1 pontos por GN⁺ 4 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • A Microsoft confirmou publicamente a existência do Global Device Identifier (GDID), atribuído a cada instalação do Windows vinculada a uma conta, e promotores dos EUA registraram isso em uma denúncia federal usada para rastrear uma pessoa suspeita de integrar o grupo Scattered Spider
  • A cadeia de serviços do Windows gera o GDID e o envia aos servidores da Microsoft, mantendo-o mesmo após atualizações. Bloquear sua atribuição pode afetar a ativação do Windows e apps da Microsoft Store
  • O FBI vinculou, pelo mesmo GDID, as atividades de Peter Stokes ao longo de cerca de 8 meses, passando por VPNs e proxies em 4 países, e cruzou a criação de uma conta ngrok e registros de acesso a uma varejista vítima com redes sociais e informações de viagem
  • O GDID não tem funções de consentimento, redefinição ou desativação, nem documentação para usuários comuns; mesmo que uma nova instalação do Windows altere o valor, ao fazer login na mesma conta Microsoft, ele pode ser associado novamente a atividades anteriores
  • Contas locais e configurações de privacidade podem reduzir o rastreamento relacionado, mas o próprio GDID não pode ser desativado diretamente, e a Microsoft também não informou planos de oferecer controle ao usuário ou documentação adicional

Um ID persistente que identifica instalações do Windows

  • O Global Device Identifier (GDID) é um identificador em nível de dispositivo atribuído a uma instalação do Windows quando ela é provisionada para uma conta Microsoft
  • É um identificador persistente projetado para distinguir de forma única o sistema operacional Windows instalado em um dispositivo físico ou máquina virtual em alguns serviços e cenários de uso da Microsoft
  • Ele permanece após atualizações do Windows, mas, se o disco for apagado e o Windows for reinstalado, o GDID anterior não é preservado
  • Um usuário pode ter vários GDIDs, e a Microsoft pode vinculá-los entre si por meio de registros de conta, OneDrive e ativação
  • Ele vem sendo aplicado em segundo plano a cerca de 1,6 bilhão de usuários do Windows, sem divulgação separada nem controle pelo usuário, e existe em todas as instalações do Windows vinculadas a uma conta Microsoft

Da geração ao reporte aos servidores da Microsoft

  • Vários serviços do Windows operam em cadeia para gerar o GDID
    • O serviço wlidsvc solicita um Device PUID a login.live.com
    • A Connected Devices Platform registra esse valor no Microsoft Device Directory Service
    • O Delivery Optimization reporta o GDID à Microsoft quando o PC baixa ou compartilha atualizações
  • O identificador é armazenado na chave LID do Registro em HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties
    • Seu formato combina o prefixo g minúsculo com números decimais
    • Nas interfaces comuns do Windows, o usuário não consegue verificar seu próprio GDID
  • Bloquear a atribuição do GDID pode fazer com que a ativação do Windows e apps UWP não funcionem
    • Segundo Massgrave, criador do Microsoft Activation Scripts, durante o processo de configuração do Windows, informações de hardware são enviadas à Microsoft, que devolve identificadores usados para acesso à Store e licenciamento

Como o FBI conectou sessões de VPN

  • O FBI usou o GDID para rastrear Peter Stokes, suspeito de integrar o grupo Scattered Spider, além de conexões VPN e servidores proxy
    • O rastreamento durou cerca de 8 meses, com atividades em 4 países
  • Segundo a denúncia, g:6755467234350028 acessou a página de cadastro do ngrok no momento em que uma conta usada no ataque foi criada por meio de um proxy VPN da Tzulo
    • Três horas depois, o mesmo GDID acessou o site de uma varejista vítima por meio do mesmo proxy
  • As autoridades cruzaram aquele dispositivo com endereços IP vinculados às contas de Stokes no Snapchat, Facebook, Apple e Ubisoft
    • Os locais de acesso relacionados incluíam Estônia, Nova York e Tailândia
    • Fotos publicadas por Stokes no Snapchat coincidiram com reservas de hotel, localização e itinerários de viagem vinculados ao GDID
  • Embora os endereços IP da VPN mudassem com frequência, a instalação do Windows continuava reportando o mesmo identificador, tornando-se uma pista de rastreamento entre sessões de VPN

Identificador invisível e limites do controle pelo usuário

  • Quando o GDID é atribuído, nenhuma tela de consentimento aparece, e também não há função para o usuário redefini-lo ou desativá-lo
    • O identificador de publicidade da Apple oferece o aviso de App Tracking Transparency e uma função de redefinição
    • O Android também oferece controles semelhantes
  • Reinstalar o Windows cria um novo GDID, mas, ao fazer login na mesma conta Microsoft, a Microsoft pode vincular o novo identificador a atividades anteriores
  • A documentação pública da Microsoft se limita a uma frase em uma tabela de referência do Azure Monitor para administradores de TI corporativa, descrevendo o GDID como um “identificador usado internamente pela Microsoft”
  • O pesquisador de segurança Matthew Hickey avaliou o Windows, neste caso, como “software de vigilância (surveillance software)
  • Costin Raiu, no podcast Three Buddy Problem, questionou até que ponto funções semelhantes existem em outras plataformas
  • Os principais sistemas operacionais mantêm meios persistentes de identificação de dispositivos para licenciamento e verificações de segurança, mas, ao contrário das plataformas da Apple e do Google, o Windows não oferece controles visíveis ao usuário

Configurações para reduzir o rastreamento relacionado

  • Como o GDID não pode ser desativado diretamente sem prejudicar recursos essenciais do Windows, as configurações abaixo são medidas para reduzir o rastreamento relacionado
    • Quando possível, usar uma conta local em vez de uma conta Microsoft
      • Versões recentes do Windows 11 tornaram a configuração de contas locais mais difícil, mas usuários que conhecem o caminho ainda conseguem escolhê-la durante a instalação
    • Em Configurações → Privacidade e segurança → Diagnóstico e comentários, desativar dados de diagnóstico opcionais
    • Em Privacidade e segurança → Recomendações e ofertas, desativar anúncios personalizados e rastreamento de inicialização de apps
    • Em Privacidade e segurança → Pesquisa, desativar a Cloud Content Search para impedir que pesquisas locais sejam enviadas ao Bing
    • Revisar e desativar o Activity History e outras opções de telemetria
  • Em situações nas quais a persistência de identificadores possa representar ameaça, como jornalismo, ativismo social ou violência doméstica, recomenda-se usar Linux via Tor em vez de depender de um PC Windows e VPNs comerciais
  • Mesmo que o Windows seja reinstalado para obter um novo GDID, fazer login na mesma conta Microsoft fornece à Microsoft dados para vinculá-lo a atividades anteriores

Escopo limitado de divulgação e estado futuro

  • Solicitações legais, como intimações, podem obrigar a Microsoft a fornecer dados de atividade do GDID a órgãos de investigação, e o caso Scattered Spider tornou-se um exemplo real
  • A Microsoft não declarou que mudará a forma como o GDID é gerado, armazenado ou reportado, nem prometeu controles ou documentação para usuários comuns
  • Além da denúncia federal, o único material público é uma breve entrada na documentação do Azure Monitor, e a parte da denúncia atual relacionada à telemetria da Microsoft é atualmente o material público que mostra com mais detalhes como o GDID funciona
  • O caso Scattered Spider está em tramitação na Justiça Federal dos EUA, e os usuários podem acompanhar futuras atualizações da Microsoft relacionadas à privacidade

1 comentários

 
GN⁺ 4 시간 전
Comentários no Lobste.rs
  • O que não entendo é como o GDID do Windows é associado à atividade em serviços externos à Microsoft. O dispositivo envia o GDID para esses serviços, ou a Microsoft armazena toda a atividade de navegação de todos os usuários? Se for o segundo caso, fica a dúvida se isso é coletado apenas no Edge ou se usam outros meios também.

    • Como reportagens da mídia de tecnologia frequentemente são imprecisas, examinei diretamente o pedido judicial e vi que, por meio de logs da Microsoft, o GDID foi associado ao endereço IP de VPN .168, e que por volta do mesmo horário foi criada, a partir do mesmo IP de VPN, a conta do ngrok usada no ataque.
      Naquele momento, várias pessoas poderiam estar usando o mesmo IP de VPN, então é difícil considerar isso uma prova conclusiva. É parecido com o fato de alguém estar nas proximidades na hora de um assassinato: isso não faz da pessoa a assassina, mas pode torná-la suspeita. As circunstâncias de ostentar riqueza de origem pouco clara e falar sobre hackers condenados provavelmente aumentaram as suspeitas, mas o fato de dados vazados terem sido encontrados na busca e apreensão é muito mais convincente.
      Não parece que o GDID tenha exercido alguma função especial aqui. Ele só está relacionado porque a Microsoft usou o GDID em sua própria análise ao repassar informações ao FBI; qualquer outra empresa que colete logs de IP vinculados a informações de conta poderia ter feito uma denúncia semelhante.
    • Suponho que o Windows envie o GDID para a Microsoft, e que a Microsoft registre o endereço IP e o horário. Ao cruzar isso com registros que contêm IP, horário e uma ação específica — como uma sessão de VPN ou acesso a um servidor web — é possível correlacionar a atividade do usuário ao longo do tempo.
  • O pedido judicial relacionado está aqui: https://www.justice.gov/usao-ndil/media/1450651/dl?inline

  • A confirmação da Microsoft não é importante; a existência desse recurso já havia sido comprovada mesmo sem essa declaração.
    Dizem que o pesquisador de segurança Matthew Hickey definiu o Windows como “software de vigilância” por causa deste caso, mas isso é piada. A avaliação de que o Windows é spyware existe pelo menos desde o lançamento do Windows 10.