TL;DR
Ho trasformato (spero momentaneamente) il mio nodo di uscita in un middle relay a seguito di una segnalazione di “abusi” ricevuta da Aruba per la quale non hanno saputo o non hanno voluto darmi ulteriori indicazioni se non il fatto che mi avrabbero disconesso la macchina dalla rete alla ricezione di una nuova segnalazione.
PREMESSA
A novembre 2015 ho inziato a gestire un nodo di uscita Tor – in modo volontario, esattamente come fanno moltissimi altre persone che donano banda e server al progetto Tor. Dato che i nodi di uscita sono i punti in cui le connessioni escono dalla rete Tor per raggiungere i siti internet (nella “clearnet”), sono ovviamente più difficili da gestire perché ogni attività malevola o problematica (spambot, attacchi informatici, ecc.) che va a colpire un sito internet e che venga compiuta abusando della rete Tor sembra provenire da uno dei nodi di uscita. Per questo motivo alcuni ISP vietano la possibilità di usare i loro servizi per offire nodi di uscita Tor nei propri termini d’uso.
Ho ricevuto il primo complaint pochi giorni dopo aver attivato il nodo di uscita. Si trattava, in quel caso, di una mail automatica prodotta da un servizio di internet security per siti web che avava individuato un tentativo di attacco bruteforce a un sito WordPress installato da uno dei loro clienti. Sebbene questo tipo di mail siano abbastanza comuni ed il problema potesse essere risolto con altri mezzi indipendenti da Tor, nelle prime settimane sono stato contattato svariate volte dal servizio clienti di Aruba. Ho raccontato l’esperienza dei primi 6 mesi in modo più dettagliato in un altro blog post ad aprile 2016.
Successivamente a quel post, l’unica altra segnalazione che ho ricevuto riguardava un altro tentativo di bruteforce su un’installazione WordPress riguardante il sito dell’Expo 2017 di Astana, in Kazakistan.
IL FATTO
Giovedì 29 giugno scorso ho ricevuto una mail nel primo pomeriggio contenente la usuale comunicazione standard[1]Eccola qui riportata per intero:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 |
Gentile Cliente, abbiamo ricevuto delle segnalazioni relativamente al server a lei intestato, in quanto dal medesimo verrebbero generate attività non conformi alla Policy di utilizzo dei servizi Aruba. Come previsto dall’articolo 10 del contratto, il Servizio è stato sospeso; la invitiamo, pertanto, a verificare il fondamento delle segnalazioni pervenuteci e se del caso, ad intraprendere le necessarie azioni verificando anche la sicurezza delle applicazioni. Le chiediamo di dare un cortese riscontro alla presente, entro le successive 72 h, al fine di verificare se sia possibile riattivare il Servizio. Ricordiamo che in assenza di una sua risposta, troverà applicazione l’articolo 12.1 del contratto ed il Servizio verrà cessato. Siamo a sua disposizione per ogni necessità di chiarimento e assistenza. Cordiali saluti. ________________________________________________ Customer Care Cloud & Servizi Data Center Aruba S.p.A. [cut] ________________________________________________ Dear Customer, we have received complaints concerning the server in your name, it seems that activities which are not compliant with the Aruba Service Policy have been generated from said server. In accordance with article 10 of the contract, the Service has been suspended; we therefore ask you to verify the grounds of these complaints and, if required, take the necessary action also by checking the security of the applications. Please reply to this email, within the next 72 hrs, so we can verify if it is possible to activate the Service again. We remind you that by failing to reply, article 12.1 of the contract will be applied and the Service will be cancelled. Do not hesitate to contact us for any further information and support. Kind regards. ________________________________________________ Customer Care Cloud & Servizi Data Center Aruba S.p.A. [cut] ________________________________________________ Distinti saluti. _____________________________________________ Customer Care Aruba Cloud.it |
del fatto che sono state segnalate delle attività anomale provenienti dal mio server. Come al solito questa prima comunicazione non contiene alcun elemento utile per capire il problema. In aggiunta, contestualmente mi è arrivata una notifica di sospensione del servizio[2]Ecco qui l’altra mail:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
L'utente [cut] è stato sospeso. È stata avviata la procedura di disabilitazione delle relative risorse in data 29/06/2017 alle ore 14:26. _____________________________________________ Customer Care Aruba Cloud.it www.cloud.it assistenza.aruba.it [cut] _____________________________________________ |
. In termini pratici questo significa che il server è stato spento ed mi è stato disabilitato l’accesso al loro pannello di controllo, cosa che di fatto mi rendeva impossibile intervenire in alcun modo sul server.
Dopo aver letto questa mail (poco dopo le 19:00) ho subito risposto con la consueta e-mail che spiega cos’è Tor.
Il giorno successivo, il 30 giugno, ho ricevuto la risposta di Aruba dove mi è stato ribadito ulteriorme che, secondo il loro contratto, sono responsabile anche del traffico generato da terze parti[3]
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
Gentile Cliente, Le ricordiamo che il proprietario è responsabile di ogni attività del proprio server (anche se questa è generata da terze parti). Si invita pertanto a rivedere l'utilizzo del server per evitare la successiva cancellazione definitiva del servizio. Restiamo a sua disposizione, Distinti saluti. _____________________________________________ Customer Care Aruba Cloud.it www.cloud.it assistenza.aruba.it [cut] _____________________________________________ |
. Al che gli ho ribadito che non solo ero consapevole dei termini del contratto, ma che essendomi stati disabilitati gli accessi e spenta la macchina c’era ben poco che potessi fare e che rimanevo in attesa di indicazioni da parte loro.
Con la successiva mail – quest’ultima arrivata alle 17:33 – mi hanno comunicato che hanno riattivato il mio account. Aggiungevano però anche che «Qualora perverrà una nuova comunicazione di attacco o attività malevole dalla Sau [sic] macchina sarà necessario procedere all’inizializzazione della stessa perchè non verrà nuovamente connessa alla rete pubblica.»[4]
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
Gentile Cliente, Le confermiamo che abbiamo provveduto ad attivare nuovamente il Suo account. Qualora perverrà una nuova comunicazione di attacco o attività malevole dalla Sau macchina sarà necessario procedere all'inizializzazione della stessa perchè non verrà nuovamente connessa alla rete pubblica. Restiamo a Sua disposizione. Distinti saluti. _____________________________________________ Customer Care Aruba Cloud.it www.cloud.it assistenza.aruba.it [cut] _____________________________________________ |
Per quanto fossi parzialmente soddisfatto del fatto che mi avessero riabilitato l’accesso al pannello di controllo non avevo intenzione di riavviare la macchina fino a che non mi avrebbero spiegato quale era stata la ragione della segnalazione iniziale. Purtroppo alla mia ulteriore richiesta di informazioni (a questo punto si trattava della terza mail che gli scrivevo chiedendogli qualche informazione aggiuntiva) mi hanno risposto che non erano disponibili altre informazioni[5]
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
Gentile Cliente, Le confermiao che non sono disponibili ulteriori informazioni rispetto a quelle già comunicatele. Restiamo a Sua disposizione. Distinti saluti. _____________________________________________ Customer Care Aruba Cloud.it www.cloud.it assistenza.aruba.it [cut] _____________________________________________ |
Ho provato ulteriormente a cercare di saperne di più contattando il loro call center il giorno successivo (sabato 1 luglio), ma non ho ricevuto altre informazioni.
QUINDI…
Questa situazione mi ha infastidito abbastanza perché non mi permette di capire quale sia stata la segnalazione che ha dato origine a tutto il problema e quindi non mi permette di intervenire in alcun modo, anche qualora fosse stato possibile. Mi sembra un pretesto perfetto per interrompere il servizio.
Ho deciso per il momento di trasformare il nodo di uscita in un middle relay, per essere sicuro per qualche mese di non ricevere ulteriori segnalazioni e non dare ulteriori pretesti ad Aruba per interferire con la mia macchina. Rimane il fatto che in oltre 19 mesi di servizio e una media di 8 TB al mese di traffico (in ricezione e trasmissione) ho ricevuto ben 5 segnalazioni di abuso di cui 3 tentativi di attacco bruteforce a installazioni WordPress (che avrebbero potuto molto probabilmente essere bloccati con altri mezzi) e un falso positivo.
A distanza di un anno e mezzo sono sorpreso dalla quantità di segnalazioni che ho ricevuto, nel senso che ne ho ricevute molte meno di quante pensassi.
Per questo sono abbastanza sopreso dalla reazione di Aruba, che non mi spiego se non con l’idea generica che probabilmente è un carico di lavoro maggiore per loro della classica applicazione web o del classico sito internet costruito con un CMS. In ogni caso penso che una segnalazione ogni 4 mesi sia assolutamente gestibile.
Ho trasformato (spero momentaneamente) il mio nodo di uscita in un middle relay e lo terrò in questa modalità per i prossimi 3 mesi di modo da poter essere più tranquillo per i prossimi mesi. Spero comunque di poter poi tornare ad essere un nodo di uscita.
