İşletim sistemi olarak GNU+Linux kullanan çoğu insan, özgür olduğunu düşünür. Oysa ki kullandıkları bilgisayarların donanım yazılımları (firmware) özgür değildir. Buna en iyi örnek, BIOS ve UEFI yazılımlarıdır.
Bilgisayarla uğraşan hemen herkes BIOS terimini duymuştur. BIOS, anakart üzerinde uçucu olmayan (non-volatile) bir saklama biriminde (basit bir entegre) tutulan, bilgisayar açıldığı anda, donanımların başlatılmasını sağlayan ve işletim sisteminin çalıştırılması için çeşitli servisleri sunan bir donanım yazılımıdır.
BIOS deyip geçilir ve basit bir terim olarak görülür. Fakat o kadar da basit değilmiş. Çünkü çoğu sistem, Intel Management Engine (IME) aracılığıyla, bilgisayar kapalı dahi olsa yönetilebiliyor ve hatta yapılan tüm işlemlerle ilgili bilgiler, BIOS’un barındırdığı arka kapı sayesinde ağ üzerinden dışarı sızdırılıyormuş. IME ‘nin resmi web sitesindeki güvenlik açıklarının tespiti ile ilgili yayınladığı araçlar bu durumu destekler nitelikte. Çoğu kullanıcının bu durumdan haberdar olduğunu bile düşünmüyorum. Ben de yeni öğrendim ve şaşırdım açıkçası.
Boot Güvenliği
Bilgisayarınız düğmesine basmanızdan işletim sisteminin sizi kullanılabilir şekilde karşılayacağı ana kadar sırası ile pek çok yazılım çalıştırarak açılır. Bu süreç bilgisayarınızın donanımların yüklenmesinden işletim sisteminizin açılış ayarlarına kadar pek çok süreci yöneten farklı yazılımlarca yönetilir. Sürecin başından sonuna kadar istediğiniz gibi güvenli gitmesi fiziki ve yazılımsal kimi güvence ve varsayımlara bağlıdır.
Boot güvenliğini neden önemsemelisiniz?
Cihazınızın boot sürecini ele geçirmiş bir saldırgan işletim sistemi seviyesinde farkına bile varılamayacak saldırılar gerçekleştirebilir. Özellikle tedbir alınmamış bilgisayarlarda bahsedilen saldırıların gerçekleştirilmesi ciddi bilgi birikimi de gerektirmemektedir. Bu tip saldırıları önlemek için çeşitli tedbirler alabilirsiniz.
Libreboot’u donanım yazılımı olarak kullanacak şekilde değiştirilmiş İki ThinkPad X60 dizüstü.
Boot nasıl gerçekleşir?
Bilgisayarınızı açtığınız andan itibaren, sisteminizde yüklü olan çeşitli yazılımlar, çalışarak işletim sisteminiz yükleninceye kadar sırası ile çalışarak birbirlerini yüklerler. Bu zincirleme işlem işletim sisteminiz ile bilgisayarın donanımları arasındaki uyumu sağlar.
Bilgisayarınızda ilk çalışan yazılım, cihazın anakartında özel bir çip üzerinde çalışan UEFI veya BIOS yazılımıdır. Bu yazılım sistemdeki cihazları kullanılabilir hale getirmek, cihazınızda boot imkanı tanıyan bir cihaz bulup bunun çalışmasını sağlamak ile görevlidir. Modern bilgisayarlda en sık görülecek yazılım UEFI (Unified Extensible Firmware Interface) idir.
UEFI aynı zamanda Secureboot adında bir güvenlik sistemi de içermektedir. Secureboot günümüzdeki uygulaması ile bir DRM yani kullanıcıların özgürlüklerini sınırlayan bir sistemdir. Secureboot, Microsoft’a ait bir anahtar içerir ve bu anahtar ile imzalanmamış hiçbir kodun çalışmasına izin vermez. Bu sebeple pek çok GNU/Linux dağıtımı modern cihazlarda çalışabilmek için ya Secureboot’un kapatılmasını ya da Microsoft tarafından imzalanmış shim adında bir yazılımın sisteme dahil edilmesini gerektirmektedir. Secureboot’a kullanıcılar kendi anahtarlarını ekleyip kendi imzaladıkları kodların çalışmasını sağlayabilseler de bu çok zorlu bir süreç olmakla birlikte UEFI ve Secureboot’un özgür olmayan yazılımlar olduğu gerçeğini değiştirmemektedir.
Özgür Libreboot desteklendiği cihazlarda bios yazılımının tamamen yerine geçerek olabilecek en özgür bilgisayar sistemine imkan sağlamaktadır. Libreboot doğrudan GRUB kullandığından, GRUB tarafından desteklenen şifreleme ve imzalama imkanlarını doğal olarak desteklemektedir. Bu sayede hem güvenli hem de özgür bir sistem oluşturmak mümkündür.
Sisteminizdeki UEFI veya Libreboot bir önyükleyici çalıştıracaktır. GNU/Linux dağıtımlar için bu GRUB’dır. GRUB sürücünüzdeki /boot sektöründe Linux çekirdeği ile birlikte bulunur ve çekirdeğin yüklenmesinden sorumludur. Çekirdek sisteminizde donanımlarla işletim sisteminizin arasındaki iletişimden sorumlu olmakla güvenliğiniz için önemli bir konumdadır.
Çekirdeğin yüklenmesinin ardından işletim sisteminiz yüklenir ve bilgisayarınız sizin tarafınızdan kullanılabilir hale gelir.
Nereden İndirilir?
Aşağıdaki bilgisayar & anakart modellerinden birisini kullanıyor olmanız lazım. Liste zamanla genişleyecek.
Gigabyte GA-G41M-ES2L
Intel D510MO
Intel D945GCLF
ASUS KCMA-D8
ASUS KFSN4-DRE
ASUS KGPE-D16
ASUS Chromebook C201
Lenovo ThinkPad X60/X60s
Lenovo ThinkPad X60 Tablet
Lenovo ThinkPad T60 (birkaç istisna ile)
Lenovo ThinkPad X200
Lenovo ThinkPad R400
Lenovo ThinkPad R500
Lenovo ThinkPad T400
Lenovo ThinkPad T500
Apple MacBook 1,1
Apple MacBook 2,1
Apple iMac 5,2
https://libreboot.org/ Adresinden indirebilirsiniz. Libreboot işlemi için fiziki müdahelede bulunmanız gerekebilir.
Kaynaklar: libreboot.org / guvenlik.oyd.org.tr / bozogullarindan.com / wikipedia.org