1 पॉइंट द्वारा GN⁺ 3 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Scattered Spider से जुड़े आरोपों वाले 19 वर्षीय Peter Stokes के मामले में यह सामने आया कि FBI ने Microsoft के Global Device ID(GDID) रिकॉर्ड के जरिए Windows PC और ऑनलाइन गतिविधि को जोड़ा
  • GDID एक स्थायी डिवाइस-लेवल आइडेंटिफायर है, जो Windows इंस्टॉलेशन को Microsoft सेवाओं और scenarios में पहचानता है; यह फिजिकल डिवाइस और virtual machines दोनों पर लागू हो सकता है
  • आपराधिक शिकायत में यह रिकॉर्ड शामिल है कि 12 मई 2025 को 19:21 UTC पर Stokes के कंप्यूटर से जुड़े GDID ने ngrok signup page और Tzulo server की कई sites को access किया
  • GDID Windows update के बाद भी बना रहता है, लेकिन reinstall करने पर नई value में बदल जाता है, और एक Microsoft user के पास कई GDID हो सकते हैं
  • इस मामले ने यह चिंता बढ़ाई कि third-party browser cookies के बिना भी Windows PC की ऑनलाइन गतिविधि ट्रैक की जा सकती है, और कुछ users ने GDID जांचने व हटाने के तरीके खोजने शुरू कर दिए

गिरफ्तारी मामले में सामने आया GDID का उपयोग

  • अमेरिका ने यूरोप से 19 वर्षीय Peter Stokes को प्रत्यर्पित कराया है, जिस पर hacking group Scattered Spider का सदस्य होने का आरोप है
  • सार्वजनिक की गई आपराधिक शिकायत में Microsoft records का इस्तेमाल Stokes को संदिग्ध hacking अपराधों से जोड़ने वाले मुख्य सुराग के रूप में किया गया
  • Stokes पर मई 2025 में एक अज्ञात high-end jewelry retailer को hack करने का आरोप है, और उस समय VPN इस्तेमाल करने का रिकॉर्ड है
  • FBI ने Microsoft records के जरिए पुष्टि की कि उसका IP address Microsoft के device identifier Global Device ID(GDID) से जुड़ा था

GDID क्या पहचानता है

  • शिकायत में उद्धृत Microsoft के विवरण में GDID को Windows ecosystem का स्थायी device-level identifier बताया गया है
  • यह identifier Windows operating system installation को uniquely अलग पहचान देने के लिए designed है
    • laptop या phone जैसे physical devices対象 हो सकते हैं
    • virtual machines भी शामिल हैं
    • इसका उपयोग कुछ Microsoft services और scenarios में किया जाता है
  • accounts या devices को unique ID देने की practice आम है, लेकिन इस मामले में यह सामने आया कि GDID को third-party services के access records और समय से भी जोड़ा जा सकता है

ऑनलाइन गतिविधि से जुड़े records

  • Stokes पर आरोप है कि उसने jewelry retailer की network defenses को bypass करने के लिए web development tool ngrok का दुरुपयोग किया
  • Microsoft records में दर्ज है कि 12 मई 2025 को 19:21 UTC पर Stokes के computer से जुड़े GDID ने https://dashboard[.]ngrok.com/signup को access किया
    • यह URL ngrok account setup करने वाला page है
    • उसी GDID द्वारा अन्य ngrok pages access किए जाने का भी record है
  • document में यह भी शामिल है कि इस GDID ने hacking को अंजाम देने में मदद के लिए web hosting provider Tzulo के server पर “कई sites” को access किया
  • शिकायत में दिखाया गया Stokes PC का GDID 6755467234350028 है

tracking की संभावना और users की प्रतिक्रिया

  • federal investigators ने Microsoft identifier से संदिग्ध hacker की पहचान की, इस वजह से surveillance purpose में दुरुपयोग की चिंता बढ़ी
  • cybersecurity expert Matthew Hickey ने X पर दावा किया, “Microsoft Windows is surveillance software”
  • GDID का Microsoft के एक support page पर संक्षिप्त mention है, लेकिन इसके अलावा Microsoft ने सार्वजनिक रूप से कोई explanation नहीं दी है
  • कुछ users ने GDID identifier को सीमित या delete करने के तरीके तलाशने शुरू कर दिए

reinstall और अन्य platforms पर बाकी सवाल

  • शिकायत के अनुसार GDID उसी device के Windows operating system updates के बाद भी बना रहता है
  • Windows को उसी device या किसी दूसरे device पर reinstall करने पर एक नया unique GDID जुड़ जाता है
  • शिकायत के footnote में बताया गया है कि एक Microsoft user के पास कई GDID हो सकते हैं
  • cybersecurity researcher Costin Raiu ने unique identifiers के उपयोग के आधार पर पूछा कि क्या दूसरी tech companies के पास भी समान surveillance capabilities हैं
    • क्या Apple devices पर भी यही समान scale पर होता है
    • क्या यह reinstall से independent होकर hardware से बंधे स्तर का है
    • उनका कहना है कि अगर पूरी anonymity चाहिए, तो development environment में Linux, FreeBSD आदि का उपयोग करना और proxy, Tor, VPN आदि के जरिए जाना जरूरी हो सकता है

1 टिप्पणियां

 
GN⁺ 3 시간 전
Hacker News की राय
  • दिलचस्प बात यह नहीं है कि device identifier मौजूद है। लगभग हर आधुनिक ऑपरेटिंग सिस्टम में कुछ ऐसा होता है बड़ा सवाल सीमाओं का है। कौन से components इसे access कर सकते हैं, और कब एक local identifier remote tracking identifier बन जाता है डिस्क पर रखा machine-id और OS vendor द्वारा उसे network activity से जोड़ना, दोनों पूरी तरह अलग बातें हैं

    • इस लेख में सबसे बड़ी कमी यही है। यह साफ नहीं है कि Microsoft का device identifier ngrok session से ठीक-ठीक कैसे जुड़ा। आम तौर पर ngrok session एक closed-source CLI से शुरू होता है लेख से यह अलग करना मुश्किल है कि Microsoft ने किसी संदिग्ध तरीके से device identifier को network traffic में inject किया, या closed-source ngrok client software ने device identifier ले लिया। अगर दूसरा मामला है, तो Linux के /etc/machine-id की तरह दूसरे OS पर भी बिल्कुल वही किया जा सकता है ngrok freemium model इस्तेमाल करता है, इसलिए free limits को bypass करने की कोशिश करने वाले users को पकड़ने के लिए client द्वारा device ID भेजना बिल्कुल हैरान करने वाला नहीं होगा
    • Systemd कई बड़े Linux distributions में शामिल है, और उदाहरण के लिए machine-id होता है। यह value /etc/machine-id के तहत उस machine पर कोई भी पढ़ सकता है https://www.freedesktop.org/software/systemd/man/latest/mach...
    • Firefox के about:networking#networkid में मौजूद NetworkID भी मिलता-जुलता उदाहरण है। कभी इसे लेकर विवाद हुआ था, और सभी AI के पास इसकी origin और use के बारे में गलत जानकारी है
    • यह हिस्सा अस्पष्ट है, और निस्संदेह सबसे दिलचस्प बिंदु है। किस stage पर और किस समय GDID किसी tool या web request से जुड़ा, यही मुख्य बात है अभी लेख पढ़कर ऐसा लगता है जैसे Microsoft की “telemetry” सब कुछ collect करती है, किसी खास activity को बड़े पैमाने पर search करती है, फिर GDID निकालकर user से जोड़ देती है
  • इसका मतलब लगता है कि Microsoft endpoint पर किसी तरह का traffic analysis करता है और उसे GDID से जोड़ता है। शायद यह Defender की real-time protection या MAPS का हिस्सा होगा मजेदार तथ्य: Microsoft Defender MAPS का पुराना नाम SpyNet था https://en.wikipedia.org/wiki/Microsoft_Active_Protection_Se... हालांकि GDID identifier software जैसा लगता है। और aggressive तरीके से करना हो तो कुछ games की तरह इसे motherboard serial number से भी बांधा जा सकता है। तब tracking Windows installation instance तक सीमित नहीं रहेगी, बल्कि hardware के पूरे lifecycle तक चलेगी

    • SecureBoot और TPM chip का विचार ही hardware fingerprint के आधार पर GDID देना है। कुछ games पहले से ही “anti-cheat” के नाम पर users को इसी तरह track कर रहे हैं, और Microsoft भी Windows 7 के समय से ऐसा कर रहा है फर्क यह है कि अब TPM ऐसी hardware authority देता है
  • लगता है जल्द ही कोई Windows tool आ जाएगा जो इस suspect के identifier को “g:6755467234350028” में बदल देगा। वैसे यह अजीब ID है। 16 digits होना समझ आता है, लेकिन उम्मीद थी कि यह hexadecimal होगा और यह कैसे काम करता है, यह भी जानना चाहूंगा: “Microsoft records के मुताबिक 12 मई 2025 को 19:21 UTC पर Stokes के computer से जुड़े GDID ने कई ngrok pages में से 'https://dashboard[.]ngrok.com/signup' access किया” अगर browser यह जानकारी Microsoft को भेजता है, तो क्या किसी ने यह notice नहीं किया होगा कि PC द्वारा खोले गए हर webpage पर Microsoft से connection हो रहा है? या फिर data collect करके बाद में भेजा जाता है? अगर ऐसा है, तो क्या इसका असर “सीमित रूप से” केवल Microsoft browser users पर है? या Chrome भी इसी तरह Google को data भेजता है? दूसरी संभावना यह है कि यह lower layer पर होता है। मुझे ऐसे spots याद आते हैं जहां system components domain name access कर सकते हैं, लेकिन पूरा URL देखने वाली जगह साफ नहीं है

    • यह सब parallel construction है https://en.wikipedia.org/wiki/Parallel_construction
    • शायद यह Edge का Microsoft Defender SmartScreen रहा होगा। Visit किए गए domain को Microsoft को submit किया जाता है ताकि पता चले कि वह known malware या phishing site तो नहीं है और जैसा कि यहां पता चलता है, वह जानकारी GDID और Microsoft account से जुड़ती है, और law enforcement request पर access की जा सकती है
    • वह 64-bit integer का decimal representation है
    • उस URL में 16 blocked requests दिखती हैं, और कम से कम datadog और googletagmanager load करने की कोशिश होती है। मेरा अंदाजा है कि police ने उन सभी analytics companies से संपर्क किया होगा जिन्हें Ngrok सीधे या indirect रूप से data भेजता है, और वे companies अपने हाथ लगी हर चीज store कर रही होंगी सबसे हैरान करने वाली बात यह है कि उस व्यक्ति ने यह सब Windows installation environment में किया। लेकिन हमें तो पकड़े गए बेवकूफ criminals की ही कहानियां सुनने को मिलती हैं, इसलिए आखिरकार बात समझ आती है
    • Browser Edge न भी हो, तो भी OS HTTPS connection से domain name पा सकता है, और window title के रूप में set होने वाला page title भी जान सकता है कई मामलों में इतना URL पहचानने के लिए काफी लगता है। उदाहरण के लिए signup URL title को “ngrok Sign Up” set करता है
  • यह काफी मजबूती से दिखाता है कि cookie consent screen के title में Microsoft चाहे जो दावा करे, वह privacy की परवाह नहीं करता उसे बिल्कुल परवाह नहीं है, और यह बात सभी Big Tech vendors के बारे में कहनी चाहिए। भले ही यह घिसी-पिटी लगे, अब वह बात कहने का समय है जो कहनी जरूरी है। उन्हें आपकी privacy, independence या well-being की परवाह नहीं है। सच में नहीं है

  • इस बच्चे ने अपने घर में अपना computer इस्तेमाल किया, उन्होंने IP address से trace किया, और उसी IP address से Windows Updates requests भी गई थीं। इसी तरह Device ID narrow down हुआ, और वह device ID इस बच्चे तक पहुंच गया privacy advocates इसी तरह की चीजों के बारे में लगातार चेतावनी देते आए हैं। ऐसी capability वास्तव में privacy से जुड़े लगभग सभी दावों को मिटा देती है इससे आगे, Google जैसी companies ने इसका इस्तेमाल करके privacy की expectation को ही पूरी तरह खत्म करवा दिया है

  • पोस्ट अस्पष्ट है। इस बात का कोई सबूत नहीं है कि Microsoft देख सकता है कि यूज़र Chrome या Firefox में कौन-से वेबपेजों पर जाते हैं

    • ऊपर वाले जवाब में यह लिखा है
      1. Microsoft records also indicate: a little more than three hours after the ngrok account was created, the user visited “[Company F].com” from the .168 proxy server.
    • Edge में भी अगर नीचे दिए गए विकल्प बंद हों, तो बात वही है

      Send optional diagnostic data to improve Microsoft products [Includes how you use the browser, websites you visit, and enhanced error reporting. Determined by your Windows diagnostic data setting] Allow Microsoft to save your browsing activity including history, usage, favourites, web content, and other browsing data to personalise and improve Microsoft Edge and Microsoft services like ads, search, shopping, news, and Copilot [Includes your history, usage, favourites, web content and other browsing data]

  • क्या यह यूरोपीय privacy कानून का उल्लंघन नहीं है?

    • शायद है। हालांकि अगर मामला किसी वेबसाइट को hack करके महंगी ज्वेलरी अपने घर के पते पर भिजवाने का हो, तो शायद इसका खास मतलब न रह जाए
    • अगर उल्लंघन है तो क्या बदल जाएगा? वे वैसे ही बुरा बर्ताव करते रहेंगे और बस 6 घंटे की revenue के बराबर जुर्माना भर देंगे
    • GDPR सिर्फ व्यक्तिगत पहचान योग्य जानकारी को ही deal करता है, और यह OS install करने पर हर बार बदल जाने वाली randomly generated ID है दूसरी जानकारी के साथ मिलाने पर इससे यूज़र को track किया जा सकता है, लेकिन सिर्फ इसी के दम पर किसी की anonymity हटाने के लिए यह पर्याप्त नहीं है
  • पागलपन वाली बात लग सकती है, लेकिन मुझे यकीन है कि इस तरह की telemetry का किसी-न-किसी तरह पिछले कुछ वर्षों में VPN विज्ञापनों के विशाल और संगठित तरीके से आगे बढ़ाए जाने से संबंध है “बाजार का अदृश्य हाथ” अब सचमुच सत्ता और पूंजी रखने वाले कुछ बड़े समूहों का हाथ जैसा दिखने लगा है। वे पूरे बाजार की आर्थिक संरचना को गढ़कर लगभग नियंत्रित करते हैं, और ऐसा झुकाव बनाते हैं कि कंपनियां losses को optimize करें VPN या तो सीधे तौर पर tracking क्षमता बढ़ाने वाला spyware है, या फिर अब IP के बिना भी track किया जा सकता है, इसलिए यूज़र के डर से पैसा कमाते हुए tracking जारी रखने के लिए इसे दिया जा रहा है व्यापक रूप से देखें तो free market या democracy ज्यादा बची हुई नहीं लगती। अब हर सरकार भी privacy को खत्म करने के लिए संगठित तरीके से दबाव बना रही है

  • अमेरिकी tech industry तेजी से Russia और China जैसी होती जा रही है

    • facebook नाम की वेबसाइट सुनी है?
    • समझ नहीं आता कि जब अमेरिकी कुछ करते हैं तो Russia और China का जिक्र करना जरूरी क्यों महसूस होता है हालांकि शायद मैं प्रचार करना नहीं जानता। अगर इसे “Chinese-style” व्यवहार कहा जाए, तो शायद यह उन खास समूहों पर असर कर जाए जो आम तौर पर “Black Crime” से खुद को बचाने के नाम पर ऐसे व्यवहार का समर्थन करते
  • Massgrave.dev developers ने GDID mechanism के कुछ हिस्से समझाए हैं, यह संबंधित thread है https://x.com/massgravel/status/2074304593303892354

    • यह उन लोगों की सुविधा के लिए link है जो Twitter account नहीं बनाना चाहते https://xcancel.com/massgravel/status/2074304593303892354 अभी मेरे computer/location से लगता है कि site के bot-prevention measures को कुछ पसंद नहीं आ रहा, लेकिन उम्मीद है दूसरों के लिए ठीक काम करेगी