LINUX.ORG.RU

Линукс для хакеров более предпочтителен

 , , , ,


2

1

Сабж


При помощи созданного Microsoft идентификатора GDID следователи ФБР смогли связать подростка со взломом, который приписывается хакерской группировке Scattered Spider. Инцидент вызвал серьёзные опасения по поводу конфиденциальности и возможностей слежки при помощи Windows.

На минувшей неделе США объявили об экстрадиции 19-летнего Питера Стоукса (Peter Stokes) из Европы — он обвиняется в членстве в группировке киберпреступников Scattered Spider. Случай выделяется тем, что с преступлениями его помогла связать Microsoft. В мае 2025 года Стоукс, по версии следствия, используя VPN, взломал ресурс ювелирного магазина. Чтобы отследить его, в ФБР использовали разработанный Microsoft идентификатор устройства Global Device ID (GDID) — он остаётся уникальным и постоянным с каждой установкой Windows на физическое или виртуальное устройство.

Существование глобального идентификатора — стандартная практика, позволяющая разработчику распознавать и различать клиентов. Важно, что Microsoft может связывать GDID со сторонними службами и временны́ми метками, то есть отслеживать онлайн-активность ПК с Windows без, например, сторонних файлов cookie в браузере. Для обхода сетевой защиты на ресурсе ювелирного магазина использовалась служба туннелирования ngrok, и у Microsoft оказались записи, свидетельствующие, что компьютер Стоукса получил доступ к странице создания учётной записи на сервисе.

Идентификатор устройства кратко упоминается на одной из страниц поддержки Microsoft, но компания никогда публично не комментировала наличие этого средства. Пользователь, гласят материалы следствия, может сбросить GDID самостоятельно, хотя это и непросто. Он сохраняется после обновления Windows, но меняется после переустановки. То есть у одного пользователя может быть несколько GDID, но Microsoft, вероятно, не составит труда связать несколько таких идентификаторов, зная, например, логин учётной записи или IP-адрес пользователя.

Общественность, узнав об инциденте, задалась несколькими вопросами. Например, как обнаружить и удалить GDID? И есть ли нечто подобное в экосистеме Apple, которая теоретически может создавать идентификаторы на уровне не программной, а аппаратной части? Есть мнение, что для сохранения анонимности теперь приходится пользоваться бесплатными ОС Linux или FreeBSD, а также туннелировать трафик через прокси, VPN или Tor.


А ЛОР всегда знал!

★★★★★

Последнее исправление: CrX (всего исправлений: 1)
Ответ на: комментарий от ant1

Не знал, что финны почешутся по указке из Америки. Им на свои-то преступления плевать зачастую.

В мире сейчас совсем немного стран, которые могут себе позволить не выдавать в США по запросу. Некоторые даже своих граждан выдадут, не говоря про иностранных.

praseodim ★★★★★
()
Ответ на: комментарий от novus

b76cc7b1bbdc489e93909d2043031de8 Linux Mint 20.1.
e7d0df732b0649e49e97a4d764308014 Linux Mint 21.1.
10b971ac1a304176906b1f6a23827476 Linux Mint 21.2.
вроде, у 21.3 такой же как у 21.2. Погулите свой machine-id, если у вас осталось с чего ставили, посмотрите там. Как я понял, что записали в iso-образ, то и оказывается в системе после установки. Не знаю, сколько разных установочных образов существует для одной версии минта, но, сколько бы их не было, явно каждый скачивает и устанавливает себе не один человек.

mky ★★★★★
()
Ответ на: комментарий от mky

Вероятно, вы правы.
1. Гуглится. 1a2f143a26374a19bf06824f4eea0221. Ссылок всего 4 , но есть.
2. Загрузился live в linuxmint-21.1-mate-64bit.iso, с которого ставил.

 cat /etc/machine-id 
1a2f143a26374a19bf06824f4eea0221
Наверное, это хорошо.

novus ★★
()
Последнее исправление: novus (всего исправлений: 2)
Ответ на: комментарий от novus

Вот у меня вопрос.

Если я загружусь в железную ВМ (ну типа не паравирутализация) в режиме УЕФИ у меня что будет в ефиварс подмонтировано?

anonymous
()
Ответ на: комментарий от praseodim

Да понятно, что это и не страна вовсе, а так, потешный придаток на подачках у Господина. Я про другое. Они там на столько ленивые, что кого-то арестовать это прям сенсация. Разве что для господ и можно такое устроить. Было бы доместик, сказали бы что ресурсов нет кого-то разыскивать. На кражи они обычно отвечают «мы не знаем кто это был, а всех проверять нембудем, дело закрыто» и это не шутка.

ant1
()
Ответ на: комментарий от ant1

Не знаю, насколько ленивы они там, и как именно арестовали этого Питера, но произошло в аэропорту. Может он по своим документам пытался сесть в самолёт, а может распознование лиц сработало. Но, когда система автоматически определяет, что есть ордер Интерпола, то у персонала особо вариантов нет, система сказала задержать, значит задеражть :) Ну, в любом случае, они его не разыскивали, не выслеживали, сам пришёл в аэропорт.

mky ★★★★★
()

Есть мнение, что для сохранения анонимности теперь приходится пользоваться бесплатными ОС Linux или FreeBSD, а также туннелировать трафик через прокси, VPN или Tor.

ммм, надеюсь мнение кто-то поставит под сомнение, чтобы не кинулись переходить на linux, потому как в итоге и сюда что-то такое притащат.

unclestephen ★★★★★
()
Ответ на: комментарий от peregrine

В сша по другому, там прокурор и адвокат будут вызывать экспертов и эти эксперты будут вещать за/против. На суде присяжных присяжным в принципе запрещено пользоваться или высказывать на собрании свои экспертные мнения. Они или судья должны полность руководствоваться тем что было на суде. Именно по этому в судах сша 100500 всевозможных экспертофф. На мнения которых есесенно уходит 100500 бабок.

vtVitus ★★★★★
()
Ответ на: комментарий от ant1

По указке сша все страны чешутся, даже Китай. Не почешутся только страны оси зла - кореи, ираны, россии может парочка ещё. А так вон куча скандалов с выдачей собственных граждан в нарушения своих же законов из британии, франции и т.п. «независимых стран». Но так да, работающий финский мент это оксюморон. 😃

vtVitus ★★★★★
()
Последнее исправление: vtVitus (всего исправлений: 1)
Ответ на: комментарий от unclestephen

ммм, надеюсь мнение кто-то поставит под сомнение, чтобы не кинулись переходить на linux, потому как в итоге и сюда что-то такое притащат.

Есть ещё OpenBSD, там такое точно вряд ли протащат.

filosof ★★
()
Ответ на: комментарий от peregrine

По-хорошему, для чего-то эдакого нужен отдельный браузер (а если пациент подумает ещё чуть-чуть, то можно дойти и до браузера со всякими плагинами заменяющими фингерпринт). Базовое правило «не сри там где ешь, не ешь там где срёшь».

Ну и использование ngrok вызывает вопросы. Там на главной странице есть ссылка в подвале «Abuse» для репорта абьюзинга. Очевидно, сервис всё логгирует и сотрудничает со всеми заинтересованными организациями, и использовать его для чего-то за рамками разработки - плохая идея. Нужен сервис хотя бы в Privacy policy обещающий ничего не логгировать (конечно, может обмануть, но это лучше, чем переть туда, где прямым текстом заявляют, что всё логгируют и сдают по первому запросу).

Скорее всего чувак даже не задумывался о том, что делает что-то противозаконное, а руководствовался логикой «раз есть дырка и по размеру подходит, надо туда засунуть».

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 3)

подростка

хакерской группировке

Windows

Первое не сочетается со вторым, а второе с третьим. В сочетании первого со вторым это уже не просто подросток, а вундеркинд. А в сочетании второго с третьим это ламерская группировка.

Mishahack
()
Последнее исправление: Mishahack (всего исправлений: 1)
  • Markdown
Пустая строка (два раза Enter) начинает новый абзац. Знак '>' в начале абзаца выделяет абзац курсивом цитирования.
Внимание: прочитайте описание разметки Markdown.
Используйте Ctrl-Enter для размещения комментария