Update to latest version
Ruben Garcia authored 16 years ago
|
12) <hr />
13)
14) <a id="WhatAboutCriminals"></a>
15) <h3><a class="anchor" href="#WhatAboutCriminals">¿No permite Tor
16) que los criminales hagan cosas malas?</a></h3>
17)
18) <p>Los criminales ya pueden hacer cosas malas. Como desean saltarse la
19) ley, ya tienen muchas opciones disponibles que les dan <em>mejor</em>
20) privacidad de la que da Tor. Pueden robar teléfonos móviles, usarlos,
21) y tirarlos a una cuneta; pueden entrar ilegalmente en ordenadores
22) de Corea o Brasil y usarlos para lanzar actividades abusivas; pueden
23) usar spyware, viruses, y otras técnicas para tomar el control de
24) millones literalmente de máquinas Windows de todo el mundo. </p>
25)
26) <p>El fin de Tor es dar protección a la gente normal que quiere seguir la
27) ley. Sólo los criminales tienen privacidad ahora, y tenemos que arreglar
28) eso. </p>
29)
30) <p>Algunos defensores del anonimato explican que es simplemente un compromiso
31) — aceptar los usos malos por los usos buenos — pero hay más cosas.
32) Los criminales y otra gente mala tienen la motivación para aprender cómo
33) conseguir buen anonimato, y muchos tienen la motivación de pagar bien para
34) conseguirlo. Ser capaz de robar y reusar las identidades de víctimas inocentes
35) (robo de identidad) lo hace aún más fácil. La gente normal, por otra parte,
36) no tiene tiempo o dinero para gastar averiguando cómo conseguir privacidad
37) online. Éste es el peor de todos los mundos posibles. </p>
38)
39) <p>Así que sí, los criminales podrían en teoría usar Tor, pero ya tienen
40) mejores opciones, y parece poco probable que eliminar Tor del mundo
41) les impida hacer sus cosas malas. Al mismo tiempo, Tor y otras medidas
42) de privacidad pueden <em>luchar</em> contra el robo de identidad, crímenes
43) físicos como el acoso, etcétera. </p>
44)
45) <!--
46) <a id="Pervasive"></a>
47) <h3><a class="anchor" href="#Pervasive">Si todo el mundo empieza a usar
48) Tor, ¿no colapsará la civilización?</a></h3>
49) -->
50)
51) <a id="DDoS"></a>
52) <h3><a class="anchor" href="#DDoS">¿Y qué pasa con los ataques distribuídos
53) de denegación de servicio?</a></h3>
54)
55) <p>Los ataques distribuidos de denegación de servicio (DDoS) típicamente
56) se apoyan en tener un grupo de miles de ordenadores, todos los cuales envían
57) muchísimo tráfico a una víctima. Como la meta es sobrecargar el ancho de banda
58) de la víctima, típicamente envían paquetes UDP ya que no requieren handshakes
59) ni coordinación. </p>
60)
61) <p>Pero como Tor sólo transporta flujos TCP correctamente formados, no
62) todos los paquetes IP, no se pueden mandar paquetes UDP sobre Tor. (No
63) se pueden hacer formas especializadas de este ataque como SYN flooding
64) tampoco.) Así que los ataques DDoS normales no son posibles sobre Tor.
65) Tor tampoco permite ataques de amplificación de ancho de banda contra sitios
66) externos: hay que enviar un byte para cada byte que la red Tor enviará al
67) destino. Así que en general, los atacantes que controlan suficiente ancho
68) de banda para lanzar un ataque efectivo DDoS lo pueden hacer perfectamente
69) sin Tor. </p>
70)
71) <a id="WhatAboutSpammers"></a>
72) <h3><a class="anchor" href="#WhatAboutSpammers">¿Y los spammers?</a></h3>
73)
74) <p>Lo primero de todo, la política de salida por defecto de Tor rechaza
75) todo el tráfico de salida al puerto 25 (SMTP). Así que enviar correo spam
76) a través de Tor no va a funcionar por defecto. Es posible que algunos operadores
77) de repetidores activen el puerto 25 en su nodo de salida particular, en cuyo
78) caso ese ordenador permitirá correos de salida; pero ese individuo podría
79) también configurar un relay de correo abierto, independiente de Tor. Para
80) resumir, Tor no es útil para mandar spam, porque casi todos los repetidores
81) Tor se niegan a enviar el correo. </p>
82)
83) <p>Por supuesto, no sólo es entregar el correo. Los spammers pueden usar
84) Tor para conectarse a proxies HTTP abiertos (y de ahí a los servidores SMTP);
85) para conectarse a scripts CGI mal escritos que envíen correo; y para controlar
86) sus botnets — eso quiere decir, comunicarse ocultamente con ejércitos de
87) ordenadores comprometidos que envíen el spam.
88) </p>
89)
90) <p>
91) Esto es una vergüenza, pero note que los spammers lo están haciendo
92) estupendamente sin Tor. Además, recuerde que muchos de sus mecanismos
93) de comunicación más sutiles (como paquetes UDP falsos) no pueden ser usados
94) con Tor, porque sólo transporta conexiones TCP correctamente formadas.
95) </p>
96)
97) <a id="ExitPolicies"></a>
98) <h3><a class="anchor" href="#ExitPolicies">¿Cómo funcionan las políticas de salida de Tor?</a></h3>
99)
100) <p>Cada repetidor Tor tiene una política de salida que especifica qué tipo
101) de conexiones salientes se permiten o deniegan para ese repetidor. Las
102) políticas de salida se propagan al cliente via el directorio, así que los
103) clientes evitarán automáticamente elegir nodos de salida que se negarían
104) a salir a su destino elegido. </p>
105)
106) <p>De este modo cada repetidor puede decidir los servicios, ordenadores y
107) redes a los que quiere permitir conexiones, basandose en el potencial de
108) abuso y su propia situación. </p>
109)
110) <a id="HowMuchAbuse"></a>
111) <h3><a class="anchor" href="#HowMuchAbuse">¿Se abusa mucho de Tor?</a></h3>
112)
113) <p>No mucho, en comparación con el resto de cosas. Hemos ejecutado la red
114) desde octubre de 2003, y sólo ha generado un puñado de quejas. Por supuesto,
115) como todas las redes orientadas a la privacidad en internet, atraemos nuestro
116) porcentaje de idiotas. Las políticas de salida de Tor ayudan a separar el
117) papel de "quiero donar recursos a la red" del de "quiero manejar quejas de abuso
118) de salida", así que esperamos que nuestra red sea más sostenible que
119) intentos pasados de redes anónimas. </p>
120)
121) <p>Como Tor tiene
122) <a href="<page overview>">muchos usos buenos también</a>,
123) sentimos que por ahora estamos consiguiendo un equilibrio
124) bastante bien. </p>
125)
126) <a id="TypicalAbuses"></a>
127) <h3><a class="anchor" href="#TypicalAbuses">¿Qué puedo esperar si ejecuto un repetidor?</a></h3>
128)
129) <p>Si ejecuta un repetidor Tor que permita conexiones salientes (como la política
130) de salida por defecto), es probablemente seguro decir que eventualmente
131) oirás de alguien. Las quejas por abuso pueden llegar de varias formas. Por ejemplo: </p>
132) <ul>
133) <li>Alguien se conecta a Hotmail, y envía una nota de chantaje a una compañía.
134) El FBI le envía un email educado, usted explica que ejecuta un repetidor Tor,
135) y ellos dicen "ah, bueno" y le dejan en paz. [Puerto 80]</li>
136) <li>Alguien intenta que le corten la red usando Tor para conectarse a
137) los grupos de Google y enviar spam a Usenet, y luego envía un correo
138) enfadado a su ISP sobre cómo está usted destruyendo el mundo. [Puerto 80]</li>
139) <li>Alguien se conecta a una red IRC y es un incordio. Tu ISP recibe
140) un correo educado acerca de cómo tu ordenador ha sido comprometido;
141) y/o tu ordenador recibe un DDoS. [Puerto 6667]</li>
142) <li>Alguien usa Tor para descargar una película de Vin Diesel, y
143) tu ISP recibe un aviso para que no vuelva a pasar. Vea la
144) <a href="<page eff/tor-dmca-response>">Plantilla de respuesta de Tor para
145) DMCA</a> de la EFF, que explica porqué tu ISP puede probablemente ignorar
146) el aviso sin problemas. [Puertos arbitrarios]</li>
147) </ul>
148)
149) <p>Puede que descubra que a la dirección IP de su repetidor Tor se le
150) ha bloqueado el acceso a algunos sitios y servicios de Internet. Esto
151) podría pasar independientemente de su política de salida, porque algunos
152) grupos no parecen saber o importarle que Tor tiene políticas de salida.
153) (Si tiene una IP de sobra que no se use para otras actividades,
154) podría considerar correr su repetidor Tor en ella.) Por ejemplo, </p>
155)
156) <ul>
157) <li>Debido a unos pocos casos de idiotas anónimos liando sus páginas web,
158) Wikipedia actualmente bloquea la escritura en muchas IPs de repetidores Tor
159) (la lectura aún funciona). Estamos hablando con Wikipedia acerca de cómo
160) podrían controlar el abuso manteniendo el acceso a los contribuidores anónimos,
161) que a menudo tienen noticias nuevas o informacion interna de un tema pero
162) no quieren arriesgarse a revelar sus identidades al publicarla (o no quieren
163) revelar a observadores locales que están accediendo Wikipedia). A Slashdot
164) le pasa lo mismo.</li>
165)
166) <li>SORBS está poniendo algunas IPs de repetidores Tor en su lista negra de
167) email también. Lo hacen porque detectan pasivamente si tu repetidor se conecta
168) a ciertas redes IRC, y concluyen de esto que tu repetidor es capaz de mandar spam.
169) Intentamos trabajar con ellos para enseñarles que no todo el software funciona así,
170) pero hemos tirado la toalla. Recomendamos que los evites, y <a
171) href="http://paulgraham.com/spamhausblacklist.html">enseñe a sus amigos
172) (si los usan) para que eviten listas negras abusivas también</a>.</li>
173)
174) </ul>
175)
176) <a id="IrcBans"></a>
177) <h3><a class="anchor" href="#IrcBans">Tor está baneada de la red IRC que quiero usar.</a></h3>
178)
179) <p>Algunas veces los idiotas usan Tor para hacer de troll en los canales IRC.
180) Este abuso resulta en baneos temporales específicos de una IP ("klines" en
181) dialecto IRC), cuando los operadores de la red intentan mantener el troll
182) fuera de su red. </p>
183)
184) <p>Esta respuesta subraya un fallo fundamental en el modelo de seguridad de IRC:
185) asumen que las direcciones IP corresponden a humanos, y que baneando
186) la dirección IP pueden banear el humano. En la realidad éste no es el caso —
187) muchos de esos trolls rutinariamente hacen uso de los literalmente millones
188) de proxies abiertos y ordenadores comprometidos de Internet. Las redes IRC
189) están luchando una batalla perdida de intentar bloquear todos esos nodos,
190) y una industria casera entera de listas negras y contra-trolls ha aparecido
191) basada en este modelo de seguridad con fallos (parecido a la industria
192) antivirus). La red Tor es sólo una gota en el océano aquí. </p>
193)
194) <p>Por otra parte, desde el punto de vista de los operadores de servidores IRC,
195) la seguridad no es todo-o-nada. Respondiendo rápido a los trolls o a
196) otros ataques sociales, puede ser posible hacer el escenario de ataque menos
197) atractivo al atacente. Y la mayoría de las direcciones IP individuales sí
198) que se corresponden con humanos individuales, en una red IRC dada en un momento dado.
199) Las excepciones incluyen pasarelas NAT que pueden ser permitidas acceso como
200) casos especiales. Aunque es una batalla perdida intentar evitar el uso
201) de proxies abiertos, no es en general una batalla perdida hacer klining a
202) usuario IRC de mal comportamiento hasta que el usuario se aburra y se vaya. </p>
203)
204) <p>Pero la verdadera respuesta es implementar sistemas de autentificación
205) de nivel de aplicación, para dejar entrar a los usuarios que se comporten
206) bien y mantener fuera a los usuarios que se comporten mal. Esto debe basarse
207) en alguna propiedad del humano (como una contraseña que sepa), no en
208) una propiedad de la forma en que sus paquetes se transportan. </p>
209)
210) <p>Por supuesto, no todas las redes IRC intentan banear los nodos Tor.
211) Despues de todo, bastante gente usa Tor para conectarse a IRC privadamente
212) para llevar a cabo comunicaciones legítimas sin que se les una a su identidad
213) del mundo real. Cada red IRC debe decidir por sí misma si por bloquear unos
214) cuantos más de los millones de IPs que la gente mala puede usar merece la
215) pena perder las contribuciones de los usuarios de Tor de buen comportamiento. </p>
216)
217) <p>Si le están bloqueando, hable con los administradores de la red y explíqueles
218) lo que pasa. Puede que no conozcan siquiera la existencia de Tor, o puede
219) que no se den cuenta de que los hostnames a los que hacen klining son nodos
220) de salida Tor. Si explica el problema, y concluyen que Tor debería ser bloqueado,
221) puede que quiera considerar moverse a una red que sea más abierta con respecto
222) a la libertad de expresión. Puede que invitarlos a #tor en irc.oftc.net
223) ayude a mostrarles que no todos somos gente mala. </p>
224)
225) <p>Finalmente, si conoce una red IRC que parezca estar bloqueando Tor,
226) o un nodo de salida Tor específico, por favor ponga esa información en
227) <a href="https://wiki.torproject.org/wiki/TheOnionRouter/BlockingIrc">el
228) tracker the bloqueo IRC a Tor</a> para que otros lo puedan saber.
229) Por lo menos una red IRC consulta esa página para desbloquear nodos de
230) salida que se han bloqueado inadvertidamente. </p>
231)
232) <a id="SMTPBans"></a>
233) <h3><a class="anchor" href="#SMTPBans">Sus nodos están baneados del servidor
234) de correo que quiero usar.</a></h3>
235)
236) <p>Aunque <a href="#WhatAboutSpammers">Tor no es útil para mandar
237) spam</a>, algunos creadores de listas negras con demasiado celo parecen
238) creer que todas las redes abiertas como Tor son malvadas —
239) intentan forzar a los administradores de red acerca de asuntos de
240) política, servicio y enrutamiento, and then extract
241) ransoms from victims. </p>
242)
243) <p>Si los administradores de su servidor deciden usar esas listas negras
244) para denegar correo de entrada, debería tener una conversación con ellos y
245) explicarles Tor y las políticas de salida de Tor. </p>
246)
247) <a id="Bans"></a>
248) <h3><a class="anchor" href="#Bans">Quiero banear la red Tor de mi servicio.</a></h3>
249)
250) <p>Sentimos oír eso. Hay situaciones en las que tiene sentido bloquear
251) a los usuarios anónimos de un servicio de Internet. Pero en muchos casos,
252) hay soluciones más fáciles que pueden resolver su problema y que permiten
253) acceder a los usuarios acceder a su sitio web de forma segura.</p>
254)
255) <p>Primero, pregúntese si hay una forma de hacer decisiones de nivel
256) de aplicación para separar los usuarios legítmos de los idiotas. Por ejemplo,
257) podría tener algunas areas del sitio, o algunos privilegios como postear,
258) permitidos sólo a la gente que esté registrada. Es facil construir una
259) lista actualizada de direcciones IP de Tor que permitan conexiones a
260) su servicio, así que podría hacer esta distinción sólo para los usuarios Tor.
261) Así puede tener acceso multinivel y no tener que banear cada aspecto
262) de su servicio. </p>
263)
264) <p>Por ejemplo, la <a
265) href="http://freenode.net/policy.shtml#tor">red IRC Freenode</a>
266) tuvo un problema con un grupo de abusadores coordinado que se unían
267) a los canales y tomaban el control de la conversación sutilmente;
268) pero cuando llamaron a todos los usuarios que venían de nodos Tor
269) "usuarios anónimos", quitando la posibilidad de que los abusadores se
270) mezclaran con el resto de la gente, los abusadores volvieron a usar sus
271) proxies abiertos y redes de bots. </p>
272)
273) <p>Segundo, considere que cientos de miles de personas usan Tor todos
274) los días simplemente por una buena higiene de datos — por ejemplo,
275) para protegerse de compañías de publicidad que guardan datos mientras siguen
276) sus actividades normales. Otros usan Tor porque es su única manera de pasar
277) cortafuegos locales restrictivos. Algunos usuarios Tor pueden estar conectándose
278) legítimamente a su servicio ahora mismo para hacer actividades normales. Necesita
279) decidir si al banear la red Tor merece la pena perder las contribuciones de
280) esos usuarios, junto con usuarios legítimos futuros potenciales. (A menudo
281) la gente no sabe cuántos usuarios Tor educados hay conectados a su servicio
282) — no los nota hasta que hay uno que no sea educado.)</p>
283)
284) <p>En este punto, debería también preguntarse qué hace con los otros
285) servicios que agregan muchos usuarios detrás de unas cuantas direcciones
286) IP. Tor no es tan diferente de AOL en este respecto.</p>
287)
288) <p>Por último, por favor recuerde que los repetidores Tor tienen <a
289) href="#ExitPolicies">políticas de salida individuales</a>. Muchos repetidores Tor no
290) permiten conexiones salientes en absoluto. Muchos de aquellos que sí que
291) permiten algunas conexiones salientes puede que ya prohiban conexiones a
292) su servicio. Cuando vaya a banear nodos, debería mirar las políticas de
293) salida y sólo bloquear los que permitan esas conexiones; y debería tener
294) en mente que las políticas de salida pueden cambiar (y también la
295) lista de nodos completa de la red). </p>
296)
297) <p>Si realmente quiere hacer esto, damos un
|
Update to latest version
omnibus update of s/svnsand...