1 pontos por GN⁺ 3 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • No caso de Peter Stokes, de 19 anos, acusado de envolvimento com o Scattered Spider, veio à tona que o FBI vinculou um PC Windows a atividades online usando registros do Global Device ID (GDID) da Microsoft
  • O GDID é um identificador persistente em nível de dispositivo que identifica uma instalação do Windows em serviços e cenários da Microsoft, podendo se aplicar tanto a dispositivos físicos quanto a máquinas virtuais
  • A queixa criminal inclui registros de que, em 12 de maio de 2025, às 19:21 UTC, o GDID associado ao computador de Stokes acessou a página de cadastro do ngrok e vários sites em servidores da Tzulo
  • O GDID persiste após atualizações do Windows, mas muda para um novo valor em caso de reinstalação; um usuário da Microsoft pode ter vários GDIDs
  • O caso aumentou as preocupações de que a atividade online de PCs Windows possa ser rastreada mesmo sem cookies de terceiros no navegador, e alguns usuários começaram a procurar formas de verificar e remover o GDID

Uso do GDID revelado em caso de prisão

  • Os Estados Unidos extraditaram da Europa Peter Stokes, de 19 anos, acusado de integrar o grupo hacker Scattered Spider
  • Na queixa criminal divulgada, registros da Microsoft foram usados como pista central para ligar Stokes a crimes de hacking suspeitos
  • Stokes é acusado de ter hackeado, em maio de 2025, uma varejista de joias de luxo não identificada, e consta que ele usou uma VPN na ocasião
  • O FBI confirmou, por meio de registros da Microsoft, que seu endereço IP estava associado a um identificador de dispositivo da Microsoft chamado Global Device ID (GDID)

O que o GDID identifica

  • Na explicação da Microsoft citada na queixa, o GDID é definido como um identificador persistente em nível de dispositivo do ecossistema Windows
  • Esse identificador foi projetado para distinguir de forma única uma instalação do sistema operacional Windows
    • Pode se aplicar a dispositivos físicos, como notebooks ou celulares
    • Também inclui máquinas virtuais
    • É usado em determinados serviços e cenários da Microsoft
  • A prática de atribuir IDs exclusivos a contas ou dispositivos é comum, mas este caso revelou que o GDID pode ser conectado a registros de acesso a serviços de terceiros, inclusive com horários

Registros vinculados à atividade online

  • Stokes é acusado de ter abusado da ferramenta de desenvolvimento web ngrok para contornar as defesas de rede da varejista de joias
  • Nos registros da Microsoft, consta que, em 12 de maio de 2025, às 19:21 UTC, o GDID associado ao computador de Stokes acessou https://dashboard[.]ngrok.com/signup
    • Esse URL é a página para configurar uma conta do ngrok
    • O mesmo GDID também foi registrado acessando outras páginas do ngrok
  • O documento também afirma que esse GDID acessou “vários sites” em servidores da provedora de hospedagem web Tzulo para ajudar na execução do ataque
  • O GDID do PC de Stokes exibido na queixa é 6755467234350028

Possibilidade de rastreamento e reação dos usuários

  • O fato de investigadores federais terem identificado um suposto hacker por meio de um identificador da Microsoft aumentou as preocupações com abuso para fins de vigilância
  • O especialista em cibersegurança Matthew Hickey afirmou no X: “Microsoft Windows is surveillance software”
  • O GDID é mencionado brevemente em uma página de suporte da Microsoft, mas a Microsoft não o explicou publicamente além disso
  • Alguns usuários começaram a investigar formas de limitar ou apagar o identificador GDID

Reinstalação e dúvidas sobre outras plataformas

  • Segundo a queixa, o GDID persiste após atualizações do sistema operacional Windows no mesmo dispositivo
  • Ao reinstalar o Windows no mesmo dispositivo ou em outro, um novo GDID exclusivo é associado
  • Uma nota de rodapé da queixa afirma que um usuário da Microsoft pode ter vários GDIDs
  • O pesquisador de cibersegurança Costin Raiu questionou, com base no uso de identificadores únicos, se outras empresas de tecnologia também têm capacidades de vigilância semelhantes
    • Se isso também ocorre em dispositivos Apple na mesma escala
    • Se o vínculo chega ao nível do hardware, independentemente de reinstalações
    • Ele disse que, para quem quiser anonimato total, pode ser necessário usar Linux, FreeBSD etc. no ambiente de desenvolvimento e passar por proxies, Tor, VPNs etc.

1 comentários

 
GN⁺ 3 시간 전
Opiniões no Hacker News
  • A parte interessante não é o fato de existir um identificador do dispositivo em si. Quase todos os sistemas operacionais modernos têm algo parecido. A questão maior são os limites: quais componentes podem acessá-lo e quando um identificador local se torna um identificador de rastreamento remoto. Um machine-id gravado em disco e o fornecedor do sistema operacional associá-lo à atividade de rede são coisas completamente diferentes.

    • Essa é justamente a maior lacuna do texto. Não dá para saber exatamente como o identificador do dispositivo da Microsoft foi ligado à sessão do ngrok. Normalmente, uma sessão do ngrok é iniciada por uma CLI de código fechado. Só pelo texto, não dá para distinguir se a Microsoft injetou de algum modo suspeito o identificador do dispositivo no tráfego de rede ou se o software cliente do ngrok, que é de código fechado, pegou o identificador do dispositivo. Se for a segunda hipótese, outros sistemas operacionais poderiam fazer a mesma coisa, como com o /etc/machine-id no Linux. Como o ngrok usa um modelo freemium, não seria nada surpreendente o cliente enviar o ID do dispositivo para pegar usuários tentando contornar o limite gratuito.
    • O systemd está incluído em várias distribuições Linux importantes e, por exemplo, existe o machine-id. Esse valor pode ser lido por qualquer pessoa naquele dispositivo em /etc/machine-id. https://www.freedesktop.org/software/systemd/man/latest/mach...
    • O NetworkID em about:networking#networkid no Firefox também é um exemplo parecido. Já foi controverso em certo momento, e todas as IAs têm informações incorretas sobre sua origem e finalidade.
    • Essa parte está pouco clara e é, de longe, o ponto mais interessante. O essencial é em qual etapa e em que momento o GDID foi associado à ferramenta ou à requisição web. Do jeito que o texto está agora, parece que a “telemetria” da Microsoft coleta tudo, faz uma busca em massa por uma atividade específica e então puxa o GDID para vinculá-lo ao usuário.
  • Isso parece significar que a Microsoft realiza algum tipo de análise de tráfego no endpoint e a associa ao GDID. Provavelmente faz parte da proteção em tempo real do Defender ou do MAPS. Curiosidade: o Microsoft Defender MAPS antes se chamava SpyNet. https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Mas o identificador GDID parece ser de natureza de software. Para ser mais agressivo, poderia ser vinculado ao número de série da placa-mãe, como alguns jogos fazem. Nesse caso, o rastreamento ocorreria durante todo o ciclo de vida do hardware, e não por instância de instalação do Windows.

    • A ideia do Secure Boot e do chip TPM é justamente fornecer um GDID baseado em impressão digital de hardware. Alguns jogos já rastreiam usuários assim sob o pretexto de “anti-cheat”, e a Microsoft faz isso desde a época do Windows 7. O que mudou é que agora o TPM fornece essa autoridade de hardware.
  • Acho que em breve vai aparecer uma ferramenta para Windows que muda o identificador desse suspeito para “g:6755467234350028”. Aliás, é um ID estranho. Entendo ter 16 dígitos, mas eu esperaria que fosse hexadecimal. Também fico curioso sobre como funciona a parte “Segundo os registros da Microsoft, em 12 de maio de 2025, às 19:21 UTC, o GDID associado ao computador de Stokes acessou, entre várias páginas do ngrok, 'https://dashboard[.]ngrok.com/signup'”. Se é o navegador que envia essa informação à Microsoft, alguém não teria percebido que o PC se conecta à Microsoft para cada página web aberta? Ou será que os dados são acumulados e enviados depois? Nesse caso, isso afeta “limitadamente” apenas usuários de navegadores da Microsoft? Ou o Chrome também envia dados ao Google do mesmo jeito? Outra possibilidade é que isso aconteça em uma camada mais baixa; consigo imaginar pontos em que um componente do sistema tem acesso ao nome de domínio, mas não sei bem onde ele veria a URL completa.

    • É tudo construção paralela. https://en.wikipedia.org/wiki/Parallel_construction
    • Provavelmente foi o Microsoft Defender SmartScreen do Edge. O domínio visitado é enviado à Microsoft para verificar se é um site conhecido de malware ou phishing. E, como se vê aqui, essa informação é associada ao GDID e à conta Microsoft, e pode ser acessada mediante solicitação das autoridades.
    • Isso é a representação decimal de um inteiro de 64 bits.
    • Essa URL mostra 16 requisições bloqueadas e tenta carregar pelo menos datadog e googletagmanager. Imagino que a polícia tenha contatado todas as empresas de analytics para as quais a Ngrok enviava dados, direta ou indiretamente, e que essas empresas estavam armazenando tudo que conseguiam obter. O mais surpreendente é que a pessoa tenha feito tudo isso em uma instalação do Windows. Mas só ficamos sabendo das histórias de criminosos burros que foram pegos, então no fim faz sentido.
    • Mesmo que o navegador não seja o Edge, o sistema operacional obtém o nome de domínio em conexões HTTPS e também pode saber o título da página definido como título da janela. Em muitos casos, isso parece suficiente para identificar a URL. Por exemplo, a URL de cadastro define o título como “ngrok Sign Up”.
  • Isso mostra de forma bem contundente que a Microsoft não se importa com privacidade, seja lá o que afirme no título da tela de consentimento de cookies. Ela não se importa nem um pouco, e isso precisa ser dito sobre todos os fornecedores de big tech. Mesmo que soe clichê, chegou a hora de dizer o que precisa ser dito: eles não se importam com sua privacidade, sua independência ou seu bem-estar. De verdade, não se importam.

  • Esse garoto usou o próprio computador em casa; eles o rastrearam pelo endereço IP, e esse IP também enviou requisições do Windows Update. Assim, o Device ID foi delimitado, e esse ID do dispositivo levou até o garoto. É exatamente esse tipo de coisa que defensores da privacidade vêm alertando o tempo todo. Esse tipo de capacidade praticamente anula qualquer alegação de privacidade. Indo além, empresas como o Google usaram isso para acabar completamente com a própria expectativa de privacidade.

  • O texto é ambíguo. Não há evidências de que a Microsoft consiga ver quais páginas da web o usuário visita no Chrome ou no Firefox

    • Há este trecho na resposta acima
      1. Microsoft records also indicate: a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
    • O mesmo vale para o Edge se as opções abaixo estiverem desativadas

      Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting] Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

  • Isso não é violação da lei europeia de proteção de dados pessoais?

    • Provavelmente é. Mas, se o caso envolve hackear um site para mandar joias caras para o próprio endereço residencial, talvez isso nem faça muita diferença
    • O que muda se for violação? Eles vão continuar agindo mal e, no máximo, tomar uma multa equivalente a 6 horas de faturamento
    • O GDPR trata apenas de informações de identificação pessoal, e isto é um ID gerado aleatoriamente que muda a cada instalação do sistema operacional Misturado com outras informações, ele pode ser usado para rastrear o usuário, mas sozinho não é suficiente para desanonimizar alguém
  • Pode soar como loucura, mas tenho certeza de que esse tipo de telemetria está de alguma forma ligado à enorme onda organizada de publicidade de VPNs nos últimos anos Cada vez mais, a “mão invisível do mercado” parece literalmente a mão de alguns grandes grupos com poder e capital. Eles moldam e, na prática, controlam a estrutura econômica de todo o mercado, criando inclinações para que as empresas otimizem perdas VPNs podem ser spyware que aumenta diretamente a capacidade de rastreamento, ou podem ser oferecidas para ganhar dinheiro com o medo dos usuários enquanto continuam rastreando, já que agora dá para rastrear mesmo sem IP De forma mais ampla, parece que resta muito pouco de livre mercado ou democracia. Agora todos os governos também estão empurrando de forma organizada a eliminação da privacidade

  • O setor de tecnologia dos EUA está rapidamente ficando parecido com a Rússia e a China

    • Já ouviu falar de um site chamado facebook?
    • Não sei por que americanos sentem que precisam mencionar Rússia e China quando fazem alguma coisa Talvez eu só não saiba fazer propaganda. Se isso for chamado de comportamento “chinês”, talvez funcione com certos grupos que normalmente apoiariam esse tipo de coisa alegando estar se protegendo de “Black Crime”
  • Este é um tópico relacionado em que os desenvolvedores do Massgrave.dev explicam parte do mecanismo GDID https://x.com/massgravel/status/2074304593303892354