Microsoft, FBI’ye BitLocker kurtarma anahtarlarını verdi: Şüpheli dizüstü bilgisayarlar erişildi
Microsoft, federal bir soruşturma kapsamında FBI’ye üç dizüstü bilgisayarın BitLocker ile şifrelenmiş sürücülerini açmak için gerekli kurtarma anahtarlarını sağladı. Olay, ele geçirilen cihazlardaki verilerin erişime açılmasıyla sonuçlandı.
Olayın kısa özeti
Şüpheliler, Pasifik’teki bir ABD bölgesi olan Guam’ta pandemi dönemine ait işsizlik yardımı programıyla ilişkilendirilen dolandırıcılık şüphesiyle araştırıldı. Soruşturma kapsamında yetkililer tarafından ele geçirilen üç dizüstü bilgisayarın sabit diskleri BitLocker ile şifrelenmişti; bu cihazlara erişim sağlamak için savcılık, teknoloji şirketinden kurtarma anahtarlarının teslimini talep etti.
BitLocker ve anahtarların bulutta tutulması
Günümüz Windows cihazlarının birçoğunda varsayılan olarak aktif edilen BitLocker tam disk şifrelemesi, cihaz kapalıyken verilerin yetkisiz erişime karşı korunmasını amaçlar. Ancak birçok kullanıcıda kurtarma anahtarları otomatik olarak şirketin bulut hizmetine yedekleniyor; bu da yasal talepler veya şirketin kendi politikaları çerçevesinde anahtarların üçüncü taraflara sağlanabilmesine imkan veriyor.
Gizlilik ve güvenlik endişeleri
Uzmanlar, şifreleme anahtarlarının şirket sunucularında saklanmasının iki temel riski beraberinde getirdiğini vurguluyor: birincisi, adli süreçler yoluyla anahtarların yetkililere teslim edilmesi; ikincisi ise bulut altyapısına yönelik olası saldırılar sonucu anahtarların kötü niyetli kişilerin eline geçme ihtimali. Bu tür bir ele geçirme durumunda kötü niyetli aktörlerin fiziksel sürücüye erişimi olması halinde anahtarları kullanarak veriyi çözebilecekleri belirtiliyor.
Uzman uyarıları
Kriptografi ve gizlilik uzmanları, uzun süredir anahtar yönetiminin güvenliğinin önemine dikkat çekiyor. Şirket düzeyindeki anahtarların yeterince korunamaması durumunda, endüstri genelinde güvenlik algısının zedelenebileceği ifade ediliyor.
Ne yapmalı?
Kullanıcılar ve kurumlar için öneriler arasında kurtarma anahtarlarını kendi kontrollerinde tutma, otomatik yedeklemeleri gözden geçirme, güçlü erişim kontrolü uygulama ve gerekiyorsa donanımsal güvenlik çözümlerine yönelme yer alıyor. Ayrıca hukuki taleplerin kapsamı ve şirketlerin nasıl yanıt verdiği hakkında farkındalık arttırılması da kritik görülüyor.
Şirket kaynakları, zaman zaman yetkili kurum taleplerine istinaden kurtarma anahtarlarının sağlandığını ve yıllık ortalamada belirli sayıda benzer talep aldıklarını belirtiyor. Olay, hem veri gizliliği hem de bulut tabanlı anahtar yönetimi konularında tartışmaları yeniden alevlendirdi.
