לפני שמתחילים

הדרך הטובה ביותר לנהל תלונות ניצול לרעה הנה להגדיר את צומת היציאה כך שיהיה פחות סביר לקבל תלונות מלכתחילה. אנא ראו Tips for Running an Exit Node with Minimal Harassment ו Tor Exit Guidelines למידע נוסף, לפני שקוראים מסמך זה.

למטה יש אוסף של מכתבים בהם תוכלו להשתמש כדי להגיב לספק האינטרנט שלכם לגבי תלונותיהם ביחס לשרת היציאה Tor שלכם.

הפורמט והפילוסופיה של התבניות

הפורמט הכללי של תבניות אלה הנו ליידע את המתלונן על Tor, לעזור להם למצוא פתרון לבעיה הספציפית אשר עובדת באופן כללי עבור האינטרנט בכלל (open wifi, open proxies, botnets, etc), ומניעת כל דבר אחר, כיצד לחסום את Tor. הפילוסופיה של פרויקט Tor הנה שניצול לרעה צריך להיות מטופל באופן פרואקטיבי על ידי האדמינים של האתר, במקום לבזבז מאמצים ומשאבים בחיפוש נקמה ורדיפת רוחות.

ההבדל בין גישה פרואקטיבית וראקטיבית לתלומות ניצול לרעה הנו ההבדל בין חופש אינטרנט יציב ומבוזר, ופיקוח רעוע, מושחת וטוטליטרי. כדי להמשיך ולהטיף למקהלה, האינטרנט מבוסס הזהות "driver's licenses" של דרום קוריאה וסין שלא עושים כלום להפחית פשעי סייבר וניצול לרעה של האינטרנט. למעשה, הכל objective evidence נראה שהכל מצביע על כך שהם רק יצרו שווקים חדשים לפשע המאורגן לפעול בהם. זהו הרעיון המרכז בתבניות המענה לתלונות ניצול לרעה שמטרתן להשקיט בהדרגה את המקבל. הרגישו חופשיים לשפרם אם אתם מרגישים שהם אינם עונים למטרה.

כל התבניות צריכות לכלול את ה Common Boilerplate שלמטה, ולצרף כמה פסקות נוספות התלויות בתרחיש הספציפי.

Common Boilerplate (Tor Intro)

כתוב ה IP שבטיפול היא זו של צומת יציאת Tor.
https://www.torproject.org/overview.html

יש מעט שאנו יכולים לעשות כדי להמשיך ולעקוב אחר הענין. כפי שניתן לראות מדף הפתיח, רשת Tor בנויה כדי להפוך את המעקב אחר משתמשים לבלתי אפשרית. רשת Tor פועלת אצל כ 5000 מתנדבים אשר משתמשים בתוכנה חופשית שמסופקת על ידי פרויקט Tor כדי להפעיל נתבי Tor.
התחברויות של מכשירי קליינט הנן דרך ניתובים רבם, והם מעורבבים יחדיו במסגרת הקשרים בין הנתבים.
המערכת אינה רושמת לוגים של קשרי קליינטים או תחנות קודמות.

זאת מכיון שרשת Tor הנה מערכת מוגנת צנזורה, פרטיות, ואנונימיות שבשימוש מלשינים, כתבים, מתנגדי משטר סיניים שעוקפים את חומת האש הגדולה, קורבנות ניצול, יעדי מעקב, הצבא האמריקאי, וזרועות החוק, אם למנות כמה. 
למידע נוסף ראו https://www.torproject.org/about/torusers.html.en .

למרבה הצער, יש אנשים שמנצלים לרעה את הרשת. אבל בהשואה לשיעור השימוש הלגיטימי (טווח ה IP שעל הפרק מעבד תעבורה של כמעט גיגהבייט לשניה)[תלונות על ניצול הנן נדירות ](https://www.torproject.org/docs/faq-abuse.html.en).

תרחישי ניצול

הפסקות של תרחיש ייעודי הבאות צריכות להתווסף אל ה Common Boilerplate בפסקה הקודמת. תבנית ה common boilerplate צריכה להיות מצומצמת או מוסרת אם למתלונן על ניצול לרעה יש כבר הכירות עם Tor.

הערות/ספאם בפורום

אף על פי כן, אין משמעו של דבר שלא ניתן לעשות דבר.

פרויקט Tor מספק לך  DNSRBL ממוכן כדי לחפש ולסמן פוסטים שמגיעים מצמתי Tor שמצריכים בחינה מיוחדת.
תוכלו גם להשתמש ב DNSRBL הזה להרשות לכתובות IP של Tor רק לקרוא אך לא לפרסם הערות. https://www.torproject.org/projects/tordnsel.html.en

אבל, היו מודעים לכך שמדובר רק בבעייתי אחד מוך משתמשי Tor לגיטימיים רבים אשר משתמשים בפורום שלכם.
יתכן שהיה לכם מזל ונפטרתם מהנודניק הזה בעזרת הגבלה זמנית של יצירת החשבון כדי לדרוש חשבונות Gmail לפני שמפרסמים, או בדרישה בעת יצירת החשבון שיתבצע שלא דרך Tor לפני הפרסום.

באופן כללי, אנו מאמינים שהפתרון של בעיות כגון זו הנו טוב יותר באמצעות שיפור השרות שלכם שיגן כנגד מתקפות מהאינטרנט בכללותו.
Brute force login attempts can be reduced/slowed by Captchas, which is the approach taken by Gmail for this same problem.
In fact, Google provides a free Captcha service, complete with code for easy inclusion in a number of systems to help other sites deal
עם הבעיה: https://code.google.com/apis/recaptcha/intro.html

ניתוב PHP או ספאם דרך חשבון דוא"ל פרוץ.

בנוסף, הצמתים שלנו אינם מרשים תעבורת SMTP שתשלח דרך ה IPים שלנו.
בתום בדיקה, מסתבר שמקור הספאם הנו בתיבת דוא"ל בעייתית או פרוצה שפועלת מ:
<web server here>.
האם התקשרתם אל מחלקת התלונות שלהם?

ספאם ב Google Groups

מסתבר שהבעיה הספציפית עליה התלוננתם קרתה בגלל משתמש מזוהה בקבוצת גוגל.
מבחינת נתוני הכותרת עולה כי הכתובת שבגינה נשלחה תלונת הניצול לרעה הנה מתוך קבוצת גוגל היא groups-abuse@google.com.
התקשרות לכתובת זו תתן לכם סיכוי טוב יותר לבטל את החשבון של הפוגע מאשר לרדוף אחר צמתי Tor, ממלאי מקום, ונקודות גישה אלחוטיות פתוחות.

בנוסף, אם קורא החדשות שלכם תומך ב killfiles, תהיו מעונינים בשימוש ברשימת סקריפט  Tor Bulk Exit כדי להוריד רשימת IPים לכלול ב killfile לפרסומים אש עונים על "NNTP-Posting-Host:
<ip>" https://check.torproject.org/cgi-bin/TorBulkExitList.py

מתקפות DoS ו Scraping Robots

אנו מצטערים על כך שהאתר שלכם חווה עומס כבד מ Tor.

 אך יתכן שאתראות שעור המגבלה חוותה טעויות של false positive בגלל כמות התעבורה אשר עוברת דרך הנתב.
אנו מספקים שרות לכמעט גיגהבייט לשניה, 98% מכך הנה תעבורת אינטרנט.

If the attack is real and ongoing, however, the Tor project provides an automated DNSRBL for you to query to block login attempts coming from Tor nodes: https://www.torproject.org/projects/tordnsel.html.en

אפשר גם להוריד רשימה של כל כתובות הIP של יציאת Tor אשר מחוברות ערוץ השרת שלכם:
https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=80

אבל באופן כללי, אנו מאמינים שבעיות מסוג זה ניתנות לפתרון מיטבי על ידי שיפור השרות להגנות כנגד מתקפות מהאיטנטרנט בכללותו.

Scraping and robot activity can be reduced/slowed by Captchas, which is the approach taken by Gmail for this same problem.
In fact, Google provides a free Captcha service, complete with code for easy inclusion in a number of systems to help other sites deal with this issue: https://code.google.com/apis/recaptcha/intro.html

Slow DoS attacks [aimed to consume the Apache MaxClients limit](http://www.guerilla-ciso.com/archives/2049) can be alleviated by reducing the httpd.conf TimeOut and KeepAliveTimeout config values to 15-30 and raising the ServerLimit and MaxClients values to something like 3000.

אם הדבר נכשל, נסויונות DoS יכולים להפתר גפתרונות של הגבלת שיעור ה iptables-based , מווסתי עומס כגון  nginx, וגם מכשירי IPS, אך יש להיות מודעים לכך שתעבורת האינטרנט לא תמיד אחידה בכמות לפי IP, עקב outproxies רבים של חברות ואפילו מדינות, NATs, ושרותים כגון Tor.
http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/
http://cd34.com/blog/webserver/ddos-attack-mitigation/
http://deflate.medialayer.com/

מתקפות אינטרנט מסיביות

אנו מצטערים שחשבונך הותקף באופן מסיבי. אנו יכולים למנוע מהצומת שלנו מלהתקשר לאתר הזה, אך מאחר ורשת Tor הנה עם כ 800 יציאות, לבצע זאת לא באמת יעצור את הדבר לאורך זמן.
התוקף פשוט לחבר פרוקסי פתוח מאחורי Tor, או פשוט להשתמש בתקשרות אלחוטית פתוחה ו/או פרוקסי ללא Tor.

פרויקט Tor מספק DNSRBL ממוכן עבורכם לבצע שאילתות כדי לסמן בקשות מצמתי Tor שמחייבים טיפול מיוחד: https://www.torproject.org/projects/tordnsel.html.en

באופן כללי, אנו מאמינים שהפתרון של בעיות כגון זו הנו טוב יותר באמצעות שיפור השרות שלכם שיגן כנגד מתקפות מהאינטרנט בכללותו במקום לתפור פתרון לפי התנהגות Tor.
Brute force login attempts can be reduced/slowed by Captchas, which is the approach taken by Gmail for this same problem.
In fact, Google provides a free Captcha service, complete with code for easy inclusion in a number of systems to help other sites deal with this issue: https://code.google.com/apis/recaptcha/intro.html

נסיונות SSH Bruteforce

אם אתםם מוטרדים מסריקות SSH, תוכלו לשקול להפעיל את SSHD שלכם על ערוץ אחר מברירת המחדל 22.
הרבה תולעים, סורקים, ובוטים סורקים את כל האינטרנט ומחפשים אחר לוגאינין SSH.
העובדה שכמה לוגאינים יגיעו מ Tor הנה בליפ זעיר מתוך כלל שיעור נסיונות הלוגאין שלכם.
תוכלו לשקול גם פתרון של הגבלת השיעור: https://kvz.io/blog/2007/07/28/block-brute-force-attacks-with-iptables/

זוהי למעשה בעיה רצינית הייחודית ל Tor. פרויקט Tor מספק לכם DNSRBL ממוכן לביצוע שאילתות כדי לחסום נסיונות לוגאין שמגיעם מצמתי Tor: https://www.torproject.org/projects/tordnsel.html.en

אפשר גם להוריד רשימה של כל כתובות הIP של יציאת Tor אשר מחוברות לערוץ SSH שלכם: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=YOUR_IP&port=22

אפשר להשתמש ברשימה זו כדי להכין את כללי  iptables r לחסימת הרשת.
אבל אנו עדין ממליצים להשתמש בגישה כוללנית, באשר המתקפה יכולה להופיע פשוט מפרוקסי פתוח או IP אחר כאשר Tor נחסם.

פריצות ל Gmail, לפורום אינטרנטי, או כניסות שונות לחשבון

עם הכבוד הראוי לחשבונך, בהנתן שהתוקף השתמש ב Tor ולא בבוטנט גדול (או ב IP של מכשירך עצמו), סביר שהסיסמה שלך או שנלקחה מהמכשיר שלך מ  keylogger, או שנלכדה דרך קיוסק, או מרשת אלחוטית פתוחה. 

המלצתנו היא להתיחס לארוע זה כאילו זה היה לוגאין מנקודת גישה ברשת אלחוטית פתוחה בעירך. אתחל מחדש את המסיסמה, ואם אין לך תוכנת אנטי וירוס עדיין, הורד את AVG החינמי: http://free.avg.com/us-en/download, Spybot SD: http://www.safer-networking.org/nl/home/index.html, ו/או AdAware: http://www.lavasoft.com/?domain=lavasoftusa.com.
השתמש באלה כדי לסרוק אחר keyloggers  או תוכנת מעקב אשר מישהו עם גישה למחשבך אולי שתל.

To help protect yourself while using open wireless, consider using this Firefox plugin: <https://www.eff.org/https-everywhere/> and encourage the site maintainer to support HTTPS logins.

Hacking (PHP Webshells, XSS, SQL Injection)

אין זה אומר שלא ניתן לעשות דבר.
לבעיות רצינויות, הטכניקות המסורתיות של המשטרה של הפעלת לחץ וחקירה לגילוי המשאבים, המניעים וההזדמנות עדין מאד אפקטיביים. 

בנוסף, פרויקט Tor מספק DNSRBL ממוכן עבורכם לבצע שאילתות כדי לסמן מבקרים מצמתי Tor שמחייבים טיפול מיוחד: https://www.torproject.org/projects/tordnsel.html.en.
אותה הרשימה זמינה באמצעות רשימת Tor Bulk Exit : https://check.torproject.org/cgi-bin/TorBulkExitList.py

אבל, במקום למנוע ממשתמשים לגיטימיים של Tor מלהשתמש בשרותים שלכם באופן כללי, אנו ממצליצים לוואד ששרותים כאלה מקבלים עדכונים שוטפים ומתוחזקים כדי להתנקות מנקודות תורפה שיכולות להוביל למצבים כמו זה ( פריצות ל PHP webshell/XSS /SQL Injection ).

הונאות E-Commerce

אין זה אומר שלא ניתן לעשות דבר.
לבעיות רצינויות, הטכניקות המסורתיות של המשטרה של הפעלת לחץ וחקירה לגילוי המשאבים, המניעים וההזדמנות עדין מאד אפקטיביים. 

בנוסף, פרויקט Tor מספק DNSRBL ממוכן עבורכם לבצע שאילתות כדי לסמן הזמונות המגיעות מצמתי Tor שמחייבים טיפול מיוחד: https://www.torproject.org/projects/tordnsel.html.en

זה גם מספק שרות Bulk Exit List לקבלת כל הרשימה: https://check.torproject.org/cgi-bin/TorBulkExitList.py

You can use this list to help you take a closer look at Tor orders, or to hold them temporarily for additional verification, without losing legitimate customers.

In fact, in my experience, the fraud processing teams contracted by many ISPs simply mark all requests from Tor nodes as fraud using that very list.
כך שיתכן שזו הזתנה לגיטימית, אך סומנה כהונאה שמבוססת רק על  IP, בפרט כאשר מגייסים ביצוע בדיקות הנואה על ידי צד שלישי.

איומים על אלימות (הצעה לשיחה בזמן אמת)

אם מגיעה תלונה של ניצול לרעה רציני שאינה מכוסה על יד מערך התבניות הזה. התשובה הטובה ביותר היא להמשיך את הקו של הצד המתלונן זו אינה עצה משפטית. היא לא נכתבה או נבדקה על ידי עורך דין. היא נכתבה על ידי מישהו עם נסוין בעבודה עם מספר ספקי שרות אינטרנט אשר היו להם בעיות עם צמתי יציאה של Tor ברשת שלהם. היא גם נבדקה על ידי מישהו שעובד עם ניצול לרעה אצל ספק שרות אינטרנט מוביל.

• קרא את Tor Overview. היה מוכן לסכם ולענות על מספר שאלות. הניו שהאדם עמו אתה הולך לשוחח לא יודע כלום על Tor. הנח שאדם זה אינו הולך לבטוח בשום דבר שתגיד..
  • במקרים חמורים, כגון הודעות דוא"ל טורגניות או איומים במוות, הדבר עוזר לבצע אנלוגיה למצב של העולם הפיזי בו פעוילה מבוצעת על ידי פרט אלמונ (כגון מסירת ההודעה בשרות הדואר).
  • הזכירו להם ששרות משטרתי רגיל עדיין יכול לאתר למי יש את האמצעים, מוטיבציה, וההזדמנות לבצע את הפשע.
• ארגנו שיחה או פנו ישירות בדוא"ל אל המתלונן.
• בעת השיחה וודאו שאתם מסבירים כמה נקודות:
  • אתם לא אלה שביצעו את הדבר.
  • אתם מפעילי שרת אחראין ומודאגים לגבי הבעיה של המתלונן.
  • אינכם בתי שפויים. אתם אולי לא שפויים, אבל אינכם רוצים שהמתלונן ינחש שהדבר נכון.
• במקרים רבים, ספק שרות האינטרנט שלכם יהיה קשור כקשר לתלונת צד שלישי. ה ISP ירצה לדעת:
  • שהשרת שלכם לא נפרץ.
  • שהשרת שלכם אינו מתווך ספאם.
  • שהשרת שלכם אינו trojan/zombie.
  • שאתה אדמיניסטרטור שרתים מקצועי שיכול לטפל בבעיה. לכל הפחות, אתה יכול לשוחח ולהגיב לבעיה בדרך אינטלגנטית.
  • הISP אינו אשם ואינו צריך להנזק מפעולותיך. זה בדרך כלל המקרה, אך האדם המסכן שנפגע רק רוצה לשמוע שזו אינה בעית ספק שרות האינטרנט. הם ימשיכו הלאה לאחר שירגישו בנוח..
• שוחח על אפשרויות. Options Phobos שהוצעו:
  • ה ISP/מתלונן יתכן שירצו לבחון את קבצי הלוג. למרב המזל, שום דבר רגיש אינו גלוי. אולי תעדיפו ISP אחר אם הם דורשים מכם גישה לקבצי לוג ad hoc.
  • הISP/מתלונן מציע שתשתשו כמתווך. במקרה זה, אולי תרצו להתנגד עם מדיניות יציאה מופחתת, כזו שמוצעת בפריט #6 של הבלוג פוסט לעיל.
  • הISP/מתלונן דורש שתשביתו את Tor. אולי תרצו כתוצאה מכך ספק אינטרנט אחר.
  • הISP/מתלונן מודיע שיחסום בקיר האש הת התעבורה בפורטים ברירת המחדל. אולי תרצו כתוצאה מכך ספק אינטרנט אחר.
  • עדכנו את ה config לחסום תעבורה לטווח IP מסוים של צומת היציאה שלכם. תוכלו להציע למתלונן להשתמש במקום זאת ב Tor DNS RBL .
• אחרי שהכל לובן, הצע שיחת מעקב בתוך שבוע. וודאו שהשינויים עליהם הוסכם בוצעו. לא ה ISP או המתלונן אולי ירצו לבצע זאת, אך העובדה שהצעתם נזקפת לזכותכם. הדבר יעזר להם להרגיש בנוחיות עמכם.

מערכי תבנית אחרים

• DMCA Response template for Tor node maintainer to ISP כפי שנכתב על ידי EFF.
• Torservers response template emails.