FAQ sobre abuso

Ótimo. É exatamente por isto que nós implementamos as políticas de saída.

Cada retransmissor do Tor tem uma política de saída que especifica qual tipo de conexões de saída são permitidas ou negadas por aquele retransmissor. As políticas de saída são propagadas para os clientes Tor através do diretório, assim clientes irão automaticamente evitar escolher retransmissores de saída que recusariam-se "sair" para a destinação pretendida por eles. Desta maneira, cada retransmissor pode decidir os serviços, hospedagens e redes que querem permitir conexões para, baseado no potencial de abuso e sua própria situação. Leia a entrada de suporte sobre problemas que você pode encontrar se você usar a política de saída padrão e, em seguida, leia as dicas para executar um nó de saída com o mínimo de assédio de Mike Perry .

A política padrão de saída permite acesso para vários serviços populares (ex.: navegar na web), mas restringe alguns devido o potencial de abuso (ex.: email) e alguns desde que a rede Tor não consiga lidar com o carregamento. Você pode mudar a sua política de saída editando seu arquivo torrc. Se você quiser evitar a maior parte, senão todo o potencial de abuso, defina como "reject *:*". Esta configuração significa que seu retransmissor será usado para retransmissão de tráfego dentro da rede Tor, mas não para conexões para websites externos ou outros serviços.

Se você autoriza qualquer conexão de saída, tenha certeza que a resolução de nomes funciona (isto é, que seu computador pode resolver os endereços de Internet corretamente). Se existirem qualquer recursos que o seu computador não pode alcançar (por exemplo, você está atrás de um firewall restritivo ou filtro de conteúdo), por favor, explicitamente rejeite eles na suas política de saída caso contrário usuários do Tor também serão impactados.

A missão do Tor é promover os direitos humanos com tecnologia gratuita e de código aberto, capacitando os usuários a se defenderem contra a vigilância em massa e a censura na Internet. Odiamos que existam pessoas que usam o Tor para fins nefastos e condenamos o uso indevido e a exploração de nossa tecnologia para atividades criminosas.

É essencial compreender que a intenção criminosa reside nos indivíduos e não nas ferramentas que utilizam. Assim como outras tecnologias amplamente disponíveis, o Tor pode ser usado por indivíduos com intenções criminosas. E por causa de outras opções que eles podem usar, parece improvável que tirar o Tor do mundo os impeça de se envolverem em atividades criminosas. Ao mesmo tempo, o Tor e outras medidas de privacidade podem combater o roubo de identidade, crimes físicos como perseguição, e ser usados pelas autoridades para investigar crimes e ajudar a apoiar os sobreviventes.

Ataques distribuídos de negação de serviço, em inglês "Distributed denial of service" (DDoS) tipicamente dependem que um grupo tenha milhares de computadores enviando uma enxurrada de tráfego para a vítima. Como o objetivo é sobrecarregar a "bandwidth" da vítima, eles tipicamente enviam pacotes UDP, visto que esses não necessitam de "handshakes" ou coordenação.

Mas como o Tor apenas transporta correntes de TCP que foram corretamente formadas, nem todos pacotes de IP, você não consegue enviar pacotes UDP através do Tor. (Você também não pode fazer formas específicos desse ataque como inundação SYN.) Então ataques normais de DDoS não são possíveis através do Tor. Tor também não permite ataques de amplificação de bandwidth contra sites externos: você precisa enviar um byte para cada byte que a rede Tor enviará para o seu destino. Então no geral, atacantes os quais controlam bandwidth suficiente para lançar um ataque DDoS efetivo podem fazer isso muito bem sem o Tor.

Primeiro de tudo, a política de saída padrão do Tor rejeita todo o tráfego da porta de saída 25 (SMTP). Portanto o envio de spam por email através do Tor por padrão não funcionará. É possível que algum operador de retransmissor irá habilitar a port 25 em seu nó de saída particular, no caso em que aquele computador irá autorizar o envio de emails; porém aquele indivíduo poderia apenas configurar um retransmissor de email aberto também, independentemente do Tor. Resumidamente, Tor não é útil para spam, porque quase todos retransmissores da rede Tor se recusam a entregar o email,.

Claro que não é tudo sobre entregar o email. Spammers podem usar o Tor para: conectar para abrir proxies HTTP (e de lá para servidores SMTP); conectar com scripts CGI mal escritos de envio de e-mail; e para controlar botnets - isto é, para se comunicar secretamente com exércitos de computadores comprometidos que enviam o spam.

Isto é uma pena, mas note que spammers já estão se saindo bem sem o Tor. Também lembre que muitos dos seus meios de comunicação mais sutis como pacotes UDP falsificados) não podem ser usados no Tor, porque ele apenas transporta conexões TCP formadas corretamente.

O Tor implementou políticas de saída. Cada retransmissor do Tor tem uma política de saída que especifica qual tipo de conexões de saída são permitidas ou negadas por aquele retransmissor. Desta maneira, cada retransmissor pode decidir os serviços, hospedagens e redes que querem permitir conexões para, baseado no potencial de abuso e sua própria situação. Também temos uma equipe dedicada, Network Health, para investigar o mau comportamento dos retransmissores e expulsá-los da rede.

É importante observar que, embora possamos combater algum tipo de abuso, como retransmissões defeituosas em nossa rede, não podemos ver ou gerenciar o que os usuários fazem na rede e isso ocorre intencionalmente. Este design permite, de forma esmagadora, utilizações benéficas, proporcionando aos activistas dos direitos humanos, jornalistas, sobreviventes de violência doméstica, denunciantes, agentes responsáveis pela aplicação da lei e muitos outros o máximo de privacidade e anonimato possível. Saiba mais sobre nossos usuários e os casos de uso benéficos do Tor aqui.

Se você executar um retransmissor de Tor que permita conexões de saída (como as da política padrão de saída), é provavelmente seguro dizer que você irá eventualmente escutar de alguém. Reclamações de abuso podem vir em uma variadade de formas. Por exemplo:

  • Alguém se conecta ao Hotmail, e envia uma nota de extorsão para uma companhia. O FBI te envia um email educado, para que você explique que você executa um retransmissor Tor, e eles dizem "Ah, bem" e te deixam sozinho. [Port80]
  • Alguém tenta te derrubar ao usar o Tor para conectar-se em grupos do Google e postar spam na Usener e então envia um email bravo para o seu provedor de internet sobre como você está destruindo o mundo. [Port 80]
  • Alguém se conecta a uma rede IRC e torna-se um incômodo. Seu provedor de internet recebe um email educado sobre como seu computador esta comprometido; e/ou seu computador recebe um DDoS. [Port 6667]
  • Alguém usa o Tor para baixar um filme do Vin Diesel e seu provedor de internet recebe uma aviso de remoção da DMCA. Veja o modelo padrão de resposta à DMCA da EFF para o Tor, a qual explica porque o seu provedor de internet pode provavelmente ignorar o aviso sem gerar nenhuma responsabilidade. [Portas arbitrárias]

Alguns provedores de Hosting são mais amigáveis do que outros quando se trata de saídas para o Tor. Para uma listagem veja a wiki bons e maus ISPs.

Para um acervo completo de modelos de respostas para diferente tipos de queixas de abuso, veja a coleção de modelos. Você também pode pró-ativamente reduzir a quantidade de anuso que você recebe ao seguir essas dicas para executar um nós de saída com mínimo assédio e executando uma política de saída reduzida.

Você pode também descobrir que o endereço de IP do seu retransmissor Tor está bloqueado de acessar alguns sites/serviços. Isso pode ocorrer independentemente da sua política de saída, porque alguns grupos parecem não saber ou se importar que o Tor tem políticas de saída. (Se você tem um IP sobrando, não usado para outras atividades, você pode considerar executar um retransmissor Tor nele). Em geral, é aconselhável não usar a conexão de internet da sua casa para fornecer um retransmissor Tor.

Algumas vezes idiota fazem uso do Tor para trolar canais IRC. Este abuso resulta em banimentos temporários de específicos IPs ("klines" no jargão IRC), visto que os operadores da rede tentam manter o "troll" fora da rede deles.

Esta resposta ressalta uma falha fundamental no modelo de segurança do IRC: eles assumem que aquele endereços de IP são iguais a humanos e ao bani-los eles podem banir o humano por trás deles. Na realidade, este não é o caso — muitos desses "trolls" rotineiramente fazem uso de literalmente milhões de proxies abertos e comprometem computadores por toda a Internet. As redes de IRC estão travando uma batalha perdida para tentar bloquear todos esses nós, e toda uma indústria caseira de listas de bloqueio e contra-trolls surgiu com base nesse modelo de segurança falho (não muito diferente da indústria de antivírus). Aqui a rede Tor é apenas uma gota no oceano.

Por outro lado, do ponto de vista de um operador de servidos IRC, segurança não é uma questão de tudo ou nada. Ao responder rapidamente aos "trolls" ou qualquer outo ataque social, isso pode tornar o cenário do ataque menos atrativo para o atacante. E a maioria dos endereços individuais de IP são equivalentes a indivíduos humanos, em qualquer rede IRC a qualquer momento. As exceções incluem gateways NAT, os quais podem ter acesso alocado como casos especiais. Enquanto que é uma batalha perdido tentar parar o uso de proxies abertos, geralmente não é um desperdiço de tempo tentar manter o "klining" de um único usuário IRC mal intencionado até que aquele usuário fique entediado e vá embora.

Todavia a resposta real é implementar sistemas de autenticação no nível de aplicações, para permitir que usuários bem intencionados entrem e manter de fora os de ma-fé. Isso precisa ser baseado em alguma propriedade do humano (como por exemplo uma senha que eles sabem), não alguma propriedade da maneira com que seus pacotes são transportados.

Claro que nem todas redes IRC estão tentando banir nós do Tor. No final das contas, poucas pessoas usam o Tor para IRC em privacidade com a finalidade de manter comunicações legítimas sem serem ligadas as suas identidades do mundo reai. Casa rede IRC precisa se decidir se bloquear um pouco mais de milhões de IPs que pessoas más podem usar vale a pena perder os contribuidores bem intencionados do Tor.

Se você está sendo bloqueado, tenha um conversa com os operados da rede e explique os problemas para eles. Eles podem não estar cientes por completo da existência do Tor ou eles podem estar cientes que os "hostnames" que eles estão "klining" são nós de saída Tor. Se você explicar o problema e eles concluírem que o Tor precisar ser bloqueado assim mesmo, você pode querer se mudar para uma rede que seja mais aberta à liberdade de expressão. Talvez ao convidá-los para #tor no irc.oftc.net irá ajudar a mostrar que nós não somos todos pessoas más.

Finalmente, se você souber de uma rede IRC que parece estar bloqueando o Tor ou um único nós de saída do Tor, por favor, coloque essa informação no rastreador de bloqueio IRC Tor assim outros podem compartilhar. Ao menos uma rede IRC consulta aquela página para desbloquear nós que foram bloqueados inadvertidamente.

Mesmo que Tor não seja útil para spam, alguns bloqueadores excessivamente zelosos parecem pensar que todas as redes abertas como o Tor são más - eles tentam forçar os administradores de rede em questões de política, serviço e roteamento e, em seguida, extrair resgates das vítimas.

Se os administradores de seus servidores decidirem fazer uso dessas listas de restrição para recusarem emails recebidos, você deve ter uma conversa com eles e explicar sobre o Tor e as suas políticas de saída.

Nós lamentamos ouvir isto. Existem algumas situações em que faz sentido bloquear usuários anônimos de um serviço de internet. Porém em muito casos, existem soluções mais fáceis que podem resolver seu problema enquanto ainda seja possível permitir que usuários acessem seu website seguramente.

Primeiro, pergunte-se se existe uma maneira de fazer decisões no nível da aplicação que diferencie os usuários legítimos dos idiotas. Por exemplo, você pode ter certas áreas do seu site ou certos privilégios como postagem, disponíveis apenas para pessoas que são registradas. É fácil construir uma lista atualizada de endereços de IP do Tor que permita conexões com o seu serviço, assim você poderia configurar esta distinção apenas para usuários do Tor. Desta maneira você poder ter acesso multi camadas e não ter que banir todo o seu serviço.

Por exemplo, a rede Freenode IRC teve um problema com um grupo coordenado de agressores entrando nos canais e sutilmente assumindo o controle da conversa; mas quando eles rotularam todos os usuários provenientes de nós do Tor como "usuários anônimos", removendo a capacidade dos agressores de se misturar, os agressores voltaram a usar seus proxies abertos e redes de bots.

Segundo, considere as centenas de milhares de pessoas que usam Tor diariamente simplesmente por uma boa higiene de dados — por exemplo, para proteger-se da coleta de dados de companhias de publicidade enquanto executam suas atividades normais. Outros usam Tor porque é a única maneira de passar firewalls locais restritivos. Alguns usuários de Tor podem estar legitimamente conectando-se com o seu serviço, agora mesmo, para fazer suas atividades normais. Você precisa decidir se banir a rede Tor compensa perder as contribuições desses usuários, assim como potenciais futuros usuários legítimos. (Geralmente pessoas não tem uma boa noção de quantos usuários educados de Tor estão se conectando ao seu serviço — você nunca noto-os até que haja um deseducado entre eles.)

Nesse ponto, você deveria se perguntar o que você faz sobre outros serviços que agregam muitos usuários atrás de poucos endereços de IP. O Tor não é diferente da AOL nesse ponto.

Por fim, lembre-se de que os retransmissores do Tor têm políticas de saída individuais. Muitas retransmissores Tor não permitem conexões de saída de forma alguma. Muitos desses que permitem algumas conexões de saída podem ter já desabilitado conexões para o seu serviço. Quando você vai banir nós, você deveria analisar as políticas de saída e apenas bloquear os que permitam essas conexões; e você deve manter em mente que políticas de saída podem mudar (assim como a lista geral de nós na rede).

Se você realmente quiser fazer isso, nós fornecemos uma list de retransmissores de saída Tor ou uma lista DNS-based que você pode checar.

(Alguns administradores de sistema bloqueiam faixas de endereços IP por causa de políticas institucionais ou algum padrão de abuso, porém alguns também perguntaram sobre a permissão de retransmissores de saída do Tor porque querem permitir o acesso a seus sistemas somente usando Tor. Estes scripts podem também ser usados para listas de permissão.)

Não há nada que os desenvolvedores do Tor possam fazer para rastrear usuários da rede Tor. As mesmas proteções que impedem as pessoas más de quebrar o anonimato do Tor também nos impedem de descrobrir o que está acontecendo.

Alguns fãs sugeriram que redesenhássemos o Tor para incluir um backdoor. Existem dois problemas com essa ideia. Primeiro, isto tecnicamente enfraquece muito o sistema. Ter uma maneira central de ligar usuários com suas atividades é um prato cheio para todos os tipos de invasores; e os mecanismos de política necessários para garantir um tratamento correto dessa responsabilidade são enormes e não resolvidos. Em segundo lugar, os maus não vão ser pegos por isso de qualquer maneira, já que eles usarão outros meios para garantir seu anonimato (roubo de identidade, comprometimento de computadores e uso deles como bounce pontos, etc).

Isto no fim significa que é responsabilidade dos donos de site protegerem-se contra comprometimento e problemas de segurança que podem vir de qualquer lugar. Isto apenas faz parte de se inscrever para os benefícios da Internet. Você deve estar preparado para proteger-se contra maus elementos, de onde quer que eles venham. Rastreamento e aumento da vigilância não são a resposta para prevenir abusos.

Mas lembre, isso não significa que o Tor é invulnerável. Técnicas tradicionais de polícia ainda podem ser muito efetivas contra o Tor, como investigar meios, motivos e oportunidade, entrevistar suspeitos, análise de estilo de escrita, análises técnicas do conteúdo em si, operações coordenadas, toques de teclado e outras investigações físicas. O Projeto Tor também esta feliz por trabalhar com todo mundo incluindo a polícia para treiná-los em como usar o software Tor para de maneira segura conduzir investigações ou atividades anônimas online.

O Projeto Tor não hospeda, controla ou tem a habilidade de descobrir o proprietário ou o local de um endereço .onion. O endereço .onion é um endereço de um serviço onion. O nome que você vê acabando em .onion é um descritor de serviço onion. É um nome gerado automaticamente que pode ser localizado em qualquer retransmissor Tor ou cliente em qualquer lugar na Internet. Serviços Onion são projetados para proteger ambos, o usuários e o fornecedor do serviço, de descobrirem quem eles são e de onde eles são. O design dos serviços onion significa que o proprietário e a localização do site .onion é ocultada até mesmo de nós.

Mas lembre-se de que isso não significa que os serviços onion sejam invulneráveis. Técnicas tradicionais de polícia ainda podem ser bem efetivas contra eles, como entrevista com suspeitos, análise de estilo de escrita, análises técnicas do conteúdo em si, operações coordenadas, toques de teclado e outras investigações físicas.

Se você tem uma queixa sobre materiais de abuso infantil, você provavelmente irá querer reportar isto para o Centro Nacional para Crianças Desaparecidas e Exploradas, o qual serve como ponto de coordenação nacional para investigação de pornografia infantil: http://www.missingkids.com/. Nós não vemos links que você reporta.

Nós levamos muito a sério a questão de abuso. Ativistas e autoridades policiais usam o Tor para investigar abuso e apoiar os sobreviventes. Nós trabalhamos com eles para ajudá-los a entender como o Tor pode ajudá-los a fazerem seu trabalho. Em alguns casos, erros de tecnologia são feitos e nós ajudamos a os corrigir. Porque algumas pessoas em comunidades de sobreviventes adotam o estigma ao invés da compaixão, buscar por apoio de outras vítimas necessita de tecnologia que preserve a privacidade.

Nossa recusa em adicionar backdoors e censura no Tor não é devido uma falta de preocupação. Nós recusamos a enfraquecer o Tor porque isso poderia comprometer esforços para combater o abuso infantil e o tráfico humano no mundo físico, e também removeria espaços online seguros para vítimas. Enquanto isto, criminosos continuariam a ter acesso a botnets, telefones roubados, hospedagem de contas hackeadas, o sistema postal, mensageiros, oficiais corruptos e qualquer que seja a tecnologia que surja para a troca de conteúdo. Eles são os primeiros a adotar novas tecnologias. Dito isso, é perigoso para os reguladores assumirem que bloquear e filtrar é o suficiente. Nós estamos mais interessados em esforços de ajuda para interromper ou prevenir abuso infantil do que ajudar políticos a ganhar pontos com o eleitorado ao esconder isto. O papel da corrupção é especialmente problemático; veja esse relatório das Nações Unidas sobre O Papel da Corrupção no Tráfico de Pessoas.

Finalmente, é importante considerar o mundo que as crianças irão encontrar quando forem adultas quando estivermos implementando políticas em seus nomes. Eles irão nos agradecer se não forem capazes de dizer suas opiniões seguramente como adultos? E se eles estiverem tentando expor uma falha do Estado em proteger outras crianças?