До початку

Найкращий спосіб розглядати скарги про зловживання – це налаштувати вузол виходу так, щоб вони з меншою ймовірністю були надіслані в першу чергу. Перегляньте Поради щодо запуску вузла виходу з мінімальним переслідуванням і Рекомендації щодо виходу з Tor для отримання додаткової інформації, перш ніж читати цей документ.

Нижче наведено добірку листів, якими ви можете скористатися, щоб відповісти своєму інтернет-провайдеру на його скаргу щодо вашого сервера виходу Tor.

Формат і філософія шаблонів

Загальний формат цих шаблонів полягає в тому, щоб повідомити скаржника про Tor, допомогти йому знайти рішення для його конкретної проблеми, яке працює в цілому для Інтернету в цілому (відкритий Wi-Fi, відкриті проксі-сервери, ботнети тощо), і забороняючи все інше , як заблокувати Tor. Філософія проекту Tor полягає в тому, що адміністратори сайту повинні активно боротися зі зловживаннями, а не витрачати зусилля та ресурси на пошуки помсти та гонитву за привидами.

Різниця між проактивним підходом і реактивним підходом до зловживань – це різниця між децентралізованою, стійкою до збоїв свободою Інтернету та крихким, підкупним тоталітарним контролем. На додачу, онлайн-«водійські права» Південної Кореї й Китаю, засновані на ідентифікації особи, нічого не зробили для обмеження кіберзлочинності і зловживань в інтернеті. Насправді всі об’єктивні докази, здається, свідчать про те, що він лише створив нові ринки для організованої злочинності. Це основна ідея, яку ці шаблони скарги намагаються прищепити одержувачу. Не соромтеся вдосконалювати їх, якщо вважаєте, що вони не досягають цієї мети.

Усі шаблони мають містити наведену нижче загальну шаблонну схему та додавати деякі додаткові параграфи залежно від конкретного сценарію.

Загальний шаблон (Tor Intro)

IP-адреса, про яку йдеться, є вузлом виходу Tor.
https://2019.www.torproject.org/about/overview.html.en

Ми мало що можемо зробити, щоб простежити цю справу далі.
Як видно зі сторінки огляду, мережа Tor розроблена таким чином, щоб унеможливити відстеження користувачів.
Мережею Tor керують приблизно 5000 волонтерів, які використовують безкоштовне програмне забезпечення, надане Tor Project, для запуску маршрутизаторів Tor.
Клієнтські підключення маршрутизуються через кілька ретрансляторів і мультиплексуються разом на з’єднаннях між ретрансляторами.
Система не записує журнали клієнтських підключень або попередні переходи.

Це пов’язано з тим, що мережа Tor є системою захисту від цензури, конфіденційності й анонімності, якою користуються інформатори, журналісти, китайські дисиденти, які оминають Великий брандмауер, жертви насильства, цілі сталкерів, американські військові та правоохоронні органи, і це лише деякі з них.
Перегляньте https://www.torproject.org/about/torusers.html.en для отримання додаткової інформації.

На жаль, деякі люди зловживають мережею. Однак у порівнянні зі швидкістю законного використання (діапазон IP-адрес, про який йдеться, обробляє майже гігабіт трафіку за секунду), [скарги про зловживання трапляються рідко](https://support.torproject.org/abuse/).

Сценарії зловживання

Наступні абзаци, що стосуються конкретного сценарію, слід додати до абзаців загального шаблону вище. Загальний шаблон слід скоротити або опустити, якщо скаржник на порушення вже знайомий з Tor.

Спам у коментарях/форумі

Однак це не означає, що нічого не можна зробити.

Проект Tor надає вам автоматизований DNSRBL для запиту, щоб позначати повідомлення, що надходять із вузлів Tor, як такі, що потребують спеціальної перевірки.
Ви також можете використовувати цей DNSRBL, щоб дозволити Tor IP лише читати, але не публікувати коментарі: https://www.torproject.org/projects/tordnsel.html.en

Однак майте на увазі, що це може бути лише один дурень серед багатьох законних користувачів Tor, які користуються вашими форумами.
Можливо, вам пощастить позбутися цього дурня, тимчасово обмеживши створення облікових записів, вимагаючи облікових записів Gmail перед публікацією, або вимагаючи створення облікового запису через не-Tor перед публікацією.

Загалом ми вважаємо, що подібні проблеми найкраще вирішувати шляхом покращення вашого сервісу для захисту від атак з Інтернету в цілому.
Спроби входу грубою силою можуть бути зменшені/уповільнені за допомогою Captcha, який є підходом, застосованим Gmail для вирішення цієї проблеми.
Насправді Google надає безкоштовну службу Captcha разом із кодом для легкого включення в низку систем, щоб допомогти іншим сайтам
із цією проблемою: https://code.google.com/apis/recaptcha/intro.html

Спам PHP Relay або Exploited Webmail Account

Крім того, наші вузли не дозволяють надсилати трафік SMTP за допомогою наших IP-адрес.
Після розслідування з’ясувалося, що джерелом спаму є образливий або скомпрометований шлюз веб-пошти, який працює за адресою:
<web server here>.
Ви зв'язувалися з їхнім відділом зловживання?

Спам у групах Google

Схоже, що вашу конкретну скаргу про порушення створив автентифікований користувач Груп Google.
Перевірка заголовків показує, що адреса скарги на порушення для Груп Google є groups-abuse@google.com.
Зв’язавшись із цією адресою, вам пощастить справді скасувати обліковий запис Google Groups цього зловмисника, ніж переслідувати вузли Tor, проксі та відкриті бездротові точки доступу.

Крім того, якщо ваш читач новин підтримує killfiles, вам може бути цікаво скористатися сценарієм Tor Bulk Exit list, щоб завантажити список IP-адрес для включення у ваш killfile для публікацій, які відповідають «NNTP-Posting-Host:
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py

DoS-атаки та скрапінгові роботи

Нам шкода, що ваш сайт зазнає такого великого навантаження від Tor.

Однак можливо, що ваші сигнали обмеження швидкості просто отримали хибне спрацьовування через обсяг трафіку, який проходить через маршрутизатор.
Ми обслуговуємо майже гігабіт трафіку в секунду, 98% якого становить веб-трафік.

Проте, якщо атака справжня й триває, проект Tor надає автоматизований DNSRBL, який можна запитувати, щоб блокувати спроби входу, що надходять із вузлів Tor: https://www.torproject.org/projects/tordnsel.html.en

Також можна завантажити список усіх вихідних IP-адрес Tor, які підключатимуться до порту вашого сервера:
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80

Однак загалом ми вважаємо, що подібні проблеми найкраще вирішуються шляхом покращення служби захисту від атак з Інтернету в цілому.

Збирання та роботу роботів можна зменшити/уповільнити за допомогою Captcha, який є підходом Gmail для вирішення цієї проблеми.
Насправді Google надає безкоштовну службу Captcha разом із кодом для легкого включення в низку систем, щоб допомогти іншим сайтам вирішити цю проблему: https://code.google.com/apis/recaptcha/intro.html

Повільні DoS-атаки [спрямовані на використання ліміту Apache MaxClients](http://www.guerilla-ciso.com/archives/2049) можна зменшити, зменшивши значення конфігурації httpd.conf TimeOut і KeepAliveTimeout до 15-30 і підвищивши Значення ServerLimit і MaxClients до приблизно 3000.

Якщо це не вдасться, спроби DoS також можна вирішити за допомогою рішень для обмеження швидкості на основі iptables, балансувальників навантаження, таких як nginx, а також пристроїв IPS, але майте на увазі, що Інтернет-трафік не завжди є однаковим за кількістю за IP через великі корпоративні та навіть національні вихідні проксі-сервери, NAT і такі служби, як Tor.
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/

Веб-атаки грубою силою

Нам шкода, що ваш обліковий запис було форсовано. Ми можемо спробувати запобігти підключенню нашого вузла до цього сайту, але оскільки мережа Tor має близько 800 виходів, це не зупинить дію надовго.
Зловмисник, ймовірно, просто з’єднає відкритий проксі після Tor або просто використає відкритий бездротовий зв’язок та/або проксі без Tor.

Проект Tor надає автоматизований DNSRBL для запитів, щоб позначати запити від вузлів Tor як такі, що потребують спеціальної обробки: https://www.torproject.org/projects/tordnsel.html.en

Загалом ми вважаємо, що подібні проблеми найкраще вирішувати шляхом покращення служби для захисту від атак з Інтернету в цілому, а не спеціально адаптувати поведінку для Tor.
Спроби входу грубою силою можуть бути зменшені/уповільнені за допомогою Captcha, який є підходом, застосованим Gmail для вирішення цієї проблеми.
Насправді Google надає безкоштовну службу Captcha разом із кодом для легкого включення в низку систем, щоб допомогти іншим сайтам вирішити цю проблему: https://code.google.com/apis/recaptcha/intro.html

Спроби SSH Bruteforce

Якщо вас турбує сканування SSH, ви можете запустити свій SSHD на порт, відмінний від стандартного 22.
Багато хробаків, сканерів і ботнетів сканують весь Інтернет, шукаючи логіни SSH.
Той факт, що кілька входів надійшли з Tor, ймовірно, є невеликою плямою на вашій загальній кількості спроб входу.
Ви також можете розглянути рішення щодо обмеження швидкості: https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/

Якщо це справді серйозна проблема, специфічна для Tor, проект Tor надає автоматизований DNSRBL для запиту, щоб заблокувати спроби входу, що надходять із вузлів Tor: https://www.torproject.org/projects/tordnsel.html.en

Також можна завантажити список усіх вихідних IP-адрес Tor, які підключатимуться до вашого порту SSH: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22

Ви можете використовувати цей список для створення правил iptables для блокування мережі.
Однак ми все одно рекомендуємо використовувати загальний підхід, оскільки атака, швидше за все, просто з’явиться знову з відкритого проксі-сервера або іншої IP-адреси, коли Tor буде заблоковано.

Зламаний доступ до Gmail, веб-форуму чи іншого облікового запису

Стосовно вашого облікового запису, враховуючи, що зловмисник використовував Tor, а не великий ботнет (чи саму IP-адресу вашого комп’ютера), імовірно, ваш пароль було зібрано з вашого комп’ютера за допомогою кейлоггера або його було захоплено через кіоск, або з відкритого бездротового зв’язку.

Ми рекомендуємо розглядати цю подію так, ніби відбувся вхід із відкритої бездротової точки доступу у вашому місті. Змініть свій пароль і, якщо у вас ще немає антивіруса, завантажте безкоштовний AVG: http://free.avg.com/us-en/download, Spybot SD: https://www.safer-networking.org/ та/або AdAware: http://www.lavasoft.com/?domain=lavasoftusa.com.
Використовуйте їх, щоб перевірити наявність клавіатурних шпигунських програм, які міг встановити хтось із доступом до вашого комп’ютера.

Щоб захистити себе під час використання відкритого бездротового зв’язку, подумайте про використання цього плагіна Firefox:<https://www.eff.org/https-everywhere/> і заохочуйте розробника сайту підтримувати вхід через HTTPS.

Злом (PHP Webshells, XSS, SQL Injection)

Це також не означає, що нічого не можна зробити.
У випадку серйозних інцидентів традиційні поліцейські методи роботи, пов’язані з розшуком і розслідуванням для визначення засобів, мотивів і можливостей, все ще є дуже ефективними.

Крім того, проект Tor надає автоматизований DNSRBL для запиту, щоб позначати відвідувачів, які приходять із вузлів Tor, як такі, що потребують спеціального лікування: https://www.torproject.org/projects/tordnsel.html.en.
Той самий список доступний через Tor Bulk Exit List: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Однак замість того, щоб взагалі забороняти законним користувачам Tor користуватися вашою службою, ми рекомендуємо переконатися, що такі служби оновлюються та підтримуються, щоб вони були вільними від уразливостей, які можуть призвести до подібних ситуацій (компрометація PHP webshell/XSS/компрометація SQL Injection).

Шахрайство в електронній комерції

Це також не означає, що нічого не можна зробити.
У випадку серйозних інцидентів традиційні поліцейські методи роботи, пов’язані з розшуком і розслідуванням для визначення засобів, мотивів і можливостей, все ще є дуже ефективними.

Крім того, проект Tor надає автоматизований DNSRBL для запиту, щоб позначати замовлення, що надходять від вузлів Tor, як такі, що потребують спеціальної перевірки: https://www.torproject.org/projects/tordnsel.html.en

Він також надає службу Bulk Exit List для отримання всього списку: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Ви можете використовувати цей список, щоб допомогти вам ближче розглянути замовлення Tor або тимчасово затримати їх для додаткової перевірки, не втрачаючи законних клієнтів.

Насправді, з мого досвіду, групи з обробки шахрайства, залучені багатьма провайдерами, просто позначають усі запити від вузлів Tor як шахрайські, використовуючи саме цей список.
Тож навіть можливо, що це законне замовлення, але його було позначено як шахрайство виключно на основі IP, особливо якщо ви передаєте функцію виявлення шахрайства третій стороні.

Погрози насильства (порада для обговорення в реальному часі)

Якщо надходить серйозна скарга про порушення, яка не охоплена цим набором шаблонів, найкращою відповіддю буде слідувати шаблону зі стороною, яка скаржиться. Це не юридична порада. Це не було написано і не перевірено юристом. Його написав хтось із досвідом роботи з різними провайдерами, які мали проблеми з вузлом виходу Tor у їхній мережі. Його також переглянув хтось, хто працює у відділі зловживань у великого провайдера.

• Прочитайте Огляд Tor. Будьте готові підсумувати та відповісти на основні запитання. Припустімо, що людина, з якою ви збираєтеся розмовляти, нічого не знає про Tor. Припустімо, що ця сама людина не буде довіряти всьому, що ви говорите.
  • У серйозних випадках, як-от переслідування електронною поштою чи погрози смертю, часто корисно провести аналогію із ситуаціями у фізичному світі, коли дію вчиняє анонімна особа (наприклад, доставка повідомлення поштою).
  • Нагадайте їм, що традиційна поліцейська робота все ще може бути використана для визначення того, хто мав засоби, мотиви та можливість вчинити злочин.
• Домовтеся про розмову з скаржником або надішліть йому електронний лист.
• Під час розмови переконайтеся, що ви пояснюєте кілька моментів:
  • Ви не є винуватцем проблеми.
  • Ви є відповідальним оператором сервера та стурбовані проблемою скаржника.
  • Ти не божевільний. Ви можете бути божевільним, але ми не хочемо, щоб скаржник здогадався, що це правда.
• У багатьох випадках ваш інтернет-провайдер буде задіяний як канал для стороннього скаржника. Ваш провайдер хоче знати:
  • Ваш сервер не зламано.
  • Ваш сервер не є ретранслятором спаму.
  • Ваш сервер не є трояном/зомбі.
  • Ви є компетентним адміністратором сервера і можете вирішити проблему. Мінімум, ви можете принаймні обговорити та відповісти на проблему з розумом.
  • Інтернет-провайдер не винен і не несе відповідальності за ваші дії. Зазвичай це так, але бідолаха, яка займається проблемами, просто хоче почути, що це не проблема інтернет-провайдерів. Вони підуть далі, коли їм буде зручно.
• Обговоріть варіанти. Варіанти, які пропонуються операторам ретрансляції:
  • Постачальник Інтернет-послуг/скаржник цілком може вимагати переглянути файли журналу. На щастя, за замовчуванням нічого конфіденційного не розкривається. Вам може знадобитися новий провайдер, якщо він потребує доступу до файлів журналу ad hoc.
  • Постачальник Інтернет-послуг/скаржник може запропонувати вам перейти на невихідний вузол. У цьому випадку ви можете протидіяти зменшеній політиці виходу, як-от запропонованій у пункті №6 вищезгаданої публікації в блозі .
  • Інтернет-провайдер/скаржник вимагає від вас відключити Tor. У результаті вам може знадобитися новий провайдер.
  • Інтернет-провайдер/позивач заявляє, що брандмауер відключатиме трафік на стандартних портах. У результаті вам може знадобитися новий провайдер.
  • Оновіть конфігурацію, щоб заборонити трафік до певного діапазону IP від вашого вузла виходу. Ви можете запропонувати скаржнику замість цього використовувати Tor DNS RBL.
• Після того, як усе було обговорено, запропонуйте наступну розмову протягом тижня. Переконайтеся, що погоджені вами зміни реалізовано. Ані провайдер, ані позивач можуть не захотіти цього робити, але той факт, що ви запропонували, є вашою заслугою. Це може допомогти їм почуватися «комфортно» з вами.

Інші набори шаблонів

• Шаблон відповіді DMCA для супроводжуючого вузла Tor до ISP, як написано EFF.
• Torservers електронні листи з шаблонами відповідей.