Пользователь не видит GDID в настройках, не может сбросить его обычной кнопкой и не получает запроса на согласие.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Microsoft годами присваивала компьютерам с Windows скрытый идентификатор, который сохранялся после обновлений системы и позволял отличать одну установку от другой. О существовании Global Device Identifier, или GDID, стало широко известно только после того, как американские прокуроры раскрыли детали расследования против предполагаемого участника хакерской группировки Scattered Spider.
Следствие утверждает, что постоянный идентификатор помог ФБР проследить за подозреваемым через меняющиеся <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-серверы, прокси и подключения из разных стран. IP-адреса регулярно менялись, однако Windows продолжала передавать сервисам Microsoft один и тот же GDID. Такой цифровой след позволил связать разрозненные сеансы с конкретной установкой операционной системы.
GDID создаётся при настройке Windows с учётной записью Microsoft. Несколько системных служб запрашивают идентификатор у серверов компании, регистрируют компьютер в каталоге устройств и затем используют полученное значение при работе с обновлениями, магазином приложений и другими сервисами.
Идентификатор хранится в реестре Windows по адресу HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties. Значение начинается со строчной буквы g, после которой следует длинное число. Обычный пользователь не увидит GDID в настройках системы и не получит уведомление при создании идентификатора.
Microsoft ранее упоминала GDID в документации Azure Monitor, но ограничилась формулировкой «идентификатор, который Microsoft использует для внутренних целей». Более подробное описание появилось в материалах уголовного дела. Представитель компании назвал GDID постоянным идентификатором уровня устройства, который позволяет узнавать конкретную установку Windows в отдельных службах и сценариях Microsoft.
По данным прокуратуры, ФБР использовало GDID при расследовании деятельности Питера Стоукса, которого считают участником Scattered Spider. Следователи наблюдали за его предполагаемой активностью около восьми месяцев и сопоставляли технические данные с аккаунтами в социальных сетях, игровых сервисах и экосистемах крупных технологических компаний.
В материалах дела фигурирует идентификатор g:6755467234350028. Следствие зафиксировало его на странице регистрации сервиса ngrok примерно в тот момент, когда связанный с атакой пользователь создавал аккаунт через VPN-прокси Tzulo. Через три часа тот же GDID появился при посещении сайта компании, ставшей целью злоумышленников, причём соединение снова прошло через тот же прокси.
ФБР сопоставило идентификатор с IP-адресами, связанными с аккаунтами Стоукса в Snapchat, <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, Apple и Ubisoft. Подключения фиксировались в Эстонии, США, Таиланде и других странах. Фотографии из открытого профиля Snapchat, по версии следствия, совпали с гостиничными бронированиями, маршрутами поездок и местами, где появлялся компьютер с тем же GDID.
Расследование показало слабое место привычной модели анонимности через смену IP-адреса. VPN скрывает исходный адрес пользователя от посещаемого сайта, но не обязательно мешает самой операционной системе обмениваться служебными данными с разработчиком. Если Windows продолжает сообщать Microsoft постоянный идентификатор, новые VPN-серверы не разрывают связь между отдельными сеансами.
После чистой переустановки Windows система создаёт новый GDID. Полностью разорвать прежнюю связь всё равно может не получиться. Вход в ту же учётную запись Microsoft, восстановление OneDrive и данные активации позволяют компании сопоставить новую установку с предыдущей историей устройства.
Исследователей беспокоит не только техническая возможность отслеживания, но и отсутствие понятных настроек. Windows не показывает отдельное окно согласия, не объясняет назначение GDID и не предлагает кнопку для сброса идентификатора. Apple и Google позволяют пользователям управлять рекламными идентификаторами, тогда как механизм Microsoft работает скрыто и связан с системными функциями.
По данным специалистов, блокировка служб, участвующих в создании и передаче GDID, может нарушить активацию Windows и работу приложений Microsoft Store. Поэтому отключить идентификатор обычным переключателем без последствий нельзя. Microsoft также не сообщала о планах добавить отдельные настройки или подробную документацию для пользователей.
Снизить объём связанной телеметрии можно через раздел «Конфиденциальность и безопасность» в параметрах Windows. Система позволяет отключить необязательные диагностические данные, персонализированную рекламу, отслеживание запуска приложений, историю действий и облачный поиск. Локальная учётная запись также уменьшает число связей с сервисами Microsoft, хотя новые версии Windows 11 всё настойчивее требуют авторизацию во время установки.
Полностью скрыться от идентификации только с помощью коммерческого VPN не получится. Операционная система, браузер, приложения и облачные аккаунты оставляют собственные признаки, которые можно сопоставлять между собой. Дело Scattered Spider стало редким публичным примером того, насколько подробно Microsoft способна узнавать отдельную установку Windows и передавать связанные сведения правоохранительным органам по законному запросу.
Microsoft пока не раскрыла, на каких версиях Windows работает GDID, какие именно службы получают идентификатор и как долго компания хранит историю обращений. Самое подробное публичное описание механизма по-прежнему содержится не в пользовательской документации, а в федеральной жалобе против предполагаемого хакера.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Microsoft годами присваивала компьютерам с Windows скрытый идентификатор, который сохранялся после обновлений системы и позволял отличать одну установку от другой. О существовании Global Device Identifier, или GDID, стало широко известно только после того, как американские прокуроры раскрыли детали расследования против предполагаемого участника хакерской группировки Scattered Spider.
Следствие утверждает, что постоянный идентификатор помог ФБР проследить за подозреваемым через меняющиеся <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-серверы, прокси и подключения из разных стран. IP-адреса регулярно менялись, однако Windows продолжала передавать сервисам Microsoft один и тот же GDID. Такой цифровой след позволил связать разрозненные сеансы с конкретной установкой операционной системы.
GDID создаётся при настройке Windows с учётной записью Microsoft. Несколько системных служб запрашивают идентификатор у серверов компании, регистрируют компьютер в каталоге устройств и затем используют полученное значение при работе с обновлениями, магазином приложений и другими сервисами.
Идентификатор хранится в реестре Windows по адресу HKCU\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties. Значение начинается со строчной буквы g, после которой следует длинное число. Обычный пользователь не увидит GDID в настройках системы и не получит уведомление при создании идентификатора.
Microsoft ранее упоминала GDID в документации Azure Monitor, но ограничилась формулировкой «идентификатор, который Microsoft использует для внутренних целей». Более подробное описание появилось в материалах уголовного дела. Представитель компании назвал GDID постоянным идентификатором уровня устройства, который позволяет узнавать конкретную установку Windows в отдельных службах и сценариях Microsoft.
По данным прокуратуры, ФБР использовало GDID при расследовании деятельности Питера Стоукса, которого считают участником Scattered Spider. Следователи наблюдали за его предполагаемой активностью около восьми месяцев и сопоставляли технические данные с аккаунтами в социальных сетях, игровых сервисах и экосистемах крупных технологических компаний.
В материалах дела фигурирует идентификатор g:6755467234350028. Следствие зафиксировало его на странице регистрации сервиса ngrok примерно в тот момент, когда связанный с атакой пользователь создавал аккаунт через VPN-прокси Tzulo. Через три часа тот же GDID появился при посещении сайта компании, ставшей целью злоумышленников, причём соединение снова прошло через тот же прокси.
ФБР сопоставило идентификатор с IP-адресами, связанными с аккаунтами Стоукса в Snapchat, <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, Apple и Ubisoft. Подключения фиксировались в Эстонии, США, Таиланде и других странах. Фотографии из открытого профиля Snapchat, по версии следствия, совпали с гостиничными бронированиями, маршрутами поездок и местами, где появлялся компьютер с тем же GDID.
Расследование показало слабое место привычной модели анонимности через смену IP-адреса. VPN скрывает исходный адрес пользователя от посещаемого сайта, но не обязательно мешает самой операционной системе обмениваться служебными данными с разработчиком. Если Windows продолжает сообщать Microsoft постоянный идентификатор, новые VPN-серверы не разрывают связь между отдельными сеансами.
После чистой переустановки Windows система создаёт новый GDID. Полностью разорвать прежнюю связь всё равно может не получиться. Вход в ту же учётную запись Microsoft, восстановление OneDrive и данные активации позволяют компании сопоставить новую установку с предыдущей историей устройства.
Исследователей беспокоит не только техническая возможность отслеживания, но и отсутствие понятных настроек. Windows не показывает отдельное окно согласия, не объясняет назначение GDID и не предлагает кнопку для сброса идентификатора. Apple и Google позволяют пользователям управлять рекламными идентификаторами, тогда как механизм Microsoft работает скрыто и связан с системными функциями.
По данным специалистов, блокировка служб, участвующих в создании и передаче GDID, может нарушить активацию Windows и работу приложений Microsoft Store. Поэтому отключить идентификатор обычным переключателем без последствий нельзя. Microsoft также не сообщала о планах добавить отдельные настройки или подробную документацию для пользователей.
Снизить объём связанной телеметрии можно через раздел «Конфиденциальность и безопасность» в параметрах Windows. Система позволяет отключить необязательные диагностические данные, персонализированную рекламу, отслеживание запуска приложений, историю действий и облачный поиск. Локальная учётная запись также уменьшает число связей с сервисами Microsoft, хотя новые версии Windows 11 всё настойчивее требуют авторизацию во время установки.
Полностью скрыться от идентификации только с помощью коммерческого VPN не получится. Операционная система, браузер, приложения и облачные аккаунты оставляют собственные признаки, которые можно сопоставлять между собой. Дело Scattered Spider стало редким публичным примером того, насколько подробно Microsoft способна узнавать отдельную установку Windows и передавать связанные сведения правоохранительным органам по законному запросу.
Microsoft пока не раскрыла, на каких версиях Windows работает GDID, какие именно службы получают идентификатор и как долго компания хранит историю обращений. Самое подробное публичное описание механизма по-прежнему содержится не в пользовательской документации, а в федеральной жалобе против предполагаемого хакера.
- Источник новости
- www.securitylab.ru