31 ottobre 2024
Negli ultimi giorni, molti operatori di relay Tor - che ospitano principalmente nodi relay su provider come Hetzner - hanno iniziato a ricevere numerose segnalazioni di abuso.
Tutte le segnalazioni riguardavano numerosi tentativi falliti di accesso SSH (parte di un attacco brute force) provenienti dai loro relay Tor.
Normalmente, i relay Tor trasportano il traffico soltanto tra un nodo di guardia e un nodo di uscita della rete Tor, e di per sé non dovrebbero effettuare connessioni SSH verso host accessibili su Internet, né tantomeno eseguire attacchi brute force SSH.
Tuttavia, dopo una prima analisi di delroth, è stato scoperto che la maggior parte dei relay Tor non stava eseguendo alcun traffico SSH.
Al contrario, un attore malintenzionato aveva iniziato a fare spoofing degli indirizzi IP dei relay Tor mentre eseguiva un attacco brute force SSH su larga scala, prendendo di mira specificamente honeypot e reti dotate di intrusion detection systems che inviano, spesso automaticamente, segnalazioni di abuso.
In questo modo, l’host di destinazione riceve tentativi di accesso SSH dall’indirizzo IP del relay, anziché dall’indirizzo IP reale dell’attore malintenzionato.
Gli host internet che effettuano un numero elevato di tentativi falliti di accesso SSH vengono rapidamente inseriti in blocklist, e ricevono al contempo molte segnalazioni di abuso; di conseguenza, il loro indirizzo IP acquisisce rapidamente una “cattiva reputazione”.
Per questi motivi, i provider di solito spengono automaticamente i server ospitanti i nodi Tor dopo un esiguo numero di segnalazioni di abuso, spesso senza alcuna possibilità di appello.
Non è una novità che molti attori non vedano di buon occhio Tor.
Questo attacco di censura mina direttamente la salute dell’infrastruttura dei relay Tor, inoltrando forzatamente le segnalazioni di abuso agli operatori.
Al momento della stesura di questo articolo, l’entità dell’attacco è ancora moderata, e l’autore rimane sconosciuto.
Per quanto riguarda le possibili soluzioni, il meglio che si può fare come operatore di relay contro l’ondata di segnalazioni di abuso è tentare di fare appello e gestire più nodi per sostituire quelli che eventualmente verranno disattivati.
Se siete un provider, prima di inoltrare segnalazioni di abuso verificate che le informazioni contenuto siano veritiere e provviste di prove, lasciando sempre la possibilità di un appello da parte degli utenti.