OGLAS

Kako FBI pronalazi hakere unatoč korištenju VPN-a: Skriveni identifikator u sustavu Windows za koji 99% korisnika ne zna

·

Mnogi korisnici vjeruju da je za potpuno prikrivanje internetskog identiteta dovoljno koristiti VPN, često mijenjati IP adrese ili usmjeravati promet kroz poslužitelje u više različitih država. Međutim, nedavno uhićenje Petera Stokesa, devetnaestogodišnjeg hakera i navodnog člana kibernetičke kriminalne skupine Scattered Spider, pokazuje da u operativnom sustavu Windows postoje digitalni tragovi kojih većina korisnika uopće nije svjesna.

Iako je kao takozvani black hat haker iznimno pažljivo prikrivao svoje aktivnosti stalnim mijenjanjem IP adresa i korištenjem VPN-a, FBI ga je locirao i uhitio u zračnoj luci u Helsinkiju neposredno prije ukrcaja na let za Japan. Prema službenim dokumentima iz istrage, ključni čimbenik koji je istražiteljima omogućio povezivanje osumnjičenika s računalom korištenim u napadima bio je Global Device Identifier (GDID). Riječ je o jedinstvenom identifikacijskom kodu koji Microsoft dodjeljuje svakoj pojedinačnoj instalaciji sustava Windows unutar svojega ekosustava.

VPN ne može sakriti hardverski potpis uređaja

Peter Stokes optužen je za sudjelovanje u kibernetičkom napadu na luksuznu američku trgovinu nakitom u svibnju 2025. godine. Napadači su tada metodama socijalnog inženjeringa i krađe identiteta na društvenim mrežama uvjerili tehničku podršku da ponovno postavi pristupne podatke zaposlenika. Time su dobili administratorske ovlasti, kompromitirali brojne korisničke račune i otuđili povjerljive podatke, nakon čega su zahtijevali otkupninu u kriptovalutama u iznosu do osam milijuna dolara. Iako oštećena tvrtka nije isplatila otkupninu, pretrpjela je štetu od približno dva milijuna dolara zbog dugotrajnog prekida poslovanja.

Ono što je u ovome slučaju privuklo veliku pozornost tehnološke zajednice jest precizna metoda kojom su savezni istražitelji pratili osumnjičenika. Stokes je redovito koristio VPN i mrežni alat Ngrok za tuneliranje prometa kako bi sakrio stvarne mrežne parametre. Međutim, u sudskom podnesku od 39 stranica navodi se da je Microsoft istražiteljima dostavio opsežnu količinu podataka izravno povezanih sa Stokesovim GDID brojem. Ti su podaci uključivali cjelovitu povijest pregledavanja mreže s točnim vremenskim oznakama, povijest igranja videoigara, popise svih korištenih IP adresa, povijest instaliranih softverskih alata te sve aktivnosti na platformi Azure.

Što je još važnije, spomenuti je GDID broj bio trajno povezan s osobnim računima osumnjičenika na platformama Snapchat, Apple i Facebook. Svaki put kada bi se Stokes prijavio na te račune s nove IP adrese ili iz druge države, GDID je ostao nepromijenjen te je tiho povezivao sve njegove aktivnosti u jedinstven i neprekinut lanac. Dok se mrežne adrese i lokacije mogu lako lažirati, računalo i osoba iza tipkovnice ostaju isti jer VPN štiti IP adresu, ali ne može sakriti jedinstveni identifikator sustava. Dokumenti otkrivaju da je Microsoft stvarni identitet osumnjičenika utvrdio još u listopadu 2024. godine, kada je Stokes bio sedamnaestogodišnjak, no vlasti su ga nastavile pratiti čekajući punoljetnost kako bi poduzele zakonske mjere.

Što je zapravo Global Device Identifier (GDID)?

Prema Microsoftovu službenom objašnjenju, Global Device Identifier je jedinstveni niz znakova koji se generira pri svakoj instalaciji operativnog sustava Windows. Ovaj kod ostaje nepromijenjen kroz sva redovita ažuriranja sustava, a korporacija ga koristi za prepoznavanje uređaja unutar svojih usluga. Pojednostavljeno rečeno, svako računalo sa sustavom Windows posjeduje digitalnu osobnu iskaznicu na temelju koje Microsoft može pratiti aktivnosti uređaja. Identifikator se mijenja tek kada korisnik u potpunosti ponovno instalira operativni sustav, što znači da jedno računalo tijekom svojega životnog vijeka može promijeniti više GDID brojeva.

Postojanje ovakvih identifikatora nije novost niti tajna u tehnološkoj industriji, s obzirom na to da se GDID kratko spominje u službenoj Microsoftovoj dokumentaciji namijenjenoj sistemskim administratorima. Ipak, šira javnost i mnogi napredni korisnici za njega do sada nisu čuli jer se rijetko spominje izvan saveznih kaznenih istraga. Ovaj slučaj jasno dokazuje da podaci povezani s identifikatorom uređaja postaju moćan alat u rukama istražitelja kada se kombiniraju s podacima drugih mrežnih servisa.

Nakon uvida u istražne spise, stručnjak za kibernetičku sigurnost Matthew Hickey izjavio je da se Windows u ovakvim okolnostima ponaša poput softvera za nadzor. Poznati istraživač sigurnosti Costin Raiu potaknuo je širu raspravu o tome provode li Apple i Google slične prakse te upozorio da bi, u slučaju da se identifikatori trajno vežu uz sam hardver, čak i ponovna instalacija operativnog sustava postala beskorisna. Iako se GDID teoretski može resetirati novom instalacijom sustava, Microsoft ima tehnološke mogućnosti povezati stari i novi kod putem drugih parametara, kao što su prijava na isti Microsoftov račun ili podudarnost mrežnih aktivnosti.

Zbog toga stručnjaci napominju da korisnici koji teže potpunoj anonimnosti moraju razmisliti o prelasku na Linux te o usmjeravanju cjelokupnoga prometa kroz višestruke slojeve proxy poslužitelja i VPN mreža.

OGLAS