1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Microsoft secara terbuka mengonfirmasi keberadaan Global Device Identifier (GDID) yang diberikan untuk setiap instalasi Windows yang terhubung ke akun, dan jaksa federal AS mencatatnya dalam surat dakwaan federal untuk melacak seseorang yang diduga anggota kelompok Scattered Spider
  • Rangkaian layanan Windows membuat GDID dan mengirimkannya ke server Microsoft, serta tetap dipertahankan setelah pembaruan. Jika penugasannya diblokir, aktivasi Windows dan aplikasi Microsoft Store dapat terdampak
  • FBI menghubungkan aktivitas Peter Stokes, yang diduga selama sekitar 8 bulan berpindah di 4 negara menggunakan VPN dan proxy, dengan GDID yang sama, lalu mencocokkan pembuatan akun ngrok dan catatan akses ke peritel korban dengan media sosial serta informasi perjalanan
  • GDID tidak memiliki fitur persetujuan, reset, atau penonaktifan maupun dokumentasi untuk pengguna umum, dan meski nilainya berubah setelah Windows dipasang ulang, aktivitas lama bisa dihubungkan kembali jika masuk dengan akun Microsoft yang sama
  • Pelacakan terkait bisa dikurangi dengan akun lokal dan pengaturan privasi, tetapi GDID itu sendiri tidak bisa dimatikan secara langsung, dan Microsoft juga tidak menyatakan rencana untuk menyediakan kontrol pengguna atau dokumentasi tambahan

ID persisten yang mengidentifikasi instalasi Windows

  • Global Device Identifier (GDID) adalah pengenal tingkat perangkat yang diberikan ke instalasi Windows tersebut saat Windows diprovisikan untuk akun Microsoft
  • Ini adalah pengenal persisten yang dirancang untuk membedakan secara unik sistem operasi Windows yang dipasang di perangkat fisik atau mesin virtual dalam beberapa layanan Microsoft dan skenario penggunaan
  • Pengenal ini tetap bertahan setelah pembaruan Windows, tetapi jika disk dihapus dan Windows dipasang ulang, GDID lama tidak dipertahankan
  • Satu pengguna dapat memiliki beberapa GDID, dan Microsoft dapat menghubungkannya satu sama lain melalui akun, OneDrive, dan catatan aktivasi
  • Ini telah diterapkan di latar belakang kepada sekitar 1,6 miliar pengguna Windows tanpa pengungkapan terpisah atau kontrol pengguna, dan ada pada semua instalasi Windows yang terhubung ke akun Microsoft

Dari pembuatan hingga pelaporan ke server Microsoft

  • Beberapa layanan Windows bekerja berantai untuk membuat GDID
    • Layanan wlidsvc meminta Device PUID ke login.live.com
    • Connected Devices Platform mendaftarkan nilai ini ke Microsoft Device Directory Service
    • Delivery Optimization melaporkan GDID ke Microsoft saat PC mengunduh atau membagikan pembaruan
  • Pengenal disimpan dalam kunci LID di registri HKCU\\SOFTWARE\\Microsoft\\IdentityCRL\\ExtendedProperties
    • Formatnya menggabungkan prefiks huruf kecil g dan angka desimal
    • Dalam antarmuka Windows biasa, pengguna tidak dapat melihat GDID miliknya sendiri
  • Jika penugasan GDID diblokir, aktivasi Windows dan aplikasi UWP mungkin tidak berfungsi
    • Menurut Massgrave, pembuat Microsoft Activation Scripts, selama proses penyiapan Windows informasi perangkat keras dikirim ke Microsoft, lalu sistem menerima kembali pengenal yang dipakai untuk akses Store dan lisensi

Cara FBI menghubungkan sesi VPN

  • FBI menggunakan GDID untuk melacak Peter Stokes, yang diduga anggota Scattered Spider, melintasi koneksi VPN dan server proxy
    • Pelacakan berlangsung sekitar 8 bulan dan aktivitasnya mencakup 4 negara
  • Menurut surat dakwaan, g:6755467234350028 mengakses halaman pendaftaran ngrok pada saat akun yang dipakai dalam serangan dibuat melalui proxy VPN Tzulo
    • Tiga jam kemudian, GDID yang sama mengakses situs web peritel korban melalui proxy yang sama
  • Penegak hukum mencocokkan perangkat tersebut dengan alamat IP yang terhubung ke akun Snapchat, Facebook, Apple, dan Ubisoft milik Stokes
    • Lokasi akses terkait mencakup Estonia, New York, dan Thailand
    • Foto yang dipublikasikan Stokes di Snapchat cocok dengan reservasi hotel, lokasi, dan jadwal perjalanan yang terhubung ke GDID
  • Alamat IP VPN sering berubah, tetapi instalasi Windows terus melaporkan pengenal yang sama sehingga menjadi petunjuk pelacakan lintas sesi VPN

Pengenal yang tak terlihat dan batas kendali pengguna

  • Saat GDID ditetapkan, tidak ada layar persetujuan, dan juga tidak ada fitur bagi pengguna untuk mereset atau menonaktifkannya
    • Pengenal iklan Apple menyediakan notifikasi App Tracking Transparency dan fitur reset
    • Android juga menyediakan kontrol serupa
  • Saat Windows dipasang ulang, GDID baru dibuat, tetapi jika masuk dengan akun Microsoft yang sama, Microsoft dapat menghubungkan pengenal baru itu dengan aktivitas sebelumnya
  • Dokumentasi publik Microsoft hanya berupa satu kalimat dalam tabel referensi Azure Monitor untuk admin TI perusahaan yang menyebut GDID sebagai “pengenal yang digunakan Microsoft secara internal”
  • Peneliti keamanan Matthew Hickey menilai kasus ini sebagai contoh Windows sebagai “surveillance software
  • Costin Raiu dalam podcast Three Buddy Problem mempertanyakan seberapa banyak platform lain memiliki fungsi serupa
  • Sistem operasi utama mempertahankan sarana identifikasi perangkat yang persisten untuk lisensi dan pemeriksaan keamanan, tetapi Windows tidak menyediakan kontrol yang terlihat oleh pengguna seperti pada platform Apple dan Google

Pengaturan untuk mengurangi pelacakan terkait

  • Karena GDID tidak bisa dimatikan langsung tanpa merusak fungsi inti Windows, pengaturan berikut merupakan langkah untuk mengurangi pelacakan terkait
    • Jika memungkinkan, gunakan akun lokal alih-alih akun Microsoft
      • Windows 11 terbaru membuat penyiapan akun lokal lebih sulit, tetapi pengguna yang mengetahui caranya masih dapat memilihnya selama proses instalasi
    • Matikan data diagnostik opsional di Pengaturan → Privasi & keamanan → Diagnostik & umpan balik
    • Nonaktifkan iklan yang dipersonalisasi dan pelacakan peluncuran aplikasi di Privasi & keamanan → Rekomendasi & saran
    • Matikan Cloud Content Search di Privasi & keamanan → Pencarian agar pencarian lokal tidak dikirim ke Bing
    • Tinjau dan nonaktifkan Activity History serta opsi telemetri lainnya
  • Dalam situasi seperti aktivitas jurnalistik, gerakan sosial, atau kekerasan dalam rumah tangga, ketika persistensi pengenal dapat menjadi ancaman, disarankan menggunakan Linux melalui Tor alih-alih mengandalkan PC Windows dan VPN komersial
  • Bahkan jika Windows dipasang ulang untuk mendapatkan GDID baru, masuk dengan akun Microsoft yang sama tetap memberi Microsoft data untuk menghubungkannya dengan aktivitas sebelumnya

Ruang lingkup pengungkapan yang terbatas dan status ke depan

  • Permintaan hukum seperti subpoena dapat memaksa Microsoft memberikan data aktivitas GDID kepada lembaga penegak hukum, dan kasus Scattered Spider menjadi contoh nyata
  • Microsoft tidak menyatakan akan mengubah cara pembuatan, penyimpanan, atau pelaporan GDID, dan juga tidak menjanjikan kontrol atau dokumentasi untuk pengguna umum
  • Di luar surat dakwaan federal, materi yang dipublikasikan hanya entri singkat dalam dokumentasi Azure Monitor, dan saat ini bagian terkait telemetri Microsoft dalam dakwaan tersebut adalah materi publik paling rinci yang menunjukkan cara kerja GDID
  • Kasus Scattered Spider masih berjalan di pengadilan federal AS, dan pengguna dapat memantau pembaruan privasi Microsoft di masa mendatang

1 komentar

 
GN⁺ 4 jam lalu
Opini di Lobste.rs
  • Yang tidak saya pahami adalah bagaimana Windows GDID terhubung dengan aktivitas di layanan di luar Microsoft. Apakah perangkat mengirimkan GDID ke layanan-layanan tersebut, atau Microsoft menyimpan aktivitas browser semua pengguna? Jika yang kedua, apakah pengumpulannya hanya lewat Edge, atau ada cara lain yang juga digunakan?

    • Karena liputan media teknis sering tidak akurat, saya melihat langsung dokumen pengajuannya, dan melalui log Microsoft, GDID dikaitkan dengan alamat IP VPN .168, lalu pada waktu yang mirip dibuat akun ngrok yang digunakan untuk peretasan dari IP VPN yang sama
      Pada saat itu, beberapa orang bisa saja berbagi IP VPN tersebut, jadi sulit menganggapnya sebagai bukti yang menentukan. Mirip seperti berada di dekat lokasi pembunuhan saat kejadian tidak otomatis menjadikan seseorang pembunuh, tetapi bisa membuatnya menjadi tersangka. Konteks tentang para peretas yang memamerkan kekayaan dengan sumber yang tidak jelas dan kemudian dijatuhi hukuman mungkin menambah kecurigaan, tetapi fakta bahwa data bocor ditemukan dalam penggeledahan jauh lebih meyakinkan
      Sepertinya GDID tidak menjalankan peran khusus di sini. Ini hanya relevan karena Microsoft menyerahkan informasi kepada FBI dan menggunakan GDID dalam analisis internalnya; perusahaan lain yang mengumpulkan log IP yang terhubung ke informasi akun pun kemungkinan bisa melaporkan hal yang sama
    • Dugaan saya, Windows mengirim GDID ke Microsoft, lalu Microsoft mencatat alamat IP dan waktu. Jika ini dicocokkan dengan data lain yang merekam IP, waktu, dan tindakan tertentu—seperti sesi VPN atau akses ke web server—aktivitas pengguna dari waktu ke waktu bisa dihubungkan
  • Dokumen pengadilan terkait ada di sini: https://www.justice.gov/usao-ndil/media/1450651/dl?inline

  • Konfirmasi dari Microsoft tidak penting, dan bahkan tanpa pernyataan semacam itu, keberadaan fitur tersebut sebenarnya sudah terbukti
    Disebutkan bahwa peneliti keamanan Matthew Hickey menyebut Windows dalam kasus ini sebagai “perangkat lunak pengawasan”, yang menurut saya konyol. Penilaian bahwa Windows adalah spyware sudah muncul setidaknya sejak peluncuran Windows 10