Preguntes més freqüents sobre abusos

Great. That's exactly why we implemented exit policies.

Cada repetidor de Tor té una política de sortida que especifica quin tipus de connexions de sortida es permeten o es rebutgen des del repetidor. The exit policies are propagated to Tor clients via the directory, so clients will automatically avoid picking exit relays that would refuse to exit to their intended destination. D'aquesta manera, cada repetidor pot decidir els serveis, amfitrions i xarxes a les quals vol permetre connexions, en funció del potencial d'abús i de la seva pròpia situació. Read the Support entry on issues you might encounter if you use the default exit policy, and then read Mike Perry's tips for running an exit node with minimal harassment.

The default exit policy allows access to many popular services (e.g. web browsing), but restricts some due to abuse potential (e.g. mail) and some since the Tor network can't handle the load (e.g. default file-sharing ports). You can change your exit policy by editing your torrc file. If you want to avoid most if not all abuse potential, set it to "reject *:*". This setting means that your relay will be used for relaying traffic inside the Tor network, but not for connections to external websites or other services.

If you do allow any exit connections, make sure name resolution works (that is, your computer can resolve Internet addresses correctly). If there are any resources that your computer can't reach (for example, you are behind a restrictive firewall or content filter), please explicitly reject them in your exit policy otherwise Tor users will be impacted too.

La missió de Tor és avançar en els drets humans amb tecnologia gratuïta i de codi obert, donant poder als usuaris per defensar-se de la vigilància massiva i la censura d'Internet. Odiem que hi hagi persones que utilitzin Tor amb finalitats nefastes i condemnem l'ús indegut i l'explotació de la nostra tecnologia per a activitats delictives.

És essencial entendre que la intenció criminal recau en els individus i no en les eines que utilitzen. Igual que altres tecnologies àmpliament disponibles, Tor pot ser utilitzat per persones amb intenció criminal. I a causa d'altres opcions que poden utilitzar, sembla poc probable que allunyar Tor del món els impedeixi participar en activitats delictives. Al mateix temps, Tor i altres mesures de privadesa poden combatre el robatori d'identitat, els delictes físics com l'assetjament, i ser utilitzats per les forces de l'ordre per investigar el crim i ajudar als supervivents.

Els atacs de denegació de servei distribuït (DDoS) normalment es basen en tenir un grup de milers d'ordinadors que envien inundacions de trànsit a una víctima. Com que l'objectiu és dominar l'ample de banda de la víctima, normalment envien paquets UDP, ja que no requereixen intercanvis ni coordinació.

Però com que Tor només transporta fluxos TCP formats correctament, no tots els paquets IP, no podeu enviar paquets UDP per Tor. (Tampoc podeu efectuar formes especialitzades d'aquest atac com les inundacions SYN). Per tant, els atacs DDoS ordinaris no són possibles a través de Tor. Tor tampoc permet atacs d'amplificació d'ample de banda contra llocs externs: heu d'enviar un byte per cada byte que la xarxa Tor enviarà a la vostra destinació. Així, en general, els atacants que controlen prou amplada de banda per llançar un atac DDoS eficaç poden fer-ho bé sense Tor.

En primer lloc, la política de sortida predeterminada de Tor rebutja tot el trànsit del port de sortida 25 (SMTP). Per tant, enviar correu brossa a través de Tor no funcionarà per defecte. És possible que alguns operadors de retransmissió habilitin el port 25 al seu node de sortida particular, en aquest cas aquest ordinador permetrà la sortida de correus; però aquest individu podria simplement configurar un retransmissió de correu obert, independentment de Tor. En resum, Tor no és útil per enviar correu brossa, perquè gairebé tots els repetidors de Tor es neguen a lliurar el correu.

Per descomptat, no tot es tracta de lliurar el correu. Qui envien correu no sol·licitat poden utilitzar Tor per connectar-se per obrir servidors intermediaris HTTP (i des d'aquí als servidors SMTP); connectar-se a scripts CGI d'enviament de correu mal escrits; i controlar les seves xarxes de bots, és a dir, comunicar-se de manera encoberta amb exèrcits d'ordinadors compromesos que entreguen el correu brossa.

Això és una llàstima, però tingueu en compte que els que envien correus no desitjats ja ho fan molt bé sense Tor. A més, recordeu que molts dels seus mecanismes de comunicació més subtils (com els paquets UDP falsificats) no es poden utilitzar a Tor, perquè només transporta connexions TCP formades correctament.

Tor ha implementat polítiques de sortida. Cada repetidor de Tor té una política de sortida que especifica quin tipus de connexions de sortida es permeten o es rebutgen des del repetidor. D'aquesta manera, cada repetidor pot decidir els serveis, amfitrions i xarxes a les quals vol permetre connexions, en funció del potencial d'abús i de la seva pròpia situació. També tenim un equip dedicat, Network Health, per investigar el mal comportament dels repetidors i expulsar-los de la xarxa.

És important tenir en compte que, tot i que podem combatre algun tipus d'abús com els repetidors maliciosos a la nostra xarxa, no podem veure ni gestionar el que fan els usuaris a la xarxa i això és per disseny. Aquest disseny permet de manera aclaparadora usos beneficiosos proporcionant a activistes dels drets humans, periodistes, supervivents de violència domèstica, denunciants, agents de la llei i molts altres la màxima privadesa i anonimat possible. Obteniu més informació sobre els nostres usuaris i els casos d'ús beneficiosos de Tor aquí.

Si gestioneu un repetidor de Tor que permet connexions de sortida (com ara la política de sortida predeterminada), probablement és segur dir que eventualment sentireu d'algú. Les queixes d'abús poden tenir diverses formes. Per exemple:

  • Algú es connecta a Hotmail i envia una nota de rescat a una empresa. L'FBI us envia un correu electrònic educat, expliqueu que gestioneu un repetidor de Tor i us diuen "oh bé" i us deixen en pau. [Port 80]
  • Algú intenta fer-vos tancar el servei utilitzant Tor per connectar-vos als grups de Google i publicar correu brossa a Usenet, i després envia un correu enfadat a la vostra proveïdora d'Internet sobre com esteu destruint el món. [Port 80]
  • Algú es connecta a una xarxa IRC i és molest. La vostra proveïdora d'Internet rep correus educats sobre com s'ha vist compromès el vostre ordinador; i/o el vostre ordinador ha estat atacat amb un DDoS. [Port 6667]
  • Algú utilitza Tor per baixar una pel·lícula de Vin Diesel i la vostra proveïdora d'Internet rep un avís de retirada DMCA. Vegeu la Plantilla de resposta de Tor a la DMCA d'EFF, que explica per què probablement la vostra proveïdora d'Internet pot ignorar l'avís sense cap responsabilitat. [Ports arbitraris]

Algunes proveïdores d'Internet són més permissives que altres quan es tracta de sortides de Tor. Per obtenir una llista, consulteu la wiki de proveïdores bones i dolentes.

Per obtenir un conjunt complet de plantilles de respostes a diferents tipus de queixes d'abús, consulteu la col·lecció de plantilles. També podeu reduir de manera proactiva la quantitat d'abús que rebeu seguint aquests consells per gestionar un node de sortida amb un assetjament mínim i executar una política de sortida reduïda.

També podeu trobar que la IP del vostre repetidor de Tor està bloquejada per accedir a alguns llocs/serveis d'Internet. Això pot passar independentment de la vostra política de sortida, perquè sembla que alguns grups no saben ni els importa que Tor tingui polítiques de sortida. (Si teniu una IP de recanvi que no s'utilitza per a altres activitats, podeu considerar executar-hi el vostre repetidor de Tor sobre ella.) En general, és recomanable no utilitzar la connexió a Internet de casa per proporcionar un repetidor de Tor.

Podeu trobar una col·lecció de plantilles per respondre amb èxit als proveïdors d'Internet aquí.

De vegades, els idiotes fan ús de Tor per a "trollejar" canals IRC. Aquest abús es tradueix en prohibicions temporals específiques d'IP ("klines" en el llenguatge IRC), ja que els operadors de xarxa intenten mantenir el "troll" fora de la seva xarxa.

Aquesta resposta subratlla un defecte fonamental en el model de seguretat de l'IRC: assumeixen que les adreces IP equivalen a humans i, en prohibir l'adreça IP, poden prohibir l'ésser humà. En realitat, aquest no és el cas: molts d'aquests "trolls" fan ús habitualment dels milions de servidors intermediaris oberts i ordinadors compromesos d'Internet. Les xarxes IRC estan lluitant en una batalla perduda en intentar bloquejar tots aquests nodes, i tota una indústria artesanal de llistes de bloqueig i contra-trolls ha sorgit basada en aquest model de seguretat defectuós (no molt diferent de la indústria antivirus). La xarxa Tor és només una gota en un mar d'aigua.

D'altra banda, des del punt de vista dels operadors de servidors IRC, la seguretat no és una cosa de tot o res. Al respondre ràpidament als "trolls" o qualsevol altre atac social, és possible que l'escenari d'atac sigui menys atractiu per a l'atacant. I la majoria de les adreces IP individuals equivalen a humans individuals, a qualsevol xarxa IRC donada en un moment donat. Les excepcions inclouen passarel·les NAT a les quals se'ls pot assignar accés com a casos especials. Tot i que és una batalla perduda intentar aturar l'ús de servidors intermediaris oberts, generalment no és una batalla perduda per mantenir bloquejat un únic usuari d'IRC per mal comportament fins que aquest s'avorreix i se'n va.

Però la resposta real és implementar sistemes d'autenticació a nivell d'aplicació, per deixar entrar usuaris que es comporten bé i evitar els usuaris que es comporten malament. Això s'ha de basar en alguna propietat de l'ésser humà (com ara una contrasenya que coneixen), no en alguna propietat de la manera com es transporten els seus paquets.

Per descomptat, no totes les xarxes IRC intenten prohibir els nodes de Tor. Després de tot, algunes persones utilitzen Tor a IRC en la privadesa per dur a terme comunicacions legítimes sense lligar-les a la seva identitat del món real. Cada xarxa IRC ha de decidir per si mateixa si per bloquejar uns quants més dels milions d'IP que poden utilitzar les persones dolentes val la pena perdre les contribucions dels usuaris de Tor ben educats.

Si us estan bloquejant, discutiu amb els operadors de xarxa i expliqueu-los els problemes. És possible que no siguin conscients de l'existència de Tor en absolut, o potser no sàpiguen que els noms d'amfitrió que estan bloquejant són nodes de sortida de Tor. Si expliqueu el problema i arriben a la conclusió que Tor s'ha de bloquejar, potser voldreu plantejar-vos passar a una xarxa més oberta a la llibertat d'expressió. Potser convidant-los a #tor a irc.oftc.net els ajudarà a demostrar que no tots som persones malvades.

Finalment, si teniu coneixement d'una xarxa IRC que sembla estar bloquejant Tor, o d'un únic node de sortida de Tor, poseu aquesta informació al The Tor IRC block tracker perquè altres puguin compartir-ho. Almenys una xarxa IRC consulta aquesta pàgina per desbloquejar els nodes de sortida que s'han bloquejat involuntàriament.

Tot i que Tor no és útil per enviar correu brossa, alguns creadors de llistes negres massa entusiastes semblen pensar que totes les xarxes obertes com Tor són dolentes: intenten forçar els administradors de xarxa sobre les polítiques, problemes de servei i d'encaminament i, a continuació, demanen rescats a les víctimes.

Si els administradors del vostre servidor decideixen utilitzar aquestes llistes de bloqueig per rebutjar el correu entrant, hauríeu de mantenir una conversa amb ells i explicar-los les polítiques de sortida de Tor.

Ens sap greu escoltar això. Hi ha algunes situacions en què té sentit bloquejar usuaris anònims per a un servei d'Internet. Però, en molts casos, hi ha solucions més fàcils que poden resoldre el vostre problema alhora que permeten als usuaris accedir al vostre lloc web de manera segura.

Primer, pregunteu-vos si hi ha una manera de prendre decisions a nivell d'aplicació per separar els usuaris legítims dels idiotes. Per exemple, és possible que tingueu determinades àrees del lloc o determinats privilegis, com ara publicar, només disponibles per a persones registrades. És fàcil crear una llista actualitzada d'adreces IP de Tor que permetin connexions al vostre servei, de manera que podeu configurar aquesta distinció per als usuaris de Tor. D'aquesta manera, podeu tenir accés a diversos nivells i no haver de prohibir tots els aspectes del vostre servei.

Per exemple, la xarxa Freenode IRC va tenir un problema amb un grup coordinat d'agressors que s'unien als canals i s'apropiaven subtilment de la conversa; però quan van etiquetar tots els usuaris procedents dels nodes Tor com a "usuaris anònims", eliminant la capacitat dels abusadors de barrejar-se, els abusadors van tornar a utilitzar els seus servidors intermediaris oberts i les xarxes de bots.

En segon lloc, tingueu en compte que centenars de milers de persones utilitzen Tor cada dia simplement per a una bona higiene de les dades, per exemple, per protegir-se de les empreses de publicitat que recullen dades mentre realitzen les seves activitats normals. Altres utilitzen Tor perquè és la seva única manera de superar els tallafocs locals restrictius. És possible que alguns usuaris de Tor estiguin connectant-se legítimament al vostre servei ara mateix per dur a terme activitats normals. Heu de decidir si al prohibir la xarxa Tor val la pena perdre les contribucions d'aquests usuaris, així com els futurs usuaris legítims potencials. (Sovint la gent no té una bona mesura de quants usuaris educats de Tor es connecten al seu servei; mai no els noteu fins que n'hi ha un de descortès).

En aquest punt, també hauríeu de preguntar-vos què feu amb altres serveis que agrupen molts usuaris darrere d'unes poques adreces IP. Tor no és tan diferent d'AOL en aquest sentit.

Finalment, recordeu que els repetidors de Tor tenen polítiques de sortida individuals. Molts repetidors de Tor no permeten connexions sortints en absolut. Molts dels que permeten algunes connexions de sortida pot ser que no permetin connexions al vostre servei. Quan aneu a prohibir nodes, hauríeu d'analitzar les polítiques de sortida i només bloquejar les que permeten aquestes connexions; i heu de tenir en compte que les polítiques de sortida poden canviar (així com la llista general de nodes de la xarxa).

Si realment voleu fer-ho, us oferim una llista de repetidors de sortida de Tor o una llista basada en DNS que podeu consultar.

(Alguns administradors de sistemes bloquegen intervals d'adreces IP a causa d'una política oficial o d'algun patró d'abús, però alguns també han preguntat sobre permetre els repetidors de sortida de Tor perquè volen permetre l'accés als seus sistemes només amb Tor. Aquests scripts també es poden utilitzar per a llistes de permisos.)

No hi ha res que els desenvolupadors de Tor puguin fer per rastrejar els usuaris de Tor. Les mateixes proteccions que impedeixen que les persones dolentes trenquin l'anonimat de Tor també ens impedeixen esbrinar què està passant.

Alguns entusiastes han suggerit que redissenyem Tor per incloure una porta del darrera. Hi ha dos problemes amb aquesta idea. En primer lloc, tècnicament debilita massa el sistema. Tenir una manera central d'enllaçar els usuaris amb les seves activitats és un forat obert per a tot tipus d'atacants; i els mecanismes polítics necessaris per garantir una correcta gestió d'aquesta responsabilitat són enormes i sense resoldre. En segon lloc, la gent dolenta no es perjudicarà per això de totes maneres, ja que utilitzaran altres mitjans per garantir el seu anonimat (robatori d'identitat, comprometre ordinadors i utilitzar-los com a punts de rebot, etc.).

Això vol dir, en última instància, que és responsabilitat dels propietaris del lloc protegir-se dels problemes de compromís i de seguretat que poden venir des de qualsevol lloc. Això és només una part d'adherir-se als avantatges d'Internet. Heu d'estar preparat per protegir-vos dels elements dolents, vinguin d'on vinguin. El seguiment i l'augment de la vigilància no són la resposta per prevenir l'abús.

Però recordeu que això no vol dir que Tor sigui invulnerable. Les tècniques policials tradicionals encara poden ser molt efectives contra Tor, com ara investigar mitjans, motius i oportunitats, entrevistar sospitosos, anàlisi de l'estil d'escriptura, anàlisi tècnica del contingut en si, operacions trampa, intervencions de teclat i altres investigacions físiques. El Projecte Tor també està encantat de treballar amb tothom, inclosos els grups d'aplicació de la llei, per formar-los en com utilitzar el programari Tor per dur a terme investigacions o activitats anònimes en línia de manera segura.

El Projecte Tor no allotja, controla ni té la capacitat de descobrir el propietari o la ubicació d'una adreça .onion. L'adreça .onion és una adreça d'un servei onion. El nom que veieu acabat en .onion és un descriptor de servei onion. És un nom generat automàticament que es pot localitzar a qualsevol repetidor o client de Tor a qualsevol lloc d'Internet. Els Serveis Onion estan dissenyats per protegir tant l'usuari com el proveïdor de serveis de descobrir qui són i on són. El disseny dels serveis onion significa que el propietari i la ubicació del lloc .onion està ocult fins i tot per a nosaltres.

Però recordeu que això no vol dir que els serveis onion siguin invulnerables. Les tècniques policials tradicionals encara poden ser molt efectives contra ells, com ara entrevistar sospitosos, anàlisi de l'estil d'escriptura, anàlisi tècnica del contingut en si, operacions de punxada, intervencions de teclat i altres investigacions físiques.

Si teniu una queixa sobre materials d'abús infantil, potser voldreu informar-la al Centre Nacional de Nens Desapareguts i Explotats, que serveix com a punt de coordinació nacional per a la investigació de la pornografia infantil: http://www.missingkids.com/. No examinem els enllaços que reporteu.

Ens prenem els abusos seriosament. Els activistes i les forces de l'ordre utilitzen Tor per investigar els abusos i ajudar als supervivents. Treballem amb ells per ajudar-los a entendre com Tor pot ajudar a la seva feina. En alguns casos s'estan cometent errors tecnològics i ajudem a corregir-los. Com que algunes persones de les comunitats de supervivents accepten l'estigma en lloc de la compassió, cercar suport d'altres víctimes requereix una tecnologia que preservi la privadesa.

La nostra negativa a construir portes del darrere i censura a Tor no és per manca de preocupació. Ens neguem a debilitar Tor perquè perjudicaria els esforços per combatre l'abús infantil i el tràfic de persones al món físic, alhora que eliminaria els espais segurs per a les víctimes en línia. Mentrestant, els delinqüents encara tindrien accés a botnets, telèfons robats, comptes d'allotjament piratejats, sistema postal, missatgeria, funcionaris corruptes i qualsevol tecnologia que sorgeixi per comercialitzar contingut. Són els primers en adoptar la tecnologia. Davant d'això, és perillós per als responsables polítics assumir que el bloqueig i el filtratge són suficients. Ens interessa més ajudar els esforços per aturar i prevenir l'abús infantil que ajudar els polítics a guanyar punts amb els electors a l'amagar-ho. El paper de la corrupció és especialment preocupant; vegeu aquest informe de les Nacions Unides sobre El paper de la corrupció en el tràfic de persones.

Finalment, és important tenir en compte el món que els nens es trobaran com a adults quan promulguen polítiques en el seu nom. Ens agrairan si no poden expressar les seves opinions amb seguretat com a adults? Què passa si intenten exposar un fracàs de l'estat per protegir altres nens?