1 điểm bởi GN⁺ 4 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Microsoft đã công khai xác nhận sự tồn tại của Global Device Identifier (GDID), được cấp cho mỗi bản cài đặt Windows liên kết với tài khoản, và các công tố viên Mỹ đã ghi nhận điều này trong đơn khiếu nại liên bang dùng để truy vết một người bị nghi là thành viên nhóm Scattered Spider
  • Chuỗi dịch vụ Windows tạo GDID và gửi lên máy chủ Microsoft; mã này vẫn tồn tại sau các bản cập nhật. Nếu chặn việc cấp phát, kích hoạt bản quyền Windows và ứng dụng Microsoft Store có thể bị ảnh hưởng
  • FBI đã dùng cùng một GDID để liên kết hoạt động của Peter Stokes, người di chuyển qua 4 quốc gia bằng VPN và proxy trong khoảng 8 tháng, đồng thời đối chiếu việc tạo tài khoản ngrok và hồ sơ truy cập nhà bán lẻ bị hại với mạng xã hội và thông tin du lịch
  • GDID không có cơ chế đồng ý, đặt lại, vô hiệu hóa hay tài liệu dành cho người dùng phổ thông; ngay cả khi cài mới Windows làm giá trị thay đổi, việc đăng nhập cùng tài khoản Microsoft có thể lại liên kết với hoạt động trước đó
  • Tài khoản cục bộ và thiết lập quyền riêng tư có thể giảm việc theo dõi liên quan, nhưng không thể trực tiếp tắt chính GDID, và Microsoft cũng không nêu kế hoạch cung cấp quyền kiểm soát cho người dùng hoặc tài liệu bổ sung

ID bền vững để nhận diện bản cài đặt Windows

  • Global Device Identifier (GDID) là mã định danh cấp thiết bị được gán cho một bản cài đặt Windows khi Windows được cấp phát để dùng với tài khoản Microsoft
  • Đây là mã định danh bền vững được thiết kế để phân biệt duy nhất hệ điều hành Windows cài trên thiết bị vật lý hoặc máy ảo trong một số dịch vụ Microsoft và kịch bản sử dụng
  • Mã này vẫn được duy trì sau các bản cập nhật Windows, nhưng nếu xóa ổ đĩa và cài mới Windows thì GDID cũ không được giữ lại
  • Một người dùng có thể có nhiều GDID, và Microsoft có thể liên kết chúng với nhau thông qua tài khoản, OneDrive và lịch sử kích hoạt bản quyền
  • Cơ chế này đã được áp dụng trong nền cho khoảng 1,6 tỷ người dùng Windows mà không có công bố riêng hay quyền kiểm soát từ người dùng, và tồn tại trên mọi bản cài đặt Windows liên kết với tài khoản Microsoft

Từ khâu tạo đến báo cáo lên máy chủ Microsoft

  • Nhiều dịch vụ Windows hoạt động nối tiếp để tạo GDID
    • Dịch vụ wlidsvc yêu cầu Device PUID từ login.live.com
    • Connected Devices Platform đăng ký giá trị này với Microsoft Device Directory Service
    • Delivery Optimization báo cáo GDID cho Microsoft khi PC tải xuống hoặc chia sẻ bản cập nhật
  • Mã định danh được lưu trong khóa LID của registry HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties
    • Định dạng là sự kết hợp giữa tiền tố chữ thường g và các chữ số thập phân
    • Người dùng không thể xem GDID của mình trong giao diện Windows thông thường
  • Nếu chặn việc cấp phát GDID, kích hoạt bản quyền Windows và ứng dụng UWP có thể không hoạt động
    • Theo Massgrave, người tạo Microsoft Activation Scripts, trong quá trình thiết lập Windows, thông tin phần cứng được gửi tới Microsoft và hệ thống nhận lại một mã định danh dùng cho quyền truy cập Store và giấy phép

Cách FBI liên kết các phiên VPN

  • FBI đã sử dụng GDID để truy vết Peter Stokes, người bị nghi là thành viên Scattered Spider, xuyên qua các kết nối VPN và máy chủ proxy
    • Việc truy vết kéo dài khoảng 8 tháng, với hoạt động trải qua 4 quốc gia
  • Theo đơn khiếu nại, g:6755467234350028 đã truy cập trang đăng ký ngrok vào thời điểm tài khoản dùng trong vụ tấn công được tạo thông qua proxy VPN Tzulo
    • 3 giờ sau, cùng GDID đó truy cập website của nhà bán lẻ bị hại thông qua cùng proxy
  • Cơ quan điều tra đối chiếu thiết bị này với các địa chỉ IP liên quan đến tài khoản Snapchat, Facebook, Apple và Ubisoft của Stokes
    • Các vị trí truy cập liên quan bao gồm Estonia, New York, Thái Lan, v.v.
    • Ảnh Stokes đăng công khai trên Snapchat khớp với đặt phòng khách sạn, vị trí và lịch trình di chuyển liên kết với GDID
  • Dù địa chỉ IP của VPN thay đổi thường xuyên, bản cài đặt Windows vẫn liên tục báo cáo cùng một mã định danh, trở thành dấu vết truy vết xuyên suốt các phiên VPN

Mã định danh vô hình và giới hạn trong quyền kiểm soát của người dùng

  • Khi GDID được cấp phát, không có màn hình xin đồng ý, và cũng không có chức năng để người dùng đặt lại hoặc vô hiệu hóa
    • Mã định danh quảng cáo của Apple cung cấp thông báo App Tracking Transparency và chức năng đặt lại
    • Android cũng cung cấp các tính năng kiểm soát tương tự
  • Cài đặt lại Windows sẽ tạo GDID mới, nhưng nếu đăng nhập cùng tài khoản Microsoft, Microsoft có thể liên kết mã định danh mới với hoạt động trước đó
  • Tài liệu công khai của Microsoft chỉ có một câu trong bảng tham chiếu Azure Monitor dành cho quản trị viên IT doanh nghiệp, mô tả GDID là “mã định danh được Microsoft sử dụng nội bộ”
  • Nhà nghiên cứu bảo mật Matthew Hickey đánh giá Windows là “phần mềm giám sát (surveillance software)” khi nói về vụ việc này
  • Costin Raiu đặt câu hỏi trên podcast Three Buddy Problem rằng các nền tảng khác có chức năng tương tự đến mức nào
  • Các hệ điều hành lớn duy trì các phương tiện nhận diện thiết bị bền vững để phục vụ giấy phép và kiểm tra bảo mật, nhưng khác với nền tảng Apple và Google, Windows không cung cấp tính năng kiểm soát hiển thị cho người dùng

Thiết lập để giảm việc theo dõi liên quan

  • Vì không thể trực tiếp tắt GDID mà không làm hỏng các chức năng cốt lõi của Windows, các thiết lập sau là biện pháp giảm việc theo dõi liên quan
    • Nếu có thể, dùng tài khoản cục bộ thay vì tài khoản Microsoft
      • Windows 11 gần đây khiến việc thiết lập tài khoản cục bộ khó hơn, nhưng người dùng biết cách vẫn có thể chọn trong quá trình cài đặt
    • Trong Cài đặt → Quyền riêng tư & bảo mật → Chẩn đoán & phản hồi, tắt dữ liệu chẩn đoán tùy chọn
    • Trong Quyền riêng tư & bảo mật → Đề xuất và gợi ý, vô hiệu hóa quảng cáo cá nhân hóa và theo dõi khởi chạy ứng dụng
    • Trong Quyền riêng tư & bảo mật → Tìm kiếm, tắt Cloud Content Search để tìm kiếm cục bộ không bị gửi lên Bing
    • Xem xét và vô hiệu hóa Activity History cùng các tùy chọn đo từ xa khác
  • Trong các tình huống mà tính bền vững của mã định danh có thể trở thành mối đe dọa, như hoạt động báo chí, hoạt động xã hội hoặc bạo lực gia đình, nên dùng Linux qua Tor thay vì phụ thuộc vào PC Windows và VPN thương mại
  • Ngay cả khi cài đặt lại Windows để nhận GDID mới, việc đăng nhập cùng tài khoản Microsoft sẽ cung cấp cho Microsoft dữ liệu để liên kết với hoạt động trước đó

Phạm vi công khai hạn chế và tình trạng trong tương lai

  • Các yêu cầu pháp lý như trát đòi có thể buộc Microsoft cung cấp dữ liệu hoạt động GDID cho cơ quan điều tra, và vụ Scattered Spider là một ví dụ thực tế
  • Microsoft chưa nêu lập trường rằng họ sẽ thay đổi cách GDID được tạo, lưu trữ hoặc báo cáo, cũng không hứa cung cấp quyền kiểm soát hay tài liệu cho người dùng phổ thông
  • Ngoài đơn khiếu nại liên bang, tài liệu công khai chỉ có một mục ngắn trong tài liệu Azure Monitor, và hiện phần liên quan đến đo từ xa Microsoft trong đơn khiếu nại là tài liệu công khai cho thấy chi tiết nhất cách GDID hoạt động
  • Vụ Scattered Spider đang trong quá trình tố tụng tại tòa án liên bang Mỹ, và người dùng có thể theo dõi các cập nhật liên quan đến quyền riêng tư trong tương lai từ Microsoft

1 bình luận

 
Ý kiến trên Lobste.rs
  • Điều khó hiểu là Windows GDID được liên kết với hoạt động trên các dịch vụ bên ngoài Microsoft như thế nào. Không rõ thiết bị có gửi GDID cho các dịch vụ đó hay không, hay Microsoft lưu trữ toàn bộ hoạt động duyệt web của mọi người dùng. Nếu là trường hợp sau, cũng đặt ra câu hỏi liệu họ chỉ thu thập trong Edge hay còn dùng phương tiện khác

    • Vì các bài báo của giới truyền thông công nghệ thường không chính xác, tôi đã xem trực tiếp đơn trình lên tòa; theo đó, qua log của Microsoft, GDID được liên kết với địa chỉ IP VPN .168, và vào khoảng thời gian tương tự, một tài khoản ngrok dùng trong vụ hack đã được tạo từ cùng IP VPN đó
      Khi ấy có thể nhiều người cùng dùng IP VPN đó, nên khó xem đây là bằng chứng quyết định. Nó giống như việc có mặt gần hiện trường lúc xảy ra án mạng không có nghĩa là hung thủ, nhưng có thể trở thành nghi phạm. Việc khoe khoang về tài sản không rõ nguồn gốc và nói về các hacker từng bị kết án có lẽ cũng làm tăng nghi ngờ, nhưng việc dữ liệu bị rò rỉ được tìm thấy trong cuộc khám xét thuyết phục hơn nhiều
      Ở đây GDID dường như không đóng vai trò đặc biệt nào. Nó chỉ liên quan vì Microsoft đã dùng GDID trong phân tích nội bộ khi chuyển thông tin cho FBI; bất kỳ công ty nào khác thu thập log IP gắn với thông tin tài khoản cũng có thể báo cáo tương tự
    • Tôi đoán cơ chế là Windows gửi GDID về Microsoft, rồi Microsoft ghi lại địa chỉ IP và thời điểm. Nếu đối chiếu dữ liệu này với các tài liệu ghi lại IP, thời điểm và hành động cụ thể, chẳng hạn như phiên VPN hoặc truy cập máy chủ web, thì có thể liên kết hoạt động của người dùng theo thời gian
  • Đơn trình lên tòa liên quan ở đây: https://www.justice.gov/usao-ndil/media/1450651/dl?inline

  • Việc Microsoft xác nhận không quan trọng; ngay cả không có phát biểu như vậy, sự tồn tại của tính năng đó cũng đã được chứng minh
    Nghe nói nhà nghiên cứu bảo mật Matthew Hickey gọi Windows là “phần mềm giám sát” trong vụ này, thật nực cười. Nhận định Windows là spyware đã có muộn nhất là từ khi Windows 10 ra mắt