Filtrare pubblicità con linux e un raspberry, bricolage per nerds

Sempre più tracciati, osservati e, alcune volte, anche perseguiti.

Se ci capita di cercare un prodotto su Amazon, ebay o chi per esso quante volte notiamo l’annuncio dello stesso prodotto quasi ovunque? Andiamo sul sito di un giornale, anche straniero ed eccolo lì, l’annuncio dello spazzolino elettrico che cercavo. Mi perseguiterà almeno per un mese.

Oppure vado su un giornale qualsiasi ed ecco gli annunci di incontri, compra casa, acquista auto e via dicendo.

Usando un computer ci si può difendere con adblock (anche se di recente hanno aperto un “servizio”, a pagamento naturalmente, per consenstire alcune pubblicità), ghostery, ublock origin e altri.

Molto peggio con i telefoni, tablet o smart tv dove (che casualità!) non si possono installare i plugin summenzionati se non con limitatissime funzionalità.

Naturalmente nessun governo ha ancora deciso di legiferare in materia quindi tocca fare da sè.

Sfruttando un’idea che esiste da tempo e ispirato da progetti interessanti ho deciso di mettere il cappellino da nerd e dedicarmi al bricolage digitale per risolvere, o quanto meno ridurre, il fastidio.

L’idea è in giro da tempo, si tratta di scaricare una lista di domini conosciuti per l’advertising e filtrarli a livello DNS, ridirezionando la richiesta ad un server locale che restituirà un’immagine GIF trasparente di 1 pixel.

Armato quindi di un raspberry (ma si può usare un qualsiasi PC con linux) mi sono dedicato a scrivere i passi necessari e relativo software per monitorare le statistiche, trovate tutto su un mio repo in github con le dovute istruzioni.

Fatto tutto si ottengono risultati davvero buoni. Interessante notare come in un giorno soltanto ci siano circa 2000 richieste DNS che vanno ad advertisers. Navigando in due persone.

total_ads_day

Ora però la domanda sorge spontanea.

Com’è possibile che, da solo ed in pochi giorni e con un device da 76€ (spedizione inclusa), riesca a filtrare quasi 2000 richieste di advertisers al giorno mentre il mio modem/router da quasi 200€ non può farlo?

Non mi piace pensare ai complotti e non giro per casa con un cappello d’alluminio ma non riesco a non ricordare che “pensare male è peccato, ma spesso ci si azzecca”.

advertising_gone

eBay hack, niente da vedere

Il database di eBay è stato compromesso di recente, da un articolo su ArsTechnica si legge che è la solita tecnica del compromettere account dei dipendenti, la solita sindrome di Fort Apache insomma, ci si protegge contro tutto dal di fuori ma il problema è sempre dentro la propria struttura.

Come si legge nel comunicato di eBay “Financial and credit card information was apparently not affected as it is “stored separately in encrypted formats.”

Bullshit, pura bullshit.

Oggi come oggi qualunque informazione è di carattere finanziario. Si possono dare (o subire) tante fregature anche solo avendo indirizzo, telefono, nome e cognome di una persona. Provare (o subire) per credere.

Il problema serio è proprio questo. Ogni database utenti/clienti che ho visto contiene in formato criptato solo i dati finanziari o password degli utenti. Invece tutti i dati utenti dovrebbero essere in formato criptato, compreso indirizzo, telefono, età, data di nascita, tutto quanto, nemmeno gli operatori di ebay dovrebbero poter vederli ma se fosse così come potrebbero le varie aziende passare ore e ore ad analizzare il proprio customer database per poter spammare e scambiare dati con altri…non lo accetterebbero mai.

 

Yahoo, we will track you

Da Ars Technica:

Yahoo yesterday announced that it will stop complying with Do Not Track signals that Web browsers send on behalf of users who wish to not be monitored for advertising purposes.

Ma che strano. E’ proprio strano che il Do Not Track sia del tutto ignorato da quasi tutti.

Per quanto mi riguarda non uso yahoo da anni, ora mi hanno convinto a fare due click e toglierlo del tutto dal browser. Addio.

In ogni caso hanno ottenuto quello che volevano, che si parlasse un po’ del loro ormai defunto…stavo per scrivere portale, ma è antico, non saprei nemmeno definire yahoo.

Tutorial: Anonimato Online

Credete che Firefox, Chrome o Safari (spero non stiate usando Explorer…) siano realmente “privati” quando si usano le funzioni incognito, private browsing e simili?

Falso. Basta un veloce giro su alcuni test, ad esempio ip-check.info [JonDonym IP Check] e potrete constatare di persona quanto sia enorme la mole di dati che permette di identificare, quasi univocamente, la vostra presenza, si parte da dati semplici come i maledetti cookies passando per qualii plugin siano abilitati, la risoluzione dello schermo, i font installati e persino la tab history. Provate a fare questo test con i vostri browser, prima in modalità normale e poi con le funzioni di anonimizzazione del browser. Le conclusioni le lascio a voi.

Interessante anche notare quanto sia ormai localizzata l’informazione del vostro indirizzo ip, qualche volta arriva persino ad identificare la via precisa da dove vi state collegando. Provate pure http://wtfismyip.com/ [What The Fuck is my IP].

Poi ci sono i provider. A meno che il traffico non sia criptato, e spesso non lo è, loro possono vedere per filo e per segno tutto quello che gira per la vostra utenza. In Italia il data retention è normato e gli ISP sono tenuti a tracciare tutte le attività online. Che siti guardiamo, a chi scriviamo, qualsiasi cosa. Siamo anche tra i primi ad aver firmato per l’ACTA [Wikipedia]. Non c’è da soprendersi vista la forza (e gli interessi correlati di chi ci governa) che ha la SIAE da noi.

Non c’è molto da aggiungere poi quando si tratta di governi stranieri, Snowden, Wikileaks, Anonymous e altre fonti hanno già scoperto molto ed è palese che c’è molto altro.

Quindi, visto che nessun ente preposto a questo compito è in grado e forse nemmeno realmente interessato a proteggere il nostro privato tocca fare da soli.

Tutti i suggerimenti riguarderanno Mozilla Firefox ma presumo che chi usa Chromium (o Chrome, forse) non avrà grossi problemi a seguire i consigli. Non conosco Opera e su Explorer non voglio sprecare nemmeno un byte (tantomeno sul sistema operativo di Redmond).

Quindi, si parte. Continue reading Tutorial: Anonimato Online

Privacy, muovetevi, è ora

A quanto pare inizia l’operazione per screditare il Datagate, Snowden. Un po’ come è avvenuto per Wikileaks. Si vedono sempre più spesso articoli che cercano di far passare Snowden come una “marionetta” imbonita ad arte da questo o quel governo. Ora anche qualche libro [Amazon].

La verità è che gli US (e i loro stretti alleati anglofoni come UK, AU, NZ) spiano da tanti anni, vedi Echelon. Chissà quante volte hanno rubato segreti industriali ed economici per i propri scopi. (Il consorzio Airbus? La Petrobras? Le banche estere?)

La parte più ignobile di tutto ciò è che gli US considerano un attacco informatico come casus belli per una dichiarazione di guerra. Se non ci credete leggete qui [NY Times] e qui [Wikipedia]. Come si sarebbero comportati se a spiare gli US fosse stata la Germania? O la Russia? Non prendiamoci in giro, non sarebbe certo finita a vino e tarallucci.

Continue reading Privacy, muovetevi, è ora

Passwords, passwords, passwords

Ai tempi dell’università quasi tutti gli studenti avevano un account con un’ora di navigazione web al giorno (o forse era a settimana), una quota su disco di miseri 7Mb, sì megabyte e la disponibilità di poche cose, gcc, f77, matlab, netscape navigator e un programma di mail che non ricordo, tanto non funzionava per via del proxy. Doveva bastare per tutto, ovviamente a me non bastava, specie l’ora di navigazione e i 7mb. Complice un compagno di studi più smaliziato di me capì che le password su nexus (una macchina HP/UX) non erano in shadow. Copiai /etc/passwd su floppy, scaricai John The Ripper [Wikipedia], un semplice dizionario italiano in ASCII (se non sbaglio usai proprio il dizionario di aspell [Wikipedia]) e lasciai tutta la notte il programma a girare sul mio venerabile Acer Travelmate 513TE, fedele compagno di studi per tanti anni.

Il giorno dopo andai a controllare i risultati. Su un migliaio di account il buon John ne aveva craccate oltre un centinaio. Tante “password”, “inter”, “juve”, altre utenze con password identica all’account, molte date di nascita e via dicendo. Inutile dire che presi alcune di quelle utenze, specie quelle che sapevo frequentare poco o nulla l’Aula di Grafica Avanzata (avanzata nel senso che i sistemi erano assemblati con pezzi avanzati in discarica) e da quel giorno finirono i miei problemi di spazio e tempo per la fruizione del web. E’ stato il mio battesimo per diventare un mediocre lamer, almeno escludendo il boom del Back Orifice [Wikipedia]. Continue reading Passwords, passwords, passwords

Il cloud meno nuvoloso in casa propria

Cloud qui, cloud lì, nuvole ovunque, oggi si parla di cloud come anni fa qualunque ciarlatano parlava di web, come recentemente scrissi qui c’è da leggere con molta cura i termini di servizio dei vari provider.

Alla fine ho deciso semplicemente che non voglio dare i miei file a nessuno, sopratutto perché avendo un NAS in casa non ha alcun senso lasciare dati “fuori casa”.

Continue reading Il cloud meno nuvoloso in casa propria

Dropbox, Google Drive, SkyDrive, iCloud, tutto per loro

Attualmente lavoro con 1 MacPro a casa, 1 Workstation HP salcavolochemodello con Windows 7, 1 iPad, 1 laptop-muletto ubuntu a casa.

Ad un certo punto sorge la necessità, del tutto legittima, di avere un servizio che sincronizzi, tra questa pletora di immondizia elettronica, alcuni archivi, magari documenti ai quali si accede spesso, roba sulla quale si lavora anche da casa :(, qualche file che ci si scarica in ditta e si vuole avere sul sistema di casa quando si torna dal lavoro e via dicendo. Continue reading Dropbox, Google Drive, SkyDrive, iCloud, tutto per loro

Non saprete mai…

Ormai il caso è scoppiato, la questione di CarrierIQ, un software “diagnostico”, utilizzato da alcuni carrier e produttori negli USA per tenere d’occhio i problemi dei clienti pare che in effetti acceda a dati ben più personali che non la semplice statistica di quali applicazioni consumino più batteria, che per quanto mi riguarda è già un dato che nessuno dovrebbe vedere sul mio telefono, le applicazioni che ci girano sono solo affari miei.

Un ricercatore, Trevor Eckhart, ha scoperto questo vero e proprio rootkit e ne ha dimostrato l’attività, lavora persino quando la connettività è limitata al wi-fi, e secondo Eckhart, ci sono persino in evidenza le password in chiaro di connessioni https, oltre all’immancabile keylogger.

Continue reading Non saprete mai…