Murat İşbilir

Windows 11 yıllar boyunca herkes için bir internet efsanesiydi. Her sene ortaya çıkan söylentiler Microsoft tarafından yalanlanıyor ve bilhassa resmi açıklamalarla Windows 10 sürümünün son Windows olduğu söyleniyordu.

Mayıs ayının sonları, Haziran aylarının başlarında Windows 10’a gelmesi beklenen 21H2 güncellemesi yerine, apansız verilen bir karar sonucu direkt Windows 11’in çıkacağı söylendi. Hepimiz nefesimizi tutup 24 Haziran 2021 tarihinde yapılacak lansmanı beklemeye başladık. Hatta lansmana son 1 hafta kala Çin kaynaklı bir web sitesinden sızan imajları da birebir gece canlı yayında sanal makine üzerinden test etmeye başlamıştık. Windows 11’i denediğimiz yayının kaydını aşağıdan izleyebilirsiniz.

Öte yandan sonraki gün ortaya çıkan haberlerde gördük ki maalesef TPM modülü olmayan bilgisayarlara Windows 11’i yüklemek mümkün değildi. En az sistem ihtiyaçlarında TPM 2.0 zarurî hale getirilmişti. Bu otomatikmen 8. jenerasyondan evvelki bütün Intel işlemcilerin ve TPM’im yasaklı olduğu ülkelerde Windows 11’in desteklenmemesi manasına geliyordu. Microsoft tarafından sistemlerin Windows 11 uyumluluğunu denetim etmek emeliyle yayınlanan PC Health Check aracıyla da bu durum doğrulanmış oldu.

Pekala Microsoft’a bu kararı verdiren şey neydi? Eski bilgisayarların artık tedavülden kalkması mı, yoksa Intel’in yeni işlemcilerini satma gayreti mı? Komplo teorisyenleri için üzgünüz lakin Microsoft’un bunu yapmasının nedeni ikisi de değil. Insider sürümü ile birlikte süreksiz olarak bu zorunluluğun kalkması ve son sürümde yeniden olup olmayacağı da ayrıyeten bir merak konusu.

TPM yani Trusted Platform Module (Güvenilir Platform Modülü) aslında fizikî olarak anakartlarda bulunan bir güvenlik donanımıdır. Bilgisayarınızı şifrelediğiniz vakit (bu, kullanıcı oturumuna parola koymaktan farklıdır), güvenlik anahtarlarınız TPM ismi verilen bir modül tarafından tutulur. Böylelikle sisteminize bulaşan rastgele bir ziyanlı yazılım şifreleme anahtarınızı alamaz. Alsa bile çoğunlukla TPM modülüne bağlı olarak anahtarlar tek taraflı bir algoritma yardımıyla garanti altına alınmıştır. yani diskinizi ele geçiren kişinin datalara erişmesi kelam konusu değildir.

Her bir TPM modülü eşsiz imzalara sahip diğer bir donanımdır çünkü üretim esnasında imzalar özel olarak verilmekte. Ayrıyeten TPM’lerin bir aygıtta etkin olarak kullanılabilmesi ve etkinleştirilebilmesi için fizikî olarak sahibinin olması gerekiyor. Bu güvenlik modülleri evvelden anakartların üzerinde geliyorken şimdilerde direkt işlemcinin içerisinde yer alıyor. Ayrıyeten sonradan da bu modülleri satın almak mümkün. Hakikaten son günlerde fırsatçıların tesiriyle bu modüllerin katbekat kıymetli satılmaya başlandığını görüyoruz.

Son yıllarda piyasaya sürülen bilgisayarların neredeyse tamamı BIOS uyumlu (CSM destekli) UEFI firmware’ler ile geliyor. Teoride bu nedenle son 10-11 sene içerisinde çıkan her bilgisayar rahatlıkla Windows 11’i çalıştırabilir. Ancak saçmalık şurada ki temel bileşenler desteklese bile TPM 2.0 olmadığı için Windows 11’in bu aygıtlara kurulamaması üzere bir durum kelam konusu.

Aslında TPM, Microsoft tarafından kullanımı uzun vakittir desteklenen ve önerilen bir modül. Çoklukla kurumsal ortamlarda data güvenliği maksadıyla ziyadesiyle kullanılan bu donanımsal özellik son kullanıcı tabanı için şu ana kadar zarurî tutulmamıştı.

Microsoft temelde TPM 2.0 ile Windows 11’in daha inançlı olmasını istiyor. TPM, birinci vakitlerde dTPM olarak isimlendirilen harici bir mikrodenetleyici iken vakitle küçülüp işlemcilerin içine girdi. Bu sayede Microsoft’un bu güvenlik özelliğini mecburî kılması kolaylaştı. İşlemci içinde yer alan TPM özelliğine fTPM, yani Firmware TPM dediğimizi de belirtelim.

Microsoft’un Kurumsal ve İşletim Sistemi Güvenliği Yöneticisi David Weston, TPM çipinin asıl emelinin “kullanıcıların kimlik bilgileri, hassas bilgileri ve şifreleme anahtarlarını donanımsal bir pürüz vasıtasıyla korumak ve saldırganlarla ziyanlı yazılımların bu bilgilere erişmesini engellemek” olarak tanımlıyor. Yani aslında TPM, zımnî ve kıymetli bilgileri yazılımsal ataklardan korumak için kullanabileceğimiz bir donanım kalkanı.

“Windows Hello” ile parolasız kimlik doğrulaması, Windows Defender aracılığıyla “Application Control”, BitLocker yardımıyla “tam disk şifreleme” üzere özelliklerin tamamı aslında TPM’den güç alıyor. Bu nedenle yeni Windows 11’de bu güvenlik özelliklerinin daha uygun çalışması ve hypervisor’un daha sağlam bir halde kullanılabilmesi için TPM mecburî hale getiriliyor diyebiliriz.

Tekrar de tam manasıyla aşılamaz bir güvenlik özelliği olmadığını söylemiş olalım. Fizikî ataklara karşı saldırgana bağlı olarak savunmasız kalsa da uzaktan yapılması beklenen olan siber akınların gerçekleşmesi çok daha sıkıntı hale gelecek deniliyor.

Şu anda etkin olarak 1,3 milyar kadar Windows 10 yüklü bilgisayar olduğunu hesaba katarsak ve 100 milyon kadar da Windows’un eski sürümlerinin şurası olduğu aygıtlara bakarsak Microsoft’un devasa bir ekosistem kurduğunu rahatlıkla görebiliriz. Windows sistemler bilgisayar kesiminde ezici çoğunluğa sahip olduğu için her geçen gün tehditlere daha fazla maruz kalıyor. Bir kestirime nazaran fidye yazılımları ve botnetler sayesinde 2031 yılına kadar global olarak 265 milyar dolarlık dudak uçuklatan büyüklükte bir siber cürüm pazarı oluşacağı tez ediliyor.

Microsoft her ne kadar kullanıcıları ve kurumları bu üslup akınlara karşı nasıl korunabileceklerine dair ziyadesiyle eğitmeye çalışsa ve hatta işletim sistemiyle bir arada yerleşik olarak Windows Defender’i sunsa da birçok kişi hala siber güvenliğin ehemmiyetini kavrayabilmiş değil. Tekrar Microsoft tarafından Mart 2021 tarihinde yayınlanan “Security Signals” raporuna nazaran işletmelerin yüzde 83’ü siber taarruzlara maruz kalıyor ancak yalnızca yüzde 29’u korunmak için tedbir alıyor.

Microsoft Global İş İştiraki Tahlilleri Yönetici Yardımcısı Nicole Dezen, TPM ihtiyacının Windows 11’in donanım tabanlı yalıtım, hypervisor için ek güvenlik ve inançlı mod özellikleriyle birlikte geleceğini söylüyor. Ayrıyeten telif hakkıyla korunan yazılımlar, müzikler ve başka fikri mülkiyet yapıtlarını TPM yardımıyla korunabileceği düşünülüyor. TPM’in ayrıyeten oyunlarda anti-hile maksatlı da kullanılabileceği düşünülüyor. Yani TPM dayanağı zorlaması Microsoft’un Windows kullanıcılarını salt güvenlik tasasıyla güzelleştirmenin daha ötesinde tesirlere sahip olabilir.

Microsoft ayrıyeten daha yeterli anti-hile tahlilleri oluşturmak maksatlı kullanılabilen birtakım TPM bazlı teknolojilerin patentine de sahip. Online oyun oynayan herkesin yakındığı sorun hileler olduğu için, TPM’in bu teknolojilerle bir arada kullanılması hem hilelerin hem de sisteme makûs gayeli yazılımların bulaşmasını ileride engelleyebilir. Elbette bu şimdilik görebileceğimiz bir şey değil ama yakın gelecekte oyunlar sizi TPM bazlı banlayabilir.

Windows 11’in şu ana kadar sızan Insider sürümü haricindeki sürümleri TPM 2.0’ın bulunmasını zarurî kılmıştı. Şayet işlemciniz Microsoft tarafından açıklanan “AMD yahut Intel dayanak listesi” içinde yazıyorsa Windows 11’i alacak olan kullanıcılar ortasındasınız diyebiliriz. Yalnızca yapmanız gereken UEFI ayarlarınızdan Intel için PTT, AMD sistemler içinse fTPM ayarını etkinleştirmek.

Bu takviye listesi birinci açıklandığında birinci kuşak Ryzen ve yeniden birinci jenerasyon Threadripper işlemciler dahil değildi. Intel tarafında da 6. ve 7. Jenerasyon hiçbir işlemci Microsoft tarafından desteklenmiyordu.  Daha sonra alınan kararla 7. Kuşak Intel ve 1. Kuşak Ryzen işlemcilere yönelik takviye getirildi. Yeniden de 2016’dan evvelki hiçbir işlemcinin desteklenmemesi hayli acımasız. Dayanak listesinin daima genişlemesiyle bir arada daha eski işlemcilere de dayanak geleceğini düşünüyoruz.

Hatta tahminen TPM destekleyenler için ve desteklemeyenler için iki farklı heyetimle da karşılaşabiliriz. Bu opsiyonu Microsoft’un sunması gerekiyor. Listede yer almayan işlemcilere sahip olan kimselerin TPM’i donanımsal olarak anakarta takılabilecek biçimde satın alması mümkün lakin bu Microsoft tarafından “açık ve resmi” bir formda desteklenmiyor. Birtakım özellikler beklenen üzere düzgün çalışmayabileceğinden TPM modülünün eski bir bilgisayara sonradan eklenmesi önerilmemekte.

Bu karardan kendi çıkarımımız, Microsoft elindeki başka patentli TPM teknolojilerini de kullanmak ve pazara sunmak istiyor. Anti-hile tahlilleri, makûs hedefli yazılım müdafaaları ve başka teknolojiler Microsoft’un zayıf kaldığı siber güvenlik kesiminde elini güçlendirebilir. Kullanıcılar da daha düzgün ve inançlı bir Windows tecrübesi elde edebilirler. Şimdilik yeni alınan kararla TPM mecburiliği kalkmış olsa da ileride tekrardan gelebilir.

Ek olarak değinmeden geçmeyelim: Windows 11 duyuruldu, her şey düzgün hoş lakin fırsatçılar da boş durmuyor. Lansmandan çabucak sonra her yerde birdenbire TPM modülleri yok olmuşçasına toplanıp kara borsaya çekildi. İkinci el satış platformlarının birçoğunda olağan TPM fiyatlarının 2-3 katına satılan modüller olduğunu görmek mümkün.

Evvelce bir TPM modülü yaklaşık 200 lira civarında alınabiliyorken şu anda fırsatçılar yüzünden 90 ila 100 dolar yani 700-800 lira bandında bulunabiliyor. Halihazırda zati global manada çip krizi de varken Microsoft güya böylesi büyük bir karar almakta ziyadesiyle tez etmiş üzere gözüküyor. Tekrar de siz bir TPM modülü almakta tez etmeyin. Windows 11’in çıkışına daha var.