Gizmodo, 1979'un en ünlü teknolojik aletlerini, ve o dönemin yaşam tarzını konu alan bir yazı dizisi yayınladı. Tüm geeklerin (ve/veya nostalji hastalarının) buradakileri bilmesi lazım :)

Uzun bir süredir kullanıcı parolarını ele geçirip sistemden sisteme SSH ile atlayan bir takım art niyetli ve/veya meraklı kişiyi takip ediyorduk. Onlar parola ele geçirdikçe ilgili kullanıcıların hesaplarını kilitleyi parolarını değiştirmelerini sağlıyorduk. Ara sıra oynadığımız bu köşe kapmaca fazla sık olmadığı için elle tutulur çok fazla önlem almamıştık.

Bu son bir haftalık bir süre içinde, ele geçirilen kullanıcı hesaplarından girilip, yerel açıklardan faydalanarak pek çok makinada root olunduğunu fark ettik. Root olduktan sonra saldırganımız, ssh sunucusunu ve istemcisini kendi getirdiği sürümlerle değiştiriyor; aynı makinaya bağlanan başka kullanıcıların parolalarını topluyor. ssh istemcisini değiştirerek de, bu ele geçmiş makina üzerinden yapılan diğer ssh bağlantılarındaki parolaları da kaydediyor.

Olayın çapı oldukça geniş, ele geçirilen makina üzerinden geçerek bağlantı kurulan tüm diğer makinalar da ele geçirilmiş. Bunun içinde sunucular, asistanların ve hocaların ofislerindeki makinaları, ve bağlantı kurdukları evlerindeki diğer makinalar da var. Bize yapılan saldırının aynısının kendi makinalarınıza yapılıp yapılmadığına bakmak için aşağıdaki komutları kullanabilirsiniz. Eğer komutlar ekrana çıktı veriyorsa siz de etkilenmişsiniz demektir.

strings /usr/sbin/sshd|grep "password auth from"
strings /usr/bin/ssh|grep "password auth to"

Temiz bir makinada bu komutlar çıktı vermiyor. Ancak komutun çıktı vermemesi makinanıza girilmemiş olduğunu garantilemiyor. Farklı bir yöntem kullanılarak bilgisayarınıza girilmiş olabilir. Eğer komutlar çıktı veriyorsa bizim makinalarımızda kullanılan yöntem ile sizin makinanıza da girildiğinden emin olabilirsiniz.

Saldırganımız çaldığı paroları /usr/share/doc ve /usr/share/locale altındaki dosyalarda şifrelenmiş bir biçimde tutuyor. "file" komutu bunları "data" dosyası olarak gösteriyor. Şüpheli dosyaları aramak için aşağıdaki komutları kullanabilirsiniz. Kurduğunuz paketlere göre /usr/share/doc altında bazı "data" dosyaları bulunuyor olabilir, bunlara tek tek bakarak şüphelerinizi giderebilirsiniz.

find /usr/share/locale/ -exec file {} \; | grep ": data"
find /usr/share/doc/ -exec file {} \; | grep ": data"

İşletim sisteminin farklı olmasının pek faydası olmadı bu saldırıda. Debian ve Ubuntu'nun farklı sürümlerinin yanı sıra Gentoo makinalara da girildiğini tespit ettik. Pardus ya da Fedora gibi başka bir dağıtım kullanıyor olmanız sizi tek başına korumaz; parolanız ele geçirildiğinde sudo ile root olunabilir. Ya da -şimdilik- sadece hesabınızı etkileyen bir keylogger ile root parolası ele geçirilebilir. Neler yapabileceğinizle ilgili aşağıda öneriler var.

Eğer makinanıza girilmişse, makinanıza tekrar güvenebilmek için sıfırdan kurulum yapmalısınız, çünkü saldırgan root olduktan sonra nereye nasıl bir arka kapı koyduğunu bulamazsınız. (Bazı şeyler bulsanız bile hepsini bulduğunuzdan %100 emin olamazsınız).

Yeni kurulum yaptıktan sonra bu tarz bir saldırıdan korunmanın yollarını şöyle sıralayabiliriz:

• Kurulu paketlere güncelleme geldiğinde bunları hemen uygulayın. Servisleri ya da makinayı yeniden başlatmanız gerekiyorsa bunu ertelemeyin. Kullandığınız dağıtımın güvenlik duyurularını takip edin. (Pardus, Debian, Ubuntu)
• SSH bağlantılarını sadece sizin kullanıdığınız bir kaç IP adresine sınırlayın.
• Parola ile girişleri devre dışı bırakın: sadece anahtar çiftleri ile girişe izin verin. Evet çok sert bir önlem ama, IP kısıtlaması uygulayamayacağınız kadar çok kullanıcınız varsa şart. iki yıl köşe kapmaca oynadıktan sonra makinaların kırılabilme eşiğini oldukça yükseltecek olan bu önlemi alacağız, sizlere de tavsiye ederiz. Böylelikle basit bir keylogger kullanarak yakalanan parola ile makinaya girilemeyecek, girilebilmesi için anahtar çiftindeki özel anahtar dosyasının da ele geçirilmesi gerekecek. Nasıl yapacağınızı öğrenmek için SSH ile anahtar çifti kullanımı yazısı faydalı olacaktır.
• Tek kullanımlık parolalara geçin: diğer iki önlemle birlikte de kullanılabilir. Özel anahtar dosyasının ele geçmesi senaryosuna karşı da korunmuş olursunuz. tek kullanımlık parola(one time password) yazısı yardımcı olabilir.

Son olarak siz de bir kurban iseniz; makinası ele geçirilen sistem yöneticileri için terapi grubumuza bekleriz :)

"Spam" olarak da bilinen "İstenmeyen e-postalar" ile mücadelede çeşitli yöntemler var. Eğer gmail, yahoo, msn gibi web tabanlı e-posta sağlayıcılarını kullanıyorsanız bu sağlayıcının sunduğu olanaklar dışında bir şey kullanamıyorsunuz. Eğer kendi e-posta sunucunuz varsa veya kurumunuzun e-posta sunucusunu kullanıyorsanız [[ ya da kurumunuzun sunucusunu yönetiyorsanız ;) ]], büyük olasılıkla SpamAssassin kullanıyorsunuzdur.

Spamassasin çeşitli kuralları uygulayıp, karalisteleri denetleyip her e-postaya ona göre bir "spam puanı" veriyor. Bir e-postanın spam puanı belirli bir değerin üstüne çıktığında ise istenmeyen e-posta olarak sınıflandırılıyor, ya işaretleniyor ya da posta kutunuza teslim edilmiyor.

Bir süredir bana gelen her istenmeyen postayı kara listelere bildiriyorum. Sizlere de aynısını yapmanızı tavsiye ederim. Ne kadar çok istenmeyen posta şikayet edilirse kara listelerin etkinliği o derece artar. Ayrıca, Türkiye'den bu listelere bildirim -tahminimce- az olduğu için Türkçe gönderilen spamlar hak ettikleri muameleyi görmüyorlar :) Bunun üstesinden birlikte gelebiliriz.

İstenmeyen posta bildiriminin en kolay olduğu iki kara liste uribl ve spamcop. Uribl, e-postaların içinde reklamı yapılan web sayfa adreslerini listeliyor. Spamcop ise, en az iki farklı kişiden şikayet gelmesi durumunda istenmeyen e-postanın kaynaklandığı ip adresini kara listesine ekliyor, bunun yanında bu IP adresinin ve -varsa- reklamı yapılan web sayfasının yer aldığı ağın yöneticisini haberdar ediyor.

spamcop'u kullanmak için özel bir şeye ihtiyacınız yok, üye olup giriş yaptıktan sonra, size gelen istenmeyen e-posta iletisini "Tüm başlık bilgileriyle birlikte" sayfadaki kutuya yapıştırıp, "Process spam" düğmesine basıp bekliyorsunuz. Daha sonra karşınıza bir analiz geliyor, burada e-postanın geldiği ip adresini, bulunduğu ağı ve o ağın yöneticilerinin e-posta adreslerini görüyorsunuz. Reklamı yapılan web sayfası adresleri için de benzer bilgiler görünüyor. "Send Spam Reports Now" düğmesine bastığınızda da ilgilere e-posta gönderiliyor. Daha önce belirttiğim gibi, e-posta göndermenin yanı sıra, yeterli sayıda şikayet geldiğinde spamcop'un kendi kara listesine bu IP adresleri ekleniyor. Detayları spamcop web sayfasında bulabilirsiniz.

uribl sadece spam ile reklamı yapılan web adreslerini listelediği için çalışması biraz farklı. Üye olduktan sonra önce "lookup" sayfasına web adresini yazıp listede yer alıp almadığına bakıyorsunuz "NOT Listed on URIBL" cevabı alırsanız sağ tarafta "request listing" bağlantısına tıklayarak listeleme isteyebilirsiniz. Karşınıza gelecek ekranda "List (required)" kutusunun içinden liste seçmeniz lazım. URIBL'nin farklı listeleme seviyeleri var ancak tüm şikayetlerin "black" listesi üzerine yapılmasını istiyorlar. Bu istenmeyen posta ve web sayfası ile ilgili kısa bir açıklama yapıp aşağıya postayı yapıştırın, ancak yine "tüm başlık bilgileriyle beraber" yapacaksınız unutmayın.

URIBL ile ilgili bir gözlemim; bir web sayfasının kara listeye girmesi için bir insanın onayından geçmesi gerekiyor. Her kabul edilen gönderiniz size "itibar puanı" kazandırıyor. Eğer üye olunca hemen Türkçe spamları raporlarsanız içeriği anlamadıkları için ve puanınız düşük olduğu için listelemeyebiliyorlar. Önceleri sadece İngilizce spamları raporlayıp bir miktar puan aldıktan sonra Türkçeleri de göndermenizi öneririm.

Bir e-postanın tüm başlıklarını(header) nasıl alacağınızı bilmiyorsanız, örneğin Thunderbird'de postanın üzerine tıkladıktan sonra "ctrl+u" klavye kısayolunu veya "Görünüm->Mesaj Kaynağı" menüsünü kullanabilirsiniz.

El ele verip spam ile mücadele edelim. Tabii en büyük mücadele arkadaşlarınızı ve ailenizi, virüs yuvası olup spam göndermekten sürüm sürüm sürünen windows makinalarından kurtarıp onları Linux ile tanıştırmakla olur, belirtmeden geçmeyelim :)

Bugün Anıtkabir'e gittim, her gittiğimde yaşadığım karmaşık duygular yine içimi kapladı.

Hüzün; yaşananan zorlukların, yapılan fedakarlıkların, feda edilen canların hüznü

Heyecan; bir halkı kurtarmanın, yoktan bir ülke yaratmanın heyecanı, 85 yıl sonra bile fotoğraflardan, panaromalardan, yüzlerden okunuyor

Gurur; güvenebileceği hiç bir şeyi olmadığı halde, dünyanın güçlü devletlerini karşısına alma cesaretini göstermiş, ve sonunda başarılı olmuş bir ülkenin evladı olmaktan duyduğum gurur

Hüzün; ülkemin ne hale getirilmeye çalışıldığını, üstelik bunun ne kadar "başarılmış" olduğunu görmenin hüznü

Heyecan; yurttaşlarımın benzer şeyler hissettiğini görmekten kaynaklanan, "her şey kötüye gitmek zorunda değil, yine başarabiliriz" umudunun verdiği heyecan

Gurur ? Var mı, çok şey yapabiliriz belki de, yeteneklerimiz dahilinde olanın ne kadarını yapabiliyoruz ? Neler yapabiliriz ?

Daha az kalabalık olduğu bir günde Anıtkabir'e gider, müzenin her yanını, her plakayı okuyarak gezerseniz bugüne kadar neler kaçırdığınızı görebilirsiniz. Belki Cumhuriyet'in heyecanını tekrar damarlarınızda hissedersiniz. Belki, güneş açar, içiniz umut dolar. Nöbet değişimi saatlerine denk gelirseniz, satılmış zihinlerin akıttığı bütün o zehire rağmen Türk İnsanı'nın, Türk Askeri'ne ne kadar sevgi duyduğunu gürürsünüz, belki içiniz ferahlar.

Eğer Debian GNU/Linux dağıtımını ya da Ubuntu gibi bir Debian türevini kullanıyorsanız farklı paket depolarını eklemiş olabilirsiniz. Örneğin Debian stable için yeni sürüm paketleri sağlayan backports.org olabilir.

Ancak bir paket kuracağınız zaman hangi depodaki sürümün kurulacağını anlamanın görünür bir yolu yok. apt-get, aptitude veya synaptic'te bunu göremiyorsunuz... diye biliyordum.

Aslında varmış bir yolu apt-cache policy PAKET_ADI. Örneğin debian üzerinde backports.org deposundan kurulan puppet böyle görünüyor;

# apt-cache policy puppet
puppet:
  Installed: 0.24.4-8~bpo40+1
  Candidate: 0.24.4-8~bpo40+1
  Package pin: 0.24.4-8~bpo40+1
  Version table:
 *** 0.24.4-8~bpo40+1 999
          1 http://www.backports.org etch-backports/main Packages
        100 /var/lib/dpkg/status
     0.20.1-1 999
        500 ftp://ftp.metu.edu.tr etch/main Packages

Ayrıca bir ek, backports.org deposundan paket kurmak için sayfasındaki talimatları düzgün okumanız gerekiyor, sonra saçınızı başınızı yolmayın :D Backports deposundan normal şartlar altında hiç paket çekilmiyor, aptitude -t etch-backports install PAKET_ADI ile veya /etc/apt/preferences dosyasında "Pin" kuralları tanımlayarak bu depodaki paketleri kurabiliyorsunuz.

Debian üzerine kurulu Apache web sunucusunda SSL şifrelemesinden yararlanmak için takip edilmesi gereken adımlar aşağıdaki şekilde. Diğer dağıtımlarda da SSL modülünü yükleyip yeni bir Virtual host oluşturmanın yolu farklı olabilir ama genel ayarlar aynı kalıyor.

Öncelikle elinizde bir ssl sertifikası olması lazım. startcom gibi ücretsiz sertifika veren bir yeri tercih edebilirsiniz. Aşağıdaki komutla "self-signed" bir sertifika üretebilirsiniz ancak web tarayıcıların yeni sürümleri bu sertifikalarla karşılaştığında hata mesajı gibi görünen uyarılar gösteriyorlar. Bu komutun sorduğu sorulara size uygun cevapları verin, dikkat etmeniz gereken nokta "Common Name (eg, YOUR name) []:" sorusuna cevap olarak sunucunuzun tam adresini girmelisiniz, bu adres ziyaretçileriniz sayfaya girmek için https://'den sonra yazacakları adres, yani "denemesunucum.example.com" gibi.

openssl req -new -x509 -days 999 -nodes \
-out apache.pem -keyout apache.pem

Sertifikayı /etc/apache2/apache.pem olarak kaydedin. İşlemlerin geri kalanını /etc/apache2/ dizini altında yapın.

"sites-available/default" dosyasının "sites-available/ssl" adında bir kopyasını alın. Bu kopyaladığınız ssl dosyasının baş tarafını aşağıdaki biçimde değiştirin. Kalın ve eğikgörünenler yapacağınız değişiklikler.

NameVirtualHost *:443
<VirtualHost *:443>
  SSLEngine on
  SSLCertificateFile /etc/apache2/apache.pem

sites-available/default dosyasını da aşağıdaki şekilde değiştirin.

NameVirtualHost *:80
<VirtualHost *:80>

ports.conf dosyasına, Apache'nin https portu olan 443. portu dinlemesi için gereken satırı ekleyin.

Listen 80
Listen 443

Aşağıdaki komutlarla Apache'nin SSL modülünü ve yeni eklediğimiz SSL vhostunu etkinleştirin.

a2enmod ssl
cd sites-enabled; ln -s ../sites-available/ssl 001-ssl

Daha sonra güvenlik duvarından 443/tcp portunun açık olduğundan emin olun ve apache servisini yeniden başlatın. Bunu yaptıktan sonra https üzerinden sayfanıza erişip her şeyin düzgün çalıştığından emin olun.

ODTÜ Bilgisayar Topluluğu'nun düzenlediği Bilişim Teknolojilerinde Gelecek etkinliğinde ilgi çekici oturumlar var. Fırsat bulursanız katılmanızı tavsiye ederim.

Öncelikle bilişim teknolojilerinin bilimsel tarafının akademisyenler tarafından ele alındığı "Akademik Açılımlar" oturumu var. Sonra endüstrinin geleceğe dönük öngörülerini dinleyebileceğiniz "ASUS'un IT Stratejileri".

Yahoo! Londra'dan gelen James Broad'ın "Web servisleri ve Web API'leri" oturumundan sonra, "Girişimcilik" konulu bir oturum var. Bu oturumun konukları bir süredir kendi şirketlerinin sahibi olan Bora Güngören ve Eren Bali'nin yanı sıra, lisans eğitimini birlikte tamamladığımız ve Yeni Fikirler Yeni İşler yarışmasının 2006 birincileri olan RotaSoft.

Son olarak, ODTÜ Bilgisayar Topluluğu'nun her sene düzenlediği Programlama Yarışması var. Bu sene 11'ncisi düzenlenen yarışmanın biçimi de değişti ve ekiplerin yarıştığı bir yarışma haline geldi. 19 Nisan'da gerçekleşecek çekişmeli finalin sonuçları da bu etkinlikte açıklanacak. Etkinlik programını aşağıda bulabileceğiniz gibi etkinliğin duyuru sayfasından da programa erişebilirsiniz.

Yer: ODTÜ Kültür Kongre Merkezi B Salonu
Tarih: 20 Nisan 2008 Pazar

• 12.00 - 13.30 : Bilgisayar Dünyasında Akademik Açılımlar
  • Prof. Dr. Volkan Atalay (Biyoinformatik)
  • Prof. Dr. Fatoş Tünay Yarman-Vural (Görüntü İşleme)
  • Yrd. Doç. Dr. Erol Şahin (Robotik)
  • Dr. Atilla Özgit (İnternet Teknolojileri)
• 13.45 - 14.15 : ASUS'un IT Stratejileri
  • Kaan Özden (Asus Kanal Yöneticisi)
• 14.30 - 15.30 : Web Services, API's and Yahoo!
  • James Broad (Developer at Yahoo! London)
• 15.45 - 17.00 : Bilişim Sektöründe Girişimcilik
  • Bora Güngören (Portakal Teknoloji)
  • Eren Bali (Eofer)
  • Gürkan Caner Birer (RotaSoft)
  • Munir Ercan (RotaSoft)
• 17.15 - 18.00 : Programlama Yarışması Ödül Töreni
  
• 18.00 - 18.30 : Kokteyl

NOT: ODTÜ dışından etkinliğe katılacak misafirlerimizin kampüs girişlerinde sorun yaşamamaları için 17 Nisan akşamına kadar hot-line@cclub.metu.edu.tr adresine katılacaklarını belirten bir e-posta atmaları gerekmektedir.

e-bergi'nin Şubat sayısında yayınlanan ve İlke Demir tarafından yazılan bu yazıda, SSH ile şifresiz/parolasız bağlantı yapmanın yolları anlatılıyor.

Bu uzun süredir kişisel hesaplarım için, yakın zamanda da sistem yöneticiliği işleri için kullandığım bir yöntem. SSH anahtar çiftleri ve ssh-agent kullanarak hem güvenli, hem de pratik bir yöntemle şifresiz/parolasız giriş yapabilirsiniz. (*) Burada dikkat edilmesi gereken bir nokta, ssh özel anahtarına mutlaka "passphrase" girilmeli, aksi taktirde dosyayı kopyalayan şakacı bir arkadaşınız, ya da makinanıza giren kötü niyetli bir saldırgan hesaplarınızda istediği gibi at koşturabilir. Passphrase yeterince uzun ve karmaşık seçilmeli ve içinde yetince büyük harf/sayı/abuk karakter barındırmalı.

Her bağlantıda hesabınızın parolasını girmek yerine, her bağlantıda ssh anahtarına passphrase girmek pratikte bir fayda sağlamayacağı için ssh-agent güzel bir çözüm. Bazı dağıtımlarda ssh-agent siz hesabınıza girdiğinizde çalışmaya başlıyor. Bazı dağıtım/masaüstü ortamları için ise dosyalar hazır bekliyor ancak gidip aktifleştirmeniz gerekiyor. Dağıtımınızın adı ile birlikte "ssh-agent" kelimesini ararsanız her açılışta nasıl ssh-agent çalıştırabileceğiniz ve anahtarlarınızı ona ekleyebileceğiniz konusunda detaylı bilgi bulabilirsiniz.

Ben Gentoo ve KDE kullanıyorum, yaptığım şey ise aşağıdaki dosyalarlarla ssh-agent'ı çalıştırmak, kapatmak ve anahtarlarımı sistem açılışında ssh-agent'a yüklemek. Dosyaları çalıştırılabilir hale getirmeyi unutmamak :) ve "gtk2-ssh-askpass" ya da "x11-ssh-askpass" programlarından birini kurmak gerekiyor.

~/.kde/env/ssh-agent.sh

#!/bin/sh
/usr/bin/ssh-agent -s > ~/.ssh/agent-env.sh
. ~/.ssh/agent-env.sh


~/.kde/shutdown/shutdown-ssh.sh

#!/bin/sh
/usr/bin/ssh-agent -k


~/.kde/Autostart/ssh-add.sh

#!/bin/sh
/usr/bin/ssh-add


(*) Bu noktada şifre mi parola mı tartışmasına girmek istemiyorum, doğrusu "parolasız" olacak, ancak ortada yoğun bir "şifre" kullanımı olduğu inkar edilemez bir gerçek, ve bence "password" ya da "pass" kullananlara kıyasla çok fazla da büyütülecek bir mesele değil.

Linux masaüstü ortamı olarak KDE kullanıyorum, ve bildiğiniz gibi KDE'nin dosya yöneticisi/web tarayıcısı yazılımı Konqueror.

Yakınlarda Konqueror'un güzel bir özelliğini keşfettim. Bir müzik CD'sini sürücüye taktığınızda, Konqueror'daki "System" kısmından sürücüye giderseniz, adres çubuğunda "system:/media/hdc" gibi bir adrese bakıyor olacaksanız. Buradaki klasörler aracılığıyla müzik CD'sindeki şarkıları wav, ogg, mp3 ya da flac biçimlerinde görebilirsiniz. Bu dosyaları diskinizde bir klasöre kopyalamaya çalıştığınızda, Konqueror devreye girecek ve şarkıları istediğiniz dosya biçimine çevirip öyle kaydedecek. Gidip program çalıştırıp dönüşümleri elle yapmakla uğraşmayacaksınız. Ancak bu işlem için öncelikle gerekli encoder programların kurulmuş olması lazım(mp3 için lame mesela).

Ayrıca yapabileceğiniz bir kaç şey daha var; tüm CD'yi yukarıdaki formatlarda tek bir dosya halinde de çekebiliyorsunuz, 60 dakikalık tek bir dosyanız oluyor, eğer işinize yarayacaksa. Information klasöründen de -CDDB'den bulunabildiyse- şarkıların isimlerine düz metin dosyası biçiminde ulaşabiliyorsunuz.

"Her dilde web uygulamaları yazabiliyorsak neden Bourne Shell ile yazamayalım" diye düşünülerek hazırlanmış Bourne Shell Server Pages bir yandan gerekli iğneleri batırırken bir yandan da çalışan bir sürüm ortaya koymuş. Üstelik web sunucusu da içinde :)

Bunu sistemimde(Gentoo Linux) çalışır hale getirmek için bir iki ufak değişiklik yaptım, ve bu sayfaya koydum. Buradaki iki .sh dosyasını /usr/local/bin altına, http dosyasını /etc/xinetd.d dizinine koyup, izinleri ayarlayıp xinetd servisini yeniden başlatırsanız, yukarıdaki sayfada örnekleri verilmiş olan *.shit dosyalarını işleyebileceksiniz. Onun dışında html dosyalarını da gayet güzel sunabiliyor :)

[ Ek 2007-11-26: SHSP'nin yazarı benim yaptığım degişiklikleri web sayfasına yansıttı. ]

ODTÜ Bilgisayar Topluluğu'nun hazırladığı elektronik dergi olan e-bergi'nin Ekim sayısında "Ağ Teknolojileri Tarihçesi" başlıklı kısa bir yazım yayınlandı. Bu yazıyı yazmama esin kaynağı olan olay ise bölümümüzün fotokopi odasında fi tarihten kalan bir vampir tapa bulmamız oldu. Anlam veremeyenler çok oluyor ama eski bilgisayar ve ağ donanımlarına bayılıyorum.

Daha önce de müzeye gönderilmekte olan iki adet Silicon Graphics(SGI) makinayı kurtarmıştım, bir Oxygen(O2) ve bir Indigo. Belki bir sonraki yazıda da bunları anlatırım. Oxygen'in en çarpıcı özelliklerinden birisi; tüm donanım tek bir vida kullanılmadan birleştirilmiş. Diskini, ses kartını ve güç kaynağını mandallarından tutup çekerek çıkarabiliyorsunuz. Bunlar günümüzde masaüstü makinalarda ve sunucularda olan özellikler; çarpıcı olan ise Oxygen'de anakartı da aynı şekilde çıkarabilmeniz ve de bu makinanın 1996'da tasarlanıp üretilmiş olması.

ODTÜ Bilgisayar Topluluğu öğrencilerden oluşan ve amatör ruhla Bilgisayar/Bilişim/Bilgisayar Bilimleri alanında çalışmalar ortaya koyan bir topluluk. Türkiye çapındaki programlama yarışması bu alandaki öncü çalışmalardan birisi. IOI, ACM gibi uluslararası üne sahip yarışmalardan bile önce, Linux ortamına geçen ilk programlama/algoritma yarışması.

Bilgisayar topluluğu'nun yeni bir çalışması da e-dergi. e-bergi ismindeki dergide bilgisayar ve yazılım alanındaki güncel gelişmelerden oyunlara, bilgisayar bilimlerinden sosyal-hukusal konulara kadar geniş bir yelpazede yazılar bulabilirsiniz. Derginin isminin nereden geldiğini merak ediyorsanız, "compute" sözcüğüne Türkçe karşılık olarak önerilen "bermek" sözcüğünden türetilmiş, bu sözcüğün ilginç hikayesini hikayesini Berimsel bir deneme adlı yazıda bulabilirsiniz.

Pek çok ofis uygulamasının uygulamanın halihazırda desteklediği, OASIS ve ISO onaylı, bir standart olan OpenDocument(ODF)[1],[2],[3] varken, Office Open XML(OOXML),* adında yeni bir standart onaylanmaya çalışılıyor. Standartlar herkesin üzerinde ortak karara varıp kabul ettiği ve kullandığı metinlerdir. Bu süreçten geçmiş ve onay almış bir standart varken, aynı alanda yeni bir standart ortaya atmanın gereksizliği aşikar. Bunun yanı sıra OOXML'in pek çok teknik yetersizliği var. Bir kaç örnek;

• Eski MS Office belgelerine uyumluluk adına tanımlanmış, ancak nasıl işlenmesi gerektiği belirtilmemiş etiketler. Bunlar sadece "şu program gibi davran" diyorlar, örneğin Word95GibiBiçimlendir. Standart "açık" olduğunu iddia ederken, programların bu tarz özellikleri kullanabilmesi için adı geçen programların nasıl çalışığının bilinmesi gerekiyor. Bu ise OpenOffice gibi programların yıllardır uğraşıp halen %100 gerçekleştiremedikleri bir durum.
• 1900'den önceki tarihler yanlış hesaplanıyor. MS Excel'in eski sürümlerinde, bir hata nedeniyle 1900 yılı artık yıl olarak işleniyordı. Yıllar öncesine dayanan bu hata 2007 yılında uluslararası bir standartta karşımıza çıkıyor ve "tarih/gün hesaplarını hatalı yapın" diyen bir standartımız oluyor. Bu konu hakkında bir yazı.

Liste daha devam ediyor, devamını aşağıda vereceğim adreslerde okuyabilirsiniz.

Ayrıca, OOXML'in içerdiği teknolojilerden bir kısmı patentlenmiş durumda. Patentlerin sahibi ise elindeki patentleri kullanarak Linux kullanan kişileri, şirketleri tehdit eden Microsoft. Standart yeterince açık olsa ve kabul edilse bile, bu standardı kullanan bir programı yazanlara Microsoft tarafından dava açılabilecek.

Peki zaten standardı olan bir konuda, pek çok teknik yetersizliği barındıran ve patent engelleriyle karşı karşıya olan yeni bir standart neden ortaya atıldı? OpenDocument ISO tarafından onaylandıktan sonra, pek çok ülkede hükümetlerin "açık standartlar" kullanma eğilimi artış gösterdi.

Bir devlet düşünün, arşivindeki eski tarihli belgeleri açamıyor, çünkü bu belgeler artık desteklenmeyen bir dosya biçiminde yazılmış. Dosya biçiminin içeriği gizli olduğu için sadece tek bir programla açılabiliyor, ve o şirket artık piyasada yok. Siz olsanız ne yaparsınız ?

Günümüzde böyle bir durum yok şimdilik, ancak bundan 10 yıl, 20 yıl sonra ne olacağını kim garanti edebilir? Bir şirket ürünü desteklemeyi durdurdu diye devlet arşiviniz kaybolup gidecek mi?

İşte açık standartların devletler için önemi bu noktada başlıyor. İçeriği tamamen bilinen bir dosya biçimi, belgenin oluşturulmasından yıllar sonra, belgenin oluşturulduğu program artık yoksa bile açılabilir. Açık standartlarla oluşturulduğu için tüm detayları bilinen dosyayı açmak, içeriğine ulaşacak programları elde etmek mümkün. Bunun önemi görüldükçe bu konuda istekler ortaya çıkmaya, devlet belgerinin hapis kaldığı kapalı dosya biçimlerine itirazlar seslendiriliyor. Çeşitli yasalarla açık standartların kullanılması zorunlu hale getiriliyor.

Bu noktada, aslında OASIS üyesi olan ancak ODF'nin standartlaşması aşamasında işbirliği için yapılan davetleri reddeden Microsoft, kendi Office serisi ürünlerinde kullandığı dosya biçimini XML tabanlı hale getiriyor, zaman kaybetmeden de standart olması için 6000 sayfalık bir belge hazırlanıyor.(Böyle bir şey[RESİM]) Standart olması için ECMA'ya yollanıyor, ECMA'da sadece IBM itiraz ediyor ve OOXML, ECMA standardı oluyor. Sonra ECMA bu devasa belgeyi ISO'ya yolluyor. Kıyamet de orada kopuyor.

Öncelikle ISO'daki ilgili komite OOXML'i "Fast Track" standart olarak işleme koyuyor. Bu yol, üzerinde herkesin anlaştığı, halen kullanılmakta olan ve birden faza bağımsız uygulayıcısı olan standartların bürokrasiye takılmaması için izleniyor. OOXML'e Microsoft dışında katkı yapan birisi yok, MS Office 2007 dışında kullanan program yokken "Fast Track" sürecinin işlemesi bir şeylerin tuhaf olduğunun göstergesi.

Daha sonraki oylama sürecinde, ilgili komiteye katılan üye ülkelerde ani bir artış görülüyor. Bu yeni katılan ülkelerin de neredeyse tamamı OOXML'e evet diyor. Pek çok ülkenin OOXML ile ilgili komitesine Microsoft ile iş yapan şirketlerin çalışanları katılıyor, hatta komite başkanı oluyorlar. İşler o kadar ileri gidiyor ki ulusal komite oylamasındaki usülsüzlüklerden ötürü İsveç "Evet" olan oyunu iptal ediyor. Ancak sonuçta yeterli sayıya ulaşılamıyor ve OOXML standart olamıyor. Ama her şey burada bitmiyor tabii ki, bir oylama daha var.

Bir sonraki aşama 2008 Şubat ayında yapılacak olan çözüm toplantısı(Ballot Resolution Meeting - BRM). Daha önceki oylama sırasında gündeme getirilen 3000'den fazla soruna çözüm aranması için düzenleniyor, ve ülkeler önceki oylarını değiştirebiliyorlar.

Türkiye'yi temsil eden Türk Standartları Enstitüsü ilk oylamada "Evet" oyu vermişti. Şubat ayındaki oylama için neler olacak bilmiyoruz. Ancak sakat bir tasarının standartlaşmaması için kollar sıvandı, bilişim dünyasından konuyla ilgili sesler yükseliyor. Günlüklerinde bu konuyu yazanlar artıyor. Özgürlük İçin sitesindeki çağrıdan sonra TSE Bilgi İşlem Daire Başkanlığı başkanının ve yine aynı dairede çalışan bir uzmanın Şubat toplantısına gideceği bilgisi geliyor TSE'den. Ancak bunun dışındaki sorulara bir cevap yok. *.

Sonra, Konuyu açıklayan bir belge hazırlanıyor. Bu konuyu mümkün olduğunca fazla kişinin dikkatine sunmak için, ve TSE'nin vereceği oyun OOXML'in hak ettiği koca bir "Hayır" olması için çaba sarfedilmesi gerekiyor.

Aşağıda konuyla ilgili derlediğim bağlantıları bulabilirsiniz.

• <no>OOXML, standarttaki ve süreçteki hataları, son gelişmeleri gösteren site. Sol tarafta Spec Issues kısmında OOXML'deki sorunları detaylı olarak bulabilirsiniz. http://www.noooxml.org/
• OOXML Harikalar Diyarında http://www.noooxml.org/forum/t-18842/fast-track-in-wonderland
• OOXML sürecinin başından sonuna yaşananları anlatan bir yazı. http://fanaticattack.com/2007/stuffing-it-up-odf-and-ooxml-document-format-battle.html
• OOXML'e yöneltilen eleştirileri http://en.wikipedia.org/wiki/Office_Open_XML#Sources_of_criticism
• TSE'nin Temmuz 2007'de yazdığı rapor. http://iso-vote.com/tse.html
• Groklaw'da OOXML kategorisinde yayınlanan yazılar. http://www.groklaw.net/staticpages/index.php?page=20051216153153504
• What Will and Won't Be Discussed at February's BRM on MSOOXML Şubat 2008'deki toplantıda OOXML'in patent sorunları, aynı alanda iki standart oluşması gibi sorunlara değinilemeyecek, sadece teknik konularda çözüm aranacak. Ayrıca toplantının yapılacağı salonun küçüklüğü ve son anda standart komitesine katılıp OOXML'e evet diyenlerin çokluğu nedeniyle yer sıkıntısı doğacak. ttp://www.groklaw.net/article.php?story=20071211055139790
• When do National Bodies get to change a vote on MSOOXML? Şubat 2008'de oylamanın yapılacağı salonun çok küçük olması sorun olabilir. (ISO'nun parası mı yok daha büyük bir salon için ? ) http://www.groklaw.net/article.php?story=200712122130537
• About maintenance of MSOOXML should it become an ISO standard OOXML standart olursa, bu standartta yapılacak değişiklikler tamamen ECMA'nın kontrolünde olacak, ve ECMA çok kısa bir süre içinde 6000 sayfalık standardı onaylarak bu konularda ne kadar hızlı olduğunu göstermişti. http://www.groklaw.net/article.php?story=20071206131310362
• ECMA'nın (ECMA: OOXML'i önceden onaylayan ve iso'ya gönderen kuruluş) gelen eleştiriler üzerine yapmayı planladığı değişiklikler. Bir şeyler iyileşiyor gibi görünse de, piyasa hakimiyetini korumak ve diğer programlarla uyumsuz olmak hedefindeki bir standardın gerçekten "açık" ve uygulanabilir, gerçekleştirilebilir olacağına inanasın gelmiyor. http://www.ecma-international.org/news/TC45_current_work/New%20set%20of%20proposed%20dispositions%20posted.htm