🪟 Windows Makineleri Öldü: Suç Microsoft'un Değil... - Hafta 29/2024

Herkese selamlar dostlar yeni bir bültene hoş geldiniz! Bugün 21 Temmuz 2024.

Bültende bu hafta CrowdStrike yazılımına gelen güncelleme dünyadaki bankacılık, uçuş, ve hastane gibi bir çok kritik sistemin bozulmasına neden oluyor. Mozilla, Firefox tarayıcısında kullanıcılarını takip ediyor, NVIDIA Linux'ta tamamen açık kaynak sisteme geçiyor ve Mistral NeMo adında yeni bir yapay zeka modeli duyuruyor.

Az önce bahsettiklerim ve daha fazlasına geçmeden önce bu bölümün sponsoru olan Hosting Dünyam'dan bahsetmek istiyorum.

Hosting Dünyam ucuz ve kaliteli VDS çözümleri sağlıyor. Seçenekler arasında Intel ve Ryzen işlemcili VDS'ler seçebiliyorsunuz, seçtiğiniz VDS'leri özelleştirme imkanı sağlıyor.

Örneğin seçtiğiniz pakete özel ek RAM, disk, CPU çekirdeği gibi şeyleri de satın alabiliyorsunuz. Böylece tamamen isteğinize uygun bir hale getirebiliyorsunuz.

Kurulum aşamasındaysa Ubuntu, FreeBSD, Windows, Debian dahil olmak üzere birçok işletim sistemini tek tıkla seçip kurabiliyorsunuz.

Sunucular Tier III standartlarına sahip veri merkezlerinde barındırılıyor. Bu da demek oluyor ki sunucularınız elektrik kesintilerine karşı yüksek korumaya sahip.

1 Gbit porta sahipsiniz ve sunucularda trafik limitlemesi yok! Dilerseniz de 10 aylık ücret ödeyerek 12 ay kullanabiliyorsunuz.

İstanbul lokasyonunda çalışan kaliteli VDS satın almak için bağlantıya tıklayabilirsiniz. Bültene sponsor oldukları için teşekkür ediyoruz.

Şimdi haberlere geçelim!

📰 Haftanın Olayı

İlk olarak haftanın olayıyla başlayalım. Bu hafta CrowdStrike yazılımına gelen bir güncelleme nedeniyle birçok Windows bilgisayarı açılamaz hale geldi. Dünya çapındaki birçok kritik sektörde işlemler yapılamadı. Uçaklar kalkmadı, hastanelerde bazı operasyonlar kesildi, bankacılık sistemlerine erişilemedi ve bu durum dünya çapında oldu.

Öncelikle şunu açıklayalım CrowdStrike nedir? Nereden çıktı bu firma? Ben de sizin gibi kendilerini ilk defa duydum. CrwodStrike Falcon adında bulut tabanlı bir güvenlik sistemleri varmış. Bu sistem anlık olarak sizin sisteminizi izliyor. Anti-virüs, güvenlik duvarı, USB cihaz koruması gibi özellikler sağlıyor.

Anladığım kadarıyla bütün bunları başarmak için bir çekirdek modülü kuruyorsunuz, root seviyesinde arka planda sistemi izliyor. Size web arayüzü sağlıyor.

Bu yazılım sadece Windows'ta yok, MacOS ve Linux için de var bu arada.

CrowdStrike'ı birçok sektör kullanıyormuş ve bir güncelleme yayınladıktan sonra bütün sektörler çöktü. Birçok insan suçu Windows'a atmış ama dürüst olalım burada Windows'un suçu yok. 2 büyük sorun var:

Birincisi CrowdStrike'ın test edilmeyen güncellemeyi tak diye yayınlaması. En kötü ihtimalle güncellemeyi bütün müşterilerine açmak yerine test ederek birkaç saat içerisinde herkese açsaydı bile güncellemenin sorunlu olduğu yakalanırdı ve bu kadar sektör etkilenmezdi.

Burada bir güvenlik güncellemesi yok, çekirdek modülüne yapılan bir güncellemeden dolayı bu durum gerçekleşiyor. Dolayısıyla güncellemenin test edilerek yavaş bir şekilde açılmaması için hiçbir neden yoktu.

İkinci sorunsa burada sürekli konuştuğumuz merkeziyetçilik konusu. Bir platforma bütün sistemler güvenmeye başlayınca öyle ya da böyle patlayabiliyor ve patlayınca da herkes etkileniyor. Mesela benim Cloudflare'i eleştirmemin en büyük yönlerinden birisi de bu. Herkes Cloudflare kullanıyor, peki Cloudflare'in başına bir şey gelse ne olacak? Her şey gidecek. Buradaki esas sorun merkeziyetçilik ve tabii ki CrowdStrike ekibinin güncellemelerini beceriksiz bir şekilde yayınlaması.

CrowdStrike'ın bu ilk olayı da değil. Bundan birkaç ay önce Debian ve Rocky Linux sistemlerini de günlerce bozmuş kendisi. Yani olay sadece Windows bazında değil geçmişte hizmet sağladığı diğer işletim sistemlerini de bozdu.

Peki sorun neymiş, neden bu güncelleme sistemleri bozdu diye soracak olursanız araştırmacıların bulduğu şey bir .sys dosyasının tamamen sıfırlarla dolu olması.

Tamamen boş veri içeren bu .sys dosyası yüzünden bu durum gerçekleşmiş. Düşünebiliyor musunuz? CrowdStrike bu dosya hakkında resmi açıklama yapmadı ama Twitter'da kullanıcıların bulgusu bu ve zaten CrowdStrike olayın çözümünü açıkladı. Bahsettiğimiz .sys dosyasını silmek...

Ama işin sıkıntlı yanı CrowdStrike sanal makinelere de kurulu ve makine hiç başlamadığı için dosyayı bulup silmek zor. Öncelikle diski sanal makineden ayırıp başka açılabilen bir sanal makineye bağlamanız lazım. Ondan sonra orada dosyayı silip tekrar eski sanal makinenize bağlamanız lazım.

Şimdi bir IT'ci olduğunuzu düşünün ve şirketinizin 100'den fazla sanal makinesi var. Ne yapacaksınız? Boş yere uğraş. Hepi de sıfırlarla dolu bir dosyanın sanal makinenizi bozmasından dolayı.

Bir de BitLocker ile disk şifrelemesi yapan sistemler var. Onlar çok çok daha sıkıntılı. BitLocker şifresini belki müşterinizden almanız lazım. Karşı taraf BitLocker'ı anlamayabilir.

Gerçekten durum çok komik, en büyük sektörlerin güvendiği koskoca şirket sıfır dolu dosya yolladığı için her yeri çökertti. Umarım size merkeziyetçilik kötü dediğimde ne demek istediğimi artık daha net anlıyorsunuzdur.

🐧 Özgür Yazılım

İsviçre devletin yazdığı bütün yazılımların açık kaynak kodlu olmasını zorunlu kıldı. Güzel bir gelişme, böylece devlet yazılımları güvenlik anlamında da çok daha iyi olacaktır. Hem de bir yandan vergilerle ödenen kodları halk da kullanabilecek.

NVIDIA Linux tarafında sürücülerin tamamen açık kaynağa geçirdiklerini duyurdu. Burada tabii NVIDIA çekirdek modüllerinden bahsediyoruz CUDA tarafı hala kapalı kaynak.

2 senedir NVIDIA Linux için hem açık hem kapalı kaynak sürücüler yayınlıyor. Yaptıkları duyuruya göre 560 sürümünden itibaren artık kullanıcılarına açık kaynak sürücüye geçmelerini tavsiye ediyorlar. NVIDIA'nın sonunda açık kaynağa karşı tutumunun iyileşmesi sevindirici bir haber. Birkaç sene önce böyle bir şey olacağını söylesek herkes gülerdi herhalde.

🤖 Yapay Zeka

Yapılan bir araştırmaya göre Anthropic, Apple, NVIDIA gibi şirketler yapay zeka eğitiminde binlerce YouTube videolarını kullanmışlar. İnsanlar da buna çok şaşkınlıkla tepki verdi. Ben neden bu kadar şaşırıldığını anlamıyorum. Bu şirketler korsan kitapları kullanarak yapay zekayı eğitmişler, çok kolay altyazısını indirebildikleri YouTube videolarını mı kullanmayacaklar? Ben zaten kullandıklarını tahmin ediyordum. İnsanların neden bu kadar şaşırdığını anlamadım.

Mistral NeMo adında yeni bir yapay zeka modeli yayınladı. Bu model 12 milyar parametre içeriyor ve testlere göre Gemma 2 9B ve Llama3 8B'yi geride bırakıyor. En güzel yanıysa bağlam penceresi 128 bin. Yani çok daha uzun konuşmalar yapıp çok daha uzun dosyalar besleyebileceksiniz. Bu model NVIDIA ile birlikte geliştirilmiş.

🔒 Güvenlik

Cloudflare'in yaptığı araştırmaya göre yazılımlar güvenlik zafiyetlerini paylaştıktan sonra dakikalar içerisinde açığın nasıl patlatılacağına dair yazılar çıkıyor ve hackerlar hemen bu açıkları patlatmaya başlıyor.

Bu da çok büyük sıkıntı çünkü dakikalar içerisinde açığın patlatılması demek daha insanların büyük çoğunluğu güncelleme yapmadan bu açıklardan etkilenmesi demek. Çözüm ne? Belki otomatik olarak paketleri güncellemek, işin içerisine makine öğrenimi sokmak ya da bu zafiyetlerin hemen internette yayılmamasını sağlamak.

🥸 Mahremiyet

Mozilla maalesef kullanıcı tabanını üzmeye devam ediyor. Kendisini sürekli gizli, mahremiyetine önem veren etiketiyle pazarlasa da şimdi tarayıcısına "mahremiyetinizi koruyan reklam ölçümleri" adı altında bir özellik getirdi.

Çalışma şekli şu, siz bir reklama tıklayıp ürün satın aldığınızda tarayıcınız bunu kaydediyor, şifreleyerek tarayıcı davranışınızı Mozilla'nın sunucusuna gönderiyor. Sonra Mozilla bu verileri diğer aldığı verilerle kombine edip anonimleştirerek reklam ağına bildiriyor. Bu şekilde reklam verenler kampanyalarının işe yarayıp yaramadığını anlayabiliyor ama burada 2 sorun var.

Birincisi bu özelliğin varsayılan açık gelmesi.

Niye? Sen mahremiyete önem veren bir tarayıcı olduğunu iddia ediyorsun ama bu özelliği varsayılan açıyorsun. Günün sonunda anonimleştir veya anonimleştirme, bu özellik kullanıcıları takip eden bir şey.

İkinci sorunsa her ne kadar reklam ağı anonimeştirilmiş verilere sahip olsa da Mozilla'nın sunucularına giden veriler anonim değil. Yani Mozilla sunucuları kullanıcının davranışlarına hakim oluyor. Bu kesinlikle hoş bir durum değil.

Ayarlardan kapatabilirsiniz ama artık bu dakikadan sonra insanlara Firefox değil de Floorp veya Librewolf önermek şart oldu.

📰 Bahsetmeye Değer Haberler

Google ve Microsoft 100'lerce ülkeden daha fazla elektrik tüketimi yapıyor. Örnek verecek olursak Microsoft tek başına İrlanda ve Azerbaycan ülkelerinden daha fazla elektrik tüketiyor.

Tabii bu elektriği tüketirken ne çalıştırıyor? Sunucular, bilgisayarlar. Isı kontrolü nasıl yapılıyor? Su ile. Yani muhtemelen Google ve Microsoft birçok ülkeden daha fazla da su tüketiyordur. İşin içerisine şimdi yapay zeka girdi, bütün aratma sonuçları arka planda yapay zeka ile çalışıyor. Bu ne demek? Daha fazla elektrik ve su tüketimi. Maalesef bu şirketlerin bu harcamaları dünyamız için pek iyi değil.

YouTube platformunda artık silah içerikli herhangi bir video olmasını istemiyor. Haziran 18'den önce silahla alakalı herhangi bir sponsorlu videonuz varsa artık kanalınız siliniyor. Türkiye'de silah içerikli videolar ne kadar tutuluyor bilmiyorum ama ABD'de çok fazla izleyicisi var, hatta milyonlarca abonesi olan kanallar artık yükleme yapamayacak anlamına geliyor. Ben de kendi adıma silahlarla ilgilenmiyorum ama silahların daha sorumlu bir şekilde nasıl kullanılabileceğini anlatan kanallara bu şekilde darbe vurmak bence yanlış.

🎥 Ne Üretiyorum?

Bu haftanın ilk videosunda Zorin OS'i inceliyoruz.

İkinci videodaysa Linux kurulumu sonrası atmanız gereken 14 adımı sizlere gösteriyorum.

Bu haftaki bültenimizin de sonuna geldik, haftaya görüşmek üzere!