Novinky dnes

Zprávy a zajímavá témata z každého dne

VPN sama o sobě nestačí. Co ukázal případ Scattered Spider

Odtajněné soudní dokumenty z amerického případu ukazují, jak vyšetřovatelé propojili konkrétní počítač s konkrétním člověkem, přestože při jedné z akcí použil VPN. Příběh je zajímavý i pro běžného uživatele, protože srozumitelně ukazuje, co o nás dnes vědí operační systémy a cloudové služby.

Tmavá místnost s množstvím monitorů, kabelů a počítačů
Ilustrační obrázek vytvořený umělou inteligencí.

Když se řekne skrývání stop na internetu, většina lidí si vybaví VPN. Zapnu ji, změním si IP adresu a jsem neviditelný. Nedávno odtajněné soudní dokumenty z jednoho amerického případu ale ukazují, že takhle jednoduché to není. Vyšetřovatelé v nich popisují, jak dokázali propojit konkrétní počítač s konkrétním člověkem, přestože při jedné z akcí použil VPN. A ten příběh není zajímavý jen pro bezpečnostní experty. Docela srozumitelně totiž ukazuje, co o nás dnes vědí operační systémy a cloudové služby, které používáme každý den.

Jak vyšetřovatelé propojili zařízení s člověkem

Americké ministerstvo spravedlnosti na začátku července oznámilo, že do USA byl z Finska vydán devatenáctiletý Peter Stokes, dvojí občan Spojených států a Estonska. Podle obžaloby zveřejněné ministerstvem je údajným členem hackerské skupiny Scattered Spider, známé také pod označeními Octo Tempest, UNC3944 nebo 0ktapus. Skupina bývá spojována s více než stovkou průniků do firemních sítí a s výkupným v řádu stovek milionů dolarů. Je třeba zdůraznit, že jde zatím o obžalobu a že platí presumpce neviny, dokud soud nerozhodne jinak.

Zajímavá je metoda, kterou skupina používá. Nejde primárně o hledání technických děr, ale o sociální inženýrství. Útočníci typicky zavolají na firemní IT podporu, vydávají se za zaměstnance a přesvědčí ji, aby resetovala heslo nebo dvoufaktorové ověření. V jednom z popsaných případů se tak podle obžaloby skupina dostala do systémů klenotnické firmy, odkud odčerpala data a požadovala výkupné kolem osmi milionů dolarů v kryptoměně. Firma nakonec nezaplatila, útočníky ze sítě vytlačila, ale i tak ji incident stál zhruba dva miliony dolarů.

Co je GDID a co vlastně dokázal

Nejvíc pozornosti přitáhla jedna technická pasáž. Vyšetřovatelé využili takzvaný Global Device Identifier neboli GDID, což je unikátní identifikátor přiřazený instalaci Windows. Řetězec podle dokumentů vypadal takto. Účet u služby ngrok, který útočník při jednom z průniků použil, byl založený přes VPN. Microsoft ale po soudním příkazu dokázal tuto aktivitu spárovat s konkrétním GDID. Ten pak porovnal se svou historickou telemetrií a našel další IP adresy spojené se stejnou instalací Windows. A tyto adresy už šlo porovnat s přihlašovacími záznamy od Snapchatu, Applu, Facebooku a s cestovními údaji.

Tady je důležité nepodlehnout zkratce, která po zveřejnění dokumentů kolovala po sítích. Affidavit netvrdí, že by Windows telemetrie vyšetřovatelům předala kompletní historii prohlížení, her nebo aktivity na sociálních sítích. GDID posloužil jako jedna stopa, kterou museli ověřit nezávislými důkazy od řady dalších firem. Součástí případu byla i docela klasická detektivní práce. Vyšetřovatelé podle záznamů porovnávali třeba pozadí na fotkách z účtů podezřelého, aby potvrdili jeho cestování a životní styl. Telemetrie tedy nebyla kouzelným tlačítkem, ale jedním dílkem skládačky.

Proč VPN sama o sobě nestačí

Z toho plyne první poučení, které se týká i běžného uživatele. VPN mění vaši IP adresu, ale nemění identitu zařízení ani účtů, které používáte. Pokud na jednom počítači a pod stejnými identitami mícháte všechno možné, zanecháváte konzistentní stopu, kterou lze později propojit. Nejde o to, že by VPN byla k ničemu. Je to užitečný nástroj, který skrývá jednu vrstvu, konkrétně vaši polohu na úrovni sítě. Problém nastává ve chvíli, kdy se člověk spolehne na to, že VPN znamená úplnou anonymitu. Identifikátor zařízení, přihlašovací účty a chování v čase tvoří dohromady otisk, který samotné maskování IP adresy nesmaže.

Co o vás ví telemetrie operačního systému

Tím se dostáváme k jádru celé věci, které se týká nás všech, ne jen hackerů. Moderní operační systémy o svém běhu odesílají takzvaná diagnostická data neboli telemetrii. U Windows to Microsoft rozlišuje na dvě úrovně. Povinná data slouží k tomu, aby systém zůstal aktuální a bezpečný, a volitelná data navíc pomáhají Microsoftu vylepšovat Windows a související služby. Podle oficiální dokumentace Microsoftu se tato data přenášejí a ukládají s jedním nebo více unikátními identifikátory, které pomáhají rozpoznat konkrétního uživatele na konkrétním zařízení.

Není důvod z toho dělat strašáka. Diagnostická data neznamenají, že by někdo v reálném čase sledoval, co píšete nebo na jaké weby chodíte. Podrobný přehled toho, co přesně se sbírá, ostatně Microsoft zveřejňuje a část telemetrie jde v nastavení systému omezit. Co si ale z případu vzít lze, je jednoduchá věc. Vaše zařízení generuje konzistentní stopu, která existuje nezávisle na tom, přes jakou IP adresu se zrovna připojujete. A na základě soudního příkazu se k ní dá dostat.

Spolupráce firem s vyšetřovateli je dnes norma

Poslední věc, kterou případ ilustruje, je, že využití telemetrie a logů v digitální forenzice není žádná výjimka, ale běžný standard. Poskytovatelé služeb předávají orgánům činným v trestním řízení data na základě soudního příkazu rutinně, ať už jde o operační systém, sociální síť nebo cestovní službu. V tomto konkrétním případě navíc podle dokumentů Microsoft na Stokese jako podezřelého člena Scattered Spider upozornil orgány už v roce 2024. Spolupráce vendorů s vyšetřovateli tedy není nic mimořádného, spíš jde o rutinní součást toho, jak dnes takové případy fungují.

Co si z toho vzít

Pro běžného uživatele z toho neplyne, že by měl propadat paranoie nebo přestat používat počítač. Plyne z toho spíš pár střízlivých návyků. Za prvé, VPN berte jako jednu vrstvu ochrany, ne jako plášť neviditelnosti. Za druhé, oddělení prostředí, tedy různá zařízení, účty a identity pro různé účely, není nic přehnaného, ale rozumná hygiena soukromí. A za třetí, vyplatí se vědět, jaká data váš systém odesílá, a v nastavení si projít, co lze omezit. Ne proto, že byste měli co skrývat, ale protože orientovat se ve vlastní digitální stopě je dnes stejně praktická dovednost jako zamykání dveří.

Zdroje: Tisková zpráva Ministerstva spravedlnosti USA, The Hacker News: rozbor případu, Microsoft: Diagnostika, zpětná vazba a soukromí ve Windows, Microsoft: Volitelná diagnostická data.