Güvenli Önyükleme, Windows aygıtlarının başlatma işlemi sırasında kötü amaçlı ürün yazılımı veya yazılım yüklememesini sağlamaya yönelik bir endüstri standardıdır. Çoğu durumda yapmanız gerektiği gibi etkinleştirdiyseniz ve bu, Microsoft tarafından zorunlu kılınan varsayılan ayarsa, sizin için iyi. Ancak MSI üreticisi tarafından son 18 ayda üretilmiş 300’den fazla anakart modelinden birini kullanıyorsanız, korunamayabilirsiniz.
2011’de kullanıma sunulan Güvenli Önyükleme, bir aygıtı önyükleyen donanım ile yazılım veya ürün yazılımı arasında bir güven zinciri oluşturur. Güvenli Önyüklemeden önce, aygıtlar, onlara nasıl önyükleme yapacaklarını ve sabit diskleri, CPU’ları, belleği ve diğer donanımları tanıyıp başlatacaklarını öğretmek için küçük bir çipe yüklenen BIOS olarak bilinen yazılımı kullanıyordu. Tamamlandığında, bu mekanizma, Windows’u yüklemek için görevleri ve işlemleri etkinleştiren önyükleyiciyi yükledi.
Sorun şuydu: BIOS, uygun dizinde bulunan herhangi bir önyükleyiciyi yüklerdi. Bu serbestlik, bir cihaza kısa süreli erişimi olan bilgisayar korsanlarının, sırayla kötü amaçlı ürün yazılımı veya Windows görüntüleri çalıştıracak olan hileli önyükleyiciler yüklemesine izin verdi.
Güvenli Önyükleme başarısız olduğunda
Yaklaşık on yıl önce, BIOS, güvenilir üreticileri tarafından dijital olarak imzalanmamış sistem sürücülerinin veya önyükleyicilerin yüklenmesini önleyebilen başlı başına bir işletim sistemi olan UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi) ile değiştirildi.
UEFI, OEM’lerin üretim sırasında anakartların kalıcı belleğine yüklediği hem güvenilir hem de iptal edilmiş imzaların veritabanlarına dayanır. İmzalar, güven zincirini oluşturan bir ölçü olan her yetkili önyükleyicinin veya UEFI kontrollü uygulamanın imzalayanlarını ve kriptografik karmalarını listeler. Bu zincir, cihazın yalnızca bilinen ve güvenilen kodu kullanarak güvenli bir şekilde önyüklenmesini sağlar. Bilinmeyen kodun yüklenmesi planlanmışsa, Güvenli Önyükleme başlatma işlemini kapatır.
Yakın zamanda bir araştırmacı ve öğrenci, Tayvan merkezli MSI’ın 300’den fazla anakart modelinin varsayılan olarak Güvenli Önyükleme uygulamadığını ve herhangi bir önyükleyicinin çalışmasına izin verdiğini keşfetti. Modeller, Intel ve AMD’den birçoğu dahil olmak üzere çeşitli donanım ve aygıt yazılımıyla çalışır (tam liste buradadır). Eksiklik, 2021’in üçüncü çeyreğinde bir ara ortaya çıktı. Araştırmacı, sisteminin çeşitli bileşenlerini dijital olarak imzalamaya çalışırken yanlışlıkla sorunu ortaya çıkardı.
Şu anda Yeni Zelanda’da yaşayan Polonya doğumlu bir araştırmacı olan Dawid Potocki, “2022-12-11 tarihinde, yeni masaüstümde sbctl’nin yardımıyla Güvenli Önyükleme kurmaya karar verdim” diye yazdı. “Maalesef aygıt yazılımımın… güvenilir olsun ya da olmasın, verdiğim her işletim sistemi görüntüsünü kabul ettiğini fark ettim. Secure Boot’u ilk kez kendi kendime imzalamıyordum, yanlış yapmıyordum.”
Potocki, ASRock, Asus, Biostar, EVGA, Gigabyte ve NZXT üreticilerinin anakartlarında aynı eksiklikten muzdarip olduğuna dair hiçbir belirti bulamadığını söyledi.
Araştırmacı, bozuk Güvenli Önyüklemenin, MSI’ın varsayılan ayarlarını açıklanamaz bir şekilde değiştirmesinin sonucu olduğunu bildirdi. Gerçekten herkesin yapması gereken Güvenli Önyüklemeyi uygulamak isteyen kullanıcıların, etkilenen anakartlarındaki ayarlara erişmeleri gerekir. Bunu yapmak için, cihaz açılırken klavyedeki Del düğmesini basılı tutun. Oradan, yazan menüyü seçin SecuritySecure Boot veya bu etkiye sahip bir şey ve ardından Image Execution Policy alt menü. Anakartınız etkilenirse, Çıkarılabilir Medya ve Sabit Medya “Her Zaman Yürüt” olarak ayarlanacaktır.
Getty Resimleri
Düzeltmek için, bu iki kategori için “Her Zaman Yürüt” seçeneğini “Yürütmeyi Reddet” olarak değiştirin.
Perşembe günü yayınlanan bir Reddit gönderisinde, bir MSI temsilcisi Potocki’nin bulgularını doğruladı. Temsilci şunları yazdı:
Birden çok son kullanıcının PC sistemlerini yerleşik seçeneklerini içeren binlerce (veya daha fazla) bileşenle oluşturmasına olanak tanıyan kullanıcı dostu bir ortam sunmak için Güvenli Önyüklemeyi önceden Etkin olarak ve varsayılan ayar olarak “Her Zaman Yürüt” olarak ayarladık. İşletim sistemi görüntüleri de dahil olmak üzere ROM, daha yüksek uyumluluk yapılandırmalarıyla sonuçlanır. Güvenlik konusunda son derece endişe duyan kullanıcılar, güvenlik ihtiyaçlarını karşılamak için “Görüntü Yürütme Politikası”nı “Yürütmeyi Reddet” veya diğer seçenekleri manuel olarak ayarlayabilirler.
Gönderi, MSI’nin varsayılan ayarları “Yürütmeyi Reddet” olarak değiştirecek yeni ürün yazılımı sürümlerini yayınlayacağını söyledi. Yukarıda bağlantısı verilen alt dizin, kullanıcıların herhangi bir sorunu gidermesine yardımcı olabilecek bir tartışma içerir.
Bahsedildiği gibi, Güvenli Önyükleme, güvenilmeyen bir kişinin gizlice bir aygıta kısa bir süreliğine erişmesini ve aygıt yazılımı ve donanımını kurcaladığı saldırıları önlemek için tasarlanmıştır. Bu tür saldırılar genellikle “Evil Maid saldırıları” olarak bilinir, ancak daha iyi bir tanım “Stalker Ex-Boyfriend saldırıları”dır.
