macOS Uygulamaları Nasıl Koruyor? Gatekeeper ve Codesigning Nedir?

-

macOS ekosisteminde güvenlik, işletim sisteminin çekirdeğinden son kullanıcı uygulamasına kadar uzanan çok katmanlı bir yapıdan oluşur. Bu yapının en kritik iki ayağı Codesigning (Kod İmzalama) ve Gatekeeper mekanizmalarıdır.

1. Codesigning (Kod İmzalama) Nedir?

Kod imzalama, bir yazılımın kimin tarafından geliştirildiğini (Yazar Kimliği) ve yayınlandıktan sonra üzerinde herhangi bir değişiklik yapılıp yapılmadığını (Bütünlük) garanti altına alan kriptografik bir süreçtir.

Temel Bileşenler

  • Digital Signature (Dijital İmza): Geliştiricinin Apple'dan aldığı sertifika ile oluşturulur.

  • Entitlements (Yetkiler): Uygulamanın hangi sistem kaynaklarına (kamera, mikrofon, dosya sistemi) erişebileceğini belirten bir listedir.

  • Designated Requirement (DR): İşletim sisteminin, uygulamanın gelecekteki güncellemelerinin de aynı kaynaktan geldiğini anlamasını sağlayan kurallar dizisidir.

Nasıl Çalışır?

Geliştirici uygulamayı derlediğinde, Apple tarafından sağlanan özel bir anahtar kullanılır. Uygulamanın her bir parçası (ikili dosyalar, kaynaklar, kütüphaneler) hashlenir ve bu hash değerleri mühürlenir. Eğer kötü amaçlı bir yazılım, imzalanmış bir uygulamanın içindeki tek bir biti bile değiştirirse, imza geçersiz kalır ve sistem uygulamayı çalıştırmayı reddeder.

2. Gatekeeper: macOS'in Koruma Kalkanı

Gatekeeper, kullanıcının internetten indirdiği uygulamaları çalıştırmadan önce denetleyen bir kontrol noktasıdır. Amacı, sisteme sızmaya çalışan zararlı yazılımları (malware) engellemektir.

Gatekeeper'ın Kontrol Aşamaları

  1. Quarantine Bit (Karantina Özniteliği): Bir dosya Safari veya Chrome üzerinden indirildiğinde, macOS bu dosyaya bir "karantina" bayrağı ekler.

  2. İmza Kontrolü: Gatekeeper, dosyanın Apple tarafından onaylanmış bir geliştirici sertifikasıyla imzalanıp imzalanmadığına bakar.

  3. Notarization (Noter Onayı) Kontrolü: macOS 10.15 (Catalina) ve sonrasında, sadece kod imzalamak yeterli değildir. Yazılımın Apple sunucularına gönderilip otomatik bir güvenlik taramasından geçmesi (Notarization) gerekir.

3. Notarization: Apple'ın Güvenlik Onayı

Notarization, Apple'ın yazılımınızı kullanıcılara sunmadan önce yaptığı bir tür "ön inceleme"dir. Apple yazılımı tarar, içinde bilinen bir malware olup olmadığını kontrol eder ve ardından yazılıma bir "ticket" (onay belgesi) atar.

  • Stapling (Zımbalama): Geliştirici, Apple'dan gelen bu onay biletini uygulamanın içine "zımbalar". Böylece kullanıcı internete bağlı olmasa bile Gatekeeper uygulamanın onaylı olduğunu anlayabilir.

4. Geliştiriciler ve Yöneticiler İçin Kritik Komutlar

Sistem yöneticileri veya geliştiriciler için uçbirim (Terminal) üzerinden bu süreçleri yönetmek oldukça önemlidir.

Bir Uygulamanın İmzasını Kontrol Etme

Bir uygulamanın geçerli bir imzaya sahip olup olmadığını ve notarize edilip edilmediğini şu komutla görebilirsiniz:

Bash:
codesign --verify --verbose --deep /Applications/OrnekUygulama.app

Gatekeeper Durumunu Sorgulama

Sistem genelinde Gatekeeper'ın aktif olup olmadığını kontrol etmek için:

Bash:
spctl --status

Karantina Özniteliğini Manuel Kaldırma

Bazen güvenilir kaynaklardan gelen ancak Gatekeeper engeline takılan dosyalar için (dikkatli olunmalıdır) şu komut kullanılır:

Bash:
xattr -d com.apple.quarantine /dosya/yolu/uygulama.zip

Özet: Güvenlik Zinciri Nasıl Tamamlanır?

  1. Geliştirici: Kodu yazar ve sertifikasıyla imzalar.

  2. Apple Sunucuları: Kodu tarar ve Notarize eder.

  3. Kullanıcı: Dosyayı indirir (Quarantine bit atanır).

  4. Gatekeeper: İmzayı ve noter onayını kontrol eder. Her şey geçerliyse uygulamanın çalışmasına izin verir.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı