Avant De Commencer

La meilleure façon de traiter les plaintes d'abus est de configurer votre nœud de sortie de manière à ce qu'elles soient moins susceptibles de se présenter en premier lieu. Veuillez consulter Astuces pour faire fonctionner un noeud de sortie avec un minimum de nuisances et Directives de sortie de Tor pour plus d'informations, avant de lire ce document.

Vous trouverez ci-dessous une série de lettres que vous pouvez utiliser pour répondre à votre fournisseur d'accès à Internet au sujet de sa plainte concernant votre serveur de sortie Tor.

Format et Philosophie des Modèles

Le format général de ces modèles est d'informer le plaignant sur Tor, de l'aider à trouver une solution à son problème particulier qui fonctionne en général pour l'Internet dans son ensemble (wifi ouvert, proxies ouverts, botnets, etc.), et à moins que cela ne soit le cas, comment bloquer Tor. La philosophie du projet Tor est que les abus doivent être traités de manière proactive par les administrateurs du site, plutôt que de gaspiller des efforts et des ressources à se venger et à chasser des fantômes.

La différence entre l'approche proactive et l'approche réactive des abus est la différence entre la liberté décentralisée et tolérante aux pannes de l'Internet et le contrôle totalitaire fragile et corruptible. En outre, les "permis de conduire" Internet basés sur l'identité de la Corée du Sud et de la Chine n'ont rien fait pour réduire la cybercriminalité et les abus sur l'Internet. En fait, toutes les preuves objectives semblent indiquer qu'elle n'a fait que créer de nouveaux marchés pour le crime organisé. C'est l'idée centrale que ces modèles de plainte pour abus tentent d'inculquer au destinataire. N'hésitez pas à les améliorer si vous estimez qu'ils ne répondent pas à cet objectif.

Tous les modèles doivent inclure le modèle commun ci-dessous et ajouter quelques paragraphes supplémentaires en fonction du scénario spécifique.

Texte Standard (Introduction a Tor)

L'adresse IP en question est un nœud de sortie Tor.
https://2019.www.torproject.org/about/overview.html.en

Il n'y a pas grand-chose que nous puissions faire pour retracer cette affaire.
Comme le montre la page de présentation, le réseau Tor est conçu pour rendre impossible le traçage des utilisateurs.
Le réseau Tor est géré par quelque 5 000 bénévoles qui utilisent le logiciel libre fourni par le projet Tor pour faire fonctionner les routeurs Tor.
Les connexions des clients sont acheminées via plusieurs relais et sont multiplexées sur les connexions entre les relais.
Le système n'enregistre pas les connexions des clients ni les sauts précédents.

En effet, le réseau Tor est un système de résistance à la censure, de protection de la vie privée et d'anonymat utilisé par les dénonciateurs, les journalistes, les dissidents chinois qui contournent le Great Firewall, les victimes d'abus, les cibles de harcèlement, l'armée américaine et les forces de l'ordre, pour n'en citer qu'une minorité.
Voir https://www.torproject.org/about/torusers.html.en pour plus d'informations.

Malheureusement, certaines personnes utilisent le réseau à mauvais escient. Toutefois, par rapport au taux d'utilisation légitime (la plage IP en question traite près d'un gigabit de trafic par seconde), [les plaintes pour abus sont rares](https://support.torproject.org/abuse/).

Scénarios d'Abus

Les paragraphes suivants, spécifiques à un scénario, doivent être annexés aux paragraphes du modèle commun ci-dessus. Les formules passe-partout courantes doivent être abrégées ou omises si le plaignant est déjà familiarisé avec Tor.

Spam de Commentaires/Forums

Cela ne signifie pas pour autant qu'il n'y a rien à faire.

Le projet Tor fournit un DNSRBL automatisé que vous pouvez interroger pour signaler les messages provenant de nœuds Tor comme nécessitant un examen particulier.
Vous pouvez également utiliser ce DNSRBL pour n'autoriser que les IP Tor à lire mais pas à poster des commentaires : https://www.torproject.org/projects/tordnsel.html.en

Cependant, sachez qu'il ne s'agit peut-être que d'un abruti parmi les nombreux utilisateurs légitimes de Tor qui utilisent vos forums.
Vous pourrez peut-être vous débarrasser de cet individu en limitant temporairement la création de comptes à des comptes Gmail avant la publication, ou en exigeant que la création de comptes se fasse par un moyen autre que Tor avant la publication.

En général, nous pensons que la meilleure façon de résoudre ce genre de problème est d'améliorer votre service pour vous défendre contre les attaques de l'internet en général.
Les tentatives de connexion par force brute peuvent être réduites/ralenties par des Captchas, ce qui est l'approche adoptée par Gmail pour ce même problème.
En fait, Google propose un service Captcha gratuit, avec un code permettant de l'inclure facilement dans un grand nombre de systèmes afin d'aider d'autres sites à traiter
avec ce numéro : https://code.google.com/apis/recaptcha/intro.html

Relais PHP ou Spam de Compte via Webmail Exploités

En outre, nos nœuds n'autorisent pas l'envoi de trafic SMTP à partir de nos adresses IP.
Après enquête, il apparaît que la source du spam est due à une passerelle webmail abusive ou compromise :
<serveur web>.
Avez-vous contacté le service des abus ?

Spam de Google Groupes

Il semble que votre plainte pour abus ait été déposée par un utilisateur authentifié de Google Groupes.
L'inspection des en-têtes révèle que l'adresse de plainte pour abus pour Google Groupes est groups-abuse@google.com.
En contactant cette adresse, vous aurez plus de chances de faire annuler le compte Google Groupes de cet agresseur qu'en traquant les nœuds Tor, les proxies et les points d'accès sans fil ouverts.

En outre, si votre lecteur de nouvelles prend en charge les killfiles, vous pouvez utiliser le script Tor Bulk Exit list pour télécharger une liste d'IP à inclure dans votre killfile pour les messages qui correspondent à "NNTP-Posting-Host :
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py

Attaques DoS et robots de scraping

Nous sommes désolés que votre site subisse une charge importante de la part de Tor.

Cependant, il est possible que vos alarmes de limitation de débit aient simplement enregistré un faux positif en raison de la quantité de trafic qui passe par le routeur.
Nous fournissons des services à près d'un gigabit de trafic par seconde, composé à 98 % de trafic web.

Si l'attaque est réelle et continue, le projet Tor fournit un DNSRBL automatisé que vous pouvez interroger pour bloquer les tentatives de connexion provenant des nœuds Tor : https://www.torproject.org/projects/tordnsel.html.en

Il est également possible de télécharger une liste de toutes les IP de sortie de Tor qui se connecteront au port de votre serveur :
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80

En général, cependant, nous pensons que les problèmes de ce type sont mieux résolus en améliorant le service pour se défendre contre les attaques de l'internet en général.

Le scraping et l'activité des robots peuvent être réduits/ralentis par des Captchas, ce qui est l'approche adoptée par Gmail pour ce même problème.
En fait, Google propose un service Captcha gratuit, avec un code facile à inclure dans un certain nombre de systèmes pour aider d'autres sites à résoudre ce problème : https://code.google.com/apis/recaptcha/intro.html

Les attaques DoS lentes [visant à consommer la limite MaxClients d'Apache](http://www.guerilla-ciso.com/archives/2049) peuvent être atténuées en réduisant les valeurs de configuration TimeOut et KeepAliveTimeout de httpd.conf à 15-30 et en augmentant les valeurs ServerLimit et MaxClients à quelque chose comme 3000.

Si cela échoue, les tentatives de DoS peuvent également être résolues avec des solutions de limitation de débit basées sur iptables, des équilibreurs de charge tels que nginx, et également des dispositifs IPS, mais sachez que le trafic Internet n'est pas toujours uniforme en quantité par IP, en raison des outproxies des grandes entreprises et même des pays, des NATs, et des services comme Tor.
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/

Attaques par Force Brute Web

Nous sommes désolés que votre compte ait fait l'objet d'une force brute. Nous pouvons essayer d'empêcher notre nœud de se connecter à ce site, mais étant donné que le réseau Tor a environ 800 sorties, cela n'empêcherait pas vraiment l'action à long terme.
L'attaquant enchaînerait probablement un proxy ouvert après Tor, ou utiliserait simplement un réseau sans fil ouvert et/ou un proxy sans Tor.

Le projet Tor fournit un DNSRBL automatisé que vous pouvez interroger pour marquer les requêtes provenant des noeuds Tor comme nécessitant un traitement spécial : https://www.torproject.org/projects/tordnsel.html.en

En général, nous pensons que les problèmes de ce type sont mieux résolus en améliorant le service pour se défendre contre l'attaque de l'Internet en général plutôt qu'en adaptant spécifiquement le comportement à Tor.
Les tentatives de connexion par force brute peuvent être réduites/ralenties par des Captchas, ce qui est l'approche adoptée par Gmail pour ce même problème.
En fait, Google propose un service Captcha gratuit, avec un code facile à inclure dans un certain nombre de systèmes pour aider d'autres sites à résoudre ce problème : https://code.google.com/apis/recaptcha/intro.html

Tentatives de Force Brute SSH

Si vous êtes préoccupé par les scans SSH, vous pouvez envisager de faire fonctionner votre SSHD sur un port autre que le port par défaut de 22.
De nombreux vers, scanners et botnets parcourent l'ensemble du web à la recherche de connexions SSH.
Le fait que quelques connexions proviennent de Tor n'est probablement qu'un petit écart par rapport à votre taux global de tentatives de connexion.
Vous pouvez également envisager une solution de limitation du débit : https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/

S'il s'agit en fait d'un problème sérieux spécifique à Tor, le projet Tor fournit un DNSRBL automatisé que vous pouvez interroger pour bloquer les tentatives de connexion provenant des noeuds Tor : https://www.torproject.org/projects/tordnsel.html.en

Il est également possible de télécharger une liste de toutes les IP de sortie de Tor qui se connecteront à votre port SSH : https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22

Vous pouvez utiliser cette liste pour créer des règles iptables afin de bloquer le réseau.
Cependant, nous recommandons toujours d'utiliser l'approche générale, car l'attaque réapparaîtra probablement à partir d'un proxy ouvert ou d'une autre IP une fois que Tor sera bloqué.

Gmail Hacké, Forum Web, ou Autres Accès de Comptes

En ce qui concerne votre compte, étant donné que l'attaquant a utilisé Tor et non un grand réseau de zombies (ou l'IP de votre machine elle-même), il est probable que votre mot de passe a été soit récolté sur votre machine à partir d'un enregistreur de frappe, soit capturé via un kiosque, ou à partir d'un réseau sans fil ouvert.

Nous vous recommandons de traiter cet événement comme s'il s'agissait d'une connexion à partir d'un point d'accès sans fil ouvert dans votre ville. Réinitialisez votre mot de passe et, si vous n'avez pas encore d'antivirus, téléchargez gratuitement AVG : http ://free.avg.com/us-en/download), Spybot SD : https ://www.safer-networking.org/), et/ou AdAware : http ://www.lavasoft.com/ ?domain=lavasoftusa.com.
Utilisez-les pour rechercher les enregistreurs de frappe ou les logiciels espions que quelqu'un ayant accès à votre ordinateur pourrait avoir installés.

Pour vous protéger lorsque vous utilisez un réseau sans fil ouvert, envisagez d'utiliser ce plugin Firefox : <https://www.eff.org/https-everywhere/> et encouragez le responsable du site à prendre en charge les connexions HTTPS.

Hacking (PHP Webshells, XSS, SQL Injection)

Cela ne signifie pas non plus qu'il n'y a rien à faire.
Pour les incidents graves, les techniques traditionnelles de travail de la police, qui consistent à mener des opérations d'infiltration et à enquêter pour déterminer les moyens, le motif et l'opportunité, restent très efficaces.

De plus, le projet Tor fournit un DNSRBL automatisé que vous pouvez interroger pour signaler les visiteurs venant des noeuds Tor comme nécessitant un traitement spécial : https://www.torproject.org/projects/tordnsel.html.en.
La même liste est disponible via la liste de sortie en bloc de Tor : https://check.torproject.org/cgi-bin/TorBulkExitList.py

Cependant, plutôt que d'interdire aux utilisateurs légitimes de Tor d'utiliser votre service en général, nous recommandons de s'assurer que ces services sont mis à jour et maintenus sans vulnérabilités qui peuvent conduire à des situations telles que celle-ci (compromission PHP webshell/XSS/injection SQL).

Fraudes de Commerce en Ligne

Cela ne signifie pas non plus qu'il n'y a rien à faire.
Pour les incidents graves, les techniques traditionnelles de travail de la police, qui consistent à mener des opérations d'infiltration et à enquêter pour déterminer les moyens, le motif et l'opportunité, restent très efficaces.

En outre, le projet Tor fournit un DNSRBL automatisé que vous pouvez interroger pour signaler les commandes provenant de nœuds Tor comme nécessitant un examen spécial : https://www.torproject.org/projects/tordnsel.html.en

Il fournit également un service de liste de sortie en bloc pour récupérer la liste entière : https://check.torproject.org/cgi-bin/TorBulkExitList.py

Vous pouvez utiliser cette liste pour vous aider à examiner de plus près les commandes de Tor, ou pour les retenir temporairement en vue d'une vérification supplémentaire, sans perdre de clients légitimes.

En fait, d'après mon expérience, les équipes de traitement des fraudes engagées par de nombreux FAI marquent simplement toutes les demandes provenant de nœuds Tor comme frauduleuses en utilisant cette même liste.
Il est donc possible qu'il s'agisse d'une commande légitime, mais qu'elle ait été signalée comme frauduleuse uniquement sur la base de la propriété intellectuelle, en particulier si vous confiez la détection des fraudes à un tiers.

Menaces de violence (Conseils pour une discussion en temps réel)

En cas de plainte pour abus grave non couverte par ce modèle, la meilleure solution consiste à suivre un modèle avec la partie plaignante. Il ne s'agit pas d'un conseil juridique. Ce document n'a pas été rédigé ou revu par un juriste. Il a été écrit par quelqu'un qui a travaillé avec différents FAI qui ont eu des problèmes avec un nœud de sortie Tor sur leur réseau. Il a également été examiné par une personne qui travaille dans le domaine de l'abus chez un grand FAI.

  • Lisez la Vue d'ensemble de Tor. Soyez prêt à résumer et à répondre aux questions de base. Supposez que la personne avec qui vous allez converser ne sait rien de Tor. Supposez que cette même personne ne va pas croire tout ce que vous dites.
    • Dans les cas graves, tels que le harcèlement par mail ou les menaces de mort, il est souvent utile de faire une analogie avec des situations dans le monde physique où une action est perpétrée par un individu anonyme (comme la remise de l'avis par courrier postal).
    • Rappelez-leur que le travail traditionnel de la police peut toujours être utilisé pour déterminer qui avait les moyens, le motif et l'opportunité de commettre le crime.
  • Organiser un entretien avec le plaignant ou lui envoyer directement un mail.
  • Au cours de la conversation, n'oubliez pas d'expliquer certains points :
    • Vous n'êtes pas à l'origine du problème.
    • Vous êtes un opérateur de serveur responsable et préoccupé par le problème du plaignant.
    • Vous n'êtes pas fou. Vous êtes peut-être fou, mais nous ne voulons pas que le plaignant devine que c'est vrai.
  • Dans de nombreux cas, votre fournisseur d'accès sera impliqué en tant qu'intermédiaire pour le plaignant tiers. Votre FAI veut savoir :
    • Votre serveur n'est pas compromis.
    • Votre serveur n'est pas un relais anti-spam.
    • Votre serveur n'est pas un cheval de Troie ni un zombie.
    • Vous êtes un administrateur de serveur compétent et vous pouvez résoudre le problème. Au minimum, vous pouvez au moins discuter du problème et y répondre intelligemment.
    • Le FAI n'est pas en faute et n'est pas responsable de vos actes. C'est normalement le cas, mais le pauvre abuseur qui s'occupe des problèmes veut simplement entendre que ce n'est pas le problème du fournisseur d'accès. Ils passeront à autre chose une fois qu'ils se seront sentis à l'aise.
  • Discuter des options. Options proposées aux opérateurs de relais :
    • Le FAI/plaignant peut très bien exiger de voir les fichiers journaux. Heureusement, par défaut, rien de sensible n'est divulgué. Vous devriez peut-être changer de fournisseur d'accès s'il exige l'accès aux fichiers journaux de façon ponctuelle.
    • Le FAI ou le plaignant peut vous suggérer de vous convertir en un nœud de non-exit. Dans ce cas, vous pouvez riposter par une politique de sortie réduite, telle que celle suggérée dans l'article n° 6 du billet de blog ci-dessus.
    • Le FAI/plaignant exige que vous désactiviez Tor. Il se peut que vous souhaitiez changer de fournisseur d'accès à Internet.
    • Le FAI/plaignant déclare qu'il va bloquer le trafic sur les ports par défaut à l'aide d'un pare-feu. Il se peut que vous souhaitiez changer de fournisseur d'accès à Internet.
    • Mettez à jour la configuration pour interdire le trafic vers une certaine plage d'IP depuis votre noeud de sortie. Vous pouvez suggérer au plaignant d'utiliser le Tor DNS RBL à la place.
  • Une fois que tout a été discuté, proposez une conversation de suivi dans la semaine qui suit. Veillez à ce que les changements convenus soient mis en œuvre. Ni le FAI ni le plaignant ne voudront peut-être le faire, mais le fait que vous l'ayez proposé est à votre crédit. Cela peut les aider à se sentir "à l'aise" avec vous.

Autres ensembles de modèles