Notes

Mert Susur~ Medium.com
IOTA'ya Neden Güvenmiyorum
Bugün twitter üzerinde IOTA hakkında bir tartışma yaşadık. Katılan ve yorum yapan herkese teşekkür ederim.
Tartışma Altuğ’un gönderdiği bir tweet ile başladı ve daha sonra katılan bir kaç arkadaş ile devam ettik. Bence bu tarz tartışmaları yapabilmek çok güzel. Keşke bunları canlı yayında tartışabileceğimiz bir platform hazırlayabilsek, böylece herkes bildiği tarafından konuları anlatır ve hepimiz öğrenmiş oluruz.
Neyse, buradan ufak bir yazı çıkartabiliriz diye düşünerek neden IOTA’ya güvenmediğimi ve IOTA’nın aslında açık kaynak kodlu bir çok benzeri projeden farklı olduğundan bahsetmek istedim.
Nedir IOTA?
Teknoloji olarak nesnelerin interneti (internet of things) alanında çalışmayı hedeflemiş farklı bir blok zinciri uygulaması. En büyük farklılığı Tangle adında bir mutabakat (consensus) yöntemi kullanmasi ve PoW (proof of work) uygulamasina karşın işlemlerin diğer bir çok teknolojiden farklı olarak ücretsiz olarak gerçekleşmesi. Yani ağ üzerindeki her ‘node’ kendi transaction’ının onaylanması için başka transaction’ları onaylamak zorunda. Böylece ücret ödemek yerine ağa katkıda bulunarak işlemler gerçekleşiyor. Bu noktada IOTA’nın yazılarını okumanızı öneririm. İlk okuduğumda beni çok heyecanlandırmış olsa da birazdan anlatacağım sebeplerden dolayı bu teknolojiye ve arkasında çalışan kişilere olan inancım ve güvenim azaldı diyebilirim.
Öncelikle söylemek lazım, bu yazıda IOTA’yı ya da ekiple çalışanları kötülemek gibi bir niyetim yok. IOTA’nın maddi değeri ve kullanım alanlarıyla ilgili de bir yorum yapmayacağım. Hala daha çok ilginç bir teknoloji olduğunu ve gelecek vaat ettiğini düşünüyorum. Ancak beni rahatsız eden bir kaç konu var.
Tekerleğin defalarca icadı
Bundan on yıl önce bir projeye başladığımızda her şeyini kendimiz yazalım diye uğraşırdık, bununla ilgili defalarca Codefiction yayınları sırasında da konuştuk ve Deniz’in bu konuda çok ilginç anıları var! Ancak artık geldiğimiz noktada açık kaynak kodlu yazılımlara ulaşmamızı kolaylaştıran paket yöneticileri sayesinde bu ihtiyacımız ortadan kalktı, artık tekerleği her seferinde baştan icat etmek zorunda değiliz.
Bu durum tabi ki lisanslarla ilgili karşımıza çıkabilecek sorunları da beraberinde getiriyor, bu yıl içinde yaşanan Facebook ve React lisanslarıyla ilgili sorun bunlara bir örnek diyebiliriz. Konumuza dönecek olursak bence IOTA ekibinin yaptığı en büyük hatalardan bir tanesi zaten kabul görmüş hash algoritmaları yerine kendi algoritmalarını kullanmaları ve bunu ifade ederken gösterdikleri üslup. Phil Zimmermann, Kriptografiye giriş (Introduction to Cryptography) kitabında bu konuyu çok güzel bir şekilde dile getiriyor. Kendi kriptonuzu icat etmeye çalışıp bir sürü güvenlik açığına maruz kalmayın diyor özetle ve bu kadar önemli bir konuda ispatlanmış ve akademik çevrelerce kabul görmüş yöntemleri kullanmayı öneriyor. Kendisine katılıyorum. Bunları kullanmayacağım, ben kendim yazacağım demek bana kalırsa çok büyük bir hata.
Hatayı kabul etmek ya da etmemek
Tahmin edin ne oluyor? Tabi ki birileri oturup sizin yazdığınız protokolleri kurcalıyor ve bir sürü güvenlik açığı buluyor. Peki yazılımcıya kodun kötü dersen ne olur? Bir sürü tartışma başlıyor ve bunu kabul etmiyorlar. Bu güzel yazılmış detaylı incelemeden ders çıkartıp o kişilerin desteğini alacakları yerde reddit üzerinde bir sürü tartışmaya girip aslında sistemlerinin bu sorunlardan etkinlenmeyeceğini, bahsedilen senaryoların gerçekçi olmadığını söylüyorlar ve bunu da üstüne üstlük ben bu işi yıllardır yapıyorum senden mi öğreneceğim dermişcesine bir tavırla yapıyorlar. Bu açıklamanın en sevdiğim yanı da ‘Biz o açıkları bilerek koyduk, böylece eğer birisi bizim kodumuzu çalarsa bileceğiz’ şeklinde gelen kısmı. Yani siz açık bulmadınız biz kendimizi korumak için açıklar bıraktık! Hem biz bu açıklardan etkilenmiyoruz, ama bizi kopyalayanlar etkilenebilir!
Bu talihsiz ve tuhaf açıklamalar ne yazık ki bununla da kalmıyor. Reddit üzerinde birisi neden Coordinator bileşenini açık kodlu yapmıyorsunuz diyor. Gelen cevap ne yazık ki şaşırtmıyor,
‘Eğer yayınlarsak copy-protection mekanizmalarımızı herkes kullanır’ oluyor.
E haliyle arkadaş da soruyor
‘Ne yani bu kadar kritik bir göreve sahip bu bileşen sadece sizde duruyor ve paylaşmıyorsunuz, ya başka bir şey yapıyorsa arkada?’
Buna gelen cevap üzerine sizi mutfağa gidip çay demlemeye davet ediyorum.
Zaten bu bileşenin ne iş yaptığı biliniyor. Kodu görmenize lüzum yok.
Gerçekten kodu görmemize lüzum yok mu? Neden yok? Bu bileşenin sistemi saldırılara karşı koruduğunu biliyoruz, orası tamam. Ama demek ki saklanacak bir şey var ortada. Peki bu bileşen bu kadar önemliyse ve herkesle paylaşılamıyorsa yarın öbür gün bu ağın devamlılığı nasıl sağlanacak? İleride bu bileşenin ortadan kaldırılacağı konuşuluyor ancak bu durumda bu teknolojinin ileride sağlıklı çalışacağını nasıl bileceğiz? Test yapmanın en önemli kuralı gerçek ortam ile birebir çalışan bir ortam hazırlayıp emin olmaktır. Ya bu teknoloji çalışmaya başladığında birisi yine ‘onu bilerek yaptık ama biz’ derse ne olacak?İşte bu garip tavırlarından, merkeziyetçi tutma çabalarından ve daha önemlisi bugüne kadar verdikleri garip kararların sonuçlarını kabul etmeyip başlarının dikine gitmelerinden dolayı ne yazık ki IOTA’ya güvenemiyorum. Tabi bu yazıyı okurken fiyatını kontrol ettiğinizde artıyor olabilir, bu bambaşka bir konu. Ama amacım neden böyle düşündüğümü daha detaylı bir şekilde anlatıp sizlerin de fikirlerini almaktı. Lütfen yorumlarınızı paylaşmayı unutmayın.
Esen kalın!