Wellicht moet je alle packetten gaan inspecteren, filterend op bepaalde keywords.
Het plan van IP adressen heeft geen zin aangezien deze meestal nog niet geblacklist zijn.

De exacte werking van TOR is me niet bekend, maar wellicht kan je eens kijken of de exit-node eerst nog een DNS query doet vanaf de exit node. Indien ja kan je via een OpenDNS wellicht iets doen door de DNS-requests te filteren.

Probeer is met een paar pedofielen in contact te komen , die zullen waarschijnlijk wel weten waar het te vinden is.
En dan die ip's blokkeren.
Aan de andere kant , dat kon wel eens moeilijk worden omdat veel van die rotzooi juist via TOR gehost word , voor zover ik weet.
suc6

Je wilt een Tor exit node draaien maar dan alleen voor dingen waar jij achter staat? Welke Tor gebruiker zal jouw exit node dan ooit vertrouwen? Ga je mogelijke gegevens van pedofielen doorspelen naar de politie? En van jihadisten? En drugsgebruikers? En illegale software downloaders? Veel exit nodes zijn niet te vertrouwen maar jij legt het er wel heel dik bovenop.

Als je bang bent voor het verkeer dat via jouw aansluiting het net opgaat, dan kun je er beter voor kiezen om een leaf-only node te draaien ipv een exit-node. Wil je toch per sé een exit-node draaien, overweeg dan om er een op een VPS te draaien of in de cloud bij Amazon AWS (https://cloud.torproject.org/). Scheelt weer politie over de vloer indien er misbruik wordt gemaakt van je exit-node.

"Nu realiseer ik me dat er geen publieke lijst met ip's bestaat (wellicht maar goed ook!), maar weet iemand hoe dit enkel en alleen voor deze doeleinden te bemachtigen is of welke instantie je hiervoor zou moeten/kunnen contacten?? "

Welke indruk denk je dat je wekt indien je bij instanties om zo'n lijst gaat vragen ? Waarschijnlijk gaat men je direkt in de gaten houden. Daarnaast is zo'n lijst dynamisch.

Dus je wil de vrijheid van meningsuiting waarborgen met preventieve censuur? En nee, het kan me niet schelen hoe nobel je doelen zijn. Dus doe ons een lol en zet het er eerlijk bij, dan kunnen we onze tor servers vertellen jouw tor exitnode nooit te gebruiken.

Dit is onmogelijk en roept meer vragen dan oplossingen op.

Allen dank voor de feedback, en blijkbaar heb ik hier meerdere tegen het zere been geschopt.


- Heb dit in het verleden al eens gedaan en werd enkel en alleen maar op mijn vingers getikt omdat de door mij gebruikte methodes niet legaal waren, dus dat lossen ze zelf maar op.

- Ben ik me van op de hoogte maar heb daar geen probleem mee, integendeel juist.

- Dat zijn de RBL's ook, vandaar mijn vraag naar de mogelijkheid om deze up-to-date te houden.

- Goeie tip, dankjewel hiervoor.. Ik wil niemand verplichten deze node te gebruiken, hij MAG gebruikt worden.

- ACK


Meer ideeen zijn nog steeds meer dan welkom!!

Mike.

Er is geen jurisprudentie over, maar het valt te verwachten dat beheerders van een Tor-exitnode niet aansprakelijk zijn voor het doorgegeven verkeer op dezelfde grond als waarop internetproviders niet aansprakelijk zijn voor het verkeer van hun gebruikers. De term die daarbij hoort is 'mere conduit', slechts een doorgeefluik dus. De wet (Burgerlijk Wetboek 6, artikel 196c) geeft duidelijk als een van de criteria:

(...) is niet aansprakelijk voor de doorgegeven informatie, indien hij:

a. (...)
b. (...)
c. hij de doorgegeven informatie niet heeft geselecteerd of gewijzigd.

Dat betekent dat juist het filteren van KP er wel eens voor zou kunnen zorgen dat je aansprakelijk wordt voor wat er zoal over jouw exitnode heengaat. Met andere woorden, je kunt maar beter niet kijken.

Ohja, disclaimer: IANAL.

Exact. Wat de OP wil is niet mogelijk, en als het mogelijk is, is het niet heel lang mogelijk. Je hebt zo een https website in de lucht op een nieuw IP, waar de kiddiepr0n alleen staat op /geheime/locatie. Probeer dan nog maar eens na te gaan of een IP illegaal materiaal bevat.

Daarnaast voel ik hetzelfde probleem aankomen als waarom een landelijk op ISP-niveau filter van kinderporno onwenselijk is: het is weer een vorm van censuur die veel te makkelijk uit te breiden is. Het hele idee dat gateways verkeer moeten filteren of überhaupt inzien is verkeerd.

Burgerlijk Wetboek 6, artikel 196c


Dankjewel hiervoor!
Mike

"Dus je wil de vrijheid van meningsuiting waarborgen met preventieve censuur? En nee, het kan me niet schelen hoe nobel je doelen zijn. Dus doe ons een lol en zet het er eerlijk bij, dan kunnen we onze tor servers vertellen jouw tor exitnode nooit te gebruiken."

Het blokkeren van kinderporno is slecht voor de vrijheid van meningsuiting, en is censuur ? Hoe ziek moet je zijn om zo'n houding aan te nemen (afgezien van het feit dat de vraag om die lijst bij instanties natuurlijk vrij bizar zou zijn).

"Daarnaast voel ik hetzelfde probleem aankomen als waarom een landelijk op ISP-niveau filter van kinderporno onwenselijk is: het is weer een vorm van censuur die veel te makkelijk uit te breiden is"

De vraag of een ISP van de overheid moet blokkeren is een hele andere vraag dan of jij als je een TOR node opzet kinderporno zou moeten faciliteren. Indien je een TOR node op zet, dan moet je geheel zelf weten wat je daar al dan niet op toe wil staan.

Jij hebt niet nagedacht, en wel hierom niet: Het is normaal om aan te geven welke poorten je op je exitnode wil toestaan. Dat wordt gecommuniceerd binnen het systeem en gaat redelijk transparant. Wil iemand zo'n poort gebruiken zoekt het systeem voor hem een andere exitnode. Prima. Maar toen kwam jij voorbij.

Nu ga je in uitgaande URLs wroeten om te kijken of de inhoud wel door jouw moraliteitsfilter past. Maakt niet uit welk doel, er is geen manier dat te communiceren, en het is wel censuur, en dus een aanslag op het tor systeem. Wat nou net bedoeld was om censuur te omzeilen. Afgezien van de ironie, help je hier dus niemand mee, behalve tegenstanders van tor.

Je krijgt namelijk een situatie waar verkeer op niet-te-weten criteria beoordeeld gaat worden en dan mysterieus ineens niet meer werkt, en even later wel. Dan moeten mensen zelf exitnodes gaan testen en vergelijken en zo verder. Wat de geloofwaardigheid geen goed doet, en het gebruiksgemak ook niet.

Met andere woorden, draag je tor een warm hart toe, dan doe je dit niet. Waarom moet ik jou dit uitleggen?

Ja, die vragen liggen verrekte dicht bijelkaar. Nee, zo werkt dat niet. Op verschillende niveaux niet.

Jij als tor exit node provider faciliteert verkeer zoals een ISP dat doet: Ze nemen je pakketjes aan en geven die door. Zodra je je druk gaat maken over wat er precies gezegd wordt (zeg, een uitbliepfilter voor op het telefoonnet, zou zomaar kunnen), verlies je je onafhankelijkheid. Je maakt jezelf strafbaar als je nalaat net dat ene strafbare te blokkeren wat er perongeluk tussendoor schiet. Je neemt daarmee verantwoordelijkheid op je die je als doorgeefluik niet wil hebben.

Wat dat betreft snij je dus vooral jezelf enorm in de vingers door zulks preventief te doen. Want voor je het weet komt BREIN langs en daarna de volgende en dan weer de volgende. Ook daarom is het zo vreselijk dom van die rechter om op dat punt censuur toe te staan, te vereisen zelfs. ISPs (en rechters) raken hun schone handen kwijt. En jij ook, en dat dan nog helemaal vrijwillig.

Doet er niet toe dat po-li-tie vooralsnog te stom is om te snappen dat kinderporno over tor exitnodes de beheerder van de exitnode niet aan te rekenen valt. Juridisch is zoiets een mijnenveld. En op het internet wordt je onmiddelijk als censuurder gebrandmerkt, en terecht.

Het kan me niet schelen over wat voor soort inhoud je begint, als je met zulke hersenspinsels aankomt heb je bij een systeem als tor helemaal niets te zoeken. Je hebt gewoon niet gesnapt waar het over ging.

"Wat dat betreft snij je dus vooral jezelf enorm in de vingers door zulks preventief te doen. Want voor je het weet komt BREIN langs en daarna de volgende en dan weer de volgende. "

LMFAO. Stichting Brein die langs komt bij de beheerder van een TOR exit node om bepaald verkeer te laten blokkeren. Je bent wel creatief in je argumenten waarom je als beheerder van een TOR exit node niet zou moeten blokkeren. Het is zeker ook uit den boze om enkel HTTP/HTTPS toe te staan op je TOR exit node, en geen FTP, SSH, SQL, BitTorrent etc... etc...

Het blokkeren van bepaald verkeer via een TOR exit node is vrij normaal, meestal op basis van de vraag welke poort er wordt gebruikt, zowel om kwaadaardig verkeer te verminderen, als om te voorkomen dat mensen je bandbreedte volledig in beslag nemen.

"Op het internet wordt je onmiddelijk als censuurder gebrandmerkt, en terecht"

Alleen door een paar fundamentalisten die vinden dat je kinderporno moet faciliteren wanneer je een TOR exit node draaien, omdat ze anders gaan mekkeren over censuur. Op zich is het idee van die blokkade technisch gezien vrij lastig, en de vraag van de topic starter lijkt mij ook niet realistisch.

Wel heb ik mijn eigen normen en waarden, en als ik in theorie een TOR exit node zou hebben, waarbij ik KP zou blokkeren, dan zou ik me geen seconde druk maken over de vraag of er wat mensen zijn die beginnen te huilen dat het blokkeren van websites met foto's van misbruikte en verkrachte kinderen als prive persoon gelijk staat aan censuur.

Ik ben het geheel eens met de stelling dat de blokkade van dat soort materiaal, vanuit de overheid, grote risico's met zich mee brengt, omdat men snel geneigd is andere zaken toe te voegen. Wat ik op mijn verbinding toe sta, dat moet ik echter geheel zelf weten. En niemand zal mij dwingen om daar andere categorieen aan toe te voegen.

En waarom niet? Ze hebben het ook bij ISPs gedaan. Hebben ze net een leuke wc-eend prijs voor in de wacht gesleept. Wellicht dat ze het voor tor liever wholesale bij dedicated server hosters doen, met hun favoriete gereedschap, de ex parte. Want je weet maar nooit wie er nu weer een exit node opzet.


Dat is zeker niet zo. Je geeft het antwoord zelf al:

Inderdaad, je bent vrij te kiezen welke poorten je toestaat, en dat communiceert tor intern zodat ze een andere exitnode voor je zoeken, of je moeten vertellen dat er geen exit node jouw verkeer wil doorgeven. Dat is allemaal netwerktechnisch, en niet moralistisch, bedoeld om het netwerk te beschermen en niet jouw goede moraal.

Dat werkt alleen niet op contentniveau, wat toch echt een niveautje dieper is. URLs gaan politioneren is van een hele andere orde (wellicht dat Arnout hier jurisprudentie over kan aandragen, volgens mij is die er), ook omdat de reden een andere is.


Laat die "fundamentalisten" nu ineens gelijk hebben, zowel filosofisch als gezien de praktijk. Recent voorbeeld in het VK waar al een "vrijwillig" ISP-breed (en technisch behoorlijk rot) filter van de IWF draait tegen kinderporno, opgezet met expliciete beloften dat het echt alleen daarvoor gebruikt ging worden, echt heus eerlijk echt echt echt echt echt waar. En dat bleek niet waar. Ta-daa.

Overigens gaat het niet specifiek over kinderporno faciliteren, je faciliteerd alles wat er langskomt binnen de dienst die je doorlaat, ongeacht wat. Gelijke monniken, gelijke kappen. Het hele punt is dat je je niet drukmaakt over wat je precies doorgeeft, want zodra je dat wel doet en er glipt iets tussendoor, is het ineens jouw schuld en ben jij strafbaar voor iets wat iemand anders gedaan heeft en jij nagelaten hebt te blokkeren.

De prijs van immuniteit bij het doorgeven is dat je je niet druk mag maken over wat je doorgeeft. Dat heeft niets specifiek met kinderporno van doen, en dus ook niet met of kinderporno wel of niet verboden moet zijn.

Jouw jijbak levert dus hier geen respect op. Doei.



Noem het beestje maar gewoon bij de naam hoor. Kinderporno. Plaatjes en filmpjes van kinderen terwijl die sexueel misbruikt worden. KINDERPORNO. Was dat nou zo moeilijk?

En ik zou, als ik achter jouw gepolitioneer zou komen (erg kleine kans met kinderporno, maar details) dat gelijk aan de grote klok hangen en zelf uit de te gebruiken lijst van exit nodes wissen. Want we weten niet wat je nog meer blokkeert, en jouw moraliteit opleggen aan anderen past niet bij ISP spelen, niet zonder expliciete toestemming van de gebruiker. Het specifieke onderwerp --kinderporno, terrorisme, lijsten met rekeningen van belastingontduikers, instructies hoe zelfmoord te plegen, muziek, films, maakt niet uit wat-- is hierbij volstrekt irrelevant.

Een gelekte soortgelijke lijst waarop stilletjes gefilterd werd in Australië bleek ineens een tandarts van het web gewist te hebben. Die zich verder van geen kwaad bewust was. Waarom hij dan toch op de lijst kwam? Niemand die het weet.

Hiermee geef je jezelf weg als een fundie-in-de-kast, dat je het even weet. Bonuspunten voor dat "vanuit de overheid" -- let even op dat de overheid expres vanalles "op afstand gezet heeft" waarmee het een boel oncontroleerbaarder geworden is.

Let er ook op dat BREIN inderdaad dus een private partij is die hun moraliteit aan iedereen die diensten bij ISPs in Nederland afneemt weet op te leggen. Normaliter trekt de overheid dit soort monopolies naar zich toe omdat dit nog enige controle toestaat. Ambtenaren werden geacht betrouwbaar te zijn, private partijen niet.


Ha-ha. Jammer joh. Zo werkt dat dus gewoon niet.

Ten eerste valt ISP spelen, ook indirect via tor exit nodes, maar deels onder "jouw server, jouw regels". Jouw bescherming tegen een hele hoop aantijgingen, die van doorgeefluik ("common carrier") raak je kwijt als je met DPI bezig gaat. Of je dat nou snappen wil of niet.

Ten tweede, als de overheid langskomt met een verplichting om hun zwarte lijst te implementeren, en dat kan best want je filtert reeds en zo moeilijk is het niet, kijk maar, dan heb je dat maar te doen. En anders, ach, justitie mag dan overwerkt zijn, iemand opzichtig als voorbeeld aan de schandpaal nagelen zijn ze altijd wel voor te porren.

Even ongeacht van de elle lange verhalen hierboven:

Tor heeft exitscanners draaien; welke bijvoorbeeld detecteren of de exit node via een proxy loopt; of dat er IPS filtering op plaats vind. If yes; worden ze als BadExit geflagged en krijg je geen traffic meer binnen.

Overigens is het wel geinig om Suricata op een tor exit node te zetten; kom je de raarste dingen tegen; vooral op poortje 80.

Je lacht je suf; en barst vervolgens in tranen uit als je je realiseerd hoeveel webmail services nog steeds SSL als optie zien..