğru bilmiyorum.

http://pear.php.net/bugs/bug.php?id=9381

http://bugs.php.net/bug.php?id=40086

Uzak Diyarlar, açık kaynak Türkçe MUD ( 28)

Size göre yanlış olan bu çeviriyi buraya yazmak yerine oyun geliştiricilerine bildirseniz daha yararlı bir iş yapmış olacaksınız. Zira eleştirilerin yerinin burası olmadığını düşünüyorum ki o yazı şahsımca çevrilen bir yazı değildir. Üretici kendi sitesinde böyle tanımlamış, benden nasıl farklı bir şey yazmamı bekliyorsunuz anlamıyorum?

Uzak Diyarlar, açık kaynak Türkçe MUD ( 28)

Buyrun paket şurada hazır :) Kurmak için;

$ sudo pisi bi http://svn.pardus.org.tr/contrib/applications/games/uzakdiyarlar/pspec.xml

$ sudo pisi it uzakdiyarlar*.pisi