La Apple ekosisteminde siber güvenlik Sadece iyi bir antivirüs programına sahip olmak veya güçlü bir parola kullanmakla ilgili değil. Mac'lerden, iPhone'lardan ve iPad'lerden bahsettiğimizde, donanım, işletim sistemleri, uygulamalar ve bulut hizmetlerinin verilerinizi güvende tutmak için birlikte çalıştığı son derece entegre bir ortamdan bahsediyoruz. Tüm bu parçaların nasıl bir araya geldiğini anlamak, avantajlarından yararlanmanıza ve riskleri en aza indirmenize yardımcı olur. Mac, iPhone ve iPad için Apple Güvenlik Rehberi.
Ayrıca Apple düzenli olarak yayın yapmaktadır. teknik kılavuzlar ve resmi belgeler Apple'ın koruma mekanizmalarının hem son kullanıcılar hem de güvenlik uzmanları ve geliştiriciler için nasıl çalıştığını ayrıntılı olarak anlattığı bu bölümde, bu bilgilere ve mevcut en iyi uygulamalara dayanarak, Mac, iPhone ve iPad'inizi korumak için Apple'ın neler yaptığını ve bu korumalardan nasıl yararlanabileceğinizi detaylı bir şekilde inceleyeceğiz.
Güvenli donanım ve biyometrik veriler: her şeyin temeli
Herhangi bir Apple cihazının ilk savunma katmanı, kendi yapısında yatmaktadır. Güvenlik göz önünde bulundurularak tasarlanmış donanım İlk dakikadan itibaren. Bu sadece güç meselesi değil: Apple çipleri, önyüklemeyi, şifrelemeyi, anahtar yönetimini ve biyometrik verileri kontrol eden özel bileşenleri entegre eder.
Önemli bir unsur şudur: Güvenli EnklavGüvenli Bölge (Secure Enclave), markanın modern cihazlarının çoğunda bulunan, ana işlemciden ayrı bir güvenlik alt sistemidir. Birisi ciddi bir sistem güvenlik açığından yararlanmayı başarsa bile, Güvenli Bölge içinde depolanan anahtarlar ve veriler korunmaya devam edecek şekilde tasarlanmıştır.
Bu alt sistem şunlara sahiptir: Özel önyükleme ROM'unu güvenilir kök dizin olarak ayarlayın.Özel bir AES şifreleme motoru ve korumalı bellek. Bu kombinasyon, kriptografik olarak doğrulanmış kodla önyükleme yapmasına ve işletim sisteminin bunları doğrudan okuyamadan anahtarları yönetmesine olanak tanıyarak, bir güvenlik açığının cihazın geri kalanına olan etkisini azaltır.
Kimlik doğrulama alanında Apple, şuna yatırım yapıyor: Biyometrik veriler bir güvenlik faktörü olarak Kullanışlı ve sağlam: Face ID ve Touch ID. Her iki sistem de Secure Enclave ile entegre edilmiştir, böylece biyometrik veriler asla cihazdan ayrılmaz veya geri döndürülebilir görüntüler veya şablonlar olarak saklanmaz.
Face ID kamerayı kullanır. TrueDepth ile yüzün 3 boyutlu haritası elde edilir. Kızılötesi nokta projeksiyonu, derinlik algılama ve geleneksel bir kamera kullanan Apple tarafından eğitilmiş sinir ağları, basit fotoğraflara veya maskelere karşı güvenliği tehlikeye atmadan, görünümünüzdeki (sakal, gözlük, saç stili vb.) kademeli değişikliklere uyum sağlayarak eşleşmeyi değerlendirir.
Önceki iPhone modellerinde, bazı iPad'lerde ve entegre sensörlü Magic Keyboard gibi klavyelerde bulunan Touch ID, şu teknolojiye dayanmaktadır: parmak izi çizgilerinin detaylı incelenmesiSistem, parmak izinizin görüntüsünü değil, görünür bir baskı olarak yeniden oluşturulamayan matematiksel bir temsilini saklar. Dahası, sensör düzenli kullanımla yeni ayrıntılar öğrenir.
Apple ayrıca geliştiricilere de fırsatlar sunuyor. Face ID ve Touch ID kullanımına yönelik resmi API'ler. Uygulamalarında, kullanıcılara biyometrik verilere doğrudan erişim izni vermeden, yalnızca başarılı veya başarısız bir kimlik doğrulama sonucu alırlar. Bu, kritik bilgileri ifşa etmeden oturum açma veya hassas işlemlerin güvenliğini artırır.
İşletim sistemi: güvenli önyükleme ve güncellemeler
İşletim sistemi donanımın üzerinde yer alır ve Apple da tam olarak bunu yapmıştır. güvenli ve doğrulanmış başlangıç zinciri Bu durum macOS, iOS ve iPadOS için geçerlidir. Fikir basit: her önyükleme aşaması bir sonrakini kriptografik olarak kontrol eder ve yalnızca doğrulama başarılı olursa kontrolü bırakır.
Bu tasarım, bir saldırganın bunu yapmasını engeller veya en azından son derece zorlaştırır. kötü amaçlı kod enjekte etmek Sistemin tamamen yüklenmesinden önce maksimum ayrıcalıkları korur. Zincirin herhangi bir kısmı kurcalanır veya bozulursa, cihaz normal şekilde önyükleme yapmayı reddeder veya güvenli bir sürümü geri yüklemeye çalışır.
Yola çıktıktan sonra, sistem güncellemeleri önemli bir rol oynamakApple, sistemlerini eski, güvenlik açığı bulunan sürümlere geri dönmeyi mümkün olduğunca önleyecek şekilde tasarlar. Bu, yeni, imzalı ve doğrulanmış bir sürüm yükledikten sonra geri dönüşün kolay olmadığı anlamına gelir; bunun nedeni, bir saldırganın bilinen güvenlik açıkları olan bir sistemin kurulumunu zorlamasını önlemektir.
macOS'ta, 11. sürümden itibaren Apple bir adım daha ileri giderek şu yöntemi uyguluyor: sistem bölümlerinin şifrelenmesi ve korunmasıSistem, şifreleme ile mühürlenmiş, salt okunur bir birimde saklanır; dosyalarında yetkisiz bir değişiklik tespit edilirse, imza artık eşleşmez ve sistem önyüklemeyi engelleyebilir veya kurtarma işlemlerini başlatabilir.
İster dahili ister harici olsun, büyük veri hacimleri kötü amaçlı yazılımlar ve veri hırsızlığı için yaygın bir giriş noktasıdır. Bu noktada Apple, erişim kontrolleri, kod imzalama ve şifreleme Özellikle internetten indirilen yazılımların yüklenmesinin daha yaygın olduğu macOS'ta, hasar görmüş bir USB sürücünün veya harici sabit sürücünün etkisini sınırlamak için.
Mac, iPhone ve iPad'de veri şifreleme ve koruma
Apple mobil cihazları belirli bir sistem kullanır. Veri Koruması adı verilen şifrelemeBu, kilit açma koduyla yakından bağlantılıdır. Dahili depolamada saklanan veriler, donanıma ve girdiğiniz koda (PIN veya parola) bağlı anahtarlar kullanılarak şifrelenir.
Intel işlemcili Mac'lerde, birincil disk koruma yöntemi geleneksel olarak şuydu: FileVault, tam disk şifrelemesiApple Silicon çipli Mac'lerde, depolama şifrelemesi SoC'nin kendisiyle daha da entegre edilmiştir, ancak temel fikir aynı kalır: disk verileri yalnızca o bilgisayarda ve uygun kimlik bilgileriyle çözülebilir.
iPhone ve iPad'den bahsettiğimizde, odak noktası kullanım üzerinedir. nispeten kısa kilit açma kodları (Varsayılan olarak 4 veya 6 haneli, veya isterseniz daha uzun alfanümerik kodlar), çok sık kullanım için tasarlanmıştır. Mac'lerde, daha uzun süreler boyunca çalışma yapıldığında, kullanıcı hesabı için daha uzun ve karmaşık bir parola yaygındır; bu da şifreleme için türetilen anahtarı güçlendirir.
Gerçek sağlamlık yalnızca şifreleme teknolojisine değil, aynı zamanda şunlara da bağlıdır: kodunuzun veya parolanızın uzunluğu ve karmaşıklığıŞifreleme ne kadar uzun ve tahmin edilemez olursa, saldırganın kaba kuvvet saldırısı girişiminde bulunması o kadar maliyetli olur. Apple bunu benzersiz donanım verileri (her cihazın anahtar UID'si) ve Güvenli Bölge ile birleştirerek şifrelemenin o belirli cihaza sıkıca bağlı olmasını sağlar.
Kaba kuvvet saldırılarını sınırlamak için Apple, yeni bir yöntem sunuyor. Birkaç başarısız denemeden sonra bekleme aralıklarının artırılmasıiOS ve iPadOS'te ilk dört deneme kesintisizdir, ancak beşinci denemeden itibaren duraklamalar başlar: bir dakika, beş dakika, on beş dakika ve birden fazla başarısız denemeden sonra bir saate kadar. Ve eğer etkinleştirirseniz verileri silme seçeneğiArd arda on hatalı denemeden sonra cihazın içeriği silinir.
macOS'ta da benzer bir yöntem uygulanmaktadır. Başarısız kimlik doğrulama girişimlerinden sonra gecikmeBu durum, otomatik saldırıları son derece yavaşlatır. Sistem, belirli sayıda denemeden sonra içeriği silmek yerine, hesabı kilitleyebilir ve ek kurtarma adımları gerektirebilir.
Bir diğer önemli katman ise Apple'ın adlandırdığı şeydir. Uygulamalar arasında güvenli veri depolama ve izolasyonTakvim, Kişiler, Kamera, Notlar, Hatırlatıcılar ve Sağlık gibi uygulamalar verilerinizi rastgele ifşa etmez. Her uygulamanın bu kategorilere erişmek için açık izin alması gerekir ve sistem teknik olarak bir uygulamanın resmi kanallardan geçmeden başka bir uygulamadan bilgi okumasını engeller.
Uygulama güvenliği: kurulum ve çalıştırma
Uygulamalar, kodun cihazınıza ulaşmasının ana yoludur, bu nedenle Apple bir sistem kurmuştur. kurulumdan uygulamaya kadar kontrol zinciri Bu durum macOS ve iOS/iPadOS arasında biraz farklılık gösterir.
macOS, App Store dışından yazılım yüklemenize olanak tanır, ancak Apple bu uygulamaların belirli lisanslara sahip olmasını şart koşar. İmzalanırlar ve macOS 10.15'ten beri bir işlemden geçerler. noter onayıUygulama bu gereksinimleri karşılamıyorsa, sistem varsayılan olarak uygulamayı engeller ve kullanıcıya açık uyarılar gösterir. Bu filtreleme, kötü amaçlı yazılım dağıtımına karşı ilk savunma hattı görevi görür.
Ek olarak, macOS çeşitli yerleşik mekanizmalar içerir: zararlı kodun tespiti ve engellenmesiBu özellikler arasında geliştirici iptal listeleri, imza doğrulama, itibar sistemleri ve güvenlik açığı önleme teknolojileri yer almaktadır. Geleneksel bir antivirüs programı olmasa da, bilinen tehlikeli ikili dosyaların çalıştırılmasını engellemede benzer işlevler yerine getirir.
iOS ve iPadOS'te model daha kapalıdır: kullanıcı uygulamaları yalnızca şuradan yüklenir: App Store'da yayınlanmalı ve geçerli sertifikalarla imzalanmalıdır. Apple Geliştirici Programı'ndan. Apple, uygulamaları yayınlamadan önce analiz eder, davranışlarını kontrol eder ve hassas kaynaklara erişmek için belirli API'lerin kullanılmasını şart koşar. Hatta halka açık mağaza dışında dağıtılan şirket içi uygulamalar bile Apple'ın kurumsal sertifika sisteminden geçmek zorundadır.
Uygulama yüklendikten sonra, şu kavram devreye girer: sanal alan veya izole edilmiş yürütme ortamıHer üçüncü taraf uygulama kendi alanında çalışır ve erişimi yalnızca veri klasörü ve erişim izni verilen sistem kaynaklarıyla sınırlıdır. Örneğin, yetkilendirilmiş API'ler aracılığıyla geçmeden başka bir uygulamadan dosya okuyamaz veya sistemi değiştiremez.
Apple bu izolasyonu bir sistemle tamamlıyor. kontrollü yetkilendirmeler ve ayrıcalıklarPek çok hassas işlem (bileşenlerin yüklenmesi, süreçlerin kontrol edilmesi, sistem öğelerine erişim) için uygulamanın, dijital olarak imzalanması gereken anahtar-değer çiftleri olarak temsil edilen belirli yetkilendirmelere sahip olması gerekir. Bu, bir programın sonradan kendine ayrıcalıklar vermesini önler.
Bir diğer önemli mekanizma ise şudur: bellek adres alanının rastgeleleştirilmesi (ASLR). Bu teknikle, bir uygulama veya işlem her çalıştığında, kod ve verilerin yüklendiği bellek konumları öngörülemeyen bir şekilde değişir. Bu, bellek bozulması güvenlik açıklarından yararlanmayı çok daha zorlaştırır çünkü saldırgan, çalıştırmaya çalıştığı kodun tam olarak nerede bulunduğunu bilmez.
Apple hesabı, iCloud ve hizmetleri: Dijital kimliğinizi koruyun
Şirketin hizmetlerinin çoğuna erişim kapınız sizin hesabınızdır. Apple ID, kullandığınız benzersiz hesap. Verileri senkronize etmek, uygulama satın almak, iCloud'u kullanmak veya Bul gibi özellikleri etkinleştirmek için tüm cihazlarda kullanılabilir.
Apple, belirli minimum gereksinimler koymaktadır. Apple kimliği şifresiParolalar en az sekiz karakter uzunluğunda olmalı, harf ve rakam kombinasyonu içermeli, tekrarlanan veya ardışık karakterlerin aşırı dizilimini yasaklamalı ve çok sık kullanılan parolaları engellemelidir. Bunlar sadece temel gereksinimler olsa da, basit parolalara karşı ilk engeli oluştururlar.
Parola, bu parola üzerine kuruludur. iki faktörlü kimlik doğrulamaBu özellik, mevcut hesapların çoğunda varsayılan olarak etkinleştirilmiştir. Birisi yeni bir cihazdan Apple Kimliğinizle oturum açmaya çalıştığında, parolasına ek olarak, güvenilir bir cihaza veya doğrulanmış bir telefon numarasına gönderilen bir doğrulama kodunu da girmesi gerekir. Bu sayede, birisi parolanızı çalsa bile, ikinci faktöre erişemez.
Parolanızı unutmanız durumunda Apple, aşağıdaki adımları uygulamanızı önerir. Sıfırlama işlemi güvenilir cihazlardan yapılmalıdır. Veya kurtarma anahtarları ve kurtarma kişileri kullanarak, bir saldırganın basit destek talepleri yoluyla hesabınızı ele geçirme olasılığını azaltabilirsiniz.
iCloud, büyük bir bölümünün yer aldığı merkezi hizmettir. kullanıcının kişisel ve hassas bilgileriFotoğraflar, yedeklemeler, kişiler, e-postalar, dosyalar, sağlık verileri, anahtarlık şifreleri ve daha fazlası. Bu verileri yönetmek için Apple, uçtan uca şifrelemenin farklı seviyelerine sahip iki iCloud koruma seçeneği sunar.
Apple'ın "seçenek" olarak adlandırdığı seçenekle Standart veri korumasıKullanıcı verileri hem iletim sırasında hem de depolama esnasında şifrelenir ve birçok kategori (örneğin Anahtar Zinciri, Sağlık verileri, ödeme bilgileri ve daha fazlası) uçtan uca şifreleme ile korunur. Diğer veri türleri için şifreleme anahtarları, Apple'ın veri merkezlerinde bölümlere ayrılmış şekilde saklanır; bu sayede şirket, tüm cihazlarınızı kaybetmeniz durumunda erişiminizi yeniden kazanmanıza yardımcı olabilir.
modalitesi Gelişmiş veri koruması Bu, uçtan uca şifrelemenin kapsamını daha da genişleterek, çok daha fazla bilgi kategorisine (iCloud yedeklemeleri, notlar, fotoğraflar ve daha fazlası dahil) yayılmasını sağlar. Bu durumda, anahtarlar yalnızca güvendiğiniz cihazlarınızda saklanır; Apple, bu anahtarları kaybetmeniz durumunda erişiminizi yeniden kazanmanıza yardımcı olamaz, ancak karşılığında, yasal gereklilikler için bile üçüncü taraf erişim olasılığı en aza indirilir.
Apple Pay de özellikle hassas bir hizmettir, çünkü bazı unsurları içerir. kart ödemeleri ve finansal verilerBu işlemleri korumak için Apple, Güvenli Eleman adı verilen özel bir bileşene ve cihazın NFC denetleyicisine güveniyor.
Güvenli Eleman depoları Kart veren kuruluşlar tarafından onaylanmış uygulamalar Ya da ödeme ağları. Bu kuruluşlar, ödeme token'larıyla çalışmak için gerekli anahtarları bilen tek kuruluşlardır. Cihazda saklanan şey gerçek kart numarası değil, yalnızca o ortamda ve ihraç eden kuruluşun elindeki anahtarlarla birlikte anlam ifade eden şifrelenmiş bir ödeme tanımlayıcısıdır. elma Öde Bu katmanlar, sahtekarlık ve veri sızıntısı olasılığını azaltmak için korunmaktadır.
NFC denetleyicisi şu şekilde çalışır: Cihaz ile ödeme terminali arasındaki köprüBu özellik, temassız işlemlerin yalnızca kullanıcının Face ID, Touch ID veya bir kod kullanarak ödemeyi onaylamasının ardından tamamlanmasını sağlar. Ne satıcı ne de işletim sistemi kart bilgilerinin tamamını almaz, bu da saldırı yüzeyini büyük ölçüde azaltır.
Ağ güvenliği ve şifreli bağlantılar
İletişim alanında Apple, sistemlerinde kapsamlı destek sunmaktadır. modern güvenlik protokolleri Hem web bağlantılarında hem de sanal özel ağlarda veri trafiğini korumak.
iOS, iPadOS ve macOS ile uyumludur. TLS 1.0, 1.1, 1.2 ve 1.3UDP tabanlı iletişimler için Datagram TLS'ye (DTLS) ek olarak, bu protokoller, iletim halindeki bilgilerin gizliliğini korumak için fiili endüstri standardı olan AES-128 ve AES-256 gibi güçlü şifreleme algoritmalarıyla birleştirilmiştir.
Kurumsal ağlara veya güvenli tünellere bağlanmak için Apple cihazları çeşitli türlerle uyumluluk sunar. VPN ve kimlik doğrulama ayarları. Aralarında öne çıkıyorlar:
El kullanımı IKEv2/IPsec, paylaşımlı gizli anahtar, RSA sertifikaları veya eliptik eğri imzalı sertifikalar (ECDSA) ile kimlik doğrulama ve EAP-MSCHAPv2 veya EAP-TLS varyantlarıyla modern iş ortamlarında çok yaygındır.
Desteği İstemci uygulamaları kullanarak SSL VPN App Store'da bulunan bu uygulama, işletim sistemi korumalarını sürdürürken birçok üçüncü taraf çözümle entegrasyona olanak tanır.
ile uyumluluk L2TP/IPsec, iOS, iPadOS ve macOS'ta bulunan, MS-CHAPv2 tabanlı parolalar kullanan kullanıcı kimlik doğrulaması ve paylaşılan gizli anahtar ile makine kimlik doğrulaması ile birlikte, macOS'ta bazı kullanım durumlarında RSA SecurID veya CRYPTOCard gibi seçenekler de sunmaktadır.
Ve macOS söz konusu olduğunda da bu seçenek değerlendiriliyor. Karma kimlik doğrulamalı Cisco IPsec (Parolalar, belirteçler ve paylaşılan sırlar), birçok şirkette hala kullanılan daha geleneksel altyapılarla entegre olacak şekilde tasarlanmıştır.
Apple ekosisteminde geliştirme kitleri ve gizlilik
Uygulamaların kullanıcı gizliliğinden ödün vermeden cihaz özelliklerinden yararlanmasına olanak sağlamak için Apple çeşitli seçenekler sunmaktadır. entegre güvenliğe sahip çerçeveler veya geliştirme kitleriHomeKit, CloudKit, SiriKit, DriverKit, ReplayKit, ARKit ve diğerleri.
Ev otomasyon çerçevesi olan HomeKit, özellikle hassastır çünkü kontrol mekanizmasını kontrol eder. kameralar ve mikrofonlar gibi hassas ev cihazlarıAkıllı kilitler, sensörler ve alarm sistemleri. Yalnızca yetkili cihazların ve kullanıcıların iletişim kurabilmesini sağlamak için modern şifreleme yöntemlerine dayanır.
Özellikle HomeKit şunu kullanır: anahtar çiftleri Ed25519 (Açık ve özel anahtarlar) aksesuarlar ve kontrol cihazları (iPhone, iPad, Apple TV veya HomePod) arasındaki iletişimi doğrulamak ve şifrelemek için kullanılır. Özel anahtarlar güvenilir cihazlarda kalır ve açık anahtar, mesajların iddia edilen göndericiden geldiğini doğrulamak için kullanılır.
Bu anahtarlar senkronize edilir ve aşağıdaki yöntem kullanılarak güvenli bir şekilde saklanır. Uçtan uca şifreleme ile korunan iCloud Anahtar ZinciriDolayısıyla, ev ağınıza yeni bir Apple cihazı eklediğinizde, Apple'ın doğrudan erişimi olmadan bu kimlik bilgilerini alabilirsiniz; bu da gizliliği tehlikeye atmadan deneyimi kolaylaştırır.
CloudKit, geliştiricilere olanak tanır. Apple bulutunda verileri depolayın ve senkronize edin. Kullanıcı bazlı gizlilik kontrolleriyle birlikte, SiriKit uygulamaların Siri'ye gönderebileceği bilgi türünü ve bu bilgilerin nasıl kaydedildiğini sınırlandırarak hizmeti iyileştirir. DriverKit ise çekirdek sürücü geliştirmesini kullanıcı alanına taşıyarak, sürücü arızasının tüm sistemi çökertme riskini azaltır.
ReplayKit (ekran ve video yakalama) veya ARKit (artırılmış gerçeklik) gibi çerçeveler de kullanılmaya devam ediyor. Kamera ve mikrofon izinleri ve kullanımıyla ilgili katı politikalarBöylece, bir uygulama ses veya video kaydı yapmak veya konum bilgilerine erişmek istediğinde kullanıcının her zaman açık bir şekilde yetkilendirme vermesi gerekecektir.
Tüm bu katmanların toplamı —güvenli donanım, doğrulanmış önyükleme, derin şifreleme, sıkı uygulama kontrolü, iki faktörlü kimlik doğrulama ve uçtan uca şifreleme ve varsayılan olarak gizlilik odaklı tasarlanmış çerçeveler— Apple ekosistemini eşsiz bir deneyim sunan bir platform haline getiriyor. Verilerinizi korumak için son derece sağlam bir platform.Yine de, nihai güvenlik sizin kararlarınıza da bağlıdır: güçlü şifreler seçmek, iki faktörlü kimlik doğrulamayı etkinleştirmek, cihazlarınızı güncel tutmak, uygulama izinlerini gözden geçirmek ve yüklediğiniz uygulamalara ve açtığınız bağlantılara dikkat etmek, gerçekten güvenli bir ortam ile yalnızca güvenli görünen bir ortam arasındaki farkı yaratır.
