Come raccontavo nel mio ultimo post ho ricevuto la prima segnalazione di complaint dal mio ISP (Aruba) legata al nodo Tor di uscita che gestisco. Dopo la mia prima risposta mi hanno inoltrato il complaint: era un report automatico generato da un servizio online chiamato Webiron (donotlink: webiron.com, se proprio ci tenete).
In sostanza si trattava di uno spambot che tentava di fare un attacco bruteforce su installazioni WordPress. Trovate sotto un estratto del report.
La cosa interessante è che il report menzionava anche cosa fare nel caso in cui si stesse gestendo un nodo Tor. Peccato che la soluzione fosse insoddisfacente.
Webiron non gestisce correttamente gli accessi dalla rete Tor (per esempio, implementando dei sistemi che aggiungano una verifica CAPTCHA) e, anzi, chiede agli operatori di intervenire bloccando un certo range di IP in uscita. Cosa che è parecchio poco sensata perché:
1. è contraria allo spirito di Tor, dato che impedisce agli utenti che vogliono usare Tor di raggiungere il servizio;
2. è una soluzione meno ottimale di quella implementabile dal loro lato, perché se non tutti i nodi di uscita bloccano il range il problema comunque rimane;
3. vuol dire complicare la vita agli operatori, che tipicamente sono volontari;
Ho chiesto quindi alla comunità, scovando un thread di qualche settimana fa sulla lista tor-relays e mandando un messaggio a mia volta.
La risposta che ho raccolto è che alcuni bloccano quel range di IP di uscita come indicato da Webiron, ma solo temporaneamente (vedi punto 1 di cui sopra, e quindi anche il punto 2). Altri un po’ se ne fregano (punto 2).
Alla fine ho optato per applicare il blocco del range richiesto, ma solo per un mese (punto 1). Dopotutto, essendo il primo complaint, volevo tranquillizzare Aruba del fatto che sto facendo le cose seriamente, o almeno ci provo.
Rispetto ad Aruba, devo dire che mi sto trovando bene. Sono un po’ pressanti, perché ogni volta che sembra esserci anche un vago sentore di problema mi telefonano (sì, mi chiamano sul cellulare del quale gli ho fornito il numero all’atto della registrazione). Mi hanno telefonato anche se nel complaint era chiaramente indicato che si trattava di un report automatico.
Il risultato è che, sommando le mie varie richieste al loro essere pressanti, ho già parlato con svariate persone della loro assistenza tecnica. Prima o poi capiranno e spero si rilasseranno un po’ :P. Comunque loro hanno le loro buone ragioni per intervenire prontamente.
Il motivo per cui si richiede la riassegnazione del record SWIP è proprio per gestire in autonomia questo tipo di complaint automatici. Ho parlato con un tecnico Aruba (mi hanno sempre chiamato loro) che mi ha detto che questo servizio è disponibile solo per prodotti di fascia superiore. Il problema è che, allo stante, per una segnalazione così, sarebbero i server Aruba a finire nelle blacklist dei vari servizi anti-spam e questo è un problema per qualsiasi ISP.
Pazienza.
Però, insomma, la prima segnalazione si è risolta positivamente. E non è poco, soprattutto perché non è stato l’Armageddon e non sono nemmeno intervenuti dei team SWAT per arrestarmi. Ripeto, non è poco.
Quanto alla soluzione in quanto tale, credo che, per gli utenti, sia meglio evitare servizi che non gestiscono correttamente il traffico dalla rete Tor. Ai posteri l’ardua sentenza. (cit.).
—
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 |
--- Automated Message - To get a response or report issues with the reports, please see the contact info below. --- --- WE DO NOT RESPOND TO REPORT REPLIES - Please read the entire e-mail --- === You are receiving this e-mail in regard to abuse issues against our clients coming from the host at IP X.X.X.X === Webiron is a security service and this e-mail is being sent on behalf of our clients. We do not control how our clients configure their protection and as a result do not control how blocks and bans are generated. [cut] If you run a VPN, anonymizer service (like a TOR exit or proxy node), or business intelligence not contracted with the site owner, then we request that the abused range be blocked from your service. If it is being blocked, then it's at the right and choice of our clients to refuse access. Tor exit operators and/or upstream provides please see our guide on blocking traffic from exit nodes. [cut] To be removed entirely from future reports reply to this e-mail with REMOVE (in all caps) in the subject line. Please note this will only stop the e-mail to the address the e-mail was sent to and public notices will remain as your abuse address will be listed on our abuse department blacklist. Blacklisted departments are listed online and flagged in our abuse Twitter notices. See: https://twitter.com/WebironBots Tor: We do not give passes to abuse coming from Tor exits. Tor is becoming a huge chronic problem for perpetual abuse. See the leader board linked below for more details on the issue. --- We now report unresolved abuse after 3 days to Twitter @WebironBots --- --- View your public listings --- -- IP Address Listings -- Abuse Feed: [cut] IP Lookup(Lists bots and other activity): [cut] -- Your Network/Department Listings -- Top 100 Unresolved Abuse Leader board: https://www.webiron.com/abuse_leaderboard/ Your Abuse E-Mail Listings: https://www.webiron.com/abuse_feed/[email protected] --- Blacklist Warning --- Failure to handle abuse issues will increase your chances of ending up on our public Real-Time Abuse Response Blacklist (WARB) For further details on WARB see: WARB ________________________________________ *** Note *** - All times are in America/Phoenix (-07:00) as denoted in the time stamp as '-07:00' or '-07' on the end. ________________________________________ Unwanted and or Abusive Web Requests: Offending/Source IP: X.X.X.X - Issue: Source has attempted the following botnet activity: WordPress Login Brute Force - Block Type: New Ban - Time: 2015-11-13 14:24:23-07:00 - Port: 80 - Service: http - Report ID: b667e32b-fa9a-41a8-bf8d-180a502a3985 - Bot Fingerprint: 03bb1a043d189522c4df25c77592268c - Bot Information: https://www.webiron.com/bot_lookup/03bb1a043d189522c4df25c77592268c - Bot Node Feed: https://www.webiron.com/bot_feed/03bb1a043d189522c4df25c77592268c - Abused Range: 5.133.182.0/24 - Requested URI: /wp-login.php - User-Agent: Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12 Version/12. - GET/POST Arguments Sent: pwd, wp-submit, testcookie, log, redirect_to |
Io però non ho capito: Webiron ha individuato (o ha creduto di individuare) uno spambot che tentava di fare un attacco bruteforce su installazioni WordPress (all around the web) sfruttando il tuo nodo Tor? ha frainteso il traffico Tor che passava dal tuo nodo come un tentativo di attacco bruteforce alla tua installazione WordPress?
Ciao,
non ho indagato in dettaglio quali sono i servizi forniti da Webiron, credo abbiano individuato uno spambot che, usando la rete Tor, tentava di fare bruteforce su installazioni WordPress dei loro clienti. Se non ho capito male offrono una serie di servizi di “protezione” per siti internet, nella stessa categoria di servizi metterei quanto offerto da Cloudflare (https://www.cloudflare.com).
Ciao,
C