Jak Windows śledzi użytkowników przez Global Device ID (GDID)? Czyli o operacji FBI i wpadce nastoletniego przestępcy

Wait 5 sec.

19-letni Petera Stokes to członek głośnej grupy Scattered Spider znanej też jako Octo Tempest, UNC3944 i 0ktapus, która zasłynęła z wyrafinowanych ataków socjotechnicznych, SIM swappingu i ataków ransomware. Wpadł, bo do przeprowadzania ataków korzystał z Windowsa. I choć jak na “hakera” przystało korzstał z VPN-a aby ukryć swój IP, to za bardzo mu to nie pomogło… VPN nie pomógł. Zgubił go Windows i GDIDZ 39-stronicowego dokumentu sądowego wynika, że FBI o pomoc w namierzeniu tożsamości włamywacza poprosiło Microsoft, dzięki czemu udało się powiązać adres IP z tzw. Global Device ID (GDID). Co to jest GDID? To unikatowy identyfikator urządzenia, który system Windows na stałe przypisuje do konkretnej instalacji sprzętowej lub maszyny wirtualnej. Nawet jeśli zmieniasz IP przez VPN, twój system operacyjny nieustannie komunikuje się z serwerami Microsoftu, wysyłając w tle telemetrię opisaną tym samym identyfikatorem GDID.W logach przekazanych FBI znalazły się dowody na to, że ten sam GDID, który logował się do usług VPN, odwiedzał też strony ofiar gangu ScatteredSpider oraz platformy gamingowe. Microsoft miał rekordy wskazujące, że urządzenie z danym GDID 12 maja 2025 o 19:21 UTC weszło m.in. na stronę zakładania konta ngrok, dokładnie wtedy, kiedy utworzono konto ngrok użyte w ataku. Potem GDID porównano z aktywnością kont przypisywanych Stokesowi: Facebooka, Snapchata, Apple i Ubisoft/Growtopia oraz z podróżami do Estonii, Nowego Jorku i Tajlandii.Powyższa ilustracja została syntetycznie wygenerowana z wykorzystaniem sieci neuronowej podczas procesu inferencji modelu generatywnego typu text-to-imageWarto jednak podkreślić, że z ujawnionych dokumntów, nie wynika jaki dokładnie komponent Windowsa/Microsoftu zebrał informację o URL-u lub domenie i jak szeroki był zakres takiego logowania. Samo istnienie identyfikatora urządzenia nie jest szokujące, problemem dla prywatności użytkowników Windows jest to, że identyfikator może zostać skorelowany z aktywnością sieciową i użyty procesowo.Windows to permanentna inwigilacjaTa sprawa dobitnie pokazuje, że prywatność i VPN, prywatność i Windows nie idą ze sobą w parze. O ile VPN szyfruje twój ruch i “chowa” jego zawartość (ale nie metadane) przed dostawcą internetu a także ukrywa Twoje IP przed odwiedzaną stroną internetową, to jest bezużyteczny, kiedy twój system operacyjny loguje twoją aktywność i informacje o wszystkich połączenia wysyła z tym samym identyfikatorem. Niewiele osób zdaje sobie sprawę z tego, jak dużo informacji na ich temat posiada producent oprogramowania i systemu operacyjnego z którego korzystają.Jeśli tematyka zwiększenia twojej prywatności cię interesuje, to zapisz się na nasz 3h wykład pt. “Jak nie dać się zhackować?”. Pokazujemy na nim wszystko, co dziś należy wiedzieć, aby zwiększyć swoje bezpieczeństwo i prywatność w internecie, a co więcej robimy to przystępnym i zrozumiałym dla każdego językiem — więc można zabrać na wykład swoich rodziców albo nietechnicznych znajomych. Oto lista miast i dat, w których niebawem będziemy z tym wykładem:KRAKÓW, 24 września -- zapisz się tutaj!POZNAŃ, 8 października -- zapisz się tutaj!ŁÓDŹ, 22 października -- zapisz się tutaj!GDAŃSK, 19 listopada -- zapisz się tutaj!WARSZAWA, 3 grudnia -- zapisz się tutaj!Mam Windowsa — co robić, jak żyć?Jeśli chcecie zablokować GDID i chronić swoją prywatność, to rzuć okiem na projekt “gdid-reversal“, który szczegółowo opisuje inżynierię wsteczną tego mechanizmu i to, jak Windows rejestruje urządzenie w usłudze Connected Devices Platform (CDP). Rzućcie też okiem na skrypt GDID-Guard, który pozwala wyłączyć usługi CDP, wyczyścić lokalną historię aktywności oraz zablokować odpowiednie endpointy Microsoftu na firewallu. Pamiętajcie jednak, że wyczyszczenie lokalnego cache’a nie daje gwarancji, że Windows nie nada nowego GDID przy kolejnym logowaniu do konta Microsoft (MSA). Dlatego tym, którzy cenią sobie prywatność polecamy jednak korzystać z innego systemu operacyjnego. Jak widać, nawet odnoszący “sukcesy” cyberprzestępcy zapominają o absolutnych podstawach OPSEC-u. Obdzieranie użytkowników z prywatności na podstawie logów, metadanych czy telemetrii to nic nowego. Już w 2009 r. pisaliśmy, że w rejestrze Windowsa można sprawdzać, na którym firmowym komputerze użyto konkretnego pendrive’a (por. “Jeden klucz z wielu komputerów”). Pisaliśmy też o tym, że metadane nagrania lub nośnika potrafią zdradzić autora materiału (por. “Jak ustalić tożsamość autora nagrania?”). Morał w sumie jest zawsze taki sam: ludzie rzadko wpadają przez jeden dramatyczny błąd. Częściej przez kilka małych śladów, które ktoś cierpliwy połączył w jedną, bardzo niewygodną dla nich “linię czasu”.