Há treze anos, a Deflect protege milhares de organizações independentes de mídia, de direitos humanos, sem fins lucrativos e ativistas contra ataques de negação de serviço e muitos outros ataques cibernéticos. Nossos clientes vêm de mais de cem países diferentes, e suas plataformas são acessadas por mais de um milhão de pessoas todos os dias. A rede está sempre sob ataque, desde os mais comuns até os mais sofisticados, perpetrados por atores estatais que tentam silenciar nossos clientes. Mas nós perseveramos, e os clientes da Deflect desfrutam de uma experiência digital ininterrupta.
Desde que abrimos nossas portas digitais, a Deflect oferece serviços gratuitos a organizações sem fins lucrativos que se enquadram nos critérios — infraestrutura, suporte técnico, hospedagem gerenciada, análise forense e recursos avançados como o Baskerville AI. Estamos constantemente testando e implementando novas ferramentas para contornar a censura na rede, melhorar o gerenciamento de bots e proteger nossas plataformas. No entanto, nada disso é fácil, nem, aliás, barato. Uma dúzia de membros da equipe e o aluguel de infraestrutura global são o que mantêm nossos clientes online e protegidos contra ataques, dia após dia.
Até o momento, as atividades filantrópicas da Deflect têm sido financiadas principalmente por fontes públicas — subsídios governamentais e apoio de fundações. Recentemente, muitas dessas fontes desapareceram e outras estão em risco. Precisamos nos adaptar a essas novas realidades e inovar em nossas fontes de receita.
Para desviar os clientes…
Estamos comprometidos em garantir que o Deflect continue gratuito para organizações sem fins lucrativos e pessoas físicas qualificadas, cujo trabalho promova os direitos humanos, a democracia ou o bem-estar da comunidade. Para que isso seja possível, incentivamos nossos clientes atuais com condições financeiras a escolherem um plano do tipo “pague o que puder” em seu painel de controle. Sua contribuição apoia diretamente a proteção gratuita para outras pessoas que dependem do Deflect para permanecerem online.
Nosso maior trunfo é nosso histórico e vocês — nossos leitores, colegas e apoiadores. Também estamos entrando em contato com nossos antigos clientes e com a comunidade em geral para que nos ajudem a manter o Deflect funcionando com força e independência. Faça uma doação única ou inscreva-se para se tornar um patrocinador recorrente.
Estamos muito satisfeitos com nossa escolha pela Deflect CDN. A migração para a Deflect ocorreu de forma extremamente tranquila e sem nenhum tempo de inatividade, apesar da complexidade da transição. Agradecemos imensamente pelo excelente atendimento…
Estamos gratos por mais um ano de parcerias significativas, comprometidas com o avanço de nosso objetivo comum de combater a desinformação e promover um ambiente de veracidade. Agradecemos à Deflect pela proteção contra o recente…
Agradecemos à Deflect, que nos protegeu de tantos ataques cibernéticos. Eles demonstraram que sua tecnologia pode ser usada para proteger a liberdade de expressão. Daniel Samper, Los Danieles
Empresas como a Cloudflare e o Google PageSpeed não conseguiram proteger a enquete de acompanhamento eleitoral da IPOS contra um grande ataque DDoS. Obrigado, Deflect.
O Deflect se mostrou extremamente útil na proteção do nosso site e nos permitiu continuar divulgando nossas informações ao público aqui em Israel, na Palestina e no exterior.
Agradecemos à Deflect pelo apoio na proteção do nosso site http://confeniae.net. Esse apoio ajuda a defender os direitos de 1.500 comunidades da Amazônia contra o extrativismo, com o objetivo de ajudar a preservar as terras…
O serviço da Deflect tem se mostrado confiável, estável e fácil de gerenciar. A equipe de suporte é atenciosa e está sempre pronta para resolver qualquer problema. Qualquer empresa socialmente responsável deve saber que, ao…
Sua ajuda nos fez sentir menos vulneráveis e também parte de um leque mais amplo de organizações da sociedade civil comprometidas com a proteção dos direitos, da justiça e da paz em todo o mundo.…
Conhecemos a Deflect em junho de 2012, quando eclodiram os atos de violência no estado de Rakhine, em Mianmar (Birmânia). Nosso site, a primeira agência de notícias rohingya, vinha sofrendo ataques contínuos e acabou ficando…
A eQualitie realmente nos salvou quando nosso site estava sendo atacado pela extrema direita, o que nos fez perder nossa hospedagem. Vocês todos entraram em ação, se ofereceram para hospedar o site e nos protegeram…
Basicamente, gostamos de tudo, especialmente dos princípios relativos ao respeito à privacidade e à propriedade dos dados — temos a garantia de que o Deflect não venderá nossos dados.
Muito obrigado pelo seu apoio para que o projeto voltasse a funcionar e também pelo apoio geral que a Deflect oferece às organizações sem fins lucrativos. É fundamental que nossa equipe de Uganda possa divulgar…
Relatório de ataques DoS/DDoS contra sites protegidos pelo Deflect entre 7 e 22 de outubro de 2023
INTRODUÇÃO
A violência que assolou Israel e Gaza nas últimas semanas também se espalhou pelo espaço digital. Desde imagens horripilantes de assassinatos em nossas telas de computador até discursos de ódio em todas as plataformas de mídia social. A infraestrutura da Deflect tem sido, há muitos anos, um espaço seguro para grupos de direitos humanos, meios de comunicação e instituições civis israelenses e palestinos. A equipe do Deflect continua a aplicar os princípios e os termos de serviço do nosso projeto para garantir que a rede não seja usada como plataforma para promover violência ou ódio. Também buscamos a permissão explícita de nossos clientes antes de divulgar sua associação com o Deflect e de relatar ataques que visam silenciá-los.
Desde 7 de outubro de 2023, a Deflect registrou seis ataques significativos do tipo DoS/DDoS contra organizações de direitos humanos israelenses (btselem.org), que culminaram em 54 milhões de eventos de ataque contra nossos servidores de borda. Também registramos 11 ataques DoS/DDoS significativos contra o site de notícias palestino (palestinechronicle.com), com um total de 7 milhões de acessos maliciosos em diversas formas de ataque.
COBERTURA
Este relatório abrange apenas os registros HTTP/HTTPS da camada L7. Pode haver mais tráfego de ataque abaixo da camada L7, mas isso não é abordado neste relatório. Portanto, não fornecemos informações sobre o volume de tráfego (como 1 GB de tráfego por segundo).
Um ataque com uma “taxa de bloqueio” mais alta pode subestimar a magnitude original do ataque. Pois, após o bloqueio do Deflect, o IP atacante será bloqueado no nível do firewall, impedindo que quaisquer outras solicitações provenientes desse IP cheguem ao nosso servidor.
Sites com parâmetros técnicos diferentes podem apresentar comportamentos distintos no registro de logs. Um site em que o JS Challenger esteja constantemente ativado, desafiando todas as solicitações, mas que não bloqueie por firewall os IPs que falharem em muitos desafios, pode resultar em um maior volume de tráfego de ataque registrado nos logs.
METODOLOGIA
Para distinguir os ataques do tráfego normal, utilizamos a seguinte metodologia:
Identifique se houve um pico no tráfego total ou no registro de bloqueios durante um intervalo de 24 horas.
Limite a busca a esse intervalo de tempo para identificar anomalias, que geralmente incluem:
Excesso de solicitações em determinada URL (como a raiz /)
Excesso de solicitações com o mesmo User-Agent provenientes de endereços IP diferentes
Distribuição uniforme do User-Agent e do método HTTP que é perfeita demais para ser verdade
String de consulta exclusiva excessiva (como ?v={rand}) para evitar o cache
Verifique se os IPs com maior tráfego acionaram alguma de nossas regras de limitação de taxa.
Verifique com o sistema Baskerville, um sistema de aprendizado de máquina que detecta tráfego anômalo.
ATAQUE: BTSELEM.ORG
Parâmetros: JS Challenger: Ativado / Resultado em caso de falha no desafio ou atingimento do limite de tentativas: Sem banimento
#
Data
Início (+0)
Duração (s)
Solicitação HTTP
RPS
IP exclusivo
Proibições exclusivas
Taxa de proibição
B1
9 de outubro de 2023
20:37:51
997
52.497.380
52.644
245
165
67,35%
B2
13/10/2023
15:37:26
2665
291.192
109
1
1
100,00%
B3
16/10/2023
15:02:08
123
146.066
1.186
1.833
1.416
77,25%
B4
16/10/2023
22:32:55
483
1.068.436
2.211
3.611
2.403
66,55%
B5
18/10/2023
0:03:12
141
165.171
1.168
3.133
2.755
87,93%
B6
20/10/2023
13:24:30
181
133.930
739
2.606
2.281
87,53%
Gráfico A: Visualização do registro de bloqueios do Deflect / Banjax do ataque #B1
O ataque #B1 é considerado o mais potente registrado neste relatório. Ele atingiu uma média de 52.644 solicitações por segundo (RPS). Os seis principais endereços IP de origem enviaram, em média, 3 milhões de solicitações em um período de 10 minutos. Os invasores empregaram uma estratégia de “inundação aleatória sem cache” (Randomized Nocache Flood), utilizando strings de consulta variadas para contornar o cache. Notavelmente, observou-se que a mesma string de consulta estava sendo usada por diferentes endereços IP de várias localidades ao redor do mundo.
O ataque #B2 teve origem em um único endereço IP: 46.210.30.130. No entanto, uma aparente configuração incorreta na ferramenta do invasor fez com que todas as suas solicitações fossem rejeitadas pelo nosso servidor.
O ataque #B3 apresentava strings de user-agent com pequenas variações nos números de versão, mantendo uma estrutura básica consistente. No entanto, elas não eram totalmente únicas; detectou-se que a mesma string de user-agent estava sendo usada por 37 endereços IP diferentes.
O Ataque #B4 adotou uma estratégia semelhante à do Ataque #B3, mas apresentou um leque mais amplo de agentes de usuário e teve como alvo específico o endpoint /hebrew, em vez do diretório raiz do site (/).
Gráfico B: Reação de Baskerville ao ataque #B4
O Ataque #B5 seguiu as mesmas táticas observadas no Ataque #B3, mas utilizou um conjunto diferente de user-agents.
O ataque #B6 compartilhou três strings de User-agent idênticas entre os 2.606 endereços IP.
ATAQUE: PALESTINECHRONICLE.COM
Parâmetros: Js Challenger: Desativado / Resultado do limite de taxa de acertos: Bloqueio pelo firewall
#
Data
Início (+0)
Duração (s)
Solicitação HTTP
RPS
IP exclusivo
Proibições exclusivas
Taxa de proibição
P1
8 de outubro de 2023
8:26:53
515
88.014
171
1.879
917
48,80%
P2
8 de outubro de 2023
14:42:26
925
86.991
94
1
1
100,00%
P3
9 de outubro de 2023
10:16:30
299
364.241
1.218
1.632
1.445
88,54%
P4
9 de outubro de 2023
22:34:09
154
1.198.752
7.764
1
1
100,00%
P5
10/10/2023
13:11:02
739
230.643
312
2.002
1.721
85,96%
P6
10/10/2023
17:06:39
668
2.869.176
4.294
708
532
75,14%
P7
12/10/2023
20:27:52
272
711.511
2.613
1.506
867
57,57%
P8
12/10/2023
20:57:58
248
738.380
2.977
1.142
938
82,14%
P9
13/10/2023
0:32:16
181
458.354
2.533
828
746
90,10%
P10
13/10/2023
9:25:37
177
291.291
1.648
759
710
93,54%
P11
21/10/2023
16:31:55
117
269.027
2.305
2.228
1.347
60,46%
Gráfico C: Visualização do registro de bloqueios do Deflect / Banjax do ataque #P6
Os ataques #P2 e #P4 foram perpetrados por um único endereço IP. Ambos tiveram como alvo a porta HTTP 80 e não seguiram o redirecionamento 301 para HTTPS. As solicitações 301 excessivas só passaram a ser bloqueadas a partir de 14 de outubro.
O ataque #P6 foi executado principalmente a partir de um único endereço IP, que, da mesma forma, não respeitou os redirecionamentos 301 emitidos pelo Deflect.
Os ataques #P7, #P8, #P9 e #P10 apresentaram semelhanças em sua abordagem; todos utilizaram uma string de user-agent distribuída uniformemente, o que sugere que foram observadas strings de user-agent idênticas em vários endereços IP.
CORRELAÇÃO DE ATAQUES
Observamos sobreposições significativas nos endereços IP dos atacantes em vários ataques DDoS aos sites palestinechronicle.com e btselem.org, o que sugere tentativas coordenadas por parte dos autores dos ataques. Aqui estão as conclusões:
Os ataques #P9 e #P10 compartilharam aproximadamente 50 endereços IP de ataque em comum.
Os ataques #P7 e #P8 tiveram cerca de 30 endereços IP de ataque idênticos.
Vale destacar que os ataques #P7, #P8, #P9 e #P10 parecem ter origem na mesma fonte de ataque, o que é comprovado por uma forte sobreposição dos endereços IP de origem.
Os ataques #P3 e #P6 tinham seis endereços IP em comum. Já os ataques #P1 e #P5 também compartilhavam seis endereços IP idênticos. A recorrência de endereços IP compartilhados em ataques distintos sugere uma possível, embora fraca, conexão com uma fonte comum de ataque ou entidades afiliadas.
Os ataques #B4, #B5 e #B6 tinham 32 endereços IP de ataque em comum, o que sugere que eles possam ter vindo da mesma fonte de ataque.
Houve também endereços IP que atacaram ambos os sites:
Os endereços IP 186.121.235.66, 187.141.184.235, 201.91.82.155 e 36.91.45.11 tiveram como alvo tanto o #B3 quanto o #P6.
Endereços IP 186.121.235.66, 187.141.184.235, 201.91.82.155, 36.91.45.11, 123.126.158.50, 223.112.53.2, 5.95.66.74, 79.107.146.14 e 190.90.8.74 atacaram tanto o #B3 quanto o #P3.
Dos 13 endereços IP que tiveram como alvo o ataque #B1, três também atacaram o ataque #P6 e seis tiveram como alvo o #P3.
PRINCIPAIS IPs DE ATAQUE
Esta é uma lista de endereços IP com número excessivo de solicitações registradas no Deflect, associados a conteúdo impróprio (ver # para o ID do ataque correspondente).
#
IP
AS
Contagem de solicitações
B1
198.50.121.146
iWeb Technologies Inc.
3.936.297
B1
202.134.19.50
Empresa de Infraestrutura de Telecomunicações CMC
3.077.579
B1
209.126.124.140
HEG US Inc.
2.908.415
P6
104.199.133.2
Google LLC
2.802.394
B1
185.191.236.162
Rack Sphere Hosting S.A.
2.751.354
B1
200.30.138.54
MILLICOM CABLE EL SALVADOR S.A. de C.V.
2.502.015
B1
103.74.121.88
Corporação para o Financiamento e a Promoção da Tecnologia
2.480.702
P4
91.227.40.198
Data Invest sp. z o.o. S.K.A.
1.198.752
B1
113.125.82.11
Cloud Computing Corporation
848.330
B1
37.211.21.205
Ooredoo Q.S.C.
831.118
B1
173.212.197.82
Contabo GmbH
662.370
B1
212.92.204.54
A1 Hrvatska d.o.o.
589.828
B1
193.41.88.58
Universidade Nacional Taras Shevchenko de Kiev
542.676
B1
109,70,189,70
JSC Elektrosvyaz
497.125
B1
186.121.235.66
AXS Bolívia S.A.
417.661
B1
93.180.220.67
Intertelecom Ltda.
417.072
B1
177.126.129.43
Net Aki Internet Ltda
399.074
B2
46.210.30.130
Cellcom Fixed Line Communication L.P.
291.192
P2
223.233.84.97
Bharti Airtel Ltd., Serviços de Telemídia
86.991
P7
23.247.35.2
Redes Globais de Frag
28.408
P9
209.17.114.78
Network Solutions, LLC
25.476
P10
209.17.114.78
Network Solutions, LLC
12.392
CONCLUSÃO
De 7 a 22 de outubro de 2023, sites israelenses e palestinos foram alvo de ataques cibernéticos coordenados e graves, com o objetivo de sobrecarregá-los e derrubá-los. Esse tipo de ataque, conhecido como ataque de Negação de Serviço Distribuída (DDoS), funciona como um engarrafamento que obstrui uma rodovia, impedindo que usuários comuns acessem o site.
Magnitude dos ataques: O site israelense de direitos humanos sofreu ataques que resultaram em 54 milhões de solicitações na web, enquanto o site de notícias palestino registrou 7 milhões de solicitações na web. Pense nisso como milhões de ligações indesejadas sobrecarregando uma linha direta.
Táticas e técnicas: Os invasores se adaptaram e utilizaram diversos métodos para contornar as defesas do Deflect. Alguns tentaram variar as solicitações de ataque de maneira sutil para enganar os conjuntos de regras manuais. Outros adotaram uma abordagem mais direta, enviando rapidamente um grande número de solicitações. Em alguns casos, os invasores tentaram disfarçar suas solicitações maliciosas, fazendo com que parecessem visitas normais de usuários.
Padrões de ataque em comum: Percebemos que muitos dos ataques a ambos os sites pareciam ter origem nas mesmas fontes ou grupos. É como identificar o mesmo grupo de desordeiros causando perturbações em vários lugares. Especificamente, os métodos e até mesmo alguns dos endereços de internet (IPs) utilizados nos ataques eram comuns aos dois sites.
Eficiência das defesas: Nossas medidas de proteção — pense nelas como guardas de segurança ou filtros — funcionaram bem na maioria dos casos. Elas conseguiram identificar e bloquear essas solicitações maliciosas, evitando interrupções significativas. No entanto, os invasores são persistentes e continuam tentando vários métodos para contornar nossas defesas.
Nos últimos tempos, nosso sistema de proteção, o Deflect, tem se mostrado um robusto guardião dos sites sob sua supervisão. Utilizando técnicas sofisticadas, que incluem o poder do aprendizado de máquina, ele tem diferenciado com precisão entre tráfego normal e malicioso. Isso não apenas garantiu que esses ciberataques fossem efetivamente frustrados, mas também manteve o serviço ininterrupto dos sites em questão. Isso é uma prova da capacidade do Deflect de lidar com ataques cibernéticos complexos e agressivos, salvaguardando a essência e o funcionamento ininterrupto das plataformas online e, assim, apoiando a liberdade de expressão na internet.
Após vários anos de trabalho árduo, temos o orgulho de anunciar o lançamento público do novo ecossistema de software Deflect. Em nossa organização no GitHub https://github.com/deflect-ca você encontrará todos os repositórios oficiais de código aberto relacionados ao Deflect, que permitem que você implemente uma infraestrutura completa de proteção de sites ou seus componentes individuais. O Deflect oferece uma rede de armazenamento em cache e entrega de conteúdo de alto desempenho, ferramentas de mitigação de ataques cibernéticos com tecnologia da Banjax e do centro de aprendizado de máquina Baskerville, painéis de controle para usuários, APIs e muito mais. Você está lendo esta postagem em uma infraestrutura do Deflect reconstruída e refatorada, e estamos muito orgulhosos disso!
A seguir, apresentamos a história de como o novo Deflect surgiu e os motivos que levaram às diversas escolhas de software.
Desviar-próximo
Criado em 2011, o Deflect foi uma solução relativamente simples para o problema do tipo “muitos contra um” dos ataques de negação de serviço distribuída (DDoS) direcionados aos servidores web da sociedade civil. Ao executar o software de cache e mitigação do Deflect em servidores de borda em constante rotação, estrategicamente localizados em alguns dos maiores data centers do mundo, oferecemos um cenário de “muitos contra muitos”, utilizando a natureza abrangente da Internet de maneira semelhante àqueles que organizavam ataques contra nossos clientes – nivelando o campo de jogo e trazendo um pouco mais de “igualdade” para os direitos de nossos clientes à liberdade de expressão e de associação com nosso público. Os servidores de borda da Deflect memorizavam solicitações anteriores de dados de sites (por meio de técnicas de cache de proxy reverso) e aliviavam a carga dos servidores web de nossos clientes. Para bloquear a enxurrada de ataques conduzidos por bots, desenvolvemos um software de mitigação de ataques baseado em regras – o Banjax –, que identifica comportamentos algorítmicos que consideramos maliciosos e bloqueia os endereços IP que os exibem.
À medida que expandíamos nossa infraestrutura e centenas de meios de comunicação independentes, grupos de direitos humanos e outras organizações sem fins lucrativos aderiam ao serviço, a rede Deflect passava a receber milhões de solicitações diárias de todo o mundo. Esse crescimento foi acompanhado por uma maior frequência e sofisticação dos ataques. A infraestrutura do Deflect foi continuamente e meticulosamente corrigida, aprimorada e atualizada várias vezes. Como costuma acontecer, o código-fonte que sustenta o serviço tornou-se pesado e repleto de configurações e correções complicadas. Além disso, fomos nos afastando cada vez mais da ambição do nosso projeto secundário: ver outros grupos de tecnologia operando suas próprias instâncias do Deflect usando nossa base de código. A pilha de software exigia muita configuração manual e “conhecimento especializado”. A partir de 2019, começamos a arquitetar e desenvolver uma nova versão do Deflect, utilizando um método totalmente novo de provisionamento, gerenciamento e configuração de componentes de rede, mantendo nossa agilidade e incorporando a reprodutibilidade como filosofia principal de design.
Do ATS para o Nginx
A principal ferramenta para hospedar os sites dos clientes da Deflect é o software de cache instalado em cada ponto de borda da rede. Ele realiza todo o trabalho pesado em nossa arquitetura – atendendo a solicitações da Internet em nome dos sites de nossos clientes, funcionando como um proxy reverso. Inicialmente, optamos pelo Apache Traffic Server (ATS), desenvolvido pelo Yahoo e lançado como código aberto no início dos anos 2000. A escolha foi feita principalmente por causa de seus níveis de desempenho em testes de carga. O software em si ainda não era amplamente difundido e era um pouco mais difícil de configurar e manter, com a configuração de ações específicas frequentemente distribuída por vários arquivos. Isso exigia que cada operador de rede da Deflect se aprofundasse na documentação e no código-fonte para entender o que aconteceria a cada alteração.
Outra solução de cache e proxy — o Nginx — revelou-se uma opção mais atraente para nosso novo projeto de rede, com formatos de configuração flexíveis e uma base de usuários técnicos muito maior.
Do Ansible e do Bash ao Python e ao Docker
Os clientes do Deflect personalizam suas configurações de cache e mitigação de ataques por meio do Deflect Dashboard, que envia instantâneos dessas configurações para o controlador de rede. Anteriormente, o mecanismo de configuração era uma combinação de Ansible e Bash, e sua lógica e complexidade haviam crescido além do que era viável gerenciar nessas linguagens. Agora, reconstruímos o módulo de configuração em Python, garantindo melhor escalabilidade no futuro e compatibilidade com comunicações via API.
Reestruturamos o módulo de orquestração do Deflect — para instalar pacotes, iniciar e parar processos e enviar novas configurações para os pontos de extremidade da rede — utilizando o Docker.
Os benefícios da conteinerização são bem conhecidos, mas, resumidamente, as vantagens para nós foram: dissociar as aplicações do sistema operacional host (a atualização entre versões do Debian sempre foi um ponto crítico), tornar nossos diversos ambientes de desenvolvimento e teste mais reproduzíveis e permitir que criássemos e destruíssemos facilmente várias cópias de um contêiner no mesmo servidor. Depois que nossas aplicações foram containerizadas, precisávamos de uma maneira de iniciar e parar esses contêineres, e decidimos escrever o código de forma imperativa em nossa linguagem de uso geral preferida, o Python. Existe uma biblioteca, a docker-py, que se conecta ao daemon do Docker em hosts remotos via SSH e fornece uma API para construir imagens, criar volumes, iniciar/parar contêineres e tudo o mais de que precisávamos. O resultado não é tão simples quanto o Docker Compose ou o Swarm, mas também não é tão complicado quanto o Kubernetes, e está escrito em uma linguagem que todos em nossa equipe de desenvolvimento já conhecem.
De Banjax para Banjax-go
Nosso principal método de mitigação — o Banjax — era, anteriormente, um plug-in do ATS e, como tal, estava fortemente acoplado aos detalhes internos da máquina de estados de processamento de solicitações e do ciclo de eventos do ATS. Escrito em C++, ele estava fortemente acoplado aos mecanismos internos do ATS e, muitas vezes, tinha sua funcionalidade limitada pelo próprio servidor de cache. Responder a uma pergunta simples como “uma solicitação conta para o limite de taxa mesmo que o resultado já tenha sido armazenado em cache, ou apenas se a solicitação for encaminhada até a origem?” exigia uma leitura minuciosa do código-fonte do Banjax e do ATS. Para portar nossa lógica de mitigação de ataques para outro servidor, como o Nginx, seria necessário um entendimento igualmente detalhado de seus mecanismos internos. Além disso, queríamos compartilhar as ferramentas do Banjax com outras pessoas — mas não conseguíamos dissociá-las do ATS —, pois nenhum de nossos parceiros ou colegas utilizava esse software de cache.
Exploramos uma arquitetura alternativa: na qual a lógica de mitigação de ataques reside em um processo separado (desenvolvido em qualquer linguagem e desacoplado do funcionamento interno de qualquer servidor específico) e se comunica com o servidor por meio de algum canal de comunicação entre processos. Exploramos o uso de um plug-in do Nginx especializado para essa finalidade (e desenvolvemos um plug-in ATS de prova de conceito em Lua que fazia a mesma coisa) mas descobrimos que uma combinação entre a diretiva `proxy_pass`, amplamente utilizada, e o cabeçalho `X-Accel-Redirect` era mais flexível (as respostas de autenticação podem redirecionar o cliente para locais arbitrários) e provavelmente mais portável entre servidores. Quanto à escolha da linguagem para o serviço de autenticação, Python e a estrutura Flask teriam sido uma boa opção, já que os utilizamos em outras partes de nossa pilha, mas alguns testes de desempenho mostraram que Go e Gin eram muito mais rápidos (nossa meta era uma sobrecarga no pior caso de cerca de 1 ms além das solicitações, com um tempo de resposta no 50º percentil de 50 ms, e o Go/Gin atinge isso).
A interface entre o Nginx e o Banjax-go é uma boa demonstração do poder de expressão do arquivo de configuração do Nginx. Este primeiro bloco de código indica que se deve corresponder a todas as solicitações recebidas (`/`) e encaminhá-las para `http://banjax-go/auth-request`.
O Banjax-go então verifica o IP do cliente e o nome do site em suas listas de IPs a serem bloqueados ou submetidos a verificação. Ele responde ao Nginx com um cabeçalho semelhante a `X-Accel-Redirect: @access_granted` ou `X-Accel-Redirect: @access_denied`. Esses são nomes de outros blocos de localização na configuração do Nginx, e o Nginx realiza um redirecionamento interno para um deles.
Isso já é muito mais fácil de entender do que um plugin que se integra à lógica interna de processamento de solicitações do Nginx ou do ATS (ler e gravar um arquivo de configuração é mais fácil do que ler e gravar código). Além disso, ele se integra muito bem aos outros conceitos que podem ser expressos com a configuração por escopo do Nginx: você pode controlar o registro em log, o cache, o tratamento de erros e muito mais em cada bloco `location`, e fica claro se isso se aplica à solicitação ao banjax-go, à solicitação ao servidor de origem ou à mensagem estática 403 de acesso negado.
Aqui está um diagrama que mostra o fluxo de proxy_pass + X-Accel-Redirect descrito acima (siga os números vermelhos 1, 2 e 3), juntamente com as outras interfaces que o Banjax-go possui: o monitoramento de logs e a conexão com o Kafka. O monitoramento de logs aplica as mesmas regras de expressão regular e limite de taxa que o plug-in ATS aplicava, mas de forma assíncrona (fora da solicitação e da resposta do cliente), em vez de síncrona. O canal do Kafka serve para receber decisões do Baskerville (“desafiar este IP”) e para informar se um IP desafiado foi aprovado ou reprovado no desafio.
Cliente da Baskerville
O centro de coordenação de previsão de anomalias liderado por máquinas — Baskerville — é uma infraestrutura inovadora que vem operando em produção no Deflect há mais de um ano. Trata-se de uma configuração complexa que depende de servidores de borda que enviam logs para o centro de coordenação, onde o pré-processamento para extração de características (identificação de comportamentos anômalos em logs da web) gera vetores que são, em seguida, processados pelo modelo de aprendizado. Uma previsão de anomalia é gerada e comunicada de volta à borda da rede. O centro de coordenação é executado em um cluster do Kubernetes e requer uma grande quantidade de recursos para o processamento.
Recentemente, dividimos a base de software em dois componentes: a câmara de compensação e o software cliente (que opera em qualquer servidor web Linux+nginx). A ideia era permitir que clientes de terceiros, que não utilizam o Deflect, se beneficiem das previsões da câmara de compensação e da ferramenta de mitigação Banjax. Nesse novo modelo, o cliente Baskerville é instalado independentemente do Deflect e realiza:
Processa os logs do servidor web nginx e calcula características estatísticas.
Envia recursos para uma instância da câmara de compensação do Baskerville.
Recebe previsões de uma câmara de compensação para cada endereço IP.
O Issues emite comandos para cada IP malicioso em um tópico separado do Kafka.
Monitora ataques nos painéis do Grafana.
Qualquer pessoa pode se beneficiar das previsões de anomalias da Baskerville e das ferramentas de mitigação da Banjax
Próximos componentes de código aberto do Deflect
Deflect — todos os componentes necessários para configurar seu controlador de rede e servidores de borda — que, essencialmente, atuam como um proxy reverso para você ou para os servidores web de origem dos seus clientes.
Deflect-API — uma interface para os componentes do Deflect
Edgemanage — uma ferramenta para gerenciar a disponibilidade HTTP de um cluster de servidores web por meio do DNS. Se for constatado que uma máquina está apresentando baixo desempenho, ela é substituída por um novo host para garantir a máxima disponibilidade da rede.
Banjax — limitação básica da taxa de solicitações recebidas de acordo com um conjunto configurável de padrões de expressões regulares.
Baskerville — um mecanismo de análise que utiliza aprendizado de máquina para distinguir entre comportamentos normais e anormais no tráfego da web. Utilizado em conjunto com o Banjax para bloquear e banir endereços IP que ultrapassem um limite definido pela operadora.
Cliente Baskerville — software de ponta para o pré-processamento de características comportamentais a partir de registros da web e para a comunicação com o centro de dados Baskerville para previsões de anomalias.
Painel do Baskerville — Um painel destinado aos usuários que utilizam o software Baskerville Client, oferecendo opções de configuração, definição de rótulos e envio de feedback à câmara de compensação
Este foi um mês movimentado para as ferramentas de mitigação do Deflect, com o Banjax bloqueando quase 12 milhões de solicitações maliciosas lançadas por 108.294 bots diferentes. Devido à guerra na Ucrânia, muitas pessoas recorreram aos sites de mídia ucranianos protegidos pelo Deflect em busca de informações. Ao longo do mês, a Deflect atendeu 1.128.751.920 solicitações (quase o dobro do mês anterior), das quais 283.570.50 vieram da Ucrânia — cerca de 20% do nosso tráfego global. 1.277.053 ucranianos acessaram sites protegidos pelo Deflect — o que também atesta a estabilidade da Internet naquele país.
Público ucraniano em março, por cidade
O maior ataque registrado neste mês foi contra o informator.ua — um site de notícias de abrangência nacional na Ucrânia, com foco na região de Donbas.
No dia 31 de março, entre 07h45 e 08h50 GMT+0 , cerca de 1.300 endereços IP únicos foram bloqueados pelo Deflect ao atacarem o site informator.ua com as solicitações GET /ru?8943563843054274 e POST /ru?829986440416200, utilizando técnicas de cache-busting. Esses bots eram originários do Brasil, dos EUA, da Indonésia, da Índia, de Bangladesh e de muitos outros países; cerca de 1.000 deles parecem ser roteadores MikroTik infectados. Várias centenas eram servidores web comprometidos e proxies SOCKS. Houve uma interrupção parcial neste site por cerca de uma hora, pois o Deflect não conseguiu mitigar esse ataque com rapidez suficiente para garantir que nenhuma solicitação maliciosa atingisse o servidor de origem. O sistema Baskerville não reagiu como esperado (isso já foi corrigido). Habilitamos o Challenger para este domínio a fim de garantir que possamos mitigar futuros ataques sem causar problemas para a origem. Nosso sistema de agregação e análise de logs foi afetado pelo volume total de solicitações e ficou fora de sincronia por um curto período de tempo.
Os invasores geraram mais de 300.000 solicitações por minuto. Como você pode ver, uma quantidade significativa de bots tinha origem nos Estados Unidos. Esse é mais um lembrete importante para que você aplique as atualizações de segurança em seus sistemas de computador e outros dispositivos conectados à Internet. Caso contrário, pode ser o seu próprio sistema que esteja atacando sites ucranianos também!
Principais IPs únicos bloqueados por fornecedor
912 MikroTikRouter
232 Desconhecido
51 UbuntuServer
44 Torrouter
33 DebianServer
16 WindowsServer
6 WindowsSystem
6 RedHatServer
4 CentOSLinuxServer
Principais IPs únicos bloqueados por serviço
875 MikroTik
232
49 Ubuntu-ssh
44 Cabeçalho HTTP do roteador de saída do Tor
33 Cabeçalho SSH do Debian
13 Informações SNMP do MikroTik
10 Servidor FTP do MikroTik
8 MikroTikPPTPserver
7 WindowsRDPServer
7 MSIISheader
6 WindowsNetBIOS
6 RedHatDNSheader
5 MikrotikRouterOSconfigurationpage
4 ApacheCentOS
2 WindowswithMSHTTPAPIWebServer
por client_url:
199940 /ru
102142 /ru/categoria/negócios/login
37312 /ru/negociações-entre-a-ucrania-e-a-rússia-em-istambul-resultados
3 /ru/post-anterior/45573
Desde o início deste ano, atendemos a mais de 1,5bilhão de solicitações em sites para aproximadamente 13,5 milhões de leitores únicos em todo o mundo! Mitigamos mais de 17 ataques distintos e significativos e mantivemos nossos clientes online 100% do tempo! Nossa tecnologia combinada de bloqueio de bots (previsões baseadas em inteligência artificial do Baskerville e anomalias confirmadas pelo Banjax) bloqueou 5.794.533 acessos maliciosos originados de 1.668.388 bots zumbis. É um número e tanto para esta fase inicial da temporada 🙂
Alguns dos maiores ataques foram direcionados ao site colombiano de jornalismo independente “Los Danieles”, ao meio de comunicação filipino “Verafiles”, a uma agência de notícias latino-americana e a um portal indiano de direitos feministas.
Ataques ocorridos em janeiro e fevereiro de 2022. As cores representam diferentes clientes da Deflect.
Em um incidente bastante incomum, o próprio site deflect.ca foi atacado no dia 7 de fevereiro. Por volta das 11h00-11h03 GMT+0, cerca de 10.000 endereços IP únicos estavam enviando solicitações GET / para o deflect.ca. Nenhuma dessas solicitações foi bloqueada, pois o intervalo do ataque foi muito curto. O Baskerville funcionou bem, classificando cerca de 5.700 delas como maliciosas. Algumas solicitações retornaram códigos 502, mas essas eram, em geral, solicitações maliciosas. O eQPress teve um bom desempenho, atendendo a até 2.620 solicitações por segundo no nginx, com 5.000 RPS para o banco de dados e 100 Mbps de tráfego de saída. Não foram detectados danos colaterais a outros clientes do eQPress. Investigamos e aprimoramos parte de nossa lógica de cache como resultado desse incidente.
Mais uma vez, a rede Deflect cresceu em tamanho e público em 2021. Além do trabalho continuamente excelente de nossos clientes, o que mais se destacou para a equipe da Deflect encarregada do monitoramento da rede e da mitigação de ameaças foi a crescente sofisticação e “precisão” do Baskerville, que superou os conjuntos de regras criados por humanos para a biblioteca de limitação de taxa de solicitações do kit de ferramentas de mitigação Banjax. Sim, a máquina está superando os humanos na Deflect. Não vamos nos aprofundar na natureza filosófica dessa realidade, mas sim compartilhar com vocês algumas estatísticas e ataques interessantes que testemunhamos este ano.
O ano em números
Número de solicitações válidas atendidas
10.152.911.060
Número de leitores únicos (IP) válidos
77.011.728
Total de solicitações bloqueadas – Banjax
3.326.915
Total de solicitações contestadas pelo Baskerville
2.606.927
% dos clientes da Deflect que também utilizam a hospedagem eQpress
34 %
Tempo total de indisponibilidade total do Deflect
0
Menor tempo de atividade entre todos os clientes da Deflect
99,8%
Aumento na porcentagem de clientes em relação ao ano anterior
21,62%
Maior botnet, em número de bots
19.333
Número de eventos DDoS significativos
103
Ataques desviados
Como é um ataque
Em 4 de novembro de 2021, um ataque DDoS contra um meio de comunicação vietnamita (também hospedado na EQPress) teve início por volta das 16h50 UTC. Entre 2.000 e 2.500 endereços IP únicos foram bloqueados, originários dos Estados Unidos, Canadá, Alemanha, França e outros países. Esses bots enviaram cerca de 825 mil solicitações GET / e GET https://website.com// durante esse ataque. A maioria dos IPs envolvidos foi detectada como proxies, e muitos deles revelaram um IP no cabeçalho X-Forwarded-For. A instância do WordPress subjacente recebeu até 5.000 solicitações por segundo, forçando o servidor da EQPress a enviar até 30 megabits por segundo de respostas HTML. Graças ao cache do FasctCGI e ao reforço geral da configuração, o cluster da rede de hospedagem dispunha de recursos suficientes para atender às solicitações até que todos os bots fossem bloqueados, sem quaisquer problemas significativos para o próprio site ou para os sites vizinhos.
O Baskerville detectou esse ataque e enviou comandos de desafio para mais de 2.200 endereços IP.
Sistema de classificação de semáforos de Baskerville
Esse ataque teve como alvo um site independente de jornalismo investigativo das Filipinas. O ataque teve início em 15 de novembro e se estendeu pelas duas semanas seguintes. Grande parte do tráfego do ataque não foi detectada pelo Deflect, visando o data center de hospedagem com inundações de tráfego nas camadas L3/L4.
Quase 4.000 endereços IP únicos enviaram mais de 70 milhões de solicitações “GET /” e “GET /?&148294400498e131004165713TT117859756720Q106417752262N” contra o site, utilizando técnicas de `cache busting` com parâmetros aleatórios na string de consulta. Os invasores também recorreram ao uso de User-Agents falsificados nas cadeias de solicitação. Obviamente, esse ataque foi adaptado para contornar as defesas de cache do Deflect. Muitos dos endereços IP participantes eram proxies, possivelmente revelando o remetente original por meio do cabeçalho X-Forwarded-For.
Infelizmente, esse ataque não foi totalmente contido de forma rápida e causou várias horas de indisponibilidade para os usuários reais. Após ativar manualmente os mecanismos avançados de proteção do Deflect e ajustar a configuração da origem, o site voltou a funcionar normalmente.
Uma organização zambiana de defesa da democracia sofreu dois ataques entre os dias 8 e 9 e 11 e 12 de agosto. Parece que, quando os invasores voltaram pela segunda vez, não haviam aprendido a lição e tentaram uma técnica semelhante, utilizando uma botnet quase idêntica.
Servidores de diferentes países (principalmente Estados Unidos, Alemanha, Rússia e França) estavam enviando mais de 16 milhões de solicitações GET / e /s=87675957 (com números aleatórios para contornar o cache) durante a primeira onda de ataques. Durante o incidente seguinte, mais de 137 milhões de solicitações maliciosas foram registradas e bloqueadas.
A maioria desses endereços IP é conhecida como servidores comprometidos que poderiam ser usados como proxies e roteadores MikroTik. Foram utilizados 383 cabeçalhos User-Agent distintos, todos eles variações do Google Chrome. Também podemos observar cerca de 400 nós de saída da rede TOR que foram utilizados nesse ataque.
Milhões de acessos por minuto
O primeiro ataque não foi totalmente mitigado devido ao seu perfil, e parte do tráfego conseguiu atingir o servidor de origem, resultando em várias horas de indisponibilidade parcial para visitantes reais durante diferentes fases desse ataque. O segundo ataque foi totalmente mitigado, pois já tínhamos atualizado nossos perfis de mitigação.
O desafio: Projetar e implementar um sistema para receber e processar feedback dos clientes, a fim de aprimorar e melhorar o modelo de aprendizado de máquina. Criar um modelo que tenha flexibilidade para se adaptar ao feedback dos clientes e às mudanças nos padrões das assinaturas das solicitações, permitindo, ao mesmo tempo, a implantação dinâmica do modelo, sem comprometer a integração existente.
Em outras palavras: criamos o sistema de mitigação de botnets Baskerville para podermos reagir a padrões de ataque novos e em constante mudança na rede Deflect. Ao treinar o sistema com base em ataques anteriores, chegamos a um ponto em que o Baskerville consegue identificar mais agentes maliciosos do que aqueles capturados por nossas regras estáticas. Agora, precisamos ampliar essa funcionalidade para aceitar feedback de nossos clientes sobre a precisão das previsões e para podermos implantar regularmente novos modelos sem qualquer interrupção no serviço.
Projeto do modelo
Existem várias abordagens para a atualização dinâmica de modelos. É possível usar arquivos simples, um cache e uma chamada à API REST, ou um mecanismo pub-sub; também é possível utilizar modelos serializados (pickled), modelos armazenados em um banco de dados e muitos outros mecanismos e formatos. Mas o conceito principal é o mesmo: verificar se há um novo modelo a cada X unidades de tempo ou ter um serviço em espera que seja notificado sempre que ocorrer uma alteração e se encarregue de recarregar o modelo — sob demanda. Estamos combinando essas abordagens para o nosso caso.
O modelo precisa ser retreinado regularmente para acompanhar os padrões de tráfego em constante mudança. A ideia geral do projeto é separar o fluxo de geração de características do fluxo de previsão. Como resultado, o fluxo de geração de características calcula um superconjunto de características, e o fluxo de previsão permite que diferentes versões do modelo utilizem qualquer subconjunto dessas características. Além disso, o modelo oferece compatibilidade com versões anteriores e utiliza os valores padrão caso o fluxo de geração de características esteja desatualizado.
Assim que um novo modelo estiver disponível, o pipeline de previsão detecta isso e começa a usar o novo modelo sem qualquer interrupção no serviço. Quando for necessário alterar as características, o modelo será implantado da mesma forma, mas o Módulo do Usuário também precisará ser atualizado e reimplantado. Os clientes atualizarão esse módulo a partir do nosso repositório Git. É muito importante mencionar que, durante o período necessário para a atualização do Módulo de Usuário, o novo modelo será capaz de se comunicar com o Módulo de Usuário desatualizado e fornecer as previsões da maneira habitual. A ausência de características novas ou modificadas na entrada do modelo não prejudicará a compatibilidade, uma vez que os valores padrão serão utilizados para os valores ausentes.
Partindo do pressuposto de que faz sentido que todas as solicitações dentro de uma janela de tempo sejam processadas pelo mesmo modelo, a mudança de modelo deve ocorrer no final ou no início do período de processamento. Por uma questão de desempenho, decidimos colocar o processo de atualização do modelo no final do PredictionPipeline, após as previsões terem sido enviadas ao cliente via Kafka, para que possamos aumentar o tempo que o cliente leva para receber as previsões. A figura a seguir explica o que acontece quando um novo modelo é armazenado no banco de dados após o processamento de uma janela de tempo (durante o tempo ocioso de espera por um novo lote) e durante o processamento de uma janela de tempo. No primeiro caso, a próxima janela de tempo será processada com o modelo antigo e, ao final, o novo será carregado. No segundo caso, como o processamento da janela de tempo atual ainda não foi concluído, carregaremos o novo modelo ao final dela e a próxima janela de tempo terá o modelo atualizado para trabalhar. A natureza assíncrona do treinamento e da previsão é a razão por trás do projeto do recarregamento. Realizamos vários testes para garantir que o recarregamento não afetasse o desempenho do pipeline.
Painel de feedback
Para receber feedback específico dos clientes (por exemplo, “a previsão estava incorreta”), desenvolvemos e projetamos um painel gráfico composto por dois componentes principais: a API REST de back-end, criada com Python Flask e compatível com WebSocket por meio do Flask-SocketIO; e o projeto Angular de front-end, baseado em Node e npm. O processo de feedback consiste em três etapas:
Contexto do feedback: forneça alguns detalhes sobre o feedback, como motivo, período e um campo opcional para observações. O motivo pode ser um dos seguintes: ataque, falso positivo, falso negativo, verdadeiro positivo, verdadeiro negativo ou outro. Oferecemos uma breve descrição para cada opção de motivo.
Filtre os conjuntos de solicitações relevantes para o feedback usando os filtros de pesquisa. O usuário também pode fornecer arquivos CSV com endereços IP para usar como filtro.
A última etapa consiste no usuário enviar os resultados do feedback para o Baskerville (Clearinghouse). Como a rotulagem e o envio de feedback são um processo meticuloso, projetamos o fluxo de trabalho de forma que o usuário possa pular a última etapa (envio) caso ainda não esteja pronto, podendo optar por enviá-la posteriormente. O Clearinghouse receberá o feedback em algum momento (janela de tempo configurável do pipeline de feedback) e, assim que o feedback for processado, o pipeline responderá ao tópico de resposta ao feedback do usuário – que, por convenção, é “{organization_uuid}.feedback”.
Também criamos um pipeline de retreinamento, bem como uma página de painel de controle e funcionalidadesde retreinamento para facilitar a realização de atualizações periódicas do modelo. Essa funcionalidade está disponível apenas no Clearinghouse, onde o modelo está hospedado.
Este trabalho é resultado de meses de desenvolvimento, testes e iterações meticulosos. Se você tiver interesse em experimentar o Baskerville em suas próprias plataformas web, entre em contato conosco. Nosso trabalho está disponível sob uma licença de código aberto e foi desenvolvido com base nos princípios de privacidade desde a concepção. Incentivamos a adoção de nossas ferramentas por terceiros, fora do ecossistema Deflect, e publicaremos em breve outra postagem no blog detalhando o lançamento do Deflect Labs Clearinghouse. Fique de olho aqui!
Agradecemos à Deflect, que nos protegeu de tantos ataques cibernéticos. Eles demonstraram que sua tecnologia pode ser usada para proteger a liberdade de expressão.
1º de junho de 2021 — A Deflect firma parceria com grupos de tecnologia e mídia
Desde 2010, a Deflect se especializou na proteção de plataformas online contra ataques cibernéticos. Hoje, nossa missão e nossas ferramentas comprovadas alcançam um alcance maior e mais abrangente do que nunca! Temos a honra de anunciar parcerias estratégicas com conhecidos provedores de serviços de Internet e empreendedores da mídia digital nas Américas e na Europa. Nossa oferta combinada de serviços inclui todos os tipos de hospedagem na web e plataformas de colaboração online, consultoria técnica e serviços de segurança na web. Com mais de cem anos de experiência tecnológica coletiva e uma dúzia de idiomas em comum entre nós, esta é uma parceria que atenderá uma clientela global e enfrentará os desafios da redução dos espaços online para a expressão e a autodeterminação.
Nossa missão se fortalece por meio dessa parceria mutuamente benéfica. Estamos unidos, mais fortes e cada vez mais resilientes, para proteger as plataformas de nossos clientes com soluções tecnológicas éticas, recursos humanos multilíngues e uma crença comum de que os princípios vêm antes dos lucros.
A Colnodo é uma organização sem fins lucrativos que atua desde 1994, prestando serviços de infraestrutura de Internet a ativistas e organizações da sociedade civil. O principal objetivo da Colnodo é o acesso, o uso e a apropriação das tecnologias da informação e comunicação (TIC) para o desenvolvimento social, o desenvolvimento humano e a melhoria das condições de vida das pessoas por meio do fortalecimento de capacidades e competências, da educação para o trabalho, da troca de informações e conhecimentos, do aumento da participação cidadã, do desenvolvimento sustentável e da inovação.
@greenhost
A Greenhost (Países Baixos) é uma provedora de infraestrutura consolidada, com foco em direitos humanos digitais e sustentabilidade. Ao fornecer serviços (de infraestrutura) a uma ampla gama de organizações que defendem os direitos humanos, a liberdade de imprensa e/ou a contornagem da censura, ao mesmo tempo em que preserva as garantias de privacidade, a Greenhost se empenha em manter a internet como um espaço aberto e inovador.
@greennetisp
A GreenNet (Reino Unido) vem conectando pessoas e grupos ativistas em prol da paz, do meio ambiente, da igualdade e dos direitos humanos desde 1986 – oferecendo serviços de internet, design de sites e hospedagem. Nossas escolhas de hardware e software se baseiam em avaliações técnicas especializadas, em nossa sustentabilidade ecológica e em nossos valores éticos de negócios.
@cloud68hq
(Tirana, Tallinn, em todo o mundo) A Cloud68.co oferece infraestrutura digital de código aberto confiável para equipes, organizações e pessoas físicas de pequeno e médio porte com um objetivo específico, além de um suporte ágil e cordial. Como uma equipe de colaboradores de longa data em projetos de privacidade digital e conhecimento aberto, estamos comprometidos em ajudá-lo a migrar das grandes empresas de tecnologia da maneira mais fácil possível.
@sembramedia
A SembraMedia é uma organização sem fins lucrativos dedicada a fortalecer vozes diversas na mídia em espanhol, para que possam publicar notícias e informações com independência, integridade jornalística e um impacto positivo nas comunidades que atendem. A organização realiza pesquisas, oferece treinamento, consultoria e apoio financeiro para ajudar líderes da mídia a desenvolver modelos de negócios mais sustentáveis na América Latina, na Espanha e no mercado hispânico dos Estados Unidos.
Na MainMicro, nosso objetivo é garantir a satisfação do cliente, oferecendo suporte contínuo e soluções econômicas para nossos parceiros. Temos muito orgulho de ter uma taxa de retenção de clientes que está entre as mais altas do setor. Para nós, quando você se torna um cliente, você também se torna um amigo, e nós nos tornamos o ponto único de contato para todas as suas necessidades relacionadas à TI.
Na Black Crow Labs, construímos o ecossistema da sua marca e contamos a sua história. Ao interagir com clientes em potencial em plataformas específicas, integramos a sua marca à vida e às conversas deles.
O Deflect salvou minha carreira jornalística e a possibilidade de publicar de forma independente os resultados das minhas investigações. Sou especialista em corrupção e no impacto da globalização e do crime organizado nas federações esportivas internacionais, como a FIFA e o COI. Meus blogs são lidos por torcedores de todo o mundo, pois eu revelo escândalos de corrupção que muitos correspondentes esportivos “reconhecidos” preferem ignorar. No outono passado, meu site foi atacado por hackers. Ele ficou fora do ar por muitos dias, e até mesmo meu provedor, que segue normas éticas, ficou fora de serviço por algum tempo. Logo ficou claro que uma das denúncias divulgadas prejudicou algumas pessoas ricas e influentes do esporte mundial. Eles não puderam entrar com uma ação judicial, pois a história estava documentada. Por isso, recorreram a manobras sujas. A Deflect veio em meu socorro e fez um monte de coisas que eu, um simples repórter investigativo, nunca entenderia. Meu site foi restaurado e continua no ar até hoje. Agradeço pessoalmente e em nome de toda a comunidade mundial que busca a honestidade na cobertura dos acontecimentos.
