Salve a tutti,
ho potuto verificare con grande accuratezza che i server a cui si connette CieID hanno un firewall eccessivamente restrittivo, bloccando inutilmente indirizzi IP che non rappresentano una cyberminaccia.
CieID blocca Tor, anche non exit
Se l’indirizzo IP da cui ci si connette compare nella blocklist DAN Tor, non ci si può autenticare nè a CieID dai siti della PA, men che meno a IO app usando CIE (rif. Richiesta login (quasi) ad ogni avvio · Issue #6400 · pagopa/io-app · GitHub, mi accodavo a un thread con gli stessi sintomi, ma lascio ai tecnici approfondire se è la stessa situazione).
Le chiamate fatte dalla app CieID, così come il browser, vengono bloccati a livello rete. Verificato su ISP Fastweb e Tim, giusto per essere sicuri che non sia il network di FW a bloccare il traffico (e perché non blocca l’accesso a forum.italia.it?)
Exit node vs relay node, la stupidaggine di DAN Tor
Avendo le dovute competenze tecniche, non posso biasimare l’amministratore di sistema che intenda bloccare il traffico TOR per una serie di ragioni che, al di là della legittimità, sono comprensibili. Occhio che CieID e i siti della PA si classificano come servizio pubblico.
Un amministratore può voler, anzi, sentirsi costretto a bloccare TOR se sui suoi server vengono sferrati notevoli DDoS, vengono rilevati costanti attacchi automatizzati ecc.
Ok, ma quelli si chiamano exit node. TL;DR: non si bloccano i relay node
Sulle mie reti ospito tranquillamente servizi TOR in ingresso (porca pupazza #2) che sono ovviamente visibili sulle liste ufficiali.
Qualcuno, es. DAN Tor, si è preoccupato di far confluire in una DNSBL la lista aggiornata in tempo reale di tutti i nodi TOR attivi in internet.
Peccato che i gestori di DAN TOR dicano
.tor.dan.me.uk
This DNS blacklist contains ALL tor nodes (entry, transit and exit nodes)
Please think carefully before choosing to use this list for blocking purposes.
Appunto, credo parli da sé. Ho verificato e riverificato le mie exit policy, e sono reject *:*
nonché reject6 *:*
per non farsi mancare nulla.
Niente, non andrebbe bloccato. E’ una cosa fuori da ogni best practice a prescindere.
Sugli exit node, vorrei stare a sindacare sul fatto di bloccare, temporaneamente e puntualmente, solo IP e porte di exit, ma solidarizzo con gli amministratori di sistema, e gli dico “se proprio volete bloccare gli exit, usate almeno la DNSBL corretta .torexit.dan.me.uk
(nota exit)”.
E probabilmente me ne farò una ragione (ma ripeto, è sbagliato in linea di principio) se CieID non si possa usare da dietro la rete TOR nei casi in cui l’utente desideri passarci attraverso
Possibili conseguenze
Ovviamente, necessità per l’utente (in Italia, è vero, saremmo 4 gatti per ora) di cambiare rete.
Al momento è attiva una issue su IO App, qui linkata, che fa perdere la sessione all’utente se CieID non risponde.
Questa issue a mio avviso può avere anche conseguenze più frustranti, che illustrerò al team di PagoPA sul Github dedicato