وبعيدًا عن هذه القضية تحديدًا، سلّطت هذه الأخبار الضوء على آلية عمل هذا النظام ومدى قدرات مايكروسوفت على التتبع.
أُلقي القبض على بيتر ستوكس، وهو مواطن أمريكي يحمل الجنسيتين الأمريكية والإستونية، في هلسنكي في أبريل الماضي أثناء محاولته الصعود على متن طائرة متجهة إلى اليابان. ووفقًا لموقع PCMag، فقد وجهت إليه الولايات المتحدة تهم التآمر واختراق أنظمة الحاسوب والاحتيال، وذلك لتورطه المزعوم في الهجوم الذي وقع في مايو 2025 على متجر مجوهرات فاخر في الولايات المتحدة.
وكما جاء في لائحة الاتهام، يُزعم أنه تمكن من اختراق شبكة الشركة لتجاوز إجراءاتها الأمنية والتخطيط لسرقة البيانات باستخدام أدوات الوصول عن بُعد.
يقال إن ستوكس استخدم شبكة افتراضية خاصة (VPN) أثناء الهجوم لتعديل وإخفاء عنوان IP الخاص به، لكن الباحثين تمكنوا من تعقبه بفضل معرف الجهاز العالمي، المعروف باسم GDID، والذي استخدمت مايكروسوفت سجلاته.
ويوضحون أن المعرف سمح لهم بربط تثبيت نظام التشغيل الويندوز الخاص بهم بزيارات لصفحات محددة على ngrok، وهي منصة تسمح بإنشاء اتصالات آمنة للوصول إلى أجهزة الكمبيوتر عن بعد.
تكمن المشكلة في أن معرّف الجهاز العالمي (GDID) هو معرّف فريد تُخصصه مايكروسوفت تلقائيًا لكل تثبيت لنظام ويندوز. وتشير وثائق المحكمة في القضية إلى أنه يبقى كما هو حتى عند تحديث نظام التشغيل، ويُستخدم لتحديد تثبيت ويندوز معين في خدمات مايكروسوفت وسيناريوهات محددة، سواء على أجهزة الكمبيوتر الفعلية أو الأجهزة الافتراضية.
لكن ما لفت الانتباه أكثر هو أن الوثائق تشير إلى أن معرّف الجهاز العالمي (GDID) يبدو أنه يخدم غرضًا يتجاوز مجرد تحديد جهاز كمبيوتر ضمن خدمات مايكروسوفت.
هذا يعني أن الشركة تستطيع ربط تثبيت ويندوز محدد بإمكانية الوصول إلى مواقع ويب أو خدمات معينة، حتى لو كان المستخدم يستخدم شبكة افتراضية خاصة (VPN). وبالنظر إلى هذه الحالة تحديدًا، فهذا يعني أن الشركة تستطيع ربط هذا المعرّف بنشاط بيتر على خدمات شركات أخرى مثل ngrok.
بفضل هذه السجلات، تمكن الباحثون من إثبات أن نفس الكمبيوتر قد وصل إلى صفحات ويب معينة في أوقات محددة، مما سمح لهم بإعادة بناء النشاط الذي قام به المتسلل على الرغم من استخدامه لشبكة VPN لإخفاء عنوان IP الخاص به.
توضح الوثائق أيضًا أنه لا يمكن تعطيل المعرّف باستخدام أي خيار في نظام ويندوز، ويبقى كما هو حتى بعد تحديثات النظام. الحالة الوحيدة التي يتغير فيها هي عند إعادة تثبيت ويندوز من البداية، حيث يُنشئ التثبيت الجديد معرّفًا مختلفًا لـ GDID.
مع ذلك، بالكاد تُشير مايكروسوفت إلى هذا المُعرّف في وثائقها العامة، ولا تُوضّح كيفية عمله خارج نطاق هذه الحالة المُحدّدة. الأمر الواضح هو أن التحقيق يُثير تساؤلات حول مدى قدرة الشركة على تتبّع نشاط أجهزة الكمبيوتر التي تعمل بنظام ويندوز، وما هو التوازن الأمثل بين استخدام هذه الأدوات للتحقيق في الجرائم وحماية خصوصية المستخدم.
ليست هناك تعليقات:
إرسال تعليق