How TOR works

Gestire un nodo di uscita Tor su Aruba (ArubaCloud): un resoconto dettagliato

(You can read an English version of this post)


Qualche giorno fa ho ricevuto un email in cui mi si chiedeva di raccontare la mia esperienza di operatore di un nodo di uscita Tor su Aruba (ArubaCloud). Colgo l’occasione e lo stimolo per scrivere un resoconto dettagliato di quanto è successo negli ultimi mesi. Spero che possa essere una guida per chi voglia mettere in piedi un nodo Tor (su Aruba o altrove).

In due parole

Un consiglio spassionato: se non parlate e/o scrivete italiano correntemente (perché magari non siete italiani, ma a questo punto mi chiedo quanto stiate capendo di quanto scritto qui), se non siete raggiungibili ad un recapito telefonico italiano o se non avete voglia di condividere quest’informazione con un’azienda vi sconsiglio di hostare il vostro nodo su Aruba. Durante il processo di creazione del vostro account vi chiederanno svariati dati tra cui il vostro codice fiscale e il vostro numero di telefono. Onestamente, non ho idea di come (e se) gestiscano utenti non italiani. Se vi va di fare un esperimento, parliamone!

Lo spiegone

Nel mettere in piedi il mio nodo ho seguito scrupolosamente i consigli indicati nel post “Tips for Running an Exit Node“, che ho anche tradotto in italiano.

ArubaCloud – https://cloud.it – è un servizio offerto da Aruba S.p.A. (c’è anche una pagina su Wikipedia in italiano sull’azienda) che è una delle aziende entry-level in Italia per i servizi di hosting/server virtuali e simili. Ricordo che qualche anno fa mandavano una pubblicità in prima serata sui canali televisivi nazionali [1]Ricordo specificatamente uno spot in cui veniva mostrata un’isola tropicale e un’ammiccante ragazza “hawaiana” che non diceva altro che “Benvenuti su Aruba”. Pare … Continue reading. I loro servizi di base sono abbastanza convenienti, ma diciamo che le opinioni sulla loro qualità sono variegate.

Ho scelto Aruba esattamente perché li ritengo il più grande e il più noto provider italiano di servizi di hosting/VPS (Virtual Private Server), anche se devo dire che non ho numeri alla mano. In ogni caso, il mio approccio di base è stato: “se si può fare su Aruba, allora si può fare ovunque e chiunque in Italia lo potrà fare”.

Ho anche pensato che nel caso peggiore mi avrebbero segato il nodo a vista e io ci avrei perso qualche euro e un po’ di tempo. Un altro motivo per tenere il nodo in Italia è che non mi piaceva (e non mi piace tuttora) l’idea di hostare un nodo presso un ISP straniero perché questo vorrebbe dire sottoporsi alla giurisdizione di altri paesi e a leggi che non conosco. Con questo non voglio dire di essere un esperto e di conoscere del tutto (o anche solo in parte) le leggi legate alle telecomunicazioni in Italia, il punto è che essendo un cittadino italiano sono già sottoposto alla legge italiana e non vedo per quale motivo debba complicare il quadro inserendo le leggi di altri paesi.

Per prima cosa ho letto tutti i documenti che Aruba fornisce sul sito cloud.it: contratto, SLA (Service Level Agreement) e termini di servizio (Terms of Service, ToS). Ovviamente sono tutti in italiano e la legge italiana serve da riferimento. A memoria, durante il processo di creazione di un account è sostanzialmente dato per scontato che l’utente sia un cittadino italiano e vengono chieste delle informazioni come il codice fiscale o la partita IVA se si crea un account per aziende. Durante la registrazione viene anche chiesto di fornire un numero di telefono.

Il contratto e i termini del servizio di Aruba non menzionano Tor specificatamente, ma dicono in generale che l’utente che acquista servizi cloud – ovvero, per esempio, server virtuali – è responsabile di ogni servizio offerto attraverso i propri server, che la gestione della macchina è responsabilità dell’utente e di tutto il traffico che ci passa attraverso. Inoltre, dicono chiaramente che possono interrompere il servizio praticamente in ogni momento a loro giudizio se rilevano qualsiasi sorta di problema (e in particolare se l’utente non reagisce alle segnalazioni di problemi).

Dopo aver creato un account, ho acquistato del credito (detto in altre parole, tutti i servizi vengono pagati in anticipo) e con esso ho attivato un server virtuale (VPS): pacchetto “small” a 4,99 € al mese con 2 TB di traffico dati al mese. Faccio notare che condividendo su Twitter/Facebook/Google Plus un link al sito cloud.it Aruba regala 5 € di credito (fino a 15 €) e quindi ha finanziato de facto l’exit node per 3 mesi. Grazie, Aruba, per il sostegno a Tor! :-D

Dopo aver acquistato il server – e prima di attivare il nodo – ho inviato un ticket attraverso il portale di assistenza di Aruba avvertendoli che avevo intenzione di utilizzare il server acquistato come nodo di uscita Tor. Vale la pena notare che il contratto li obbliga a rispondere ai ticket di assistenza, detto in altre parole non possono fingere di non aver visto la richiesta. Nella risposta l’operatore mi ha esplicitamente confermato che Tor non viola le policy di Aruba [2]Bellissima anche la premessa: «Le possiamo dire che non abbiamo ricevuto altre segnalazioni come la sua però questo non significa che non ci siano altri clienti che utilizzano servizi tor»..

«Potrà comunque utilizzare il software indicato in quanto di per se [sic] il software non viola le policy di Aruba.»

In ogni caso mi hanno ricordato che ero comunque responsabile ai loro occhi (e secondo il loro contratto) di tutte le attività della macchina.

«L’amministratore è a tutti gli effetti il responsabile delle attività software della macchina e in caso di anomali [sic] e violazioni verranno intraprese attività di blocco dei servizi»

Nei giorni successivi ho attivato il server e ho aperto un ulteriore ticket specificando che avrei utilizzato la macchina in oggetti (indicandone l’indirizzo IP) e chiedendo la reassegnazione del record SWIP (nel blog post di cui sopra trovate ulteriori dettagli).

A questo punto credo che ad Aruba si siano resi conto che, in qualche modo, facevo sul serio e mi hanno risposto chiedendomi se fossi disponibile al telefono («La invitiamo a fornirci un recapito valido ed un orario al quale contattarla.»). Ho quindi parlato con quello che credo fosse un dipendente di livello superiore, forse un responsabile degli operatori del call center. Durante la chiamata mi è stato ripetuto svariate volte che secondo i termini del contratto loro mi ritenevano responsabile di tutto il traffico che circolava attraverso il mio server. Gli ho fatto presente che ero ben consapevole di quello che stavo facendo e di quanto indicato dal loro contratto. C’è stato anche il classico momento “FUD” (Fear, Uncertainty and Doubt – Paura, incertezza e dubbio) in cui mi è stato detto che «Tor è usato solo per scopi illegali» [3]Se vi interessa, la mia risposta è stata: «Questo lo dice lei»..

Devo ammettere, tuttavia, che la telefonata non mi ha lasciato completamente indifferente, mettendomi qualche dubbio (FUD, appunto) il cui effetto è stato quello di farmi optare per un approccio “soft” per cui ho deciso di avviare il nodo come middle relay, almeno per un periodo iniziale. Il nodo ha funzionato senza problemi per circa un mese e poi ho deciso di abilitarlo come nodo di uscita. Qui le cose si sono fatte più interessanti. :-)

Aruba ha una policy di gestione delle segnalazioni di abuse/complaint molto agressiva. In pratica, gestiscono tutto direttamente e ogni volta che ricevono una segnalazione scattanno i seguenti step:

  1. viene inviata una mail all’utente gestore del server che dice che hanno ricevuto un complaint relativo al server di cui in oggetto. Ne riporto un esempio nel blog post in cui ho descritto il primo complaint che ho ricevuto;
  2. tentano di contattare telefonicamente l’utente, ripetutamente finché non riescono a parlarci;

In entrambe le occasioni sarà ricordato all’utente che nel caso in cui non ci sia qualche tipo di risposta, reazione o soluzione entro le 72 ore successive allora termineranno il servizio come previsto dal contratto.

Nelle prime settimane sono stato al telefono con svariati operatori del call center di Aruba svariate volte. Mi sono trovato a spiegare più volte cosa fosse Tor, in cosa consisteva l’operare un nodo di uscita di perché qualcuno lo dovrebbe voler fare. Per darvi un’idea, in quegli stessi giorni ho scherzato con alcuni amici che se avessi continuato a quel ritmo avrei molto presto conosciuto tutti gli operatori del call center di Aruba.

Durante queste telefonate mi è stato ripetuto varie volte che tutto quello che passava attraverso il server era mia responsabilità secondo i termini del loro contratto. Quindi ho chiesto nuovamente se fosse possibile ottenere una riassegnazione dello SWIP, che di fatto permette di indicare un altro indirizzo email per inviare le segnalazioni di abuse legate a un dato server, l’idea è che fare gestire gli abuse direttamente all’operatore del nodo rende la vita più facile sia agli ISP sia agli operatori. Ho inviato quindi un altro ticket e sono stato messo in contatto (sempre per telefono) con uno dei loro responsabili tecnici (credo fosse uno dei loro responsabili del network). Questo responsabile mi ha detto che la riassegnazione dello SWIP viene effettuata solo per chi acquista un servizio di “rete dedicata” dove, in pratica, si acquista una sottorete di almeno 16 indirizzi IP. Questo servizio è venduto solo in combinazione con uno dei loro server (fisici) dedicati, il cui prezzo è ovviamente molto più alto di quello di un server virtuale. Devo dire che, al contrario della telefonata precedente, ho trovato una persona molto disponibile e che mi ha dato l’impressione di volermi aiutare, oltre al fatto che mi sembrava fosse molto più propenso a sostenere l’idea che gestire un nodo di uscita Tor sia una cosa non solo fattibile e accettabile, ma pure da incoraggiare. Tuttavia, al termine della telefonata, abbiamo concluso entrambi che non ci fosse molto che potessimo fare per risolvere quello specifico problema.

Quindi, alla fine, non posso gestire direttamente le segnalazioni di abuse, questo fatto si applica senza eccezioni anche ai casi in cui Aruba riceva delle segnalazioni automatiche. In particolare, il processo di gestione dei complaint si svolge tipicamente così:

  1. Aruba mi invia una mail generica, che dice che hanno ricevuto una segnalazione riguardante il mio server e che devo intervenire nelle successive 72 ore altrimenti bloccheranno il servizio (come da contratto). Questa mail iniziale non contiene alcuna informazione utile per tracciare le orgini del problema o capire quale ne possano essere le cause.
  2. Se non rispondo immediatamente, proveranno a contattarmi telefonicamente.
  3. Solitamente rispondo con la risposta standard che ho appositamente tradotto, spiegando che:
    • Il server in oggetto è un nodo di uscita Tor e quindi non ho alcuna informazione sul traffico in transito attraverso la macchina.
    • Chiedo delle informazioni aggiuntive relative alla segnalazione, facendo notare come non ce ne fossero nella mail iniziale.
  4. Solitamente ricevo una risposta in cui mi viene inoltrata la segnalazione originale
  5. Rispondo con una mail più specifica e tipicamente la segnalazione viene chiusa.

Ad oggi ho ricevuto:

  • in due casi delle segnalazioni relative a degli spambot che tentavano di ottenere attraverso attacchi brute-force delle credenziali di accesso a delle installazioni WordPress “protette” da un servizio di sicurezza chiamato WebIron. Ho presto scoperto che WebIron è un nome noto agli operatori di nodi Tor in quanto da qualche tempo sta causando problemi a svariati operatori – ci sono svariati thread in merito sulla mailing list tor-relays (si vedano A, B, C – in inglese). Purtroppo pare che WebIron non sia affatto interessata ad implementare i metodi più appopriati (e suggeriti) per gestire il traffico Tor, preferendo invece l’invio massiccio di segnalazioni indiscriminate agli ISP e chiedendo che gli operatori escludano alcuni range IP dalle loro exit policy. Questo non è il modo corretto di gestire il traffico Tor ma alla fine ho deciso di bloccare un range di IP, seguendo l’esempio di altri operatori Tor sulla mailing list.
  • un caso di falso positivo in cui mi è stato segnalato che il mio server faceva parte di una botnet illegale che era stata smantellata da una operazione dell’Europol nel febbraio del 2015. Dato che ho creato il mio account e attivato il server solo a settembre 2015 era evidente che si trattasse di un errore e quindi la segnalazione è stata chiusa.

Ciò premesso, devo dire che superato lo scoglio del periodo iniziale (diciamo, le prima 4 settimane) dove ho dovuto parlare con il call center di Aruba per almeno una volta a settimana, la situazione è ora tranquilla e da svariate settimane non ho ricevuto alcuna segnalazione. Gli ostacoli maggiori sono stati causati dai report automatici di WebIron.

Per riassumere, al momento spendo 4,99 €/mese per un server virtuale di tipo “small” con 1 GB di RAM e 2 TB al mese di traffico dati. Il server ospita un nodo di uscita Tor che serve 1,4 MB/s in media (sugli ultimi 3 mesi). Non è stato facile, soprattutto all’inizio, anche se probabilmente questo può essere dipeso anche dalla mia inesperienza come operatore. Nonostante gli ostacoli iniziali la difficoltà complessiva è stata, in prospettiva, del tutto affrontabile, almeno confrontata con quello che mi aspettavo.

La mia idea di Aruba è che abbiamo una policy “segnalazioni zero” per cui faranno tutto quanto in loro potere per mantere i loro server (e i loro IP) fuori da ogni blacklist immaginabile e presseranno gli utenti per ogni problema, non importa quanto piccolo. Il loro call center e quello che mi immagino sia un reggimento di operatori sono il mezzo con cui possono raggiungere efficacemente quest’obiettivo. In tutto questo l’ipotesi di base è che possano contattare l’utente e parlargli (in italiano).

Con questo post credo di aver mostrato che è possibile gestire un nodo di uscita Tor su Aruba, anche se richiederà un certo impegno iniziale (in termini di tempo passato al telefono, principalmente).
Non mi è per nulla chiaro quale potrebbe essere l’esperienza di un operatore non italiano. Ecco alcune domande inesplorate:

  • Cosa succede se non si ha un codice fiscale?
  • Cosa succede se non si ha un numero di telefono italiano?
  • Cosa succede se il cliente parla solo inglese o comunque non parla italiano?
  • È possibile gestire un nodo Tor (ovvero, fare in modo che funzioni continuativamente e non venga terminato al primo problema) per un utente non italiano?
  • Cosa succede se non si riesce (o non si vuole) rispondere alla segnalazioni di Aruba? (Va detto che non credo che questo sia un approccio molto saggio e lo sconsiglio)

Mi piacerebbe poter trovare delle risposte alla domande di cui sopra, ma per farlo ho bisogno di qualcuno che sia (1) non sia italiano (2) abbia voglia di fare qualche esperimento. Se possedete questi requisiti e vi va di esplorare la cosa fatevi avanti!

References

References
1 Ricordo specificatamente uno spot in cui veniva mostrata un’isola tropicale e un’ammiccante ragazza “hawaiana” che non diceva altro che “Benvenuti su Aruba”. Pare però che l’interwebs non abbia memoria di questo pietra miliare della pubblicità, purtroppo.
2 Bellissima anche la premessa: «Le possiamo dire che non abbiamo ricevuto altre segnalazioni come la sua però questo non significa che non ci siano altri clienti che utilizzano servizi tor».
3 Se vi interessa, la mia risposta è stata: «Questo lo dice lei».

2 pensieri su “Gestire un nodo di uscita Tor su Aruba (ArubaCloud): un resoconto dettagliato

  1. Fico, non sapevo avessi un exit node :) una domanda: tempo fa anche io avevo un nodo, il mio problema più grosso è stato che ad un certo punto delle blacklist (sectoor.de, mai sentita prima) hanno listato tutta la subnet /24. non potendo sbloccare il singolo IP ho dovuto cedere alle esigenze dell’ISP di non avere tutta la rete bloccata. Ti è mai capitato?

  2. Ciao,

    Come dico sopra e in questo commento l’unico problema legato allo spam che ho avuto era legato a questo servizio WebIron, che ha identificato il nodo come sorgente di attacchi bruteforce. Per ora non ho avuto altri problemi simili.

I commenti sono chiusi.