Uma nova estrutura para criação de sites, chamada“Kandinsky”, acaba de ser lançada como um tema do WordPress pelos nossos amigos da «Теплица социальных технологий» (Greenhouse for Social Technologies), em resposta às necessidades expressas por grupos da sociedade civil. A versão gratuita e de código aberto, disponível no GitHub, oferece três modelos para instalação e orienta os criadores de sites com dicas úteis e listas de verificação. Conversamos com Alexey, diretor da Greenhouse for Social Technologies, sobre o novo lançamento:
eQ: O que você pode nos dizer sobre esse novo tema?
Alexey: Qualquer organização pode usá-lo. É gratuito e de código aberto. Dito isso, ele foi criado tendo em mente ONGs e iniciativas públicas. Não é apenas um tema personalizável do WordPress. Ele também contém conteúdo pré-criado para lidar com os desafios típicos que as ONGs enfrentam regularmente. Em particular, as ONGs, pelo menos na Rússia, costumam ter dificuldades para elaborar conteúdo. Portanto, o Kandinsky não cumpre apenas o papel de um tema, mas também o de uma lista de verificação do que deve constar no site de uma ONG. Existem três modelos para diferentes casos de uso (em breve, porém, planejamos usar apenas um, mas melhorar significativamente sua capacidade de personalização). Cada modelo contém conteúdo de teste (notícias, relatórios, equipes, fotos de eventos, descrição de atividades). Com base nas melhores práticas das ONGs, criamos três organizações fictícias para preencher esses modelos com conteúdo que faça sentido no contexto das ONGs.
eQ: O que o motivou a criá-lo? Houve algum caso prático que tenha dado origem a essa iniciativa?
Alexey: A necessidade surgiu da nossa própria experiência – como organização, ajudamos ONGs com comunicação digital e precisávamos de uma estrutura confiável e moderna que fosse rápida e fácil de instalar (hoje, em apenas 8 minutos, o Assistente de Instalação já deixa um site pronto e funcionando). Queríamos apenas ajudar as organizações a terem algo decente no WordPress sem precisar pagar a ninguém nem se preocupar constantemente com a possibilidade de alguém comercializar o tema. Além disso, nós mesmos precisávamos disso para dois tipos de tarefas: projetos paralelos e eventos. Às vezes, lançamos um hackathon ou uma série de webinars online e queríamos um site dedicado – queríamos algo que pudesse ser configurado facilmente, personalizável e que tivesse tudo o que pudéssemos precisar. E foi isso que fizemos. Seguimos o princípio de “usar o próprio produto” e qualquer página de evento ou projeto paralelo que criamos agora é baseado no Kandinsky, o que nos poupa muito tempo e esforço. Deixamos de considerar a criação de sites como uma despesa no orçamento.
eQ: Quais são esses novos recursos?
Alexey: Originalmente, os principais valores do Kandinsky eram a simplicidade, a facilidade de instalação e a capacidade de atender às necessidades das ONGs. Conforme fomos aprendendo, percebemos que, além de poder instalar o tema em poucos segundos e ter plug-ins prontos, bem como conteúdo pré-criado, a personalização é de fundamental importância. As pessoas ficam incomodadas em ter o mesmo Ford Modelo “T” em qualquer cor, desde que seja preto, para citar o famoso inventor Henry Ford. Elas precisam criar um site e, em poucos minutos, torná-lo diferente de qualquer outro site.
Portanto, a liberdade de personalização é a linha de desenvolvimento mais importante no momento. No último ano, adicionamos:
mais de 100 fontes do Google para escolher
cabeçalho personalizável com a possibilidade de ativar ou desativar diferentes elementos em seu interior (logotipo, número de telefone, links para redes sociais etc.), o que oferece uma infinidade de opções diferentes
rodapé personalizável
Nosso próximo marco é migrar a página inicial de um site para o editor de blocos Gutenberg (agora a página inicial pode ser editada livremente com a ajuda de uma ferramenta menos versátil) e, em seguida, para o novo sistema do WordPress chamado Full Site Editing.
Os clientes do Deflect podem criar um novo site eQpress com o tema Kandinsky acessando a “guia Hospedagem” no Painel do Deflect e selecionando a opção de pré-carregar a instalação com esse tema.
Os avanços significativos em nossas ferramentas de mitigação automatizadas aliviaram parte da carga de trabalho da nossa equipe de suporte na mitigação de ataques neste mês. Estamos muito satisfeitos com o desempenho do sistema, mas ele não vai substituir as pessoas! A seguir, compartilhamos alguns destaques do tráfego, eventos relevantes do Deflect e histórias de nossos clientes.
Tráfego em janeiro
Ao longo do mês de janeiro, o Deflect atendeu a mais de 884 milhões de solicitações de mais de 9 milhões de leitores únicos em todo o mundo. Grande parte do tráfego tinha como destino o Los Danieles — uma nova e muito popular publicação de mídia independente na Colômbia. Todos os domingos, o site deles atrai entre 5 e 9 milhões de acessos legítimos! Felizmente, o Deflect conseguiu atender a mais de 94% dessas solicitações diretamente de seu cache de borda.
Outro evento de destaque neste mês coincidiu com o lançamento de um relatório online que investiga a tortura de milhares de manifestantes bielorrussos pelas forças do governo atual. Publicado pelo renomado Comitê contra a Tortura, trata-se de uma investigação visual, destinada exclusivamente a um público adulto.
Ataques notáveis em janeiro
Este mês, foram registrados dezesseis ataques distintos contra sites protegidos pelo Deflect. Desses, cinco se destacaram pela intensidade e persistência, com dois ataques se prolongando por um período de quatro dias. O maior ataque, com a participação de mais de 5.000 bots, teve como alvo o site de notícias independente vietnamita Tiếng Dân. Esta não é a primeira vez que o site deles é alvo de ataques. Aproximadamente metade dos bots atacantes foi detectada e neutralizada pelo Baskerville, enquanto a outra metade foi bloqueada por nossos conjuntos de regras manuais. No geral, o Deflect manteve 100% de disponibilidade da rede em janeiro.
Opções de temas do Kandinsky para o eQpress
Os clientes que já utilizam ou desejam migrar para nossa plataforma segura de hospedagem WordPress agora podem solicitar a instalação de um novo tema chamado Kandinsky. Desenvolvido por nossos amigos da «Теплица социальных технологий» (Greenhouse for Social Technology) em resposta às necessidades expressas por grupos da sociedade civil, que desejam ter uma presença online eficaz e bem projetada Kandinsky oferece três modelos e orienta os criadores de sites com dicas úteis e listas de verificação. Você pode ler nossa entrevista completa com o Kandinsky aqui.
Deflect e o Fórum Social Mundial
No dia 29 de janeiro, a equipe do Deflect participou de um painel ao vivo durante o Fórum Social Mundial, juntamente com nossos parceiros Colnodo e a Fundação para a Liberdade de Imprensa (FLIP). Julian Casasbuenas, do Colnodo, apresentou o caso de uso do site de mídia independente colombiano losdanieles.com como um exemplo da proteção oferecida pelo Deflect e de sua importância para o desenvolvimento da liberdade de expressão jornalística na Colômbia. O projeto losdanieles.com foi lançado por um grupo de jornalistas de grande reputação que haviam se envolvido no escândalo da parapolítica colombiana.
Para encerrar este boletim informativo, gostaríamos de compartilhar um vídeo de agradecimento muito legal que recebemos do colunista do LosDanieles.com, Daniel Samper Ospina.
Siga os Daniels no Twitter: @DanielSamperO, @DanielsamperP e @DCoronell
Este é o quinto ano de operações do Deflect e um momento oportuno para tirar algumas conclusões do passado e oferecer uma rodada de feedback aos nossos diversos usuários e colegas. Lutamos e vencemos centenas de batalhas contra diversos ataques distribuídos de negação de serviço (DDoS) e de engenharia social direcionados a nós e aos nossos clientes, ampliando a oferta de soluções de mitigação de código aberto do Deflect para incluir também hospedagem de sites e análise de ataques. No entanto, cometemos vários erros importantes ao longo desse caminho, e este post se concentrará nas lições aprendidas e no caminho a seguir em nossa batalha para reduzir a prevalência do DDOS como uma técnica muito comum para silenciar vozes online.
Nossas reflexões e esta postagem foram motivadas por um relatório de avaliação externa do serviço Distributed Deflect, que você pode ler neste PDF. O projeto em si foi uma aposta técnica arriscada e um exercício ambicioso de construção de comunidade. As lições aprendidas com essa iniciativa estão resumidas no documento. A leitura leva cerca de 10 minutos 🙂
Durante os horários de pico no Deflect, ao longo do período de 2012 a 2016, atendíamos uma média de 3 milhões de leitores únicos por dia e enfrentávamos ataques DDoS simultâneos contra vários clientes. A rede manteve os sites em funcionamento ininterruptamente durante os 3 anos e 3 meses de duração do projeto, registrando menos de 30 minutos de tempo de inatividade no total. O projeto teve impacto direto em mais de quatrocentas organizações independentes de mídia, direitos humanos e promoção da democracia.
Mais de trezentos e cinquenta sites passaram pelo serviço de proteção Deflect. Esses sites variavam em tamanho e popularidade, recebendo desde uma dúzia de leitores diários até mais de um milhão. Nossa política de portas abertas significava que os sites que mudassem de ideia sobre a proteção do Deflect eram livres para sair e não enfrentavam qualquer tipo de impedimento para fazê-lo. Ao longo do projeto, mitigamos mais de quatrocentos ataques DDoS e atendemos aproximadamente 1% dos usuários da Internet a cada ano civil (de acordo com nossos registros, correlacionados com os dados da Internet World Statistics). Nosso trabalho também foi divulgado na mídia especializada e na grande mídia.
Além do serviço de proteção contra ataques DDoS, treinamos diversos administradores de sites nos princípios de segurança na web, trabalhamos com vários provedores de internet de pequeno e médio porte para que configurassem sua própria infraestrutura Deflect e possibilitamos a presença na internet de organizações e movimentos importantes envolvidos em eventos nacionais e internacionais, incluindo as eleições de 2013 no Irã, as eleições de 2014 na Ucrânia, o sequestro em massa de Iguala, os Panama Papers e o movimento Black Lives Matter, entre outros.
Desvio Distribuído
À medida que os ataques aumentavam de magnitude, debatemos a viabilidade a longo prazo do projeto e decidimos criar um protótipo de serviço de mitigação de DDoS em espécie, no qual sites que recebessem proteção gratuita e quaisquer voluntários pudessem se juntar e ampliar o tamanho e o alcance da rede de mitigação. Queríamos criar um serviço administrado pelas próprias pessoas que ele protegia. A hipótese previa a primeira infraestrutura participativa de botnet do mundo, na qual a rede seria sustentada por cerca de cem servidores administrados pelo projeto Deflect e vários milhares de nós voluntários. Nossa experiência anterior mostrou que a melhor maneira de mitigar um ataque de botnet era por meio de uma solução distribuída, utilizando o design da Internet para neutralizar um ataque que nenhum ponto final isolado poderia suportar sozinho. O Distributed Deflect reuniu pessoas de diversas origens e competências, combinando desenvolvimento de software e prestação de serviços técnicos, suporte ao cliente e divulgação, documentação e comunicação. Projetamos, criamos protótipos e colocamos em produção os componentes centrais de uma infraestrutura distribuída de voluntários, apenas para perceber que a hipótese por trás de nossa proposta não seria escalável se quiséssemos manter a privacidade e a segurança de todos os participantes da nossa rede.
Uma infraestrutura que aceitasse recursos de rede voluntários (não confiáveis) precisava introduzir verificações quanto à precisão e confidencialidade do conteúdo; caso contrário, um nó mal-intencionado poderia não apenas ver quem estava fazendo o quê na rede Deflect, mas também excluir ou alterar o conteúdo à medida que ele passasse por sua máquina. Nossa solução foi criptografar as páginas da web assim que elas saíssem do servidor de origem e entregá-las aos leitores como um pacote criptografado, com um trecho de autenticação adicional enviado por outro nó para verificação. Os nós voluntários armazenariam em cache apenas informações criptografadas e não poderiam substituí-las por conteúdo alternativo.
Todo o projeto de infraestrutura e as ferramentas de software necessárias para implementar esse modelo foram desenvolvidos de acordo com as especificações. No entanto, quando tudo estava pronto para a produção e em fase de testes, percebemos o erro na hipótese formulada no início. Os pacotes criptografados aumentaram de tamanho, pois todas as fontes das páginas e várias bibliotecas de terceiros — que constituem a maior parte das páginas da web atualmente e geralmente são armazenadas no cache do navegador — tiveram que ser incluídas em cada pacote.
Isso aumentava a latência da rede e não permitia escalar durante um ataque DDoS. Estávamos prejudicando o desempenho da nossa infraestrutura, em vez de melhorá-lo. Outro fator importante que influenciou nossa decisão foi o baixo custo da infraestrutura de servidores. Ao alugar nossas máquinas com provedores comerciais e aproveitar seus preços competitivos a nosso favor, conseguimos manter os custos de infraestrutura abaixo de 5% de nossas despesas mensais totais. O investimento financeiro em uma infraestrutura mundial de servidores Deflect não era significativo quando comparado aos recursos necessários para manter a rede. Ao concentrar nossos esforços de desenvolvimento na criptografia e na entrega de conteúdo do site a partir de nosso cache distribuído e no balanceamento de carga de desempenho em uma infraestrutura de nós voluntários, adiamos o trabalho de aprimoramento do gerenciamento de rede e da automação de tarefas. Isso significava que o nível de exigência para prestar suporte técnico à rede era bastante alto, o que excluía a participação de voluntários com conhecimentos técnicos protegidos pelo Deflect.
Após vários meses de novos testes, deliberações e consultas com nossos financiadores, decidimos abandonar a iniciativa de incluir recursos voluntários de rede, optando por dar continuidade à plataforma de mitigação existente e aprimorar seus serviços para os clientes. À medida que a mitigação de ataques se tornou rotineira e a Deflect defendeu com sucesso seus clientes contra ofensivas DDoS implacáveis, a equipe começou a analisar a impunidade de que atualmente gozam aqueles que lançam os ataques. Começando com o caso de um site de mídia independente vietnamita alvo de bots originários de um provedor de internet vietnamita regulado e controlado pelo Estado, percebemos que era possível extrair uma história a partir do rastro forense de um ataque, que poderia conter evidências de motivação, método e proveniência. Se essa história pudesse ser contada, ela daria um enorme poder de defesa à vítima e começaria a desmascarar o anonimato de que gozam seus organizadores. O custo de atacar os clientes da Deflect aumentaria à medida que a exposição e a atenção da mídia em torno do evento frustrassem os objetivos dos atacantes.
Começamos a desenvolver uma infraestrutura capaz de capturar um segmento estatisticamente relevante de um ataque. A análise de dados foi realizada por meio de tecnologia automatizada para a criação de perfis e classificação de agentes maliciosos em nossa rede, ferramentas de visualização para investigações conduzidas por humanos e cooperação com organizações parceiras para rastrear atividades em nossas respectivas redes. Esse esforço deu origem ao Deflect Labs e, em seus primeiros doze meses, publicamos três relatórios detalhados cobrindo uma série de incidentes direcionados a sites protegidos pelo Deflect, expondo sua metodologia e traçando o perfil de suas redes. Por meio de inteligência de código aberto e em colaboração com a equipe dos sites, identificamos uma história por trás de cada ataque, revelando possíveis motivações e a identidade dos invasores. Após a publicação e a atenção da mídia gerada por esses relatórios, os ataques contra um dos sites diminuíram significativamente e cessaram completamente no caso do outro.
O comportamento do bot segue um determinado padrão dentro do espaço de sete dimensões criado pela Bothound Analytics
Desafios
Era de se esperar que surgissem muitas dificuldades e problemas ao operar um serviço de segurança de alto impacto, 24 horas por dia, 7 dias por semana, para vários milhões de leitores diários. O cansaço, a falta de tempo para desenvolver novos recursos, a cobertura de emergências ininterrupta e inúmeras situações de alto estresse levaram ao esgotamento e à rotatividade de pessoal. Os recursos investidos no modelo Distributed Deflect atrasaram consideravelmente o desenvolvimento de outras metas do projeto. Mais ou menos na mesma época em que o Deflect ganhava popularidade, ofertas gratuitas de mitigação da Cloudflare e do Google foram lançadas em conjunto com campanhas de divulgação voltadas para a mídia independente e organizações de direitos humanos. Isso proporcionou mais opções para organizações da sociedade civil que buscavam proteção para seus sites, mas tornou mais difícil para nós atrairmos o número esperado de sites. Iniciamos uma campanha para definir as diferenças em nossas abordagens distintas quanto à elegibilidade dos clientes, ao respeito à privacidade deles e aos termos de serviço claros, experimentando uma variedade de estratégias de comunicação e divulgação. Ficamos, no entanto, desapontados por não termos recebido mais apoio de nossa comunidade de colegas, já que soluções de código aberto e propriedade dos dados não figuravam como critérios prioritários para ONGs e meios de comunicação na hora de selecionar opções de mitigação.
… seguimos em frente
A Deflect continua operando e inovando, crescendo e se consolidando gradualmente. Nossas ambições atuais incluem oferecer aos nossos clientes opções mais amplas de hospedagem e desenvolver padrões e sistemas para o compartilhamento responsável de dados entre provedores de internet (ISPs) e provedores de mitigação que compartilham da mesma visão. Fiquem atentos às interfaces gráficas de usuário agradáveis em nossos painéis de controle e plataformas de documentação. Também estamos desenvolvendo protótipos de várias abordagens diferentes para gerar receita, a fim de sustentar o projeto no futuro próximo. O objetivo é melhorar sem perder de vista o que viemos fazer aqui desde o início. Como sempre, estamos aqui para apoiar a missão de nossos clientes e seu direito à liberdade de expressão. Ficamos animados com o feedback e os depoimentos deles.
Análise de ataques de botnet ao site bdsmovement.net protegido pelo Deflect
Este relatório abrange os ataques ocorridos entre 1º de fevereiro e 31 de março, relativos a seis incidentes detectados que tiveram como alvo o site bdsmovement.net, incluindo métodos de ataque, botnets identificadas e suas características. Ele fornece informações técnicas detalhadas e análises de tendências, com a introdução da biblioteca Bothound para identificação de padrões de ataque e classificação de botnets. Agrupamos comportamentos maliciosos na rede do Deflect para identificar botnets individuais e empregamos análise de interseção de suas atividades ao longo dos incidentes documentados e além deles. Nossa pesquisa inclui padrões identificados na seleção de alvos pelos agentes que controlam esses ataques.
O Deflect é um projeto de segurança de sites que trabalha com mídia independente, organizações de direitos humanos e ativistas. Ele oferece mitigação de ataques DDoS, hospedagem segura e análise de ataques, gratuitamente para organizações qualificadas. Todas as nossas ferramentas são de código aberto e operamos de acordo com princípios que promovem a privacidade de nossos clientes. O Deflect é um projeto da eQualit.ie, uma organização canadense sem fins lucrativos que trabalha para promover e defender os direitos humanos na era digital.
O Movimento de Boicote, Desinvestimento e Sanções (Movimento BDS, bdsmovement.net) é uma campanha global palestina, iniciada em 2005. O movimento BDS tem como objetivo pressionar Israel de forma não violenta a cumprir o direito internacional e pôr fim à cumplicidade internacional com as violações do direito internacional por parte de Israel. Seu site está protegido pelo Deflect desde o final de 2014 e tem sido alvo de ataques frequentes.
Gráfico 1. Gráfico do Timelion mostrando a média de acessos por dia no período de 1º de fevereiro a 31 de março (em vermelho) e a média móvel + 3 desvios-padrão (em azul).
Perfil dos ataques
Durante fevereiro e março de 2016, foram registrados 6 incidentes contra o site alvo. A infraestrutura do Deflect Labs nos permite capturar, processar e traçar o perfil de cada ataque, analisando incidentes únicos e cruzando as descobertas com um banco de dados de botnets já mapeadas. Definimos os parâmetros para comportamentos anômalos na rede e, em seguida, agrupamos (“cluster”) IPs maliciosos em botnets utilizando algoritmos de aprendizado de máquina não supervisionado.
[one_half]
Gráfico 2. Total de acessos ao site, por país de origem. Os picos representam ataques investigados neste relatório
[/one_half][one_half_last]
Gráfico 3. Incidentes em que o ataque pingback do WordPress é usado contra o site alvo
[/one_half_last]
Definimos cada incidente delimitando-o dentro de um determinado intervalo de tempo, registramos o número total de acessos que atingiram o site durante esse período e utilizamos nosso conjunto de ferramentas analíticas para separar as solicitações maliciosas feitas por bots do tráfego legítimo do dia a dia.
Tabela 1. Resumo dos ataques, incluindo data de início/término, duração, magnitude do incidente, tamanho e número das botnets detectadas
id
Início do incidente
Fim do incidente
Duração
Total de acessos
IPs únicos
Número de bots identificados
Botnets identificadas
29
10/02/2016 21:00
11/02/2016 01:00
~5 horas
879.634
14.773
12.921
3
30
11/02/2016 10h30
11/02/2016 12h30
~2 horas
321.203
11.108
9.023
3
31
01/03/2016 15:00
01/03/2016 19h30
~6h30
3.597.689
5.918
3.243
3
32
02/03/2016 12h30
02/03/2016 16h00
~3h30
13.559.169
19.851
2.748
2
33
04/03/2016 09:00
04/03/2016 09:30
~30 min
2.058.710
9.613
8.844
1
34
08/03/2016 14:20
08/03/2016 16:40
~2h20
5.017.045
7.937
7.151
1
O número de bots únicos e seu agrupamento em botnets específicas é resultado do trabalho de agrupamento realizado pelo BotHound. Esse kit de ferramentas classifica os endereços IP com base em seu comportamento e nos permite determinar a presença de diferentes botnets no mesmo incidente (ataque).
Perfil da botnet
Usando o BotHound, calculamos a porcentagem de endereços IP únicos (classificados como bots) que reaparecem em incidentes distintos. Uma porcentagem significativa de bots já observados anteriormente seria uma forma de identificar se uma botnet foi reutilizada para atacar o mesmo alvo. Isso revelaria uma tendência no comportamento de comando e controle da botnet. Essa interseção de endereços IP de botnets também cria uma oportunidade de comparar a atividade entre vários sites-alvo, sejam eles protegidos pelo Deflect ou em uma das redes de nossos parceiros. Em conjunto, começamos a construir um perfil de atividade para cada botnet, o que nos ajuda a formular hipóteses sobre sua motivação e lista de alvos.
[one_half] Tabela 2. Interseção de bots idênticos entre os incidentes
Nº do incidente
Número de bots idênticos
em ambos os incidentes
A proporção de bots idênticos
(do menor incidente)
29, 30
6.928
76,8%
31, 32
1.450
91,0%
33, 34
4.249
59,4%
32, 33
438
17,9%
[/one_half][one_half_last]
Gráfico 4. Acessos de bots e seus países de origem, agrupados por botnets identificadas. Atualize seu software e seus programas de remoção de malware, por favor!
[/one_half_last]
Tabela 3. Botnets identificadas e os incidentes em que aparecem
ID da botnet
Observada no incidente
Bots únicos
Os 10 principais países de origem dos bots
Método de ataque
1
29, 30
13.857
Federação Russa; Ucrânia; China; Lituânia; Alemanha; Suíça; Gibraltar; Reino Unido; Países Baixos; França
POST
2
29, 30
8.913
Federação Russa; China; Ucrânia; Alemanha; Lituânia; Estados Unidos; Suíça; Reino Unido; França; Gibraltar
POST
4
31, 32
2.589
Estados Unidos; Alemanha; Reino Unido; Países Baixos; China; Japão; Cingapura; Irlanda; França; Espanha; Austrália
Pingback
5
31, 32
772
Estados Unidos; Reino Unido; Alemanha; Países Baixos; Itália; França; Federação Russa; Cingapura; Canadá; Japão; China
Pingback
6
31
971
Estados Unidos; China; Alemanha; Japão; Reino Unido; Cingapura; Países Baixos; França; Irlanda; Canadá; Austrália
Pingback
7
33, 34
11.746
Estados Unidos; Reino Unido; Alemanha; França; Países Baixos; China; Canadá; Federação Russa; Irlanda; Espanha; Turquia
Pingback
Seleção de alvos de botnets
A Deflect protege um grande número de sites qualificados de direitos humanos e mídia independente em todo o mundo. Nosso conjunto de ferramentas de captura e análise de botnets nos permite investigar as características e os padrões dos ataques. Consideramos que a presença (interseção) de mais de 30% de bots idênticos indica origem em uma botnet semelhante. Durante nossa análise mais ampla do período coberto por este relatório, constatamos que a botnet nº 7, que teve como alvo o site bdsmovement.net em 3 de março, também atacou o site de uma organização israelense de direitos humanos sob nossa proteção nos dias 5 e 11 de abril. Em cada incidente, mais de 50% dos endereços IP da botnet que atacaram esse site também faziam parte da botnet nº 7 analisada neste relatório. Além disso, uma organização parceira especializada em segurança de sites analisou nossas descobertas e concluiu que uma quantidade substancial de endereços IP pertencentes a essa botnet estava atacando outro site de mídia israelense sob sua proteção, nos dias 7 e 12 de abril. As organizações visadas por essa botnet não compartilham uma linha editorial comum nem estão de forma alguma associadas entre si. Suas principais semelhanças residem na ênfase em questões relevantes para a proteção dos direitos humanos nos Territórios Ocupados e na denúncia de violações no conflito em curso. Nossa análise mostra que esses sites podem ter um adversário em comum — o controlador ou locatário da botnet nº 7 — que se sentiu prejudicado pelo trabalho de cada um deles. Apresentaremos nossas conclusões sobre esta investigação com mais detalhes em um relatório a ser publicado em breve.
Comparação do comportamento da botnet
O BotHound funciona classificando o comportamento dos atores na rede (sejam humanos ou bots) e agrupando-os de acordo com um conjunto de características predefinidas. O comportamento malicioso se destaca da tendência cotidiana do tráfego regular. Na imagem abaixo, os pontos VERMELHOS referem-se a sessões de invasores, enquanto os pontos AZUIS referem-se a todo o restante (tráfego regular). O gráfico exibe todos os 6 incidentes combinados. Escolhemos as seguintes 3 dimensões para representar visualmente uma projeção de um espaço de 7 dimensões (onde o agrupamento do BotHound é calculado):
Profundidade da solicitação HTTP
Variação do intervalo entre solicitações HTTP
Proporção entre HTML e imagens
Gráfico 5. Agrupamento do comportamento dos bots a partir dos seis incidentes abordados neste relatório. O gráfico ilustra que o comportamento malicioso, independentemente das características da botnet, segue um padrão determinado que se assemelha às propriedades automatizadas e orientadas por máquinas de um ataque de botnet.
Análise aprofundada dos incidentes
Capturamos, analisamos e agora traçamos o perfil de cada botnet observada nos 6 incidentes. Dividimos os incidentes em três grupos, com base na semelhança das características dos ataques e no momento em que ocorreram.
[one_half]
Incidentes nº 29 e nº 30
Data: 10 a 11 de fevereiro de 2016 Duração: aproximadamente 28 horas Botnets identificadas: 2 (ID das botnets: #1 e #2) Interseção de IPs entre as botnets: 76% Tipo de ataque: HTTP POST
[/one_half]
[one_half_last]
[/one_half_last]
Análise do ataque
Após realizar uma análise exaustiva de agrupamento para separar os IPs “bons” dos “ruins” com base em seu comportamento durante o período do incidente, aplicamos um novo método secundário de agrupamento que identificou dois padrões diferentes de comportamento abrangendo ambos os incidentes. O primeiro padrão de ataque utilizava bots para atingir o alvo muito rapidamente, com características semelhantes (duração da sessão, intervalos entre solicitações etc.). A segunda botnet atacava mais lentamente, mas de forma mais consistente. A duração da sessão variava, provavelmente para contornar nossos mecanismos de mitigação. No entanto, o intervalo entre as solicitações era zero, o que nos ajudou a identificá-las. É fácil distinguir as duas botnets diferentes nos gráficos abaixo.
UA: baixa variação, com a maioria dos principais UAsrepresentados
Resposta de desvio: sucessomoderado no bloqueio; a origem foi afetada.[/one_half]
[one_half_last] Botnet identificada nº 2 Membros: 8 .913 Observações:
UA: baixa variação (ligeiramente superior à da botnet 1), a maioria dos principais UAsrepresentados
Resposta do Deflect: sucesso moderado no bloqueio, a origem foi afetada.[/one_half_last]
[one_half]
A botnet utiliza várias centenas de IPs únicos e algumas dezenas de user agents que se alternam
[/one_half][one_half_last]
A botnet ataca com várias centenas de IPs únicos e alterna entre algumas dezenas de agentes de usuário. O gráfico é atualizado a cada 15 segundos.
[/one_half_last]
Georreferência de IP
O endereço IP que solicita um site pode ser geolocalizado. Outra forma de visualizar o comportamento da botnet é cruzando as informações com o país de origem dos bots. Podemos observar facilmente a intensidade do ataque (número de acessos) em relação à distribuição dos bots (IPs únicos) nos diagramas abaixo.
[one_half]
Gráfico 6. Acessos ao site alvo, por origem geográfica.
[/one_half][one_half_last]
Gráfico 7. O mesmo período do gráfico anterior, mas desta vez mostrando a contagem de IPs únicos, por país (geoIP).
[/one_half_last]
Agente do usuário e dispositivo
Cada solicitação a um site geralmente contém um cabeçalho com informações de identificação sobre o solicitante. É claro que isso pode ser falsificado, mas, de qualquer forma, se destaca do padrão geral de tráfego do site. Esses incidentes apresentaram uma alta consistência de dispositivos do tipo “Smartphone genérico” e “Outros” – descrevendo a unidade de hardware a partir da qual a solicitação supostamente foi feita. É comum que botnets falsifiquem o agente de usuário de um dispositivo ou, pelo menos, compartilhem um agente comum.
Gráfico 8. Mostra os dispositivos utilizados no ataque de botnet de fevereiro. Como podemos ver, a maioria provém de dispositivos “Smartphone genérico” ou “Outros”. Tal consistência indica que se trata de um ataque, e não de visitantes regulares.
Conclusões sobre os ataques dos incidentes nº 29 e nº 30
Esses ataques se destacaram pelo número relativamente grande de bots participantes, mas foram de menor intensidade (número de acessos ao alvo) em comparação com os incidentes nº 31 a 34. Três ataques foram lançados durante o período desses incidentes, solicitando a mesma URL ( /- ) e utilizando o mesmo “dispositivo” no agente de usuário da solicitação.
Havia duas e, possivelmente, três botnets nesses incidentes. Elas podem ser diferenciadas pela localização geográfica de seus bots e pelas taxas de acertos durante o ataque. O que é interessante é que o método de ataque entre as diferentes botnets e os horários dos ataques é o mesmo. Além disso, as duas botnets compartilham uma alta porcentagem de endereços IP de bots que se sobrepõem (76,8%). Isso pode ser um indício de que elas são sub-redes de uma rede maliciosa maior e estão sendo controladas pela mesma entidade.
Incidentes nº 31 e nº 32
Data: 1 e 2 de março de 2016 Duração: aproximadamente 21,5 horas Botnets identificadas: 3 (ID das botnets: #4, #5, #6) Interseção de IPs entre as botnets: 91% Tipo de ataque: Reflexão – Pingback do WordPress[1]
Análise do ataque
Os invasores utilizaram a mesma botnet (91% de interseção) durante os incidentes nº 31 e nº 32 em um intervalo de 22 horas. O incidente nº 32 é o maior em termos de acessos em todo o período coberto por este relatório — totalizando mais de 13,5 milhões de acessos em 6 horas. Esses incidentes apresentam características de UA (dispositivo) muito semelhantes, sendo a maioria identificada como “Spider” (estamos realizando uma análise de interseção da UA mais adiante neste relatório).
[one_third] Botnet identificada nº 4
Membros: 2 .589 Observações:
Duração da sessão = 2.971 s
Média de carga útil = 8.217 bytes
Taxa de acessos = 1,7 por minuto
Solicitações: 10,8 milhões
Cabeçalho do host: preciso
Método: GET (> 99%)
Caminho da URI: / (> 99%)
UA: alta variação, todos pingbacks do WordPress
Resposta do Deflect: Bloqueadocom sucesso . 91% das respostas à botnet processadas pela borda em até 20 ms
Comparação entre IPs únicos e strings de agente de usuário únicas em intervalos de 30 segundos
Variação de UA: alta variação, todos pingbacks do WordPress
Resposta do Deflect: Incidenterelativamente pequeno — alguns invasores não acionaram nossa detecção antecipada, com cerca de 15% conseguindo chegar à origem (22.000 solicitações retornaram um HTTP 200). Bloqueio bem-sucedido.
Códigos de erro mostrando as solicitações bloqueadas em comparação com aquelas que chegaram ao site de origem no incidente nº 31
[/one_third_last]
Agente do usuário e dispositivo
O parâmetro “UA” em nosso sistema de registro identifica a string do agente do usuário no cabeçalho da solicitação feita ao site de destino. Geralmente, ele representa a assinatura (ou versão) do programa usado para consultar o site; por exemplo, “Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko” significa que a solicitação foi feita a partir do Internet Explorer versão 11, rodando no sistema operacional Windows 7 [2]. O parâmetro “dispositivo” em nosso sistema de registro identifica o hardware (dispositivo) no qual o agente do usuário está sendo executado, por exemplo, “Dispositivo iOS”, “Nexus 5” ou “Windows 7”. Nesse caso, a grande maioria dos endereços IP que acessaram o site foi classificada como “spiders”. Um spider, ou rastreador da web, é um software usado por mecanismos de busca para indexar a web. As strings de agente de usuário são apenas texto e podem ser alteradas (falsificadas) para indicar qualquer coisa — inclusive copiando uma string de agente de usuário comumente usada por algum outro software.[one_half]
Gráfico 9. Contagem de acessos de vários dispositivos durante os incidentes 31-32
[/one_half][one_half_last]
Gráfico 10. Contagem de IPs únicos de vários dispositivos durante os incidentes 33-34
[/one_half_last]
Conclusões sobre os ataques dos incidentes nº 31 e nº 32
Esses incidentes se destacam por suas características comuns de ataque e de atacantes, com uma sobreposição de 91% dos bots utilizados em ambas as instâncias (do incidente menor). O comportamento das botnets nº 4 e nº 5 difere apenas na taxa de acertos. As botnets nº 5 e nº 6 apresentam um número semelhante de bots e uma taxa de acertos quase idêntica. Curiosamente, elas diferem bastante no número de ataques que cada uma lançou contra o site alvo. Parece que todas as três botnets tinham forte presença em computadores nos Estados Unidos. Todas as botnets utilizaram o mesmo método de ataque — pingback do WordPress — em ambos os incidentes.
As semelhanças entre os endereços IP dos bots e as tentativas de variar o padrão de ataque de botnets muito semelhantes indicam esforços liderados por humanos para adaptar suas botnets a fim de contornar as defesas do Deflect. Parece que as botnets utilizadas nesses dois incidentes têm o mesmo controlador por trás delas.
Incidentes nº 33 e nº 34
Data: 4 de março e 8 de março de 2016 Duração: 30 minutos, 2 horas e 20 minutos Número de bots: 8.844 e 7.151 Botnets identificadas: 1 (ID da botnet: #7) Tipo de ataque: Reflexão – Pingback do WordPress[1]
Gráfico 11. Valores comparáveis de IPs únicos e UAs únicas. Observamos uma enorme diferença em relação a outras botnets neste relatório
Duração da sessão = 2.665 s
Média de carga útil = 15.572 bytes
Taxa de acertos = 0,30/minuto
Solicitações: 7,9 milhões
Cabeçalho do host: preciso
Método: GET (> 99%)
Caminho da URI: / (> 99%)
Variação de UA: alta variação, principalmente pingbacks do WordPress (92%)
Resposta do Deflect: sucessomoderado no bloqueio. 75% das solicitações foram tratadas em <200 ms, 5% apresentaram tempo limite de leitura na origem
Gráfico 12. Contagem de IPs únicos de vários dispositivos durante os incidentes nº 33 e 34
Conclusões sobre os ataques dos incidentes nº 33 e nº 34
O incidente nº 33 parece ser uma sondagem (ou uma primeira tentativa) antes de um ataque muito mais forte, com características semelhantes, ser lançado no incidente nº 34. Isso é comprovado pelo uso de uma única botnet em ambos os incidentes.
A botnet nº 7 aparece em outros ataques contra sites israelenses, em nossa rede e na rede de um de nossos pares. O padrão de ataque utilizado nesses incidentes é semelhante ao dos dois incidentes anteriores, e constatamos uma sobreposição de 17,9% entre os bots utilizados nos incidentes nº 32 e nº 33, o que possivelmente vincula os incidentes nº 31 a 34 entre si. Juntamente com a prevalência de bots originários dos Estados Unidos, há indícios de que as botnets 4 a 7 tenham origem em uma rede maior semelhante.
Conclusões do relatório
Foram feitas tentativas de derrubar o site bdsmovement.net utilizando várias botnets (pelo menos duas distintas e relativamente grandes), com abordagens técnicas variadas. Isso demonstra um nível de sofisticação e empenho que geralmente não é observado na rede Deflect. A escolha do método de ataque nos permitiu identificar qual site estava sendo alvo, o que pode ter sido uma decisão consciente. No entanto, não encontramos nada que ligasse os ataques nos incidentes #29-30 aos ataques nos incidentes #31-34. O relativo sucesso em afetar a origem nos dois primeiros incidentes não foi repetido nos quatro seguintes. Além disso, outros métodos eficazes para sobrecarregar a rede com tráfego ou saturar nossos mecanismos de defesa poderiam ter sido utilizados, caso os atacantes tivessem recursos e dedicação suficientes para atingir seus objetivos.
A criação de perfis históricos da atividade de botnets e a capacidade de cruzar nossos resultados com os de organizações parceiras levarão a uma melhor compreensão das tendências, em uma faixa mais ampla da Internet. A adaptação de ferramentas de classificação de botnets aos mecanismos de defesa automatizados nos permitirá notificar nossos parceiros sobre botnets identificadas e confirmadas antes de um ataque. Ao minar gradualmente a impunidade dos controladores de botnets, esperamos reduzir a prevalência de ataques DDoS como método para suprimir vozes online.
A eQualit.ie convida organizações interessadas nesta colaboração a entrar em contato.
[1] Um ataque de pingback no WordPress utiliza uma função legítima do próprio WordPress, notificando outros sites de que você está criando um link para eles, na esperança de reciprocidade. Ele chama a função XML-RPC para enviar uma solicitação de pingback. O invasor escolhe um conjunto de sites do WordPress e envia a eles uma solicitação de pingback, falsificando a origem como sendo o site alvo. Esse recurso vem ativado por padrão nas instalações do WordPress, e muitas pessoas administram seus sites sem saber que seus servidores estão sendo usados para refletir um ataque DDoS. [2]http://www.useragentstring.com/index.php
Análise de ataques de botnet referente ao período de 1 a 29 de fevereiro de 2016 Site protegido pelo Deflect – kotsubynske.com.ua
Este relatório aborda os ataques contra o site de notícias da mídia independente Kotsubynske, na Ucrânia, especialmente durante as duas primeiras semanas de fevereiro de 2016. Ele detalha os diversos métodos utilizados para derrubar o site por meio de ataques distribuídos de negação de serviço. Os ataques não tiveram sucesso.
Informações gerais
O Kotsubynske é um site de mídia online desde 2010, criado por jornalistas locais e pela sociedade civil em resposta à apropriação e venda de terras públicas (floresta de Bylichaniski) pelas autoridades locais. O site publica notícias locais, análises políticas e expõe escândalos de corrupção na região. O site se registrou para receber proteção do Deflect durante uma série contínua de ataques DDoS no final de 2015. O site é inteiramente em ucraniano. Ele recebe, em média, de 80 a 120 mil acessos diários, principalmente da Ucrânia, da Holanda e dos Estados Unidos.
Perfil do ataque
A partir de 1º de fevereiro, o Deflect detectou um aumento nos ataques contra este site, originados principalmente de endereços IP vietnamitas. Trata-se provavelmente de um ataque de sondagem, que não teve sucesso. No dia 6 de fevereiro, foram registrados mais de 1.300.000 acessos a este site em um único dia. Nosso sistema de defesa contra botnets bloqueou várias botnets, sendo que a maior delas contava com pouco mais de 500 participantes únicos (bots).
Utilizando a ferramenta “Timelion” para detectar anomalias baseadas em séries temporais na rede, como as causadas por ataques DDoS, percebemos um desvio significativo em relação ao padrão médio de visitantes do site Kotsubynske (no diagrama abaixo, o número de acessos ao site está em vermelho, enquanto o azul representa uma média móvel de 7 dias mais 3 vezes o desvio padrão; os retângulos amarelos marcam as anomalias). O fato de o desvio em relação ao normal ter ocorrido ao longo de uma semana (de 1º a 8 de fevereiro) indica que o ataque se estendeu por vários incidentes. Este relatório busca determinar se esses ataques separados estão relacionados, apresentar as características dos ataques e formular hipóteses sobre sua finalidade e origem.
Ilustração 1: Gráfico do Timelion mostrando um período prolongado de ataque entre 1º e 8 de fevereiro
6 de fevereiro de 2016 Perfil do ataque
Este incidente durou 1h 11min e foi o ataque mais intenso durante esse período, em termos de acessos por minuto.
Estatísticas do incidente
Aqui estão listadas parte das estatísticas do incidente que obtivemos do sistema da Deflect Labs. Elas mostram a intensidade do ataque, o tipo de ataque (GET/POST/WordPress/outros), URLs visadas, bem como várias informações de GEOIP e IP relacionadas ao(s) invasor(es):
client_request host:”www.kotsubynske.com.ua”
Acessos entre 24.000 e 72.000 por minuto
Total de acessos durante o período do ataque: 1.643.581
Início do ataque: 06/02/2016 13:34:00
Fim do ataque: 06/02/2016 14:45:00
Tipo de ataque: ataque GET (bots solicitaram páginas do site)
URL alvo: www.kotsubynske.com.ua
Solicitação principal da botnet: “http://www.kotsubynske.com.ua/-”
Ilustração 2: Distribuição geográfica dos bots
A maioria dos acessos a este site veio do Vietnã, da Ucrânia, da Índia, da República da Coreia, do Brasil e do Paquistão. A seguir, apresentamos as estatísticas dos cinco principais países, começando pelo que registrou o maior número de acessos e seguindo em ordem decrescente:
geoip.country_name
Contagem
Vietnã
817.602
Ucrânia
216.216
Índia
121.405
Romênia
70.697
Paquistão
61.201
Análise comparativa de incidentes
Pesquisamos três meses de incidentes no site Kotsubynske, mais precisamente de janeiro a março de 2016. Detectamos cinco incidentes entre 1º e 8 de fevereiro e apresentamos uma análise detalhada das características da botnet e das semelhanças entre cada incidente. O objetivo é descobrir se os incidentes estão relacionados. Isso pode nos ajudar a determinar se os autores por trás desse ataque foram os mesmos em todos os incidentes. Por exemplo, observamos que relativamente poucos endereços IP aparecem em mais de um incidente, enquanto cada incidente apresenta um tamanho de botnet e um padrão de ataque semelhantes.
Ilustração 3: Localização GeoIP dos bots nos cinco incidentes registrados
Tabela 1. IPs idênticos em todos os incidentes
Identificamos, na sequência dos incidentes, os IPs das botnets que reapareceram de um ataque anterior.
Tabela 2. Pares de incidentes com um número significativo de endereços IP idênticos bloqueados pelo Deflect
Aqui, correlacionamos cada incidente com todos os outros incidentes para verificar se algum endereço IP de botnet comum reaparece e apresentamos os pares de incidentes em que há uma correspondência
ID do incidente
IPs bloqueados
ID do incidente
IPs bloqueados
IPs recorrentes
% de IPs de botnets recorrentes
no incidente menor
1
224
2
120
22
18,3%
3
99
4
484
15
15,2%
A análise dos cinco ataques mostra que muito poucos endereços IP de botnets foram reutilizados em ataques subsequentes. A presença de quaisquer endereços IP recorrentes, no entanto, sugere que eles pertencem a uma sub-rede da mesma botnet ou são de vítimas cujos computadores foram infectados por mais de um malware de botnet. Além disso, as características de geoIP e o comportamento de cada botnet são quase idênticos. Por exemplo, embora o tráfego durante esse período tenha seguido a tendência normal, tanto em termos de número de visitantes quanto de sua distribuição geográfica, os IPs bloqueados eram principalmente do Vietnã, da Índia, do Paquistão e de outros países que normalmente não acessam o site kotsubynske.com.ua
Esse é um indicador confiável de tráfego malicioso e de uma botnet transnacional.
71,1% dos IPs bloqueados provêm do Vietnã, Índia, Irã, Paquistão, Indonésia, Arábia Saudita, Filipinas, México, Turquia e Coreia do Sul.
99,9% dos IPs bloqueados possuem uma string de agente de usuário idêntica: “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)”.
A taxa média de acessos de IPs com a string de agente de usuário exatamente idêntica é significativamente maior: 61,9 acessos/minuto contra 4,5 acessos/minuto para todo o restante do tráfego.
Ilustração 4: Máquinas banidas de países “incomuns” para kotsubynske.com.ua
A string do agente de usuário (UA) parece ser idêntica em todos os cinco incidentes, ao comparar o tráfego banido com o legítimo. No diagrama abaixo, a cor laranja representa a string de agente de usuário idêntica, enquanto o azul representa IPs com outras strings de agente de usuário. As caixas coloridas contêm 50% dos IPs no meio de cada conjunto e as linhas dentro das caixas indicam as medianas. Os marcadores acima e abaixo das caixas indicam a posição do último IP dentro de 1,5 vez a altura da caixa (ou dentro de 1,5 vez o intervalo interquartil).
Ilustração 5: Distribuição da taxa de acertos para os IPs com a mesma string de agente de usuário: “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)”
Embora não haja muitos IPs de botnets idênticos em todos os 5 incidentes, o comportamento dos IPs de botnets de diferentes incidentes é muito semelhante. A figura abaixo ilustra algumas características da botnet (cores diferentes) em comparação com o tráfego normal (cor azul).
Gráfico de dispersão das sessões no espaço tridimensional:
Variação do intervalo entre solicitações
Taxa de erro
Proporção entre HTML e imagens
Conclusão do relatório
No dia 2 de fevereiro, o site de Kotsubynske publicou um artigo sobre uma reunião do conselho administrativo regional, no qual se afirmava que membros do partido político “New Faces” estavam interferindo e tentando sabotar o trabalho do conselho no combate ao desmatamento. O partido é liderado pelo prefeito da cidade vizinha de Irpin. Os ataques contra o site começaram a partir de então.
Considerando a escala dos ataques frequentemente observados na rede Deflect, este não foi nem intenso nem sofisticado. Nossa suposição é que o controlador da botnet estava simplesmente alternando entre os diversos bots (IPs) à sua disposição, a fim de evitar nossos mecanismos de detecção e bloqueio. O agente de usuário e o padrão de ataque idênticos utilizados nos cinco ataques são, para nós, um indício de que uma única entidade os estava orquestrando.
Este é o primeiro relatório da iniciativa Deflect Labs. Nosso objetivo é acabar com a impunidade de que atualmente desfrutam os operadores de botnets em todo o mundo e apoiar os esforços de defesa de nossos clientes. Em um futuro próximo, começaremos a traçar o perfil e a correlacionar os ataques atuais com nosso histórico de três anos e com os esforços de mitigação de DDoS de iniciativas com objetivos semelhantes.
Temos o prazer de anunciar uma atualização do painel do Deflect, lançada recentemente e exaustivamente testada, repleta de novos recursos, interfaces elegantes e maior controle sobre a configuração do seu site.
Os usuários que ainda não foram migrados para o novo painel receberão um aviso de “Cronograma de manutenção” da nossa equipe de sistemas, especificando os detalhes da migração.
Novos recursos
Configuração da IA do Baskerville: maior controle sobre o sistema de IA que protege seu site contra bots maliciosos.
Otimização do cache com um clique: ajuste com precisão os cabeçalhos de cache do seu site para acelerar o carregamento e melhorar o desempenho.
Configurações avançadas de segurança: gerencie cabeçalhos de segurança, caminhos personalizáveis protegidos por senha e políticas de segurança de conteúdo.
Cabeçalhos de pesquisa personalizada do GeoIP e redirecionamentos 301.
Relatório sobre vulnerabilidades do WordPress para clientes da eQPress.
Caso encontre algum bug ou comportamento inesperado, utilize o recurso “Enviar um ticket” no novo painel de controle. Nossa equipe de suporte responderá o mais rápido possível.
