Kategoriler
Genel Pardus

Microsoft’un şeytani Secure Boot kelepçesinin tezahürü

Bazı tehlikeleri önceden bilsek de gerçekleşene kadar -ve hatta ucu bize değene kadar- bu tehlikeleri “sanal” sayar ve yüzleşmeyeceğimizi düşünürüz…

Secure Boot Bilgisayarınıza GNU/Linux, BSD veya başka bir işletim sistemi kurmanızı engelleyecek!
Secure Boot Bilgisayarınıza GNU/Linux, BSD veya başka bir işletim sistemi kurmanızı engelleyecek!

Secure Boot bir tehlikeydi ve Secure Boot özelliğine sahip Windows 8’li bilgisayarların raflarda yer almasıyla ülkemiz pazarında da esir bilgisayarları raflara koyarak hayatımıza maalesef girdi.

Secure Boot ne diye hatılatmak gerekirse, Secure Boot Microsoft’un Windows 8 için getirdiği “sözde” bir güvenlik gerekliliği olarak bilgisayar üreticilerine dayatılan bir kısıtlama. Bu kısıtlama ile özel anahtarlara sahip olmayan hiçbir işletim sistemini bilgisayarınıza kurup başlatamayacaksınız. Yani kişisel tercihinize saygı duyulmadan, size sunulanı dayatılanı alabileceksiniz. Özgür yazılım kuramayacaksınız! Tüketici tercihlerini geride bıraktım, hapisane dayatmasından farksız bir durum.

Bilgisayarlarınız sizindir ve bilgisaranıza ne dilerseniz onu kurma hakkınız vardır!

Bu sepeple secure boot’a karşı özgür ayzılım Vakfı 2011 yılında bir imza kampanyası başlatmıştı (henüz imzalamadıysanız mutlaka imzalayın), Özgür Ilgın günlüğünde yer vermişti biz de Özgürlükİçin ve Pardus-Linux.org‘da haber yapmıştık. Ayrıca ben de İmzalamayan bizden değildir demiştim.

Geçtiğimiz gün Google+’da Necmettin Betiger’in günlüğünde yazdığı “Windows 8 Güzel mi?” başlıklı yazısını gördüm ve okudum. Burada aldığı dizüstü bilgisayara “Kubuntu” kuramadığından bahsediyordur.

Bunu duyunca “Eyvah!” dedim, sanırım tehlike ile o an yüzleşmiştim ve artık o gerçekti. Benim de bir dizüstü bilgisayar almaya ihtiyacım var ve mağaza raflarındaki bilgisayarlar artık benim için alınamaz durumdalar.

Hadi ben seçici olacağım ve piyasadaki Secur Boot özelliği olmayan daha eski bir modeli bulmaya çalışacağım. Peki ya yarın?

Bilgisayarlarını özgür yazılımla tanıştıracak insanlar bunu maalesef gerçekleştiremeyecek.

Düşünsenize, bilgisayarınız var ve siz Linux/BSD veya başka bir işletim sistemi kuramıyorsunuz, sizi birileri kısıtlamış;

  • Kısıtlama sebebi: Güvenlik.
  • Bu kısıtlamayı yapan: Dünyanın en çok güvenlik zaafiyetine sahip işletim sistemini üreten şirket.
  • Kısıtladıkları ise: En güvenli işletim sistemleri.
  • Bu kısıtlama ne sağlıyor: Piyasada tekel gücü

Sizce bu mantıklı mı?

-Bazı dağıtımlar Microsoft ve diğer sayısal imza şirketleri ile çözümlere gitmekte- fakat bu kabul edilebilir değil. Hiçbir kimse bu şekilde bir kilit sahibi olmamalı.

Bu saatten sonra ne yapılabilir ki diye karamsarlığa kapılmadan, ne yapabileceğimizi düşünmek lazım. Secure Boot’un çok uzun süre böyle bir hegemonyayı sürdürebileceğini sanmıyorum. Bir şekilde çözülecek, fakat en önemlisi bu işin yasal olarak; tüketicilere haksızlık ve haksız rekabet olarak değerlendirilmesi ve bir daha böyle bir şeyi dayatmaya kalkışılmamasını sağlamak diye düşünüyorum.

Avrupa Komisyonu’nun rekabet davası sebebiyle Microsoft’a kestiği rekor ceza gibi Secure Boot’a karşı da bir ceza gelebilir diye umuyorum.

Ülkemizde de bu özelliğe karşı bir hukuksal girişim veya yasal bir düzenleme olsa keşke. Ben yine de fırsat bulduğumda, dilim döndüğünce bu Secure Boot hakkında, Rekabet Kurumu‘na ve diğer mercilere yazılı şikayette bulunacağım. Size de öneririm.

Mutlu günler.

“Microsoft’un şeytani Secure Boot kelepçesinin tezahürü” için 21 yanıt

Bu bilgisayar? ald???ma ne kadar pi?man oldu?umu anlatamam. ?nsan daha iyiyi görünce ondan kötü olandan uzak olmak istiyor. Ama Windows 8’le bunu yapam?yorsunuz. Benim yaz?m? okuyanlara bir de buradan senin vas?tanla net bir ?ekilde söylemi? olay?m.

Windows 8’den uzak durun. Kendi iyili?iniz için.

say?n beyefendi makinan?z?n secure boot özelli?ini kapatabiliyor olman?z laz?m, secure boot’u kapatt?ktan sonra da makinan?za istedi?iniz i?letim sistemini kurmakta önünüzde kasti bir engel kalm?yor. kurmak istedi?iniz da??t?m EFI desteklemiyorsa o da??t?m?n?z?n sorunudur.

Sorun Boot Secure özelli?ini kapatma sorunu de?il, ücretini ödedi?iniz i?letim sistemini diledi?iniz gibi kuramamak ve ki?iselle?tirememek, ??letim sistemi iadesi ald?klar?nda elbette uefi’yi devre d??? b?rakarak kullanabiliriz. Ancak sat?c?lar gömülü sistemi dayatmaktad?rlar… can al?c? nokta buras?, herkes istedi?i sistemi kullanabilir… Bir önemli ayr?nt?da yeni teknolojiler eski teknoloji bir ba?ka deyi?le yeni pc’ler eski i?letim sistemlerini (üretim tarihlerinden öncesini) desteklemeleri gerekti?ini dü?ünüyorum. ??letim sistemimi yenileyeceksem buna ben karar verebilmeliyim… Lisansl? Xp, Win7 varken neden win8 alay?m…

Yeni bir bilgisayar aray??? maceras?n? bende 1,5 ay önce ya?ad?m. Güvenli boot konusunda haberim vard? fakat ayr?nt?l? bilgiyi arasamda bulamad?m. Al-dene-gör den ba?ka çarem kalmad? ve ald?m-denedim-gördüm. Zeki bey yeni bilgisayar almay? dü?ündü?ünüzü belirtmi?siniz size tavsiyem var. Ben Asus UX31A i7 i?lemcili bir bilgisayar ald?m malum windows8 vard?. ?lk kurulumda win+linux beraber çal???rm? acaba dedim kurdum çal??t? (Ayr?nt?ya girmeyece?im ama çal???yor.) Sonra bast?m format? kurdum ubuntuyu. Bütün donan?m kurulumdan sonra çal???yor, sadece ekran parlakl???n? ayarlamak için iki betik çal??t?rmak gerekirli. Bu ultrabook gerçekten çok h?zl?, 1,3 kg, mükemmel bir ekran ve en önemli özelli?i ekran? kasaya kapat?yorsunuz ve 30 gün boyunca pili uykuda kalabiliyor, ekran? aç?yorsunuz 1,5-2 saniyede kald???n?z yerden devam edebiliyorsunuz. Ubuntu bu uykudan uyanma konusunda daha bir kere bile teklemedi. Daha önceki bilgisayarlar?mda bukadar stabil kullanamam??t?m bu özelli?i.

Notlar
— UX31A n?n dokunmatik ekranl? modelleride ç?kt? fakat biraz tuzlu, dokunmatik olmayan modelleride i7 i?lemcili modeli kampanyalar? takip ederseniz 2390TL ?5 lisinin 1890 TL ye kadar dü?tü?ü olmu?tu.
— UX32 modelinde iki ekran kart? hibrit çal???yor ve ben bu özelli?in linuxta tam stabil çal??t???n? daha görmedim hemde 150 gr daha a??r uzak durman?z? tavsiye ederim.

bir bilgisayar?n windows 8’e uyumlu sertifikas?/logosunu alabilmesi için kullan?c?n?n secure boot’u disable edebilece?i ve isterse kendi sertifikalar?n? kurabilece?i seçenekleri sunmas? zorunlu. yani windows 8’li bilgisayar ald?k hapis gibi içeride kald?k falan diye bir durum yok. hiç böyle topluca galeyana gelip ortal??a köpükler saçmaya gerek yok.

Anlatamad?k galiba: Niye imzalanm?? sertifika almak zorunda olay?m. Microsoft’tan onay m? alaca??m veya da??t?mlar önce Microsoft’a ba?vurup icazetle sertifika m? almak zorunda.

Bir de öyle a?z? köpürmü? iman?z hiç ho? de?il. Bizim u?ra??m?z belli kör kabullenmelerle bir yere var?lmaz.

Merhabalar
Arkada??n son yorumuna kat?lmamakla birlikte ( köpükler saçmak konusunda ki ) san?r?m demek istedi?i ?uydu:
Bir donan?m üreticisi ( laptop ,anakart , pc, .. her neyse ) kendi ç?kar? için bak bende uefi var ve ben w8 sertifikal?y?m demek isterse yapmak zorunda oldu?u baz? ?artlar mevcut. Bunlardan bir tanesi ve bizim linuxcular için en önem arz edeni Bios seçenekleri aras?na Secureboot özelli?ini kapatabilme özelli?i koymas? veya sistemine sertifika ekleyebilme özelli?i olmas?.
Yani sall?yorum asus ben w8 destekliyorum logosunu koydu?u ürünü üzerinde secure boot u kapatma özelli?ini de koymas? zorunlu.

Öte yandan Suse ve birçok da??t?m zaten sertifika imza yetkisi ald? bu nedenle zaten kendi çekirde?imizi derleyip kullanmayacaksak ( ki bu durumda bile kendi sertifikam?z? onaylayabiliyoruz ) bizim aç?m?zdan sorun yok.

Sistemin Linux cephesinde nas?l i?leyece?ini merak edenler için :
https://www.suse.com/blogs/uefi-secure-boot-details/

ÇOK ÖNEML? :
?imdi bir kar???kl??? düzeltmek için ?unu vurgulamal?y?m belki bilmeyen arkada?lar?m?z vard?r sisteminizde uefi ( bu securebootlu bios sistemi ) aktif ?ekilde herhangi bir i?letim sistemi yüklü ise ( örne?in bir partisyonda w8 ) yan?na di?er bölüm/partisyona veya diske kuraca??n?z linux , freebsd , … art?k ne ise onun da EFI DESTEKL? ?ekilde kurman?z ZORUNLUDUR. Yani sistemde w8 EFI aç?kken kuruldu ise siz kapat?p yan?na linuxu normal yükleyemezsiniz.
Peki nas?l yükleyeceksiniz : ?
Buyrun burada mesela ubuntunun ayr?nt?l? olarak nas?l EFI li veya EFI siz kurulaca?? anlat?l?yor :
https://help.ubuntu.com/community/UEFI

Kafalar kar??mas?n diye ekleyeyim verdi?im ubuntu linkinde UEFI konusunda her bilgi salata edilmi?.
Yani Hem Secureboot’un kapat?lma ?ekli hem farkl? anakartlarda nas?l yap?laca?? hemde UEFI kapat?lmadan nas?l kurulaca?? birlikte tek sayfada ba?l?kl? olarak anlat?lm??. Biraz düzenleseler daha güzel olurmu? ama sonuç UEFI tü kaka de?ildir 😀
Hatta 1 Hdd içinde 4 den fazla GERÇEK partisyon olu?turabilmemiz için ZORUNLUDUR. ( LVM veya sanal partisyonlardan bahsetmiyorum )

Asl?nda UEFI gerçekten çok güzel yeniliklerle birlikte geliyor bizim aç?m?zdan da o kadar büyük sorun te?kil etmiyor i?in aç?kcas?.

UEFI nin di?er benim için en önemli güzelli?i
2TB den büyük disklerde boot etmeniz sadece UEFI destekli olmas?yla mümkün.
di?er iyi yanlar? için :
http://en.wikipedia.org/wiki/Extensible_Firmware_Interface

evet anlatamad?n?z. yaz?da aç?k bir ?ekilde secure boot’lu bir bilgisayara ba?ka bir i?letim sistemi kurman?n mümkün olmad???n?, windows 8’e ve microsoft’a mahkum oldu?umuzu, tek çarenin secure boot’u olmayan bir bilgisayar almak oldu?unu söylüyorsunuz, ben de size hatal? oldu?unuzu, bu bahsettiklerinizin do?ru olmad???n?, microsoft’a mahkum olmad???m?z?, secure boot’u isterseniz kapatabilece?inizi, isterseniz kendi sertifikan?z? sisteme ekleyebilece?inizi söylüyorum. (kendi sertifikan?z? kullanmak için microsoft’tan izin almak zorunda de?ilsiniz, da??t?mlar?n yapt??? ?eyle ayn? ?ey de?il bu, ayr?m?na iyi varmak gerek.)

?u an tüm sistemlerde öntan?ml? gelen tek sertifikan?n microsoft sertifikas? olmas? tabi ki ho? bir durum de?il, üzerine gidilmesi gereken bir durum da, fakat önceki yorumumda bu konuya de?inmiyordum zaten. neye de?indimi önceki paragrafta anlatt?m.

a?z? köpürmü? imam ho? de?il fark?nday?m, ama sizin yaz?da yapt???n?z davran???n da Microsoft’un zaman?nda özgür yaz?l?ma kar?? yapt??? FUD taktiklerinden fark? yok, ba?naz bir tutumla Microsoft aleyhinde aç?kça yanl?? olan suçlamalar yap?yorsunuz, aynen 2000’lerin ba??nda Microsoft’un linux’a yapt??? gibi. Rahats?z oldu?um ve ele?tirdi?im nokta budur, yapt???m imalar a??r kaçt?ysa affola. Tek istedi?im özgür yaz?l?m camias?ndaki ba?naz tutuma kar?? gelmek. Özgür yaz?l?ma gönül verirken aç?k fikirli davrand???m?z gibi onu savunurken de aç?k fikirli olmam?z gerek, ba?nazl???n hayat?n hiçbir alan?nda yeri olmamal?.

Kullan?c?n?n olmazsa olmaz bir özgürlü?üdür bilgisayar?na istedi?i i?letim sistemini kurabilmek. Art?k yaz?l?m?n kodlar?n? görme, de?i?tirme, da??tma ve satma özgürlü?ünü geçtik, insanlar o kadar para saçarak ald?klar? bilgisayarlara diledikleri i?letim sistemini kurma özgürlü?ünü de kaybetmek üzereler. Köpük saçm?yoruz, içine ait olmad???m?z alemlere dal?p trollük yapm?yoruz, sadece bilgisayar?m?z? istedi?imiz gibi kullanmak istiyoruz. Terbiyesizli?in lüzumu yok.

ayr?ca cevap verdi?iniz yorumu okumam??s?n?z bile, özgürlü?ünüzü k?s?tlayan bir ?ey yok, secure boot’u kapat?p istedi?iniz ?eyi kurabiliyorsunuz diyorum, hala kalkm?? din için kafa kesen yobaz ba?nazl???yla bana cevap yazd???n?z ?eyi bile anlamadan bana cevap veriyorsunuz.

“din için bo?az kesen” deyimini ben hemen ?apka takmad??? için meydanlarda salland?r?lan binlerce insan ile de?i?tireyim ve i?imiz ideolojik alana kays?n isterseniz.

SecureBoot isimli teknoloji ne i? yapar?
Peki Linux kurman için Güvenli Ba?lang?ç ? m? kapatmak gerekiyor?
Evet
Kapat?labilen bir ?ey nas?l güvenli olsun ki!

Tamamen bir hokus-pokustan ibaret bir teknoloji!

yine cevab? okumadan verilen bir ba?ka cevap. kendi makinan?za kendi sertifikan?z? ekleyebildi?inizi ?u mecrada söyledim.

i?i ideolojik alana kayd?rmak gibi bir niyetim olmad?. sizin öyle bir niyetiniz varsa bilemeyece?im. zeki bey’e yazd???m yan?t? da okursan?z ba?nazl???n her türlüsüne kar?? oldu?umu görürsünüz. niyetim bu camiadaki ba?nazl??? ele?tirmek.

Tekrardan merhabalar
Sizin için konuyu anlatan uzun bir makale haz?rl?yorum. Nasipse ak?ama haz?r olacakt?r linki sizinle buradan payla??r?m

osman’? bilmem ama benim üstteki yaz?m? okursan?z kurulabilece?ini göreceksiniz

Ömer Fad?l Usta,

Detayl? bilgi için te?ekkürler.

Öncelikle sorun yok de?il, sorun var ve dolaylama çözümler var, ve henüz Linux Vakf? taraf?ndan genel bir çözüme ula??ld??? ve neticelendi?i bildirilmedi, çal??malar devam ediyor.

Ayr?ca UEFI ve Secure Boot ayn? ?ey de?il bildi?im ve anlad???m kadar?yla(http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_boot). UEFI iyi olabilir ama Secure Boot özelli?i sonradan k?s?tlay?c? bir özellik. UEFI tü kaka demiyoruz zaten. FSF’nin de ilk aç?klamas?nda sorunun UEFI’nin kendisi de?il, firmalarca bunun nas?l kullan?laca?? oldu?u belirtilmi?ti. http://www.fsf.org/campaigns/campaigns/secure-boot-vs-restricted-boot

?u da??t?m Microsoft’tan sertifika anahtar?n? ald?, ?urada kendilerince bir çözüm bulundu-ki test a?amas?nda- gibi… Bunlar sorun yok, çözüm var anlam?nda kesinlikle yorumlanmamal?. ?u an elimizdeki da??t?mlar? “normal – (eskisi gibi)” ?ekilde kurmam?z mümkün de?il. Genel evrensel bir çözüm yok, ba??ms?z ve aç?k bir sertifika edinme mekanizmas? da yok.

Microsoft’un pazar gücü ile firmalara yapt??? dayatma ve bunun kötü yans?mas? özgürlü?ümüzün k?s?tlanmas?.

Sorun, Microsoft’a veya ba?ka bir ?irkete ba??ml? olmadan ve özgürce yukar?da ve di?er dolaylamalarda anlat?lan ?eyleri yapmaya zorunlu olmadan e?it ?ekilde diledi?im i?letim sistemini kurabildi?imizde çözülmü? olacakt?r.

Tekrardan merhabalar
Ben uefi ile secureboot’u kar??t?ranlar için diyorum zaten bu nedenle uefi tü kaka diyemeyiz dedim. 🙂
Ben secureboot özelli?inin de anakartlar?m?zda olan ve hiçbirimizin kullanmad??? antivirüs korumas? veya cpu id özelli?i gibi olaca??na inan?yorum zamanla. Yani cpu id özelli?i ilk ç?kt???nda çok tart???lm??t? sonras?nda ?imdi san?r?m do?ru düzgün hiçbir anakartta aç?k gelmiyor bu özellik. Keza boot virüslerinden korunmak için eklenmi? ama ?imdi kimsenin etkinle?tirmedi?i virüs korumas? gibi.
sonuca gelecek olursak secureboot’un windows cephesinde de tutmayaca?? sorunlar? artt?raca??na inan?yorum bu nedenle zamanla zaten üreticiler de secureboot özelli?ini kullanmayacakt?r.

Sorun olmadan çözümün de olmayaca??na inanan birisiyim 🙂 Sorunlar her zaman olacakt?r ama inan?n bunun linux camias?n? durdurabilece?ine inanm?yorum.

@Mehmet
Ben kurdum çal???yorum bendeki süreç ?öyle i?ledi.

Hiç bir ?ey yokmu? gibi linux usb den ba?lat?l?r, sonra kurulurken bir bakars?n hertaraf partition dolu fazla yap?y? bozmadan sadece D k?sm?n? bende 80 gb gibi bir büyüklü?ü vard? EXT4 ve swap olarak ay?r?p kurulum bildi?iniz gibi tamamlan?r. Sonraki ilk aç?l??ta windows bir hata vererek biosa otomatik girdi. Ekranda UEFI disable/enable seçenekleri vard?. Disable yapt?m grup ekran? seçmem için i?letim sistemlerini sundu önüme. Fakat gel görki linuxu seçince aç?l?yor windowsu seçince windows aç?lm?yor. Neyse biosu biraz daha kurcalad?m ne göreyim grubun i?ini yapan bir menu eklemi?ler biosa bana açmak iste?im partitionu soruyor windowsu seçersem windows aç?l?yor, birde her aç?l??ta bu menünün kar??n?za ç?k?p ç?kmayaca?? yada ön tan?ml? olarak ?u partitiondan aç gibi seçenekleri var. Ben her aç?l??ta ç?ks?n? seçtim ve bios u i?letim sistemi seçmem için ç?kan menusunu grup program? gibi kullanmaya ba?lad?m. Eminimki bu üreticinin sorunun fark?nda olarak böyle bir ekran? biosa eklemesiyle ilgili bir durum. Ben Asus UX31A’da Windows8 yan?nda Ubuntuyu çal??t?rd?m, sizde üreticinizin bios güncellemesi ile böyle bir özellik ekleyip eklemedi?ine bakman?z? öneririm. Geçen haftada bilgisayar? ald???mdan beri hiç windowsu açmad???m? farkedince bast?m format? tamamen EXT4 yapt?m.

Asl?nda UEFI teknolojisini microsoftun bir teknoljisiymi? gibi gördü?ünüzden olaya olumsuz yakla??yorsunuz fakat uefi asl?nda yeni bir bios geli?tirelim geli?tirikende ?u disklere eri?imi nas?l güvenli hale getiririz dü?üncesinden do?mu? bir sistem ve genel bir standart halinde sunulmu? durumda. Linuxta UEFI standard?n? destekliyor ve tek ba??na kuruldu?unda ve kurulumdan önce biostan uefi enable olursa uefi destekli kuruluyor. Burdaki suçlu yaramaz çocuk microsoft kendi uefi dosyas?nda kendi partitionlar?ndan ba?kas?n?n diski kullanmas?na olanak vermemesinden kaynaklan?yor. Bu sefer Avrupa Birli?ininde yapabilece?i bir?ey yok çünkü bu teknolojinin amac? zaten d??ar?dan gelecek tehditleri bertaraf etmek. Linux bir tehdit de?il ama microsofta göre tan?ms?z veri kümesi bu bir virus yaz?l?m?da olabilir bir resimde.

Linux Vakf?, bu konudaki “bypass” alt yap?s?n? geçti?imiz ay son haline getirdi. Yak?n zaman içinde belli ba?l? tüm da??t?mlar?n kurulumlar? sorunsuzca “bypass” yapabilir hale gelecek.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir