Microsoft, FBI’a BitLocker kurtarma anahtarlarını vererek şüphelilerin dizüstü bilgisayarlarının kilidini açtı

 (techcrunch.com)
1 puan yazan GN⁺ 2026-01-24 | 1 yorum | WhatsApp'ta paylaş
  • ABD Federal Soruşturma Bürosu (FBI), BitLocker ile şifrelenmiş 3 dizüstü bilgisayarın sabit disklerinin kilidini açmak için kurtarma anahtarlarını talep etti ve Microsoft bu anahtarları sağladı
  • BitLocker, Windows cihazlarda varsayılan olarak etkin olan tam disk şifreleme özelliği ve aslen cihaz sahibinden başkasının erişimini engellemek için tasarlanmış bir güvenlik teknolojisi
  • Ancak kurtarma anahtarları varsayılan olarak Microsoft bulutuna yükleniyor, bu da kolluk kuvvetlerinin bunlar üzerinden şifrelenmiş sürücülerin şifresini çözebilmesine olanak tanıyor
  • Bu olay, Guam’daki Pandemic Unemployment Assistance (PUA) dolandırıcılığı şüphelileri hakkında yürütülen federal soruşturma sırasında yaşandı
  • Şifreleme uzmanları, bulutta saklanan kurtarma anahtarlarının hacklenme riski taşıdığına dikkat çekerek Microsoft’un güvenlik yönetimi yetkinliği hakkında endişe dile getiriyor

FBI’ın BitLocker kurtarma anahtarı talebi ve anahtarların sağlanması

  • FBI, Guam’da yaşanan Pandemic Unemployment Assistance (PUA) bağlantılı dolandırıcılık vakası soruşturması kapsamında, 3 şüpheli dizüstü bilgisayarın şifrelemesini çözmek için Microsoft’tan kurtarma anahtarlarını teslim etmesini isteyen bir arama emri çıkardı
    • Olay ilk olarak Forbes tarafından haberleştirildi, TechCrunch da buna atıf yaptı
    • Guam merkezli medya kuruluşları Pacific Daily News ve Kandit News de ilgili arama emri haberlerini yayımladı
  • Microsoft, FBI’ın talebi doğrultusunda BitLocker kurtarma anahtarlarını sağladı ve böylece söz konusu dizüstü bilgisayarlardaki şifreli verilerin açılmasına imkan verdi
  • Microsoft, Forbes’a yaptığı açıklamada soruşturma makamlarından yılda ortalama yaklaşık 20 kurtarma anahtarı talebi aldığını belirtti

BitLocker’ın varsayılan çalışma yapısı ve erişilebilirliği

  • BitLocker, modern Windows bilgisayarlarda varsayılan olarak etkinleşen bir tam disk şifreleme özelliği ve cihaz kapalıyken ya da kilitliyken verilere erişimi engelliyor
  • Ancak varsayılan ayarlarda kurtarma anahtarı otomatik olarak Microsoft bulutuna yükleniyor; bu nedenle şirket ve kolluk kuvvetleri bu anahtarı kullanarak şifrelenmiş sürücülerin şifresini çözebiliyor
  • Bu yapı, kullanıcı verilerinin korunmasını güçlendirirken aynı zamanda şirketlerin ve devlet kurumlarının kurtarma anahtarı üzerinden erişebileceği bir yol da bırakıyor

Güvenlik uzmanlarının endişeleri

  • Johns Hopkins Üniversitesi’nden kriptograf Matthew Green, Microsoft’un bulut altyapısının hacklenmesi halinde kurtarma anahtarlarının dış saldırganların eline geçme riski bulunduğu uyarısında bulundu
    • Green, geçmişte Microsoft’un devlet destekli hack olayları da dahil olmak üzere çeşitli vakalarda anahtar sızıntısı yaşadığını söyledi
    • Ancak bir saldırganın kurtarma anahtarını kullanabilmesi için fiziksel sabit disk erişimine de ihtiyaç var
  • Green, Bluesky paylaşımında “2026 yılına geldik ama bu endişeler aslında uzun zamandır dile getiriliyor” diyerek, Microsoft’un müşteri anahtarı güvenliğindeki başarısızlığının sektörde istisnai düzeyde olduğunu savundu

Microsoft’un tutumu

  • TechCrunch’ın yorum talebine karşılık Microsoft hemen yanıt vermedi
  • Forbes’a ise yalnızca “şirketin zaman zaman kolluk kuvvetlerine BitLocker kurtarma anahtarları verdiğini” söyledi
  • Ek iç politika veya prosedürlere dair başka bir açıklama yapılmadı

Gizlilik ve sektörel etkiler

  • Kurtarma anahtarlarının şirket tarafından tutulduğu yapı, kullanıcı gizliliğinin ihlal edilmesi ihtimalini barındırıyor
  • Uzmanlar, bu yapının bulut güvenliği ihlali durumunda büyük ölçekli veri ifşası riskine dönüşebileceği uyarısında bulunuyor
  • Bu vaka, şifreleme teknolojilerine duyulan güven ile kolluk kuvvetleriyle iş birliği arasındaki denge sorununu yeniden gündeme taşıyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-24
Hacker News yorumları

  • Windows 11’de BitLocker varsayılan olarak etkin ve bir Microsoft hesabı bağlıysa kurtarma anahtarı otomatik olarak yükleniyor
    Bu yüzden FBI, mahkeme kararıyla Microsoft’tan anahtarı sağlamasını isteyebiliyor
    Çoğu kullanıcı, şifrelenmiş bir dizüstü bilgisayar kullandığının bile farkında olmayabilir
    Basın bunu “Microsoft anahtarı verdi” diye yazıyor ama gerçekte bu yasal yükümlülükten kaynaklanıyor
    Genel kullanıcı için bunun hırsızlığa karşı koruma ve veri kurtarma açısından makul bir varsayılan olduğunu düşünüyorum
    İleri düzey kullanıcılar ise ayarları değiştirip anahtarı kendileri yönetebilir

    • Ama bunu değiştirmek için BitLocker’ı kapatmak, yeni bir yerel hesap oluşturmak, OneDrive’daki mevcut anahtarı silmek ve ardından yeniden şifreleme yapmak gerekiyor
      Apple’ın ilk kurulum aşamasında “kurtarma anahtarı iCloud’a kaydedilsin mi” diye sorması çok daha makul görünüyor
    • Böyle bir özellik var olduğu sürece, hata, bug hatta tek bir kozmik ışın parçacığı yüzünden bile anahtar yüklenebilir
      Böyle durumlarda kullanıcıya hiçbir gösterge sunulmadığı için güvenlik özelliklerinin sessizce değiştiği bir sessiz başarısızlık yaşanır
    • Büyük şirketleri savunan insanlar her zaman vardır
      Ama Microsoft’un düzenli olarak ekran görüntüleri aldığını düşününce insan huzursuz oluyor
    • Microsoft, anahtarları bulutta düz metin olarak saklayacak şekilde tasarladı
      Bunu bir parola yöneticisi gibi uçtan uca şifrelemeyle de yapabilirdi ama yapmadı
      Kolluk kuvvetlerinin erişimini mümkün kılan şey de bu karar oldu
    • Kullanıcı yüklemeyi reddetse bile anahtarın gerçekten yüklenmediğinden emin olmanın bir yolu yok
      Microsoft’un güveni yeniden kazanması için artık tek yol Windows’u açık kaynak yapması olabilir

  • Eskiden böyle haberlere karşı daha dirençli bir hava olurdu ama bugünlerde daha çok “tabii ki” tepkisi görülüyor
    Bence bu durum, teknisyenlerin devlet taleplerine boyun eğmesiyle oluştu
    Bu bir hukuk sorunu değil, güvenlik sistemi tasarımı sorunu

    • Yorumların çoğu hâlâ dirençli ama bazen clickbait haberlerin önkabullerini aynen kabul etme eğilimi de var
      Gerçekte kolluk kuvvetleri veri istediğinde şirketlerin reddetme şansı yok; sonuçta hukuk tarafından zorlanıyorlar
    • Birçok teknisyenin devlete uyum göstermesinin nedeni RSU, KPI ve geçim baskısı
      İnsanlar genelde ancak kendi rahatları tehdit edilene kadar harekete geçiyor
    • “Bu bir güvenlik tasarımı sorunu” iddiasına itiraz ediliyor
      Gerçekte devletler bazen uçtan uca şifrelemenin kendisini yasaklıyor
      İlgili bir örnek olarak Apple’ın Birleşik Krallık’ta E2E şifrelemeyi neden devre dışı bıraktığı yazısına bakılabilir
    • Devlet, teröristin tanımını istediği zaman değiştirebilir
      Bugünün vatandaşı yarının “tehdidi” olabilir; bunu unutmamak gerekir
    • Sorunun faili bireysel geliştiriciler değil, şirketler

  • Ben Linux sürücümü tamamen şifrelenmiş halde kullanıyorum
    Anahtarı unutursam ne olur? Yeni bir sürücü oluşturur, yedekten geri yüklerim
    Microsoft’un ya da ABD hükümetinin dosyalarıma erişmesinin bir yolu yok
    Windows, kullanıcı güvenliği için değil otoriter devletlerin güvenliği için tasarlanmış bir sistem

    • Ama tam disk şifreleme (FDE) tek başına yeterli değil
      Kamera, keylogger, bootloader değişikliği, cold boot saldırısı gibi yöntemlerle hâlâ savunmasız kalınabilir
    • “Yedek anahtarı unutursan ne olacak?” diye soranlar da var
      Sonuçta yedek yönetimi de şifreleme kadar önemli
    • Dışarıdan biri benim iznim olmadan sürücümü şifreleyebiliyorsa, bu gerçek şifreleme değildir
      Sadece CPU döngülerinin boşa harcanmasıdır
    • Bununla ilgili meşhur çizgi roman XKCD 538 akla geliyor
    • Mahremiyet suç değildir” düşüncesine katılıyorum

  • Microsoft, Forbes’a yılda yaklaşık 20 kadar BitLocker kurtarma anahtarı sağlama talebi aldığını söyledi
    Dürüstçe söylenmiş olsa da bu yüzden Linux’a geçmenin daha iyi olduğunu düşünüyorum
    Özellikle sık yurt dışı seyahat ediyorsanız daha da geçerli
    ABD hükümetine verdiyse, başka hükümetlere de vermiş olma ihtimali yüksek

    • Ama şirketlerin yasal emir aldıklarında reddetme seçeneği yok
    • Bunu tüm hükümetler için yaptığını kesin söylemek zor ama başka hükümetlere de vermiş olma olasılığı yüksek
    • Linux’a geçmeye gerek kalmadan sadece anahtar yükleme özelliğini kapatmanın yeterli olduğunu düşünenler de var

  • Çoğu kullanıcı için BitLocker’ın varsayılan ayarları makul bir güvenlik seviyesi sunuyor
    Devlet gözetiminden ziyade dizüstü bilgisayar hırsızlığı çok daha gerçekçi bir tehdit
    Kurumsal kullanıcılar için anahtar yükleme varsayılan değil; bireysel kullanıcılar da isterse bunu devre dışı bırakabiliyor

    • Gerçekte devletlerden çok hırsızlık ya da kayıp daha sık yaşanıyor
      Microsoft bunu anahtarlara doğrudan erişemeyecek şekilde tasarlasaydı daha iyi olurdu ama mevcut hali bile hiç olmamasından iyi
    • Ancak “düşmanca bir devlet” ihtimali giderek yaklaşırken bu kadar rahat davranmak tehlikeli olabilir
      İnsana geçmişteki “Naziler geri gelse ne olurdu?” sorusunu yeniden düşündürüyor

  • UEFI ve firmware, kullanıcı kendi güvenlik anahtarlarını değiştirmiş olsa bile hâlâ Microsoft anahtarlarını kabul ediyor olabilir
    TPM de Intel veya AMD’nin sağladığı anahtarlarla korunuyor; teorik olarak üçüncü taraf erişimi ihtimali var
    Yubikey ve akıllı kartlar da kapalı donanım olduğu için iç işleyişleri doğrulanamıyor

  • Mahremiyete önem veriyorum ama bu olayda olan şey, geçerli bir mahkeme kararına dayanarak sınırlı veri sağlanmasıydı
    Erişim ancak fiziksel olarak sabit diskin ele geçirilmiş olması halinde mümkündü
    AB’nin Chat Control girişimi gibi tüm mesajların taranmasını mümkün kılma çabasına kıyasla çok daha makul

  • FBI’ın dizüstü bilgisayarı açamadığında neler olabileceğini gösteren bir örnek var
    FBI’ın içinde 345 milyon dolarlık bitcoin bulunan sabit diski sildiği olay
    Bir sonrakinde veriyi kopyalayıp “şifre çözme başarısız oldu” diyerek silebilirler
    Geçmişte ajanların bitcoin zimmetine geçirdiği olmuştu; şimdi ise üst kademenin payını doğrudan istemesi bile mümkün olabilir

  • Mahremiyet açısından Microsoft’un anahtar yüklemesi rahatsız edici bir tasarım
    Ama binlerce kullanıcı da muhtemelen kurtarma anahtarı sayesinde verilerini geri aldı
    Kurulum sihirbazında “Verilerinizi şifrelemek istiyor musunuz?” ve “Kurtarılabilir olmasını istiyor musunuz?” gibi açık seçim ekranları olsaydı daha iyi olurdu

  • “Artık gerçekten Linux masaüstünün yılı geldi” diyenler var
    Windows’u bırakmanın tam zamanı

    • Anne babamı Linux’a geçirmek istedim ama MS Office masaüstü sürümü olmadığı için kabul etmediler
      Web sürümü, LibreOffice, OnlyOffice hatta LaTeX bile denedim ama olmadı
      macOS’a geçmeyi de duymak istemediler
      Ben Office’ten hoşlanmıyorum ama onlar “gerçek Microsoft Office” istiyor
    • Linux kullanacaksanız Debian tabanlı dağıtımlardan (Ubuntu/Mint) kaçınmak gerektiğini söyleyenler de var
      “Stable” kelimesi aslında eski anlamına geliyor
      Fedora öneriliyor — son kullanıcı için olgun, ama Arch kadar karmaşık değil