1 puan yazan GN⁺ 3 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • 19 yaşındaki Peter Stokes hakkında, Scattered Spider ile bağlantılı olduğu iddiasıyla açılan davada, FBI’ın Microsoft’un Global Device ID (GDID) kayıtlarını kullanarak bir Windows PC ile çevrimiçi etkinlikleri ilişkilendirdiği ortaya çıktı
  • GDID, Windows kurulumunu Microsoft hizmetleri ve çeşitli senaryolar genelinde tanımlayan kalıcı cihaz düzeyinde bir tanımlayıcı; hem fiziksel cihazlar hem de sanal makineler için geçerli olabiliyor
  • Ceza şikayetinde, 12 Mayıs 2025 saat 19:21 UTC’de Stokes’un bilgisayarıyla ilişkilendirilen GDID’nin ngrok kayıt sayfasına ve Tzulo sunucusundaki çeşitli sitelere eriştiğine dair kayıtlar yer alıyor
  • GDID, Windows güncellemelerinden sonra korunuyor ancak yeniden kurulum yapıldığında yeni bir değere dönüşüyor; ayrıca bir Microsoft kullanıcısının birden fazla GDID’si olabiliyor
  • Olay, üçüncü taraf tarayıcı çerezleri olmadan da Windows PC’lerdeki çevrimiçi etkinliklerin izlenebileceğine dair kaygıları artırdı ve bazı kullanıcılar GDID’yi görüntüleme veya kaldırma yollarını aramaya başladı

Tutuklama vakasında ortaya çıkan GDID kullanımı

  • ABD, 19 yaşındaki Peter Stokes’u Avrupa’dan iade aldı; Stokes’un, hacker grubu Scattered Spider’ın bir üyesi olduğu iddia ediliyor
  • Kamuya açık ceza şikayetinde Microsoft kayıtları, Stokes’u şüpheli hack suçlarıyla ilişkilendiren temel kanıt olarak kullanılıyor
  • Stokes, Mayıs 2025’te adı açıklanmayan üst düzey bir mücevher perakendecisini hacklemekle suçlanıyor ve o sırada VPN kullandığı kaydedildi
  • FBI, Microsoft kayıtları üzerinden onun IP adresinin, Global Device ID (GDID) adlı Microsoft cihaz tanımlayıcısıyla ilişkili olduğunu doğruladı

GDID neyi tanımlıyor?

  • Şikayette alıntılanan Microsoft açıklamasına göre GDID, Windows ekosisteminde kullanılan kalıcı cihaz düzeyinde bir tanımlayıcı olarak tanımlanıyor
  • Bu tanımlayıcı, Windows işletim sistemi kurulumlarını benzersiz biçimde ayırt etmek için tasarlandı
    • Dizüstü bilgisayar veya telefon gibi fiziksel cihazlar bunun kapsamına girebilir
    • Sanal makineler de buna dahil
    • Belirli Microsoft hizmetleri ve çeşitli senaryolar genelinde kullanılır
  • Hesaplara veya cihazlara benzersiz kimlik verilmesi yaygın bir uygulama olsa da, bu vakada GDID’nin üçüncü taraf hizmetlere erişim kayıtları ve zaman damgalarıyla da ilişkilendirilebildiği görüldü

Çevrimiçi etkinlikle ilişkilendirilen kayıtlar

  • Stokes, mücevher perakendecisinin ağ savunmalarını aşmak için web geliştirme aracı ngrok’u kötüye kullanmakla suçlanıyor
  • Microsoft kayıtlarında, 12 Mayıs 2025 saat 19:21 UTC’de Stokes’un bilgisayarıyla ilişkilendirilen GDID’nin https://dashboard[.]ngrok.com/signup adresine eriştiği görülüyor
    • Bu URL, ngrok hesabı oluşturma sayfası
    • Aynı GDID’nin başka ngrok sayfalarına da eriştiği kaydedildi
  • Belgelerde ayrıca bu GDID’nin, saldırının yürütülmesine yardımcı olmak için web barındırma sağlayıcısı Tzulo’nun sunucularındaki “çeşitli sitelere” eriştiği de yer alıyor
  • Şikayette Stokes’un PC’sine ait GDID 6755467234350028 olarak belirtiliyor

İzlenebilirlik ve kullanıcı tepkisi

  • Federal soruşturmacıların, Microsoft tanımlayıcısı üzerinden şüpheli bir hackeri tespit etmiş olması, gözetim amacıyla kötüye kullanım endişelerini artırdı
  • Siber güvenlik uzmanı Matthew Hickey, X’te “Microsoft Windows is surveillance software” ifadesini kullandı
  • GDID, Microsoft’un bir destek sayfasında kısaca anılıyor ancak şirket bunun dışında kamuya açık ayrıntılı bir açıklama yapmış değil
  • Bazı kullanıcılar GDID tanımlayıcısını sınırlamanın veya silmenin yollarını araştırmaya başladı

Yeniden kurulum ve diğer platformlara dair açık sorular

  • Şikayete göre GDID, aynı cihazdaki Windows işletim sistemi güncellemelerinden sonra da korunuyor
  • Windows aynı cihaza ya da başka bir cihaza yeniden kurulduğunda, yeni ve benzersiz bir GDID ilişkilendiriliyor
  • Şikayetin dipnotunda, tek bir Microsoft kullanıcısının birden fazla GDID’ye sahip olabileceği belirtiliyor
  • Siber güvenlik araştırmacısı Costin Raiu, benzersiz tanımlayıcıların kullanımından yola çıkarak diğer teknoloji şirketlerinin de benzer gözetim kabiliyetlerine sahip olup olmadığını sorguluyor
    • Bunun Apple cihazlarında da benzer ölçekte olup olmadığı
    • Yeniden kurulumdan bağımsız olarak donanıma bağlı bir düzeyde olup olmadığı
    • Tam anonimlik isteniyorsa geliştirme ortamlarında Linux, FreeBSD gibi sistemlerin ve proxy, Tor, VPN gibi araçların gerekebileceğini söylüyor

1 yorum

 
GN⁺ 3 시간 전
Hacker News yorumları
  • İlginç olan, cihaz tanımlayıcısı diye bir şeyin var olması değil. Neredeyse tüm modern işletim sistemlerinde buna benzer bir şey var. Asıl büyük soru sınırlar. Hangi bileşenlerin erişebildiği ve yerel bir tanımlayıcının ne zaman uzaktan izleme tanımlayıcısına dönüştüğü. Diskte duran bir machine-id ile işletim sistemi satıcısının bunu ağ etkinliğiyle ilişkilendirmesi tamamen farklı şeyler.

    • Bu yazıda en çok eksik kalan kısım da tam olarak bu. Microsoft'un cihaz tanımlayıcısının ngrok oturumuyla tam olarak nasıl ilişkilendirildiğini bilemiyoruz. Normalde ngrok oturumu kapalı kaynaklı bir CLI ile başlatılır. Sadece yazıya bakarak Microsoft'un şüpheli bir şekilde cihaz tanımlayıcısını ağ trafiğine enjekte edip etmediğini, yoksa kapalı kaynaklı ngrok istemci yazılımının cihaz tanımlayıcısını alıp almadığını ayırt etmek mümkün değil. İkincisiyse, Linux'taki /etc/machine-id gibi diğer işletim sistemlerinde de aynısı yapılabilir. ngrok freemium model kullandığı için, ücretsiz limitleri aşmaya çalışan kullanıcıları yakalamak amacıyla istemcinin cihaz ID'si göndermesi hiç de şaşırtıcı olmaz.
    • Systemd birçok büyük Linux dağıtımında yer alıyor ve örneğin machine-id var. Bu değer, /etc/machine-id altında o makinedeki herkes tarafından okunabilir. https://www.freedesktop.org/software/systemd/man/latest/mach...
    • Firefox'taki about:networking#networkid içinde bulunan NetworkID de benzer bir örnek. Bir dönem tartışma konusu olmuştu ve tüm yapay zekalar onun kökeni ve amacı hakkında yanlış bilgiye sahip.
    • Bu kısım belirsiz ve açık ara en ilginç nokta. GDID'nin hangi aşamada, hangi anda bir araçla veya web isteğiyle ilişkilendirildiği kritik. Şu an yazıya bakınca, Microsoft'un “telemetry”sinin her şeyi topladığı, belirli etkinlikleri topluca aradığı ve ardından GDID'yi çekip kullanıcıyla ilişkilendirdiği gibi duyuluyor.
  • Bu, Microsoft'un uç noktada bir tür trafik analizi yaptığı ve bunu GDID ile ilişkilendirdiği anlamına geliyor gibi görünüyor. Muhtemelen Defender'ın gerçek zamanlı korumasının veya MAPS'in bir parçası. İlginç bir bilgi: Microsoft Defender MAPS'in eski adı SpyNet'ti. https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Ancak GDID tanımlayıcısı yazılımsal nitelikte görünüyor. Daha agresif olmak isterlerse, bazı oyunlar gibi anakart seri numarasına bağlayabilirler. O zaman Windows kurulum örneği düzeyinde değil, donanımın tüm yaşam döngüsü boyunca izleme yapılır.

    • SecureBoot ve TPM çipi fikri zaten donanım parmak izi temelinde GDID sağlamaktır. Bazı oyunlar bunu “hile önleme” bahanesiyle kullanıcıları izlemek için zaten kullanıyor; Microsoft da bunu Windows 7 döneminden beri yapıyor. Değişen şey, artık TPM'in bu donanımsal otoriteyi sağlaması.
  • Yakında bu şüphelinin tanımlayıcısını “g:6755467234350028” olarak değiştiren bir Windows aracı çıkacak gibi. Bu arada garip bir ID. 16 hane olmasını anlıyorum ama onaltılık olmasını beklerdim. Ayrıca “Microsoft kayıtlarına göre 12 Mayıs 2025 saat 19:21 UTC'de Stokes'un bilgisayarıyla ilişkilendirilen GDID, çeşitli ngrok sayfalarından 'https://dashboard[.]ngrok.com/signup' adresine erişti” ifadesinin nasıl çalıştığını merak ediyorum. Bunu tarayıcı Microsoft'a gönderiyorsa, PC'nin açtığı her web sayfası için Microsoft'a bağlandığını biri fark etmez miydi? Yoksa verileri biriktirip daha sonra mı gönderiyor? Öyleyse bu, Microsoft tarayıcısı kullanıcılarını mı “sınırlı” ölçüde etkiliyor? Yoksa Chrome da aynı şekilde Google'a veri mi gönderiyor? Diğer olasılık bunun daha düşük bir katmanda gerçekleşmesi; sistem bileşenlerinin alan adına erişebileceği yerler aklıma geliyor ama tam URL'yi görebilecekleri yeri pek bilmiyorum.

    • Hepsi parallel construction. https://en.wikipedia.org/wiki/Parallel_construction
    • Muhtemelen Edge'in Microsoft Defender SmartScreen özelliğiydi. Ziyaret edilen alan adının bilinen bir zararlı yazılım veya phishing sitesi olup olmadığını kontrol etmek için Microsoft'a gönderilir. Ve burada öğrendiğimiz üzere, bu bilgi GDID ve Microsoft hesabıyla ilişkilendiriliyor ve kolluk kuvvetlerinin talepleriyle erişilebilir oluyor.
    • Bu, 64 bit tamsayının ondalık gösterimi.
    • O URL'de 16 engellenmiş istek görünüyor ve en azından datadog ile googletagmanager'ı yüklemeye çalışıyor. Polisin, Ngrok'un doğrudan veya dolaylı olarak veri gönderdiği tüm analitik şirketleriyle iletişime geçtiğini ve bu şirketlerin ellerine geçen her şeyi saklıyor olduğunu tahmin ediyorum. En şaşırtıcı olan, o kişinin tüm bunları bir Windows kurulum ortamında yapmış olması. Ama yakalanan aptal suçluların hikâyelerini duyduğumuz için sonuçta mantıklı.
    • Edge dışı bir tarayıcı olsa bile işletim sistemi HTTPS bağlantısından alan adını alır ve pencere başlığı olarak ayarlanan sayfa başlığını da bilebilir. Çoğu durumda bunun URL'yi tespit etmek için yeterli olacağını düşünüyorum. Örneğin kayıt URL'si başlığı “ngrok Sign Up” olarak ayarlıyor.
  • Bu, Microsoft'un çerez onayı ekranının başlığında ne iddia ederse etsin gizliliği umursamadığını oldukça güçlü biçimde gösteriyor. Hiç umursamıyor; bunu tüm büyük teknoloji sağlayıcıları için söylemek gerekiyor. Klişe gelse de artık söylenmesi gerekeni söylemenin zamanı. Sizin gizliliğinizi, bağımsızlığınızı, iyiliğinizi umursamıyorlar. Gerçekten umursamıyorlar.

  • Bu çocuk kendi evinde kendi bilgisayarını kullanmış, onu IP adresinden izlemişler ve o IP adresi Windows Updates istekleri de göndermiş. Böylece Device ID daraltılmış ve o cihaz ID'si bu çocuğa götürmüş. Gizlilik savunucularının sürekli uyardığı şey tam da bu türden bir durum. Bu kabiliyet, pratikte tüm gizlilik iddialarını ortadan kaldırıyor. Dahası, Google gibi şirketler bunu kullanarak gizlilik beklentisinin kendisini tamamen yok etti.

  • Yazı muğlak. Microsoft’un, kullanıcının Chrome veya Firefox’ta hangi web sayfalarını ziyaret ettiğini görebildiğine dair kanıt yok

    • Yukarıdaki yanıtta şöyle bir ifade var
      1. Microsoft records also indicate: a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
    • Edge’de de aşağıdaki seçenekler kapalıysa durum aynı

      Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting] Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

  • Bu, Avrupa gizlilik yasalarının ihlali değil mi?

    • Muhtemelen öyledir. Ancak pahalı mücevherlerin kendi ev adresine gönderilmesini sağlamak için bir web sitesini hack’lediysen pek bir anlamı olmayabilir
    • İhlal olursa ne değişir? Kötü davranmaya devam eder, en fazla 6 saatlik ciroya denk bir ceza yerler
    • GDPR yalnızca kişisel olarak tanımlanabilir bilgileri kapsar; bu ise işletim sistemi her kurulduğunda değişen, rastgele üretilmiş bir ID Başka bilgilerle birleştirilirse kullanıcı takip edilebilir, ama tek başına birinin anonimliğini kaldırmak için yeterli değil
  • Kulağa çılgınca gelebilir ama bu tür telemetrinin, son birkaç yılda VPN reklamlarının devasa ve organize biçimde pompalanmasının arka planıyla somehow bağlantılı olduğuna eminim “Piyasanın görünmez eli” giderek kelimenin tam anlamıyla güç ve sermaye sahibi birkaç dev grubun eli gibi görünmeye başladı. Tüm piyasanın ekonomik yapısını şekillendirip fiilen kontrol ediyor, eğimi belirleyerek şirketlerin kayıpları optimize etmesini sağlıyorlar VPN’ler, takip kabiliyetini doğrudan artıran spyware olabilir ya da artık IP olmadan da takip edebildikleri için, kullanıcı korkusundan para kazanırken takibi sürdürmek amacıyla sunuluyor olabilir Daha geniş açıdan bakınca, serbest piyasa ya da demokrasiden pek bir şey kalmamış gibi görünüyor. Artık tüm hükümetler de gizliliği ortadan kaldırmak için organize biçimde bastırıyor

  • ABD teknoloji sektörü hızla Rusya ve Çin’e benziyor

    • facebook adlı web sitesini duydun mu?
    • Amerikalılar bir şey yaptığında neden mutlaka Rusya ve Çin’den bahsetme ihtiyacı hissedildiğini anlamıyorum Gerçi belki de ben bunu pazarlayamıyorumdur. Buna “Çin tarzı” davranış dersek, normalde “Black Crime”dan kendilerini koruma gerekçesiyle böyle davranışları destekleyecek belli bir kesime hitap edebilir
  • Massgrave.dev geliştiricilerinin GDID mekanizmasının bir kısmını açıkladığı ilgili thread https://x.com/massgravel/status/2074304593303892354