Арест и экстрадиция хакера Scattered Spider проливают свет на то, как GDID телеметрии Windows позволяют идентифицировать и отслеживать пользователей

телеметрия Gdid фбр Windows Vpn профилирование tomshardware.com

Хотя использование GDID Windows для поимки члена хакерской группы Scattered Spider Питера Стоукса необычно, этот идентификатор устройства — лишь часть телеметрии, которую сегодня можно использовать для создания цифрового отпечатка пользователя в более широком Интернете.

Интернет гудит новостями о том, что 19-летний эстонский “хакер” Питер Стоукс был задержан властями и экстрадирован в США по обвинению в киберпреступлениях, во многом благодаря встроенной телеметрии Microsoft Windows. ФБР, по всей видимости, запросило повесткой данные у Microsoft, которая предоставила журналы телеметрии, содержащие как GDID (глобальный идентификатор устройства) Стоукса, так и посещенные им веб-сайты с его основной машины Windows. Само по себе существование GDID не ново, поскольку сбор данных телеметрии Windows был широко проанализирован и освещен. Также было известно и публично объяснено Microsoft, что расширенные режимы телеметрии (Полный/Дополнительный вместо Обязательный/Базовый) могут загружать списки URL-адресов, анализируемых SmartScreen и Defender, вместе с GDID. Фактически, при такой настройке использование браузера Edge может даже отправлять каждый посещенный URL. В судебных документах не раскрывается, какой именно механизм инициировал загрузку телеметрии.
Этот сбор данных давно вызывает ожесточенные споры и всеобщее отвращение общественности. Хотя эти данные действительно полезны и необходимы для отладки (со стороны Microsoft или системных администраторов в корпоративных средах), сам факт того, что они включены по умолчанию в редакциях Windows Home и Professional, вызывает вопросы. Тот факт, что в этих версиях нет простого, доступного пользователю переключателя “Выкл.” для полной деактивации телеметрии, только усугубляет ситуацию.
Арест Питера Стоукса, по-видимому, является первым публичным случаем, когда эти идентификаторы Windows GDID были использованы как средство отслеживания и содержали данные телеметрии, включая некоторые URL-адреса, которые посещал обвиняемый. Этот случай также спровоцировал повторный анализ GDIDспециалистом по безопасности, который стоит изучить. Насколько мы можем судить, скорее всего, у Стоукса телеметрия Windows была настроена на Дополнительный/Полный режим, поскольку Обязательный/Базовый режим по умолчанию, по-видимому, не передает URL-адреса.
Используя телеметрический GDID, ФБР легко связало дерзкого нарушителя с его учетной записью ngrok, поскольку он использовал этот инструмент в той же сессии, когда получал доступ к своим учетным записям Facebook* и Snapchat. Агенты также установили связь между данными о поездках, IP-адресом в Нью-Йорке и арендой в отеле Empire, что, вероятно, было облегчено фотографиями номера отеля, которые Стоукс публиковал. Преступный гений был столь же скрытен (читай: не скрытен) в своей поездке в Таиланд.
Как и многие хакеры, он позволил себе немного отдохнуть, играя в малоизвестную игру, в данном случае Growtopia от Ubisoft, незадолго до получения доступа к своим логинам Apple, а также к упомянутым логинам Facebook* и Snapchat в последующие недели. Помимо Microsoft, Google и Apple также сотрудничали в поиске, при этом Google связал фишинговый номер телефона Стоукса с тем же самым IP-адресом и датой, когда он создал учетную запись ngrok. Будучи скрытным мастером, Стоукс создал учетную запись ngrok, используя тот же адрес GMail, привязанный ко второму номеру телефона, с которого он совершал фишинговые звонки.
Хотя легко и, возможно, вполне необходимо нападать на Microsoft за сбор подробной информации о миллиардах компьютеров по умолчанию, специалисты по безопасности быстро напомнят пользователям, что телеметрия Windows — лишь один из многих способов отслеживания пользователя. Даже если это не злонамеренно, многим программам просто требуются идентификаторы, подобные GDID, для таких вещей, как отслеживание использования, ограничения подписки и лицензирования, запросы на активацию и обнаружение оборудования. И любую компанию, стоящую за таким программным обеспечением, власти могут вызвать повесткой, как это продемонстрировали в деле Стоукса Microsoft, Google, Apple, ngrok и другие. Даже сервисы, ориентированные на конфиденциальность, такие как Proton, достаточно осторожны, чтобы описать, что они могут и не могут раскрывать властям по судебному ордеру.
Если вам интересно, какие шаги предпринял Стоукс, чтобы замести следы, то список будет коротким. Он направлял свои соединения через VPN, размещенный на серверах Tzulo, наряду с ориентированным на разработчиков туннельным сервисом ngrok и teleport.sh. К сожалению, современный цифровой мир допускает множество форм идентификации, и сокрытие своего исходного IP-адреса — лишь одна из них.
Использование VPN рекомендуется для цифровой анонимности, но это лишь первый из многих необходимых шагов, и он может даже обернуться против вас, если настроен небрежно. При неправильной конфигурации VPN может позволить определенным приложениям и функциям операционной системы общаться с внешним миром, используя исходный IP-адрес вместо скрытого. Кроме того, VPN не помешает операционной системе или какому-либо приложению отправлять идентифицирующую информацию изначально.
Возможно, еще более тревожным является то, что современное цифровое и пользовательское профилирование (fingerprinting) гораздо более коварно и трудно поддается противодействию. Например, обычные веб-браузеры печально известны утечками личной информации, поскольку компании, занимающиеся сбором данных, могут использовать такие функции, как уровни TLS, функциональность HTML5 Canvas, список шрифтов и даже Widevine DRM в комбинации, которая уникально идентифицирует посетителя. Теперь у Стоукса будет много времени, чтобы изучить руководства EFF по самозащите от слежки и ознакомиться со скриптами на сайте Privacy Is Sexy.

Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: