Antes de Começar

A melhor maneira de lidar com as reclamações de abuso é configurar o nó de saída de forma que ele seja menos provável de ser enviado em primeiro lugar. Consulte Dicas para executar um nó de saída com o mínimo de assédio e Diretrizes de saída do Tor para obter mais informações antes de ler este documento.

Abaixo está uma coleção de cartas que você pode usar para responder ao seu ISP sobre a reclamação referente ao seu servidor de saída Tor.

Formato e Filosofia dos Modelos

O formato geral desses modelos é informar o reclamante sobre o Tor, ajudá-lo a encontrar uma solução para seu problema específico que funcione em geral para a Internet em geral (wifi aberto, proxies abertos, botnets, etc.) e, além de tudo, como bloquear o Tor. A filosofia do Projeto Tor é de que o abuso deve ser tratado de forma proativa pelos administradores do site, ao invés de gastar esforços e recursos buscando vingança e perseguindo fantasmas.

A diferença entre a abordagem proativa e a abordagem reativa ao abuso é a diferença entre a liberdade na Internet descentralizada e tolerante à falhas, e o controle totalitário corruptível e frágil. Para dar ainda mais ênfase aos convertidos, as "carteiras de motorista" baseadas em identidade da Coreia do Sul e da China não fizeram nada para reduzir o crime cibernético e o abuso na Internet. Na verdade, todas as evidências objetivas parecem indicar que isso apenas criou novos mercados para o crime organizado dominar. Essa é a ideia central que esses modelos de reclamação de abuso tentam incutir no destinatário. Sinta-se à vontade para melhorá-los se achar que eles não alcançam esse objetivo.

Todos os modelos devem incluir o modelo padrão abaixo e acrescentar alguns parágrafos adicionais dependendo do cenário específico.

Boilerplate comum (Introdução ao Tor)

O endereço de IP em questão é um nó de saída do Tor.
https://2019.decvnxytmk.oedi.net/about/overview.html.en

Pouco podemos fazer para investigar melhor esse assunto.
Como pode ser visto na página de visão geral, a rede Tor foi projetada para tornar impossível o rastreamento de usuários.
A rede Tor é administrada por cerca de 5.000 voluntários que usam o software gratuito fornecido pelo Projeto Tor para operar roteadores Tor.
As conexões do cliente são roteadas por meio de vários nós e multiplexadas juntas nas conexões entre os nós.
O sistema não registra logs de conexões de clientes ou saltos anteriores.

Isso ocorre porque a rede Tor é um sistema de resistência à censura, privacidade e anonimato usado por denunciantes, jornalistas, dissidentes chineses que contornam o Grande Firewall, vítimas de abuso, alvos de perseguidores, militares dos EUA e autoridades policiais, só para citar alguns.
Veja https://decvnxytmk.oedi.net/about/torusers.html.en para mais informações.

Infelizmente, algumas pessoas fazem mau uso da rede. No entanto, em comparação com a taxa de uso legítimo (o intervalo de IP em questão processa quase um gigabit de tráfego por segundo), [reclamações de abuso são raras](https://jqlsbiwihs.oedi.net/abuse/).

Cenários de Abuso

Os seguintes parágrafos específicos do cenário devem ser anexados aos parágrafos comuns acima. O texto padrão comum deve ser resumido ou omitido se o denunciante de abuso já estiver familiarizado com o Tor.

Spam de comentários/fórum

Contudo, isso não significa que nada possa ser feito.

O Projeto Tor fornece um DNSRBL automatizado para você consultar e sinalizar postagens vindas de nós Tor que exigem revisão especial.
Você também pode usar este DNSRBL para permitir que apenas IPs Tor leiam, mas não postem comentários: https://decvnxytmk.oedi.net/projects/tordnsel.html.en

No entanto, esteja ciente de que este pode ser apenas um idiota entre muitos usuários legítimos do Tor que usam seus fóruns.
Você pode ter sorte se livrando desse idiota limitando temporariamente a criação de contas para exigir contas do Gmail antes de postar, ou exigindo que a criação de contas seja feita em uma conta que não seja Tor antes de postar.

Em geral, acreditamos que problemas como esse são melhor resolvidos melhorando seu serviço de defesa contra ataques da Internet em geral.
Tentativas de login por força bruta podem ser reduzidas/desaceleradas por Captchas, que é a abordagem adotada pelo Gmail para o mesmo problema.
Na verdade, o Google fornece um serviço gratuito de Captcha, completo com código para fácil inclusão em vários sistemas para ajudar outros sites a lidar
com este problema: https://code.google.com/apis/recaptcha/intro.html

PHP Relay ou Spam de Conta de Webmail Explorada

Além disso, nossos nós não permitem que tráfego SMTP seja enviado usando nossos IPs.
Após investigação, parece que a origem do spam é um gateway de webmail abusivo ou comprometido em execução em:
<web server here>.
Você entrou em contato com o departamento de abuso deles?

Spam em Grupos Google

Parece que sua queixa de abuso específica foi gerada por um usuário de Grupos Google autenticado.
A inspeção dos cabeçalhos revela que o endereço de reclamação de abuso do Google Grupos é groups-abuse@google.com.
Entrar em contato com esse endereço lhe dará mais chances de realmente cancelar a conta do Google Groups desse agressor do que perseguir nós Tor, proxies e pontos de acesso sem fio abertos.

Além disso, se o seu leitor de notícias suportar killfiles, você pode estar interessado em usar o script Tor Bulk Exit list para baixar uma lista de IPs para incluir no seu killfile para postagens que correspondem a "NNTP-Posting-Host:
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py

Ataques DoS e robôs de scraping

Lamentamos que seu site esteja sofrendo essa carga pesada do Tor.

No entanto, é possível que seus alarmes de limitação de taxa tenham apresentado um falso positivo devido à quantidade de tráfego que flui pelo roteador.
Fornecemos serviço para quase um gigabit de tráfego por segundo, 98% do qual é tráfego da web.

No entanto, se o ataque for real e contínuo, o projeto Tor fornece um DNSRBL automatizado para você consultar para bloquear tentativas de login vindas de nós Tor: https://decvnxytmk.oedi.net/projects/tordnsel.html.en

Também é possível baixar uma lista de todos os IPs de saída do Tor que se conectarão à porta do seu servidor:
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80

No entanto, em geral, acreditamos que problemas como esse podem ser melhor resolvidos melhorando o serviço de defesa contra ataques da Internet em geral.

A atividade de scraping e robôs pode ser reduzida/desacelerada por Captchas, que é a abordagem adotada pelo Gmail para o mesmo problema.
Na verdade, o Google fornece um serviço gratuito de Captcha, completo com código para fácil inclusão em vários sistemas para ajudar outros sites a lidar com esse problema: https://code.google.com/apis/recaptcha/intro.html

Ataques DoS lentos [visando consumir o limite de MaxClients do Apache](http://www.guerilla-ciso.com/archives/2049) podem ser aliviados reduzindo os valores de configuração TimeOut e KeepAliveTimeout do httpd.conf para 15-30 e aumentando os valores ServerLimit e MaxClients para algo como 3000.

Se isso falhar, as tentativas de negação de serviço também podem ser resolvidas com soluções de limitação de taxa baseadas em iptables, balanceadores de carga como o nginx e também dispositivos IPS, mas esteja ciente de que o tráfego da Internet nem sempre é uniforme em quantidade por IP, devido a grandes outproxies corporativos e até mesmo nacionais, NATs e serviços como o Tor.
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/

Ataques de Força Bruta na Web

Lamentamos que sua conta tenha sido alvo de ataque bruto. Podemos tentar impedir que nosso nó se conecte a este site, mas como a rede Tor tem cerca de 800 saídas, isso não impediria a ação a longo prazo.
O invasor provavelmente apenas encadearia um proxy aberto após o Tor, ou apenas usaria uma rede sem fio aberta e/ou um proxy sem Tor.

O projeto Tor fornece um DNSRBL automatizado para você consultar e sinalizar solicitações de nós Tor que requerem tratamento especial: https://decvnxytmk.oedi.net/projects/tordnsel.html.en

Em geral, acreditamos que problemas como esse são melhor resolvidos melhorando o serviço de defesa contra ataques da Internet em geral, em vez de adaptar o comportamento especificamente para o Tor.
Tentativas de login por força bruta podem ser reduzidas/desaceleradas por Captchas, que é a abordagem adotada pelo Gmail para o mesmo problema.
Na verdade, o Google fornece um serviço gratuito de Captcha, completo com código para fácil inclusão em vários sistemas para ajudar outros sites a lidar com esse problema: https://code.google.com/apis/recaptcha/intro.html

Tentativas de força bruta SSH

Se você estiver preocupado com as varreduras SSH, considere executar seu SSHD em uma porta diferente da padrão 22.
Muitos worms, scanners e botnets examinam toda a Internet em busca de logins SSH.
O fato de alguns logins terem vindo do Tor provavelmente representa uma pequena queda na sua taxa geral de tentativas de login.
Você também pode considerar uma solução de limitação de taxa: https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/

Se for de fato um problema sério específico do Tor, o projeto Tor fornece um DNSRBL automatizado para você consultar para bloquear tentativas de login vindas de nós Tor: https://decvnxytmk.oedi.net/projects/tordnsel.html.en

Também é possível baixar uma lista de todos os IPs de saída do Tor que se conectarão à sua porta SSH: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22

Você pode usar esta lista para criar regras do iptables para bloquear a rede.
No entanto, ainda recomendamos usar a abordagem geral, pois o ataque provavelmente reaparecerá de um proxy aberto ou outro IP quando o Tor for bloqueado.

Acesso hackeado ao Gmail, fórum da Web ou conta diversa

Em relação à sua conta, considerando que o invasor usou o Tor e não uma grande botnet (ou o próprio IP da sua máquina), é provável que sua senha tenha sido coletada da sua máquina por meio de um keylogger, ou capturada por meio de um quiosque, ou de uma rede sem fio aberta.

Nossa recomendação é tratar este evento como se houvesse um login de um ponto de acesso sem fio aberto em sua cidade. Redefina sua senha e, se ainda não tiver um antivírus, baixe o AVG gratuito: http://free.avg.com/us-en/download, o Spybot SD: https://www.safer-networking.org/ e/ou o AdAware: http://www.lavasoft.com/?domain=lavasoftusa.com.
Use-os para verificar se há keyloggers ou spywares que alguém com acesso ao seu computador possa ter instalado.

Para ajudar a se proteger ao usar uma rede sem fio aberta, considere usar este plugin do Firefox: <https://www.eff.org/https-everywhere/> e incentive o mantenedor do site a oferecer suporte a logins HTTPS.

Hacking (Webshells PHP, XSS, Injeção de SQL)

Isso também não significa que não haja nada que possa ser feito.
Em incidentes sérios, as técnicas tradicionais de trabalho policial de realizar operações e investigar para determinar meios, motivos e oportunidades ainda são muito eficazes.

Além disso, o projeto Tor fornece um DNSRBL automatizado para você consultar e sinalizar visitantes vindos de nós Tor como necessitando de tratamento especial: https://decvnxytmk.oedi.net/projects/tordnsel.html.en.
A mesma lista está disponível na Tor Bulk Exit List: https://check.torproject.org/cgi-bin/TorBulkExitList.py

No entanto, em vez de proibir usuários legítimos do Tor de usar seu serviço em geral, recomendamos garantir que tais serviços sejam atualizados e mantidos livres de vulnerabilidades que podem levar a situações como essa (comprometimento do webshell PHP/XSS/comprometimento da injeção de SQL).

Fraude de comércio eletrônico

Isso também não significa que não haja nada que possa ser feito.
Em incidentes sérios, as técnicas tradicionais de trabalho policial de realizar operações e investigar para determinar meios, motivos e oportunidades ainda são muito eficazes.

Além disso, o projeto Tor fornece um DNSRBL automatizado para você consultar e sinalizar pedidos vindos de nós Tor que requerem revisão especial: https://decvnxytmk.oedi.net/projects/tordnsel.html.en

Ele também fornece um serviço de Lista de Saída em Massa para recuperar a lista inteira: https://check.torproject.org/cgi-bin/TorBulkExitList.py

Você pode usar esta lista para ajudar a analisar melhor os pedidos do Tor ou mantê-los temporariamente para verificação adicional, sem perder clientes legítimos.

Na verdade, na minha experiência, as equipes de processamento de fraudes contratadas por muitos ISPs simplesmente marcam todas as solicitações de nós Tor como fraude usando essa mesma lista.
Então é até possível que este seja um pedido legítimo, mas tenha sido sinalizado como fraude apenas com base no IP, especialmente se você terceirizar a detecção de fraudes.

Ameaças de Violência (Conselhos para Discussão em Tempo Real)

Se receber uma reclamação de abuso grave não abordada neste conjunto de modelos, a melhor resposta é seguir um padrão com a parte reclamante. Isso não é um conselho legal (jurídico). Isto não foi escrito ou revisado por um advogado. Foi escrito por alguém com experiência em lidar com vários provedores de internet os quais tiveram problemas com um nós de saída Tor em sua rede. Foi também revisada por alguém que trabalha com Abusos em um dos principais provedores de internet.

• Leia a Visão Geral do Tor. Esteja preparado para resumir e responder a perguntas básicas. Suponha que a pessoa com quem você vai conversar não saiba nada sobre o Tor. Suponha que essa mesma pessoa não confiará em nada do que você disser.
  • Em casos sérios, como e-mails de assédio ou ameaças de morte, muitas vezes é útil fazer uma analogia com situações no mundo físico em que uma ação é perpetrada por um indivíduo anônimo (como entregar o aviso pelo correio).
  • Lembre-os de que o trabalho policial tradicional ainda pode ser usado para determinar quem tinha os meios, o motivo e a oportunidade de cometer o crime.
• Combine uma conversa com o reclamante ou envie um e-mail diretamente a ele.
• Durante a conversa, certifique-se de explicar alguns pontos:
  • Você não é o autor do problema.
  • Você é um operador de servidor responsável e está preocupado com o problema do reclamante.
  • Você não é louco. Você pode ser louco, mas não queremos que o reclamante adivinhe que isso é verdade.
• Em muitos casos, o seu provedor de internet atuará como um canal para a terceira parte reclamante. O seu provedor de internet quer saber:
  • Seu servidor não está comprometido.
  • Seu servidor não é um retransmissor de spam.
  • Seu servidor não é um trojan/zumbi.
  • Você é um administrador de servidor competente e pode resolver o problema. No mínimo, você pode discutir e responder ao problema de forma inteligente.
  • O provedor de internet não tem culpa nem é responsável pelas suas ações. Normalmente, isso acontece, mas a pessoa que está lidando com o problema só quer ouvir que o problema não é do provedor. Ela seguirá em frente quando se sentir confortável.
• Discuta as opções. Opções que foram oferecidas aos operadores de retransmissão:
  • O ISP/Reclamante pode muito bem exigir acesso aos arquivos de log. Felizmente, por padrão, nada confidencial é divulgado. Você pode querer um novo ISP se eles exigirem acesso aos arquivos de log ad hoc.
  • O ISP/Reclamante pode sugerir que você converta para um nó sem saída. Nesse caso, você pode optar por uma política de saída mais baixa, como a sugerida no item nº 6 da postagem do blog acima.
  • O ISP/Reclamante exige que você desative o Tor. Por isso, você pode querer um novo ISP.
  • O ISP/Reclamante afirma que bloqueará o tráfego nas portas padrão por firewall. Por isso, talvez seja necessário um novo ISP.
  • Atualize a configuração para proibir o tráfego para um determinado intervalo de IP do seu nó de saída. Você pode sugerir que o reclamante use o Tor DNS RBL.
• Após tudo ter sido discutido, ofereça uma conversa de acompanhamento dentro de uma semana. Certifique-se de que as mudanças acordadas sejam implementadas. Nem o ISP nem o Reclamante podem querer fazer isso, mas o fato de você ter oferecido isso é um crédito seu. Isso pode ajudá-los a se sentirem "confortáveis" com você.

Outros conjuntos de modelos

• Modelo de resposta DMCA para o mantenedor do nó Tor ao ISP conforme escrito pelo EFF.
• Torservers modelos de resposta de e-mails.