Apple, Birleşik Krallık hükümetiyle güvenlik tartışmasının ardından veri koruma aracını geri çekti
(bbc.com)- Birleşik Krallık hükümetinin kullanıcı verilerine erişim yetkisi talep etmesinin ardından Apple, Birleşik Krallık’taki müşterilerin iCloud için uygulanan en üst düzey güvenlik özelliği Advanced Data Protection’ı yeni olarak etkinleştirmesini engelledi
- ADP, fotoğraf ve belge gibi çevrimiçi depolanan verileri uçtan uca şifreleyerek yalnızca hesap sahibinin görebilmesini sağlayan isteğe bağlı bir özellik; etkinleştirilen verilere Apple da erişemiyor
- 21 Şubat 2025 saat 15:00 GMT’den itibaren Birleşik Krallık kullanıcıları ADP’yi açmaya çalıştığında hata gösterilecek; mevcut kullanıcıların ADP’si de ileride devre dışı bırakılacak
- ADP kaldırıldığında bazı iCloud verilerine yalnızca standart şifreleme uygulanacak; Apple bu verilere erişebilecek ve mahkeme kararı olması halinde kolluk kuvvetleriyle paylaşabilecek
- Bu adımın, Investigatory Powers Act kapsamında Birleşik Krallık’ın talebini ve küresel arka kapı endişelerini giderip gidermeyeceği belirsiz; ABD siyasetinden ve gizlilik savunucularından gelen tepkiler de sürüyor
ADP’nin geri çekilmesi ve Birleşik Krallık’taki iCloud kullanıcılarına etkisi
- Apple, Birleşik Krallık müşterilerine Advanced Data Protection(ADP) sunmayı durdurma yönünde emsalsiz bir adım attı
- ADP, iCloud’da depolanan fotoğraf ve belge gibi verileri uçtan uca şifreleyerek yalnızca hesap sahibinin erişebilmesini sağlıyor
- Özellik etkinleştirilmiş verileri şu anda Apple da göremiyor
- Birleşik Krallık’ta ADP artık yeni olarak etkinleştirilemiyor
- 21 Şubat 2025 saat 15:00 GMT’den itibaren Birleşik Krallık kullanıcıları ADP’yi açmaya çalıştığında bir hata mesajı gösteriliyor
- Mevcut ADP kullanıcılarının erişimi de daha sonra devre dışı bırakılacak
- ADP’nin Aralık 2022’de Birleşik Krallık’taki Apple müşterilerine sunulmasından bu yana kaç kişinin kaydolduğu bilinmiyor
- ADP ortadan kalktığında, Birleşik Krallık müşterilerinin tüm iCloud verileri tam uçtan uca şifrelemeyle korunmayacak
- Standart şifreleme kapsamındaki verilere Apple erişebilir
- Kolluk kuvvetlerinin mahkeme kararı varsa Apple bu verileri paylaşabilir
- Apple, Birleşik Krallık müşterilerinin bu güvenlik özelliğini artık kullanamayacak olmasından dolayı “gravely disappointed” olduğunu belirtti
- Ürünlerinde hiçbir zaman “backdoor” veya “master key” oluşturmadığını ve gelecekte de oluşturmayacağını savunuyor
- Bulut depolama güvenliğini uçtan uca şifrelemeyle güçlendirmenin her zamankinden daha acil olduğunu düşünüyor
- Gelecekte Birleşik Krallık’ta da kişisel veriler için en üst düzey güvenliği sunabilmeyi umuyor
Hükümet talebi ve uluslararası tepki
- Birleşik Krallık hükümetinin talebinin Investigatory Powers Act(IPA) uyarınca Home Office tarafından gönderildiği bildiriliyor
- IPA, şirketleri kolluk kuvvetlerine bilgi sağlamaya zorlayabiliyor
- Apple söz konusu bildirim hakkında yorum yapmadı; Home Office ise böyle bir bildirimin varlığını doğrulamayacağını veya reddetmeyeceğini belirtti
- BBC ve Washington Post, konuya yakın birden fazla kaynakla temas kurdu
- Gizlilik savunucuları ile bazı teknoloji ve politika çevreleri sert tepki gösterdi
- Gizlilik aktivistleri bunu kişilerin özel verilerine yönelik “unprecedented attack” olarak nitelendirdi
- WhatsApp yöneticisi Will Cathcart, X’te Birleşik Krallık’ın Apple güvenliğinde küresel bir arka kapıyı zorunlu kılması halinde tüm ülkelerdeki herkesin daha az güvende olacağını yazdı
- ABD’li iki üst düzey siyasetçi, talep geri çekilmezse ABD hükümetinin Birleşik Krallık ile istihbarat paylaşımı anlaşmalarını yeniden değerlendirmesini gerektirecek kadar ABD ulusal güvenliği için ciddi bir tehdit olduğunu düşünüyor
- Apple’ın Birleşik Krallık’ta ADP’yi geri çekmesinin tartışmayı bitirmeye yetip yetmeyeceği net değil
- IPA emirleri dünya çapında geçerli ve ADP diğer ülkelerde çalışmaya devam ediyor
- Senator Ron Wyden, Birleşik Krallık’ta uçtan uca şifreli yedeklemelerin geri çekilmesinin otoriter ülkelerin izleyebileceği tehlikeli bir emsal oluşturduğunu belirtti
- Wyden, bu adımın tek başına Birleşik Krallık’ın talebini geri çekmesi için yeterli olmayacağını ve ABD kullanıcılarının gizliliğini ciddi biçimde tehdit edebileceğini düşünüyor
Şifreleme ve çocuk güvenliği tartışması
- Çocuk güvenliği ile şifreleme arasında denge kurulmasını isteyen tepkiler de geldi
- NSPCC’den Rani Govender, Apple gibi teknoloji şirketlerinin çocuk ve kullanıcı güvenliği ile gizlilik arasında denge kurması gerektiğini belirtti
- NSPCC, uçtan uca şifreli hizmetlerin çocuk cinsel istismarı materyali(CSAM) paylaşımını tespit etme gibi çocuk koruma çabalarını engelleyebileceğini düşünüyor
- Buna karşılık şifrelemenin gündelik bir gizlilik koruma aracı olduğu yönünde karşı görüşler de var
- Global Signal Exchange kurucu ortağı Emily Taylor, şifrelemenin tüketici gizliliğiyle ilgili olduğunu ve CSAM’in ağırlıklı olarak dolaştığı dark web ile aynı şey olmadığını belirtti
- Taylor, bankacılık iletişimleri ve uçtan uca şifreli mesajlaşma uygulamaları gibi şifrelemenin her gün kullanılan bir gizlilik koruma aracı olduğunu söyledi
- Bu tartışma, ABD teknoloji şirketlerine yönelik yurt dışı düzenleyici baskılara ABD içinde tepkinin arttığı bir dönemde yaşanıyor
- ABD Başkan Yardımcısı JD Vance, Şubat başında Paris AI Action Summit’te yaptığı konuşmada, bazı yabancı hükümetlerin uluslararası faaliyet gösteren ABD teknoloji şirketlerine yönelik baskıyı artırmaya çalıştığına dair raporlardan Trump yönetiminin endişe duyduğunu söyledi
2 yorum
Herkes sevinçle peşinden gidip aynı talepte bulunacaktır. Gerçekten çok üzücü.
Hacker News görüşleri
Evet, aslında bu hükümetin anlattığından çok daha ciddi bir meseleydi
Birleşik Krallık hükümetinin talebi Investigatory Powers Act kapsamındaki bir “technical capability notice” ile geldi ve Apple'dan dünya çapındaki şifreli kullanıcı verilerine erişebilecek bir arka kapı oluşturmasını istiyordu
Havaalanında Counter Terrorism Act kapsamında cihazınıza el konulup aranması durumunu düşünürsek, ne hukuki danışmanlık hakkınız ne de susma hakkınız var ve bu yalnızca Britanya vatandaşları için değil, Birleşik Krallık topraklarından geçmiş yabancılar için de geçerli olabilir
Şimdiye kadar duyduklarım arasında en büyük arka kapıya en yakın örnek bu ve daha da endişe verici olan, buna kamuoyu önünde karşı çıkan tek şirket Apple'mış gibi görünmesi
Android cihazlar da hâlâ bulut yedeklemeyi teşvik ediyor ve kapatmayı zorlaştırıyor; Google ya da Microsoft'un benzer taleplere zaten boyun eğmediğinden emin olmak zor
Üstelik iki aşamalı doğrulamanın büyük kısmı büyük teknoloji şirketleri ya da telefonlar üzerinden geçtiği için, sonuçta tüm hesaplarınızın anahtarlarını teslim etmiş oluyorsunuz ve gizlilikle güvenlik mücadelesi kaybediliyor gibi görünüyor
Eğer IPA'ya uyacaklarsa Android'e anahtarları dışarı çıkaran bir mekanizma koymaları gerekir; ama Android'de güvenlik araştırması iOS'a göre daha kolay olduğundan, böyle bir ihlalin fark edilme olasılığı daha yüksek olmaz mı?
Google, Çin hükümeti vatandaş verilerinin tüm anahtarlarını istediğinde Çin'den ayrılmıştı
Bana göre Apple yalnızca görünür olduğunda ve işi için büyük tehdit oluşturmadığında karşı çıkıyor; kullanıcı verilerini gerçekten koruyan bir şirketten çok pazarlama ve imaj yönetiminde iyi bir şirket gibi
Buradaki mesele, Apple'ın anahtarlarına sahip olmadığı düşünülen şifreli yedeklere erişmeye çalışmaları
Ayrıca ABD de, ABD'de depolanan ABD vatandaşı olmayan kişilerin verilerine ciddi bir denetim olmadan erişebilmiyor mu?
Örneğin Apple bir ABD senatörünün verileri için arka kapı sağlasa, bu bilgiyi teslim etmek ABD'de ihanet olarak görülebilir
Tamamen varsayımsal bir örnek ama sonuçta konu veri egemenliği meselesine dönüşebilir
Temelde bunun siyasi çevrelerin teknoloji okuryazarlığı sorunu olduğunu düşünüyorum
Sürekli “saklayacak bir şeyin yoksa korkacak bir şeyin de yoktur” safsatasına yaslanıyorlar ve özellikle Birleşik Krallık, devlet yönetiminde paternalist bir yaklaşım ile tüm partilere yayılmış otoriter bir desteğe sahip
Bu tür yasalar her zaman muğlak biçimde uygulanabilecek ve hedef gözetebilecek şekilde yazılıyor, başka yasaları dolanmak için kullanılıyor ve yasa yürürlüğe girdiğinde “çocukları düşünün” gerekçesi muhtemelen hızla ortadan kayboluyor
Hükümet kendi arka kapısının iyilerle kötüleri ayırt edebileceğini sanıyor ama gerçekte tek koruma, o arka kapının varlığını ya da talep edildiğini açıklamanın yasa dışı olması gibi belirsizlik yoluyla güvenlikten ibaret
Çok uluslu bulut şirketlerinin zaten zedelenmiş olduğunu varsayan kötü niyetli saldırganlar için bu sadece hedef sayısını artırır ve bu tür arka kapılar, devlete sızmak isteyen black hat ve grey hat aktörler için adeta rüya gibi bir fırsat olur
Siyasetin ihtiyacı olan şey kontrol ve bu kontrolü kurarken kullanıcı riskinin artması onların sorunu olarak görülmüyor
Latince öğrendiğim için pater'in baba demek olduğunu biliyorum ama baba gibi bir devletin ne olduğunu bilmiyorum
“Tüm partilere yayılmış otoriter destek” ifadesi de muğlak geliyor
Yine de günlük şifrelemeyi bozmanın gerçekten aptalca bir fikir olduğuna katılıyorum ve Apple'ın bunu sanki ek bir özellikmiş gibi satmış olması da üzücü
opensslçalıştırmanın maliyeti de yüksek değil, ayrıca düzgün bir açık kaynak yazılımKendilerinin aşabildiği ama suçluların aşamadığı bir sistem istiyorlar; bu fiziksel güvenlikte belki mümkün olabilir ama siber güvenlikte mümkün değil
Politikacılar da aslında kısmi siber güvenliğin imkânsız olduğunu biliyor gibi, ama umursamıyorlar; onlara danışmanlık veren istihbarat kurumları ise bunu kesinlikle biliyordur
Sırların yasa dışı olduğu bir dünya, hacker'ları gerçekten durduran bir dünyadan çok onların işini kolaylaştırır
Son birkaç ay bile, hükümetin içinde olan ya da hükümet olmaya çalışan kişilerin mutlaka iyi tarafta olmadığını gösterdi; erişim hakkı yalnızca hükümetle sınırlı olsa bile artık “biz iyiyiz” demek eskisi kadar kolay değil
Apple, ülkelere göre aldığı hükümet veri taleplerinin sayısını açıklıyor
Birleşik Krallık’tan gelen talepler son yıllarda ciddi biçimde arttı: https://www.apple.com/legal/transparency/gb.html#:~:text=77%...
Bunun önemli bir kısmı muhtemelen CLOUD Act kapsamındaki ABD-Birleşik Krallık veri erişim anlaşmasının uygulanması ve otomasyonundan kaynaklanıyor; bu anlaşma da Birleşik Krallık kolluk kuvvetleri ile ulusal güvenlik kurumlarının talep süreçlerini sadeleştirmiş olabilir
https://www.apple.com/legal/transparency/de.html#:~:text=77%...
Bu yüzden bu tür taleplerin şeffaflık raporlarında görünmeme ihtimali yüksek
Apple artık Advanced Data Protection’ı devre dışı bırakmaya karar verdiğine göre Birleşik Krallık’a bir arka kapı sağlama ihtimalini dışlamak zor ve bunun ne kadar kullanıldığını ya da neden kullanıldığını kamunun bilmesinin hiçbir yolu olmaması çok rahatsız edici
2014 Ocak ile 2017 Haziran arasındaki her 6 aylık dönem, son 5 yıldaki herhangi bir 6 aylık dönemden daha fazla talep içeriyor
Hükümetin kişisel verilere erişmek için mutlaka belirli bir arama emri alması gerekir
“Bir şirketin hükümetle iş birliği yapmayıp ürününü çekmesi eşi benzeri görülmemiş bir şey” demek fazlasıyla kendini rahatlatan bir ifade
Apple Birleşik Krallık’a arka kapı verirse dünya genelindeki kullanıcılar zayıflar
Bu karar yerel yasalara uymaktır ve o ülke de seçtiği yöneticilerin istediği sonuca katlanmak zorundadır
Bir sonraki paragraftaki “başka telekom şirketleri ürünlerini çekip hükümetlere karşı sorumlu hissetmemeye başlarsa bu çok kaygı verici bir emsal olur” sözü de uğursuz geliyor
Google, Çin hükümetinin taleplerine boyun eğmemek için yıllar önce Çin’den çekildi ve tek bir ürünü değil tüm faaliyetini çekti
Pornhub bunu ABD’nin bazı eyaletlerinde yaptı, Meta da çeşitli ülkelerde benzer tehditlerde bulundu
Güçlü şirketlerin düzenlemelere direnmesi her zaman vardı ama ürün çekerek ülkeleri cezalandırma taktiği son dönemde daha sık kullanılıyor gibi görünüyor
İşleri ve tesisleri nereye kuracağına karar vermek de şirket gücünün bir aracı; Musk’ın California’dan Texas’a taşınması ya da savunma ve petrol şirketlerinin kullandığı taktikler gibi
Aslında gizliliğe düşman görünüyor
Bu adım, hükümetin asıl talebi olan dünya genelindeki uçtan uca şifreli bulut hesaplarına arka kapı erişimini karşılamıyor
Daha önemli soru, veri kaybı olmadan uçtan uca şifrelemeyi nasıl “geri çekebileceğiniz”
Bunu zaten etkinleştirmiş olanlara ne olacak?
Apple’ın arka kapıyı reddetme mantığı, ABD’deki “emek zorla dayatılamaz” ilkesine dayanıyor; ancak Apple “bu hesabın uçtan uca şifrelemesini kapat” diye bir özellik geliştirirse, böyle bir uygulamanın zorla çalıştırma ya da zorla konuşturma olduğu iddiasını savunmak daha zor olur
Apple, kullanıcı bunu yapana kadar iCloud erişimini engelleyebilir
Habere göre kullanıcı bunu bizzat devre dışı bırakmazsa, Apple bunu onun yerine yapamayacağı için iCloud hesabı iptal edilir
Cihazın verileri çözüp yüklemesini sağlayacak bir güncelleme dağıtabilir
“Birleşik Krallık hükümetinin bir Amerikan teknoloji şirketine dünya genelinde ne yapacağını söyleyebileceğini düşünmesi saflıktı”
Asıl talebi karşılayıp fiilen arka kapı olmayacak bir yol var mı bilmiyorum ve Birleşik Krallık pazarında uçtan uca şifrelemeyi kapatmak sadece sorunu ertelemek gibi görünüyor
Kullanıcıları açık rızaları olmadan uçtan uca şifrelemeden çıkarmaya yarayan bir araç geliştirmek bile, daha sonra başka ülkelerde arama emriyle uçtan uca şifreli mesajları elde etmek için kötüye kullanılabilir
Bu mesele sadece Apple kullanıcılarının sorunu değil
Birisi Apple cloud’a sizinle yaptığı konuşmaları yedeklerse, sizin konuşmalarınız da erişilebilir hâle gelir ve sizin hiçbir seçeneğiniz olmaz
Sonunda herkes kaybeder
Çevremdeki herkese kullandırdım
Kişilerimi paylaşmak istemesem bile, tanıdığım biri onay verdiği anda o kişi benim yerime paylaşmış oluyor ve veri haklarımı kaybediyorum
Doğum günü, ev adresi, başka e-posta adresleri, telefon numaraları gibi bilgiler de kayıtlıysa hepsi kapsama girebilir
Gerçek gizlilik araçları içinde güven ağı modelini kullanan tek şey PGP, ama o da ancak insanlar kendi bilgisayarlarına ve depolama aygıtlarına sahip olduğunda işe yarıyor
Şimdi herkes bilgisayarını ve depolamasını kiralar hâle getirildi; burada kullanıcı lehine bir güvenlik modeli kurmak zor
“Çevrimiçi gizlilik uzmanı” Caro Robson’ın sözlerini, BM’ye, AB’ye ve uluslararası askeri kurumlara danışmanlık yaptığı arka planını vermeden aktarmak BBC’nin tipik hükümet yanlısı önyargısı gibi görünüyor
Asıl “çok, çok kaygı verici” olan, telekom şirketlerinin ürünlerini geri çekmemesi ve bunun yerine tasarım gereği aldatıcı ve kusurlu ürünler yapmaya zorlanmasıdır
İfade özgürlüğü zaten tehdit altındayken şimdi bir de özel iletişim hakkından mı vazgeçeceğiz?
Bunu destekleyenler gerçekten bunun yalnızca “kötü insanları” etkileyeceğine ve kendilerinin asla devletin ayakları altına konmayacağına mı inanıyor?
Bugünün hükümetine güvenseniz bile, komşularınız sizinle ideolojik olarak zıt bir hükümeti seçerse ne yapacaksınız?
Safça bir soru olabilir ama gerçekten merak ediyorum
ADP birkaç yıllık bir özellik; şimdi kaldırılmışken insanlar neden öfkeleniyor da önceki 10 yıl boyunca neden öfkelenmiyordu, bunu merak ediyorum
Daha önce iCloud’un tamamen şifrelenmiş olduğunu mu sanıyorlardı?
Uçtan uca şifrelemeyle daha önce ilgilenmiyorlar mıydı da şimdi mi ilgilenmeye başladılar?
Bu kadar büyük bir sorunsa neden iCloud gibi bir şeyi kullanmaya devam ettiler de ancak şimdi ihanete uğramış hissediyorlar, anlamıyorum
iCloud Photos da kullanmadım; her şeyi düzgün şekilde şifrelenmiş bir NAS’ta tuttum ve verileri düzenli aralıklarla taşıdığım karmaşık bir düzen kullandım
iMazing ve yerel şifreli yedekleri de takvime bağlı şekilde kullandım
Birçok kişi uzun süredir bu tür veriler için uçtan uca şifreleme talep ediyordu, ama şifreleme daha erişilebilir hale geldiğinde daha fazla insanın korunabildiği de bir gerçek
Herkesin NAS’a yedekleme yapacak, NAS arızası ya da elektrik kesintisinde veri kaybetmeyecek şekilde bunu yönetecek zamanı, becerisi ve enerjisi yok
Benim korkum hükümetten çok bir bulut hizmeti sağlayıcısının hacklenmesi ya da log4j gibi yazılım açıkları nedeniyle uzun vadeli olarak tehlikeye girmesi
ADP birçok insanı bulut tabanlı saldırılardan koruyor; devlet taleplerine karşı savunma ise adeta işin bonusu
Salt Typhoon örneğinde olduğu gibi arka kapıların bulunup kötüye kullanılabildiğini, log4j gibi yerleşik yazılım açıklarının dev sağlayıcıları bile çökertabildiğini gördük
Özellik Birleşik Krallık’ta kaldırıldığı için şimdi yeniden dikkat çekiyor, ama daha önce de bağımsız bloglarda ve çeşitli yayınlarda bu endişeler sürekli dile getiriliyordu
Birleşik Krallık dışındaki bir ADP kullanıcısı olarak Apple’ın bunu korumaya çalışmasını iyi buluyorum ve özelliğin varlığına da minnettarım
Hatta hükümet baskısı yüzünden çıkışın geciktiğine dair çok sayıda iddia vardı [1]; ayrıca o haberi, bugünkü gelişmeyi birkaç hafta önce ilk kez haberleştiren gazeteci yazmıştı
Şifrelemeyi yaygınlaştırmak zaman aldığı için insanlar ancak “nihayet geldi” diyebildi, ama hemen ardından Birleşik Krallık hükümetinin saldırısına uğradı ve Birleşik Krallık’ta devre dışı bırakıldı
Apple’ın artık bu özelliği ABD’de bile aktif şekilde tanıtmaktan çekineceğini düşünüyorum; teknik kişilerin de teknik olmayan arkadaşlarına bunun önemini çok daha güçlü biçimde anlatması gerekiyor
[1] https://www.reuters.com/article/world/exclusive-apple-droppe...
O zaman insanlar neden öfkelenmiyordu diye soruyorsan, bugün birdenbire HTTPS’nin yasaklanması halinde insanların daha çok öfkeleneceğini düşünmez misin?
Haklar ve ayrıcalıklar, baştan hiç yokken değil, varken geri alındığında genelde daha büyük öfke doğurur
Daha endişe verici olan, Apple’ın birkaç yıl önce zaten şifreli bulut yedeklerini sunmaya hazır olması ama ABD hükümetinin karşı çıkması nedeniyle bunun gecikmesi
“Yıllar süren hükümet baskısı kaynaklı gecikmelerin ardından Apple, fotoğraflar, sohbet geçmişi ve diğer hassas kullanıcı verilerinin çoğunun bulut yedeklerini dünya çapında tamamen şifreleyeceğini açıkladı” şeklinde haberler de çıkmıştı
https://www.washingtonpost.com/technology/2022/12/07/icloud-...
Gerçek gizlilik korumasına karşı çıkan tek hükümet Birleşik Krallık değildi
Uçtan uca şifreleme ve ADP geldikten sonra açtım; ABD’de de kaldırılırsa yeniden yalnızca şifreli yerel yedek kullanırım
Kâbus sürüyor
Şu anda yedeklerin, sağlayıcının erişemediği veya kontrol etmediği anahtarlarla şifrelendiğini vaat eden üçüncü taraf bir yedekleme hizmeti kullanıyorum
Ama bu tür gizli bildirimlerin sayısız şirkete gönderildiği bir çağda, bu vaade güvenilip güvenilemeyeceğini bilmiyorum
Bir sonraki adım dosyaların buluta ulaşmadan önce şifrelendiğinden emin olmak olurdu, ama mevcut yedekleme çözümüm kadar telefonumu, ailemin telefonlarını ve dizüstü bilgisayarları sorunsuz yedekleyen aynı rahatlıkta bir hizmet henüz görmedim
Farklı bir konumdaki yedekleme şart ve bunun içine kaçınılmaz olarak müşteri verileri de giriyor; benim de bunları dış erişime karşı gizli tutmam gerekiyor
Her şeye arka kapı konursa bu nasıl mümkün olacak?
Son 20 yılda bu yetkiyi yavaş yavaş genişlettiler
Kimseye güvenmek zorunda kalmaman gerekir; normal bir depolama hizmetine yalnızca şifreli dosyalar yüklersin
Syncthing + Rclone ile benzer bir yapıyı kendi kontrolünde kurabilirsin gibi geliyor
Cihazları önce oraya yedekler, sonra buluta göndermeden önce o sunucuda şifrelersin