Microsoft’un şeytani Secure Boot kelepçesinin tezahürü

21

Bazı tehlikeleri önceden bilsek de gerçekleşene kadar -ve hatta ucu bize değene kadar- bu tehlikeleri “sanal” sayar ve yüzleşmeyeceğimizi düşünürüz…

Secure Boot Bilgisayarınıza GNU/Linux, BSD veya başka bir işletim sistemi kurmanızı engelleyecek!
Secure Boot Bilgisayarınıza GNU/Linux, BSD veya başka bir işletim sistemi kurmanızı engelleyecek!

Secure Boot bir tehlikeydi ve Secure Boot özelliğine sahip Windows 8’li bilgisayarların raflarda yer almasıyla ülkemiz pazarında da esir bilgisayarları raflara koyarak hayatımıza maalesef girdi.

Secure Boot ne diye hatılatmak gerekirse, Secure Boot Microsoft’un Windows 8 için getirdiği “sözde” bir güvenlik gerekliliği olarak bilgisayar üreticilerine dayatılan bir kısıtlama. Bu kısıtlama ile özel anahtarlara sahip olmayan hiçbir işletim sistemini bilgisayarınıza kurup başlatamayacaksınız. Yani kişisel tercihinize saygı duyulmadan, size sunulanı dayatılanı alabileceksiniz. Özgür yazılım kuramayacaksınız! Tüketici tercihlerini geride bıraktım, hapisane dayatmasından farksız bir durum.

Bilgisayarlarınız sizindir ve bilgisaranıza ne dilerseniz onu kurma hakkınız vardır!

Bu sepeple secure boot’a karşı özgür ayzılım Vakfı 2011 yılında bir imza kampanyası başlatmıştı (henüz imzalamadıysanız mutlaka imzalayın), Özgür Ilgın günlüğünde yer vermişti biz de Özgürlükİçin ve Pardus-Linux.org‘da haber yapmıştık. Ayrıca ben de İmzalamayan bizden değildir demiştim.

Geçtiğimiz gün Google+’da Necmettin Betiger’in günlüğünde yazdığı “Windows 8 Güzel mi?” başlıklı yazısını gördüm ve okudum. Burada aldığı dizüstü bilgisayara “Kubuntu” kuramadığından bahsediyordur.

Bunu duyunca “Eyvah!” dedim, sanırım tehlike ile o an yüzleşmiştim ve artık o gerçekti. Benim de bir dizüstü bilgisayar almaya ihtiyacım var ve mağaza raflarındaki bilgisayarlar artık benim için alınamaz durumdalar.

Hadi ben seçici olacağım ve piyasadaki Secur Boot özelliği olmayan daha eski bir modeli bulmaya çalışacağım. Peki ya yarın?

Bilgisayarlarını özgür yazılımla tanıştıracak insanlar bunu maalesef gerçekleştiremeyecek.

Düşünsenize, bilgisayarınız var ve siz Linux/BSD veya başka bir işletim sistemi kuramıyorsunuz, sizi birileri kısıtlamış;

  • Kısıtlama sebebi: Güvenlik.
  • Bu kısıtlamayı yapan: Dünyanın en çok güvenlik zaafiyetine sahip işletim sistemini üreten şirket.
  • Kısıtladıkları ise: En güvenli işletim sistemleri.
  • Bu kısıtlama ne sağlıyor: Piyasada tekel gücü

Sizce bu mantıklı mı?

-Bazı dağıtımlar Microsoft ve diğer sayısal imza şirketleri ile çözümlere gitmekte- fakat bu kabul edilebilir değil. Hiçbir kimse bu şekilde bir kilit sahibi olmamalı.

Bu saatten sonra ne yapılabilir ki diye karamsarlığa kapılmadan, ne yapabileceğimizi düşünmek lazım. Secure Boot’un çok uzun süre böyle bir hegemonyayı sürdürebileceğini sanmıyorum. Bir şekilde çözülecek, fakat en önemlisi bu işin yasal olarak; tüketicilere haksızlık ve haksız rekabet olarak değerlendirilmesi ve bir daha böyle bir şeyi dayatmaya kalkışılmamasını sağlamak diye düşünüyorum.

Avrupa Komisyonu’nun rekabet davası sebebiyle Microsoft’a kestiği rekor ceza gibi Secure Boot’a karşı da bir ceza gelebilir diye umuyorum.

Ülkemizde de bu özelliğe karşı bir hukuksal girişim veya yasal bir düzenleme olsa keşke. Ben yine de fırsat bulduğumda, dilim döndüğünce bu Secure Boot hakkında, Rekabet Kurumu‘na ve diğer mercilere yazılı şikayette bulunacağım. Size de öneririm.

Mutlu günler.

Paylaş:

21 YORUMLAR

  1. Bu bilgisayarı aldığıma ne kadar pişman olduğumu anlatamam. İnsan daha iyiyi görünce ondan kötü olandan uzak olmak istiyor. Ama Windows 8’le bunu yapamıyorsunuz. Benim yazımı okuyanlara bir de buradan senin vasıtanla net bir şekilde söylemiş olayım.

    Windows 8’den uzak durun. Kendi iyiliğiniz için.

    • sayın beyefendi makinanızın secure boot özelliğini kapatabiliyor olmanız lazım, secure boot’u kapattıktan sonra da makinanıza istediğiniz işletim sistemini kurmakta önünüzde kasti bir engel kalmıyor. kurmak istediğiniz dağıtım EFI desteklemiyorsa o dağıtımınızın sorunudur.

      • Sorun Boot Secure özelliğini kapatma sorunu değil, ücretini ödediğiniz işletim sistemini dilediğiniz gibi kuramamak ve kişiselleştirememek, İşletim sistemi iadesi aldıklarında elbette uefi’yi devre dışı bırakarak kullanabiliriz. Ancak satıcılar gömülü sistemi dayatmaktadırlar… can alıcı nokta burası, herkes istediği sistemi kullanabilir… Bir önemli ayrıntıda yeni teknolojiler eski teknoloji bir başka deyişle yeni pc’ler eski işletim sistemlerini (üretim tarihlerinden öncesini) desteklemeleri gerektiğini düşünüyorum. İşletim sistemimi yenileyeceksem buna ben karar verebilmeliyim… Lisanslı Xp, Win7 varken neden win8 alayım…

  2. Yeni bir bilgisayar arayışı macerasını bende 1,5 ay önce yaşadım. Güvenli boot konusunda haberim vardı fakat ayrıntılı bilgiyi arasamda bulamadım. Al-dene-gör den başka çarem kalmadı ve aldım-denedim-gördüm. Zeki bey yeni bilgisayar almayı düşündüğünüzü belirtmişsiniz size tavsiyem var. Ben Asus UX31A i7 işlemcili bir bilgisayar aldım malum windows8 vardı. İlk kurulumda win+linux beraber çalışırmı acaba dedim kurdum çalıştı (Ayrıntıya girmeyeceğim ama çalışıyor.) Sonra bastım formatı kurdum ubuntuyu. Bütün donanım kurulumdan sonra çalışıyor, sadece ekran parlaklığını ayarlamak için iki betik çalıştırmak gerekirli. Bu ultrabook gerçekten çok hızlı, 1,3 kg, mükemmel bir ekran ve en önemli özelliği ekranı kasaya kapatıyorsunuz ve 30 gün boyunca pili uykuda kalabiliyor, ekranı açıyorsunuz 1,5-2 saniyede kaldığınız yerden devam edebiliyorsunuz. Ubuntu bu uykudan uyanma konusunda daha bir kere bile teklemedi. Daha önceki bilgisayarlarımda bukadar stabil kullanamamıştım bu özelliği.

    Notlar
    — UX31A nın dokunmatik ekranlı modelleride çıktı fakat biraz tuzlu, dokunmatik olmayan modelleride i7 işlemcili modeli kampanyaları takip ederseniz 2390TL İ5 lisinin 1890 TL ye kadar düştüğü olmuştu.
    — UX32 modelinde iki ekran kartı hibrit çalışıyor ve ben bu özelliğin linuxta tam stabil çalıştığını daha görmedim hemde 150 gr daha ağır uzak durmanızı tavsiye ederim.

  3. bir bilgisayarın windows 8’e uyumlu sertifikası/logosunu alabilmesi için kullanıcının secure boot’u disable edebileceği ve isterse kendi sertifikalarını kurabileceği seçenekleri sunması zorunlu. yani windows 8’li bilgisayar aldık hapis gibi içeride kaldık falan diye bir durum yok. hiç böyle topluca galeyana gelip ortalığa köpükler saçmaya gerek yok.

    • Anlatamadık galiba: Niye imzalanmış sertifika almak zorunda olayım. Microsoft’tan onay mı alacağım veya dağıtımlar önce Microsoft’a başvurup icazetle sertifika mı almak zorunda.

      Bir de öyle ağzı köpürmüş imanız hiç hoş değil. Bizim uğraşımız belli kör kabullenmelerle bir yere varılmaz.

      • Merhabalar
        Arkadaşın son yorumuna katılmamakla birlikte ( köpükler saçmak konusunda ki ) sanırım demek istediği şuydu:
        Bir donanım üreticisi ( laptop ,anakart , pc, .. her neyse ) kendi çıkarı için bak bende uefi var ve ben w8 sertifikalıyım demek isterse yapmak zorunda olduğu bazı şartlar mevcut. Bunlardan bir tanesi ve bizim linuxcular için en önem arz edeni Bios seçenekleri arasına Secureboot özelliğini kapatabilme özelliği koyması veya sistemine sertifika ekleyebilme özelliği olması.
        Yani sallıyorum asus ben w8 destekliyorum logosunu koyduğu ürünü üzerinde secure boot u kapatma özelliğini de koyması zorunlu.

        Öte yandan Suse ve birçok dağıtım zaten sertifika imza yetkisi aldı bu nedenle zaten kendi çekirdeğimizi derleyip kullanmayacaksak ( ki bu durumda bile kendi sertifikamızı onaylayabiliyoruz ) bizim açımızdan sorun yok.

        Sistemin Linux cephesinde nasıl işleyeceğini merak edenler için :
        https://www.suse.com/blogs/uefi-secure-boot-details/

        ÇOK ÖNEMLİ :
        Şimdi bir karışıklığı düzeltmek için şunu vurgulamalıyım belki bilmeyen arkadaşlarımız vardır sisteminizde uefi ( bu securebootlu bios sistemi ) aktif şekilde herhangi bir işletim sistemi yüklü ise ( örneğin bir partisyonda w8 ) yanına diğer bölüm/partisyona veya diske kuracağınız linux , freebsd , … artık ne ise onun da EFI DESTEKLİ şekilde kurmanız ZORUNLUDUR. Yani sistemde w8 EFI açıkken kuruldu ise siz kapatıp yanına linuxu normal yükleyemezsiniz.
        Peki nasıl yükleyeceksiniz : ?
        Buyrun burada mesela ubuntunun ayrıntılı olarak nasıl EFI li veya EFI siz kurulacağı anlatılıyor :
        https://help.ubuntu.com/community/UEFI

        Kafalar karışmasın diye ekleyeyim verdiğim ubuntu linkinde UEFI konusunda her bilgi salata edilmiş.
        Yani Hem Secureboot’un kapatılma şekli hem farklı anakartlarda nasıl yapılacağı hemde UEFI kapatılmadan nasıl kurulacağı birlikte tek sayfada başlıklı olarak anlatılmış. Biraz düzenleseler daha güzel olurmuş ama sonuç UEFI tü kaka değildir 😀
        Hatta 1 Hdd içinde 4 den fazla GERÇEK partisyon oluşturabilmemiz için ZORUNLUDUR. ( LVM veya sanal partisyonlardan bahsetmiyorum )

        Aslında UEFI gerçekten çok güzel yeniliklerle birlikte geliyor bizim açımızdan da o kadar büyük sorun teşkil etmiyor işin açıkcası.

        UEFI nin diğer benim için en önemli güzelliği
        2TB den büyük disklerde boot etmeniz sadece UEFI destekli olmasıyla mümkün.
        diğer iyi yanları için :
        http://en.wikipedia.org/wiki/Extensible_Firmware_Interface

      • evet anlatamadınız. yazıda açık bir şekilde secure boot’lu bir bilgisayara başka bir işletim sistemi kurmanın mümkün olmadığını, windows 8’e ve microsoft’a mahkum olduğumuzu, tek çarenin secure boot’u olmayan bir bilgisayar almak olduğunu söylüyorsunuz, ben de size hatalı olduğunuzu, bu bahsettiklerinizin doğru olmadığını, microsoft’a mahkum olmadığımızı, secure boot’u isterseniz kapatabileceğinizi, isterseniz kendi sertifikanızı sisteme ekleyebileceğinizi söylüyorum. (kendi sertifikanızı kullanmak için microsoft’tan izin almak zorunda değilsiniz, dağıtımların yaptığı şeyle aynı şey değil bu, ayrımına iyi varmak gerek.)

        şu an tüm sistemlerde öntanımlı gelen tek sertifikanın microsoft sertifikası olması tabi ki hoş bir durum değil, üzerine gidilmesi gereken bir durum da, fakat önceki yorumumda bu konuya değinmiyordum zaten. neye değindimi önceki paragrafta anlattım.

        ağzı köpürmüş imam hoş değil farkındayım, ama sizin yazıda yaptığınız davranışın da Microsoft’un zamanında özgür yazılıma karşı yaptığı FUD taktiklerinden farkı yok, bağnaz bir tutumla Microsoft aleyhinde açıkça yanlış olan suçlamalar yapıyorsunuz, aynen 2000’lerin başında Microsoft’un linux’a yaptığı gibi. Rahatsız olduğum ve eleştirdiğim nokta budur, yaptığım imalar ağır kaçtıysa affola. Tek istediğim özgür yazılım camiasındaki bağnaz tutuma karşı gelmek. Özgür yazılıma gönül verirken açık fikirli davrandığımız gibi onu savunurken de açık fikirli olmamız gerek, bağnazlığın hayatın hiçbir alanında yeri olmamalı.

    • Kullanıcının olmazsa olmaz bir özgürlüğüdür bilgisayarına istediği işletim sistemini kurabilmek. Artık yazılımın kodlarını görme, değiştirme, dağıtma ve satma özgürlüğünü geçtik, insanlar o kadar para saçarak aldıkları bilgisayarlara diledikleri işletim sistemini kurma özgürlüğünü de kaybetmek üzereler. Köpük saçmıyoruz, içine ait olmadığımız alemlere dalıp trollük yapmıyoruz, sadece bilgisayarımızı istediğimiz gibi kullanmak istiyoruz. Terbiyesizliğin lüzumu yok.

      • ayrıca cevap verdiğiniz yorumu okumamışsınız bile, özgürlüğünüzü kısıtlayan bir şey yok, secure boot’u kapatıp istediğiniz şeyi kurabiliyorsunuz diyorum, hala kalkmış din için kafa kesen yobaz bağnazlığıyla bana cevap yazdığınız şeyi bile anlamadan bana cevap veriyorsunuz.

        • “din için boğaz kesen” deyimini ben hemen şapka takmadığı için meydanlarda sallandırılan binlerce insan ile değiştireyim ve işimiz ideolojik alana kaysın isterseniz.

          SecureBoot isimli teknoloji ne iş yapar?
          Peki Linux kurman için Güvenli Başlangıç ı mı kapatmak gerekiyor?
          Evet
          Kapatılabilen bir şey nasıl güvenli olsun ki!

          Tamamen bir hokus-pokustan ibaret bir teknoloji!

          • yine cevabı okumadan verilen bir başka cevap. kendi makinanıza kendi sertifikanızı ekleyebildiğinizi şu mecrada söyledim.

            işi ideolojik alana kaydırmak gibi bir niyetim olmadı. sizin öyle bir niyetiniz varsa bilemeyeceğim. zeki bey’e yazdığım yanıtı da okursanız bağnazlığın her türlüsüne karşı olduğumu görürsünüz. niyetim bu camiadaki bağnazlığı eleştirmek.

          • Tekrardan merhabalar
            Sizin için konuyu anlatan uzun bir makale hazırlıyorum. Nasipse akşama hazır olacaktır linki sizinle buradan paylaşırım

      • Ömer Fadıl Usta,

        Detaylı bilgi için teşekkürler.

        Öncelikle sorun yok değil, sorun var ve dolaylama çözümler var, ve henüz Linux Vakfı tarafından genel bir çözüme ulaşıldığı ve neticelendiği bildirilmedi, çalışmalar devam ediyor.

        Ayrıca UEFI ve Secure Boot aynı şey değil bildiğim ve anladığım kadarıyla(http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_boot). UEFI iyi olabilir ama Secure Boot özelliği sonradan kısıtlayıcı bir özellik. UEFI tü kaka demiyoruz zaten. FSF’nin de ilk açıklamasında sorunun UEFI’nin kendisi değil, firmalarca bunun nasıl kullanılacağı olduğu belirtilmişti. http://www.fsf.org/campaigns/campaigns/secure-boot-vs-restricted-boot

        Şu dağıtım Microsoft’tan sertifika anahtarını aldı, şurada kendilerince bir çözüm bulundu-ki test aşamasında- gibi… Bunlar sorun yok, çözüm var anlamında kesinlikle yorumlanmamalı. Şu an elimizdeki dağıtımları “normal – (eskisi gibi)” şekilde kurmamız mümkün değil. Genel evrensel bir çözüm yok, bağımsız ve açık bir sertifika edinme mekanizması da yok.

        Microsoft’un pazar gücü ile firmalara yaptığı dayatma ve bunun kötü yansıması özgürlüğümüzün kısıtlanması.

        Sorun, Microsoft’a veya başka bir şirkete bağımlı olmadan ve özgürce yukarıda ve diğer dolaylamalarda anlatılan şeyleri yapmaya zorunlu olmadan eşit şekilde dilediğim işletim sistemini kurabildiğimizde çözülmüş olacaktır.

        • Tekrardan merhabalar
          Ben uefi ile secureboot’u karıştıranlar için diyorum zaten bu nedenle uefi tü kaka diyemeyiz dedim. 🙂
          Ben secureboot özelliğinin de anakartlarımızda olan ve hiçbirimizin kullanmadığı antivirüs koruması veya cpu id özelliği gibi olacağına inanıyorum zamanla. Yani cpu id özelliği ilk çıktığında çok tartışılmıştı sonrasında şimdi sanırım doğru düzgün hiçbir anakartta açık gelmiyor bu özellik. Keza boot virüslerinden korunmak için eklenmiş ama şimdi kimsenin etkinleştirmediği virüs koruması gibi.
          sonuca gelecek olursak secureboot’un windows cephesinde de tutmayacağı sorunları arttıracağına inanıyorum bu nedenle zamanla zaten üreticiler de secureboot özelliğini kullanmayacaktır.

          Sorun olmadan çözümün de olmayacağına inanan birisiyim 🙂 Sorunlar her zaman olacaktır ama inanın bunun linux camiasını durdurabileceğine inanmıyorum.

    • @Mehmet
      Ben kurdum çalışıyorum bendeki süreç şöyle işledi.

      Hiç bir şey yokmuş gibi linux usb den başlatılır, sonra kurulurken bir bakarsın hertaraf partition dolu fazla yapıyı bozmadan sadece D kısmını bende 80 gb gibi bir büyüklüğü vardı EXT4 ve swap olarak ayırıp kurulum bildiğiniz gibi tamamlanır. Sonraki ilk açılışta windows bir hata vererek biosa otomatik girdi. Ekranda UEFI disable/enable seçenekleri vardı. Disable yaptım grup ekranı seçmem için işletim sistemlerini sundu önüme. Fakat gel görki linuxu seçince açılıyor windowsu seçince windows açılmıyor. Neyse biosu biraz daha kurcaladım ne göreyim grubun işini yapan bir menu eklemişler biosa bana açmak isteğim partitionu soruyor windowsu seçersem windows açılıyor, birde her açılışta bu menünün karşınıza çıkıp çıkmayacağı yada ön tanımlı olarak şu partitiondan aç gibi seçenekleri var. Ben her açılışta çıksını seçtim ve bios u işletim sistemi seçmem için çıkan menusunu grup programı gibi kullanmaya başladım. Eminimki bu üreticinin sorunun farkında olarak böyle bir ekranı biosa eklemesiyle ilgili bir durum. Ben Asus UX31A’da Windows8 yanında Ubuntuyu çalıştırdım, sizde üreticinizin bios güncellemesi ile böyle bir özellik ekleyip eklemediğine bakmanızı öneririm. Geçen haftada bilgisayarı aldığımdan beri hiç windowsu açmadığımı farkedince bastım formatı tamamen EXT4 yaptım.

      Aslında UEFI teknolojisini microsoftun bir teknoljisiymiş gibi gördüğünüzden olaya olumsuz yaklaşıyorsunuz fakat uefi aslında yeni bir bios geliştirelim geliştirikende şu disklere erişimi nasıl güvenli hale getiririz düşüncesinden doğmuş bir sistem ve genel bir standart halinde sunulmuş durumda. Linuxta UEFI standardını destekliyor ve tek başına kurulduğunda ve kurulumdan önce biostan uefi enable olursa uefi destekli kuruluyor. Burdaki suçlu yaramaz çocuk microsoft kendi uefi dosyasında kendi partitionlarından başkasının diski kullanmasına olanak vermemesinden kaynaklanıyor. Bu sefer Avrupa Birliğininde yapabileceği birşey yok çünkü bu teknolojinin amacı zaten dışarıdan gelecek tehditleri bertaraf etmek. Linux bir tehdit değil ama microsofta göre tanımsız veri kümesi bu bir virus yazılımıda olabilir bir resimde.

CEVAP VER

Please enter your comment!
Please enter your name here