Tor/VNP/ecc. sono una minaccia, ovvero c'è un senso nel bannare gli IP

Continuando la discussione da Bloccare gli utenti Tor per impostazione predefinita:

La storia collegata non ha alcun ruolo su come dovremmo proteggere Discourse. È pensata per coloro che vivono in paesi come Cina e Russia.

Per come la vedo io, il problema è che bannare un indirizzo IP aiuta solo per un breve periodo ed è un’azione simile a bannare un user agent. Funziona solo contro quelli che si comportano male e che non cercano di farti del male. Ma i malintenzionati… una totale perdita di tempo.

Cambiare IP o user agent è un trucco così banale che non aiuta contro un attaccante — non sto parlando di black hat, ma di stronzi che cercano di rompere un forum o rendere la vita di qualcuno miserabile.

Un’app non dovrebbe fare compiti che dovrebbero essere fatti altrove. Come firewall o filtraggio dei pacchetti in generale. Ma lo sta già facendo bloccando gli user agent e usando qualcosa di diverso da crontab. È una situazione simile.

Non chiedo nulla, ma vorrei sentire opinioni (e perché no, anche trucchi)

• quali misure di sicurezza dovrebbe adottare un amministratore che ospita autonomamente
• Discourse è vulnerabile contro persone arrabbiate e abili (so che avete un programma di bounty, ma quella è un’altra partita)
• e più o meno a livello meta: i ban di IP e user agent sono solo un espediente per dare una falsa sensazione di sicurezza perché abbiamo già perso questa guerra

Idee?

Puoi provare Akismet. Puoi provare ad approvare tutti gli utenti (il che è molto scomodo). Ma se un essere umano sta cercando di dare fastidio, non c’è molto che tu possa fare.

Penso che potrebbe esserci ancora un plugin per il ban ombra. Alla ricerca di qualcuno che crei un plugin per il ban ombra (non so se lo hanno creato o se è disponibile). Oppure potresti semplicemente tenere l’utente in un gruppo che tutti hanno silenziato.

Modifica: esiste: Discourse Shadowban potrebbe essere un modo per far sì che il malintenzionato non si renda conto che ciò che sta facendo di male non ha alcun effetto.

Il problema è che una maggioranza dei suoi utenti lo utilizza per scopi dannosi, per non parlare del fatto che è particolarmente popolare per la navigazione nel dark web.

Quella maggioranza è venuta da te. Non è un fatto. È un fattoide

La maggior parte degli scopi malevoli proviene dal web leggero. Al momento ho due utenti online, ma ci sono circa 20 “knockers” che cercano falle. In realtà, bannare paesi aiuta più che bannare onion.

Ma non c’è ancora molto da fare. Puoi bannare a mano ogni punto di ingresso Tor conosciuto, ma se un server non lo segnala… Non c’è differenza tra VPN e Tor, e non chiamiamo le VPN parte del dark web.

Ma ovviamente stanno usando strumenti che nascondono l’identità. Cosa potete fare voi e cosa possiamo fare noi allora? USA, Francia, Germania, Regno Unito, Cina e Russia hanno cercato di chiudere la libertà della rete, senza successo perché non c’è una leva politica e finanziaria abbastanza grande. Non vedo come Discourse possa fare di più.

Oppure possono farlo. Possono costruire un’IA in grado di identificare comportamenti malevoli. Ma siamo realistici qui: quasi tutto ciò che va oltre le parole monitorate è fantascienza al momento.

Ma il mio punto debole è che bannare IP è solo una pura perdita di tempo. Dà solo l’illusione della sicurezza, niente di più. Ci devono essere altri strumenti, ma quelle opzioni sono pessime e peggiori, perché dovremmo iniziare a limitare tutti gli utenti in qualche modo.

Il livello di fiducia di Discourse è una soluzione e in realtà non è affatto male. Ma dovrebbero esserci altre metriche oltre ai “mi piace” (non capisco perché preoccuparsi di contare i “mi piace”, perché allora il TL è solo uno strumento di marketing, niente di più) o alle letture. Quali metriche? Non lo so.

Se c’è solo un tizio dietro un admin/forum la situazione è difficile, soprattutto perché non c’è altro che i ban IP. Tutti gli altri “knockers” sono più facili, perché la maggior parte dei bot sono stupidi e mal codificati. Ecco perché al momento un IP vietnamita sta cercando di sfruttare una vecchia falla XMLRPC di WordPress su Discourse

Ma la maggior parte delle app e dei servizi guidano a nascondere la versione. Non Discourse. È così perché lo “sniffing” della versione è in realtà una vecchia storia o ci sono altre ragioni?

Mi scusi, ma cosa intende con questo?

Il problema è che Tor è molto più accessibile di qualsiasi VPN. Gli utenti Tor possono semplicemente cambiare il loro indirizzo IP con un clic.

A proposito, come farebbe una VPN ad accedere a un sito web .onion?

Se la posizione di un utente cambia costantemente (ad esempio, dalla Francia alla Corea del Sud) più e più volte, non è un comportamento sospetto? Non riesco a immaginare che i relay Tor siano impossibili da rilevare.

2318×734 132 KB

Ok, ma accontentarsi di niente non è abbastanza. La compiacenza con una sicurezza lassista è disastrosa e peggiora solo le cose.

Ci sono decine o centinaia di siti Discourse in funzione. Non è chiaro se ci siano prove di una “sicurezza lassista”. Se si desidera un controllo più robusto a livello di IP, sarà necessario farlo con un proxy inverso.

Certo.

Eppure Tor è marginale e praticamente tutto il traffico malevolo proviene tramite VPN.

Ora devo chiedere: hai mai usato una VPN? Dov’è la differenza? Stai dicendo che la maggior parte degli utenti VPN utilizza un server OpenVPN semplice?

Dando l’URL. Non capisco la tua domanda.

A volte lo è, a volte no. Ma di nuovo: e pensi che una VPN lo permetta?

Certo che può. Non facilmente, però. Puoi provare a rilevare tutti gli utenti provenienti da server VPN, anche quello non è poi così facile.

Ed è un compito che deve essere svolto sul server prima di entrare in un’app.

Sì, ma cosa succederebbe se la gente smettesse del tutto di bannare indirizzi IP? Stavo solo rispondendo a quello che ha detto @Jagster dato che lui crede che sia una perdita di tempo.

Come fai a saperlo?

Ho usato VPN in passato, sì. Ma cosa c’entrano i server privati virtuali con questa discussione?

Hai detto che non ci sono differenze tra VPN e Tor.

A meno che qualcuno non abbia inventato la teletrasportazione, non puoi passare immediatamente dalla Francia alla Corea del Sud.

Di conseguenza, c’è solo una spiegazione…

Almeno è possibile. Forse qualcuno potrebbe sviluppare un Plugin proprio a questo scopo…

Perché l’OpenVPN self-hosted è l’unica situazione in cui non è possibile cambiare IP con un clic.

I relay di uscita sono in realtà banali da rilevare per progettazione. Ecco qui.

Ci sono alcune informazioni a riguardo qui:

Anche se non è stato aggiornato per incorporare questo:

E ci sono alcune informazioni sul perché lo fanno qui:

Questa discussione non ha senso, perché

Non è vero, la maggior parte degli utenti di Tor lo usa semplicemente perché è facile iniziare ed è per curiosità.

Questo è esattamente ciò che Nextcloud ha fatto con l’app Suspicious Logins, che credo sarà presto offerta di default

Completamente falso. Interpreto questo come una mancanza di comprensione di entrambi, quindi chiarisco solo che si tratta di due cose diverse in ogni senso.

Anche questo non è vero, perché le VPN sono più facili che mai da usare ora che abbiamo Wireguard integrato nel kernel Linux e pronto per essere distribuito. Se ti riferisci al Tor browser bundle, ricorda che Mozilla ora offre il proprio servizio VPN all’interno di Firefox, il che significa che non avresti nemmeno bisogno di installare il bundle Tor.

Conversazioni come questa sono confuse. La mia comprensione è che la preoccupazione riguardi le minacce degli utenti VPN e Tor a un forum pubblico vulnerabile, ma quello che mi chiedo è perché non utilizzi queste tecnologie per rendere il tuo servizio accessibile solo a utenti fidati fin dall’inizio (supponendo che si tratti di una questione di importanza critica per te).

Sempre.

Se la minaccia che affronti è un attore a livello statale, allora sì. In quel caso saresti in pericolo perché risorse illimitate e competenza vanno ben oltre ciò che possiamo anticipare. Se sei in pericolo, ti suggerisco di non esporti mai (o i tuoi servizi) su Internet pubblico, ma spero che non sia così.

L’argomento originale aveva lo scopo di discutere il blocco di Tor in relazione ad attività indesiderate ma non correlate alla sicurezza. La mia impressione è che questo sia stato diviso per discutere il blocco di Tor/VPN in relazione alla sicurezza, ma gli scopi si siano incrociati attraverso le risposte.

Ci sono ragioni legittime per bloccare Tor e VPN, tuttavia farlo per la sicurezza non è una di queste. Attori malintenzionati possono usare Tor, possono usare VPN, possono anche usare sistemi precedentemente compromessi che potrebbero trovarsi su qualsiasi tipo di connessione (data center / casa / ufficio / qualunque cosa) in qualsiasi parte del mondo.

Allo stesso modo, supponendo che il tuo servizio sia pubblicamente disponibile senza un motivo specifico per bloccare Tor/VPN, anche gli utenti legittimi potrebbero trovarsi su uno qualsiasi di questi tipi di connessione.

Se viene osservata attività dannosa, sia manualmente che con un meccanismo automatico, il blocco temporaneo degli IP per quell’attività specifica può rendere gli attacchi manuali più difficili e gli attacchi automatizzati richiedono una rete di bot più ampia e complessa, rendendo potenzialmente il tuo servizio meno attraente come bersaglio per attori con risorse limitate.

Mi stavo soprattutto chiedendo se fosse impossibile. Grazie per le informazioni comunque!

Come faresti a saperlo però?

Oh, fantastico! Dovrò dare un’occhiata!

1. Sì, mi riferisco al browser web. Poterlo semplicemente scaricare e farlo funzionare come qualsiasi altro browser web è estremamente comodo per chiunque cerchi di nascondere ciò che sta facendo. La maggior parte delle VPN gratuite sono piuttosto losche (e molto probabilmente, stanno vendendo i tuoi dati ad altre aziende), e se vuoi usare una VPN affidabile, dovrai sborsare un paio di dollari ogni mese. Tor è gratuito e affidabile. Semplicemente non puoi competere con il gratuito.

2. Questo è un punto simile a quello sopra, ma la VPN di Mozilla costa denaro.

Perché un forum vorrebbe rendersi accessibile esclusivamente tramite Tor? È considerevolmente più lento dei browser web “normali”, e immagina solo l’incubo di convincere gli utenti a passare…

In quale contesto? Solo per curiosità…

È una questione di pesare i pro e i contro. Qual è la percentuale di utenti “buoni” che usano Tor rispetto alla percentuale di utenti “cattivi” che usano Tor?

Non sono sicuro di quanto possa essere efficace. Considerando quanto è grande la rete Tor, sarebbe come giocare a un gioco del gatto e del topo cercando di bloccare tutti gli indirizzi IP.

In ogni senso? No, non lo è. Sono diversi solo quando parliamo della soluzione tecnica dietro di essi.

Per un amministratore che legge i log, sono totalmente uguali. Non c’è differenza. C’è un utente che effettua richieste da un IP che cambia e che porta a un VPS/qualcosa che assomiglia a un VPS..

Questo è un punto di vista. La maggior parte dei tentativi di attacco proviene da VPN/tor — tor è una minoranza esigua, tuttavia. Il livello di abilità quando tali aggressori utilizzano vecchi elenchi di password o tentano di sfruttare vecchi buchi di WordPress è un’altra storia. Ma un punto di partenza come questo, in cui non impediamo qualcosa alla fonte solo perché uno script kiddie riesce a malapena a copiare e incollare, è davvero debole.

Ma in argomenti come questo si dovrebbe sempre ricordare che là fuori ci sono due mondi, quasi opposti:

• globale vs. locale
• affari vs. (quasi) tutto

I primi non possono presumere che qualcuno non sia una persona legittima solo in base a come è entrato in rete. I secondi possono farlo quando ricevono solo spazzatura tramite VPS e tor.

Quindi, allora questo

non è sempre vero. Dipende.

Questo è vero se parliamo di veri aggressori. Ma quando là fuori c’è solo un’altra persona incazzata che non usa Linux. E anche se ci fosse qualcos’altro in uso rispetto a un server headless, c’è un’alta probabilità che semplicemente non sappia come usarlo. Il VPS è molto più facile.

Quindi — stiamo parlando abbastanza spesso ora di due mondi diversi. O casi.

Non ho grossi problemi con tor. La VPN è un’altra storia, ma è solo perché scraper e “knockers” la usano così spesso.

Per me la situazione è abbastanza facile. Non ha alcun senso bloccare un IP perché cambierà dopo 2-5 tentativi. Sono in una soluzione così facile che gestisco servizi puramente locali senza alcuna importanza finanziaria maggiore e posso usare geoip.

Al momento non è in uso, però. E ho più o meno 200 visitatori simultanei che cercano di accedere a SSH, WordPress, Drupal… per non parlare di tutto, ma solo gli scraper SEO sono interessati a Discourse

Hai qualche dato a supporto?

Per quanto ne sappiamo, potrebbe essere l’esatto contrario.

Perché no? Se l’indirizzo IP di qualcuno si trova in Canada durante un periodo di accesso, poi in Danimarca durante il periodo di accesso successivo, poi in Zimbabwe durante il periodo di accesso successivo, sembra legittimo?

Sembra che un bot stia usando una VPN.

Sì, e questo non è assolutamente legittimo. Forse non sto capendo il punto che stai cercando di comunicare?

Non sono sicuro di quale sia la mia opinione sul fingerprinting, ma potrebbe essere un’opzione (magari per un plugin)

AmIUnique dice che ho un’impronta digitale unica tra “887481 impronte digitali nel nostro intero set di dati” (se ci si può fidare, l’ho appena trovato ora)

modifica: mostrano le informazioni che utilizzano, ed è molto, anche dettagli dalla mia scheda video a causa di webgl, è totalmente fattibile, si potrebbe passare da un dispositivo all’altro e continuare a modificare la configurazione del browser per cercare di aggirarlo, quindi non sarà perfetto o facile da risolvere il problema

Lo è già un Plugin.

La maggior parte dei principali browser web ora tenta di bloccare il fingerprinting (e tornando all’argomento originale di questo topic, Tor è probabilmente il più immune al fingerprinting per ovvie ragioni).

Quindi sì, forse sarebbe potuta essere una buona opzione qualche anno fa, ma sta diventando sempre più difficile fare il fingerprinting degli utenti poiché le grandi aziende reprimono gli inserzionisti per motivi di privacy.

Potrebbe essere un’euristica e segnalare l’utente per verifica manuale invece di bloccarlo del tutto, in modo che possa essere aggressivo nella sua identificazione.

Tor potrebbe essere difficile da identificare per un utente specifico, ma sarebbe abbastanza giusto mettere tutti gli utenti Tor in verifica manuale, la maggior parte dei forum non ne avrà molti.

(scusa se il plugin lo fa già, sono su mobile, non l’ho ancora controllato)