Tor/VNP/etc são uma ameaça, ou seja, vale a pena banir IPs

Geral
1

Continuando a discussão de Bloqueando usuários do Tor por padrão:

A história vinculada não tem papel em como devemos proteger o Discourse. Destina-se àqueles que vivem em países como China e Rússia.

Como vejo, o problema é que banir um endereço IP ajuda apenas por um curto período e é uma ação semelhante a banir um user agent. Funciona apenas contra aqueles que se comportam mal e não estão tentando prejudicá-lo. Mas os maldosos… perda total de tempo.

Mudar IP ou user agent é um truque tão trivial que simplesmente não ajuda contra um atacante — não estou falando de black hats, mas de idiotas que estão tentando quebrar um fórum ou tornar a vida de alguém miserável.

Um aplicativo não deve fazer tarefas que deveriam ser feitas em outro lugar. Como firewall ou filtragem de pacotes em geral. Mas já está fazendo ao bloquear user agents e usar algo diferente do crontab. É esta uma situação semelhante?

Não peço nada, mas gostaria de ouvir opiniões (e por que não truques também)

  • que tipo de medidas de segurança um administrador de auto-hospedagem deve tomar
  • o Discourse é vulnerável contra pessoas irritadas e habilidosas (sei que vocês têm um programa de recompensa, mas isso é outra história)
  • e mais ou menos em nível de meta: banimentos de IP e user agent são apenas um artifício para dar uma falsa sensação de segurança porque já perdemos esta guerra :wink:

Ideias?

1 curtida
2

Você pode tentar o Akismet. Você pode tentar aprovar todos os usuários (o que é muito inconveniente). Mas se um humano real estiver tentando ser um incômodo, não há muito o que você possa fazer.

Acho que ainda pode haver um plugin de shadow ban. Procurando alguém para criar um plugin de shadow ban (não sei se eles o criaram ou se está disponível). Ou você pode simplesmente manter o usuário em um grupo que todos silenciaram.

Editar: ele existe: Discourse Shadowban pode ser uma maneira de fazer com que o mau ator não perceba que o que ele está fazendo de malicioso não está tendo efeito.

5 curtidas
3

O problema é que a maioria de seus usuários o utilizam para fins maliciosos, sem mencionar que ele é especialmente popular para navegar na dark web.

2 curtidas
4

Essa maioria veio de você. Não é um fato. É um factoide :wink:

A maioria dos propósitos maliciosos é feita a partir da web leve. No momento, tenho dois usuários online, mas há cerca de 20 “batendo” tentando encontrar falhas. Na verdade, banir países ajuda mais do que banir onions.

Mas ainda não há muito o que fazer. Você pode banir manualmente todos os pontos de entrada Tor conhecidos, mas se um servidor não o informar… Não há diferença entre VPN e Tor, e não chamamos VPNs de parte da dark web.

Mas, é claro, eles estão usando ferramentas que ocultam a identidade. O que você e nós podemos fazer então? EUA, França, Alemanha, Reino Unido, China e Rússia tentaram fechar a liberdade da rede, sem sucesso porque não há alavancagem política e financeira grande o suficiente. Não vejo como o Discourse poderia fazer mais.

Ou eles podem. Eles podem construir uma IA que possa identificar comportamentos maliciosos. Mas sejamos realistas aqui - quase tudo além de palavras monitoradas é ficção científica no momento.

Mas meu ponto fraco é que banir IPs é apenas uma perda de tempo. Isso apenas dá uma ilusão de segurança, nada mais. Deve haver alguma outra ferramenta, mas essas opções são ruins e piores, porque então teríamos que começar a limitar todos os usuários de alguma forma.

O nível de confiança do Discourse é uma solução e, na verdade, não é nada ruim. Mas deveria haver outras métricas além de curtidas (eu simplesmente não entendo por que se preocupar em contar curtidas, porque então o TL é uma ferramenta de marketing, nada mais) ou leituras. Que métricas? Eu não sei.

Se apenas um cara está atrás de um administrador/fórum, essa situação é difícil - principalmente porque não há nada além de banimentos de IP. Todos os outros “batendo” são mais fáceis, porque a maioria dos bots é estúpida e mal codificada. É por isso que, no momento, um IP vietnamita está tentando explorar uma antiga falha XMLRPC do WordPress no Discourse :man_facepalming:

Mas a maioria dos aplicativos e serviços orienta a ocultar a versão. Não o Discourse. É assim porque a detecção de versão é uma história antiga ou há outras razões?

1 curtida
5

Desculpe, mas o que você quer dizer com isso?

O problema é que o Tor é muito mais acessível do que qualquer VPN por aí. Os usuários do Tor podem simplesmente mudar seu endereço IP com o clique de um botão.

A propósito, como uma VPN permitiria que você acessasse um site .onion?

Se a localização de um usuário está mudando constantemente (por exemplo, de França para Coreia do Sul) repetidamente, isso não é um comportamento suspeito? Não consigo imaginar que os relés Tor sejam impossíveis de detectar.

2318×734 132 KB

Ok, mas se contentar com nada não é suficiente. A complacência com segurança frouxa é desastrosa e apenas piora as coisas.

1 curtida
6

Existem dezenas ou centenas de sites Discourse em funcionamento. Não está claro se há alguma evidência de “segurança frouxa”. Se você quiser ter um controle mais robusto em nível de IP, precisará fazê-lo com um proxy reverso.

1 curtida
7

Claro.

E ainda assim o Tor está na margem e praticamente todo o tráfego malicioso vem via VPN.

Agora tenho que perguntar: você já usou VPN? Onde está a diferença? Você está dizendo agora que a maioria dos usuários de VPN está usando um servidor OpenVPN simples?

Dando o URL. Eu não entendo sua pergunta.

Às vezes é, às vezes não. Mas novamente: e você acha que a VPN permite?

Claro que pode. Não é fácil, no entanto. Você pode tentar detectar todos os usuários vindos de servidores VPN, o que também não é tão fácil.

E é uma tarefa que deve ser feita no servidor antes de entrar em um aplicativo.

1 curtida
8

Sim, mas e se as pessoas parassem de banir endereços IP completamente? Eu estava apenas respondendo ao que @Jagster disse, já que ele acredita que é uma perda de tempo.

Como você sabe disso?

Eu já usei VPNs antes, sim. Mas o que servidores privados virtuais têm a ver com esta discussão?

Você disse que não há diferenças entre VPNs e Tor.

A menos que alguém tenha inventado a teletransporte, você não pode ir imediatamente da França para a Coreia do Sul.

Como resultado, há apenas uma explicação… :wink:

Pelo menos é possível. Talvez alguém pudesse desenvolver um Plugin para esse exato propósito… :thinking:

1 curtida
9

Porque o OpenVPN auto-hospedado é a única situação em que não se pode alterar o IP com um clique.

1 curtida
10

Os relés de saída são, na verdade, triviais de detectar por design. Aqui estão eles.

Há algumas informações sobre isso aqui:

Embora isso não tenha sido atualizado para incorporar isto:

E há algumas informações sobre por que eles fazem isso aqui:

1 curtida
11

Esta discussão não faz sentido, porque

Não é verdade, a maioria dos usuários do Tor simplesmente o utiliza porque é fácil de começar e eles estão curiosos. :person_shrugging:

É exatamente isso que o Nextcloud fez com o aplicativo de logins suspeitos, que acredito que em breve será oferecido por padrão.

Completamente falso. Interpreto isso como falta de compreensão de ambos, então apenas esclareço que são duas coisas diferentes em todos os sentidos.

Também não é verdade, porque as VPNs são mais fáceis do que nunca de usar agora que temos o Wireguard integrado ao kernel Linux e pronto para implantação. Se você está se referindo ao pacote do navegador Tor, lembre-se que a Mozilla agora oferece seu próprio serviço de VPN dentro do Firefox, o que significa que você nem precisaria instalar o pacote Tor.

Conversas como esta são confusas. Minha compreensão é que a preocupação é sobre ameaças de usuários de VPN e Tor a um fórum público vulnerável, mas o que estou me perguntando é por que você não está usando essas tecnologias para tornar seu serviço acessível apenas a usuários confiáveis desde o início (assumindo que esta é uma questão de importância crítica para você).

Sempre.

Se a ameaça que você enfrenta é de um ator de nível estatal, então sim. Nesse caso, você estaria em perigo porque recursos e expertise ilimitados vão muito além do que podemos antecipar. Se você está em perigo, sugiro que nunca se exponha (ou seus serviços) na internet pública, mas espero que não seja o caso. :heart:

1 curtida
12

O tópico original tinha o propósito de discutir o bloqueio do Tor em relação a atividades indesejadas, mas não relacionadas à segurança. Minha impressão é que este foi dividido para discutir o bloqueio de Tor/VPN em relação à segurança, mas os propósitos se cruzaram através das respostas.

Existem razões legítimas para bloquear Tor e VPNs, no entanto, fazê-lo por segurança não é uma delas. Atores mal-intencionados podem usar Tor, podem usar VPNs, podem também usar sistemas previamente comprometidos que podem estar em qualquer tipo de conexão (data center / casa / escritório / o que for) em qualquer lugar do mundo.

Da mesma forma, assumindo que seu serviço está publicamente disponível sem motivo específico para bloquear Tor/VPNs, usuários legítimos também podem estar em qualquer um desses tipos de conexão.

Se atividade maliciosa for observada, seja manualmente ou com um mecanismo automático, o bloqueio temporário de IP para essa atividade específica pode tornar os ataques manuais mais difíceis e os ataques automatizados exigem uma rede de bots maior e mais complexa, potencialmente tornando seu serviço menos atraente como alvo para atores com recursos limitados.

4 curtidas
13

[quote=“Simon Manning, post:10, topic:240455, username:Simon_Manning”]
Saídas de retransmissão são, na verdade, triviais de detectar por design.
[/quote]Eu estava principalmente me perguntando se era impossível. Obrigado pela informação! :+1:

[quote=“james.network, post:11, topic:240455, username:sunjam”]
Não é verdade, a maioria dos usuários do Tor simplesmente o usa porque é fácil de começar e eles estão curiosos. :person_shrugging:
[/quote]Como você saberia disso?

[quote=“james.network, post:11, topic:240455, username:sunjam”]
É exatamente isso que o Nextcloud fez com o aplicativo Suspicious Logins, que acredito que em breve será oferecido por padrão
[/quote]Oh, que ótimo! Vou ter que conferir!

[quote=“james.network, post:11, topic:240455, username:sunjam”]
Também não é verdade, porque as VPNs são mais fáceis do que nunca de usar, agora que temos o Wireguard integrado ao kernel Linux e pronto para implantação. Se você está se referindo ao pacote Tor Browser, lembre-se que a Mozilla agora oferece seu próprio serviço de VPN dentro do Firefox, o que significa que você nem precisaria instalar o pacote Tor.
[/quote]1. Sim, estou me referindo ao navegador web. Ser capaz de simplesmente baixá-lo e tê-lo funcionando como qualquer outro navegador web é extremamente conveniente para qualquer pessoa que queira esconder o que está fazendo. A maioria das VPNs gratuitas são bastante duvidosas (e, muito provavelmente, elas estão vendendo seus dados para outras empresas), e se você quiser usar uma VPN confiável, terá que desembolsar alguns dólares todos os meses. O Tor é gratuito e confiável. Você simplesmente não pode competir com o gratuito. :person_shrugging:

  1. Este é um ponto semelhante ao anterior, mas a VPN da Mozilla custa dinheiro.

[quote=“james.network, post:11, topic:240455, username:sunjam”]
Conversas como esta são confusas. Meu entendimento é que a preocupação é com as ameaças de VPNs e usuários do Tor a um fórum público vulnerável, mas o que estou me perguntando é por que você não está usando essas tecnologias para tornar seu serviço acessível apenas a usuários confiáveis desde o início (assumindo que esta é uma questão de importância crítica para você).
[/quote]Por que algum fórum gostaria de se tornar exclusivamente acessível através do Tor? É consideravelmente mais lento do que navegadores web “normais”, e imagine o pesadelo tentando fazer os usuários mudarem… :dizzy_face:

[quote=“Simon Manning, post:12, topic:240455, username:Simon_Manning”]
Existem razões legítimas para bloquear Tor e VPNs, no entanto, fazer isso por segurança não é uma delas.
[/quote]Em que contexto? Só curioso… :slight_smile:

[quote=“Simon Manning, post:12, topic:240455, username:Simon_Manning”]
Igualmente, assumindo que seu serviço está publicamente disponível sem nenhuma razão específica para bloquear Tor/VPNs, usuários legítimos também podem estar em qualquer um desses tipos de conexão.
[/quote]É uma questão de pesar os prós e os contras. Qual é a porcentagem de usuários “bons” usando Tor em comparação com a porcentagem de usuários “ruins” usando Tor?

[quote=“Simon Manning, post:12, topic:240455, username:Simon_Manning”]
Se atividade maliciosa for observada, seja manualmente ou com um mecanismo automático, o bloqueio temporário de IP para essa atividade específica pode tornar os ataques manuais mais difíceis e os ataques automatizados exigem uma rede de bots maior e mais complexa, potencialmente tornando seu serviço menos atraente como alvo para atores com recursos limitados.
[/quote]Não tenho certeza de quão eficaz isso seria. Considerando o quão grande é a rede Tor, seria como jogar um jogo de gato e rato tentando bloquear todos os endereços IP.

14

Em todos os sentidos? Não é. Estes são diferentes apenas quando estamos falando sobre a solução técnica por trás deles.

Para um administrador que está lendo logs, eles são totalmente iguais. Não há diferença. Há um usuário fazendo requisições de um IP em mudança que leva a um VPS/algo que se parece com um VPS..

Esse é um ponto de vista. A maioria das tentativas de ataque vem de VPN/tor — tor é uma minoria pequena, no entanto. O nível de habilidade quando esses atacantes estão usando listas de senhas antigas ou tentando explorar buracos antigos do WordPress é outra história. Mas um ponto de partida como esse, onde não paramos algo da fonte apenas porque um script kiddie mal consegue copiar e colar, é realmente fraco.

Mas em tópicos como este, deve-se sempre lembrar que existem dois mundos, quase opostos:

  • global vs. local
  • negócios vs. (quase) tudo

Os primeiros não podem presumir que alguém não é uma pessoa legítima apenas com base em como ele/ela/isso entrou na rede. Os segundos podem, quando recebem apenas lixo via VPS e tor.

Então, então isso

nem sempre é verdade. Depende.

Isso é verdade se estivermos falando de atacantes reais. Mas quando há apenas outra pessoa irritada que não usa Linux. E mesmo que houvesse algo diferente em uso do que um servidor headless, há uma grande chance de ele/ela/isso simplesmente não saber como usá-lo. VPS é muito mais fácil.

Então — estamos falando com bastante frequência agora sobre dois mundos diferentes. Ou casos.

Não tenho grandes problemas com o tor. VPN é outra história, mas isso é apenas porque scrapers e batendo na porta estão usando com tanta frequência.

Para mim, a situação é bastante fácil. Não há nenhum ponto em proibir um IP porque ele mudará após 2-5 tentativas. Estou em uma solução tão fácil que estou gerenciando serviços puramente locais sem nenhuma importância financeira maior e posso usar geoip.

No momento, não está em uso, no entanto. E tenho mais ou menos 200 visitantes simultâneos tentando acessar SSH, WordPress, Drupal… o que você quiser, mas apenas scrapers de SEO estão interessados em Discourse :rofl:

1 curtida
15

Você tem algum dado para comprovar isso?

Pelo que sabemos, isso poderia ser o completo oposto. :person_shrugging:

Por que não? Se o endereço IP de alguém está no Canadá durante um período de login, depois na Dinamarca durante o próximo período de login, depois no Zimbábue durante o próximo período de login, isso parece legítimo?

1 curtida
16

Parece que um bot está usando VPN.

1 curtida
17

Sim, e isso certamente não é legítimo. Talvez eu não esteja entendendo o ponto que você está tentando transmitir?

1 curtida
18

Não tenho certeza qual é a minha opinião sobre impressão digital, mas isso pode ser uma opção (talvez para um plugin)

AmIUnique diz que tenho uma impressão digital única entre “887481 impressões digitais em todo o nosso conjunto de dados” (se eles puderem ser confiáveis, acabei de encontrá-lo agora)

editar: eles mostram as informações que usam, e é muita coisa, até detalhes da minha placa de vídeo por causa do webgl, é totalmente factível, pode-se alternar entre diferentes dispositivos e continuar mexendo na configuração do navegador para tentar contorná-lo, então não será perfeito ou fácil de resolver o problema

1 curtida
19

Já é um Plugin.

A maioria dos principais navegadores da web agora tenta bloquear o fingerprinting (e voltando ao assunto original deste tópico, o Tor é provavelmente o mais imune ao fingerprinting por razões óbvias).

Então, sim, talvez pudesse ter sido uma boa opção alguns anos atrás, mas está se tornando cada vez mais difícil fazer o fingerprinting de usuários à medida que grandes empresas reprimem os anunciantes por motivos de privacidade.

1 curtida
20

Poderia ser uma heurística e sinalizar o usuário para verificação manual em vez de bloqueá-lo imediatamente, para que possa ser agressivo em sua identificação.

O Tor pode ser difícil de identificar um usuário específico, mas seria justo colocar todos os usuários do Tor em verificação manual, a maioria dos fóruns não terá muitos deles.

(Desculpe se o plugin já faz isso, estou no celular, ainda não verifiquei)

1 curtida