1 Punkte von GN⁺ 3 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Im Fall des 19-jährigen Peter Stokes, dem eine Verbindung zu Scattered Spider vorgeworfen wird, wurde bekannt, dass das FBI mit Aufzeichnungen von Microsofts Global Device ID (GDID) einen Windows-PC mit Online-Aktivitäten verknüpft hat
  • Die GDID ist ein dauerhafter Identifikator auf Geräteebene, der eine Windows-Installation über Microsoft-Dienste und verschiedene Szenarien hinweg identifiziert und sowohl für physische Geräte als auch für virtuelle Maschinen gelten kann
  • Die Strafanzeige enthält Aufzeichnungen, wonach eine mit Stokes’ Computer verknüpfte GDID am 12. Mai 2025 um 19:21 UTC auf die ngrok-Anmeldeseite und mehrere Sites auf Servern von Tzulo zugegriffen hat
  • Die GDID bleibt auch nach Windows-Updates erhalten, ändert sich aber bei einer Neuinstallation; zudem kann ein Microsoft-Nutzer mehrere GDIDs haben
  • Der Fall hat die Sorge verstärkt, dass sich Online-Aktivitäten auf Windows-PCs auch ohne Browser-Cookies von Drittanbietern nachverfolgen lassen, und einige Nutzer begannen nach Möglichkeiten zu suchen, die GDID zu prüfen oder zu entfernen

Einsatz der GDID, offengelegt durch einen Festnahmefall

  • Die USA haben den 19-jährigen Peter Stokes aus Europa ausgeliefert; ihm wird vorgeworfen, Mitglied der Hackergruppe Scattered Spider zu sein
  • In der veröffentlichten Strafanzeige dienten Microsoft-Aufzeichnungen als zentraler Hinweis, um Stokes mit mutmaßlichen Hacking-Taten in Verbindung zu bringen
  • Stokes wird vorgeworfen, im Mai 2025 einen nicht namentlich genannten gehobenen Schmuckhändler gehackt zu haben; den Aufzeichnungen zufolge nutzte er dabei ein VPN
  • Das FBI bestätigte anhand von Microsoft-Aufzeichnungen, dass seine IP-Adresse mit einem Microsoft-Gerätekennzeichen namens Global Device ID (GDID) verknüpft war

Was die GDID identifiziert

  • Laut der in der Anzeige zitierten Erklärung von Microsoft ist die GDID ein dauerhafter Identifikator auf Geräteebene im Windows-Ökosystem
  • Dieser Identifikator ist dafür ausgelegt, eine Installation des Windows-Betriebssystems eindeutig zu unterscheiden
    • Er kann sich auf physische Geräte wie Laptops oder Mobiltelefone beziehen
    • Auch virtuelle Maschinen sind eingeschlossen
    • Er wird über bestimmte Microsoft-Dienste und Szenarien hinweg verwendet
  • Die Praxis, Konten oder Geräten eindeutige IDs zuzuweisen, ist üblich, doch in diesem Fall wurde deutlich, dass die GDID sogar mit Zugriffsprotokollen auf Dienste Dritter und deren Zeitpunkten verknüpft werden kann

Mit Online-Aktivitäten verknüpfte Aufzeichnungen

  • Stokes wird vorgeworfen, das Web-Entwicklertool ngrok missbraucht zu haben, um die Netzwerkabwehr des Schmuckhändlers zu umgehen
  • In Microsofts Aufzeichnungen ist vermerkt, dass eine mit Stokes’ Computer verknüpfte GDID am 12. Mai 2025 um 19:21 UTC https://dashboard[.]ngrok.com/signup aufgerufen hat
    • Diese URL ist die Seite zum Einrichten eines ngrok-Kontos
    • Dieselbe GDID soll auch andere ngrok-Seiten aufgerufen haben
  • Das Dokument enthält außerdem die Angabe, dass diese GDID zum Zweck der Unterstützung des Hacks auf „mehrere Sites“ auf Servern des Webhosting-Anbieters Tzulo zugegriffen habe
  • Die in der Anzeige aufgeführte GDID von Stokes’ PC lautet 6755467234350028

Nachverfolgbarkeit und Reaktion der Nutzer

  • Dass Bundesermittler einen mutmaßlichen Hacker über einen Microsoft-Identifikator identifiziert haben, hat die Sorge vor Missbrauch zu Überwachungszwecken verstärkt
  • Der Cybersicherheitsexperte Matthew Hickey schrieb auf X: „Microsoft Windows is surveillance software“
  • Die GDID wird auf einer Support-Seite von Microsoft nur kurz erwähnt, darüber hinaus hat Microsoft sie öffentlich nicht näher erklärt
  • Einige Nutzer begannen, nach Möglichkeiten zu suchen, den GDID-Identifikator einzuschränken oder zu löschen

Neuinstallation und offene Fragen zu anderen Plattformen

  • Der Anzeige zufolge bleibt die GDID auch nach Updates des Windows-Betriebssystems auf demselben Gerät bestehen
  • Wird Windows auf demselben oder auf einem anderen Gerät neu installiert, wird eine neue eindeutige GDID zugeordnet
  • Eine Fußnote der Anzeige erklärt, dass ein Microsoft-Nutzer mehrere GDIDs haben kann
  • Der Cybersicherheitsforscher Costin Raiu stellte mit Verweis auf den Einsatz eindeutiger Identifikatoren die Frage, ob auch andere Tech-Unternehmen über ähnliche Überwachungsmöglichkeiten verfügen
    • Ob dies auf Apple-Geräten in ähnlichem Umfang vorkommt
    • Ob die Kennung unabhängig von einer Neuinstallation auf Hardware-Ebene gebunden ist
    • Er sagte, wer vollständige Anonymität wolle, müsse in Entwicklungsumgebungen möglicherweise Linux, FreeBSD usw. verwenden und zudem über Proxys, Tor, VPNs usw. gehen

1 Kommentare

 
GN⁺ 3 시간 전
Hacker-News-Kommentare
  • Der interessante Punkt ist nicht die bloße Existenz einer Gerätekennung. So etwas Ähnliches gibt es auf fast jedem modernen Betriebssystem. Die größere Frage ist die Grenzziehung: Welche Komponenten dürfen darauf zugreifen, und ab wann wird eine lokale Kennung zu einer entfernten Tracking-Kennung? Eine machine-id auf der Festplatte zu haben und dass der Betriebssystemanbieter sie mit Netzwerkaktivitäten verknüpft, sind zwei völlig verschiedene Dinge.

    • Genau das ist der größte fehlende Teil in diesem Artikel. Es ist nicht klar, wie Microsofts Gerätekennung genau mit einer ngrok-Sitzung verknüpft wurde. Normalerweise wird eine ngrok-Sitzung von einer Closed-Source-CLI gestartet. Aus dem Artikel geht nicht hervor, ob Microsoft die Gerätekennung auf irgendeine dubiose Weise in den Netzwerkverkehr eingeschleust hat oder ob die Closed-Source-ngrok-Client-Software die Gerätekennung abgegriffen hat. Falls Letzteres zutrifft, wäre das auf anderen Betriebssystemen genauso möglich, etwa mit /etc/machine-id unter Linux. Da ngrok ein Freemium-Modell nutzt, wäre es überhaupt nicht überraschend, wenn der Client eine Geräte-ID sendet, um Nutzer zu erkennen, die kostenlose Limits umgehen wollen.
    • Systemd ist in mehreren großen Linux-Distributionen enthalten und hat zum Beispiel eine machine-id. Dieser Wert ist unter /etc/machine-id für jeden auf dem jeweiligen Gerät lesbar. https://www.freedesktop.org/software/systemd/man/latest/mach...
    • Die NetworkID in Firefox unter about:networking#networkid ist ein ähnliches Beispiel. Das war einmal umstritten, und alle AIs haben falsche Informationen über ihren Ursprung und Zweck.
    • Dieser Teil ist unklar und mit Abstand der interessanteste Punkt. Entscheidend ist, in welchem Schritt und zu welchem Zeitpunkt die GDID mit dem Tool oder den Webanfragen verknüpft wurde. So wie der Artikel jetzt klingt, hört es sich an, als würde Microsofts „Telemetrie“ alles einsammeln, dann bestimmte Aktivitäten massenhaft durchsuchen und anschließend die GDID heranziehen, um sie mit dem Nutzer zu verknüpfen.
  • Das scheint zu bedeuten, dass Microsoft auf dem Endpunkt eine Form von Verkehrsanalyse durchführt und diese mit der GDID verknüpft. Vermutlich ist das Teil des Echtzeitschutzes von Defender oder von MAPS. Eine nette Randnotiz: Der frühere Name von Microsoft Defender MAPS war SpyNet. https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... Die GDID-Kennung scheint allerdings softwarebasiert zu sein. Wenn man aggressiver vorgehen wollte, könnte man sie wie manche Spiele an die Seriennummer des Mainboards binden. Dann würde nicht nur eine Windows-Installationsinstanz verfolgt, sondern der gesamte Lebenszyklus der Hardware.

    • Die Idee hinter SecureBoot und dem TPM-Chip ist genau, per Hardware-Fingerabdruck eine GDID bereitzustellen. Manche Spiele verfolgen Nutzer bereits auf diese Weise unter dem Vorwand des „Cheat-Schutzes“, und Microsoft macht das schon seit Windows-7-Zeiten. Der Unterschied ist heute, dass TPM nun diese Hardware-Autorität bereitstellt.
  • Es wird wohl bald ein Windows-Tool geben, das die Kennung dieses Verdächtigen in „g:6755467234350028“ ändert. Nebenbei: eine merkwürdige ID. 16 Stellen kann ich nachvollziehen, aber ich hätte erwartet, dass sie hexadezimal ist. Ich frage mich auch, wie „laut Microsoft-Aufzeichnungen die mit Stokes’ Computer verknüpfte GDID am 12. Mai 2025 um 19:21 UTC auf 'https://dashboard[.]ngrok.com/signup' unter mehreren ngrok-Seiten zugegriffen hat“ technisch funktionieren soll. Falls der Browser diese Information an Microsoft sendet, hätte dann nicht längst jemand bemerkt, dass der PC für jede geöffnete Webseite Microsoft kontaktiert? Oder werden die Daten gesammelt und später übertragen? Falls ja, betrifft das dann nur Nutzer von Microsoft-Browsern „in begrenztem Umfang“? Oder sendet Chrome auf ähnliche Weise Daten an Google? Eine andere Möglichkeit wäre, dass es auf einer tieferen Ebene passiert. Mir fallen Stellen ein, an denen Systemkomponenten Zugriff auf Domainnamen haben könnten, aber nicht, wo sie die vollständige URL sehen würden.

    • Das ist alles nur Parallelkonstruktion. https://en.wikipedia.org/wiki/Parallel_construction
    • Vermutlich war es Microsoft Defender SmartScreen in Edge. Besuchte Domains werden an Microsoft übermittelt, um zu prüfen, ob es sich um bekannte Malware- oder Phishing-Seiten handelt. Und wie wir hier lernen, werden diese Informationen mit GDID und Microsoft-Konto verknüpft und sind auf Anfrage von Strafverfolgungsbehörden zugänglich.
    • Das ist die Dezimaldarstellung eines 64-Bit-Integer.
    • Diese URL zeigt 16 blockierte Anfragen und versucht zumindest, datadog und googletagmanager zu laden. Ich vermute, die Polizei hat alle Analysefirmen kontaktiert, an die Ngrok direkt oder indirekt Daten geschickt hat, und diese Firmen haben alles gespeichert, was sie in die Hände bekommen haben. Das Überraschendste ist, dass die Person all das auf einer Windows-Installation gemacht hat. Andererseits hört man eben nur von den dummen Kriminellen, die erwischt wurden, also ergibt es am Ende doch Sinn.
    • Auch bei einem Browser, der nicht Edge ist, kann das Betriebssystem bei HTTPS-Verbindungen den Domainnamen ermitteln, und es kennt auch den Seitentitel, der als Fenstertitel gesetzt wird. In vielen Fällen dürfte das schon reichen, um die URL zu identifizieren. Zum Beispiel setzt die Registrierungs-URL den Titel auf „ngrok Sign Up“.
  • Das zeigt ziemlich deutlich, dass Microsoft sich nicht um Datenschutz schert, egal was in Titeln von Cookie-Einwilligungsfenstern behauptet wird. Es ist ihnen völlig egal, und das muss man über alle Big-Tech-Anbieter sagen. So abgedroschen es auch klingt: Es ist Zeit, die Dinge klar auszusprechen. Sie kümmern sich nicht um deine Privatsphäre, deine Unabhängigkeit oder dein Wohlergehen. Wirklich nicht.

  • Der Junge hat zu Hause an seinem eigenen Computer gesessen, sie haben ihn über die IP-Adresse verfolgt, und von dieser IP-Adresse gingen auch Windows-Update-Anfragen aus. So wurde die Device ID eingegrenzt, und diese Geräte-ID führte dann zu ihm. Genau vor so etwas warnen Datenschutzaktivisten seit Langem. Diese Fähigkeit macht praktisch jede Behauptung in Sachen Privatsphäre zunichte. Darüber hinaus haben Unternehmen wie Google das genutzt, um schon die Erwartung von Privatsphäre selbst vollständig auszuradieren.

  • Der Beitrag ist unklar. Es gibt keine Belege dafür, dass Microsoft sehen kann, welche Webseiten Nutzer in Chrome oder Firefox besuchen.

    • In der obigen Antwort steht dazu Folgendes:
      1. Microsoft records also indicate: a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
    • Dasselbe gilt auch für Edge, wenn die folgenden Optionen deaktiviert sind:

      Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting] Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

  • Ist das kein Verstoß gegen das europäische Datenschutzrecht?

    • Vermutlich schon. Wenn allerdings eine Website gehackt wurde, um teuren Schmuck an die eigene Wohnadresse schicken zu lassen, ist das vielleicht nicht besonders relevant.
    • Und was würde sich ändern, wenn es ein Verstoß ist? Dann verhalten sie sich wohl weiter mies und bekommen nur eine Geldstrafe in Höhe von sechs Stunden Umsatz.
    • Die DSGVO befasst sich nur mit personenbezogenen Daten, und das hier ist eine zufällig erzeugte ID, die sich bei jeder Installation des Betriebssystems ändert. Zusammen mit anderen Informationen kann man damit Nutzer verfolgen, aber für sich allein reicht sie nicht aus, um jemanden zu deanonymisieren.
  • Das klingt vielleicht verrückt, aber ich bin überzeugt, dass diese Art von Telemetrie irgendwie mit der riesigen, koordinierten Welle von VPN-Werbung zusammenhängt, die in den letzten Jahren aufgekommen ist. Immer mehr wirkt die „unsichtbare Hand des Marktes“ ganz wörtlich wie die Hand einiger weniger großer Gruppen mit Macht und Kapital. Sie formen die wirtschaftliche Struktur des gesamten Marktes und kontrollieren ihn damit faktisch, schaffen ein Gefälle und lassen Unternehmen ihre Verluste optimieren. VPNs sind entweder direkt Spyware, die die Möglichkeiten zur Verfolgung ausbaut, oder sie werden angeboten, um weiter an der Angst der Nutzer zu verdienen, obwohl man inzwischen auch ohne IP tracken kann. Allgemeiner betrachtet scheint von freiem Markt oder Demokratie nicht mehr viel übrig zu sein. Inzwischen treiben auch alle Regierungen organisiert den Abbau des Datenschutzes voran.

  • Die US-Tech-Branche wird schnell immer mehr wie Russland und China.

    • Schon mal von der Website facebook gehört?
    • Ich weiß nicht, warum man bei allem, was Amerikaner tun, unbedingt Russland und China erwähnen muss. Allerdings kann es auch sein, dass ich PR einfach nicht gut verstehe. Wenn man das als „chinesisches“ Verhalten bezeichnet, kommt das vielleicht bei bestimmten Gruppen an, die so etwas sonst unterstützen würden, weil es sie angeblich vor „Black Crime“ schützt.
  • Hier ist ein zugehöriger Thread, in dem die Entwickler von Massgrave.dev Teile des GDID-Mechanismus erklären. https://x.com/massgravel/status/2074304593303892354

    • Hier ist ein alternativer Link für Leute, die keinen Twitter-Account anlegen wollen: https://xcancel.com/massgravel/status/2074304593303892354 Auf meinem Computer bzw. an meinem Standort scheint die Anti-Bot-Maßnahme der Seite gerade nicht mitspielen zu wollen, aber ich hoffe, dass sie bei anderen gut funktioniert.