Как Frogster следит за пользователями или борьба с User Authentification Failed

omfgzor_renamed_1013746_16052020 · 09.02.2013, 08:41

Итак, надеюсь я понял, почему некоторых не пускает ни в один аккаунт. Почему происходит UAF. Почему у одной тян с одного и того же клиента игры заходило с ноутбука, но не заходило со стационара. Почему некоторые говорят, что это бан по железу, а некоторые — что бан аккаунта/прокси.

Знакомьтесь... Пикрелейтед — лог проксифаира:

Заметьте mpsnare.iesnare.com, после гугления которого я обнаружил вот такую штуку (что забавно, написанную ещё в 2008 году):

http://www.codingthewheel.com/archiv...rivacy-iesnare
tl;dr:

It is quite simply a worldwide, online, profit-driven computer blacklist capable of uniquely identifying your machine (once submitted to the database) whenever you visit any site, or use any product, protected by the ieSnare system. In iovation's own words:

iovation ReputationManager utilizes proprietary methods to uniquely identify devices connected to the Internet, creating unique identification for them that remain constant across all subscribing online businesses. For example, a PC device connecting to one online gaming or e-commerce site protected by iovation ReputationManager is assigned a device identifier by the same method used to identify PCs connecting to other e-commerce sites/networks protected by the system.

Hello, Big Brother.

Как это ни странно звучит, но финансирует Большого Брата... угадайте кто?

Итак, мы имеем дело с Iovation, самой грязной системой слежения за людьми.
Что делать? Гуглить...

Нашёл пока что вот такие пироги:

http://malaya-zemlya.livejournal.com/602925.html (Iovation)
http://pastebin.com/EQwAFG3d → возможно, деобфускированный исходник скрипта (http://mpsnare.iesnare.com/snare.js)
http://www.gamersoul.com/forums/arch.../t-186229.html
http://www.thegamblingtimes.com/boar...g-snooped.html

Итак, судя по всему, эта система как минимум собирает следующую информацию о машине:
1. Движок браузера
2. Языковые настройки
3. Версия ява-скрипта
4. Часовой пояс
5. Текущее время/дата
6. Название браузера
7. Версия браузера
8. Версия и название ОС
9. Язык ОС
10. Разрешение экрана...

Отпечаток формируется по этим параметрам и в итоге преобразуется в свёрток, лежащий по следующему адресу:
"C:\Documents and Settings\%Username%\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\UW6J2PHS\mpsnare.iesnare.com \stm.sol"
Проще всего найти заразу можно по поиску (iesnare) в винде или каком-нибудь файловом менеджере. Я использовал Far Manager. Алсо использовал Process Monitor от Sysinternals, чтобы выцепить название stm.sol, чего и следовало ожидать от TERA-Launcher.exe: http://puu.sh/1ZEhD
Видно, что лаунчер прочитывает файл stm.sol, содержащий отпечаток машины. Я пробовал удалять его — он появляется после ввода логина/пароля и нажатии Login. Пробовал делать его только для чтения (в Far Manager это комбинация клавиш Ctrl+A: http://puu.sh/1ZECu), при этом изменяя содержимое на несколько байт — UAF. Пробовал взять stm.sol с ноутбука и сделать его только для чтения — в результате всё тот же UAF.

В общем и целом осталось понять, сколько запчастей нужно сменить, чтобы программа считала нас другой машиной. Очевидно, что меняя лишь часть железа/софта (смена MAC/ОСи/винчестера/...), тем самым получается только хуже — эта дрянь отслеживает такие вещи и в дальнейшем помечает нас как мошенников, что есть неприятно.

В тред призываются люди, владеющие навыками дизассемблирования и работой в SoftIce. Самое простое — научить лаунчер принимать любой ответ от серверов iovation. Или же каким-то образом подсунуть ему "чистый" stm.sol. А может я ошибаюсь и stm.sol нужен только для проверки, в то время как генерация софтожелезного набора происходит каждый раз и передаётся по интернету.

А ещё я не один об этом догадываюсь.. https://forum.tera-europe.com/showthread.php?t=39196

Leonardoo · 09.02.2013, 13:28

Вот и все догадки раскрыты,некоторые люди так и не смогли зайти в игру.
Спасибо за эту информацию,реально многое узнали.

Shamanix · 09.02.2013, 13:46

Забавно, теперь только надо понять как с этим бороться

Wiz · 09.02.2013, 13:49

Я вам хочу сказать, что для многих в разделе то, что вы написали откровением не будет. Так как про их систему защиты было известно давно, тогда когда они объявили о блоке нашего региона. Только думалось, что эта защита будет работать на полную катушку прям на старте. А вот оказалось на старте f2p.

А проблема UAF решается гораздо проще, через незабаненный впн/прокси, лучше поднятый самому. И играть только через него вообще не выключая, только с одного IP на одного пользователя.

Всё равно спасибо за информацию конечно.

Snica_renamed_1011446_21032026 · 09.02.2013, 13:53

ВПНом содержание этого файлика не скрыть и если щас они мб даж и вручную проверяют тока тех у кого страны\IP скачут то мб потом напишут чо нибуть для систематизированной проверки файлика да и все

Keiskei · 09.02.2013, 14:56

Грусть печаль то какая... Мне щас стало просто интересно, а в чем их профит от блокировки стан СНГ? Я понимаю если бы у нас был свой издатель и надо было продвигать его...

Centzontotochtin_renamed_52867_12122025 · 09.02.2013, 15:32

если эта прога работает на флеше - мб проще с флешем что-нить намутить, чем с лаунчером?

Leonardoo · 09.02.2013, 16:13

Quote:

Originally Posted by heytor

Я вам хочу сказать, что для многих в разделе то, что вы написали откровением не будет. Так как про их систему защиты было известно давно, тогда когда они объявили о блоке нашего региона. Только думалось, что эта защита будет работать на полную катушку прям на старте. А вот оказалось на старте f2p.

А проблема UAF решается гораздо проще, через незабаненный впн/прокси, лучше поднятый самому. И играть только через него вообще не выключая, только с одного IP на одного пользователя.

Всё равно спасибо за информацию конечно.

Нет,это не помогает поверь.

Faul_renamed_616035_17022023 · 09.02.2013, 16:30

Вчера поймал уаф. Пробывал добавить в хосты, пробывал:

Quote:

Adobe has provided a mechanism by which one can prevent their machine from being tracked in this fashion: the Flash Player Settings Manager.
http://www.macromedia.com/support/do...s_manager.html
The Flash app on this page controls the global and per-site permissions for the storage of Shared Objects (i.e. the tracking cookies described above), access to your Microphone and Webcam, and more. The instructions provided for each "tab" are fairly straightforward and comprehensive but, to solve this particular issue:
Go to http://www.macromedia.com/support/do...manager03.html
Drag the slider on this panel down to "None".
You will now be prompted whenever a site wants to store Flash data. You can allow or deny that site, and optionally choose to never be asked again.
Go to http://www.macromedia.com/support/do...manager07.html
If you want to eliminate ieSnare tracking only, select "mpsnare.iesnare.com" in the list and click "Delete website".
If you want to delete ALL Shared Objects from your system, click "Delete all sites". Note that plenty of Flash games and LEGITIMATE APPS store their save game progress or settings here, so you may be wiping out more than you intended.
As far as I'm aware, these settings govern both Flash content accessed in your browser AND Flash content embedded in desktop apps like the poker clients. It's fantastic to have this degree of granular control over the data stored on your machine by Flash Player. Unfortunately, Adobe has done a piss-poor job of exposing its existence to the end user.

Непомогло.

Katherlne_renamed_869090_27122020 · 09.02.2013, 16:31

Quote:

Originally Posted by Keiskei

Грусть печаль то какая... Мне щас стало просто интересно, а в чем их профит от блокировки стан СНГ? Я понимаю если бы у нас был свой издатель и надо было продвигать его...

Мировая политика. Личная неприязнь управляющего лица издателя, разработчика к странам которые получили бан по айпи. Расизм, дискриминация по национальному признаку, называй как хочешь. По опыту Vindictus и Tera, темы на офф. форуме, где русские пытались выяснить причину бана по айпи. Получали ответ в виде сказок про то, что в вашем регионе, кто-то там будет издавать игру. Ну и где Vindictus и Tera? Или найс стори про большой пинг у русских, и то что все русские голдселеры и читеры. А когда кто-то из наших давал подробное опровержение таких баек, и уж если писал про дискриминацию. Сразу темы вылетали в помойку, вместе с автором.

Uncle_SAM_renamed_52624_24112022 · 09.02.2013, 16:42

Тема грамотная, вылечить эту шнягу теоретически можно формат с новый клиент новый ий пи и новый аккаунт. но больно это кардинальные меры.

пока впн работает и спасает, н оелси они начнут чекать постоянно то чувствую мы перестанем играть в теру вобще, и проще будет пойти на корейский сервак

BLooDS_inc · 09.02.2013, 17:59

Quote:

Originally Posted by Uncle_SAM

и проще будет пойти на корейский сервак

Проще пойти на америку

Добавлено через 7 минут
Кстати еще предположение , в свойствах этого файла есть дата создания , может ли она означать дату начала UAF ?

Faul_renamed_616035_17022023 · 09.02.2013, 18:12

Файл изменялся\появился 3 его числа, а меня зауафило вчера

nixoid · 09.02.2013, 18:43

кто-нибудь просто пробовал ограничить доступ/заблочить к iesnare.com?

Centzontotochtin_renamed_52867_12122025 · 09.02.2013, 18:50

самое забавное, что боты коннектятся через собственный "лаунчер" и срали они с колокольни на такую защиту
значит, игра может загружаться каким-то образом не только без секьюрити сегмента, но и вообще без всей лабуды

V1tos_renamed_1003539_26022020 · 09.02.2013, 20:06

у меня уже спортивный интерес сломать её,злости не хватает,уроды,боятся они нас,значит уважают

Добавлено через 9 минут
ребят,так они банят ваш аккаунт или только прокси и всю лабуду.у меня один раз получилось зайти через германию,новый прокси,при входе игры я потом отключил так как скорость маленькая и когда нажал выбор сервера меня выкинуло,теперь вообще печаль не один прокси подобарть не могу,даже бывает прокатывает в лачере без ошибок,жму плей красный и не запускает,это походу бан аккаунта или как?
З Ы у меня уже 5 акк,нервы железные)

Wiz · 09.02.2013, 20:14

Quote:

Originally Posted by Leonardoo

Нет,это не помогает поверь.

Помогает. Просто IP не должен меняться вообще и никем до этого не использоваться. Поменяли, получите UAF на 24 часа или уже больше.
Проще говоря большинство даже платных сервисов для этого не подходят. Только поднятый свой прокси или впн.

Snica_renamed_1011446_21032026 · 09.02.2013, 20:23

Quote:

Originally Posted by Centzontotochtin

самое забавное, что боты коннектятся через собственный "лаунчер" и срали они с колокольни на такую защиту
значит, игра может загружаться каким-то образом не только без секьюрити сегмента, но и вообще без всей лабуды

Эта чо за тера бот ломится через свой лаучер?Оо Использовал 2 и оба запускались во время игры уже к запущенному процессу

NrgPwnz_renamed_902162_22042023 · 09.02.2013, 20:54

Quote:

Originally Posted by Tblkva

Кстати еще предположение , в свойствах этого файла есть дата создания , может ли она означать дату начала UAF ?

думаю можно, так как я играю с начала ф2п без проблем с бесплатным прокси и этого файла у меня нет

Uncle_SAM_renamed_52624_24112022 · 09.02.2013, 23:03

ребят есть много софтин, начиная от артмани, с помощью которых можно ловить ключи, точнее расшифровывать. ловим то мы сниферами, не суть, вобщем для любой игры можно написать свой лаунчер, достаточно вскрыть систему аутентификации, а это , извините, еботы не на 1 неделю даже очень грамотному специалисту.

в свое время я поработал в нескольких наших конторах издательских, для любой игры начиная от рф оналйн и заканчивая фв были свои лаунчеры, которые выглядели маленьким оконцем с 2 строками под лог пасс и менюшкой выбор сервера. при том что эти стартеры были написаны нашими ребятами, но у них на руках были протоколы коннекта, если быть точнее они внедряли свои протоколы, для всяких запускаторов, тк корейско-китайские кривые и нашими умельцами ботоводами давно сломаны.

вобщем все это пустозвонство чистой воды, если кому то будет интересно как это сломать и сделать, то этот кто то за свой лаунчер попросит денег, потому что такая работа - работа человека нагруженного торбой знаний, и она всегда стоит деревянных.

Leonardoo · 09.02.2013, 23:27

Quote:

Originally Posted by heytor

Помогает. Просто IP не должен меняться вообще и никем до этого не использоваться. Поменяли, получите UAF на 24 часа или уже больше.
Проще говоря большинство даже платных сервисов для этого не подходят. Только поднятый свой прокси или впн.

Мой друг поймал UAF прошло уже полторы недели,он не менял прокси все это время и не заходил в игру,сейчас он как-то зашел с ноутбука,а со своего компа так и не может зайти.

Aaawesome_renamed_765134_05072020 · 09.02.2013, 23:54

Quote:

Originally Posted by Leonardoo

сейчас он как-то зашел с ноутбука

На ноутбуке был использован все тот же прокси? Если нет, то забанили скорее всего не только машину, но и адрес. Если же залогинилось с того же адреса - возможна банальная ошибка. На официальном форуме чуть ли не каждые пару часов создается топик об этой ошибке и многие утверждают, что вообще не используют никакие прокси/впн и даже девайсы не меняют.

BLooDS_inc · 10.02.2013, 00:39

Quote:

Originally Posted by Aaawesome

На ноутбуке был использован все тот же прокси? Если нет, то забанили скорее всего не только машину, но и адрес. Если же залогинилось с того же адреса - возможна банальная ошибка. На официальном форуме чуть ли не каждые пару часов создается топик об этой ошибке и многие утверждают, что вообще не используют никакие прокси/впн и даже девайсы не меняют.

Да тут хрен его знает , еще вчера был UAF , а сегодня вечером , правда уже с другого прокси изза которого собственно и UAF получил , я зашел с 1 раза , и теперь спокойно и нормально захожу в игру через проксифаер , отрубаю прокси когда идет загрузка или стартовые видео , и все нормально идет

Zik Asakura_renamed_927739_30072024 · 10.02.2013, 00:44

Таки да, но пройдет время прокси сдохнет ты его поменяешь и оно вернется.

Aaawesome_renamed_765134_05072020 · 10.02.2013, 00:53

Если пройдет довольно много времени и он грамотно сменит прокси (а не с США на Китай), то ничего не вернется.

Quote:

Originally Posted by Tblkva

правда уже с другого прокси изза которого собственно и UAF получил , я зашел с 1 раза

Ну все верно) Ты сменил ip и получил автобан, но адрес-то закрепился. Вот если бы ты сегодня вечером опять с нового адреса попытался зайти, то снова бы получил бан)

По идее, статус машины можно проверять по доступному функционалу в аккаунт менеджменте. Во время бана нет доступа к редактированию любого аккаунта, т.е. можно периодически логиниться на сайте и чекать настройки) Как только настройки начинают меняться - можно логиниться со старого адреса (за который был получен бан).