Windows od lat zbiera dane diagnostyczne, ale większość użytkowników nie zastanawia się, jak daleko sięga ten mechanizm. Najnowsze dokumenty sądowe ujawnione przy okazji sprawy domniemanego hakera rzuciły nowe światło na możliwości Microsoftu. Okazuje się, że każdy komputer z systemem Windows posiada unikalny identyfikator, który może odegrać kluczową rolę podczas śledztw.
Informacja wywołała gorącą dyskusję wśród ekspertów od cyberbezpieczeństwa i obrońców prywatności. Jedni podkreślają, że dzięki temu udało się zatrzymać cyberprzestępcę. Inni zwracają uwagę, że skala gromadzonych danych jest bardzo niepokojąca.
Czym jest tajemniczy GDID?
Kluczowym elementem całej sprawy jest Global Device Identifier (GDID). To unikalny identyfikator przypisywany do konkretnej instalacji systemu Windows, wykorzystywany przez Microsoft między innymi w ramach telemetrii oraz usług związanych z bezpieczeństwem. Identyfikator pozostaje powiązany z daną instalacją systemu nawet po aktualizacjach, natomiast zmienia się po jego ponownej instalacji.
Samo istnienie identyfikatora nie jest niczym niezwykłym – podobne rozwiązania stosuje wiele systemów operacyjnych i usług internetowych. Kontrowersje wzbudziło jednak to, jak szczegółowe informacje mogły zostać powiązane z konkretnym urządzeniem.
VPN to za mało. Błąd nastoletniego hakera
Na kwestię GDID światło rzuciło śledztwo amerykańskich służb. Sprawa dotyczy 19-letniego Petera Stokesa, który jest podejrzany o udział w działalności grupy hakerskiej Scattered Spider. Według prokuratury uczestniczył on w ataku na luksusową firmę jubilerską w Stanach Zjednoczonych, podczas którego cyberprzestępcy wykradli dane i zażądali okupu w kryptowalutach.
Choć podejrzany korzystał z sieci VPN oraz narzędzi mających utrudnić identyfikację, śledczy otrzymali od Microsoftu dane powiązane z identyfikatorem GDID. Kluczowe okazało się zestawienie tych danych z logami usługi ngrok, czyli narzędzia, które pozwala wystawić lokalnie uruchomioną usługę (w tym przypadku złośliwą) do internetu przez tunel, bez konieczności posiadania własnego serwera. Microsoft był w stanie wskazać, że ten sam identyfikator GDID pojawił się podczas zakładania konta w ngrok, a zaledwie kilka godzin później został odnotowany przy odwiedzeniu strony internetowej ofiary.

Ponieważ GDID identyfikuje konkretną instalację Windows, a nie połączenie sieciowe, korzystanie z VPN nie miało znaczenia – oba zdarzenia zostały przypisane do tego samego urządzenia. Następnie śledczy przeanalizowali historię adresów IP powiązanych z tym identyfikatorem i zestawili je z logowaniami do innych usług internetowych (Apple, Snapchat i Meta). To pozwoliło zbudować spójny łańcuch dowodowy prowadzący do podejrzanego.


Prywatność kontra bezpieczeństwo
Publikacja dokumentów błyskawicznie wywołała dyskusję o granicach telemetrii w Windows. Microsoft od lat przekonuje, że dane diagnostyczne służą poprawie jakości systemu, wykrywaniu błędów oraz zwiększaniu bezpieczeństwa użytkowników. Omawiana sprawa pokazuje jednak, że informacje mogą również zostać wykorzystane na potrzeby postępowań prowadzonych przez organy ścigania.
Nie oznacza to, że Microsoft na bieżąco śledzi każdy ruch użytkownika czy udostępnia dane dowolnym podmiotom. W tym przypadku informacje zostały przekazane w ramach oficjalnego śledztwa prowadzonego przez FBI. Mimo to eksperci zwracają uwagę, że przeciętny użytkownik często nie zdaje sobie sprawy z zakresu danych przesyłanych do producenta systemu.
Czy jest się czego obawiać?
Telemetria od lat stanowi integralną część systemu, a jej część można ograniczyć w ustawieniach prywatności. Nie da się jednak całkowicie wyłączyć wszystkich mechanizmów identyfikujących urządzenie. Historia pokazuje, że dane zbierane przez system operacyjny mogą okazać się znacznie bardziej szczegółowe, niż wielu osobom wydawało się do tej pory.
Sprawa Stokesa przypomina, że nawet korzystanie z VPN czy innych narzędzi nie gwarantuje pełnej anonimowości, jeśli śledczy dysponują dodatkowymi źródłami informacji. Szczerze mówiąc, kiedy przeczytałem o hakerze używającym Windowsa, zachciało mi się śmiać. Dla Stokesa mądrzejszym wyborem byłby którykolwiek Linux, o czym zapewne zapomnieli mu powiedzieć koledzy z grupy…
Źródło: PCMag, MSN