Teknoloji dünyasında “verileriniz bizimle güvende” söylemleri havada uçuşurken, Microsoft cephesinden gelen bir itiraf, Windows kullanıcılarını endişeye sürükledi. Yazılım devi, kullanıcılara ait BitLocker kurtarma anahtarlarını, geçerli bir mahkeme emri olması durumunda FBI ve diğer kolluk kuvvetleriyle paylaştığını doğruladı. Bu durum, Apple ve Meta gibi rakiplerinin “teknik olarak imkansız” kıldığı bir veri paylaşım modelini benimseyen Microsoft’un gizlilik politikalarını tartışmaya açtı.
Geçtiğimiz yılın başlarında yaşanan ve Guam adasındaki bir pandemi yardımı dolandırıcılığı soruşturmasına dayanan olay, bu “arka kapı” politikasının en somut örneği olarak kayıtlara geçti.
Guam Davası: Şifreler Nasıl Çözüldü?
Olayın merkezinde, Guam’daki Covid işsizlik yardımı programını yöneten kişilerin fonları çaldığı iddiasıyla başlatılan federal bir soruşturma yer alıyor. FBI müfettişleri, şüphelilere ait üç dizüstü bilgisayarda kritik deliller olduğuna inanıyordu. Ancak cihazlar, modern Windows bilgisayarlarda otomatik olarak devreye giren ve sabit diskteki verileri şifreleyerek koruyan BitLocker yazılımıyla kilitlenmişti.
Normal şartlarda BitLocker, verileri karmaşık hale getirerek anahtar olmadan okunamaz kılar. Ancak soruşturmayı yürüten federal yetkililer, Microsoft’a bir arama emri göndererek bu şifreleri açacak “kurtarma anahtarlarını” talep etti. Microsoft, bu talebe olumlu yanıt verdi ve anahtarları teslim etti. Böylece FBI, şifreli olduğu sanılan verilere zahmetsizce erişim sağladı.
“Kullanıcı Kolaylığı” mı, Güvenlik Açığı mı?
Microsoft’un bu anahtarlara nasıl eriştiği sorusunun cevabı, şirketin “kolaylık” odaklı bulut stratejisinde yatıyor. Kullanıcılar BitLocker anahtarlarını kendi cihazlarında veya bir USB bellekte saklayabilse de, Microsoft, şifre unutulması durumunda veri kaybını önlemek için bu anahtarların şirketin sunucularında (bulutta) yedeklenmesini öneriyor ve teşvik ediyor. Ancak bu “yedekleme”, anahtarların kolluk kuvvetleri tarafından talep edilebilir hale gelmesine neden oluyor.
Forbes’a konuşan Microsoft sözcüsü Charles Chamberlayne, şirketin yılda yaklaşık 20 BitLocker anahtarı talebi aldığını belirtti. Chamberlayne, “Anahtar kurtarma özelliği kullanıcılara kolaylık sağlasa da, istenmeyen erişim riski de taşıyor. Bu yüzden Microsoft, anahtarlarını nasıl yöneteceklerine karar verme konusunda en iyi konumda olanın müşteriler olduğuna inanıyor” diyerek sorumluluğu kullanıcılara attı.
Uzmanlardan Sert Tepki: “Apple Yapabiliyorsa Microsoft da Yapabilir”
Johns Hopkins Üniversitesi’nden kriptografi uzmanı ve doçent Matt Green, Microsoft’un bu politikasını sert bir dille eleştirdi. Green, “Eğer Apple bunu yapabiliyorsa, Google yapabiliyorsa, Microsoft da yapabilir. Microsoft bunu yapmayan tek şirket” dedi.
Uzmanlar, Apple’ın FileVault sistemi veya Meta’nın WhatsApp uygulamasındaki uçtan uca şifreleme modellerinin, kullanıcı anahtarlarını şirketin bile erişemeyeceği şekilde sakladığına dikkat çekiyor. Bu şirketler, kolluk kuvvetlerinden talep gelse bile teknik olarak verileri çözemeyecekleri bir altyapı kurmuş durumdalar. Microsoft’un ise verileri kullanıcının özel mülkü gibi değil, erişilebilir bir havuzda tutması “mimari bir tercih” olarak yorumlanıyor.
Senatör Ron Wyden da Forbes’a verdiği demeçte, teknoloji şirketlerinin kullanıcıların şifreleme anahtarlarını gizlice teslim etmelerine olanak tanıyan ürünler sunmasının “sorumsuzluk” olduğunu vurguladı. Wyden, bu durumun sadece suçluları değil, kişisel güvenliği de tehdit edebileceğini belirtti.
Kullanıcılar Ne Yapmalı?
Bu olay, Windows kullanıcıları için önemli bir uyarı niteliği taşıyor. Varsayılan ayarlarda Microsoft hesabına yedeklenen BitLocker anahtarları, mahkeme kararıyla erişilebilir durumda. Gizliliğine önem veren kullanıcıların, BitLocker ayarlarını kontrol ederek anahtarlarını bulut yerine fiziksel bir USB sürücüde veya kağıt bir çıktıda saklamaları, verilerinin üçüncü şahısların (veya devletlerin) eline geçmesini önlemek için en güvenli yol olarak öne çıkıyor.
Guam davası, FBI ve diğer kurumların Microsoft’un bu kapıyı açık tuttuğunu bildiğini ve gelecekte benzer taleplerin artabileceğini gösteriyor. Matt Green’in uyarısı ise oldukça net: “Anahtarlara erişiminiz varsa, eninde sonunda kolluk kuvvetleri kapınızı çalacaktır.”
