1 Punkte von GN⁺ 4 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Microsoft hat öffentlich die Existenz des Global Device Identifier (GDID) bestätigt, der jeder mit einem Konto verknüpften Windows-Installation zugewiesen wird; die US-Staatsanwaltschaft dokumentierte ihn in einer Bundesbeschwerde zur Verfolgung einer Person, die mutmaßlich zur Gruppe Scattered Spider gehört
  • Eine Kette von Windows-Diensten erzeugt die GDID und sendet sie an Microsoft-Server; sie bleibt auch nach Updates erhalten. Wird die Zuweisung verhindert, können Windows-Aktivierung und Microsoft-Store-Apps beeinträchtigt werden
  • Das FBI verknüpfte die Aktivitäten von Peter Stokes, der über rund 8 Monate hinweg VPNs und Proxys in 4 Ländern nutzte, über dieselbe GDID und glich die Erstellung eines ngrok-Kontos sowie Zugriffsprotokolle eines betroffenen Einzelhändlers mit Social-Media- und Reiseinformationen ab
  • Für die GDID gibt es keine Einwilligungs-, Zurücksetz- oder Deaktivierungsfunktion und keine Dokumentation für normale Nutzer; selbst wenn sich der Wert durch eine Neuinstallation von Windows ändert, kann er bei Anmeldung mit demselben Microsoft-Konto wieder mit früheren Aktivitäten verknüpft werden
  • Lokale Konten und Datenschutzeinstellungen können die damit verbundene Nachverfolgung reduzieren, die GDID selbst lässt sich jedoch nicht direkt abschalten; auch Microsoft hat keine Pläne für Nutzerkontrollen oder zusätzliche Dokumentation angekündigt

Persistente ID zur Identifizierung von Windows-Installationen

  • Der Global Device Identifier (GDID) ist eine Gerätekennung, die einer Windows-Installation zugewiesen wird, wenn Windows für ein Microsoft-Konto bereitgestellt wird
  • Es handelt sich um eine persistente Kennung, die dafür ausgelegt ist, das auf einem physischen Gerät oder in einer virtuellen Maschine installierte Windows-Betriebssystem in bestimmten Microsoft-Diensten und Nutzungsszenarien eindeutig zu unterscheiden
  • Sie bleibt nach Windows-Updates erhalten; wird die Festplatte gelöscht und Windows neu installiert, bleibt die bisherige GDID jedoch nicht erhalten
  • Ein Nutzer kann mehrere GDIDs haben, und Microsoft kann sie über Konto-, OneDrive- und Aktivierungsprotokolle miteinander verknüpfen
  • Sie wurde im Hintergrund für rund 1,6 Milliarden Windows-Nutzer angewendet, ohne gesonderte Offenlegung oder Nutzerkontrolle, und existiert bei jeder Windows-Installation, die mit einem Microsoft-Konto verknüpft ist

Von der Erstellung bis zur Meldung an Microsoft-Server

  • Mehrere Windows-Dienste arbeiten nacheinander zusammen, um die GDID zu erzeugen
    • Der Dienst wlidsvc fordert bei login.live.com eine Device PUID an
    • Die Connected Devices Platform registriert diesen Wert beim Microsoft Device Directory Service
    • Delivery Optimization meldet die GDID an Microsoft, wenn der PC Updates herunterlädt oder teilt
  • Die Kennung wird im Schlüssel LID der Registry unter HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties gespeichert
    • Das Format kombiniert ein kleingeschriebenes Präfix g mit Dezimalzahlen
    • Über die normale Windows-Oberfläche können Nutzer ihre eigene GDID nicht einsehen
  • Wird die Zuweisung der GDID blockiert, funktionieren Windows-Aktivierung und UWP-Apps möglicherweise nicht
    • Laut Massgrave, dem Ersteller von Microsoft Activation Scripts, werden während der Windows-Einrichtung Hardwareinformationen an Microsoft übertragen; zurück kommt eine Kennung, die für Store-Zugriff und Lizenzen genutzt wird

Wie das FBI VPN-Sitzungen verknüpfte

  • Das FBI nutzte die GDID, um den mutmaßlichen Scattered-Spider-Angehörigen Peter Stokes über VPN-Verbindungen und Proxy-Server hinweg zu verfolgen
    • Die Verfolgung lief über rund 8 Monate, mit Aktivitäten in 4 Ländern
  • Der Beschwerdeschrift zufolge griff g:6755467234350028 auf die ngrok-Registrierungsseite zu, als ein bei dem Angriff verwendetes Konto über einen Tzulo-VPN-Proxy erstellt wurde
    • 3 Stunden später griff dieselbe GDID über denselben Proxy auf die Website des betroffenen Einzelhändlers zu
  • Die Ermittlungsbehörden glichen das Gerät mit IP-Adressen ab, die mit Stokes’ Snapchat-, Facebook-, Apple- und Ubisoft-Konten verknüpft waren
    • Zu den zugehörigen Zugriffsstandorten gehörten Estland, New York und Thailand
    • Fotos, die Stokes auf Snapchat veröffentlichte, stimmten mit Hotelbuchungen, Standorten und Reiserouten überein, die mit der GDID verknüpft waren
  • Die IP-Adressen des VPN wechselten häufig, doch die Windows-Installation meldete weiterhin dieselbe Kennung und wurde so zu einem Tracking-Hinweis über VPN-Sitzungen hinweg

Unsichtbare Kennung und Grenzen der Nutzerkontrolle

  • Bei der Zuweisung der GDID erscheint kein Einwilligungsdialog, und es gibt keine Funktion, mit der Nutzer sie zurücksetzen oder deaktivieren können
    • Apples Werbekennung bietet Hinweise über App Tracking Transparency sowie eine Zurücksetzfunktion
    • Android bietet ähnliche Kontrollmöglichkeiten
  • Wird Windows neu installiert, entsteht eine neue GDID; meldet man sich jedoch mit demselben Microsoft-Konto an, kann Microsoft die neue Kennung mit früheren Aktivitäten verknüpfen
  • Microsofts öffentliche Dokumentation beschränkt sich auf einen Satz in einer Azure-Monitor-Referenztabelle für Unternehmens-IT-Administratoren, in dem die GDID als „intern von Microsoft verwendete Kennung“ beschrieben wird
  • Sicherheitsforscher Matthew Hickey bezeichnete Windows in diesem Zusammenhang als „Überwachungssoftware (surveillance software)
  • Costin Raiu warf im Podcast Three Buddy Problem die Frage auf, in welchem Umfang ähnliche Funktionen auf anderen Plattformen existieren
  • Große Betriebssysteme behalten persistente Mittel zur Geräteidentifikation für Lizenzierung und Sicherheitsprüfungen bei; Windows bietet Nutzern jedoch im Unterschied zu den Plattformen von Apple und Google keine sichtbaren Kontrollfunktionen

Einstellungen zur Reduzierung der damit verbundenen Nachverfolgung

  • Da sich die GDID nicht direkt abschalten lässt, ohne zentrale Windows-Funktionen zu beeinträchtigen, gelten die folgenden Einstellungen als Maßnahmen zur Reduzierung der damit verbundenen Nachverfolgung
    • Wenn möglich ein lokales Konto statt eines Microsoft-Kontos verwenden
      • Neuere Versionen von Windows 11 erschweren die Einrichtung lokaler Konten, doch Nutzer, die den Weg kennen, können sie während der Installation weiterhin auswählen
    • Unter Einstellungen → Datenschutz und Sicherheit → Diagnose und Feedback optionale Diagnosedaten deaktivieren
    • Unter Datenschutz und Sicherheit → Empfehlungen und Vorschläge personalisierte Werbung und App-Start-Tracking deaktivieren
    • Unter Datenschutz und Sicherheit → Suche Cloud Content Search deaktivieren, damit lokale Suchanfragen nicht an Bing übertragen werden
    • Activity History und weitere Telemetrieoptionen prüfen und deaktivieren
  • In Situationen, in denen die Persistenz einer Kennung eine Bedrohung darstellen kann, etwa bei journalistischer Arbeit, sozialem Aktivismus oder häuslicher Gewalt, wird empfohlen, sich nicht auf Windows-PCs und kommerzielle VPNs zu verlassen, sondern Linux über Tor zu nutzen
  • Selbst wenn Windows neu installiert wird, um eine neue GDID zu erhalten, liefert die Anmeldung mit demselben Microsoft-Konto Microsoft Daten, um sie mit früheren Aktivitäten zu verknüpfen

Begrenzte öffentliche Informationen und weiterer Stand

  • Rechtliche Anfragen wie Vorladungen können Microsoft dazu zwingen, GDID-Aktivitätsdaten an Ermittlungsbehörden herauszugeben; der Scattered-Spider-Fall ist ein konkretes Beispiel dafür
  • Microsoft hat nicht erklärt, die Art und Weise der Erstellung, Speicherung oder Meldung der GDID ändern zu wollen, und auch keine Kontrollen oder Dokumentation für normale Nutzer zugesagt
  • Abgesehen von der Bundesbeschwerde gibt es öffentlich nur einen kurzen Eintrag in der Azure-Monitor-Dokumentation; derzeit sind die Passagen zur Microsoft-Telemetrie in der Beschwerdeschrift die öffentlich verfügbaren Informationen, die die Funktionsweise der GDID am ausführlichsten zeigen
  • Das Scattered-Spider-Verfahren läuft vor einem US-Bundesgericht, und Nutzer können künftige Datenschutz-Updates von Microsoft verfolgen

1 Kommentare

 
GN⁺ 4 시간 전
Kommentare auf Lobste.rs
  • Was ich nicht verstehe, ist, wie die Windows GDID mit Aktivitäten bei Diensten außerhalb von Microsoft verknüpft wird. Sendet das Gerät die GDID an diese Dienste, oder speichert Microsoft die Browser-Aktivitäten aller Nutzer? Falls Letzteres, frage ich mich, ob das nur in Edge erfasst wird oder ob auch andere Mittel genutzt werden.

    • Da Berichte von Tech-Medien oft ungenau sind, habe ich mir den Antrag selbst angesehen: Über Microsoft-Logs wurde die GDID mit der VPN-IP-Adresse .168 verknüpft, und zu einer ähnlichen Zeit wurde über dieselbe VPN-IP ein ngrok-Konto erstellt, das für den Hack genutzt wurde. Damals könnten mehrere Personen diese VPN-IP gemeinsam genutzt haben, daher ist das kaum als entscheidender Beweis zu sehen. Es ist ähnlich wie bei jemandem, der zur Zeit eines Mordes in der Nähe war: Das macht ihn nicht zum Mörder, aber zum Verdächtigen. Der Umstand, dass er mit Reichtum unklarer Herkunft geprahlt und über verurteilte Hacker gesprochen haben soll, dürfte den Verdacht verstärkt haben; deutlich überzeugender ist aber, dass bei der Durchsuchung geleakte Daten gefunden wurden. Hier scheint die GDID keine besondere Funktion gehabt zu haben. Sie ist nur deshalb relevant, weil Microsoft sie in der eigenen Analyse verwendet hat, als das Unternehmen Informationen an das FBI weitergab; jedes andere Unternehmen, das IP-Logs sammelt, die mit Kontoinformationen verknüpft sind, hätte das genauso melden können.
    • Ich vermute, dass Windows die GDID an Microsoft sendet und Microsoft IP-Adresse und Zeitpunkt protokolliert. Wenn man das mit Daten abgleicht, die IP, Zeitpunkt und eine bestimmte Aktion festhalten – etwa VPN-Sitzungen oder Zugriffe auf Webserver –, kann man Nutzeraktivitäten über die Zeit hinweg verknüpfen.
  • Der entsprechende Gerichtsantrag ist hier: https://www.justice.gov/usao-ndil/media/1450651/dl?inline

  • Die Bestätigung durch Microsoft ist nicht wichtig; auch ohne eine solche Aussage war die Existenz dieser Funktion bereits belegt. Der Sicherheitsforscher Matthew Hickey soll Windows in diesem Fall als „Überwachungssoftware“ bezeichnet haben – lächerlich. Die Einschätzung, dass Windows Spyware ist, gibt es spätestens seit der Veröffentlichung von Windows 10.