@sağlık olsun Biraz kavram karmaşası var gördüğüm kadarıyla. Normalde
UEFI direkt erişip tarayabileceğin bir şey değil. Öyle yazdığını görünce
EFI bootloader'ından bahsettiğini düşündüm.
UEFI, anakart veya bilgisayar üreticilerinin sunduğu BIOS'un yerine alan modern bir firmware. Açılış sırasında F12 veya Delete tuşlarına basarak eriştiğin donanım üzerinde bir çok değişiklik yapabildiğin arayüz sunan yazılım. Anakart üzerinde SPI Flash diye tabir edilen ve çok küçük boyutlarda(8MB, 16MB, 64MB, 128MB ...) olan belleklerde saklanır.
EFI Bootloader ise boyutu genelde 1GB veya daha az olan ESP(
EFI (
Extensible Firmware Interface)
system partition) formatında olan mantıksal bir bölümün içerisinde İşletim sisteminin diskten yüklenmesini sağlayan yazılım(lar).
Anakartın üzerinde bulunan SPI Flash bellekte bulunan UEFI'nin ele geçirilmesi çok uç bir örnek ve çok üst seviye saldırganların(İstihbarat örgütleri, devlet destekli gruplar) hedefinde değilsen çok düşük bir olasılık. Teorik olarak mümkün, örneğin Lenovo'nun Microsoft Windows için çalışan bir güncelleme yazılımı var, bilgisayar yeniden başlatıp yeni UEFI firmware'i yüklüyor. Bu tersine mühendislikle araştırılıp farklı veya değiştirilmiş bir firmware'de yüklenebilir.
Bunu düzenli olarak kontrol etmek çok daha güç, anakartın üzerindeki bellek çipinden doğrudan okuma yapmanız gerek veya üreticinin sunduğundan farklı ve güvenli bir UEFI firmware kullanmalısınız.(bkz. Dasharo, Dasharo + Heads(coreboot + Heads))
Open-source firmware distribution focusing on clean and simple code, long-term maintenance, transparent validation, privacy-respecting implementation, liberty for the owners, and trustworthiness for all.
www.dasharo.com
Documentation for the Heads firmware project
osresearch.net
coreboot.org
Diğer bir durum olan EFI Bootloader'ına zararlı yazılım bulaşması ise yine uç bir örnek ama daha olası ve daha çok örneği mevcut. Önceki mesajımda da açıkladığım üzere eğer SecureBoot(Debian, Ubuntu, Fedora, SUSE tabanlı dağıtımlar) etkinleştirme imkanınız yok ise, sistem kapatılırken /boot/EFI altındaki bütün dosyaların hashleri alınıp, işletim sistemi açıldığında tekrar hesaplatıp bunların karşılaştırmasını yapmanız gerekiyor.
Eğer güvenlik ön planda bir işletim sistemi arayışınız var ise Qubes OS veya kullanımı daha kolay olan KickSecure projelerine bakmanızı tavsiye ederim.
Qubes is a security-oriented, free and open-source operating system for personal computers that allows you to securely compartmentalize your digital life.
www.qubes-os.org
A secure by default operating system with the latest security research in place.
www.kicksecure.com