1 poin oleh GN⁺ 3 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Dalam kasus Peter Stokes berusia 19 tahun yang dituduh terkait Scattered Spider, terungkap bahwa FBI menghubungkan PC Windows dan aktivitas online melalui catatan Global Device ID (GDID) milik Microsoft
  • GDID adalah pengenal tingkat perangkat yang persisten untuk mengidentifikasi instalasi Windows di seluruh layanan dan skenario Microsoft, dan dapat berlaku untuk perangkat fisik maupun mesin virtual
  • Surat dakwaan pidana mencakup catatan bahwa pada 12 Mei 2025 pukul 19:21 UTC, GDID yang terhubung ke komputer Stokes mengakses halaman pendaftaran ngrok dan beberapa situs di server Tzulo
  • GDID tetap sama setelah pembaruan Windows, tetapi berubah ke nilai baru jika dilakukan instal ulang, dan satu pengguna Microsoft dapat memiliki beberapa GDID
  • Kasus ini meningkatkan kekhawatiran bahwa aktivitas online di PC Windows dapat dilacak bahkan tanpa cookie browser pihak ketiga, dan sebagian pengguna mulai mencari cara untuk memeriksa atau menghapus GDID

Pemanfaatan GDID yang terungkap dalam kasus penangkapan

  • Amerika Serikat mengekstradisi Peter Stokes yang berusia 19 tahun dari Eropa, dan ia dituduh sebagai anggota grup peretas Scattered Spider
  • Dalam surat dakwaan pidana yang dipublikasikan, catatan Microsoft digunakan sebagai petunjuk kunci yang menghubungkan Stokes dengan dugaan kejahatan peretasan
  • Stokes dituduh meretas peritel perhiasan mewah yang tidak disebutkan namanya pada Mei 2025, dan tercatat menggunakan VPN saat itu
  • FBI memastikan melalui catatan Microsoft bahwa alamat IP-nya terhubung dengan pengenal perangkat Microsoft bernama Global Device ID (GDID)

Apa yang diidentifikasi oleh GDID

  • Dalam penjelasan Microsoft yang dikutip di surat dakwaan, GDID didefinisikan sebagai pengenal tingkat perangkat yang persisten dalam ekosistem Windows
  • Pengenal ini dirancang untuk membedakan setiap instalasi sistem operasi Windows secara unik
    • Bisa berlaku untuk perangkat fisik seperti laptop atau ponsel
    • Juga mencakup mesin virtual
    • Digunakan di berbagai layanan dan skenario Microsoft tertentu
  • Praktik memberikan ID unik ke akun atau perangkat adalah hal yang umum, tetapi dalam kasus ini terungkap bahwa GDID dapat dihubungkan hingga ke catatan akses layanan pihak ketiga dan waktunya

Catatan yang terhubung dengan aktivitas online

  • Stokes dituduh menyalahgunakan alat pengembangan web ngrok untuk melewati pertahanan jaringan peritel perhiasan tersebut
  • Catatan Microsoft menunjukkan bahwa pada 12 Mei 2025 pukul 19:21 UTC, GDID yang terhubung dengan komputer Stokes mengakses https://dashboard[.]ngrok.com/signup
    • URL tersebut adalah halaman untuk menyiapkan akun ngrok
    • GDID yang sama juga tercatat mengakses halaman ngrok lainnya
  • Dokumen itu juga memuat keterangan bahwa GDID ini mengakses “beberapa situs” di server penyedia web hosting Tzulo untuk membantu pelaksanaan peretasan
  • GDID milik PC Stokes yang tercantum dalam surat dakwaan adalah 6755467234350028

Kemungkinan pelacakan dan reaksi pengguna

  • Fakta bahwa penyidik federal mengidentifikasi tersangka peretas melalui pengenal Microsoft memicu kekhawatiran lebih besar soal penyalahgunaan untuk tujuan pengawasan
  • Pakar keamanan siber Matthew Hickey menulis di X, “Microsoft Windows is surveillance software”
  • GDID disebut singkat di salah satu halaman dukungan Microsoft, tetapi selain itu Microsoft belum menjelaskannya secara publik
  • Sebagian pengguna mulai mencari cara untuk membatasi atau menghapus pengenal GDID

Instal ulang dan pertanyaan yang tersisa untuk platform lain

  • Menurut surat dakwaan, GDID tetap sama setelah pembaruan sistem operasi Windows pada perangkat yang sama
  • Jika Windows diinstal ulang pada perangkat yang sama atau perangkat lain, GDID unik yang baru akan terhubung
  • Catatan kaki dalam surat dakwaan menyebutkan bahwa satu pengguna Microsoft dapat memiliki beberapa GDID
  • Peneliti keamanan siber Costin Raiu mempertanyakan apakah perusahaan teknologi lain juga memiliki kemampuan pengawasan serupa karena menggunakan pengenal unik
    • Apakah hal yang sama juga terjadi pada perangkat Apple dalam skala serupa
    • Apakah pengenal itu terikat ke perangkat keras terlepas dari instal ulang
    • Ia mengatakan bahwa jika menginginkan anonimitas penuh, mungkin perlu menggunakan Linux, FreeBSD, dan sejenisnya untuk lingkungan pengembangan serta memakai proxy, Tor, VPN, dan sejenisnya

1 komentar

 
GN⁺ 3 jam lalu
Komentar Hacker News
  • Bagian yang menarik bukanlah fakta bahwa pengidentifikasi perangkat itu ada. Hampir semua sistem operasi modern punya sesuatu yang mirip Pertanyaan yang lebih besar adalah batasannya. Komponen mana yang bisa mengaksesnya, dan kapan pengidentifikasi lokal berubah menjadi pengidentifikasi pelacakan jarak jauh machine-id yang tersimpan di disk dan vendor sistem operasi yang mengaitkannya dengan aktivitas jaringan adalah dua hal yang sama sekali berbeda

    • Inilah bagian terbesar yang hilang dari tulisan ini. Tidak jelas bagaimana persisnya pengidentifikasi perangkat Microsoft terhubung dengan sesi ngrok. Biasanya sesi ngrok dimulai lewat CLI sumber tertutup Dari tulisannya saja, tidak bisa dibedakan apakah Microsoft menyuntikkan pengidentifikasi perangkat ke traffic jaringan dengan cara yang mencurigakan, atau apakah perangkat lunak klien ngrok yang sumbernya tertutup mengambil pengidentifikasi perangkat itu. Kalau yang kedua, sistem operasi lain pun bisa melakukan hal yang sama, seperti /etc/machine-id di Linux Karena ngrok memakai model freemium, sama sekali tidak mengejutkan jika kliennya mengirim ID perangkat untuk menangkap pengguna yang mencoba mengakali batas gratis
    • Systemd disertakan di berbagai distribusi Linux besar, dan misalnya punya machine-id. Nilai ini bisa dibaca oleh siapa pun di perangkat tersebut di bawah /etc/machine-id https://www.freedesktop.org/software/systemd/man/latest/mach...
    • NetworkID di about:networking#networkid milik Firefox juga contoh serupa. Dulu sempat menjadi kontroversi, dan semua AI memiliki informasi yang salah tentang asal-usul serta kegunaannya
    • Bagian ini tidak jelas, dan jelas merupakan titik paling menarik. Intinya adalah pada tahap mana dan kapan GDID dikaitkan dengan alat atau permintaan web Dari tulisan ini saja, terdengar seolah “telemetri” Microsoft mengumpulkan semuanya, lalu melakukan pencarian massal atas aktivitas tertentu dan menarik GDID untuk menghubungkannya dengan pengguna
  • Ini tampaknya berarti Microsoft melakukan suatu bentuk analisis traffic di endpoint dan mengaitkannya dengan GDID. Mungkin bagian dari perlindungan real-time Defender atau MAPS Fakta menarik, nama lama Microsoft Defender MAPS adalah SpyNet https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Namun pengidentifikasi GDID tampaknya bersifat perangkat lunak. Kalau ingin lebih agresif, bisa juga diikat ke nomor seri motherboard seperti yang dilakukan sebagian game. Dengan begitu pelacakan berlangsung sepanjang siklus hidup hardware, bukan per instans instalasi Windows

    • Gagasan di balik SecureBoot dan chip TPM memang menyediakan GDID berbasis sidik jari hardware. Sebagian game sudah melacak pengguna seperti ini dengan dalih “anti-cheat”, dan Microsoft juga sudah melakukannya sejak era Windows 7 Yang berubah adalah sekarang TPM menyediakan otoritas hardware semacam itu
  • Rasanya sebentar lagi akan muncul alat Windows yang mengubah pengidentifikasi tersangka ini menjadi “g:6755467234350028”. Omong-omong, itu ID yang aneh. Saya paham 16 digit, tapi tadinya mengira itu akan berupa heksadesimal Saya juga penasaran bagaimana cara kerja klaim “menurut catatan Microsoft, pada 12 Mei 2025 pukul 19:21 UTC, GDID yang terkait dengan komputer Stokes mengakses 'https://dashboard[.]ngrok.com/signup' di antara beberapa halaman ngrok” Kalau browser mengirim informasi itu ke Microsoft, bukankah seseorang seharusnya menyadari bahwa PC menghubungi Microsoft untuk setiap halaman web yang dibuka? Atau apakah datanya dikumpulkan dulu lalu dikirim belakangan? Jika begitu, apakah ini “secara terbatas” hanya berdampak pada pengguna browser Microsoft? Atau apakah Chrome juga mengirim data ke Google dengan cara yang sama? Kemungkinan lain adalah ini terjadi di lapisan yang lebih rendah; saya bisa membayangkan posisi komponen sistem yang dapat mengakses nama domain, tetapi tidak tahu posisi yang bisa melihat URL lengkap

    • Semuanya adalah parallel construction https://en.wikipedia.org/wiki/Parallel_construction
    • Kemungkinan besar itu Microsoft Defender SmartScreen di Edge. Domain yang dikunjungi dikirim ke Microsoft untuk memeriksa apakah termasuk malware atau situs phishing yang dikenal Dan seperti yang kita ketahui di sini, informasi itu dikaitkan dengan GDID serta akun Microsoft, dan bisa diakses melalui permintaan penegak hukum
    • Itu adalah representasi desimal dari integer 64-bit
    • URL itu menampilkan 16 permintaan yang diblokir, dan setidaknya mencoba memuat datadog serta googletagmanager. Dugaan saya, polisi menghubungi semua perusahaan analitik yang menerima data dari Ngrok secara langsung atau tidak langsung, dan perusahaan-perusahaan itu menyimpan semua yang mereka dapatkan Yang paling mengejutkan adalah orang itu melakukan semua ini dari lingkungan instalasi Windows. Tapi kita memang hanya mendengar cerita penjahat bodoh yang tertangkap, jadi pada akhirnya masuk akal
    • Bahkan dengan browser selain Edge, sistem operasi bisa mendapatkan nama domain dari koneksi HTTPS, dan juga bisa mengetahui judul halaman yang disetel sebagai judul jendela Dalam banyak kasus, itu tampaknya sudah cukup untuk mengidentifikasi URL. Misalnya, URL pendaftaran menetapkan judulnya sebagai “ngrok Sign Up”
  • Ini cukup kuat menunjukkan bahwa Microsoft tidak peduli pada privasi, apa pun klaim mereka di judul layar persetujuan cookie Mereka sama sekali tidak peduli, dan ini harus dikatakan tentang semua vendor Big Tech. Walau terdengar klise, sekarang sudah saatnya mengatakan apa yang perlu dikatakan. Mereka tidak peduli pada privasi, kemandirian, atau kesejahteraan Anda. Mereka benar-benar tidak peduli

  • Anak ini memakai komputernya sendiri di rumahnya sendiri, mereka melacaknya lewat alamat IP, dan alamat IP itu juga mengirim permintaan Windows Updates. Dari situ Device ID dipersempit, lalu ID perangkat itu mengarah ke anak ini Inilah jenis hal yang terus diperingatkan oleh para pendukung privasi. Kemampuan seperti ini pada dasarnya menghapus semua klaim privasi Lebih jauh lagi, perusahaan seperti Google telah memanfaatkannya untuk membuat ekspektasi terhadap privasi itu sendiri benar-benar hilang

  • Tulisannya ambigu. Tidak ada bukti bahwa Microsoft bisa melihat halaman web apa yang dikunjungi pengguna di Chrome atau Firefox

    • Ada bagian seperti ini di balasan di atas
      1. Microsoft records also indicate: a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
    • Di Edge pun sama saja jika opsi-opsi di bawah ini dimatikan

      Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting] Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

  • Bukankah ini melanggar undang-undang perlindungan data pribadi Eropa?

    • Mungkin iya. Namun kalau kasusnya meretas situs web agar perhiasan mahal dikirim ke alamat rumah sendiri, itu mungkin tidak terlalu berarti
    • Kalau melanggar, apa yang berubah? Mereka mungkin akan terus bersikap buruk lalu hanya kena denda setara pendapatan 6 jam
    • GDPR hanya mengatur informasi pengenal pribadi, sedangkan ini adalah ID yang dibuat acak dan berubah setiap kali sistem operasi diinstal Jika digabung dengan informasi lain, ID itu bisa dipakai untuk melacak pengguna, tetapi ID itu saja tidak cukup untuk menghilangkan anonimitas seseorang
  • Mungkin terdengar gila, tetapi saya yakin telemetri semacam ini somehow terkait dengan latar belakang iklan VPN yang didorong secara besar-besaran dan terorganisasi selama beberapa tahun terakhir Semakin lama, “tangan tak terlihat pasar” benar-benar terlihat seperti tangan beberapa kelompok raksasa yang punya kekuasaan dan modal. Mereka membentuk, bahkan pada praktiknya mengendalikan, struktur ekonomi seluruh pasar, lalu menciptakan kemiringan sehingga perusahaan-perusahaan mengoptimalkan kerugian mereka VPN bisa saja merupakan spyware yang secara langsung meningkatkan kemampuan pelacakan, atau karena sekarang pelacakan bisa dilakukan bahkan tanpa IP, VPN ditawarkan untuk menghasilkan uang dari ketakutan pengguna sambil tetap melacak mereka Dalam gambaran yang lebih luas, sepertinya pasar bebas maupun demokrasi sudah tidak banyak tersisa. Sekarang semua pemerintah pun secara terorganisasi mendorong penghapusan perlindungan privasi

  • Industri teknologi AS dengan cepat menjadi seperti Rusia dan Tiongkok

    • Pernah dengar situs web bernama facebook?
    • Saya tidak mengerti mengapa ketika orang Amerika melakukan sesuatu, mereka merasa harus selalu menyebut Rusia dan Tiongkok Namun mungkin saja saya yang tidak pandai mempromosikannya. Kalau tindakan ini disebut perilaku “ala Tiongkok”, mungkin akan mempan pada kelompok tertentu yang biasanya mendukung tindakan seperti ini dengan alasan melindungi diri dari “Black Crime”
  • Ini adalah thread terkait dari para pengembang Massgrave.dev yang menjelaskan sebagian mekanisme GDID https://x.com/massgravel/status/2074304593303892354