Kilitli ve Şifreli Telefondan Veri Kurtarma: Ekran Şifresi, FBE Şifreleme ve Adli Açma
Telefon fiziksel olarak sağlam ama ekran şifresini kimse bilmiyor ya da cihaz tam disk şifreli. Bu, kırık ekran ya da suya düşmüş telefondan çok farklı bir sorundur: veri kayıp değil, şifreleme arkasında kilitli. Modern Android dosya tabanlı şifreleme (FBE), iPhone Secure Enclave, passcode kırma sınırları ve Cellebrite gibi adli açma araçlarının ne yapıp ne yapamadığını dürüst ve kaynaklı anlattık.
Kilitli ve Şifreli Telefondan Veri Kurtarma: Ekran Şifresi, FBE Şifreleme ve Adli Açma
Hızlı Cevap: Kilitli telefondan veri kurtarma, kırık ya da suya düşmüş telefondan tamamen farklı bir problemdir. Cihaz fiziksel olarak çalışıyor ama ekran şifresi bilinmiyor ya da veriler donanım tabanlı şifrelemeyle kilitli. Modern telefonlarda veri, cihaz açılır açılmaz değil, doğru passcode girilince çözülür; yani passcode olmadan veri okunsa bile şifreli ve anlamsızdır. Android tarafında dosya tabanlı şifreleme (FBE) anahtarı kullanıcının ekran kilidine bağlar; iPhone tarafında Secure Enclave anahtarı korur ve yanlış denemeleri donanımda sınırlar. Bu yüzden kilitli bir telefondan veri kurtarmanın yolu çoğu zaman fiziksel onarım değil, ya passcode'u bilmek ya da Cellebrite gibi adli açma araçlarının desteklediği belirli cihaz/sürüm kombinasyonlarıdır. Açıkçası: birçok güncel cihazda güçlü bir passcode varsa veri kurtarmak mümkün olmayabilir, ve bu dürüstçe söylenmelidir.
Bir telefonun ekranı kırıldığında ya da suya düştüğünde sorun donanımdadır ve onarımla çözülebilir; bunu telefon açılmıyor, ekran kırık veri kurtarma ve telefon suya düştü ilk müdahale yazılarımızda anlattık. Kilitli telefon ise farklı bir dünyadır: donanım sağlamdır, asıl engel kriptografidir. Bu yazı, "telefon çalışıyor ama açamıyorum" durumunu, modern şifrelemenin nasıl çalıştığını ve gerçekçi beklentiyi ele alır.
Modern telefon şifrelemesi neden bu kadar güçlü
On yıl önce bir telefondan veri kurtarmak çoğu zaman yongayı sökmek (chip-off) ve ham belleği okumaktan ibaretti. Bugün durum değişti, çünkü hem Android hem iOS varsayılan olarak tüm kullanıcı verisini şifreler ve şifreleme anahtarını kullanıcının ekran kilidine bağlar.
Android tarafında, AOSP belgelerinde tanımlanan dosya tabanlı şifreleme (File-Based Encryption, FBE), her dosyayı farklı anahtarlarla şifreler ve kimlik bilgisiyle korunan depolama (credential encrypted storage) yalnızca kullanıcı ekran kilidini açtıktan sonra çözülür. Yani siz cihazı açsanız bile, passcode girilene kadar kullanıcı verisi şifreli kalır.
iPhone tarafında Apple Platform Security belgelerine göre şifreleme anahtarları, ana karttaki ayrı bir güvenlik yongası olan Secure Enclave tarafından korunur. Secure Enclave, passcode'u donanım kimliğiyle birleştirir; bu yüzden bellek başka bir cihaza taşınsa bile anahtar çıkmaz, ve yanlış passcode denemeleri donanım düzeyinde geciktirilir. Bu, milyonlarca kombinasyonu hızla denemeyi (kaba kuvvet) pratikte imkansızlaştırır.
"Veriyi okudum ama şifreli" sorunu
Bu mimarinin pratik sonucu şudur: kilitli bir telefondan belleği fiziksel olarak okumak (örneğin chip-off ile) artık tek başına işe yaramaz, çünkü elde edilen veri şifrelidir. Chip-off tekniğinin ne olduğunu ve hangi durumlarda hâlâ değerli olduğunu chip-off nedir, kim yapar ve eMMC/UFS gömülü depolama veri kurtarma yazılarımızda anlattık. Şifreli bir cihazda yongayı sökmek, çoğu zaman yalnızca anlamsız şifreli bayt yığını verir; anahtar olmadan bu veri çözülemez.
Dolayısıyla kilitli telefonda asıl soru "belleği nasıl okurum" değil, "anahtarı nasıl elde ederim" sorusudur. Anahtara üç yoldan ulaşılabilir: doğru passcode'u bilmek, üreticinin ya da bir adli aracın desteklediği bir zayıflıktan yararlanmak, ya da hiçbiri yoksa, dürüstçe veriyi kurtaramamak.
Adli açma araçları: ne yapabilir, ne yapamaz
Cellebrite, GrayKey ve benzeri mobil adli inceleme araçları, belirli cihaz modeli ve işletim sistemi sürümü kombinasyonları için passcode kırma ya da kilit atlama yöntemleri sunar. Bunlar sihirli değildir: her zaman belirli cihaz/sürüm/yama düzeyiyle sınırlıdır, üretici güvenlik güncellemeleriyle sürekli bir kovalamaca içindedir ve çoğu zaman yalnızca yetkili kurumlara (kolluk, adli laboratuvarlar) lisanslanır. Cellebrite UFED'in ne olduğunu, kapsamını ve Türkiye'deki lisans durumunu Cellebrite UFED nedir, mobil adli bilişim alternatifleri ve Cellebrite UFED Türkiye kurumlar lisans yazılarımızda ayrıntılı anlattık.
Kritik gerçek şudur: bu araçların desteklediği cihaz listesi sürekli değişir. Eski bir Android ya da belirli bir iOS sürümü desteklenirken, en güncel cihaz güçlü bir passcode ile genellikle desteklenmez. Yani "Cellebrite her telefonu açar" doğru değildir; açabildikleri, üreticilerin henüz kapatmadığı boşluklara bağlıdır.
Gerçekçi beklenti ve dürüstlük
Veri kurtarmada en önemli ilke dürüstlüktür: kilitli ve güçlü passcode ile şifrelenmiş güncel bir telefonda, çoğu zaman veri kurtarmak mümkün olmayabilir. Size "her kilitli telefonu açarız" diyen bir hizmet ya yanılıyordur ya da yanıltıyordur. DSET olarak önce cihazın model, işletim sistemi sürümü ve yama düzeyini tespit eder, bilinen yöntemlerin bu kombinasyon için geçerli olup olmadığını dürüstçe söyleriz. Bazı durumlarda (basit bir desen kilidi, bilinen bir zayıflık, ya da passcode'un kullanıcı tarafından bilinmesi) kurtarma mümkündür; bazı durumlarda değildir.
Önemli bir not: yetkisiz bir cihazı açmaya çalışmak hukuki bir konudur. Bir telefonun adli incelemesi ya da kilidinin açılması, yalnızca cihazın sahibi ya da yetkili bir makam (mahkeme, savcılık) talebiyle, yazılı yetkiyle yapılır. Adli sürecin hukuki çerçevesi için adli bilişim süreci, KVKK ve delil zinciri yazımıza bakın.
Kilitli telefonda yapılması ve yapılmaması gerekenler
- Cihazı kapatmayın. Modern telefonlarda yeniden başlatma sonrası ilk açılışta veri daha derin şifrelidir (before first unlock durumu); açık ve bir kez kilidi açılmış bir cihaz, bazı yöntemler için daha elverişlidir.
- Passcode'u tahminle denemeyin. Çok sayıda yanlış deneme, bazı cihazlarda gecikme, kilitlenme ya da veri silme tetikleyebilir.
- Yedekleri kontrol edin. Asıl veri telefonda kilitli olsa bile, iCloud, Google ya da bilgisayar yedeği veriye ulaşmanın en kolay yolu olabilir; iCloud veri kurtarma yazımıza bakın.
- Yetki ve sahiplik. İncelemeyi yalnızca sahibi ya da yetkili makam talebiyle, yazılı izinle yaptırın.
- Uzman değerlendirmesi. Cihaz model ve sürümünü bir uzmana tespit ettirip gerçekçi bir başarı beklentisi alın.
Sıkça Sorulan Sorular
Kilitli telefonun belleğini söküp okusanız veriyi alır mısınız? Modern şifreli bir cihazda hayır; elde edilen veri şifrelidir ve anahtar olmadan çözülemez. Chip-off, yalnızca şifresiz ya da zayıf korumalı eski cihazlarda anlamlıdır.
Cellebrite her telefonu açar mı? Hayır. Açabildiği cihazlar, model, işletim sistemi sürümü ve yama düzeyine bağlıdır ve sürekli değişir; en güncel cihazlar güçlü passcode ile genellikle açılamaz.
Passcode'u biliyorum ama ekran kırık, veri alınır mı? Bu artık bir donanım sorunudur ve çoğu zaman çözülebilir; ekran kırık telefon veri kurtarma yazımıza bakın.
Başkasının telefonunu açtırabilir miyim? Yalnızca sahibi ya da yetkili bir makam (mahkeme, savcılık) talebiyle, yazılı yetkiyle. Aksi hukuka aykırıdır.
Kaynaklar
- NIST SP 800-101 Rev 1, Mobil Cihaz Adli İncelemesi Kılavuzu: https://csrc.nist.gov/pubs/sp/800/101/r1/final
- Apple Platform Security (Secure Enclave ve veri koruma): https://support.apple.com/guide/security/welcome/web
- Android, Dosya Tabanlı Şifreleme (FBE): https://source.android.com/docs/security/features/encryption/file-based
- Cellebrite (mobil adli inceleme): https://cellebrite.com/
Kilitli ya da şifreli bir cihazınız için gerçekçi ve dürüst bir değerlendirme almak üzere DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.