In questi giorni mi è arrivato un nuovo complaint dal mio ISP (Aruba) relativo al mio nodo di uscita Tor. Dopo il primo giro di mail (ovvero la consueta comunicazione iniziale priva di dettagli[1]se non un generico “abbiamo ricevuto delle segnalazioni relativamente al server a lei intestato, in quanto dal medesimo verrebbero generate attività non conformi alla Policy di utilizzo dei … Continue reading e la mia risposta standard), mi è stata girata la segnalazione originale.
La segnalazione
La segnalazione originale consiste di due parti, una in inglese e l’altra in italiano.
La parte in inglese non contiene moltissime informazioni, se non che la segnalazione proviene dal Kazakhstan National Computer Emergency Response Team (KZ-CERT, kz-cert.kz) e che la pagina attaccata faceva parte del sito per Expo 2017, che si terrà ad Astana, in Kazakistan[2]Voce su “Expo 2017” su Wikipedia.. La pagina in questione contiene una form di login e infatti la segnalazione parla di un attacco bruteforce.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
Good day, KZ-CERT as a responsible entity for the coordination of security incidents that could harm kazakhstan citizens and/or companies, has been made awareof bruteforce attempts perpertrated from the IP [redacted] under your consistuency. Attacked: [redacted] Time & date: 18th of july 2016, 17:24 p.m. (GMT +06:00) Hope for your further cooperation. Best regards, Computer emergency responce team KZ-CERT [redacted] kz-cert.kz |
La seconda parte della segnalazione – la cui provenienza non mi è del tutto chiara – suggerisce che l’origine del problema possa essere un trojan chiamato “Tinba” per il quale vengono anche linkati per approfondimento il blog Avast e quello di TrendLabs Security Intelligence.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
Buongiorno, Nell’ambito delle nostre attività di infosharing siamo venuti a conoscenza da fonti semi-aperte di macchine appartenenti alla Vostra rete/clientela e probabilmente infettate dalla famiglia di banking malware Tinba (vedere per es.: https://blog.avast.com/2014/09/15/ tiny-banker-trojan-targets-customers-of-major-banks-worldwide/, http:// blog.trendmicro.com/trendlabs-security-intelligence?s=tinba), uno stealer di credenziali noto per la sua compattezza. In allegato la lista completa delle macchine appartenenti alla Vostra rete. Legenda dei campi: ID: identificativo unico coppia IP/botname IP: IP infetto ASN: sistema autonomo CC: country code LASTSEEN: timestamp (in UTC) ultima rilevazione TIMESTAMP: campo precedente tradotto in formato datetime BOTNAME: nome botnet/malware DOMAIN: dominio del C&C REMOTE_IP: IP del C&C REMOTE_PORT: porta destinazione LOCAL_PORT: porta sorgente PROTOCOL: protocollo utilizzato FIRSTSEEN/DATAORAMODIFICA: riferimenti temporali interni della rilevazione La presente per opportuna informazione e per ogni azione che riterrete opportuno intraprendere a tutela della Vostra rete e della Vostra clientela. Cordiali saluti, id;ip;asn;cc;lastseen;timestamp;botname;domain;remote_ip;remote_port;local_port;protocol;firstseen;dataoramodifica [redacted] Distinti saluti. |
Sta di fatto che ho deciso di preparare una risposta in inglese – che ho inviato in copia anche a KZ-CERT – mettendo insieme un paio di template di risposta presi dal wiki di Tor e da torservers.net, un’associazione tedesca che gestisce svariati nodi Tor collettivamente.
Per ironia della sorte in uno dei template da cui ho preso spunto viene citato proprio il Kazakistan che è un paese che sta avendo i suoi problemi con la liberta di stampa, come dice Wikipedia[3]In particolare la voce “Media of Kazakhstan” su enwiki. Anche John Oliver ne parla velocemente in questo pezzo sulle candidature per le Olimpiadi invernali del 2022.:
«La costituzione del Kazakistan garantisce la libertà di stampa, ma i media controllati da privati o dall’opposizone sono stati soggeti a censura.
Nel 2004 la Federazione Internazione dei Giornalisti [International Federation of Journalists. ndT] ha identificato un “trend in crescita” delle intimidazioni a carico dei media e nel 2012 diversi organi di stampa dell’opposizione sono stati soppressi a seguito di accuse di promozione dell'”estremismo”.»
UPDATE: leggendo questo articolo sui [Pluggable Transpoorts](Breaking through censorship barriers, even when Tor is blocked): “Breaking through censorship barriers, even when Tor is blocked” ho visto che in questa immagine viene detto che Tor è bloccato in Kazakistan.
La mia risposta (in inglese)
Ecco la mia risposta:
Dear KZ-CERT computer emergency responce team,
The IP address in question ([redacted]) is a Tor exit node. https://www.torproject.org/overview.html
There is little I can do to trace this matter further. As can be seen from the overview page, the Tor network is designed to make tracing of users impossible. The Tor network is run by some 5000 volunteers who use the free software provided by the Tor Project to run Tor routers.
Client connections are routed through multiple relays, and are multiplexed together on the connections between relays. The system does not record logs of client connections or previous hops. This is because the Tor network is a censorship resistance, privacy, and anonymity system used by whistle blowers, journalists, Chinese dissidents skirting the Great Firewall, abuse victims, stalker targets, the US military, and law enforcement, just to name a few. See https://www.torproject.org/about/torusers.html.en for more info.
Unfortunately, some people misuse the network. However, compared to the rate of legitimate use (the IP in question processes circa 100 megabit of traffic per second), abuse complaints are rare. https://www.torproject.org/docs/faq-abuse.html.en
We’re sorry to hear about this incident. It is not our goal to support or condone criminal activities. We provide our services to people behind censoring firewalls in oppressive regimes. Tor is key technology for Internet users and citizens in China, Iran, Syria, and also Kazakhstan and many other countries to be able to access uncensored media and exchange information freely. We strongly stand for this and see it as a modern human right. Unfortunately, this means we have to take a close watch on illegal activities and abuse of anonymizing technology like Tor.
Please understand that Tor makes it technically impossible to single out individual users.
I have provided to block the destination IP address indicated in this report ([redacted]), but please note that these types of blocks because they will affect all users of Tor, not only the “bad apples”. You can also simply block Tor users on your end. If you need help with that, let me know. If levels of abuse turn out to become too high, please consider to lift the block after some time so friendly users of Tor can again access your resources.
Thanks for your understanding! Please use this email address to best reach me should any issues arise.
La mia risposta (in italiano)
Riporto di seguito una traduzione in italiano:
Gentile team KZ-CERT,
L’indirizzo IP in questione ([omissis]) è un nodo di uscita Tor. https://www.torproject.org/overview.html
Non c’è molto che possa fare per investigare questa segnalazione ulteriormente. Come si può vedere nella pagina esplicativa di cui sopra, il network Tor è progettato per rendere impossibile il tracciamento degli utenti. Il network Tor è gestito da circa 5000 volontari che usano il software libero fornito dal Progetto Tor per fare girare i router Tor.
Le connessioni dei client sono instradate attraverso diversi relay e multiplexate insieme nelle connessioni tra relay. Il sistema non registra alcun log delle connessioni dei client o dei salti precedenti. Questo è dovuto al fatto che il network Tor è un sistema che nasce per combattere la censura, per promuovere la privacy e l’anonimato. Il sistema è usato tra gli altri da whistleblowers, giornalisti, dissidente cinesi che vogliono aggirare il Grande Firewall, vittime di abusi e stalker, dall’esercito statunitense e dalle forze dell’ordine, per fare alcuni esempi. Alla pagina https://www.torproject.org/about/torusers.html.en sono disponibili maggiori informazioni.
Sfortunatamente, alcune persone usano questo network in modo scorretto. Tuttavia, confrontati al traffico legittimo (l’IP in questione [quello del nodo, ndA] processa circa 100 Mbit di traffico al secondo), i casi di abuso sono rari. https://www.torproject.org/docs/faq-abuse.html.en
Mi dispiace che si sia verificato questo problema. Non è mia intenzione supportare o condonare in alcun modo alcuna attività criminale. Il servizio è fornito con lo scopo che le persone che vivono in regimi oppressivi e limitati da firewall e censure possano accedere alle informazioni che cercano liberamente. Tor è una tecnologia chiave per gli utenti di internet ed i cittadini di Cina, Iran, Sira e anche del Kazakistan e di molti altri paesi che permette loro di accedere a media non censurati e scambiare liberamente informazioni e notizie.
Credo e mi batto formente per questo diritto e lo vedo come un diritti umano fondamentale nella società moderna. Sfortunatamente, questo significa anche che è necessario vigilare continuamente per evitare che prolifino attività illegali o abusi perpretati attraverso tecnologie di anomizzazione, come appunto Tor.
Vi prego di notare che Tor rende tecnicamente impossibile individuare singoli utenti.
Ho provveduto a bloccare l’indirizzo IP di destinazione riportato nel vostro report ([omissis]), ma vi prengo anche di notare che questi blocchi vanno a colpire tutti gli utenti di Tor, non solamente le “mele marce”. Potete anche semplicemente bloccare gli utenti Tor dal vostro lato. Se doveste avere necessità di aiuto con questa procedura, contattatemi pure. Se i livelli di abuso si dimostreranno troppo grandi e quindi procederete a un blocco completo della rete Tor, vi prego di considerare la possibilità di rimuovere il blocco dopo un certo periodo di tempo cosicché gli utenti di Tor con scopi legittimi possano accedere nuovamente alle vostre risorse.
Vi ringrazio per la compresione! Potete inviarmi ulteriori comunicazioni, nel caso in cui si verifichino nuovi problemi, sempre a questo indirizzo mail.
Considerazioni conclusive, ovvero, a cosa serve Tor
Ho pensato per un po’ se citare il Kazakistan nella risposta (dato che, da quanto ho capito, KZ-CERT è un organismo governativo), sta di fatto che è importante informare tutti che:
- il progetto Tor in primis non condona alcun uso illegale di Tor. Ovviamente posso dire lo stesso anche personalmente come operatore di un nodo di uscita. Chi usa Tor per scopi illegali danneggia il progetto;
- Tor è uno strumento software che server per garantire e permettere l’esercizio – attraverso una migliore protezione della privacy e dell’anonimato in rete – dei diritti umani fondamentali delle persone;
- Tor, come qualsiasi altro strumento, può essere usato anche in modo scorretto o per attività illegali che vanno contrastate;
Tutto questo è delineato molto chiaramente nel “Tor Project Social Contract”, il contratto sociale del progetto Tor, che è in discussione sulla mailing list del progetto Tor proprio in questi giorni.
References
| ↑1 | se non un generico “abbiamo ricevuto delle segnalazioni relativamente al server a lei intestato, in quanto dal medesimo verrebbero generate attività non conformi alla Policy di utilizzo dei servizi Aruba”. |
|---|---|
| ↑2 | Voce su “Expo 2017” su Wikipedia. |
| ↑3 | In particolare la voce “Media of Kazakhstan” su enwiki. Anche John Oliver ne parla velocemente in questo pezzo sulle candidature per le Olimpiadi invernali del 2022. |