Mac OS X Güvenlik Mekanizmaları

Merhaba,
Hırsızlık olaylarının arttığı günümüzde taşınabilir bilgisayarlarımızı korumak da bir hayli zorlaşıyor. Özellikle büyük şehirlerde, artık olağan hale gelen evden, işyerinden ve özellikle araç içerisinden çalınan taşınabilir bilgisayarların haddi hesabı bulunmuyor.
Geçtiğimiz yıl içerisinde Powerbook’unu çaldırmış biri olarak naçizane taşınabilir bilgisayarlarımızda kötü bir sürprize karşı alınması gereken güvenlik önerilerinden bahsetmek istiyorum. Başlık her ne kadar taşınabilir bilgisayarlar için (MacBook, MacBook Pro, MacBook Air)  güvenlik önerileri olsa da, bu önerilerin masaüstü Mac’ler için de (Mac Mini, iMac, MacPro) uygulanması faydalı olacaktır.

Mac OS X işletim sisteminde güvenlik protokolleri 5 farklı kademede yer alır:

1. Firmware Password
En üst düzey güvenlik protokolüdür. Mac’in işletim sistemi ve hard diskinden bağımsız, anakart üzerindeki firmware çipi  içerisinde saklanan şifredir. Mac’in çeşitli tuş kombinasyonları ile farklı modlarda ve farklı disklerden açılmasını engeller.
2. Login Password
Bilgisayarda oturum açan her kullanıcı için tanımlanabilen ana kullanıcı şifresidir.
3. Master Password
Kullanıcı hesabınına ait user klasörünün FileVault güvenlik sistemi ile şifrelenmesi durumunda tanımlanması gereken şifre çeşididir. Kullanıcı şifresinin unutulması durumunda sıfırlanması ancak Master Password yardımı ile olabilir.
4. Resource Password
E-posta, website, dosya sunucusu, uygulamalar, şifreli disk imajlar gibi program bazlı oluşturulabilen şifreleme metodudur. Bu tür şifreler kullanıcının Keychain sistemine de otomatik olarak kaydedilebilir.
5. Keychain Password
Mac OS X mimarisinde e-posta, website, dosya sunucusu, uygulamalar, şifreli disk imajlar gibi kaynakların şifrelerinin saklandığı arabirimdir. Tek bir Keychain şifresi ile daha önceden kaydedilmiş tüm kaynakların şifrelerine ulaşılabilir.

Mac’inizin güvenliği için neler yapabilirsiniz?

Güvenlik protokolleri hakkındaki kısa girişten sonra Mac’inizin güvenliğini üst seviyelere çıkartmak için şu adımları uygulayabilirsiniz:
1) Bilgisayarınıza Firmware Password tanımlayın
Bilgisayarınız bir talihsizlik sonucu istenmeyen kişilerin ellerine geçtiği durumda, belki bilgisayarınızı direkt olarak geri getirmeyecek, fakat dolaylı yoldan istenmeyen kişilerin işlerini en çok zorlaştıracak olan şifreleme yöntemidir. Bir nevi “bana yar olmayan, kimseye yar olmasın” modeli de denilebilir.
Bilgisayarınıza firmware password tanımlamak için öncelikle bilgisayarınızı sistem dvd’sinden başlatmak durumundasınız. Bu işlem için bilgisayarınıza beraberinde gelen işletim sistemi yükleme dvd’sini takarak bilgisayarınızı yeniden başlatın. Bilgisayarınız açılırken f klavye için “v“, q klavye için c tuşuna basılı tutun. Elma logosunu gördüğünüz zaman klavyedeki tuşu serbest bırakabilirsiniz.
Karşınıza gelecek olan yükleme ekranındaki dil seçeneklerinden ingilizceyi seçerek devam edin. Sonrasında açılan Wellcome ekranında da Continue düğmesine basın.

Ekranın üst bölümünde bulunan Utilities > Firmware Password Utility menüsünü kullanarak Firmware Password Utility uygulamasını açın. Karşınıza çıkacak ekranda Require password to change firmware seçeneğini işaretleyin. Bu seçenek, daha sonra firmware şifresini değiştirmek için eski şifrenin girilmesini zorunlu kılar.

ÖNEMLİ!:
Mac OS X ve firmware, Login ekranına gelene kadar bilgisayara bağlı bulunan klavye dizilim türü ne olursa olsun İngilizce Q klavye yerleşimini esas alır. Bu nedenle atayacağınız şifrede Türkçe aksanlı harfler (ğ, ı, İ, ş gibi) kullanmamaya özen göstermelisiniz. Ayrıca F klavye kullanıyorsanız,  bu şifreyi q klavye modunda belirlemek zorunda kalacağınız için numerik olarak rakamlardan seçmeniz daha doğru olacaktır.

Password satırına KESİNLİKLE UNUTMAYACAĞINIZ bir şifre tanımlayarak Verify satırına doğrulama işlemi için aynı şifreyi tekrar yazın ve OK düğmesine basarak pencereyi kapatın.



Firmware Password Utility menüsünden Quit komutunu uygulayın. Ardından Installer menüsünden de Quit komutunu uygulayarak bilgisayarınızı yeniden başlatın.

Bilgisayarınıza başarıyla Firmware şifresi tanımladınız. Peki bu firmware şifresi ne işe yarayacak?
Bilgisayarınız artık harici bir optik diskten c veya v tuşlarına basılarak başlatılamayacaktır. Harici bir diskten başlatma işlemi ancak açılışta alt tuşuna basılarak mümkün olabilir. Şayet alt tuşuna basılarak bilgisayar açılmak istendiğinde bir firmware password sorgu penceresi ekrande belirecektir.

Sağında kilit, solunda ok ikonu olan bu ekranda, boş olan satıra firmware şifresini yazarak enter veya sağ ok düğmesine basarak bilgisayarı başlatabileceğiniz disk listesine ulaşabilirsiniz. Bu listeden de ister yükleme dvd’si, ister harici bir disk seçerek bilgisayarınızı başlatabilirsiniz.
Alternatif bir yöntem olarak da, System Preferences > Startup Disk tercihlerinden de başlangıç diski ayarlarınızı istediğiniz zaman değiştirebilirsiniz.

Firmware şifresini devre dışı bırakmak için:

• Bilgisayarınıza sistem yükleme dvd’sini takarak yeniden başlatın.
• Bilgisayarınız açılırken alt tuşuna basılı tutun. Şifre sorgu ekranına mevcut firmware şifrenizi girerek disk listesini görüntüleyin.
• Listeden yükleme dvd’sini seçerek bilgisayarı başlatın.
• Yükleme ekranını onaylayarak üst menülerden Utilities > Firmware Password Utility uygulamasını açın. Açılacak ekranda Change düğmesine basarak önce eski şifreyi girin. Ardından yeni şifre ve verify satırlarını boş bırakarak pencereyi onaylayın. Firmware şifresi iptal olacaktır.

Bilgisayarınızı cmd+s (veya f klavye için cmd+i) tuşlarına basılı tutarak Single User Mode’da açmak ve system file check işlemi yapmak isterseniz, bu başlangıç tuş kombinasyonlarını firmware şifresinin geçersiz kılmasından ötürü öncelikle firmware şifresini devre dışı bırakmanız gerekiyor. System file check işleminden sonra tekrar yukardaki yönergeleri izleyerek firmware şifresini aktif hale getirebilirsiniz.
Firmware şifresini unutursanız?
Geçmiş olsun. Bilgisayarınızı bir Apple yetkili servisine götürmeniz gerekiyor. Şifre donanımsal olduğu için bir yazılım yöntemi ile şifre sıfırlanamaz. Bu nedenle mutlaka unutmayacağınız bir şifreyi tercih etmelisiniz.
Sonuç:
Bilgisayar, istenmeyen kişilerin eline geçerse, hard diski değiştirilse dahi format atılamayacak, yeni bir işletim sistemi yüklenemeyecektir.
2. Kullanıcı hesabınıza mutlaka şifre tanımlayın
Bilgisayarınızın kullanıcı hesabına şifre tanımlamanız, kişisel bilgilerinizin güvenliği açısından önem arz eden bir konu. Bilgisayarınıza firmware şifresi atamış olsanız dahi, bu o bilgisayarın başkaları tarafından kullanılamayacağı anlamına gelmiyor. Eğer automatic login opsiyonunu açık bıraktıysanız, mevcut kullanıcı hesabınızdan bilgisayarınız istenmeyen kişiler tarafından kullanılmaya devam edilebilir.

Kullanıcı hesabınıza şifre tanımlamak için:

• System Preferences > Accounts tercihlerini açın.

• Kullanıcı hesabınıza daha önce bir şifre tanımlanmamışsa sağ üst köşede Reset Password isimli düğmeye basarak Old Password satırını boş bırakın. New Password ve Verify satırlarına yeni şifrenizi yazın. Güvenli bir şifre ayarlamak isterseniz New Password satırının sonunda bulunan anahtar simgesine tıklayarak Pasword Assistant ile sistemin size otomatik olarak güvenli parola üretmesini sağlayabilirsiniz. Şifre tanımlama işlemini Change Password düğmesine basarak tamamlayabilirsiniz.

Şifrenizi unutmanız ihtimaline karşı, Password Hint satırına, opsiyonel olarak şifrenizi hatırlatıcı kelimeler ilave edebilirsiniz.

• Bilgisayarınıza kullanıcı şifresi tanımladıktan sonra, ikinci aşamada bilgisayar açılırken login ekranı (kullanıcı adı – şifre sorgu ekranı) olmaksınız sistemin otomatik olarak oturum açma opsionu olan Automatic Login seçeneğini kapatmalısınız. Bunun için yine Accounts denetimlerinden, kullanıcı hesaplarının listelendiği sol sütunun altında bulunan Login Options düğmesine basarak Automatic login seçeneğini Disabled olarak ayarlamalısınız. Display login window as olarak List of users seçerseniz bilgisayarınız açılırken tüm kullanıcıların isim ve kullanıcı ikonlarının listelendiği bir açılış ekranı sizi karşılayacaktır. Name and password seçeği ise şifre yanında kullanıcı adının de düzgün olarak girilmesini isteyecektir ki daha güvenli bir seçenektir.

Sonuç:
Firmware şifresi ile birlikte kullanıldığı zaman, bilgisayarınız harici bir sistem kaynağından doğru firmware şifresi girilmeden başlatılamayacağı için kullanıcı hesabının şifresi de sıfırlanamayacak ve bilgisayarda herhangi bir kullanıcı oturumu açılamayacaktır. Yani şifre bilinmediği takdirde bilgisayar tamamiyle işlevsiz hale gelecektir.
3. Kullanıcı hesabınızda File Vault şifreleme sistemini aktif hale getirin
Firmware ve Login şifresi ile bilgisayarınızı güvence altına aldınız. Ama kişisel bilgileriniz hala güvende değil. Ortak paylaşılan bir bilgisayar kullanıyorsanız, kullanıcı klasörünüz ve dolayısıyla kişisel dokümanlarınız kopyalanma riski ile karşı karşıya kalıyor. Bilgisayarınızın hard diski farklı bir bilgisayara veya taşınabilir bir disk kutusuna takılarak içerisindeki kullanıcı hesabınıza ait dokümanların kopyalanma riskine karşı FileVault şifreleme sistemini aktif hale getirebilirsiniz.  FileVault ile, ana kullanıcı klasörünüz 128 bit AES (Advanced Encryption Standard) ile şifrelenerek bir disk imajı haline getirilecektir.

FileVault Şifresi Tanımlama:

• System Preferences > Security > FileVault tercihlerini açın.

• Öncelikle bilgisayarınızdaki tüm kullanıcı hesaplarının ana şifresi konumunda olacak bir Master Password belirlemelisiniz. FileVault şifreleme sistemi aktif olmayan kullanıcı hesapları, bilgisayardaki admin yetkisine sahip herhangi bir kullanıcı tarafından sıfırlanabilir. Fakat FileVault ile korunan kullanıcı hesapları yalnızca Master Password ile sıfırlanabilir.

Set Master Password… düğmesine basarak bilgisayarınıza bir Master Password tanımlayın.

ÖNEMLİ!:
Master Password tanımlarken mutlaka UNUTMAYACAĞINIZ bir şifre tercih edin. Zira FileVault ile korunan bir kullanıcı hesabının şifresini unutmanız durumunda, Master Password’ü de bilmiyorsanız ilgili kullanıcı hesabına hiçbir şekilde ulaşmanız mümkün olmayacaktır.

• Master Password tanımladıktan sonra Turn On FileVault düğmesine tıklayarak ilgili kullanıcı hesabının FileVault şifreleme sistemini aktif hale getirin. Kullanıcı oturumunuz kapatılarak şifreleme işlemi başlayacaktır. Hesabınızdaki dokümanların dosya boyutuna göre bu işlem uzun sürebilir.

Şifreleme işleminin başlatılabilmesi için, bilgisayarınızda, en az ilgili user klasörünün boyutu kadar boş alan olmalıdır. (örneğin user klasörünüzün boyutu 50gb ise, bilgisayarınızda en az 50 gb boş kullanılabilir alan olmalıdır)
FileVault sistemi aktif hale getirildiği zaman, kullanıcı klasörünüzün ikonu şifreli bir ev ikonuna dönüşecektir.

Kullanıcı şifresinin unutulması durumunda:
Bilgisayarda farklı bir kullanıcı hesabı varsa, System Preferences > Accounts denetimlerinden, ilgili kullanıcı hesabı seçildekten sonra Reset Password düğmesine tıklanarak şifre sıfırlanabilir. Tabiki Master Password’un girilmesi kaydıyla. Yoksa hiçbir şekilde o kullanıcı hesabına erişilemez.
Bilgisayarda farklı bir kullanıcı hesabı yoksa, login ekranındaki Reset Password seçeneği kullanılabilir. Elbette yine Master Password’e ihtiyaç var.

FileVault, güvenlik seviyesini artırmasına karşın;

• Windows işletim sistemini kullanan bilgisayarlar ile  dosya, yazıcı ve web paylaşımı
• Diğer kullanıcılar ile Public ve Sites klasörlerinin paylaşımı
• Migration Assistant Utility ile kullanıcı hesabının başka bir bilgisayara aktarım işlemini güvenlik nedeni ile engelleyecektir.
• Ek olarak, kullanıcı klasörü sürekli 128 bit şifrelendiği için disk erişim hızındaki bir miktar yavaşlamaya neden olacaktır. Video uygulamaları gibi yüksek disk erişimi isteyen yazılımlarda,  bu durum ilgili uygulamada bir miktar performans kaybına neden olabilir.

Sonuç:
Artık kullanıcı klasörünüz de güvende. Kullanıcı klasörünüz, aynı bilgisayardaki farklı bir kullanıcı hesabı tarafından veya hard diskin sökülerek başka bir ortamdan görüntülenmesi durumunda, kullanıcı.sparesimage isimli şifreli bir disk imajı olarak görünecek ve kullanıcı şifresi olmadan kesinlikle açılamayacaktır.

Firmware Password + Login Password + FileVault üçlüsü ile bilgisayarınızdaki verilerin güvenliğini en üst düzeye çıkarabilirsiniz.

Ek olarak alabileceğiniz güvenlik önlemleri de şu şekilde:

4. Kensington kilit kullanın.
Şayet taşınabilir bilgisayarınızı güvenli olmayan bir ortamda kullanacaksanız kensington kilit kullanabilirsiniz. Uçaklarda kullanılan çelikten imal edilen bu kablolar, standart bir pense veya keski ile kolay kolay kesilemeyeceği için, zamanla yarışan bir hırsız için caydırıcı nitelikte olacaktır. Şifre veya anahtar olmadan bilgisayardan zor kullanarak kilidi çıkarmaya çalışmak ise, bilgisayarın kasasına ciddi bir hasar vereceği için bilgisayar ilgili kişiye yar olmayacaktır.

5. Bilgisayarınıza alarm takın

Evet, şaka değil. Bilgisayarınıza yükleyebileceğiniz oto alarmı benzeri, harekete duyarlı bir alarm yazılımı var: iAlertU
Alarm aktif hale getirilince, bilgisayarınızın bulunduğu yerden kımıldatılması, kapağının kapatılması, adaptörünün çıkartılması, klavye ve trackpad/mouse hareketleri durumunda yaygarayı koparıyor.
Yazılımı buradan bilgisayarınıza yükledikten sonra çalıştırın. Üst menü çubuğunda programın simgesi görünecektir.

Preferences menüsüne girdikten sonra Alarm bölümünde Alarm duration ile alarmın çalma süresini, Motion sensitivity ile de alarmın, Macbook’larda bulunan hareket sensörü yardımıyla bilgisayarın olası fiziksel hareketlerden (taşıma, yerinden kaldırma, açısını değiştirme vs.) etkilenme hassasiyeti ayarlanabilir. Triggers ile de alarmın hangi tetikleyiciler ile devreye konulacağını ayarlayabilirsiniz.

Bilgisayarınızda yerleşik iSight kamera varsa, camera bölümünde bulunan Use iSight image capture özelliğini aktif hale getirerek alarmın devreye girmesi durumunda otomatik olarak bir fotoğraf çekilmesini sağlayabilirsiniz. Ayrıca aynı bölümde bulunan Email image seçeneği ile de resmin belirleyeceğiniz bir e-posta adresine gönderilmesi mümkün. E-posta gönderme seçeneğinin çalışabilmesi için, From email bölümünde belirttiğiniz e-posta adresinizin Apple Mail uygulamasında kurulu ve çalışır durumda olması gerekiyor.

Son olarak General bölümüne girerek alarmı menü üzerinden devreye sokmak için Enable arm from menü seçeneğini aktif hale getirerek Edit Password düğmesine tıklayın.
Alarmı devre almak ve çalan alarmı kapatmak için gerekli olan şifreyi tanımlayın. Aynı pencerede bulunan Use logo for lock screen seçeneği ile de alarm devreye alındığında ekranın karararak iAlertU logosunun görüntülenmesini sağlayabilirsiniz.

Bilgisayar başından uzaklaşırken alarmı aktf hale getirmek için iAlertU menüsünden Arm System komutunu vermeniz gerekiyor. Yaptığınız hassasiyet ayarlarına göre bilgisayarınız tepki verecek alarmı sinir bozucu bir şekilde çalmaya başlayacaktır. Alarmı susturmak için klavyeden şifrenizi girmeniz yeterli.
Bir Apple uzaktan kumananız varsa, pair işlemi gerçekleştirilmiş kumandanızın menü tuşuna basılı tutarak da alarmı devreye alabilir/çıkarabilirsiniz.