1 puan yazan GN⁺ 2023-07-28 | 1 yorum | WhatsApp'ta paylaş
  • Google’ın Web Environment Integrity önerisi, tarayıcı ortamını "güvenilir" hale getirme iddiasını taşısa da, gerçekte reklam engelleyicileri (ad blocker) etkisizleştirmeyi hedeflediği düşünülüyor
  • Geçmişte Microsoft’un Vista’ya eklemeye çalışıp daha sonra vazgeçtiği Palladium ile yapısal olarak benzerlik gösteriyor; doğrulama ve bütünlük teknolojileri DRM dayatması ve rakip uygulamaları engellemek için kötüye kullanılabilir
  • Android’deki Play Integrity API(SafetyNet) yaklaşımından esinlenmiş olsa da, root erişimi olan ve özel ROM kullanan kullanıcılar bunu zaten kolayca aşabildiği için etkinliği sorgulanıyor
  • Hayata geçirilirse Chase gibi bankalar, ödeme için Secure Boot zorunluluğu veya reklam engelleyici yasağını şart koşabilir; bu da 2000’lerin başındaki kapalı web düzenine dönüş endişesi yaratıyor
  • Palladium’un geçmişte durdurulmuş olmasına benzer şekilde, düzenleme ve baskı yoluyla Google’ın bu girişiminin de engellenebileceği savunuluyor

Web Environment Integrity’nin ne olduğu ve amacı

  • Google’ın Web Environment Integrity önerisi, tarayıcı ortamının "güvenilir" olup olmadığını doğrulama iddiasında olsa da, asıl amacın reklam engelleyicileri ortadan kaldırmak olduğu düşünülüyor
  • Yazar, Microsoft çalışanı olduğunu ancak Windows ya da Edge üzerinde çalışmadığını; bu konudaki görüşlerinin ilgili teknolojiyi tam olarak kavrayan resmî bir açıklama değil, kendi anlayışına dayanan kişisel değerlendirme olduğunu belirtiyor

Microsoft Palladium ile benzerlikler

  • Web Environment Integrity, Microsoft’un Vista’ya eklemeyi planladığı Palladium ile oldukça benzer
    • Palladium, Windows güvenliğini artırmak için doğrulama(attestation) ve bütünlük(integrity) katmayı amaçlayan bir girişimdi
    • Aynı zamanda tüm PC ekosistemine DRM dayatmak ve Firefox gibi "güvenilmeyen" rakip uygulamaları engellemek için kötüye kullanılma potansiyeli taşıyordu
    • Vista’nın uzun ve sancılı geliştirme sürecinin sonunda Palladium’dan vazgeçilmesi sayesinde Vista yayımlanabildi
  • Palladium daha sonra "Next-Generation Secure Computing Base" olarak yeniden adlandırıldı, ancak yaygın olarak Palladium diye anılmaya devam etti
    • BitLocker, UEFI Secure Boot(Windows 8), TPM zorunluluğu(Windows 11) gibi bazı özellikler gerçekten uygulamaya geçti, ancak bunları devre dışı bırakmak ya da aşmak mümkün

Play Integrity API temeli ve aşılabilme gerçeği

  • Google, Android’deki Play Integrity API(SafetyNet) sisteminden esinlendi
    • Bu API, rootlu cihazların Netflix, Google Pay, bankacılık uygulamaları gibi belirli uygulamaları kullanmasını engellemek için sıkça kullanılıyor
  • Root sonrası LineageOS gibi özel ROM kullanan kullanıcılar, root erişimini zararlı uygulamalardan gizleyerek denetimi geçebiliyor
    • Resmî olmayan bir LineageOS derlemesi yüklü OnePlus 11 üzerinde bile Google Pay’in günlük kullanımda sorunsuz çalıştığı belirtiliyor
    • Pixel 7 gibi Google’ın kendi Pixel cihazlarında da bunun kolayca aşılabildiği, dolayısıyla Google’ın Play Integrity’nin ne kadar sık delindiğinin farkında olup olmadığının sorgulandığı ifade ediliyor
  • Yalnızca resmî imzalı Chrome ikililerine izin verilmediği sürece, Chromium’un değiştirilerek denetimin sahte biçimde geçilmesini engellemenin bir yolu yok

Bankalar ve fintech tarafında olası sonuçlar

  • Bugünün web’inde bile Chase Bank benzeri örnekler var
    • Chase, yalnızca Windows veya Mac’in "gerekli" olduğunu iddia ediyor ve user agent değiştirilmeden BSD ile Linux-on-ARM erişimini engelliyor
    • Bunun haber olmamasının nedeni, Chase’in pazar payı %2-3’ün üzerinde olan Linux-on-x86 ve Chrome OS’ye izin vermesi
    • Gerçekten de bir Fedora dizüstünde hiçbir değişiklik yapmadan Chase.com’a giriş yapılabildiği belirtiliyor
  • Chase, Web Environment Integrity’yi uygularsa
    • Müşterilere 2000’lerin başındaki en kötü web deneyimini dayatabilir; tepkiyi azaltmak için yalnızca Chromebook’lar ve genel Linux dağıtımlarına istisna tanıyabilir
    • Daha da ileri giderek kredi kartı veya konut kredisi ödemeleri için Secure Boot bulunmasını ve reklam engelleyicilerin kaldırılmasını zorunlu tutabilir
    • Bu yalnızca Chase için değil tüm bankalar için geçerli olabilir; müşteri hizmetleri veya fatura ödemeleri için kendi uygulamasını zorunlu kılan fintech şirketlerinde ise durum daha da ağır olabilir (ör. X1 credit card)

Düzenleme ve karşı adımlar

  • Web Environment Integrity hayata geçerse, tüm hükümetlerin Google, Apple, Microsoft ve adtech şirketlerini mümkün olan her yoldan düzenlemesi gerektiği savunuluyor
    • Açıkça zararlı yazılım olmadığı sürece herhangi bir tarayıcının doğrulanabilmesini sağlamak için ayrıştırma(unbundling) gereklilikleri eklenmesi gerektiği belirtiliyor
  • Windows 8 dönemindeki UEFI Secure Boot, Linux’u dışlamayı başaramadı
    • Microsoft üzerinde Linux dağıtımlarını imzalamaya yönelik baskı kuruldu ve masaüstü Linux’un yok edilmesinin rekabet hukuku açısından sorun yaratacağı düşünüldü
    • Benzer şekilde Google’ın Vivaldi, Tor Browser gibi küçük tarayıcıları da desteklemek zorunda bırakılabileceği savunuluyor

Beklenti ve sonuç

  • Web Environment Integrity API’sinin, Palladium gibi terk edilmiş bir Chromium dalında yok olup gitmesinin daha iyi olacağı söyleniyor
    • Palladium ile rekabet eden, sıfırlama öncesi Windows Longhorn kaynak kodunun da unutulmuş bir Azure DevOps sunucusunda terk edilmiş halde durduğunun tahmin edildiği ifade ediliyor
  • Bu mücadelenin kazanılamaz olmadığı vurgulanıyor
    • Kaynakları çok güçlü Microsoft ve PC endüstrisine, hatta NSA ile MPAA’ya karşı bile geçmişte Palladium’un engellenebildiği hatırlatılıyor
    • Güçlü bir karşı duruş sergilenirse, Google’ın kullanıcı karşıtı Web Integrity girişiminin de durdurulabileceği savunuluyor

1 yorum

 
GN⁺ 2023-07-28
Hacker News yorumları
  • Palladium’a karşı savaşı kazanmış olmamız aslında Pirus zaferiydi. Microsoft bu fikri XBox ve Azure Sphere’e uyguladı; şimdi de Pluton entegrasyonuyla, güvenli iş istasyonları için gelecekteki Windows donanım gereksinimleri olarak geri dönüyor
    https://www.microsoft.com/en-us/security/blog/2020/11/17/mee...
    Daha çok UNIX tarafıyla ilgilenenler, bir sonraki PC’lerinde Pluton CPU olabileceğinin pek farkında değil gibi
    https://www.thurrott.com/hardware/260917/here-come-the-first...

    • Birçok insanın RISC-V’ye ilgi duymasının bir nedeni var
    • Bildiğim kadarıyla AMD, Pluton özelliklerini varsayılan olarak etkinleştirmeyeceğini; kurumsal müşteriler isterse açabileceklerini söylemişti
  • Buradaki sorun, çoğu kişinin umursamaması. Dün gece bir içki masasında kız arkadaşıma durumu anlattım; kendisi başka bir alanda ileri düzey bir akademisyen ve matematik/mantık altyapısı da güçlü olmasına rağmen, “Kullandığım şeyler çalışmaya devam ediyorsa sorun ne?” noktasının ötesinde bir fikir geliştirmedi
    Varsayımsal bir risk olduğu için bu tepkiyi anlayabiliyorum; ama yan etkiler genel olarak olumsuz ve açık webin karakteri tehlikeye giriyor. İnsanlar hep ormanın ortasındaki güvenli yolu görüyor, iki adım arkadan fırlayıp onları yiyecek canavarı görmüyor

    • “Kullandığım şeyler çalışmaya devam ediyorsa sorun ne?” diye soranlara yaklaşmanın en kolay yolu para meselesi. İdeolojiyi, pratikliği, güvenliği ve gözetimi bir kenara bırakıp şöyle sorun: Yarından itibaren iPad, telefon, PC, Mac gibi her bilgisayar aldığınızda onay damgası için yerel para biriminde 100 dolar karşılığı ödemeniz, sonra da her ay kanıtlama lisansını yenilemek için 10 dolar ödemeniz gerekse ne olurdu?
      Bu damgayı almak zorunlu olmayacak ve bilgisayar da normal çalışmaya devam edecek; ama bazı web siteleri engellenecek. Başta bankacılık siteleri, sonra streaming siteleri, ardından yemek siparişi hizmetleri engellenecek ve sonunda büyük hizmetlerin çoğu siz ödeme yapana kadar bir duvarın arkasına geçecek
      Bu altyapının kurulması ve bakımı gerekiyor ve ücretsiz olmayacak; dolayısıyla ister FAANG olsun ister kanıtlama hizmetini işleten taraf, hizmet kullanıcılarından ücret alacak ve bu maliyet büyük olasılıkla son kullanıcıya yansıtılacak
    • Bir zamanlar sözde bir tarikattan kaçan evsiz bir gençtim; yazılım olmasaydı oradan çıkamazdım. WEI gibi şeyler esasen yazılımı kimin kullanabileceğini düzenlemekle ilgili ve o dönemde WEI olsaydı muhtemelen ölmüş olabileceğimi düşünüyorum
      “Açık” kısmının gerçekten önemli olmasının nedeni, yeteneği olan herkesin katkıda bulunabileceği anlamına gelmesi. Güçlü bir matematik/mantık altyapısına sahip bir akademisyen, kimin çalışabileceğine dair hakemliği kilise benzeri bir güç üstlendiğinde yalnızca endüstrinin değil, bilimin kendisinin de neler kaybedebileceğini anlamalı
    • Çoğu insanın bunu umursayacak yetkinliği ya da yeterli bilgisi yok. Bir ilacı benimserken “çoğu insanın” görüşünü temel almıyoruz; potansiyel zararı olan teknolojileri de yalnızca yeterince bilgisi olmayan kitlenin görüşüne göre devreye almıyoruz
      Düzenleyici kurumların ve çeşitli mekanizmaların varlık nedeni bu; sürekli bilgi sahibi olup bunu önemsemeleri gerekir. Yalnızca kamuoyu öfkesi patladıktan sonra harekete geçmemeliler
      Sorun düzenleyici ele geçirilme ve bu kurumların kendilerini finanse eden insanların çıkarlarını koruma misyonunda başarısız olması. Bu bir teknoloji sorunu değil, demokrasi ve yönetişimin temellerine ilişkin bir sorun; umursamayacaksanız oy vermeyi de bırakıp şirket oligarşisinde yaşadığınızı kabullenmek daha iyi
    • “Kullandığım şey çalışmaya devam ediyorsa sorun ne?” havası birçok yerde var. Bireysel düzeyde sağlıkta böyle; her gün sadece patates kızartması ve dondurma yemek isteyen bir çocuğun seçimine benziyor. Eğitimde de bütün gün video oyunları ve TikTok’un dikkati ele geçiren videolarını izlemek istemek gibi
      Ulusal düzeyde de neden Ukrayna’ya ya da Tayvan’a yardım edelim, neden karbon ayak izimizi azaltalım sorularına dönüşüyor. Kurşun borular da iyi çalışıyordu, asbest de iyi çalışıyordu, sigara içmek de sorun yokmuş gibi görünüyordu; ama sonunda öyle olmadığı anlaşıldı
      İkinci derece etkiler deneyim ve eğitim gerektirir; sonuçlar anlık olmadığında insanlar nedenselliği pek iyi kavrayamaz
    • “Çalışmaya devam edeceğinden emin misin? Google’ın öldürdüğü ürünleri toplayan ayrı bir web sitesi olacak kadar çok örnek var; kullandığın şeyin asla öldürülmeyecek kadar özel olduğunu neden düşünüyorsun?” diyebilirsiniz
      Tabii o geceyi kanepede geçirme ihtimaliniz yüksek
  • Batı dünyasındaki dijital teknolojinin birkaç reklam şirketi tarafından tamamen domine edilir hâle gelmiş olması delilik. Toplumsal hedeflerle, ekonomik hedeflerle çıkar çatışması devasa; çözüm ise basit ve doğal
    Bu kadar ciddi bir meselenin hak ettiği en yüksek öncelik ve yetkinlikle ele alınmaması, boynuzlu bir adamın Kongre binasını basmasından daha çok ABD siyasi sisteminin durumunu gösteriyor

    • Biraz düşününce neredeyse öngörülebilir bir şey. Reklam, herhangi bir dijital cihazdan para kazanmanın tek ya da en etkili yolu. Bu yüzden reklamcıların internete bağlı neredeyse tüm dijital teknolojilerde çıkarı var ve her alanı ek reklam geliri için kullanabilirler
      Bu ölçekte anlamlı rakipler yalnızca diğer reklam şirketleri; başka hiç kimse rastgele bir dijital cihazdan bu kadar etkili biçimde para kazanamıyor
      Bu yüzden siyasi olarak aktif ve etkili hareket etmek zorundalar; asıl yazının bu noktaya değinmesi de iyi olmuş. Seçilmiş kamu görevlilerinin sonuçları söz konusu olduğunda insanlara oy vermeyi hatırlatmaya benziyor
      Reklamcılık dışında hangi iş kolu güvenle “hangi dijital teknolojiyi icat ettiğimiz fark etmez, popüler olursa dağ gibi para kazanabiliriz” diyebilir? Bence bu, egemen teknoloji şirketlerinin sloganına yakın. Çeşitli ev asistanlarının başarısızlığı bunun açık bir örneği. Popülerdiler ama teknoloji şirketleri kullanıcı deneyimine reklam sıkıştırmanın yolunu bulamadığı için para kazanamadı
    • ABD’li büyük teknoloji şirketleri teknoloji akışının anlatısını büyük ölçüde belirliyor; oyun sektörü açısından bakınca ABD zaten neredeyse parayla kazanılan bir toplum, bu yüzden şaşırtıcı değil. Asıl şu şaşırtıcı olmalı
      Örneğin yapay zeka, ABD’nin Batı dünyasındaki dijital anlatıyı domine etme kapasitesini aşarak her ülkenin kendi dijital anlatısına sahip olmasını sağlayacak ya da ABD-Çin teknoloji ve ekonomi savaşının galibi bu rolü üstlenecek. Üçüncü bir alternatif olsa iyi olurdu ama şimdilik diğer varsayımlar eskimiş görünüyor
    • Ana akım medya da bir reklam platformu, bu yüzden bu meselenin tartışılmaması ya da çözülmemesi şaşırtıcı değil
    • Çözümün gerçekten bu kadar basit ve doğal olup olmadığı şüpheli
  • Hindistan’da büyüdüm ve nüfusun büyük kısmının en yeni donanıma erişimi yok. Web siteleri bu tür değişiklikleri uygulamaya başlarsa birçok insan internetten koparılacak
    Bunların çoğu dışlanmış topluluklara mensup. Hindistan’ın insanlara kast temelinde ayrımcılık yapma geçmişi var ve bu değişiklik, bu toplulukların erişebileceği çevrimiçi kaynakları daha da sınırlayıp bugüne kadarki ilerlemeyi geri alabilir. Akıl alır gibi değil

    • Son yıllarda satılan Android ve iOS telefonlarda ARM TrustZone ya da Secure Enclave gibi şeyler zaten var. Zaten geldi
      Hindistan’daki internet kullanıcılarının ezici çoğunluğu mobil kullanıyor; pazara Xiaomi ve diğer Çinli OEM’ler yön veriyor. Bunlar 1-2 yıl sonra bozulan ve OTA güncellemeleri de berbat olan telefonlar satıyor. Bazıları sürüm düşürüyor ya da custom ROM kullanıyor ama büyük çoğunluk 2-3 yılda bir, hatta yılda bir yeni telefon alıyor. En yoksullar bile taksitle iPhone alabiliyor. Üstelik pahalı bir cihaz almak gerekmiyor; son birkaç yılda çıkan GMS sertifikalı telefonların hepsinde bunlar var
      Gerçek bilgisayarların çoğu hazır sistem ya da dizüstü ve 2013’ten beri Secure Boot içeriyor. Zorunlu TPM’i olmayan son Windows sürümünün desteği 2025’te sona erecek ve Microsoft insanları yükseltmeye zorlayacak
      Bunlar eski cihazlar. Son 4 yıl içinde çıkmış bir dizüstü yeni kapalı webe erişebilecek, dolayısıyla değiştirmek o kadar zor olmayacak
      Aksine bu “internetin sonu”nun çok hızlı gelmesini umuyorum. Ancak o zaman insanlar fark eder. Bir gün insanların pahalı cihazlarında web erişimi engellenmiş hâlde uyanması gerekiyor. Yavaş yavaş kaynayan su gibi ilerlerse yine durdurmak için çok geç olacak
    • Asıl kısıtlamanın muhtemelen 10 yıl, belki 15 yıl sonra geleceğini düşünüyorum. Sonuçta bu dünyayı daha kötü hâle getirmeye yönelik uzun vadeli bir plan, ani bir fikir değil. O zamana kadar insanlar donanımlarını yenilemez mi?
  • SafetyNet/Play Integrity’nin “kandırılabilmesinin” eski cihazlarla uyumluluktan kaynaklandığını belirtmek önemli. En güçlü Play Integrity seviyesi olan MEETS_STRONG_INTEGRITY, bootloader kilidi açılmış cihazlarda sahte olarak üretilemez
    Şu anda büyük bir sorun olmamasının nedeni, henüz pek çok uygulamanın bunu istememesi ve donanımı olmayan ya da Android sürümü eski olduğu için geçemeyen çok sayıda eski cihazın hâlâ bulunması
    Birkaç yıl içinde kilidi açılmamış ama MEETS_STRONG_INTEGRITY ile uyumlu olmayan cihaz sayısı yeterince azalacak ve uygulamalar bunu istemeye başlayacak. O zaman hâlâ bootloader kilidi açan kullanıcıların çoğu için muhtemelen bootloader kilidi açmanın sonu olacak

    • Bu API’de baştan itibaren donanım kanıtlaması şart koşularak böyle aşma imkânları “düzeltilmek” isteniyor gibi görünüyor
  • Bu meselede FSF’den söz edilecekse Stallman’ın Right to Read hikâyesini atlamak olmaz
    https://www.gnu.org/philosophy/right-to-read.html
    26 yıl önce yazılmış bir metin; ne kadar çok şeyi doğru tahmin ettiğini görmek için yeniden okumaya değer

  • Bunun çözmeye çalıştığı “sorunlardan” biri, reklamverenin reklamı gören tarafın robot değil insan olduğunu “bilmek zorunda olması”
    Ama bu çok tek taraflı. Öyleyse kullanıcının da bu reklamı görmesine neden olan sorumluluğun robota değil insana ait olup olmadığını bilme hakkı olmalı. Elbette gerçeklik böyle değil. Bu yöntem düşmanı, yani kullanıcıyı diz çöktürüp yalnızca reklamverenlerin otomasyon ve bütünlük doğrulamasına erişmesini sağlayacak
    DIY forumunda elektrikli el aleti reklamı görmeye ya da Stack Overflow’da geliştirici aracı reklamı görmeye pek çok kişi ciddi şekilde karşı çıkmaz. Sorun, bariz dolandırıcılıklar, mikro ödemelerle dolu mobil oyunlar, çevrimiçi casinolar ve tüketici olarak bana hiçbir faydası olmayan şeylerle bombardımana tutulmakta. Google belki de tüketicileri, yani reklamveren bütünlüğünü doğrulamaya biraz daha odaklanmalı

  • Kolayca rafa kaldırılacak gibi görünmüyor. Google’ın projeleri kolayca terk etme geçmişi var ama bu, arama reklamı satışıyla doğrudan bağlantılı şeyler için pek geçerli olmuyor

    • Privacy Sandbox ya da Topics gibi Privacy Environment Integrity benzeri yeni bir ad verip yeniden gündeme getirecekler
  • Dünya liderlerinin, kendi yurttaşlarının ve kendi özgürlüklerinin otoriterlik kokusunu bolca içine çekmiş gibi duran tek bir ABD şirketi tarafından tek başına kısıtlanmasına daha açık biçimde karşı çıkmasını beklerdim

  • Reklam engelleyicilerin Google için o kadar büyük bir sorun olduğundan emin değilim. Özellikle mobilde çok kullanılmıyorlar ve dünya açıkça mobile kayıyor
    Reklam engelleyicilerin finansal etkisinin ne düzeyde tahmin edildiğini bilen var mı?
    Reklam dolandırıcılığı çok daha büyük bir sorun gibi görünüyor. Bazıları reklam dolandırıcılığının Google’ın sorunu olmadığını savunabilir ama yine de Google’a zarar veriyor
    Ya da şu anda aklıma gelmeyen üçüncü bir neden olabilir. Reklam engelleme fazla niş görünüyor. Yoksa sadece kullanıcı takip tekelini daha da güçlendirmeye mi çalışıyorlar?

    • Google bir reklam şirketi. Ana gelir kaynağı bu ve geri kalanın çoğu da genel olarak bu iş birimini büyütmek için var. Reklam engelleyicileri ve alternatif istemcileri engellemek, daha fazla reklam sunma iş hedefiyle tamamen örtüşüyor
      Üstelik açıkçası amaç reklam dolandırıcılığını önlemek olsa bile umurumda değil. Bu benim sorunum değil; en başta Google’ın yarattığı bir sorun yüzünden Google daha çok para kazansın diye neden bedelini ben ödeyeyim? Gerçekten reklam dolandırıcılığını önlemek istiyorlarsa reklam işini bırakabilirler. Sorun çözülür
    • Şu anda reklam engelleyiciler büyük değil ama iOS’te Safari ve Android’de Samsung Browser reklam engelleyicileri destekliyor. Apple ya da Samsung reklam engelleyiciyi varsayılan olarak dahil etmeye karar verirse ne olur? Google gelecekteki hamlelere hazırlanmaya çalışıyor
      Diğer tarayıcılar zaten izleme önleme ve üçüncü taraf çerez kontrollerinde öncülük etti; bu da Google’ın iş modelini etkiledi. Bu yüzden Google Chrome’u yaptı, insanların onu tercih etmesi için yatırım yaptı, kendi web sitelerinde öne çıkardı ve Chrome Sync ile Passwords üzerinden duvarlarla çevrili bir bahçe oluşturdu
      Ardından Gmail’e giriş yapınca Chrome’a da giriş yapılmasını sağlayarak bunu gizliliği azaltmak için kullanmaya başladı. Bir web sitesi Google reklamları kullanmasa bile ziyaret edilen siteleri takip edip reklamları iyileştirmek için kullanıyor
      Android’de yalnızca kendi tarayıcısıyla sınırlı olan parola yöneticisi sadece Google’ınki ve bunun bir nedeni var
    • Film sektörü film korsanlığı konusunda nasıl büyük yaygara koparıyorsa, reklam engelleyiciler konusunda da öyle yapılıyor. Birkaç kişi kullanıyor diye “milyonlar” kaybettiklerini söylüyorlar ama yine de “milyarlar” kazanıyorlar
    • Şu anda yaşanan Google Ads skandalını, yani müşteriler için reklam raporlarını manipüle etme meselesini, sadece reklam engelleyicilere yıkıyorlar
      Verileri manipüle eden Google’ın kendisi olduğuna göre suçu kendinde aramalı
    • Mesele reklam engelleyicilerden daha fazlası. Büyük dil modellerinin ve genel olarak yapay zekanın ekonomik potansiyeli fark edildiğinden beri web scraper’lar büyük bir sorun haline geldi. Yerleşik büyük oyuncular, rakiplerin kendi botlarını çalıştırmasını zorlaştırmak isteyebilir