Antes de que Empieces

La mejor manera de manejar quejas por abuso es configurar a tu nodo de salida de manera que sea menos probable que sean enviadas en primer lugar. Mira Consejos para Ejecutar un Nodo de Salida con Acoso Mínimo y Pautas de Salida de Tor mira este documento para más información.

Debajo hay una colección de cartas que puedes usar para responder a tu ISP acerca de sus quejas respecto de tu servidor de salida Tor.

Formato y Filosofía de las Plantillas

El formato general de estas plantillas es informar a quien presenta la queja acerca de Tor, para ayudarle a encontrar una solución a su problema en particular que funcione para toda la extensión de Internet en general (WiFi abierto, proxies abiertos, botnets, etc), y excluyendo todo lo demás, cómo bloquear Tor. La filosofía del Tor Project es que el abuso debiera ser manejado proactivamente por los administradores del sitio, en vez de desperdiciar esfuerzo y recursos en la búsqueda de venganza y la caza de fantasmas.

La diferencia entre los abordajes proactivo y reactivo al abuso, es la diferencia entre la libertad de una Internet descentralizada y tolerante a las faltas, y un control totalitario frágil y corrompible. A riesgo de repetir lo obvio, las "licencias de conductor" de Internet basadas en identidad de Corea del Sur y China no han hecho nada para truncar el cibercrimen y el abuso en línea. De hecho, toda la evidencia objetiva parece indicar que solamente ha creado nuevos mercados para que el crimen organizado presida sobre ellos. Esta es la idea central que estas plantillas de queja por abuso intentan inculcar en el receptor. Siéntete libre de mejorarlas si consideras que no alcanzan este objetivo.

Todas la plantillas debieran incluir el Texto Estándar de abajo, y agregar algunos párrafos adicionales dependiendo del Escenario específico.

Texto Estándar (Introducción a Tor)

La dirección IP en cuestión es un nodo de salida Tor.
https://2019.www.torproject.org/about/overview.html.en

Es poco lo que podemos hacer para seguir más este asunto.
Como se puede ver en la página de descripción general, la red Tor está diseñada para hacer imposible el rastreo de usuarios.
La red Tor la gestionan unos 5000 voluntarios que utilizan el software libre proporcionado por el Proyecto Tor para ejecutar enrutadores de Tor.
Las conexiones de clientes se enrutan a través de múltiples repetidores, y son multiplexadas juntas en las conexiones entre repetidores.
El sistema no registra las conexiones de clientes o de saltos previos.

Esto es porque la red Tor es un sistema de privacidad y anonimato resistente a la censura, usado por informantes, periodistas, disidentes Chinos contorneando al Gran Cortafuegos, víctimas de abuso, personas acosadas, militares estadounidenses, y policías, solo por nombrar unos pocos.
Mira https://www.torproject.org/about/torusers.html.en para más información.

Desafortunadamente, algunos hacen un mal uso de la red. Sin embargo, en comparación con la tasa de uso legítimo (el rango de IP en cuestión procesa casi un gigabit de tráfico por segundo), [las denuncias de abuso son raras](https://support.torproject.org/abuse/).

Escenarios de abuso

Los siguientes párrafos para escenarios específicos debieran ser agregados a los párrafos de Texto Estándar de arriba. El texto estándar debería ser abreviado u omitido si quien presenta la queja por abuso ya está familiarizado con Tor.

Contenido no Solicitado en Comentarios/Foro

Sin embargo, esto no significa que no pueda hacerse nada.

El Tor Project provee una DNSRBL automatizada para que consultes, para señalar posteos provenientes de nodos Tor como requiriendo revisión especial.
También puedes usar esta DNSRBL para permitir que las IPs que vienen de Tor lean comentarios, pero que no puedan publicar https://www.torproject.org/projects/tordnsel.html.en

Sin embargo, sé consciente que este puede ser solo un imbécil entre muchos usuarios de Tor legítimos que usan tus foros.
Puedes tener suerte deshaciéndote de este imbécil limitando temporariamnete la creación de cuentas, requiriendo cuentas de Gmail antes de postear, o requiriendo que la creación de cuentas no sea hecha sobre Tor antes de postear.

En general, creemos que problemas como este son mejor resueltos mejorando tu servicio para defenderte en contra del ataque desde la Internet en toda su esxtensión.
Intentos de inicio de sesión por fuerza bruta pueden ser reducidos/desacelerados por Captchas, el camino elegido por Gmail para este mismo problema.
De hecho, Google provee un servicio gratis de Captcha, junto con el código para su fácil inclusión en un número de sistemas, para ayudar a otros sitios a tratar
con esta cuestión: https://code.google.com/apis/recaptcha/intro.html

Repetidor de PHP o correo electrónico no solicitado de una cuenta de webmail contaminada

En adición, nuestros nodos no permiten que el tráfico SMTP se envíe usando nuestras IPs.
Luego de una investigación, parece que la fuente del correo electrónico no solicitado es debida a una puerta de enlace de webmail abusiva o comprometida, corriendo en:
<web server here>.
¿Contactaste su departmento de abuso?

Correo Electrónico No Solicitado en Google Groups

Pareciera que tu queja específica de abuso fue generada por un usuario autenticado de Google Groups.
La inspección de los encabezados revela que la dirección para las quejas de abuso para Google Groups es groups-abuse@google.com.
Al contactar a esta dirección tendrás mejor suerte para hacer que la cuenta de Google Groups de este abusador sea cancelada, que al estar persiguiendo nodos Tor, proxies, y puntos de acceso inalámbricos abiertos.

Adicionalmente, si tu lector de noticias soporta killfiles, puede que te interese usar el script TorBulkExitList para descargar una lista de IPs para incluir en tu killfile, para posteos que coinciden con "NNTP-Posting-Host:
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py

Ataques DoS y Robots de Extracción de Datos

Sentimos que tu sitio esté experimentando esta carga pesada causada por Tor.

Sin embargo, es posible que tus alarmas de limitación de tasa simplemente experimentaran un falso positivo debido a la cantidad de tráfico que fluye a través del enrutador.
Proveemos servicio a casi un gigabit de tráfico por segundo, 98% del cual es tráfico web.

Si el ataque es real y está en progreso, el Tor project provee una DNSRBL automatizada para que consultes, para bloquear intentos de inicio de sesión provenientes de nodos Tor: https://www.torproject.org/projects/tordnsel.html.en

También puedes descargar una lista de todos los IPs de salidas Tor que se conectarán al puerto de tu servidor:
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80

Sin embargo, en general, creemos que problemas como este son mejor resueltos mejorando al servicio para defenderlo en contra del ataque desde la Internet en toda su extensión.

Las actividades de extracción de datos y robots pueden ser reducidas/desaceleradas por Captchas, que es lo que hace Gmail para este mismo problema.
De hecho, Google provee un servicio gratis de Captcha, junto con el código para su fácil inclusión en un número de sistemas, para ayudar a otros sitios a tratar con esta cuestión: https://code.google.com/apis/recaptcha/intro.html

Ataques DoS lentos [apuntados a consumir el límite MaxClients de Apache](http://www.guerilla-ciso.com/archives/2049) pueden ser aliviados al reducir los valores de configuración TimeOut y KeepAliveTimeout en httpd.conf a 15-30, y elevar los valores de ServerLimit y MaxClients hasta algo como 3000.

Si esto falla, los intentos de DoS también pueden ser resueltos con soluciones limitadoras de tasa basadas en iptables, equilibradores de carga tales como nginx, y también dispositivos IPS, pero sé consciente que el tráfico de Internet no siempre es uniforme en cantidad por IP, debido a grandes outproxies corporativos e incluso nacionales, NATs y servicios como Tor.
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/

Ataques Web de Fuerza Bruta

Sentimos que tu cuenta haya sido asaltada por fuerza bruta. Podemos intentar prevenir que nuestro nodo se conecte a este sitio, pero como la red Tor tiene cerca de 800 salidas, el hacerlo no detendría esa acción a largo plazo.
El atacante probablemente solo encadenaría un proxy abierto después de Tor, usaría WiFi abierto y/o un proxy sin Tor.

El Tor Project provee una DNSRBL automatizada para que consultes, para marcar solicitudes provenientes de nodos Tor como requiriendo tratamiento especial: https://www.torproject.org/projects/tordnsel.html.en

En general, creemos que problemas como este se resuelven más fácilmente mejorando el servicio para defenderlo en contra del ataque desde la Internet en toda su extensión, en vez de adaptar su comportamiento específicamente para Tor.
Intentos de inicio de sesión por fuerza bruta pueden ser reducidos/desacelerados por Captchas, el camino elegido por Gmail para este mismo problema.
De hecho, Google provee un servicio gratis de Captcha, junto con el código para su fácil inclusión en un número de sistemas, para ayudar a otros sitios a tratar con esta cuestión: https://code.google.com/apis/recaptcha/intro.html

Intentos de Fuerza Bruta en SSH

Si estás preocupado acerca de escaneos SSH, puedes considerar correr tu SSHD en un otro puerto que no sea el 22 por defecto.
Muchos gusanos, escaneadores, y botnets escanean el Internet completo buscando inicios de sesión SSH.
El hecho que unos pocos inicios de sesión han provenido desde Tor es probablemente una pequeña desviación en tu tasa general de intentos de inicio de sesión.
También puedes considerar una solución de limitación de tasa: https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/

Si de hecho es un problema serio específico de Tor, el Tor project provee una DNSRBL automatizada para que consultes, para bloquear intentos de inicio de sesión provenientes de nodos Tor: https://www.torproject.org/projects/tordnsel.html.en

También es posible descargar una lista de todos los IPs de salidas Tor que se conectarán a tu puerto SSH: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22

Puedes usar esta lista para crear reglas de iptables para bloquear la red.
Sin embargo, aún recomendamos usar el abordaje general, ya que simplemente el ataque probablemente reaparezca desde un proxy abierto u otro IP una vez que Tor esté bloqueado.

Cuentas Hackeadas de Gmail, Foro Web, o Acceso Misceláneo

Con respecto a tu cuenta, dado que el atacante usó Tor y no una gran botnet (o el mismo IP de tu máquina), es probable que tu contraseña fuera o bien extraída de tu máquina desde un grabador de teclas, o bien capturada desde un kiosko, o un WiFi abierto.

Nuestra recomendación es considerar este evento como si hubiera un inicio de sesión desde un punto de acceso inalámbrico abierto en tu ciudad. Restablece tu contraseña, y si todavía no tienes un antivirus, descarga gratis AVG: http://free.avg.com/es-es/download, Spybot SD: https://www.safer-networking.org/, y/o AdAware: http://www.lavasoft.com/?domain=lavasoftusa.com.
Úsalos para escanear y comprobar en tu ordenador si alguien con acceso pudiera haber instalado keyloggers o spyware.

Para ayudar a protegerte a tí mismo mientras usas Wi-Fi abierto, considera usar este complemento para Firefox: <https://www.eff.org/https-everywhere/> y alentar a quien mantiene el sitio para soportar inicios de sesión sobre HTTPS.

Hackeo (Entornos de comando web en PHP, ejecución de scripts a través de sitios cruzados, Inyección SQL)

Esto tampoco significa que no pueda hacerse nada.
Para incidentes serios, las técnicas tradicionales del trabajo policíaco de ejecutar operaciones de señuelo, e investigar para determinar medios, motivos, y oportunidad aún son muy efectivas.

Además, el Tor Project provee una DNSRBL automatizada que puedes consultar, y que marca a los visitantes provenientes de nodos Tor para tratamiento especial: https://www.torproject.org/projects/tordnsel.html.en.
La misma lista está disponible a través de la Lista Completa de Salidas Tor: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Sin embargo, en vez de evitar que usuarios legítimos de Tor usen tu servicio en general, recomendamos asegurar que tales servicios sean actualizados y mantenidos para librarlos de vulnerabilidades que puedan conducir a situaciones tales como estas (ejecución de comandos en entornos web en PHP/compromiso por ejecución de scripts a través de sitios cruzados/compromiso por inyección SQL).

Fraude en Comercio electrónico

Esto tampoco significa que no pueda hacerse nada.
Para incidentes serios, las técnicas tradicionales del trabajo policíaco de ejecutar operaciones de señuelo, e investigar para determinar medios, motivos, y oportunidad aún son muy efectivas.

Adicionalmente. el Tor Project provee una DNSRBL automatizada para que consultes, para marcar órdenes provenientes de nodos Tor como requiriendo revisión especial: https://www.torproject.org/projects/tordnsel.html.en

También provee un servicio de Lista Completa de Salidas: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Puedes usar esta lista para ayudarte a dar una mirada más cercana a las órdenes provenientes de Tor, o pausarlas temporariamente para verificación adicional, sin perder clientes legítimos.

De hecho, en mi experiencia, los equipos de procesamiento de fraude contratados por muchos ISPs, simplemente marcan todas las solicitudes provenientes de nodos Tor como fraude usando esa mismísima lista.
Por lo que aún es posible que esta sea una orden legítima, pero fue marcada como fraude solamente basándose en la dirección IP, especialmente cuando se contrata la detección de fraude a terceras partes.

Amenazas de Violencia (Consejos para una Discusión en Tiempo Real)

Si llega una queja de abuso seria que no está cubierta por este conjunto de plantillas, la mejor respuesta es seguir un patrón con la parte efectuando la queja. Esto no es un consejo legal. Esto no fue escrito o revisado por un abogado. Fue escrito por alguien con experiencia en trabajar con varios ISPs que habían tenido dificultades con un nodo de salida Tor en su red. También ha sido revisado por alguien que trabaja en Abuso en uno de los principales ISPs.

  • Lee la Introducción a Tor. Debes estar preparado para resumir y contestar preguntas básicas. Asume que la persona con la cual vas a conversar no conoce nada acerca de Tor. Asume que esta misma persona no va a confiar en nada de lo que digas.
    • En casos serios, tales como correos electrónicos de acoso o amenazas de muerte, a menudo es útil inferir una analogía con situaciones en el mundo físico donde una acción es perpetrada por un individuo anónimo (tal como entregar la esquela vía correo postal).
    • Recuérdales que el trabajo policial tradicional aún puede ser usado para determinar quién tuvo los medios, motivo, y oportunidad para cometer el crimen.
  • Acuerda con quien presenta la queja para hablar con él o enviarle directamente un correo electrónico.
  • Durante la conversación asegurate de explicar algunas cosas:
    • No eres el perpetrador del hecho.
    • Eres un operador del servidor, responsable y preocupado acerca del problema de quien presenta la queja.
    • No estás loco. Puedes estarlo, pero no queremos que quien presenta la queja suponga que esto es verdad.
  • En muchos casos, tu ISP va a estar involucrado como conducto para la queja de un tercero. Tu ISP quiere saber que:
    • Tu servidor no está comprometido.
    • Tu servidor no es un repetidor de correo electrónico no solicitado.
    • Tu servidor no es un troyano/zombie.
    • Eres un administrador competente del servidor, y puedes encarar la cuestión. Al menos mínimamente, puedes discutirla y responderla inteligentemente.
    • El ISP no tiene la culpa y no es responsable por tus acciones. Este es normamente el caso, pero la pobre persona en Abuso lidiando con estas cuestiones solo quiere escuchar que no es un problema del ISP. Va a continuar con su rutina cuando se sienta cómoda.
  • Discute las opciones. Opciones que se han ofrecido a los operadores de relays:
    • Es muy posible que la ISP/Denunciante exija ver los archivos de registro. Afortunadamente, de forma predeterminada, no se divulga nada confidencial. Es posible que desees una nueva ISP si exigen acceso a los archivos de registro ad hoc.
    • La ISP/Denunciante puede sugerirte que te conviertas en un nodo sin salida. En este caso, es bueno ofrecer a cambio una política de salida reducida, como la sugerida en elemento n.º 6 de lo publicado en el blog anterior .
    • El ISP o quien presenta la queja demanda que deshabilites Tor. Como resultado, podrías querer un nuevo ISP.
    • El ISP, o quien presenta la queja, afirman que no dejarán pasar por el firewall (cortafuego) el tráfico en los puertos por defecto. Como resultado, podrías querer un nuevo ISP.
    • Actualizar la configuración para no permitir el tráfico hacia un cierto rango de IPs desde tu nodo de salida. En vez, podrías querer sugerir a quien presenta la queja que use la DNSRBL de Tor.
  • Luego que todo haya sido discutido, ofrece una conversación más tarde dentro de una semana. Asegúrate que los cambios se implementen. Puede que ni el ISP ni quien presenta la queja quieran hacer esto, pero el hecho de que lo ofreciste juega a tu favor. Esto puede ayudar a que se sientan "cómodos" con vos.

Otros Conjuntos de Plantillas