1 คะแนน โดย GN⁺ 4 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Microsoft ได้ยืนยันต่อสาธารณะถึงการมีอยู่ของ Global Device Identifier(GDID) ที่ถูกกำหนดให้กับการติดตั้ง Windows แต่ละครั้งที่เชื่อมกับบัญชี และอัยการสหรัฐฯ ได้บันทึกเรื่องนี้ไว้ในคำร้องทุกข์ของรัฐบาลกลางที่ใช้ติดตามบุคคลซึ่งคาดว่าเป็นสมาชิกกลุ่ม Scattered Spider
  • ห่วงโซ่บริการของ Windows สร้าง GDID และส่งไปยังเซิร์ฟเวอร์ของ Microsoft โดยยังคงอยู่แม้หลังการอัปเดต หากป้องกันการกำหนดค่านี้ การเปิดใช้งาน Windows และแอป Microsoft Store อาจได้รับผลกระทบ
  • FBI เชื่อมโยงกิจกรรมของ Peter Stokes ที่ใช้ VPN และพร็อกซีเดินทางข้าม 4 ประเทศเป็นเวลาประมาณ 8 เดือนเข้าด้วยกันด้วย GDID เดียวกัน และตรวจสอบไขว้การสร้างบัญชี ngrok กับประวัติการเข้าถึงร้านค้าปลีกที่ตกเป็นเหยื่อกับข้อมูลโซเชียลมีเดียและการเดินทาง
  • GDID ไม่มี ฟังก์ชันขอความยินยอม รีเซ็ต หรือปิดใช้งาน และไม่มีเอกสารสำหรับผู้ใช้ทั่วไป แม้ติดตั้ง Windows ใหม่จนค่าเปลี่ยนไป แต่หากล็อกอินด้วยบัญชี Microsoft เดิม ก็อาจถูกเชื่อมโยงกลับไปยังกิจกรรมก่อนหน้าได้
  • บัญชีภายในเครื่องและการตั้งค่าความเป็นส่วนตัวอาจลดการติดตามที่เกี่ยวข้องได้ แต่ไม่สามารถปิด GDID เองได้โดยตรง และ Microsoft ก็ไม่ได้ระบุแผนที่จะให้ การควบคุมแก่ผู้ใช้หรือเอกสารเพิ่มเติม

ID ถาวรที่ระบุการติดตั้ง Windows

  • Global Device Identifier(GDID) คือตัวระบุระดับอุปกรณ์ที่ถูกกำหนดให้กับการติดตั้ง Windows เมื่อ Windows ถูก provision สำหรับบัญชี Microsoft
  • เป็น ตัวระบุถาวร ที่ออกแบบมาเพื่อแยกระบบปฏิบัติการ Windows ที่ติดตั้งบนอุปกรณ์จริงหรือเครื่องเสมือนให้มีเอกลักษณ์ในบริการและสถานการณ์การใช้งานบางอย่างของ Microsoft
  • ยังคงอยู่หลังการอัปเดต Windows แต่หากลบดิสก์และติดตั้ง Windows ใหม่ GDID เดิมจะไม่ถูกเก็บไว้
  • ผู้ใช้หนึ่งคนอาจมี GDID ได้หลายค่า และ Microsoft สามารถเชื่อมโยงค่าเหล่านี้เข้าด้วยกันผ่านบัญชี OneDrive และประวัติการเปิดใช้งาน
  • ถูกใช้เบื้องหลังกับ ผู้ใช้ Windows ประมาณ 1.6 พันล้านคน โดยไม่มีการเปิดเผยแยกต่างหากหรือการควบคุมจากผู้ใช้ และมีอยู่ในการติดตั้ง Windows ทุกชุดที่เชื่อมกับบัญชี Microsoft

ตั้งแต่การสร้างจนถึงการรายงานไปยังเซิร์ฟเวอร์ Microsoft

  • บริการ Windows หลายตัวทำงานต่อเนื่องกันเพื่อสร้าง GDID
    • บริการ wlidsvc ขอ Device PUID จาก login.live.com
    • Connected Devices Platform ลงทะเบียนค่านี้กับ Microsoft Device Directory Service
    • Delivery Optimization รายงาน GDID ไปยัง Microsoft เมื่อพีซีดาวน์โหลดหรือแชร์อัปเดต
  • ตัวระบุถูกเก็บไว้ในคีย์ LID ของรีจิสทรี HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties
    • มีรูปแบบเป็นคำนำหน้า g ตัวพิมพ์เล็กผสมกับตัวเลขฐานสิบ
    • ผู้ใช้ไม่สามารถดู GDID ของตนเองได้ในอินเทอร์เฟซ Windows ทั่วไป
  • หากบล็อกการกำหนด GDID การเปิดใช้งาน Windows และแอป UWP อาจไม่ทำงาน
    • ตามข้อมูลจาก Massgrave ผู้สร้าง Microsoft Activation Scripts ในกระบวนการตั้งค่า Windows ข้อมูลฮาร์ดแวร์จะถูกส่งไปยัง Microsoft และจะได้รับตัวระบุกลับมาซึ่งใช้กับการเข้าถึง Store และไลเซนส์

วิธีที่ FBI เชื่อมโยงเซสชัน VPN

  • FBI ใช้ GDID เพื่อติดตาม Peter Stokes ซึ่งคาดว่าเป็นสมาชิกกลุ่ม Scattered Spider ผ่านการเชื่อมต่อ VPN และเซิร์ฟเวอร์พร็อกซี
    • การติดตามดำเนินไปราว 8 เดือน และพื้นที่กิจกรรมครอบคลุม 4 ประเทศ
  • ตามคำร้องทุกข์ g:6755467234350028 เข้าถึงหน้าสมัครสมาชิก ngrok ในช่วงเวลาที่บัญชีที่ใช้โจมตีถูกสร้างขึ้นผ่านพร็อกซี Tzulo VPN
    • 3 ชั่วโมงต่อมา GDID เดียวกันเข้าถึงเว็บไซต์ร้านค้าปลีกที่ตกเป็นเหยื่อผ่านพร็อกซีเดียวกัน
  • เจ้าหน้าที่สืบสวนตรวจสอบอุปกรณ์ดังกล่าวไขว้กับที่อยู่ IP ที่เชื่อมกับบัญชี Snapchat, Facebook, Apple และ Ubisoft ของ Stokes
    • ตำแหน่งการเข้าถึงที่เกี่ยวข้องรวมถึงเอสโตเนีย นิวยอร์ก และไทย
    • ภาพถ่ายที่ Stokes เผยแพร่บน Snapchat ตรงกับการจองโรงแรม ตำแหน่งที่ตั้ง และกำหนดการเดินทางที่เชื่อมกับ GDID
  • แม้ที่อยู่ IP ของ VPN จะเปลี่ยนบ่อย แต่การติดตั้ง Windows ยังคงรายงานตัวระบุเดิมอย่างต่อเนื่อง จึงกลายเป็น เบาะแสการติดตามข้ามเซสชัน VPN

ตัวระบุที่มองไม่เห็นและข้อจำกัดของการควบคุมโดยผู้ใช้

  • เมื่อมีการกำหนด GDID ไม่มีหน้าจอขอความยินยอมปรากฏขึ้น และไม่มีฟังก์ชันให้ผู้ใช้รีเซ็ตหรือปิดใช้งาน
    • ตัวระบุโฆษณาของ Apple มีการแจ้งเตือน App Tracking Transparency และฟังก์ชันรีเซ็ต
    • Android ก็มีฟังก์ชันควบคุมคล้ายกัน
  • เมื่อติดตั้ง Windows ใหม่จะมีการสร้าง GDID ใหม่ แต่หากล็อกอินด้วยบัญชี Microsoft เดิม Microsoft สามารถเชื่อมโยงตัวระบุใหม่กับกิจกรรมก่อนหน้าได้
  • เอกสารสาธารณะของ Microsoft มีเพียง หนึ่งประโยค ในตารางอ้างอิง Azure Monitor สำหรับผู้ดูแล IT องค์กร ที่ระบุว่า GDID เป็น “ตัวระบุที่ Microsoft ใช้ภายใน”
  • นักวิจัยความปลอดภัย Matthew Hickey ประเมินกรณีนี้ว่า Windows เป็น “ซอฟต์แวร์สอดส่อง(surveillance software)
  • Costin Raiu ตั้งคำถามในพอดแคสต์ Three Buddy Problem ว่าแพลตฟอร์มอื่น ๆ มีฟังก์ชันคล้ายกันอยู่มากเพียงใด
  • ระบบปฏิบัติการหลัก ๆ รักษาวิธีระบุอุปกรณ์แบบถาวรไว้เพื่อการตรวจสอบไลเซนส์และความปลอดภัย แต่ Windows ต่างจากแพลตฟอร์มของ Apple และ Google ตรงที่ไม่มีฟังก์ชันควบคุมที่ผู้ใช้มองเห็นได้

การตั้งค่าเพื่อลดการติดตามที่เกี่ยวข้อง

  • เนื่องจากไม่สามารถปิด GDID ได้โดยตรงโดยไม่ทำให้ฟังก์ชันหลักของ Windows เสียหาย การตั้งค่าต่อไปนี้จึงเป็น มาตรการลดการติดตามที่เกี่ยวข้อง
    • หากเป็นไปได้ ให้ใช้บัญชีภายในเครื่องแทนบัญชี Microsoft
      • Windows 11 รุ่นล่าสุดทำให้การตั้งค่าบัญชีภายในเครื่องยากขึ้น แต่ผู้ใช้ที่รู้วิธีเข้าถึงยังสามารถเลือกได้ในขั้นตอนติดตั้ง
    • ปิดข้อมูลวินิจฉัยเสริมที่ การตั้งค่า → ความเป็นส่วนตัวและความปลอดภัย → การวินิจฉัยและคำติชม
    • ปิดโฆษณาแบบปรับให้เหมาะกับบุคคลและการติดตามการเรียกใช้แอปที่ ความเป็นส่วนตัวและความปลอดภัย → คำแนะนำและข้อเสนอแนะ
    • ปิด Cloud Content Search ที่ ความเป็นส่วนตัวและความปลอดภัย → การค้นหา เพื่อไม่ให้การค้นหาในเครื่องถูกส่งไปยัง Bing
    • ตรวจสอบและปิด Activity History และตัวเลือก telemetry อื่น ๆ
  • ในสถานการณ์ที่ความต่อเนื่องของตัวระบุอาจเป็นภัยคุกคาม เช่น งานสื่อสารมวลชน การเคลื่อนไหวทางสังคม หรือความรุนแรงในครอบครัว แนะนำให้ ใช้ Linux ผ่าน Tor แทนการพึ่งพา Windows PC และ VPN เชิงพาณิชย์
  • แม้จะติดตั้ง Windows ใหม่เพื่อรับ GDID ใหม่ แต่หากล็อกอินด้วยบัญชี Microsoft เดิม ก็จะให้ข้อมูลแก่ Microsoft สำหรับเชื่อมโยงกับกิจกรรมก่อนหน้า

ขอบเขตการเปิดเผยที่จำกัดและสถานะในอนาคต

  • คำขอทางกฎหมาย เช่น หมายเรียก อาจบังคับให้ Microsoft ส่งข้อมูลกิจกรรม GDID ให้หน่วยงานสืบสวนได้ และคดี Scattered Spider กลายเป็นตัวอย่างจริง
  • Microsoft ไม่ได้ระบุจุดยืนว่าจะเปลี่ยนวิธีสร้าง จัดเก็บ หรือรายงาน GDID และไม่ได้ให้คำมั่นว่าจะมีการควบคุมหรือเอกสารสำหรับผู้ใช้ทั่วไป
  • นอกจากคำร้องทุกข์ของรัฐบาลกลางแล้ว เอกสารที่เผยแพร่มีเพียงรายการสั้น ๆ ในเอกสาร Azure Monitor และปัจจุบัน ส่วนที่เกี่ยวกับ telemetry ของ Microsoft ในคำร้องทุกข์เป็น ข้อมูลสาธารณะที่แสดงรายละเอียดวิธีทำงานของ GDID มากที่สุด
  • คดี Scattered Spider อยู่ระหว่างกระบวนการในศาลรัฐบาลกลางสหรัฐฯ และผู้ใช้สามารถติดตามอัปเดตด้านความเป็นส่วนตัวจาก Microsoft ต่อไปได้

1 ความคิดเห็น

 
GN⁺ 4 시간 전
ความคิดเห็นจาก Lobste.rs
  • สิ่งที่ไม่เข้าใจคือ Windows GDID เชื่อมโยงกับกิจกรรมของบริการภายนอก Microsoft ได้อย่างไร สงสัยว่าอุปกรณ์ส่ง GDID ไปยังบริการเหล่านั้นเอง หรือว่า Microsoft เก็บกิจกรรมเบราว์เซอร์ของผู้ใช้ทุกคนไว้ทั้งหมด ถ้าเป็นอย่างหลัง ก็ยังสงสัยว่าเก็บเฉพาะจาก Edge หรือใช้วิธีอื่นด้วย

    • สื่อสายเทคมักรายงานไม่แม่นยำ เลยไปอ่านคำร้องโดยตรง พบว่าในบันทึกล็อกของ Microsoft มีการเชื่อมโยง GDID กับ ที่อยู่ VPN IP .168 และในช่วงเวลาใกล้กันก็มีการสร้างบัญชี ngrok ที่ใช้แฮ็กผ่าน VPN IP เดียวกัน
      ตอนนั้นอาจมีหลายคนใช้ VPN IP เดียวกันร่วมกันอยู่ด้วย จึงยากจะมองว่าเป็นหลักฐานชี้ขาด เปรียบได้กับการอยู่ใกล้ที่เกิดเหตุฆาตกรรมในเวลานั้น ไม่ได้แปลว่าเป็นฆาตกร แต่ก็อาจเป็นผู้ต้องสงสัยได้ บริบทที่พูดถึงแฮ็กเกอร์ซึ่งอวดความร่ำรวยที่มาไม่ชัดเจนและถูกตัดสินว่ามีความผิดก็คงทำให้ความสงสัยเพิ่มขึ้น แต่ข้อเท็จจริงที่พบข้อมูลรั่วไหลระหว่างการตรวจค้นยึดนั้นน่าเชื่อถือกว่ามาก
      ตรงนี้ดูเหมือน GDID จะไม่ได้มีบทบาทพิเศษอะไร แค่ Microsoft ส่งข้อมูลให้ FBI และใช้ GDID ในการวิเคราะห์ภายในของตัวเองจึงถูกกล่าวถึง และบริษัทอื่นที่เก็บล็อก IP ซึ่งเชื่อมกับข้อมูลบัญชีได้ก็คงแจ้งเรื่องแบบเดียวกันได้เหมือนกัน
    • เดาว่า Windows ส่ง GDID ไปยัง Microsoft และ Microsoft ก็จะบันทึก ที่อยู่ IP กับเวลา ไว้ จากนั้นเมื่อนำไปเทียบกับข้อมูลอย่างเซสชัน VPN หรือการเข้าถึงเว็บเซิร์ฟเวอร์ที่บันทึก IP เวลา และการกระทำเฉพาะไว้ ก็จะเชื่อมโยงกิจกรรมของผู้ใช้ตามลำดับเวลาได้
  • คำร้องต่อศาล ที่เกี่ยวข้องอยู่ที่นี่: https://www.justice.gov/usao-ndil/media/1450651/dl?inline

  • การยืนยันของ Microsoft ไม่ได้สำคัญ และถึงไม่มีคำกล่าวเช่นนั้น การมีอยู่ของฟีเจอร์นี้ ก็ได้รับการพิสูจน์ไปแล้ว
    ว่ากันว่า Matthew Hickey นักวิจัยด้านความปลอดภัยเรียก Windows ในกรณีนี้ว่าเป็น “ซอฟต์แวร์สอดแนม” ซึ่งก็น่าขำ เพราะการมองว่า Windows เป็นสปายแวร์ มีมาตั้งแต่อย่างช้าในช่วงเปิดตัว Windows 10 แล้ว