Anasayfa Video Meltdown ve Spectre Açıklarından Korunma Rehberi

Meltdown ve Spectre Açıklarından Korunma Rehberi

İşlemcileri etkileyen Meltdown ve Spectre açıklarından korunmak için yapmanız gerekenler.

Son yılların en büyük güvenlik açıklarından Meltdown ve Spectre hakkındaki bilgileri geçtiğimiz günlerde sizlerle paylaşmıştık. Microsoft’un kısa sürede yayınladığı Kaiser güncellemesinden sonra anakart üreticileri de açık için BIOS güncellemelerini yayınladılar.

Öncelikle Kaiser güncellemesinin Meltdown açığını kapattığını belirtelim. Öte yandan Spectre açığını tamamen kapatmak, işlemcinizi değiştirmeden mümkün değil. Yine de açığın etkilerini bir BIOS güncellemesi ile azaltabiliyorsunuz. Bu rehberimizde hem sistemimizi açıklara karşı kontrol ediyor hem de Spectre için gerekli BIOS güncelleştirmesini yapıyoruz.

Windows’u Güncelleyin

Meltdown açığını kapatmak için yapmanız gereken ilk iş Windows güncelleştirmelerini yapmak.

  • Windows + I tuşlarına basarak Windows Ayarları’nı açın.
  • Buradan Güncelleştirme ve Güvenlik kısmına girin.
  • Güncelleştirmeleri Denetle deyin ve bütün güncelleştirmelerin yüklenmesini sağlayın.

Bu işlem sonrasında KB4056892 kodlu güncelleştirme yapılmış ve işletim sistemi yapı numaranız 16299.192 sürümüne çıkmış olmalı. Windows sürümünüzü Başlat Menüsü’nü açıp “winver” yazdıktan sonra Enter’a basarak çıkan pencerede öğrenebilirsiniz.

Güncelleştirme sonrası Windows sürümü 16299.192 olmalıdır.

BIOS Güncellemesi

Windows güncellemesi sizi Meltdown’a karşı korumalı hale getirdi. Bir sonraki aşamada Spectre için BIOS güncellemesi yapmanız gerek. BIOS güncellemesi, PC üreticiniz tarafından sağlanır. Eğer bir masaüstü PC kullanıyorsanız güncellemeyi anakart üreticiniz sağlayacak. Bir dizüstü kullanıyorsanız da güncellemesi dizüstü bilgisayarınızı üreten firmanın web sitesinden indireceksiniz.

Biz bu rehberde geçtiğimiz günlerde topladığımız test sistemini güncelliyoruz. Sistemde MSI’ın Z370 Godlike Gaming anakartı mevcut. MSI, Spectre açığı için BIOS güncellemesi yayınlamada en hızlı firmalardan biri oldu. Firmanın yayınladığı güncel BIOS sürümü bilgilerine buradan ulaşabilirsiniz.

Adım adım M-Flash ile BIOS güncelleme:

  • Anakartınızın destek sayfasına girin ve en son BIOS sürümünü indirin.
  • İnen dosyayı USB belleğe veya Windows kurulu diskinize çıkartın.
  • Bilgisayarınızı yeniden başlatın ve başlangıç esnasında art arda Del tuşuna basın. Bu işlem sizi BIOS’a taşıyacaktır.
  • BIOS’ta M-Flash’a tıklayın ve çıkan uyarı ekranında Yes’i seçin.
  • PC’niz M-Flash modunda açılacak. Burada USB bellek veya diskteki BIOS dosyasını seçin ve Enter’a basarak güncellemeyi başlatın.
  • Güncelleme yaklaşık iki dakika sürecektir. Bu esnada sisteme müdahale etmeyin.
  • Güncelleme sonrası PC birden çok defa yeniden başlayacak. Bu normal bir durum. Windows ekranı gelene kadar müdahale etmeyiniz!

Kontrol Zamanı!

Microsoft, Meltdown ve Spectre açıklarına karşı sisteminizin güvende olup olmadığını kontrol edebilmeniz için bir PowerShell komut dizisi (script) yayınladı. Bu komut dizisi Windows 7, 8/8.1 ve 10 sürümleriyle uyumlu. Komut dizisini indirip çalıştırmak için yapmanız gerekenler şu şekilde:

  1. Başlat menüsüne sağ tıklayın ve Windows PowerShell (Yönetici) seçeneğini seçin.
  2. Açılan pencereye ilk olarak aşağıdaki komutu girerek sistem dışından gelen kodların çalıştırılmasına izin vermemiz gerekiyor:
    • Set-ExecutionPolicy RemoteSigned
  3. Enter’a bastıktan sonra çıkan soruya “A” diyerek işlemi onaylayın.
  4. Bu aşamada iki seçeneğiniz var: komut dizisini doğrudan İnternet’ten çekmek ya da elle indirmek.
    1. Elle indirmek için bu rehberimize göz atabilirsiniz.
    2. Doğrudan çekmek için ise şu komutu giriyoruz:
      Install-Module SpeculationControl
  5. Bu aşamada NuGet işlemine onay vermek için “Y”ye basın ve Enter’layın.
  6. Gelen ikinci soruyu da “A”ya basarak onaylayın.
  7. Bu aşamada komut dizisi inmiş olmalı. Şimdi komut dizisini içeri alalım:
    Import-Module SpeculationControl
  8. Son aşamada komut dizisini çalıştırmak için bu kodu giriyoruz:
    Get-SpeculationControlSettings

    Şimdi komut dizisi bilgisayarınızı tarayacak ve hem Meltdown hem de Spectre açıklarına karşı kontrol edecek.

Sonuç olarak eğer Windows’u güncellediniz fakat BIOS güncellemesi yapmadıysanız bu ekranla karşılaşacaksınız:

BIOS güncellemesi de yaptıktan sonra komut penceresinde kırmızı bir girdi kalmaması gerekiyor:

Bütün bu işlemler sona erdikten sonra PowerShell’in komut yürütme ayarını tekrar kısıtlamanızda fayda var:

Set-ExecutionPolicy Restricted

Bu komuttan sonra da gelen soruyu “A” diyerek onaylayabilirsiniz.

Sonuç: Tehlike Bitmedi

Bütün bu işlemlerden sonra Spectre açığına karşın halen daha savunmasız olduğunuzu belirtelim. Bu açıktan tamamen kurtulmak için işlemcinizi ilerleyen zamanlardan çıkan, güncellenmiş modellerle değiştirmeniz gerekiyor. Öte yandan Windows’u ve yazılımlarınızı daima güncel tutarak açığı hafiflettiğinizi belirtelim. Bu bağlamda güncelleştirmeleri kesinlikle kapatmamanız gerektiğini de ekleyelim.

Sık Sorulan Sorular

Meltdown ve Spectre, son zamanlarda güvenlik alanında en çok konuşulan iki konu başlığı. Modern işlemcilerin çalışma protokollerinden kaynaklanan güvenlik açıkları, programların o anda işlemcide işlenen verilere erişebilmesine olanak sağlıyor. Normal koşullarda başka programların kullandığı veriye izinsiz erişemeyen zararlı yazılımlar, bu açıkları kullanarak hassas verileri ele geçirebilir.

Bu hassas verilerin arasında parola yöneticilerinde veya tarayıcınızda saklanan parolalar, kişisel fotoğraflarınız, e-posta ve anlık mesajlaşma yazışmalarınız ve iş kaynaklı kritik dosyalarınız olabilir.

Meltdown ve Spectre kişisel bilgisayarlarda, mobil cihazlarda ve bulut sunucularında kullanılabiliyor. Bulut sağlayıcıların iç yapılarına bağlı olarak bu açığı kullanan kötü niyetli saldırganlar, bu sağlayıcıların müşterilerinin bilgilerine de erişebilir.

Meltdown açığını kim keşfetti?

Meltdown açığı bağımsız olarak üç farklı takım tarafında keşfedildi ve dünya ile paylaşıldı:

Spectre açığını kim keşfetti?

Spectre açığı bağımsız olarak iki kişi tarafından keşfedildi ve dünya ile paylaşıldı:

Bu açığa karşı savunmasız mıyım?

Büyük olasılıkla evet, savunmasız durumdasınız.

Birinin bu açıkları bana karşı kullandığını tespit edebilir miyim?

Büyük olasılıkla hayır. Meltdown ve Spectre açıkları geleneksel günlük dosyalarında herhangi bir iz bırakmıyor.

Anti-Virüs programım bu açığı tespit edip engelleyebilir mi?

Teoride evet, ancak pratikte büyük olasılıkla hayır, edemez. Geleneksel malware dosyalarından farklı olarak Meltdown ve Spectre dosyalarını, güvenilir dosyalardan ayırt etmek oldukça zor. Ancak anti-virüs programınız bu açıkları kullanan malware dosyalarını tespit edebilir.

Ne tür veriler ele geçirilebilir?

Bu açığa sahip sistemlerdeki belleklerin içeriği ele geçirilebilir. Bu da parola türü hassas verilerin ele geçirilebileceği anlamına geliyor.

Meltdown ve Spectre kötü amaçla kullanıldı mı?

Henüz bilmiyoruz.

Bir çözüm yolu var mı?

Meltdown açığına karşı hali hazırda Linux, Windows ve macOS platformları için yamalar mevcut. Ayrıca gelecekteki Spectre saldırıları için yazılımların güvenliğini arttırmaya yönelik çalışmalar da devam ediyor.

Hangi sistemler Meltdown açığından etkileniyor?

Çoğu masaüstü, dizüstü ve bulut tabanlı bilgisayarın Meltdown açığından etkilendiği düşünülüyor. Bir diğer deyişle Intel Itanium ve Intel Atom dışında 1995’den beri piyasaya sürülmüş tüm Intel işlemcileri Meltdown açığına karşı savunmasız durumda. Bu güvenlik açığı henüz sadece Intel ve ARM işlemcilerde yer alıyor. Henüz bu açığın AMD işlemcilere bulaşıp bulaşmadığı ise bilinmiyor.

Hangi sistemler Spectre açığından etkileniyor?

Dünya üzerindeki neredeyse bütün bilgisayarlar Spectre açığına karşı savunmasız durumda. Masaüstü, dizüstü, bulut tabanlı bilgisayarlar; akıllı telefonlar ve modern bir işlemciye sahip tüm cihazları bu açığa sahip olduğu kabul ediliyor. Farklı araştırmalar sonucunda Spectre açığının özellikle Intel, AMD ve ARM işlemcilerde yer aldığı doğrulanmış durumda.

Hangi bulut sağlayıcıları Meltdown açığından etkileniyor?

Intel CPU ve Xen PV kullanıp gerekli yamaları yüklememiş olan tüm bulut sağlayıcılarının Meltdown açığına karşı savunmasız olduğu kabul ediliyor. Ayrıca gerçek donanım sanallaştırma yerine Docker, LXC ve OpenVZ gibi tek bir kerneli paylaşan kapsayıcılar kullanan diğer bulut sağlayıcıları da bu açıktan etkilenebiliyor.

Meltdown ve Spectre arasındaki farklar nelerdir?

Meltdown, uygulamaların isteğe bağlı bir şekilde sistem belleğine ulaşmasını engelleyen sistemi bozuyor. Bu nedenle Meltdown açığına sahip sistemlerdeki uygulamalar herhangi bir güvenlik önlemi olmadan sistem belleğine erişebiliyor. Spectre ise uygulamaları manipüle edip kendi belleklerine erişmeye zorluyor. Her iki açık da yan kanalları kullanarak erişilen bellekteki bilgileri çalabiliyor.

Neden “Meltdown”?

Meltdown (Türkçesi ile erime) açığını bu isim, normal koşullarda donanım tarafından uygulanan güvenlik duvarlarını erittiği için verilmiş durumda.

Neden “Spectre”?

Spectre kelimesini Türkçede hayalet veya ürkütücü bir şey olarak çevirebiliriz. Bu ismin verilmesinin sebebi ise bu açığın kolay bir şekilde kapatılamaması ve kullanıcılara uzun süreli tehdit oluşturmasıdır.

Meltdown ve Spectre hakkında daha detaylı bilgilere nasıl ulaşabilirim?

Meltdown hakkında akademik bir makaleye buradan, Spectre hakkında akademik bir makaleye de buradan ulaşabilirsiniz. Ayrıca her iki güvenlik açığını da kaleme alan Google Project Zero blog girdisini buradan okuyabilirsiniz.

Technopat olarak bir süredir Meltdown ve Spectre üzerine çeşitli haberler ve rehberler yazıyoruz. Konu hakkındaki detaylı gelişmeler için hazırladığımız bu yazıları okuyabilirsiniz:

CVE-2017-5753 ve CVE-2017-5715 nedir?

CVE-2017-5753 ve CVE-2017-5715, Spectre için kullanılan resmi referans kodlarıdır.

CVE-2017-5754 nedir?

CVE-2017-5754 ise Meltdown için kullanılan resmi referans kodudur.

Meltdown açığını iş üstünde görebilir miyim?

Bu amaçla kaydedilmiş bazı örnek videolar bulunmaktadır.

  • Açıklar telefon ve tabletleri etkiliyor mu?

Evet etkiliyor. Telefon ve tabletinize gelen güncelleştirmeleri yükleyiniz.

  • Z170 anakartlar için BIOS güncellemesi gelecek mi?

Evet gelecek. Örneğin MSI halihazırda Z170 anakartlar için güncelleme yayınladı.

  • BIOS güncellemeleri gelmeyen laptoplar ne olacak?

Çoğu üretici güncellemeler üzerinde çalışmakta. Bu bağlamda cihazınız için güncelleme çıkması 2018 Mart ayına kadar sürebilir. Güncelleme haberleri geldikçe ana sayfadan paylaşıyor olacağız.

  • Bu işlemlerden sonra performans düşüşü yaşar mıyız?

Evet, bir miktar performans düşüşü söz konusu fakat devasa oranda değil. Çoğu kullanıcı için düşüş %5’ten fazla değil.

  • KB4056892’nin AMD sistemleri çökerttiği haberi doğru mu?

Evet, bazı eski AMD yonga setine sahip sistemler bu güncellemeden sonra açılmadı fakat Microsoft bu sistemlere güncelleme dağıtmayı durdurdu ve sorunu çözmek için çalışıyor. Şu an bir sorun yok.

  • AMD için Meltdown güncellemesini yapmasam olur mu?

AMD zaten Meltdown’dan etkilenmiyor. Lakin güncelleme Spectre açığını da kapattığından bütün güncelleştirmeleri yapmanız gerek.

  • Bu açık bilgisayarı çalışmayacak duruma getirebilir mi?

Günümüz modern bilgisayarlarına donanımsal zarar vermek pek mümkün değil lakin açığı kullanan bir saldırgan Windows’u çökertebilir veya PC’nizi 7/24 kripto para madenciliği için kullanabilir. Bu bağlamda güncelleştirmeleri yapmanız şart.

  • Z97 anakartlar güncellenecek mi?

Bu konuda kesin bir bilgi yok lakin güncelleme alacağını düşündüğümüz güncellikteler.

  • Donanımsal bir açığı yazılımlarla nasıl kapatmayı planlıyorlar?

Donanımları kontrol eden şey yazılımdır. Örneğin PlayStation 3 donanımsal yolla kırılmış fakat daha sonra gelen Firmware güncellemesi ile tekrar koruma altına alınmıştı. Burada da işlemci önbelleğine erişmek isteyen zararlı kodları BIOS ve İşletim sistemi kısmında engellemek mümkün. Benzer şekilde kullandığınız yazılımları da güncelleyerek açığa karşı korunabilirsiniz. Chrome 64 ve Firefox 57 bu yazılımlardan sadece ikisi.

  • Kesin çözüm ne zaman gelir?

İşlemci tasarımı ve üretimi zaman alan karmaşık bir süreç olduğundan dolayı açıktan etkilenmeyen işlemcilerin piyasaya çıkması 2019’a kadar sarkabilir.

  • Açıklar standart oyun oynayan ve sadece düz İnternet’e giren bir kullanıcıyı etkiler mi?

Açığa karşı tarayıcınızı ve işletim sisteminizi güncellemezseniz zararlı bir web sitesine girdiğinizde bilgisayarınız bir zombi ağının parçası yapılabilir ya da kripto para madenciliği için kullanılabilir. Bunlar sadece iki senaryo.

  • BIOS’u güncellemememiz bir sıkıntı yaşatır mı?

Spectre açığı kullanan bir yazılım bilgisayarınıza bulaştığında bütün verilerinize erişebilir. Yani evet, güncellemezseniz sorun yaşarsınız.

  • Yeni AMD Ryzen 2 işlemcilerde de bu sorun olacak mı?

Bu sistemler açığın etkilerini azaltmak için doğrudan güncel BIOS/Firmware ile gelecek. Yine söz konusu sistemler piyasaya çıkacak kadar yazılımlar da güncellenmiş olacak. Öte yandan açığın tamamen ortadan kalktığı mimarilerin gelmesine daha var.

  • BIOS güncellemesi garantide sıkıntı yapar mı?

BIOS güncellemesi garanti kapsamındadır. Güncelleme esnasında bir sıkıntı olması dahi ürünü garanti kapsamı dışına çıkarmaz.

  • Sağ tıklayınca Windows Powershell seçeneği yok?

Windows 10 sürüm 1709’a geçin. Alternatif olarak Başlat Menüsü’nde de PowerShell aratabilirsiniz.