Onion rings

Primo complaint dal mio ISP legato a Tor: com’è andata

Come raccontavo nel mio ultimo post ho ricevuto la prima segnalazione di complaint dal mio ISP (Aruba) legata al nodo Tor di uscita che gestisco. Dopo la mia prima risposta mi hanno inoltrato il complaint: era un report automatico generato da un servizio online chiamato Webiron (donotlink: webiron.com, se proprio ci tenete).

In sostanza si trattava di uno spambot che tentava di fare un attacco bruteforce su installazioni WordPress. Trovate sotto un estratto del report.

La cosa interessante è che il report menzionava anche cosa fare nel caso in cui si stesse gestendo un nodo Tor. Peccato che la soluzione fosse insoddisfacente.

Webiron non gestisce correttamente gli accessi dalla rete Tor (per esempio, implementando dei sistemi che aggiungano una verifica CAPTCHA) e, anzi, chiede agli operatori di intervenire bloccando un certo range di IP in uscita. Cosa che è parecchio poco sensata perché:
1. è contraria allo spirito di Tor, dato che impedisce agli utenti che vogliono usare Tor di raggiungere il servizio;
2. è una soluzione meno ottimale di quella implementabile dal loro lato, perché se non tutti i nodi di uscita bloccano il range il problema comunque rimane;
3. vuol dire complicare la vita agli operatori, che tipicamente sono volontari;

Ho chiesto quindi alla comunità, scovando un thread di qualche settimana fa sulla lista tor-relays e mandando un messaggio a mia volta.

La risposta che ho raccolto è che alcuni bloccano quel range di IP di uscita come indicato da Webiron, ma solo temporaneamente (vedi punto 1 di cui sopra, e quindi anche il punto 2). Altri un po’ se ne fregano (punto 2).

Alla fine ho optato per applicare il blocco del range richiesto, ma solo per un mese (punto 1). Dopotutto, essendo il primo complaint, volevo tranquillizzare Aruba del fatto che sto facendo le cose seriamente, o almeno ci provo.

Rispetto ad Aruba, devo dire che mi sto trovando bene. Sono un po’ pressanti, perché ogni volta che sembra esserci anche un vago sentore di problema mi telefonano (sì, mi chiamano sul cellulare del quale gli ho fornito il numero all’atto della registrazione). Mi hanno telefonato anche se nel complaint era chiaramente indicato che si trattava di un report automatico.

Il risultato è che, sommando le mie varie richieste al loro essere pressanti, ho già parlato con svariate persone della loro assistenza tecnica. Prima o poi capiranno e spero si rilasseranno un po’ :P. Comunque loro hanno le loro buone ragioni per intervenire prontamente.

Il motivo per cui si richiede la riassegnazione del record SWIP è proprio per gestire in autonomia questo tipo di complaint automatici. Ho parlato con un tecnico Aruba (mi hanno sempre chiamato loro) che mi ha detto che questo servizio è disponibile solo per prodotti di fascia superiore. Il problema è che, allo stante, per una segnalazione così, sarebbero i server Aruba a finire nelle blacklist dei vari servizi anti-spam e questo è un problema per qualsiasi ISP.

Pazienza.

Però, insomma, la prima segnalazione si è risolta positivamente. E non è poco, soprattutto perché non è stato l’Armageddon e non sono nemmeno intervenuti dei team SWAT per arrestarmi. Ripeto, non è poco.

Quanto alla soluzione in quanto tale, credo che, per gli utenti, sia meglio evitare servizi che non gestiscono correttamente il traffico dalla rete Tor. Ai posteri l’ardua sentenza. (cit.).

2 pensieri su “Primo complaint dal mio ISP legato a Tor: com’è andata

  1. Io però non ho capito: Webiron ha individuato (o ha creduto di individuare) uno spambot che tentava di fare un attacco bruteforce su installazioni WordPress (all around the web) sfruttando il tuo nodo Tor? ha frainteso il traffico Tor che passava dal tuo nodo come un tentativo di attacco bruteforce alla tua installazione WordPress?

    • Ciao,

      non ho indagato in dettaglio quali sono i servizi forniti da Webiron, credo abbiano individuato uno spambot che, usando la rete Tor, tentava di fare bruteforce su installazioni WordPress dei loro clienti. Se non ho capito male offrono una serie di servizi di “protezione” per siti internet, nella stessa categoria di servizi metterei quanto offerto da Cloudflare (https://www.cloudflare.com).

      Ciao,

      C

I commenti sono chiusi.