Microsoft, kapatılamayan Windows GDID cihaz tanımlayıcısını doğruladı… FBI dava belgelerinde yer aldı
(ghacks.net)- Microsoft, hesaba bağlı her Windows kurulumu için atanan Global Device Identifier (GDID) varlığını kamuya açık şekilde doğruladı; ABD savcıları da bunu, Scattered Spider üyesi olduğu düşünülen bir kişiyi izlemek için hazırlanan federal iddianamede kayda geçirdi
- Windows hizmet zinciri GDID’yi oluşturup Microsoft sunucularına gönderiyor ve güncellemelerden sonra da bunu koruyor. Atamayı engellemek Windows etkinleştirmesini ve Microsoft Store uygulamalarını etkileyebilir
- FBI, yaklaşık 8 ay boyunca VPN ve proxy kullanarak 4 ülke arasında hareket eden Peter Stokes’un faaliyetlerini aynı GDID üzerinden ilişkilendirdi; ngrok hesabı oluşturma ve mağdur perakendeciye erişim kayıtlarını sosyal medya ve seyahat bilgileriyle çapraz doğruladı
- GDID için onay, sıfırlama veya devre dışı bırakma işlevi ya da genel kullanıcılara yönelik belge bulunmuyor; Windows yeniden kurulup değer değişse bile aynı Microsoft hesabında oturum açıldığında önceki etkinliklerle yeniden ilişkilendirilebiliyor
- Yerel hesap ve gizlilik ayarları ilgili takibi azaltabilir, ancak GDID’nin kendisi doğrudan kapatılamıyor ve Microsoft da kullanıcı denetimi veya ek belge sunma planı açıklamış değil
Windows kurulumunu tanımlayan kalıcı kimlik
- Global Device Identifier (GDID), Windows bir Microsoft hesabı için sağlandığında o Windows kurulumuna atanan cihaz düzeyinde bir tanımlayıcıdır
- Fiziksel cihazlara veya sanal makinelere kurulan Windows işletim sistemini bazı Microsoft hizmetlerinde ve kullanım senaryolarında benzersiz biçimde ayırt etmek için tasarlanmış kalıcı bir tanımlayıcıdır
- Windows güncellemelerinden sonra korunur, ancak disk silinip Windows yeniden kurulursa önceki GDID korunmaz
- Bir kullanıcı birden fazla GDID’ye sahip olabilir ve Microsoft bunları hesap, OneDrive ve etkinleştirme kayıtları üzerinden birbirine bağlayabilir
- Yaklaşık 1,6 milyar Windows kullanıcısında, ayrı bir açıklama veya kullanıcı denetimi olmadan arka planda uygulanagelmiştir ve Microsoft hesabına bağlı tüm Windows kurulumlarında bulunur
Oluşturulmasından Microsoft sunucularına bildirilmesine kadar
- Birden fazla Windows hizmeti zincirleme çalışarak GDID’yi oluşturur
wlidsvchizmeti,login.live.comadresinden Device PUID ister- Connected Devices Platform bu değeri Microsoft Device Directory Service’e kaydeder
- Delivery Optimization, bilgisayar güncelleme indirirken veya paylaşırken GDID’yi Microsoft’a bildirir
- Tanımlayıcı, kayıt defterinde
HKCU\\SOFTWARE\\Microsoft\\IdentityCRL\\ExtendedPropertiesiçindekiLIDanahtarında saklanır- Küçük
göneki ile ondalık sayıların birleştiği bir biçimdedir - Normal Windows arayüzünde kullanıcı kendi GDID’sini göremez
- Küçük
- GDID atamasını engellemek Windows etkinleştirmesinin ve UWP uygulamalarının çalışmamasına yol açabilir
- Microsoft Activation Scripts’in geliştiricisi Massgrave’e göre, Windows kurulum sürecinde donanım bilgileri Microsoft’a gönderilir ve Store erişimi ile lisanslamada kullanılan bir tanımlayıcı geri döner
FBI VPN oturumlarını nasıl ilişkilendirdi
- FBI, Scattered Spider üyesi olduğu düşünülen Peter Stokes’u VPN bağlantıları ve proxy sunucularının ötesinde izlemek için GDID’yi kullandı
- İzleme yaklaşık 8 ay sürdü ve faaliyet alanı 4 ülkeye yayıldı
- İddianameye göre
g:6755467234350028, saldırıda kullanılan hesabın Tzulo VPN proxy’si üzerinden oluşturulduğu sırada ngrok kayıt sayfasına erişti- 3 saat sonra aynı GDID, aynı proxy üzerinden mağdur perakendecinin web sitesine erişti
- Soruşturma makamları bu cihazı Stokes’un Snapchat, Facebook, Apple ve Ubisoft hesaplarına bağlı IP adresleriyle çapraz doğruladı
- İlgili erişim konumları arasında Estonya, New York ve Tayland yer alıyor
- Stokes’un Snapchat’te paylaştığı fotoğraflar, otel rezervasyonları ve konumlarla, GDID’ye bağlı seyahat zamanlamasıyla eşleşti
- VPN’in IP adresleri sık sık değişti, ancak Windows kurulumu sürekli aynı tanımlayıcıyı bildirmeye devam ederek VPN oturumları arasında iz sürme ipucu sağladı
Görünmeyen tanımlayıcı ve kullanıcı denetiminin sınırları
- GDID atanırken onay ekranı gösterilmez ve kullanıcının bunu sıfırlamasına veya devre dışı bırakmasına imkân veren bir işlev de yoktur
- Apple’ın reklam tanımlayıcısı, App Tracking Transparency bildirimi ve sıfırlama işlevi sunar
- Android de benzer denetim seçenekleri sunar
- Windows yeniden kurulursa yeni bir GDID oluşturulur, ancak aynı Microsoft hesabında oturum açılırsa Microsoft yeni tanımlayıcıyı önceki etkinliklerle ilişkilendirebilir
- Microsoft’un herkese açık belgelerinde, kurumsal BT yöneticilerine yönelik Azure Monitor başvuru tablosunda GDID için yalnızca “Microsoft’un dahili olarak kullandığı bir tanımlayıcı” ifadesi yer alır
- Güvenlik araştırmacısı Matthew Hickey bu olay için Windows’u “gözetim yazılımı (surveillance software)” olarak nitelendirdi
- Costin Raiu, Three Buddy Problem podcast’inde benzer işlevlerin diğer platformlarda ne kadar yaygın olduğunu sorguladı
- Başlıca işletim sistemleri lisanslama ve güvenlik kontrolleri için kalıcı cihaz tanımlama yöntemleri kullanıyor, ancak Windows, Apple ve Google platformlarının aksine kullanıcıya görünür denetim seçenekleri sunmuyor
İlgili takibi azaltabilecek ayarlar
- GDID, temel Windows işlevlerini bozmadan doğrudan kapatılamadığı için aşağıdaki ayarlar ilgili takibi azaltmaya yönelik önlemler niteliğindedir
- Mümkünse Microsoft hesabı yerine yerel hesap kullanın
- Son Windows 11 sürümleri yerel hesap kurulumunu zorlaştırdı, ancak yöntemi bilen kullanıcılar kurulum sırasında bunu hâlâ seçebiliyor
Ayarlar → Gizlilik ve güvenlik → Tanılama ve geri bildirimaltında isteğe bağlı tanılama verilerini kapatınGizlilik ve güvenlik → Öneriler ve tavsiyeleraltında kişiselleştirilmiş reklamları ve uygulama başlatma takibini devre dışı bırakınGizlilik ve güvenlik → Aramaaltında Cloud Content Search’ü kapatarak yerel aramaların Bing’e gönderilmesini engelleyin- Activity History ve diğer telemetri seçeneklerini gözden geçirip devre dışı bırakın
- Mümkünse Microsoft hesabı yerine yerel hesap kullanın
- Gazetecilik, toplumsal aktivizm veya aile içi şiddet gibi tanımlayıcının kalıcılığının tehdit oluşturabileceği durumlarda, Windows PC ve ticari VPN’lere güvenmek yerine Tor üzerinden Linux kullanımı önerilir
- Yeni bir GDID almak için Windows yeniden kurulsa bile aynı Microsoft hesabında oturum açılırsa, Microsoft’a önceki etkinliklerle ilişkilendirme yapabilecek veriler sağlanmış olur
Sınırlı açıklık düzeyi ve bundan sonrası
- Mahkeme celbi gibi yasal talepler, Microsoft’u GDID etkinlik verilerini kolluk kuvvetlerine vermeye zorlayabilir ve Scattered Spider vakası bunun gerçek bir örneği oldu
- Microsoft, GDID’nin oluşturulma, saklanma veya bildirilme biçimini değiştireceğine dair bir tutum açıklamadı; genel kullanıcılar için denetim veya belge sağlama sözü de vermedi
- Federal iddianame dışında kamuya açık kaynaklarda yalnızca Azure Monitor belgelerindeki kısa bir kayıt bulunuyor; şu anda iddianamedeki Microsoft telemetrisiyle ilgili bölüm, GDID’nin nasıl çalıştığını en ayrıntılı gösteren kamuya açık kaynak durumunda
- Scattered Spider davası ABD federal mahkemesinde sürüyor ve kullanıcılar ileride Microsoft’un gizlilikle ilgili güncellemelerini takip edebilir
1 yorum
Lobste.rs yorumları
Anlamadığım nokta, Windows GDID'nin Microsoft dışındaki servislerdeki etkinlikle nasıl ilişkilendirildiği. Cihaz bu servislere GDID'yi mi gönderiyor, yoksa Microsoft tüm kullanıcıların tarayıcı etkinliğini mi saklıyor, merak ediyorum. İkincisiyse bunun yalnızca Edge'de mi toplandığı, yoksa başka yöntemler de kullanılıp kullanılmadığı da soru işareti
.168VPN IP adresi ile ilişkilendirildiği ve benzer saatlerde aynı VPN IP'siyle hack işleminde kullanılan ngrok hesabının oluşturulduğu görülüyorO sırada birden fazla kişi o VPN IP'sini paylaşıyor olabilir; bu yüzden bunu kesin kanıt saymak zor. Bir cinayet işlendiği sırada yakınlarda olmak katil olduğunuz anlamına gelmez, ama şüpheli olabilirsiniz; buna benziyor. Kaynağı belirsiz bir serveti sergilemesi ve hüküm giymiş hackerlardan söz etmesi de şüpheyi artırmış olabilir; ancak aramada sızdırılmış verilerin bulunması çok daha ikna edici
Burada GDID'nin özel bir işlev gördüğü sanmıyorum. Microsoft FBI'a bilgi verirken kendi analizinde GDID kullandığı için işin içinde; hesap bilgileriyle bağlantılı IP günlükleri toplayan başka bir şirket de aynı şekilde bildirimde bulunabilirdi
İlgili mahkeme başvurusu burada: https://www.justice.gov/usao-ndil/media/1450651/dl?inline
Microsoft'un doğrulaması önemli değil; böyle bir beyan olmasa bile bu özelliğin varlığı zaten kanıtlanmıştı
Güvenlik araştırmacısı Matthew Hickey'nin bu olayla ilgili Windows'u “gözetim yazılımı” olarak nitelediği söyleniyor; bu gülünç. Windows'un spyware olduğu değerlendirmesi en geç Windows 10'un çıkışından beri yapılıyor