Teknoloji dünyası, 19 yaşındaki bir hacker'ın yakalanıp ABD'ye iade edilme haberiyle çalkalanıyor. Genç hacker'ın yakalanmasını sağlayan en önemli unsur ise Microsoft Windows'un dahili telemetri verileri oldu. FBI'ın Microsoft'tan talep ettiği telemetri kayıtları, şüphelinin Global Cihaz Tanımlayıcısı (GDID) bilgisini ve ana Windows bilgisayarını kullanarak ziyaret ettiği web sitelerini ortaya çıkardı.
GDID'nin varlığı yeni bir gelişme olmamakla birlikte, Windows telemetrisinin veri toplama yetenekleri daha önce de detaylı olarak incelenmiş ve raporlanmıştı. Microsoft'un da kamuoyuyla paylaştığı gibi, genişletilmiş telemetri modları (Gerekli/Temel yerine Tam/İsteğe Bağlı) Akıllı Ekran ve Defender tarafından analiz edilen URL listelerini GDID ile birlikte gönderebiliyor. Hatta bu ayarlarda Edge tarayıcısı kullanılıyorsa, ziyaret edilen her URL bile gönderilebilir. Ancak mahkeme belgelerinde hangi mekanizmanın tam olarak telemetri yüklemesini tetiklediği açıklanmıyor.
Bu veri toplama yöntemi uzun süredir hararetli tartışmalara ve halkın tepkisine neden oluyor. Verilerin sorun giderme (Microsoft veya kurumsal ortamlardaki sistem yöneticileri için) açısından gerçekten faydalı ve gerekli olduğu savunulsa da, Windows Home ve Professional sürümlerinde varsayılan olarak etkin olması sorgulanır nitelikte. Ayrıca, bu sürümlerde telemetriyi tamamen devre dışı bırakmak için basit, kullanıcı dostu bir "Kapat" düğmesinin bulunmaması da durumu daha da karmaşık hale getiriyor.
Bu olay, Windows GDID'lerinin hem bir takip tanımlayıcısı olarak kullanıldığı hem de şüpheli tarafından ziyaret edilen URL'leri içeren telemetri verilerini barındırdığı ilk kamu davası olarak öne çıkıyor. Bu vaka aynı zamanda bir güvenlik araştırmacısı tarafından GDID'nin yeniden analiz edilmesine de yol açtı. Elde edilen bilgilere göre, şüphelinin Windows telemetrisinin muhtemelen İsteğe Bağlı/Tam olarak ayarlandığı düşünülüyor, zira Gerekli/Temel mod varsayılan olarak URL göndermiyor.
Telemetri GDID'sini kullanarak FBI, şüpheliyi ngrok hesabına kolayca bağlamayı başardı. Çünkü şüpheli bu aracı, Facebook ve Snapchat hesaplarına eriştiği aynı oturumda kullanmıştı. Ajanlar ayrıca seyahat kayıtları, New York'a ait bir IP adresi ve Empire Hotel'deki bir konaklama arasında da bağlantı kurdu. Bu bağlantı, muhtemelen şüphelinin otel odasından paylaştığı fotoğraflar sayesinde kurulmuştu. Cezai kovuşturmaya neden olan bu kişi, Tayland ziyaretinde de şaşırtıcı derecede dikkatsiz davranmış.
Pek çok hacker gibi, şüpheli de kısa bir süre önce popüler olmayan bir oyun oynayarak vakit geçirmeyi sevmiş. Bu olayda oynadığı oyun Ubisoft'un Growtopia'sıydı. Bu oyunun ardından Facebook ve Snapchat hesaplarının yanı sıra Apple giriş bilgilerine de erişmiş. Microsoft'un yanı sıra Google ve Apple da bu takip çalışmasına destek vermiş. Google, şüphelinin kimlik avı (phishing) amaçlı telefon numarasını, ngrok hesabının oluşturulduğu IP adresi ve tarih ile eşleştirmiş. Her zaman gizemli bir iş adamı gibi davranan şüpheli, aynı Gmail adresini kullanarak bir ngrok hesabı oluşturmuştu ki bu adres, kimlik avı aramalarının yapıldığı ikinci telefon numarasıyla da bağlantılıydı.
Milyarlarca bilgisayar hakkında varsayılan olarak ayrıntılı bilgi toplayan Microsoft'u eleştirmek kolay ve belki de gereklidir. Ancak güvenlik uzmanları, kullanıcıları Windows'un telemetrisinin bir kullanıcıyı takip etmenin yalnızca birçok yolundan biri olduğu konusunda uyaracaktır. Kötü niyetli olmasa bile, birçok yazılım kullanım takibi, abonelik ve lisans sınırlamaları, aktivasyon istekleri ve donanım tespiti gibi işlemler için GDID benzeri tanımlayıcılara ihtiyaç duyar. Ve bu tür yazılımların arkasındaki her şirket, Stokes'un davasında Microsoft, Google, Apple, ngrok ve diğerleri tarafından örneklendiği gibi yetkililer tarafından celp edilebilir. Proton gibi gizlilik odaklı hizmetler bile bir mahkeme emri kapsamında neyi açıklayıp açıklayamayacaklarını belirtirken dikkatli davranırlar.
Eğer Stokes'un izini kaybettirmek için attığı adımları merak ediyorsanız, bu adımlar oldukça sınırlı kalmış. Bağlantılarını Tzulo'dan sunucularla ve geliştirici odaklı ngrok tünel servisi ile teleport.sh aracılığıyla yönlendirmiş. Ancak modern dijital dünya, birçok kimlik belirleme yöntemi sunuyor ve kişinin kaynak IP adresini gizlemek yalnızca bunlardan biri.
Dijital anonimlik için VPN kullanımı önerilse de, bu yalnızca gerekli adımların ilkidir ve dikkatli ayarlanmadığında ters tepebilir. Yanlış yapılandırılmış bir VPN, bazı uygulamaların ve işletim sistemi özelliklerinin, gizlenen IP adresi yerine orijinal IP'yi kullanarak dış dünyayla iletişim kurmasına neden olabilir. Ayrıca VPN, işletim sisteminin veya herhangi bir uygulamanın tanımlayıcı bilgileri göndermesini engellemez.
Belki de daha endişe verici olanı, günümüzdeki cihaz ve kullanıcı profilleme (fingerprinting) yöntemlerinin çok daha sinsi ve karşı konulması zor olmasıdır. Örneğin, standart web tarayıcıları kişisel bilgiler sızdırma konusunda kötü bir üne sahiptir. Veri toplama şirketleri, TLS seviyeleri, HTML5 Canvas işlevselliği, yazı tipi listesi ve hatta Widevine DRM gibi özellikleri, bir ziyaretçiyi benzersiz şekilde tanımlayan bir kombinasyon halinde kullanabilirler. Stokes şimdi, Elektronik Sınır Vakfı'nın (EFF) gözetimle ilgili kendi kendine yardım kılavuzlarını okuyup, Gizlilik Harika (Privacy Is Sexy) web sitesindeki komut dosyalarıyla tanışmak için bolca zamana sahip.