Come proteggersi dal tracciamento dei bookmaker

design

---

--- INTRODUZIONE ---

Salve a tutti, mi presento, sono Federico, respiro informatica per hobby e per lavoro, faccio matched betting solo da pochi mesi (Luglio 2018 per la precisione).
In questo post vorrei parlare di qualcosa che ci sta molto a cuore, ovvero la profilazione dei nostri account, con conseguente accensione dei flag che ci fanno “osservare” e limitare.

---

--- SPIEGAZIONI INIZIALI DI BASE ---

Prima di spiegarvi cosa fanno i bookmaker per tenerci sotto controllo devo inculcare in voi qualche concetto di base su come avvengono le comunicazioni via internet, come forse alcuni di voi sapranno, la comunicazione tra due PC avviene utilizzando il protocollo TCP/IP, tale protocollo definisce i metodi di invio e ricezione dei dati tra due PC, quando un PC richiede una pagina web, invia una serie di pacchetti ad un server web remoto, richiedendo una specifica pagina, il server risponde con altri pacchetti contenenti la pagina web in questione che il vostro browser interpreta e formatta in modo da renderla umanamente leggibile.
All’interno di un pacchetto IP possiamo trovare, oltre al payload (cioè l’informazione vera e propria), dei parametri interessanti:

• MAC ADDRESS
• IP SORGENTE

Il MAC ADDRESS è un indirizzo univoco che identifica la scheda di rete del vostro PC/Smartphone
L’indirizzo IP identifica in modo univoco la connessione ADSL che state usando in quel momento.
Perché questi 2 valori sono così importanti? Beh, perché sono univoci, ciò significa che SOLO il vostro PC avrà il MAC ADDRESS 00-C0-CA-90-1E-4A nel mondo intero, ciò significa che siete in qualche modo identificabili univocamente; stessa cosa con l’indirizzo IP, esso identifica la vostra casa, per esempio.
Adesso quelli un po’ più preparati tra voi diranno, Federico OK l’indirizzo IP, ma il MAC ADDRESS viene mascherato e non può essere analizzato dai bookmaker….ed è qui che entra in gioco la furbata che vi spiegherò più avanti!

---

--- I BROWSER E LA PRIVACY ---

Bene, adesso che sappiamo come i PC comunicano tra loro, ma cosa si comunicano?
Quando il mio PC richiede la pagina web del bookmaker, QUALI sono le informazioni che che rendo liberamente fruibili? Queste sono alcune delle informazioni che il vostro browser rende “disponibili” al server remoto durante una sessione di navigazione:

• 1 – POSIZIONE ( https://www.iplocation.net/ )
  Anche senza sfruttare un sensore GPS, è possibile determinare la vostra posizione in maniera più o meno approssimativa, ma abbastanza precisa per capire da che zona della città vi state connettendo.

• 2 – SOFTWARE
  Sistema operativo
  Browser in uso e plugin installati (NON component aggiuntivi)
  System Font, Time Zone

• 3 – HARDWARE
  Processore
  Scheda grafica, risoluzione schermo
  Stato batteria e livello di carica batteria

• 4 – CONNESSIONE ( https://www.myip.com/ )
  Indirizzo IP locale
  Indirizzo IP pubblico
  Provider telecomunicazioni
  Velocità di download
  Network scan, un server web al quale sei collegato può fare uno scan della tua rete locale, rilevando gli ip, oltre il tuo, all’interno della rete.

• 5 – SOCIAL MEDIA (more info https://news.ycombinator.com/item?id=11415462)
  Si può determinare se l’utente è connesso a social media come facebook, google, flickr

• 6 – INPUT (https://clickclickclick.click/)
  E’ possibile monitorare gli input all’interno del browser nella sua totalità ovvero un sito può analizzare I movimenti che stai facendo all’interno del browser, e non solo.

Ma non è tutto, il browser utilizza un altro componente fondamentale alla navigazione, il cookie.
Nient’altro è che un file nel quale vengono memorizzati vari dati riguardo all’utente, come per esempio la lingua predefinita che avete selezionato oppure il contenuto del carrello di amazon.
I cookies vengono utilizzati per profilare l’utente, ed ogni sito è autorizzato a visualizzare SOLO i cookies del proprio sito, per questo è importante utilizzare la modalità anonima.

---

--- FINGERPRINTING ---

Bene ragazzi, fino ad ora abbiamo scherzato, ora parliamo di fingerprinting.
Da quello che abbiamo imparato nelle righe sopra, possiamo certamente dire che il nostro browser ha un potenziale di rilascio informazioni davvero ampio.
Quindi la vostra combinazione di posizione, software, hardware, connessione rende la vostra “navigazione” identificabile quasi in modo inequivocabile, potete testare l’efficacia del vostro browser prima e dopo questa guida su Panopticlick ( https://panopticlick.eff.org )

Come potete vedere, il mio browser attualmente è un colabrodo, più avanti vedremo come rendere il nostro browser più “resistente”.

---

--- IESNARE ---

(more info https://www.geegeez.co.uk/iesnare-how-bookmakers-are-spying-on-you-from-your-own-computer/ )

Diciamocelo, tutto quello che abbiamo letto fin’ora, è già abbastanza, ma in realtà, non è così.
All’inizio di questa guida, ho parlato di Indirizzi IP e di MAC ADDRESS, questa è la genialata che alcuni bookmaker hanno deciso di adottare per riuscire a controllarci in maniera ancora più accurata.
Iovation è una società specializzata nella protezione dei business online dalle frodi e dagli abusi, ed ha messo a punto uno spyware chiamato IESNARE, questo adorabile piccolo malware viene installato a vostra insaputa e può andare molto più a fondo rispetto a quello che abbiamo visto fino ad adesso, può infatti arrivare a collezionare:

• MAC Address
• Websites visited
• Risoluzione schermo
• Tipo Device (PC, MAC, etc.)
• Sistema operativo (Windows, OS X, Linux, etc.) comprensivo di OS Build * * * * Number
• Time Zone
• JavaScript on/off
• Flash on/off - Flash installed? - Flash Version - Flash storage enabled/disabled
• Browser Cookies enabled/disabled
• Browser Type, version, set caratteri, linguaggio menu, linguaggio browser
• Indirizzo IP e provider (ISP)
• Geolocalizzazione (Città, Country code, posizione approssimativa)
• Fully-qualified domain name
• CPU Count, CPU Speed
• Component Serial Numbers
• DeviceName ([censored] Hash), Device Identifier, Kernel Version, Kernel Build Number

Nella lista svettano due campi tra tutti:

• Website visite, si spiega da solo, immaginatevi se i bookmaker vedessero che state visitando siti dedicati al matched betting.
• MAC ADDRESS, se avete letto la prima parte della guida sapete che identifica la scheda di rete dalla quale partono le richieste, ovvero la scheda di rete del computer che utilizzate.
  Mi sembra chiaro che se lo spyware può accedere ad un dato così importante e univoco, esso diventa pericoloso nelle mani dei nostri cari bookmaker.
  Mettiamo caso che state utilizzando il vostro cellulare in hotspot per fare le vostre puntate:
  L’indirizzo IP cambierà ad ogni riavvio del vostro cellulare in quanto il contratto che avete stipulato con il vostro ISP vi garantisce 1 IP pubblico DINAMICO.
  Il MAC ADDRESS tuttavia non cambierà mai, perché le richieste partiranno sempre dallo stesso dispositivo.

---

--- COUNTERMEASURE ---

Penso che sia il momento di tirare fuori il bazooka e far vedere ai bookmaker che non siamo dei fessacchiotti, iniziamo con le contromisure.
Andiamo con ordine, dobbiamo difenderci prima di tutto dalle informazioni che il nostro browser rilascia nel web e, solo dopo di quelle che ci vengono estorte a suon di T&C installando spyware a nostra insaputa.

PULIZIE INIZIALI
Scaricate SUPERAntiSpyware Free Edition (https://www.superantispyware.com/)
Fate una scansione completa e rimuovete tutti gli spyware che il programma rileva.

BROWSER (CHROME e FIREFOX)
Il mio consiglio per quanto riguarda il browser, create 1 profilo separato dal vostro abituale, solo per fare MB così da poter tenere le identità separate.

Prima di tutto dobbiamo pulire cookie e cache, aprite le impostazioni di Google Chrome, cercate “cookie” e selezionate l’ultima opzione relativa alla cancellazione dei dati (assicuratevi di aver selezionato “Tutto” nell’intervallo di tempo (sarà necessario effettuare nuovamente il login su tutti i siti che utilizzate).

Per blindare il nostro browser abbiamo bisogno di installare dei componenti aggiuntivi.

Iniziamo installando uBlock Origin che ci permette di bloccare diversi tipi di contenuto
Chrome https://chrome.google.com/webstore/detail/ublock-origin/cjpalhdlnbpafiamejdnhcphjbkeiagm
Firefox https://addons.mozilla.org/it/firefox/addon/ublock-origin/
Una volta installato, aprite le impostazioni del componente aggiuntivo (click destro sull’icona del componente -> opzioni)
Seleziona:

• Impedisci a WebRTC di rivelare l'indirizzo IP locale
• Blocca i report CSP

Già a questo punto abbiamo iniziato a bloccare un po’ di spazzatura, ad esempio, aprendo un bookmaker a caso:

Potete vedere come alcune richieste da siti di terze parti vengono bloccate automaticamente.

Facciamo un giro su Panopticlick (https://panopticlick.eff.org)

uBlock Origin ha una funzione avanzata (https://github.com/gorhill/uBlock/wiki/Advanced-user-features) all’interno delle opzioni che permette di attivare il Dynamic Filtering (https://github.com/gorhill/uBlock/wiki/Dynamic-filtering:-quick-guide)
Utilizzando il dynamic filtering possiamo abilitira/disabilitare qualsiasi contenuto caricato dal sito.
E’ chiaro che qui entriamo in gioco noi, uBlock si basa su delle liste pubbliche per effettuare le decisioni di block/allow, tuttavia possiamo bypassare tale lista utilizzando l’apposita colonna per bloccare del codice che non ci va a genio.
Aprite le impostazioni del componente aggiuntivo (click destro sull’icona del componente -> opzioni)
Selezionate anche:

• Sono un utente avanzato

Adesso uBlock vi apparirà in maniera diversa, cliccando sulle caselle di destra sarà possibile abilitare/disabilitare il caricamento di determinati contenuti.

uBlock talvolta (raramente) potrebbe “nuocere” alla vostra navigazione, potreste trovarvi nella situazione in cui viene bloccato del contenuto che voi in realtà volete abilitare.
Niente panico!
Potete selezionare manualmente i contenuti da abilitare oppure disattivare uBlock per quel dominio, semplicemente cliccando sul grosso tasto blu nell’angolo in alto a destra.

Ho preparato una lista da usare come base di partenza che include una serie di servizi che ho controllato e, secondo me sono da bloccare.
Per importare la lista:
Aprite le impostazioni del componente aggiuntivo (click destro sull’icona del componente -> opzioni)
Posizionatevi sulla tab “Le mie regole” e aggiungere nella colonna di destra i seguenti:

• betradar.com * block
• connextra.com * block
• iesnare.com * block
• imggaming.com * block
• imrworldwide.com * block
• maxmind.com * block
• seon.io * block
• sportradar.com * block
• w55c.net * block

Fare click su Save e poi su Commit per rendere le modifiche permanenti.

Siete pronti!

FINGERPRINTING
Nel capitolo sopra abbiamo iniziato a ridurre le possibilità di fingerprinting, ma non l’abbiamo “rimosse” perché di base non è così semplice, tra i migliori modi:
Tor Browser. Purtroppo penso che, per come funziona, nel nostro caso potrebbe fare peggio che meglio.

Un problema molto rilevante viene chiamato Canvas Fingerprint (es: 2dae4a1015a39f62a0189501f70793b9), praticamente si basa su HTML5, quando un sito richiede di disegnare un’immagine al nostro browser iniziano a lavorare moltissimi diversi componenti specifici della tua configurazione che, creando tale immagine, creano un fingerprint praticamente univoco.
Le soluzioni purtroppo non sono semplici, se rimuoviamo il Canvas Fingerprinting, in realtà stiamo comunque dando qualcosa per categorizzarci (ovvero che tu non hai Canvas Fingerprinting, come l’1% della popolazione su internet, quindi vieni comunque indicizzato utilizzando il fingerprinting di base)

Chrome https://chrome.google.com/webstore/detail/canvas-defender/obdbgnebcljmgkoljcdddaopadkifnpm
Firefox https://addons.mozilla.org/it/firefox/addon/no-canvas-fingerprinting/

IESNARE
Adesso facciamo i conti con iesnare, determiniamo se siamo infetti:

• Aprite un prompt dei comandi di dos (Start -> Tutti i programmi -> Accessori)
• Digitate “dir mp*.com /s” senza virgolette per cercare file con questa dicitura.

Se siete infetti apparirà una schermata simile a questa

Dobbiamo eliminare la directory che viene restituita dalla ricerca che abbiamo appena fatto, copiate la path ed eliminate la cartella.
A questo punto se ripetete la ricerca con il comando “dir mp*.com /s” il risultato sarà:

Abbiamo eliminato lo spyware dai nostri sistemi, ma come facciamo ad eliminare la possibilità che si reinstalli?
Per fare questo dobbiamo editare il file degli HOSTS:
WINDOWS

• Apri un notepad (Blocco Note) come amministratore.
• Apri il file hosts “C:\WINDOWS\system32\drivers\etc\HOSTS”
• Salva una copia di backup del file degli hosts
• Aggiungi, alla fine del file, le seguenti righe:
  127.0.0.1 iesnare.com
  127.0.0.1 iesnare.co.uk
  127.0.0.1 www.iesnare.co.uk
  127.0.0.1 mpsnare.iesnare.com
  127.0.0.1 mpsnare.iesnare.co.uk
  127.0.0.1 www.mpsnare.iesnare.com
  127.0.0.1 www.mpsnare.iesnare.co.uk
  127.0.0.1 ci-mpsnare.iesnare.com
  127.0.0.1 ci-mpsnare.iesnare.co.uk
  127.0.0.1 www.ci-mpsnare.iesnare.com
  127.0.0.1 www.ci-mpsnare.iesnare.co.uk
  127.0.0.1 admin.iesnare.co.uk
  127.0.0.1 www.admin.iesnare.com
  127.0.0.1 www.admin.iesnare.co.uk
  127.0.0.1 iovation.com
  127.0.0.1 iovation.co.uk
  127.0.0.1 www.iovation.com
  127.0.0.1 www.iovation.co.uk
  127.0.0.1 www.iesnare.com
  127.0.0.1 admin.iesnare.com
  127.0.0.1 dra.iesnare.com
  127.0.0.1 impsnare.iesnare.com
  127.0.0.1 mpsnare.iesnare.com
  127.0.0.1 mx.iesnare.com
  127.0.0.1 snare.iesnare.com
  127.0.0.1 iovation.com
  127.0.0.1 accountlock-demo.iovation.com
  127.0.0.1 admin.iovation.com
  127.0.0.1 bam-pilot.iovation.com
  127.0.0.1 batch.iovation.com
  127.0.0.1 ci-accountlock.iovation.com
  127.0.0.1 ci-admin.iovation.com
  127.0.0.1 ci-mpsnare.iovation.com
  127.0.0.1 ci-snare.iovation.com
  127.0.0.1 dv-fw-a-nat.iovation.com
  127.0.0.1 ioit.iovation.com
  127.0.0.1 mx.iovation.com
  127.0.0.1 p.iovation.com
  127.0.0.1 rm-admin-demo.iovation.com
  127.0.0.1 soap.iovation.com
  127.0.0.1 test.iovation.com
  127.0.0.1 testgw.iovation.com
• Salva il file e verifica che la modifica sia andata a buon fine
• Apri un prompt dei comandi e digita “ping iesnare.com”, dovrai ricevere una schermata come la seguente, è essenziale che le risposte provengono da 127.0.0.1, questo ci permette di bloccare tutte le comunicazioni che il nostro computer cerca di inviare ai server dello spyware

MAC

• Lancia il Terminale (/Applications/Utilities/)
• Lancia questo comando per fare il backup del file degli hosts
  sudo cp /private/etc/hosts ~/Documents/hosts-backup
• Lancia questo commando per aprire il file degli hosts
  sudo nano /private/etc/hosts
• Usa le frecce per navigare nel file degli host e aggiungi, alla fine del file, le seguenti righe:
  127.0.0.1 iesnare.com
  127.0.0.1 iesnare.co.uk
  127.0.0.1 www.iesnare.co.uk
  127.0.0.1 mpsnare.iesnare.com
  127.0.0.1 mpsnare.iesnare.co.uk
  127.0.0.1 www.mpsnare.iesnare.com
  127.0.0.1 www.mpsnare.iesnare.co.uk
  127.0.0.1 ci-mpsnare.iesnare.com
  127.0.0.1 ci-mpsnare.iesnare.co.uk
  127.0.0.1 www.ci-mpsnare.iesnare.com
  127.0.0.1 www.ci-mpsnare.iesnare.co.uk
  127.0.0.1 admin.iesnare.co.uk
  127.0.0.1 www.admin.iesnare.com
  127.0.0.1 www.admin.iesnare.co.uk
  127.0.0.1 iovation.com
  127.0.0.1 iovation.co.uk
  127.0.0.1 www.iovation.com
  127.0.0.1 www.iovation.co.uk
  127.0.0.1 www.iesnare.com
  127.0.0.1 admin.iesnare.com
  127.0.0.1 dra.iesnare.com
  127.0.0.1 impsnare.iesnare.com
  127.0.0.1 mpsnare.iesnare.com
  127.0.0.1 mx.iesnare.com
  127.0.0.1 snare.iesnare.com
  127.0.0.1 iovation.com
  127.0.0.1 accountlock-demo.iovation.com
  127.0.0.1 admin.iovation.com
  127.0.0.1 bam-pilot.iovation.com
  127.0.0.1 batch.iovation.com
  127.0.0.1 ci-accountlock.iovation.com
  127.0.0.1 ci-admin.iovation.com
  127.0.0.1 ci-mpsnare.iovation.com
  127.0.0.1 ci-snare.iovation.com
  127.0.0.1 dv-fw-a-nat.iovation.com
  127.0.0.1 ioit.iovation.com
  127.0.0.1 mx.iovation.com
  127.0.0.1 p.iovation.com
  127.0.0.1 rm-admin-demo.iovation.com
  127.0.0.1 soap.iovation.com
  127.0.0.1 test.iovation.com
  127.0.0.1 testgw.iovation.com
• Una volta finito, premi Control+O e poi Enter per salvare i cambiamento, poi premi Control+X per uscire da nano.
• Lancia Terminal e digita “ping iesnare.com”, è essenziale che le risposte provengono da 127.0.0.1, questo ci permette di bloccare tutte le comunicazioni che il nostro computer cerca di inviare ai server dello spyware

---

Fonti e ispirazione:
The IT guy inside me
https://fieldguide.gizmodo.com/heres-all-the-data-collected-from-you-as-you-browse-the-1820779304
https://www.geegeez.co.uk/iesnare-how-bookmakers-are-spying-on-you-from-your-own-computer/
https://www.matchedbettingguy.com/how-to-block-ie-snare/
https://justiceforpunters.org/what-is-iesnare-and-how-to-find-it/
https://www.daily25.com/bookmakers-track-every-move-industry-insider/
https://multilogin.com/how-canvas-fingerprint-blockers-make-you-easily-trackable/

design

Mi riservo questo post per eventuali FAQ e varie!

bomberninja9293

Bravissimo, estremamente utile e informativo.

Chopin

Questa guida è davvero ben fatta, fin troppo
Io uso ghostery invece che ublock contro il tracciamento, che ne pensi? Mi pare abbia qualche funzione in meno, però su panopticlick ho comunque 4 spunte verdi su 5.
Iesnare l'ho bloccato già 9 mesi fa ovviamente.
Devo dire che proteggersi contro il tracciamento però non è sufficiente per evitare limitazioni, purtroppo...

anice.ariosto

Grazie mille! È possibile che iesnare venga installato anche nei dispositivi mobile?

Paperoga

Io faccio mb e sure da sempre ed esclusivamente dal robottino verde.

genio123

@Chopin Lo usavo anche io e pensavo fosse più che sufficiente ma invece ho scoperto che questo, più altri software simili, sono stati comprati da società che fanno ads.
Sono passato a Ublock origin e rispetto a Ghostery è una bomba, blocca e azzera pure gli adfly e similari

A volte però blocca anche pagine che non dovrebbe e non è semplicissimo da configurare in tal senso.

Cika

@design

Ciao complimenti per l’ottima guida! Volevo chiederti cosa ne pensi di linux tails e se, secondo te, puó rappresentare un buon compromesso tra facilità d’uso e sicurezza.. E poi se ho capito bene questo mac address è dato dalla scheda di rete del pc e che quindi anche se navigassi usando un sistema che funziona da chiavetta e si rispristina ad ogni utilizzo il mac address rimarrebbe uguale e quindi comunque da oscurare? Grazie in anticipo!

Ninja1994

grandioso lavoro, dovrebbero pagarti.

io sarei curiosissimo della situazione di chi opera da mobile(come me), immagino sia abbastanza simile la questione

lau.albu

cmq ne avevamo già parlato in un'altro post...

giuseppem

Ciao una informazione, come trovo iesnare su mac, le varie indicazioni su google non mi hanno aiutato

maritx

@design
Ciao ,
Prima di tutto grazie per la guida e per tutte le info e i consigli.
Poi volevo chiederti, per quanto riguarda
Chomebook e chome os , premesso che lo uso da poco e che con l'informatica sto a zero.....
Valgono le stesse procedure?
Ad esempio per cercare iesnare e mpsnare come faccio?

roxlondon

Mamma mia, non c'ho capito un c..zo ma complimenti, dovresti essere pagato, ci avrai impiegato un pò a metter giù tutto sto popò di roba...però leggo dai commenti che se vogliono ti in....ano lo stesso, quindi???

DeanWinchester

@design Bella guida, su Chrome non ho avuto problemi mentre su Safari sembra che uBlock non funzioni, mancano alcune opzioni. Su safari continuerò con la combo goshtery + adlock plus

Un Ex Utente

Scusa l'ignoranza....se io vendo il cellulare a qualcuno e questo è iscritto a qualche sito di scommesse potrebbe sembrare che io faccia acc multipli?

design

@anice-ariosto No, non può essere installato sui mobile, sfrutta funzionalità di internet explorer

design

@pippo-spano Direi di no

design

@lau-albu Non lo conoscevo, grazie dell'info. La mia guida tratta argomenti diversi dall'usare una virtual machine per mantenere l'anonimato

BugsKubrick

@design l'unico modo per vedere se si ha IESNARE nel pc è tramite prompt? Perchè l'ho cercato svariate volte e non ne ho mai trovato traccia. Premetto che non navigo in anonimato, le uniche precauzioni che uso sono un adblocker ed un paio di programmi per eliminare cookie e cacca varia dai browser.

design

@JoyBoy Grazie della segnalazione, ho modificato la guida rimuovendo alcune cose contro regolamento, spero di essere rientrato nelle regole adesso