<div>Instead of blocking tor IPs (people will just use other proxies) why not make your site secure to begin with? Put up an IDS?</div>
<div>Ringo<br><br>&nbsp;</div>
<div><span class="gmail_quote">On 6/3/06, <b class="gmail_sendername">Nick Mathewson</b> &lt;<a href="mailto:nickm@freehaven.net">nickm@freehaven.net</a>&gt; wrote:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">On Sat, Jun 03, 2006 at 12:23:15AM -0400, y0himba wrote:<br>&gt;&nbsp;&nbsp;Item of interest?<br><br>I'm not sure this is something we need to be terribly concerned about;
<br>the original poster seems to be overreacting to something with a bad<br>blocking tool.&nbsp;&nbsp;We already ship a better tool to find the exits that<br>allow connections to you, so I'm not sure what harm this bit of C<br>could do.
<br><br>&gt; -----Original Message-----<br>&gt; From: <a href="mailto:full-disclosure-bounces@lists.grok.org.uk">full-disclosure-bounces@lists.grok.org.uk</a><br>&gt; [mailto:<a href="mailto:full-disclosure-bounces@lists.grok.org.uk">
full-disclosure-bounces@lists.grok.org.uk</a>] On Behalf Of Jason Areff<br>&gt; Sent: Saturday, June 03, 2006 12:22 AM<br>&gt; To: <a href="mailto:full-disclosure@lists.grok.org.uk">full-disclosure@lists.grok.org.uk</a><br>
&gt; Subject: [Full-disclosure] Tool Release - Tor Blocker<br>&gt;<br>&gt; It has come to our attention that the majority of tor users are not actually<br>&gt; from china but are rather malicious hackers that (ab)use it to keep their
<br>&gt; anonymity.<br><br>That's news to me.&nbsp;&nbsp;We've got around 200,000 active users by our<br>estimate; if Mr. Areff is correct, that's over 100,000 malicious<br>hackers.&nbsp;&nbsp;If that were the case, I think we'd see far more abuse
<br>reports.&nbsp;&nbsp;I'd be interested to see how he reached his conclusion about<br>our user demographics, and whether he thinks we ought to be soliciting<br>funds from organized crime rather than the DoD and the EFF (our past<br>
funders).&nbsp;&nbsp;(It's understandable why some sysadmins make this mistake,<br>of course.&nbsp;&nbsp;When Tor is used as intended, sysadmins tend not to<br>notice: it's just another IP.&nbsp;&nbsp;When jerks use Tor to irritate others,<br>Tor leaps to their attention.)
<br><br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;We have released a tool to stop users from utilizing this tool to<br>&gt; protect their identity from prosecution by a designated systems<br>&gt; administrator. Otherwise this puts the administrator in responsibility for
<br>&gt; any malicious actions caused by said user. Forensics is left with a tor exit<br>&gt; node.<br>&gt;<br>&gt; Recently our servers were hacked by a tor user and we were unable to<br>&gt; prosecute due to not being able to trace the source as the user was using
<br>&gt; this malicious piece of software to keep his/her anonymity.<br><br>Malicious?&nbsp;&nbsp;Okay.<br><br>Rhetoric aside, we fully support everybody's right to block our<br>software from using your service. In fact, we've even released a tool
<br>to help people do this.&nbsp;&nbsp;Our FAQ, our docs, and personal<br>correspondence with us would have each been sufficient to find the<br>&quot;exitlist.py&quot; script in the Tor source tree; it uses Tor to keep track<br>of exit nodes.&nbsp;&nbsp;Unlike the Apache module Mr. Areff posted, it keeps an
<br>up-to-date list of exit nodes, so that as new Tor exits arrive, you<br>learn about them automatically.&nbsp;&nbsp;That way you don't need to hardwire a<br>list of inevitably-out-of-date IP addresses, as the posted module<br>does.
<br><br>&gt; To mitigate most tor attackers we've written an apache module designed to<br>&gt; give tor users a 403 error when visiting a specific website.&nbsp;&nbsp;We suggest all<br>&gt; administrators whom do not wish a malicious tor user to visit and possibly
<br>&gt; deface their website to enable the usage of this module. This may not get<br>&gt; all attackers, but hopefully it raises the security bar just a little bit<br>&gt; more to safeguard ourselves from hackers.<br><br>
This is a good interim solution for many people.&nbsp;&nbsp;If your security<br>model is such that anybody with a non-blocked IP can deface your<br>website at will, you might want to block anonymizing networks<br>until/unless you decide to change your security model.
<br><br>&gt; Thanks.<br>&gt;<br>&gt; Jason Areff<br>&gt; CISSP, A+, MCSE, Security+<br><br>yrs,<br>--<br>Nick Mathewson<br>certified for something, I'm sure of it.<br><br><br></blockquote></div><br>