1 คะแนน โดย GN⁺ 3 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ในคดีของ Peter Stokes วัย 19 ปี ซึ่งถูกกล่าวหาว่าเกี่ยวข้องกับ Scattered Spider มีการเปิดเผยว่า FBI ใช้บันทึก Global Device ID(GDID) ของ Microsoft เพื่อเชื่อมโยง Windows PC กับกิจกรรมออนไลน์
  • GDID เป็น ตัวระบุถาวรระดับอุปกรณ์ ที่ใช้ระบุการติดตั้ง Windows ในบริการและสถานการณ์ต่าง ๆ ของ Microsoft และอาจใช้ได้ทั้งกับอุปกรณ์จริงและเครื่องเสมือน
  • คำฟ้องอาญาระบุบันทึกว่า GDID ที่เชื่อมโยงกับคอมพิวเตอร์ของ Stokes ได้เข้าถึง หน้าสมัคร ngrok และหลายไซต์บนเซิร์ฟเวอร์ของ Tzulo เมื่อวันที่ 12 พฤษภาคม 2025 เวลา 19:21 UTC
  • GDID จะยังคงอยู่หลังอัปเดต Windows แต่จะเปลี่ยนเป็นค่าใหม่เมื่อมีการติดตั้งใหม่ และผู้ใช้ Microsoft หนึ่งรายอาจมี GDID หลายค่า ได้
  • คดีนี้เพิ่มความกังวลว่ากิจกรรมออนไลน์ของ Windows PC อาจถูกติดตามได้แม้ไม่มีคุกกี้เบราว์เซอร์จากบุคคลที่สาม และผู้ใช้บางส่วนเริ่มค้นหาวิธีตรวจสอบและลบ GDID

การใช้ GDID ที่ถูกเปิดเผยในคดีจับกุม

  • สหรัฐฯ ได้ส่งตัว Peter Stokes วัย 19 ปีจากยุโรปกลับประเทศ โดยเขาถูกกล่าวหาว่าเป็นสมาชิกของกลุ่มแฮ็ก Scattered Spider
  • ในคำฟ้องอาญาที่เผยแพร่ต่อสาธารณะ บันทึกของ Microsoft ถูกใช้เป็นหลักฐานสำคัญในการเชื่อมโยง Stokes กับอาชญากรรมแฮ็กที่ต้องสงสัย
  • Stokes ถูกกล่าวหาว่าแฮ็กผู้ค้าปลีกเครื่องประดับหรูรายหนึ่งที่ไม่ได้เปิดเผยชื่อในเดือนพฤษภาคม 2025 และมีบันทึกว่าเขาใช้ VPN ในช่วงเวลานั้น
  • FBI ตรวจสอบผ่านบันทึกของ Microsoft ว่า IP address ของเขาเชื่อมโยงกับตัวระบุอุปกรณ์ของ Microsoft ที่เรียกว่า Global Device ID(GDID)

GDID ระบุอะไร

  • ในคำอธิบายจาก Microsoft ที่ถูกอ้างในคำฟ้อง GDID ถูกนิยามว่าเป็น ตัวระบุถาวรระดับอุปกรณ์ ของระบบนิเวศ Windows
  • ตัวระบุนี้ถูกออกแบบมาเพื่อแยกแยะการติดตั้งระบบปฏิบัติการ Windows อย่างไม่ซ้ำกัน
    • อาจครอบคลุม อุปกรณ์จริง เช่น แล็ปท็อปหรือโทรศัพท์
    • รวมถึงเครื่องเสมือนด้วย
    • ใช้ในบริการและสถานการณ์บางอย่างของ Microsoft
  • การกำหนด ID เฉพาะให้บัญชีหรืออุปกรณ์เป็นแนวปฏิบัติทั่วไป แต่คดีนี้เผยให้เห็นว่า GDID สามารถเชื่อมโยงกับ บันทึกการเข้าถึงบริการของบุคคลที่สาม รวมถึงช่วงเวลาได้

บันทึกที่เชื่อมโยงกับกิจกรรมออนไลน์

  • Stokes ถูกกล่าวหาว่าใช้เครื่องมือพัฒนาเว็บ ngrok ในทางที่ผิด เพื่อหลบเลี่ยงการป้องกันเครือข่ายของผู้ค้าปลีกเครื่องประดับ
  • บันทึกของ Microsoft ระบุว่า GDID ที่เชื่อมโยงกับคอมพิวเตอร์ของ Stokes ได้เข้าถึง https://dashboard[.]ngrok.com/signup เมื่อวันที่ 12 พฤษภาคม 2025 เวลา 19:21 UTC
    • URL ดังกล่าวเป็นหน้าสำหรับตั้งค่าบัญชี ngrok
    • GDID เดียวกันยังถูกบันทึกว่าเข้าถึงหน้า ngrok อื่น ๆ ด้วย
  • เอกสารยังระบุว่า GDID นี้ได้เข้าถึง “หลายไซต์” บนเซิร์ฟเวอร์ของผู้ให้บริการเว็บโฮสติ้ง Tzulo เพื่อช่วยดำเนินการแฮ็ก
  • GDID ของ PC ของ Stokes ที่แสดงในคำฟ้องคือ 6755467234350028

ความเป็นไปได้ในการติดตามและปฏิกิริยาของผู้ใช้

  • การที่เจ้าหน้าที่สืบสวนของรัฐบาลกลางระบุตัวแฮกเกอร์ต้องสงสัยด้วยตัวระบุของ Microsoft ทำให้ความกังวลเรื่อง การนำไปใช้ในทางที่ผิดเพื่อการสอดส่อง เพิ่มขึ้น
  • Matthew Hickey ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์กล่าวบน X ว่า “Microsoft Windows is surveillance software”
  • GDID ถูกกล่าวถึงสั้น ๆ ในหน้าสนับสนุนหน้าหนึ่งของ Microsoft แต่ Microsoft ยังไม่ได้อธิบายต่อสาธารณะเพิ่มเติม
  • ผู้ใช้บางส่วนเริ่มสำรวจวิธี จำกัดหรือลบ ตัวระบุ GDID

การติดตั้งใหม่และคำถามที่ยังเหลือเกี่ยวกับแพลตฟอร์มอื่น

  • ตามคำฟ้อง GDID จะยังคงอยู่หลังการอัปเดตระบบปฏิบัติการ Windows บนอุปกรณ์เดิม
  • หาก ติดตั้ง Windows ใหม่ บนอุปกรณ์เดิมหรืออุปกรณ์อื่น จะมี GDID เฉพาะค่าใหม่เชื่อมโยงเข้ามา
  • เชิงอรรถในคำฟ้องระบุว่าผู้ใช้ Microsoft หนึ่งรายอาจมี GDID หลายค่าได้
  • Costin Raiu นักวิจัยด้านความปลอดภัยไซเบอร์ตั้งคำถามว่า จากการใช้ตัวระบุเฉพาะ บริษัทเทคโนโลยีอื่น ๆ มีความสามารถในการสอดส่องลักษณะคล้ายกันหรือไม่
    • เกิดขึ้นในระดับเดียวกันบนอุปกรณ์ Apple หรือไม่
    • ผูกกับฮาร์ดแวร์ในระดับที่ไม่ขึ้นกับการติดตั้งใหม่หรือไม่
    • เขากล่าวว่าหากต้องการความไม่เปิดเผยตัวตนอย่างสมบูรณ์ อาจจำเป็นต้องใช้ Linux, FreeBSD ฯลฯ ในสภาพแวดล้อมพัฒนา และผ่านพร็อกซี, Tor, VPN เป็นต้น

1 ความคิดเห็น

 
GN⁺ 3 시간 전
ความคิดเห็นจาก Hacker News
  • ประเด็นที่น่าสนใจไม่ใช่ตัวข้อเท็จจริงว่ามี ตัวระบุอุปกรณ์ อยู่ เพราะแทบทุกระบบปฏิบัติการสมัยใหม่ก็มีสิ่งคล้ายกัน คำถามที่ใหญ่กว่าคือขอบเขต: องค์ประกอบใดเข้าถึงได้บ้าง และเมื่อใดที่ตัวระบุภายในเครื่องกลายเป็นตัวระบุสำหรับการติดตามจากระยะไกล machine-id ที่วางอยู่บนดิสก์ กับการที่ผู้ผลิตระบบปฏิบัติการนำมันไปเชื่อมโยงกับกิจกรรมเครือข่าย เป็นคนละเรื่องกันโดยสิ้นเชิง

    • นี่แหละคือส่วนที่บทความนี้ขาดไปมากที่สุด เราไม่รู้ว่า ตัวระบุอุปกรณ์ ของ Microsoft ถูกเชื่อมโยงกับเซสชัน ngrok อย่างไรแน่ โดยปกติเซสชัน ngrok จะเริ่มจาก CLI แบบซอร์สปิด จากบทความอย่างเดียว แยกไม่ออกว่า Microsoft แทรกตัวระบุอุปกรณ์เข้าไปในทราฟฟิกเครือข่ายด้วยวิธีที่น่าสงสัยหรือไม่ หรือเป็นซอฟต์แวร์ไคลเอนต์ ngrok แบบซอร์สปิดที่ดึงตัวระบุอุปกรณ์ไปเอง ถ้าเป็นอย่างหลัง ระบบปฏิบัติการอื่นก็ทำแบบเดียวกันได้ เช่น /etc/machine-id บน Linux เนื่องจาก ngrok ใช้ โมเดลฟรีเมียม จึงไม่น่าแปลกใจเลยถ้าไคลเอนต์จะส่ง ID อุปกรณ์เพื่อจับผู้ใช้ที่พยายามเลี่ยงโควตาฟรี
    • Systemd รวมอยู่ในดิสโทร Linux หลักหลายตัว และมีสิ่งอย่างเช่น machine-id ค่านี้ใครก็ตามบนเครื่องนั้นอ่านได้ที่ /etc/machine-id https://www.freedesktop.org/software/systemd/man/latest/mach...
    • NetworkID ใน about:networking#networkid ของ Firefox ก็เป็นตัวอย่างที่คล้ายกัน ครั้งหนึ่งเคยเป็นประเด็นถกเถียง และ AI ทุกตัวมีข้อมูลผิดเกี่ยวกับที่มาและการใช้งานของมัน
    • ส่วนนี้ไม่ชัดเจน และเป็นจุดที่น่าสนใจที่สุดอย่างชัดเจน แก่นคือ GDID ถูกเชื่อมโยงกับเครื่องมือหรือเว็บรีเควสต์ในขั้นตอนไหนและเมื่อใด จากบทความตอนนี้ ฟังดูเหมือน “telemetry” ของ Microsoft เก็บทุกอย่างไว้ จากนั้นค้นหากิจกรรมเฉพาะแบบกว้าง ๆ แล้วดึง GDID ออกมาเชื่อมกับผู้ใช้
  • เรื่องนี้ดูเหมือนหมายความว่า Microsoft ทำ การวิเคราะห์ทราฟฟิก บางรูปแบบที่เอนด์พอยต์ และเชื่อมโยงมันกับ GDID อาจเป็นส่วนหนึ่งของการป้องกันแบบเรียลไทม์ของ Defender หรือ MAPS ข้อเท็จจริงที่น่าสนใจคือ Microsoft Defender MAPS เคยมีชื่อเดิมว่า SpyNet https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... อย่างไรก็ตาม ตัวระบุ GDID ดูเป็นลักษณะซอฟต์แวร์ หากจะทำให้รุกหนักกว่านี้ ก็อาจผูกกับหมายเลขซีเรียลเมนบอร์ดเหมือนบางเกมได้ แบบนั้นจะติดตามตลอดวงจรชีวิตของฮาร์ดแวร์ ไม่ใช่แค่ระดับอินสแตนซ์การติดตั้ง Windows

    • แนวคิดของ SecureBoot และ ชิป TPM ก็คือการให้ GDID โดยอิงลายนิ้วมือฮาร์ดแวร์นั่นเอง บางเกมติดตามผู้ใช้แบบนี้อยู่แล้วภายใต้ข้ออ้าง “ป้องกันการโกง” และ Microsoft ก็ทำมาตั้งแต่ยุค Windows 7 สิ่งที่เปลี่ยนไปคือ ตอนนี้ TPM เป็นสิ่งที่มอบอำนาจยืนยันระดับฮาร์ดแวร์แบบนั้น
  • เดี๋ยวคงมีเครื่องมือ Windows ที่เปลี่ยนตัวระบุของผู้ต้องสงสัยรายนี้เป็น “g:6755467234350028” ออกมาแน่ ๆ ว่าแต่เป็น ID ที่แปลกดี เข้าใจได้ว่าเป็น 16 หลัก แต่ผมนึกว่าจะเป็นเลขฐานสิบหก อีกอย่าง ผมสงสัยว่าข้อความ “ตามบันทึกของ Microsoft เมื่อวันที่ 12 พฤษภาคม 2025 เวลา 19:21 UTC GDID ที่เชื่อมโยงกับคอมพิวเตอร์ของ Stokes เข้าถึง 'https://dashboard[.]ngrok.com/signup' ซึ่งเป็นหนึ่งในหลายหน้า ngrok” มันทำงานอย่างไร ถ้าเป็นเบราว์เซอร์ส่งข้อมูลนั้นให้ Microsoft ก็น่าจะมีคนสังเกตเห็นแล้วไม่ใช่หรือว่า PC ติดต่อ Microsoft ทุกครั้งที่เปิดหน้าเว็บทุกหน้า? หรือเป็นแบบรวบรวมข้อมูลไว้แล้วค่อยส่งภายหลัง? ถ้าอย่างนั้น เรื่องนี้ส่งผล “อย่างจำกัด” เฉพาะผู้ใช้เบราว์เซอร์ของ Microsoft หรือเปล่า? หรือ Chrome ก็ส่งข้อมูลให้ Google ในลักษณะเดียวกันด้วย? ความเป็นไปได้อีกอย่างคือเกิดขึ้นในเลเยอร์ที่ต่ำกว่า ซึ่งพอนึกออกว่าคอมโพเนนต์ของระบบจะเข้าถึงชื่อโดเมนได้ที่ไหน แต่ไม่แน่ใจว่าจุดไหนจะเห็น URL เต็มได้

    • ทั้งหมดเป็น parallel construction https://en.wikipedia.org/wiki/Parallel_construction
    • น่าจะเป็น Microsoft Defender SmartScreen ของ Edge โดเมนที่เข้าชมจะถูกส่งให้ Microsoft เพื่อตรวจสอบว่าเป็นมัลแวร์หรือไซต์ฟิชชิงที่รู้จักหรือไม่ และอย่างที่เราได้รู้กันตรงนี้ ข้อมูลนั้นถูกเชื่อมกับ GDID และบัญชี Microsoft และหน่วยงานบังคับใช้กฎหมายสามารถเข้าถึงได้ผ่านคำขอ
    • นั่นคือการแสดงค่าแบบฐานสิบของ จำนวนเต็ม 64 บิต
    • URL นั้นมีรีเควสต์ที่ถูกบล็อก 16 รายการ และอย่างน้อยก็พยายามโหลด datadog กับ googletagmanager ผมเดาว่าตำรวจติดต่อบริษัทวิเคราะห์ข้อมูลทุกแห่งที่ Ngrok ส่งข้อมูลให้โดยตรงหรือโดยอ้อม และบริษัทเหล่านั้นก็เก็บทุกอย่างที่ได้มาไว้ สิ่งที่น่าประหลาดใจที่สุดคือคนคนนั้นทำเรื่องทั้งหมดนี้บนสภาพแวดล้อม Windows แต่เรามักได้ยินแต่เรื่องอาชญากรโง่ ๆ ที่ถูกจับได้ ดังนั้นสุดท้ายก็สมเหตุสมผล
    • แม้จะเป็นเบราว์เซอร์ที่ไม่ใช่ Edge ระบบปฏิบัติการก็ยังได้ ชื่อโดเมน จากการเชื่อมต่อ HTTPS และยังรู้ ชื่อหน้าเว็บ ที่ถูกตั้งเป็นชื่อหน้าต่างได้ด้วย ในหลายกรณี แค่นั้นก็น่าจะเพียงพอสำหรับระบุ URL ได้ เช่น URL สมัครใช้งานตั้งชื่อหน้าเป็น “ngrok Sign Up”
  • เรื่องนี้แสดงให้เห็นค่อนข้างชัดว่า Microsoft ไม่ได้สนใจ ความเป็นส่วนตัว ไม่ว่าหัวข้อในหน้าขอความยินยอมคุกกี้จะอ้างว่าอย่างไรก็ตาม ไม่สนใจเลย และนี่เป็นสิ่งที่ต้องพูดกับผู้จำหน่าย Big Tech ทุกราย แม้จะฟังดูซ้ำซาก แต่ตอนนี้ถึงเวลาต้องพูดในสิ่งที่ควรพูดแล้ว พวกเขาไม่สนใจความเป็นส่วนตัว ความเป็นอิสระ หรือความอยู่ดีมีสุขของคุณ จริง ๆ แล้วไม่สนใจเลย

  • เด็กคนนี้ใช้คอมพิวเตอร์ของตัวเองที่บ้านของตัวเอง พวกเขาตามรอยด้วยที่อยู่ IP และที่อยู่ IP นั้นก็ส่งคำขอ Windows Updates ด้วย จากนั้นจึงจำกัดวงไปถึง Device ID และ ID อุปกรณ์นั้นก็นำไปสู่เด็กคนนี้ นี่แหละคือสิ่งแบบที่ผู้สนับสนุนความเป็นส่วนตัวเตือนมาตลอด ความสามารถแบบนี้ลบล้างคำกล่าวอ้างเรื่องความเป็นส่วนตัวแทบทั้งหมด ยิ่งไปกว่านั้น บริษัทอย่าง Google ยังใช้สิ่งนี้ทำให้ความคาดหวังเรื่องความเป็นส่วนตัวหมดสิ้นไปโดยสิ้นเชิง

  • ข้อความเขียนคลุมเครือ ไม่มีหลักฐานว่า Microsoft สามารถเห็นได้ว่าผู้ใช้เข้าเว็บเพจใดใน Chrome หรือ Firefox

    • ในคำตอบด้านบนมีข้อความแบบนี้อยู่
      1. Microsoft records also indicate: a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
    • แม้ใน Edge ก็เช่นกัน หากปิดตัวเลือกด้านล่างไว้

      Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting] Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

  • แบบนี้ไม่ละเมิด กฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป เหรอ?

    • น่าจะใช่ แต่ถ้าเป็นกรณีแฮ็กเว็บไซต์เพื่อให้ส่งเครื่องประดับราคาแพงไปยังที่อยู่บ้านของตัวเอง ก็อาจไม่มีความหมายมากนัก
    • แล้วถ้าละเมิดจะเปลี่ยนอะไรได้? ก็คงยังทำตัวแย่ต่อไป แล้วโดนปรับเท่ากับรายได้ 6 ชั่วโมงแค่นั้นมั้ง
    • GDPR ครอบคลุมเฉพาะ ข้อมูลที่ระบุตัวบุคคลได้ เท่านั้น และนี่เป็น ID ที่สร้างแบบสุ่มซึ่งเปลี่ยนทุกครั้งที่ติดตั้งระบบปฏิบัติการ หากผสมกับข้อมูลอื่นก็สามารถใช้ติดตามผู้ใช้ได้ แต่ตัวมันเองยังไม่เพียงพอที่จะเปิดเผยตัวตนของใครสักคนจากสถานะนิรนาม
  • อาจฟังดูบ้าบอ แต่ผมมั่นใจว่าการที่โฆษณา VPN ถูกผลักดันอย่างมหาศาลและเป็นระบบในช่วงหลายปีที่ผ่านมา somehow มีความเชื่อมโยงกับ telemetry ประเภทนี้ ยิ่งนานไป “มือที่มองไม่เห็นของตลาด” ก็ดูเหมือนจะเป็นมือของกลุ่มยักษ์ใหญ่ไม่กี่กลุ่มที่มีอำนาจและทุนอย่างแท้จริง พวกเขาปั้นโครงสร้างเศรษฐกิจของทั้งตลาดจนแทบจะควบคุมได้ และสร้างความเอียงที่ทำให้บริษัทต่าง ๆ ต้องปรับให้เหมาะกับการขาดทุน VPN อาจเป็นสปายแวร์ที่เพิ่มความสามารถในการติดตามโดยตรง หรืออาจถูกเสนอมาเพื่อทำเงินจากความกลัวของผู้ใช้พร้อมกับติดตามต่อไป เพราะตอนนี้สามารถติดตามได้แม้ไม่มี IP แล้ว มองกว้างขึ้น ก็แทบไม่เหลือตลาดเสรีหรือประชาธิปไตยมากนัก ตอนนี้รัฐบาลทุกแห่งก็กำลังผลักดันอย่างเป็นระบบเพื่อกำจัดความเป็นส่วนตัว

  • อุตสาหกรรมเทคโนโลยีของสหรัฐฯ กำลังกลายเป็นแบบรัสเซียและจีนอย่างรวดเร็ว

    • เคยได้ยินเว็บไซต์ชื่อ facebook ไหม?
    • ไม่เข้าใจว่าทำไมเวลาคนอเมริกันทำอะไรสักอย่าง ต้องรู้สึกว่าต้องพูดถึงรัสเซียกับจีนเสมอ แต่อาจเป็นเพราะผมทำ PR ไม่เก่งก็ได้ ถ้าเรียกพฤติกรรมนี้ว่าเป็นแบบ “จีน” อาจจะขายได้กับกลุ่มบางกลุ่มที่ปกติคงสนับสนุนพฤติกรรมแบบนี้ โดยอ้างว่าปกป้องตัวเองจาก “อาชญากรรมของคนผิวดำ”
  • นี่เป็นเธรดที่เกี่ยวข้องซึ่งนักพัฒนา Massgrave.dev อธิบายบางส่วนของ กลไก GDID https://x.com/massgravel/status/2074304593303892354

    • ลิงก์อำนวยความสะดวกสำหรับคนที่ไม่อยากสร้างบัญชี Twitter https://xcancel.com/massgravel/status/2074304593303892354 ตอนนี้จากคอมพิวเตอร์/ตำแหน่งของผม ดูเหมือนไซต์จะไม่ชอบมาตรการป้องกันบอตเท่าไร แต่หวังว่าจะใช้ได้ดีสำหรับคนอื่น ๆ