Vai al commento



[Guida] Cos'è RedShell e come bloccarlo


Zaffira

Post raccomandati

Cos'è?
Uno spyware è un software che raccoglie i dati dell'utente senza il suo esplicito consenso e\o senza che se ne accorga.
RedShell permette agli sviluppatori di videogiochi di integrare questo spyware tramite poche righe di codice (oppure utilizzando delle .dll). Tutto questo è stato fatto senza che i giocatori ne fossero a conoscenza. Questa è una GRAVE violazione del GDPR (General Data Protection Regulation): https://www.eugdpr.org/the-regulation.html

Quali giochi sono interessati?
Questa è una lista dei giochi che ho trovato ma non penso siano tutti perciò per sicurezza nel mio caso il blocco l'ho messo lo stesso.
 

Spoiler
  • Grand Theft Auto V
  • Alcuni Total War
  • Secret World Legends
  • Civilization VI
  • Kerbal Space Program
  • Heroine Anthem Zero
  • Krosmaga
  • Hunt: Showdown
  • Cabals: Card Blitz
  • CityBattle | Virtual Earth
  • Doodle God
  • Doodle God Blitz
  • Doodle God: Genesis Secrets
  • Labyrinth
  • My Free Farm 2
  • NosTale
  • Daylight
  • RockShot
  • Shadowverse
  • SOS & SOS Classic
  • SoulWorker
  • Stonies
  • War Robots
  • Injustice 2
  • Warriors: Rise to Glory!
  • League of Pirates
  • Archangel: Hellfire
  • Skyworld
  • Indygo

Qui di seguito invece ci sono i giochi dove lo spyware è stato rimosso:
 

  • Eternal Card Game
  • Warhammer 40k Eternal Crusade
  • Survived By
  • Sniper Ghost Warrior 3
  • Battlerite
  • Quake Champions (Attenzione: in futuro gli sviluppatori reimplementeranno RedShell)
  • Elder Scrolls Online
  • Astro Boy: Edge of Time
  • Conan Exiles
  • Ylands
  • Holy Potatoes! We’re in Space?!
  • Warhammer: Vermintide II
  • My Time At Portia
  • Dead by Daylight
  • The Escapists 2
  • AER Memories of Old
  • Magic the Gathering Arena's Beta
  • Hunt: Showdown
  • Omensight
  • Ballistic Overkill
  • Vaporum
  • Tales from Candlekeep: Tomb of Annihilation
  • Yoku's Island Express
  • Clone Drone in the Danger Zone
  • The Wild Eight
  • Desolate
  • Trailmakers
  • Raging Justice
  • Dungeon Rushers

 

Come bloccarlo?
Su Imgur ho trovato questo passaggio:

Spoiler

 

1.png

10.png

11.png

12.png

2.png

3.png

4.png

5.png

6.png

7.png

8.png

9.png

 

 

 

Mentre su un forum ho trovato questi passaggii differenti:
Come bloccare RedShell?
Bloccare lo spyware è molto semplice e si può fare in due modi.
Il primo metodo è automatico grazie all'utilizzo di uno script batch:
 

  1. Per prima cosa avviate Notepad++ (consigliato) oppure il classico Notepad
  2. Ora copiate ed incollate nell'editor appena aperto la porzione di codice che ho inserito alla fine di questo elenco
  3. Adesso salvate il file dove meglio preferite con estensione .bat (ad esempio RedShell_Blocker.bat)
  4. A questo punto recatevi dove si trova il .bat appena salvato e con il click destro avviate lo script con privilegi elevati (Avvia come amministratore)
  5. Non appena lo script avrà terminato la procedura correttamente avviate il prompt dei comandi premendo la combinazione di tasti Win + R, digitate cmd e premete Invio
  6. Inserite il comando ipconfig /flushdns per eliminare la cache dei DNS (consigliato ogni volta che si modifica il file hosts)
  7. Fatto. Ora potete chiudere senza problemi il prompt dei comandi


Bash:

@echo off
set hostspath=%WINDIR%\System32\drivers\etc\hosts
echo 0.0.0.0 redshell.io >> %hostspath%
echo 0.0.0.0 api.redshell.io >> %hostspath%
echo 0.0.0.0 cdn.rdshll.com >> %hostspath%
echo 0.0.0.0 t.redshell.io >> %hostspath%
echo 0.0.0.0 treasuredata.com >> %hostspath%
echo 0.0.0.0 api.treasuredata.com >> %hostspath%
echo 0.0.0.0 in.treasuredata.com >> %hostspath%
echo 0.0.0.0 innervate.us >> %hostspath%
echo File hosts modificato correttamente e RedShell bloccato.
pause
exit

Il secondo metodo invece è manuale e dovrete bloccare ogni dominio direttamente dal file hosts.
 

  1.  
  2. Avviate Notepad++ oppure il classico Notepad con privilegi elevati (Avvia come amministratore)
  3. Adesso dal menu File > Apri spostatevi nel percorso %WINDIR%\System32\drivers\etc ed aprite il file hosts
  4. A questo punto copiate ed incollate i domini che ho inserito alla fine di questo elenco
  5. Salvate il file e chiudete l'editor
  6. Ora avviate il prompt dei comandi e date il comando ipconfig /flushdns
  7. Fatto. Avete bloccato con successo lo spyware RedShell


Codice:

0.0.0.0 redshell.io
0.0.0.0 api.redshell.io
0.0.0.0 cdn.rdshll.com
0.0.0.0 t.redshell.io
0.0.0.0 treasuredata.com
0.0.0.0 api.treasuredata.com
0.0.0.0 in.treasuredata.com
0.0.0.0 innervate.us

Terza guida che ho trovato facendo varie ricerche:
Andare su: C:\Windows\System32\drivers\etc\hosts.file e parire in Notepad come amministratore. Mettere questo scritto qui sotto e salvare.

0.0.0.0 redshell.io

0.0.0.0 api.redshell.io

0.0.0.0 treasuredata.com

0.0.0.0 in.treasuredata.com

Come scoprire se un gioco contiene RedShell?
In alcuni giochi vi basterà cercare il file Redshell.dll o RedshellSDK.dll nella sua directory di installazione. Quei file però potrebbero essere stati rinominati, quindi dovrete comparare l'hash del file originale con le .dll contenute nella directory che vi ho citato poc'anzi.

Redshell.dll
CRC32: 8DA1ED2A
MD5: 3051A02A12869B51B381139CC176095E
SHA-1: 1A9D959D081BD865849B4F5CB75330B65CEC4591
SHA-256: D080A95E6582BBB0F88EC2893B01AF3E61AA2A381F1CB5040834B8BA7F28F015

RedshellSDK.dll
CRC32: 81110530
MD5: 2201035BB78F16EBE2F1C950B6E9BA1F
SHA-1: 190FB886F93907F214C4ADD94A93649C8D5CF163
SHA-256: D9160C2FF0B77932C7D41EC1430582CE0D24E7FF1F4F6CD724FD28EEC5DEA171

Se la ricerca delle .dll non dovesse produrre risultati ricordatevi quello che ho scritto nell'introduzione di questo thread: lo spyware può essere integrato direttamente nel codice sorgente del videogioco quindi dovrete bloccare i domini a cui fa riferimento.

Bonus: Bloccare gli analytics dei giochi creati con Unity3D
I giochi creati con la versione gratuita di Unity3D contengono degli analytics e la loro disattivazione è a discrezione dello sviluppatore. Potete bloccare questi domini utilizzando uno dei due metodi che ho illustrato qui sopra ma, naturalmente, sostituendo quei domini con quelli che ho inserito qui sotto:

Codice:

0.0.0.0 config.uca.cloud.unity3d.com
0.0.0.0 cdp.cloud.unity3d.com

Io ho fatto tutti i passaggi per sicurezza.

Link al commento
Condividi su altre piattaforme

Archiviata

La discussione è ora archiviata e chiusa ad ulteriori risposte.

Visitatore
Questa discussione è stata chiusa, non è possibile aggiungere nuove risposte.
  • Utenti nella discussione   0 utenti

    • Nessun utente registrato sta visualizzando questa pagina.
×
×
  • Crea...