Update sul mio nodo di uscita Tor hostato su Aruba

TL;DR

Ho trasformato (spero momentaneamente) il mio nodo di uscita in un middle relay a seguito di una segnalazione di “abusi” ricevuta da Aruba per la quale non hanno saputo o non hanno voluto darmi ulteriori indicazioni se non il fatto che mi avrabbero disconesso la macchina dalla rete alla ricezione di una nuova segnalazione.

PREMESSA

A novembre 2015 ho inziato a gestire un nodo di uscita Tor – in modo volontario, esattamente come fanno moltissimi altre persone che donano banda e server al progetto Tor. Dato che i nodi di uscita sono i punti in cui le connessioni escono dalla rete Tor per raggiungere i siti internet (nella “clearnet”), sono ovviamente più difficili da gestire perché ogni attività malevola o problematica (spambot, attacchi informatici, ecc.) che va a colpire un sito internet e che venga compiuta abusando della rete Tor sembra provenire da uno dei nodi di uscita. Per questo motivo alcuni ISP vietano la possibilità di usare i loro servizi per offire nodi di uscita Tor nei propri termini d’uso.

Ho ricevuto il primo complaint pochi giorni dopo aver attivato il nodo di uscita. Si trattava, in quel caso, di una mail automatica prodotta da un servizio di internet security per siti web che avava individuato un tentativo di attacco bruteforce a un sito WordPress installato da uno dei loro clienti. Sebbene questo tipo di mail siano abbastanza comuni ed il problema potesse essere risolto con altri mezzi indipendenti da Tor, nelle prime settimane sono stato contattato svariate volte dal servizio clienti di Aruba. Ho raccontato l’esperienza dei primi 6 mesi in modo più dettagliato in un altro blog post ad aprile 2016.

Successivamente a quel post, l’unica altra segnalazione che ho ricevuto riguardava un altro tentativo di bruteforce su un’installazione WordPress riguardante il sito dell’Expo 2017 di Astana, in Kazakistan.

IL FATTO

Giovedì 29 giugno scorso ho ricevuto una mail nel primo pomeriggio contenente la usuale comunicazione standard1 del fatto che sono state segnalate delle attività anomale provenienti dal mio server. Come al solito questa prima comunicazione non contiene alcun elemento utile per capire il problema. In aggiunta, contestualmente mi è arrivata una notifica di sospensione del servizio2. In termini pratici questo significa che il server è stato spento ed mi è stato disabilitato l’accesso al loro pannello di controllo, cosa che di fatto mi rendeva impossibile intervenire in alcun modo sul server.

Dopo aver letto questa mail (poco dopo le 19:00) ho subito risposto con la consueta e-mail che spiega cos’è Tor.

Il giorno successivo, il 30 giugno, ho ricevuto la risposta di Aruba dove mi è stato ribadito ulteriorme che, secondo il loro contratto, sono responsabile anche del traffico generato da terze parti3. Al che gli ho ribadito che non solo ero consapevole dei termini del contratto, ma che essendomi stati disabilitati gli accessi e spenta la macchina c’era ben poco che potessi fare e che rimanevo in attesa di indicazioni da parte loro.

Con la successiva mail – quest’ultima arrivata alle 17:33 – mi hanno comunicato che hanno riattivato il mio account. Aggiungevano però anche che «Qualora perverrà una nuova comunicazione di attacco o attività malevole dalla Sau [sic] macchina sarà necessario procedere all’inizializzazione della stessa perchè non verrà nuovamente connessa alla rete pubblica.»4

Per quanto fossi parzialmente soddisfatto del fatto che mi avessero riabilitato l’accesso al pannello di controllo non avevo intenzione di riavviare la macchina fino a che non mi avrebbero spiegato quale era stata la ragione della segnalazione iniziale. Purtroppo alla mia ulteriore richiesta di informazioni (a questo punto si trattava della terza mail che gli scrivevo chiedendogli qualche informazione aggiuntiva) mi hanno risposto che non erano disponibili altre informazioni5

Ho provato ulteriormente a cercare di saperne di più contattando il loro call center il giorno successivo (sabato 1 luglio), ma non ho ricevuto altre informazioni.

QUINDI…

Questa situazione mi ha infastidito abbastanza perché non mi permette di capire quale sia stata la segnalazione che ha dato origine a tutto il problema e quindi non mi permette di intervenire in alcun modo, anche qualora fosse stato possibile. Mi sembra un pretesto perfetto per interrompere il servizio.

Ho deciso per il momento di trasformare il nodo di uscita in un middle relay, per essere sicuro per qualche mese di non ricevere ulteriori segnalazioni e non dare ulteriori pretesti ad Aruba per interferire con la mia macchina. Rimane il fatto che in oltre 19 mesi di servizio e una media di 8 TB al mese di traffico (in ricezione e trasmissione) ho ricevuto ben 5 segnalazioni di abuso di cui 3 tentativi di attacco bruteforce a installazioni WordPress (che avrebbero potuto molto probabilmente essere bloccati con altri mezzi) e un falso positivo.

A distanza di un anno e mezzo sono sorpreso dalla quantità di segnalazioni che ho ricevuto, nel senso che ne ho ricevute molte meno di quante pensassi.

Per questo sono abbastanza sopreso dalla reazione di Aruba, che non mi spiego se non con l’idea generica che probabilmente è un carico di lavoro maggiore per loro della classica applicazione web o del classico sito internet costruito con un CMS. In ogni caso penso che una segnalazione ogni 4 mesi sia assolutamente gestibile.

Ho trasformato (spero momentaneamente) il mio nodo di uscita in un middle relay e lo terrò in questa modalità per i prossimi 3 mesi di modo da poter essere più tranquillo per i prossimi mesi. Spero comunque di poter poi tornare ad essere un nodo di uscita.

Share on Facebook23Tweet about this on TwitterShare on Reddit0Buffer this pageFlattr the author

  1. Eccola qui riportata per intero:

  2. Ecco qui l’altra mail: