Antes de que Empieces

La mejor manera de manejar quejas por abuso es configurar a tu nodo de salida de manera que sea menos probable que sean enviadas en primer lugar. Por favor mira Consejos para Correr un Nodo de Salida con Mínimo Acoso y los Lineamientos para una Salida Tor por más información, antes de leer este documento.

Debajo hay una colección de cartas que puedes usar para responder a tu ISP acerca de sus quejas respecto de tu servidor de salida Tor.

Formato y Filosofía de las Plantillas

El formato general de estas plantillas es informar a quien presenta la queja acerca de Tor, para ayudarle a encontrar una solución a su problema en particular que funcione para toda la extensión de Internet en general (WiFi abierto, proxies abiertos, botnets, etc), y excluyendo todo lo demás, cómo bloquear Tor. La filosofía del Tor Project es que el abuso debiera ser manejado proactivamente por los administradores del sitio, en vez de desperdiciar esfuerzo y recursos en la búsqueda de venganza y la caza de fantasmas.

La diferencia entre los abordajes proactivo y reactivo al abuso, es la diferencia entre la libertad de una Internet descentralizada y tolerante a las faltas, y un control totalitario frágil y corrompible. A riesgo de repetir lo obvio, las "licencias de conductor" de Internet basadas en identidad de Corea del Sur y China no han hecho nada para truncar el cibercrimen y el abuso en línea. De hecho, toda la evidencia objetiva parece indicar que solamente ha creado nuevos mercados para que el crimen organizado presida sobre ellos. Esta es la idea central que estas plantillas de queja por abuso intentan inculcar en el receptor. Siéntete libre de mejorarlas si consideras que no alcanzan este objetivo.

Todas la plantillas debieran incluir el Texto Estándar de abajo, y agregar algunos párrafos adicionales dependiendo del Escenario específico.

Texto Estándar (Introducción a Tor)

La dirección IP en cuestión es un nodo de salida Tor.
https://www.torproject.org/overview.html

Es poco lo que podemos hacer para extender el seguimiento de este asunto. Como puede ser visto en la página de resumen, la red Tor está diseñada para hacer imposible el rastreo de usuarios. La red Tor está compuesta por cerca de 5000 voluntarios que usan el software libre provisto por el Tor Project para correr enrutadores Tor.
Las conexiones de clientes son enrutadas a través de múltiples repetidores, y son multiplexadas juntas en las conexiones entre repetidores.
El sistema no registra las conexiones de clientes o de saltos previos.

Esto es porque la red Tor es un sistema de privacidad y anonimato resistente a la censura, usado por informantes, periodistas, disidentes Chinos contorneando al Gran Cortafuegos, víctimas de abuso, personas acosadas, militares estadounidenses, y policías, solo por nombrar unos pocos.
Mira https://www.torproject.org/about/torusers.html.en para más información.

Desafortunadamente, algunas personas hacen mal uso de la red. Sin embargo, comparada con la tasa de uso legítimo (el rango de direcciones IP en cuestión procesa cerca de un gigabit de tráfico por segundo), las [quejas por abuso son raras](https://www.torproject.org/docs/faq-abuse.html.en).

Escenarios de Abuso

Los siguientes párrafos para escenarios específicos debieran ser agregados a los párrafos de Texto Estándar de arriba. El texto estándar debería ser abreviado u omitido si quien presenta la queja por abuso ya está familiarizado con Tor.

Contenido no Solicitado en Comentarios/Foro

Sin embargo, esto no significa que no pueda hacerse nada.

El Tor Project provee una DNSRBL automatizada para que consultes, para señalar posteos provenientes de nodos Tor como requiriendo revisión especial.
También puedes usar esta DNSRBL para permitir que las IPs que vienen de Tor lean comentarios, pero que no puedan publicar https://www.torproject.org/projects/tordnsel.html.en

Sin embargo, sé consciente que este puede ser solo un imbécil entre muchos usuarios de Tor legítimos que usan tus foros.
Puedes tener suerte deshaciéndote de este imbécil limitando temporariamnete la creación de cuentas, requiriendo cuentas de Gmail antes de postear, o requiriendo que la creación de cuentas no sea hecha sobre Tor antes de postear.

En general, creemos que problemas como este son mejor resueltos mejorando tu servicio para defenderte en contra del ataque desde la Internet en toda su esxtensión.
Intentos de inicio de sesión por fuerza bruta pueden ser reducidos/desacelerados por Captchas, el cual es el abordaje tomado por Gmail para este mismo problema.
De hecho, Google provee un servicio gratis de Captcha, junto con el código para su fácil inclusión en un número de sistemas, para ayudar a otros sitios a tratar
con esta cuestión: https://code.google.com/apis/recaptcha/intro.html

Repetidor de PHP o Correo Electrónico No Solicitado en una Cuenta de Webmail Explotada

En adición, nuestros nodos no permiten que el tráfico SMTP sea enviado usando nuestros IPs.
Luego de una investigación, parece que la fuente del correo electrónico no solicitado es debida a una puerta de enlace de webmail abusiva o comprometida, corriendo en:
<web server here>.
¿Contactaste su departmento de abuso?

Correo Electrónico No Solicitado en Google Groups

Pareciera que tu queja específica de abuso fue generada por un usuario autenticado de Google Groups.
La inspección de los encabezados revela que la dirección para las quejas de abuso para Google Groups es groups-abuse@google.com.
Al contactar a esta dirección tendrás mejor suerte para hacer que la cuenta de Google Groups de este abusador sea cancelada, que al estar persiguiendo nodos Tor, proxies, y puntos de acceso inalámbricos abiertos.

Adicionalmante, si tu lector de noticias soporta killfiles, puedes estar interesado en usar el script TorBulkExitList para descargar una lista de IPs para incluir en tu killfile, para posteos que coinciden con "NNTP-Posting-Host:
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py

Ataques DoS y Robots de Extracción de Datos

Sentimos que tu sitio esté experimentando esta carga pesada causada por Tor.

Sin embargo, es posible que tus alarmas de limitación de tasa simplemente experimentaran un falso positivo debido a la cantidad de tráfico que fluye a través del enrutador.
Proveemos servicio a casi un gigabit de tráfico por segundo, 98% del cual es tráfico web.

Si el ataque es real y está en progreso, el Tor project provee una DNSRBL automatizada para que consultes, para bloquear intentos de inicio de sesión provenientes de nodos Tor: https://www.torproject.org/projects/tordnsel.html.en

También puedes descargar una lista de todos los IPs de salidas Tor que se conectarán al puerto de tu servidor:
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80

Sin embargo, en general, creemos que problemas como este son mejor resueltos mejorando al servicio para defenderlo en contra del ataque desde la Internet en toda su extensión.

Las actividades de extracción de datos y robots pueden ser reducidas/desaceleradas por Captchas, el cual es el abordaje tomado por Gmail para este mismo problema.
De hecho, Google provee un servicio gratis de Captcha, junto con el código para su fácil inclusión en un número de sistemas, para ayudar a otros sitios a tratar con esta cuestión: https://code.google.com/apis/recaptcha/intro.html

Ataques DoS lentos [apuntados a consumir el límite MaxClients de Apache](http://www.guerilla-ciso.com/archives/2049) pueden ser aliviados al reducir los valores de configuración TimeOut y KeepAliveTimeout en httpd.conf a 15-30, y elevar los valores de ServerLimit y MaxClients hasta algo como 3000.

Si esto falla, los intentos de DoS también pueden ser resueltos con soluciones limitadoras de tasa basadas en iptables, equilibradores de carga tales como nginx, y también dispositivos IPS, pero sé consciente que el tráfico de Internet no siempre es uniforme en cantidad por IP, debido a grandes outproxies corporativos e incluso nacionales, NATs y servicios como Tor.
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/

Ataques Web de Fuerza Bruta

Sentimos que tu cuenta haya sido asaltada por fuerza bruta. Podemos intentar prevenir que nuestro nodo se conecte a este sitio, pero como la red Tor tiene cerca de 800 salidas, el hacerlo realmente no detendría esa acción en el largo plazo.
El atacante probablemente solo encadenaría un proxy abierto después de Tor, usaría WiFi abierto y/o un proxy sin Tor.

El Tor Project provee una DNSRBL automatizada para que consultes, para marcar solicitudes provenientes de nodos Tor como requiriendo tratamiento especial: https://www.torproject.org/projects/tordnsel.html.en

En general, creemos que problemas como este son mejor resueltos mejorando el servicio para defenderlo en contra del ataque desde la Internet en toda su extensión, en vez de adaptar su comportamiento específicamente para Tor.
Intentos de inicio de sesión por fuerza bruta pueden ser reducidos/desacelerados por Captchas, el cual es el abordaje tomado por Gmail para este mismo problema.
De hecho, Google provee un servicio gratis de Captcha, junto con el código para su fácil inclusión en un número de sistemas, para ayudar a otros sitios a tratar con esta cuestión: https://code.google.com/apis/recaptcha/intro.html

Intentos de Fuerza Bruta en SSH

Si estás preocupado acerca de escaneos SSH, puedes considerar correr tu SSHD en un otro puerto que no sea el 22 por defecto.
Muchos gusanos, escaneadores, y botnets escanean el Internet completo buscando inicios de sesión SSH.
El hecho que unos pocos inicios de sesión han provenido desde Tor es probablemente una pequeña desviación en tu tasa general de intentos de inicio de sesión.
También puedes considerar una solución de limitación de tasa: https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/

Si de hecho es un problema serio específico de Tor, el Tor project provee una DNSRBL automatizada para que consultes, para bloquear intentos de inicio de sesión provenientes de nodos Tor: https://www.torproject.org/projects/tordnsel.html.en

También es posible descargar una lista de todos los IPs de salidas Tor que se conectarán a tu puerto SSH: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22

Puedes usar esta lista para crear reglas de iptables para bloquear la red.
Sin embargo, aún recomendamos usar el abordaje general, ya que simplemente el ataque probablemente reaparezca desde un proxy abierto u otro IP una vez que Tor esté bloqueado.

Cuentas Hackeadas de Gmail, Foro Web, o Acceso Misceláneo

Con respecto a tu cuenta, dado que el atacante usó Tor y no una gran botnet (o el mismo IP de tu máquina), es probable que tu contraseña fuera o bien extraída de tu máquina desde un grabador de teclas, o bien capturada desde un kiosko, o un WiFi abierto.

Nuestra recomendación es tratar a este evento como si hubiera habido un inicio de sesión desde un punto de acceso inalámbrico abierto en tu ciudad. Restablece tu contraseña, y si todavía no tienes un antivirus, descarga la versión gratis de AVG: http://free.avg.com/us-en/download, Spybot SD: http://www.safer-networking.org/nl/home/index.html, y/o AdAware: http://www.lavasoft.com/?domain=lavasoftusa.com.
Úsalos para escanear y comprobar en tu ordenador si alguien con acceso pudiera haber instalado keyloggers o spyware.

Para ayudar a protegerte mientras usas WiFi abierto, considera usar este complemento para Firefox: https://www.eff.org/https-everywhere/, y alienta a quien
mantiene el sitio para que soporte inicios de sesión HTTPS.

Hackeos (Entornos de comando web en PHP, ejecución de scripts a través de sitios cruzados, Inyección SQL)

Esto tampoco significa que no pueda hacerse nada.
Para incidentes serios, las técnicas tradicionales del trabajo policíaco de ejecutar operaciones de señuelo, e investigar para determinar medios, motivos, y oportunidad aún son muy efectivas.

Adicionalmente. el Tor Project provee una DNSRBL automatizada para que consultes, para marcar a los visitantes provenientes de nodos Tor como requiriendo tratamiento especial: https://www.torproject.org/projects/tordnsel.html.en
La misma lista está disponible a través de la Lista Completa de Salidas Tor: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Sin embargo, en vez de evitar que usuarios legítimos de Tor usen tu servicio en general, recomendamos asegurar que tales servicios sean actualizados y mantenidos para librarlos de vulnerabilidades que puedan conducir a situaciones tales como estas (ejecución de comandos en entornos web en PHP/compromiso por ejecución de scripts a través de sitios cruzados/compromiso por inyección SQL).

Fraude en Comercio electrónico

Esto tampoco significa que no pueda hacerse nada.
Para incidentes serios, las técnicas tradicionales del trabajo policíaco de ejecutar operaciones de señuelo, e investigar para determinar medios, motivos, y oportunidad aún son muy efectivas.

Adicionalmente. el Tor Project provee una DNSRBL automatizada para que consultes, para marcar órdenes provenientes de nodos Tor como requiriendo revisión especial: https://www.torproject.org/projects/tordnsel.html.en

También provee un servicio de Lista Completa de Salidas: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Puedes usar esta lista para ayudarte a dar una mirada más cercana a las órdenes provenientes de Tor, o pausarlas temporariamente para verificación adicional, sin perder clientes legítimos.

De hecho, en mi experiencia, los equipos de procesamiento de fraude contratados por muchos ISPs, simplemente marcan todas las solicitudes provenientes de nodos Tor como fraude usando esa mismísima lista.
Por lo que aún es posible que esta sea una orden legítima, pero fue marcada como fraude solamente basándose en el IP, especialmente si tu contratas la detección de fraude con un tercero.

Amenazas de Violencia (Consejos para una Discusión en Tiempo Real)

Si llega una queja de abuso seria que no está cubierta por este conjunto de plantillas, la mejor respuesta es seguir un patrón con la parte efectuando la queja. Esto no es un consejo legal. Esto no fue escrito o revisado por un abogado. Fue escrito por alguien con experiencia en trabajar con varios ISPs que habían tenido dificultades con un nodo de salida Tor en su red. También ha sido revisado por alguien que trabaja en Abuso en uno de los principales ISPs.

  • Lee la Introducción a Tor. Debes estar preparado para resumir y contestar preguntas básicas. Asume que la persona con la cual vas a conversar no conoce nada acerca de Tor. Asume que esta misma persona no va a confiar en nada de lo que digas.
    • En casos serios, tales como correos electrónicos de acoso o amenazas de muerte, a menudo es útil inferir una analogía con situaciones en el mundo físico donde una acción es perpetrada por un individuo anónimo (tal como entregar la esquela vía correo postal). Recordarles que el trabajo policíaco tradicional aún puede ser usado para determinar quién tuvo los medios, motivo, y oportunidad para cometer el crimen.
  • Acuerda con quien presenta la queja para hablar con él o enviarle directamente un correo electrónico.
  • Durante la conversación asegurate de explicar algunas cosas:
    • No eres el perpetrador de la cuestión.
    • Eres un operador del servidor, responsable y preocupado acerca del problema de quien presenta la queja.
    • No estás loco. Puedes estarlo, pero no queremos que quien presenta la queja suponga que esto es verdad.
  • En muchos casos, tu ISP va a estar involucrado como conducto para la queja de un tercero. Tu ISP quiere saber que:
    • Tu servidor no está comprometido.
    • Tu servidor no es un repetidor de correo electrónico no solicitado.
    • Tu servidor no es un troyano/zombie.
    • Eres un administrador competente del servidor, y puedes encarar la cuestión. Al menos mínimamente, puedes discutirla y responderla inteligentemente.
    • El ISP no tiene la culpa y no es responsable por tus acciones. Este es normamente el caso, pero la pobre persona en Abuso lidiando con estas cuestiones solo quiere escuchar que no es un problema del ISP. Va a continuar con su rutina luego de que esté cómoda.
  • Discutir opciones. Opciones que le han sido ofrecidas a Phobos:
    • El ISP o quien presenta la queja muy bien puede demandar ver los archivos de registro. Afortunadamente, por defecto, nada delicado es divulgado. Podrías querer un nuevo ISP si demanda acceso ad hoc a archivos de registro.
    • El ISP o quien presenta la queja sugiere que te conviertas en intermediario. En este caso, podrías querer proponerles usar una política de salida reducida, tal como la sugerida en el ítem #6 del siguiente posteo en el blog.
    • El ISP o quien presenta la queja demanda que deshabilites Tor. Como resultado, podrías querer un nuevo ISP.
    • El ISP o quien presenta la queja afirma que no dejará pasar por el cortafuego el tráfico en los puertos por defecto. Como resultado, podrías querer un nuevo ISP.
    • Actualizar la configuración para no permitir el tráfico hacia un cierto rango de IPs desde tu nodo de salida. En vez, podrías querer sugerir a quien presenta la queja que use la DNSRBL de Tor.
  • Luego que todo haya sido discutido, ofrece una conversación de seguimiento dentro de una semana. Asegúrate que los cambios acordados sean implementados. Puede que ni el ISP ni quien presenta la queja quieran hacer esto, pero el hecho de que lo ofreciste juega a tu favor. Esto puede ayudar a que se sientan "cómodos" con vos.

Otros Conjuntos de Plantillas