LINUX.ORG.RU

Линукс для хакеров более предпочтителен

 , , , ,


2

1

Сабж


При помощи созданного Microsoft идентификатора GDID следователи ФБР смогли связать подростка со взломом, который приписывается хакерской группировке Scattered Spider. Инцидент вызвал серьёзные опасения по поводу конфиденциальности и возможностей слежки при помощи Windows.

На минувшей неделе США объявили об экстрадиции 19-летнего Питера Стоукса (Peter Stokes) из Европы — он обвиняется в членстве в группировке киберпреступников Scattered Spider. Случай выделяется тем, что с преступлениями его помогла связать Microsoft. В мае 2025 года Стоукс, по версии следствия, используя VPN, взломал ресурс ювелирного магазина. Чтобы отследить его, в ФБР использовали разработанный Microsoft идентификатор устройства Global Device ID (GDID) — он остаётся уникальным и постоянным с каждой установкой Windows на физическое или виртуальное устройство.

Существование глобального идентификатора — стандартная практика, позволяющая разработчику распознавать и различать клиентов. Важно, что Microsoft может связывать GDID со сторонними службами и временны́ми метками, то есть отслеживать онлайн-активность ПК с Windows без, например, сторонних файлов cookie в браузере. Для обхода сетевой защиты на ресурсе ювелирного магазина использовалась служба туннелирования ngrok, и у Microsoft оказались записи, свидетельствующие, что компьютер Стоукса получил доступ к странице создания учётной записи на сервисе.

Идентификатор устройства кратко упоминается на одной из страниц поддержки Microsoft, но компания никогда публично не комментировала наличие этого средства. Пользователь, гласят материалы следствия, может сбросить GDID самостоятельно, хотя это и непросто. Он сохраняется после обновления Windows, но меняется после переустановки. То есть у одного пользователя может быть несколько GDID, но Microsoft, вероятно, не составит труда связать несколько таких идентификаторов, зная, например, логин учётной записи или IP-адрес пользователя.

Общественность, узнав об инциденте, задалась несколькими вопросами. Например, как обнаружить и удалить GDID? И есть ли нечто подобное в экосистеме Apple, которая теоретически может создавать идентификаторы на уровне не программной, а аппаратной части? Есть мнение, что для сохранения анонимности теперь приходится пользоваться бесплатными ОС Linux или FreeBSD, а также туннелировать трафик через прокси, VPN или Tor.


А ЛОР всегда знал!

★★★★★

Последнее исправление: CrX (всего исправлений: 1)

взломал ресурс ювелирного магазина

теперь приходится пользоваться бесплатными ОС Linux или FreeBSD, а также туннелировать трафик через прокси, VPN или Tor.

Всё так…

sin_a ★★★★★
()

Я больше скажу: в линупсах тоже много чего интересного есть. Начиная от mac адреса, заканчивая следующими интересными штуками:

cat /etc/machine-id

sudo cat /sys/class/dmi/id/product_uuid

ну и всякие хеши от выхлопа dimdecode и иже с ним

И это только идентификаторы. И да, их тоже собирают и передают, те же клиенты vpn, gnome, ubuntu, mint, red hat и иже с ними. Правда централизации такой нет, как в случае майкрософта и в большинстве случаев требуется явное согласие (правда требуется не жёстко, а чисто из уважения спрашивают, могли бы и не спрашивать и молча собирать, технически ничего не мешает). Но уже тот факт что /etc/machine-id не требует рута наводит на подозрения (читай любой процесс может его получить). А значит любой даже непривилегированный софт его может читать. Да его можно заменить, но про него ещё надо знать. А вот с /sys/class/dmi/id/product_uuid такой фокус не пройдёт. Ну и конечно не забываем про фингенпринты браузеров, которые очень надёжно юзеров помечают и никакой квн тут не поможет.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 2)

То есть у одного пользователя может быть несколько GDID, но Microsoft, вероятно, не составит труда связать несколько таких идентификаторов, зная, например, логин учётной записи или IP-адрес пользователя.

@Shpankov

anonymous
()
Ответ на: комментарий от peregrine

Кстати, хромой не запустится, если не сможет прочитать /etc/machine-id, так что думайте сами куда он это передаёт.

PS

Сам ID от него не стянуть, а вот хеш от этого хеша…

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от peregrine

Кстати, хромой не запустится, если не сможет прочитать /etc/machine-id

У меня в воиде вообще нет такого файла. Правда у меня и хромого нет.

так что думайте сами куда он это передаёт.

Да известно куда, всё можно посмотреть через wireshark. Хотя если речь о Chrome, а не Chromium, там могут быть и дополнительные зонды, которые срабатывают только при определённых условиях..

CrX ★★★★★
()
Ответ на: комментарий от CrX

https://chromium.googlesource.com/chromium/src/+/main/chrome/browser/policy/browser_dm_token_storage_linux.cc

на, почитай сорцы, там даже в комменте написано зачем это надо, тыщи глаз и всем пофиг, искать по The client ID is derived from /etc/machine-id

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 2)
Ответ на: комментарий от kaldeon

Даже в твёрдом состоянии?

В твёрдом тоже иногда, особенно если в руках держать. Но вообще «обычно». Так-то для утверждения в новости тоже можно придумать особые условия, когда оно перестанет быть верным ;)

CrX ★★★★★
()
Ответ на: комментарий от peregrine

на, почитай сорцы, там даже в комменте написано зачем это надо

Да я как бы в курсе.

Но сорцы не позволяют узнать наверняка всё, что куда-то передаёт именно Chrome. Там могут быть дополнительные зонды поверх хромиумовских. Сорцов именно хрома нет.

тыщи глаз и всем пофиг

Да нет, не всем. Во-первых, многие из-за этого отказываются пользоваться гуглозондом, во-вторых, существуют проекты по типу ungoogled-chromium и ещё нескольких, которые старательно всё это вычищают (ungoogled-chromium делает только это, другие форки могут помимо этого добавлять свои фичи).

искать по

Там, если что, можно ссылку на конкретную строку дать — просто кликнуть по номеру строки. Это так, к слову. На многих сайтах с исходниками так (например github и gitlab).

CrX ★★★★★
()
Последнее исправление: CrX (всего исправлений: 2)

Было бы смешно, если бы не было так печально. Этот чувак может и не виноват ни в чём, но «он будет сидеть. Я сказал.»

sparkie ★★★★★
()

Инцидент вызвал серьёзные опасения по поводу конфиденциальности и возможностей слежки при помощи Windows.

вызвал опасения

у меня слезы брызнули из глаз :D :D :D

ant1
()

он остаётся уникальным и постоянным с каждой установкой Windows на физическое или виртуальное устройство

Сомневаюсь что не-MS гипервизор его пробросит. А пацан просто дебил.

Lordwind ★★★★★
()

Есть мнение, что для сохранения анонимности теперь приходится пользоваться бесплатными ОС Linux или FreeBSD

Что значит «приходится»? Это вендой с макосью им приходится пользоваться, потому как навязывают корпорасты. А как раз линуксом и бздёй люди пользуются по своей воле.

ЗЫ: Ну и «хацкер сидящий на венде» - это вообще оксюморон. Ну или просто moron.

Stanson ★★★★★
()
Ответ на: комментарий от peregrine

/sys/class/dmi/id/product_uuid такой фокус не пройдёт.

А, разве, эту инфу (dmi) qemu в виртуалку пробрасывает?

И, ИМХО, это как доказательная база слабовато, ведь эти product_uuid и product_serial, наверняка, просто в eeprom прописаны. То есть адвокату достаточно притащить в суд эксперта, который заявит, что эти данные можно украсть и прописать на другой компьютер/виртуалку. То есть клиента подставили, преступление мог совершить кто-то другой... Тут, скорее, фингенпринт браузера выглядит надёжнее, чем product_uuid/machine-id.

mky ★★★★★
()

интересно в каких сетевых операциях микрософт светит ентим идентификатором ?? хаккир использовал микрософт протоколы ?? кароший хаккир однакожъ

pfg ★★★★★
()
Ответ на: комментарий от mky

Неубедительно. Чел, скорее всего был под подозрением (не по GDID же его нашли). А идентификатор внезапно совпал, когда сравнили. И даже если точно такой же есть ещё у кого-то - это не оправдает человека.

PeleWin
()
Ответ на: комментарий от ant1

считай пмж в сша

Какой-то сомнительный хакинг. Пишут, что у него и так есть гражданство США (и Эстонии), хотя арестовали в Финляднии. Даже если денег на билет в США не хватало, то можно было найти путь по проще, чем арест и экстрадиция.

mky ★★★★★
()
Ответ на: комментарий от PeleWin

Я не про этого конкретного чела, ему обвинения предъявили после того как двое признали вину и на него показали. GDID, вроде как, только в одном эпизоде всплывает. И в деле ещё куча улик.

А я про гипотетическое обвинение исключительно на совпадении данных из DMI.

mky ★★★★★
()
Ответ на: комментарий от peregrine

Говорят, есть еще такая штука как цифровой почерк. Оказывается, мы печатаем на клавиатуре тоже индивидуально. Ошибки, опечатки, паузы между символами. И, не знаю, насколько правда, но говорят, что алгоритмы гугла уже способны узнать человека по его цифровому почерку, по печати на клавиатуре.

hibou ★★★★★
()
Ответ на: комментарий от mky

Врядли они только с этим в суд идут. Эти идентификаторы нужны чтобы выйти на человека, а дальше уже в ход пойдут и технические мероприятия и разговоры по душам

cobold ★★★★★
()
Ответ на: комментарий от hibou

Надо регулярно менять клавиатуры, чтобы не вычислили :)

алгоритмы гугла

А где алгоритмы гугла берут «сырые» данные, чтобы тайминги нажатий были? На всяких web-страницах типа интернет магазинов и пр. есть чатики. Если там что-то набирать, то лагает без меры, у меня там явно другая скорость и количество опечаток.

mky ★★★★★
()

подросток

хакерская группировка Scattered Spider

вычислили по GDID

Это же не хакер, а эталонный скрипт кидди, по учебнику буквально.

nullb0t
()
Последнее исправление: nullb0t (всего исправлений: 1)
Ответ на: комментарий от pfg

Он же не одиночка, там группа, которая, в том числе, пароли через социальную инженерию выманивала, а потом шантажировала украдеными данными. Это же надо во всяких чатиках/месснджерах работать, если нужен был какой-нибудь Skype for Business, то как там без «микрософт протоколов»?

кароший хаккир

Какой он какир, обычны дебил, который ещё в своих социальных сетях фоточки с кучей денюжек из дорогих отелей выкладывал. Ещё и взяли с двумя 2 Тб накопителями, уж если бежишь, заметая следы, то всё надо скинуть.

mky ★★★★★
()
Последнее исправление: mky (всего исправлений: 1)
Ответ на: комментарий от pfg

whonix

Использовать готовый образ, который непонятно кем создан и сколько там закладок от кого надо? Нет пути! :))

Не знаю, будут ли когда-нибудь доступны материалы по делу этого Питера. Запросто, что он спалил информацию о себе (GDID) на каком-нибудь начальном этапе, где просто общался в чатиках с другим из этой группы. А потом часть одногруппников взяли, они и сдали всё, что знали. Заранее под всё виртуалку не установишь.

mky ★★★★★
()
Ответ на: комментарий от Stanson

Это смотря, что хакать-то.

Впрочем, речь можно вести только об оффтопах определённых версий.

sparkie ★★★★★
()
Ответ на: комментарий от mky

Беда в том, что скажут что у суда нет причин не доверять следователю. И это не только про наши суды. Это везде такая шляпа, когда дело технически сложное и судья не понимает с чем работает.

peregrine ★★★★★
()
Ответ на: комментарий от hibou

Да, индивидуально. Но людей много и есть копипаст от этого. Копипаста - лучший друг скрипткидди.

peregrine ★★★★★
()
Ответ на: комментарий от mky

двое признали вину и на него показали

Какие-то хакиры двоечники, теорию игр не учили.

ant1
()
Ответ на: комментарий от mky

Ну я ХЗ, зачем изначально преступнику через скайп или что-то похожее искать сообщников. Это какой-то некст левел идиотизм. Для таких дел есть более надёжные средства и места, чем какой-то там скайп, телега, гуглпочта, макс и все остальные сервисы, требующие номера телефонов, паспортные данные и собирающие кучу информации о клиентах. Мне всегда казалось что пацаны собираются во всяких скрытосетях на специализированных ресурсах. Даже обычный сайт в инете для таких дел очень не очень. Как и ИРЛ сходки по понятным причинам. Да и вообще в каждой группе хакеров обязательно будет ЦРУ-шник, ФСБ-шник и агент Мосада, которые эту группу поймают и арестуют, если они друг о друге что-то знать будут.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 2)
Ответ на: комментарий от peregrine

изначально преступнику

Ему сейчас 19, а первое кибер-преступление он, вроде, в 16 совершил. А, допустим, в 12-14 лет он не был преступником, а просто оболтусом, зависающим на околохакерских ресурсах. А уже потом, взял кому-нибудь сказал, что он раньше под таким-то ником был на таком-то ресурсе. Если бы все не болтали лишнего, раскрываемость была бы пониже.

ЦРУ-шник, ФСБ-шник и агент Мосада

Это прям сюжет для фильма, они все в одной группе, друг-друга поймали и никто так и не понял чьи задания выполняла группа и где деньги, Зин :)

mky ★★★★★
()
Ответ на: комментарий от CrX

другие форки могут помимо этого добавлять свои фичи

другие форки могут помимо этого добавлять свои зонды

починил

another ★★★★★
()

Вон тут (ycombinator.com) есть ссылка на скачивание официального документа, послужившего основанием для его ареста: A federal Superseding Criminal Complaint and supporting Affidavit filed in the United States District Court for the Northern District of Illinois against Peter Stokes (case number 25 CR 812).

Походу у этого малолетнего дебила на ноутбуке просто стояла Винда с включенной телеметрией. Он с этого ноутбука как занимался грязными делишками, так и входил в свои личные аккаунты (Apple, Facebook, Snapchat, Ubisoft), как со своего реального IP адреса, так и через VPN. Вообще видел в новостях, что правоохранители наблюдали за ним уже пару лет, просто не трогали как малолетку.

А виндовая телеметрия, как можно понять из названного документа, включает инфу о посещенных сайтах (именах хостов и IP-адресах) и об установленных VPN соединениях (включая, очевидно, возможность связать между собой реальный и VPN’овский IP-адреса).

Тут (ycombinator.com) упомянут GDID-Changer for Windows 10/11 на github.com (работает только при соединении с официальными серверами Microsoft). Из его описания на GitHub’е следует, что при генерации GDID используются многие hardware IDs (список в конце), и при неизменных hardware IDs может быть сгенерирован один и тот же GDID для разных установок Windows.

Zaruba
()
Ответ на: комментарий от peregrine

Хром, хромиум, опера и ёж спокойно запускаются. Пофиг на наличие machine-id

Chord ★★★★★
()
Ответ на: комментарий от mky

А, разве, эту инфу ... в виртуалку пробрасывает?

У меня в mint 21.3 Virginia и в host системе, и в virtualbox guest одинаковый id в /etc/machine-id

P.S. Куда бежать?
P.P.S. в alt, calculate гостевых разные с хостом.

novus ★★
()
Последнее исправление: novus (всего исправлений: 4)
Ответ на: комментарий от novus

Тут на GitHub’e Linux Mint (https://github.com/linuxmint/linuxmint/issues/126) актуальная issue: /etc/machine-id is identical for all Mint installations – еще с 2019 года висит, но никто за нее не возьмется. Проблема с официальным установочным ISO.

Zaruba
()
Последнее исправление: Zaruba (всего исправлений: 1)
Ответ на: комментарий от novus

У меня он везде одинаковый, так как я копирую, а не устанавливаю. А что сделали вы мне не ведомо. Но, так freedesktop написано, что в свежих systemd этот machine-id должен соответствовать RFC 4122, а там 60-бит timestamp. Так как невозможно одновременно устанавливать и хост и гостевую систему, значит, совпадение ваших рук дело.

mky ★★★★★
()
  • Markdown
Пустая строка (два раза Enter) начинает новый абзац. Знак '>' в начале абзаца выделяет абзац курсивом цитирования.
Внимание: прочитайте описание разметки Markdown.
Используйте Ctrl-Enter для размещения комментария