Categoria: Desviar

  1. Home
  2. >
  3. Desviar
Categorias
Comunicado à imprensa DDoS Deflect Labs Desviar

Bloqueio de ataques contra sites israelenses e palestinos

Relatório de ataques DoS/DDoS contra sites protegidos pelo Deflect entre 7 e 22 de outubro de 2023

INTRODUÇÃO

A violência que assolou Israel e Gaza nas últimas semanas também se espalhou pelo espaço digital. Desde imagens horripilantes de assassinatos em nossas telas de computador até discursos de ódio em todas as plataformas de mídia social. A infraestrutura da Deflect tem sido, há muitos anos, um espaço seguro para grupos de direitos humanos, meios de comunicação e instituições civis israelenses e palestinos. A equipe do Deflect continua a aplicar os princípios e os termos de serviço do nosso projeto para garantir que a rede não seja usada como plataforma para promover violência ou ódio. Também buscamos a permissão explícita de nossos clientes antes de divulgar sua associação com o Deflect e de relatar ataques que visam silenciá-los.

Desde 7 de outubro de 2023, a Deflect registrou seis ataques significativos do tipo DoS/DDoS contra organizações de direitos humanos israelenses (btselem.org), que culminaram em 54 milhões de eventos de ataque contra nossos servidores de borda. Também registramos 11 ataques DoS/DDoS significativos contra o site de notícias palestino (palestinechronicle.com), com um total de 7 milhões de acessos maliciosos em diversas formas de ataque.

COBERTURA

  1. Este relatório abrange apenas os registros HTTP/HTTPS da camada L7. Pode haver mais tráfego de ataque abaixo da camada L7, mas isso não é abordado neste relatório. Portanto, não fornecemos informações sobre o volume de tráfego (como 1 GB de tráfego por segundo).
  2. Um ataque com uma “taxa de bloqueio” mais alta pode subestimar a magnitude original do ataque. Pois, após o bloqueio do Deflect, o IP atacante será bloqueado no nível do firewall, impedindo que quaisquer outras solicitações provenientes desse IP cheguem ao nosso servidor.
  3. Sites com parâmetros técnicos diferentes podem apresentar comportamentos distintos no registro de logs. Um site em que o JS Challenger esteja constantemente ativado, desafiando todas as solicitações, mas que não bloqueie por firewall os IPs que falharem em muitos desafios, pode resultar em um maior volume de tráfego de ataque registrado nos logs.

METODOLOGIA

Para distinguir os ataques do tráfego normal, utilizamos a seguinte metodologia:

  1. Identifique se houve um pico no tráfego total ou no registro de bloqueios durante um intervalo de 24 horas.
  2. Limite a busca a esse intervalo de tempo para identificar anomalias, que geralmente incluem:
    1. Excesso de solicitações em determinada URL (como a raiz /)
    2. Excesso de solicitações com o mesmo User-Agent provenientes de endereços IP diferentes
    3. Distribuição uniforme do User-Agent e do método HTTP que é perfeita demais para ser verdade
    4. String de consulta exclusiva excessiva (como ?v={rand}) para evitar o cache
  3. Verifique se os IPs com maior tráfego acionaram alguma de nossas regras de limitação de taxa.
  4. Verifique com o sistema Baskerville, um sistema de aprendizado de máquina que detecta tráfego anômalo.

ATAQUE: BTSELEM.ORG

Parâmetros: JS Challenger: Ativado / Resultado em caso de falha no desafio ou atingimento do limite de tentativas: Sem banimento

#DataInício (+0)Duração (s)Solicitação HTTPRPSIP exclusivoProibições exclusivasTaxa de proibição
B19 de outubro de 202320:37:5199752.497.38052.64424516567,35%
B213/10/202315:37:262665291.19210911100,00%
B316/10/202315:02:08123146.0661.1861.8331.41677,25%
B416/10/202322:32:554831.068.4362.2113.6112.40366,55%
B518/10/20230:03:12141165.1711.1683.1332.75587,93%
B620/10/202313:24:30181133.9307392.6062.28187,53%

Gráfico A: Visualização do registro de bloqueios do Deflect / Banjax do ataque #B1

O ataque #B1 é considerado o mais potente registrado neste relatório. Ele atingiu uma média de 52.644 solicitações por segundo (RPS). Os seis principais endereços IP de origem enviaram, em média, 3 milhões de solicitações em um período de 10 minutos. Os invasores empregaram uma estratégia de “inundação aleatória sem cache” (Randomized Nocache Flood), utilizando strings de consulta variadas para contornar o cache. Notavelmente, observou-se que a mesma string de consulta estava sendo usada por diferentes endereços IP de várias localidades ao redor do mundo.

O ataque #B2 teve origem em um único endereço IP: 46.210.30.130. No entanto, uma aparente configuração incorreta na ferramenta do invasor fez com que todas as suas solicitações fossem rejeitadas pelo nosso servidor. 

O ataque #B3 apresentava strings de user-agent com pequenas variações nos números de versão, mantendo uma estrutura básica consistente. No entanto, elas não eram totalmente únicas; detectou-se que a mesma string de user-agent estava sendo usada por 37 endereços IP diferentes.

O Ataque #B4 adotou uma estratégia semelhante à do Ataque #B3, mas apresentou um leque mais amplo de agentes de usuário e teve como alvo específico o endpoint /hebrew, em vez do diretório raiz do site (/).

Gráfico B: Reação de Baskerville ao ataque #B4

O Ataque #B5 seguiu as mesmas táticas observadas no Ataque #B3, mas utilizou um conjunto diferente de user-agents.

O ataque #B6 compartilhou três strings de User-agent idênticas entre os 2.606 endereços IP.

ATAQUE: PALESTINECHRONICLE.COM

Parâmetros: Js Challenger: Desativado / Resultado do limite de taxa de acertos: Bloqueio pelo firewall

#DataInício (+0)Duração (s)Solicitação HTTPRPSIP exclusivoProibições exclusivasTaxa de proibição
P18 de outubro de 20238:26:5351588.0141711.87991748,80%
P28 de outubro de 202314:42:2692586.9919411100,00%
P39 de outubro de 202310:16:30299364.2411.2181.6321.44588,54%
P49 de outubro de 202322:34:091541.198.7527.76411100,00%
P510/10/202313:11:02739230.6433122.0021.72185,96%
P610/10/202317:06:396682.869.1764.29470853275,14%
P712/10/202320:27:52272711.5112.6131.50686757,57%
P812/10/202320:57:58248738.3802.9771.14293882,14%
P913/10/20230:32:16181458.3542.53382874690,10%
P1013/10/20239:25:37177291.2911.64875971093,54%
P1121/10/202316:31:55117269.0272.3052.2281.34760,46%

Gráfico C: Visualização do registro de bloqueios do Deflect / Banjax do ataque #P6

Os ataques #P2 e #P4 foram perpetrados por um único endereço IP. Ambos tiveram como alvo a porta HTTP 80 e não seguiram o redirecionamento 301 para HTTPS. As solicitações 301 excessivas só passaram a ser bloqueadas a partir de 14 de outubro.

O ataque #P6 foi executado principalmente a partir de um único endereço IP, que, da mesma forma, não respeitou os redirecionamentos 301 emitidos pelo Deflect.

Os ataques #P7, #P8, #P9 e #P10 apresentaram semelhanças em sua abordagem; todos utilizaram uma string de user-agent distribuída uniformemente, o que sugere que foram observadas strings de user-agent idênticas em vários endereços IP.

CORRELAÇÃO DE ATAQUES

Observamos sobreposições significativas nos endereços IP dos atacantes em vários ataques DDoS aos sites palestinechronicle.com e btselem.org, o que sugere tentativas coordenadas por parte dos autores dos ataques. Aqui estão as conclusões:

  1. Os ataques #P9 e #P10 compartilharam aproximadamente 50 endereços IP de ataque em comum.
  2. Os ataques #P7 e #P8 tiveram cerca de 30 endereços IP de ataque idênticos.
  3. Vale destacar que os ataques #P7, #P8, #P9 e #P10 parecem ter origem na mesma fonte de ataque, o que é comprovado por uma forte sobreposição dos endereços IP de origem.
  4. Os ataques #P3 e #P6 tinham seis endereços IP em comum. Já os ataques #P1 e #P5 também compartilhavam seis endereços IP idênticos. A recorrência de endereços IP compartilhados em ataques distintos sugere uma possível, embora fraca, conexão com uma fonte comum de ataque ou entidades afiliadas.
  5. Os ataques #B4, #B5 e #B6 tinham 32 endereços IP de ataque em comum, o que sugere que eles possam ter vindo da mesma fonte de ataque.
  6. Houve também endereços IP que atacaram ambos os sites:
    1. Os endereços IP 186.121.235.66, 187.141.184.235, 201.91.82.155 e 36.91.45.11 tiveram como alvo tanto o #B3 quanto o #P6.
    2. Endereços IP 186.121.235.66, 187.141.184.235, 201.91.82.155, 36.91.45.11, 123.126.158.50, 223.112.53.2, 5.95.66.74, 79.107.146.14 e 190.90.8.74 atacaram tanto o #B3 quanto o #P3.
  7. Dos 13 endereços IP que tiveram como alvo o ataque #B1, três também atacaram o ataque #P6 e seis tiveram como alvo o #P3.

PRINCIPAIS IPs DE ATAQUE

Esta é uma lista de endereços IP com número excessivo de solicitações registradas no Deflect, associados a conteúdo impróprio (ver # para o ID do ataque correspondente).

#IPASContagem de solicitações
B1198.50.121.146iWeb Technologies Inc.3.936.297
B1202.134.19.50Empresa de Infraestrutura de Telecomunicações CMC3.077.579
B1209.126.124.140HEG US Inc.2.908.415
P6104.199.133.2Google LLC2.802.394
B1185.191.236.162Rack Sphere Hosting S.A.2.751.354
B1200.30.138.54MILLICOM CABLE EL SALVADOR S.A. de C.V.2.502.015
B1103.74.121.88Corporação para o Financiamento e a Promoção da Tecnologia2.480.702
P491.227.40.198Data Invest sp. z o.o. S.K.A.1.198.752
B1113.125.82.11Cloud Computing Corporation848.330
B137.211.21.205Ooredoo Q.S.C.831.118
B1173.212.197.82Contabo GmbH662.370
B1212.92.204.54A1 Hrvatska d.o.o.589.828
B1193.41.88.58Universidade Nacional Taras Shevchenko de Kiev542.676
B1109,70,189,70JSC Elektrosvyaz497.125
B1186.121.235.66AXS Bolívia S.A.417.661
B193.180.220.67Intertelecom Ltda.417.072
B1177.126.129.43Net Aki Internet Ltda399.074
B246.210.30.130Cellcom Fixed Line Communication L.P.291.192
P2223.233.84.97Bharti Airtel Ltd., Serviços de Telemídia86.991
P723.247.35.2Redes Globais de Frag28.408
P9209.17.114.78Network Solutions, LLC25.476
P10209.17.114.78Network Solutions, LLC12.392

CONCLUSÃO

De 7 a 22 de outubro de 2023, sites israelenses e palestinos foram alvo de ataques cibernéticos coordenados e graves, com o objetivo de sobrecarregá-los e derrubá-los. Esse tipo de ataque, conhecido como ataque de Negação de Serviço Distribuída (DDoS), funciona como um engarrafamento que obstrui uma rodovia, impedindo que usuários comuns acessem o site.

  1. Magnitude dos ataques: O site israelense de direitos humanos sofreu ataques que resultaram em 54 milhões de solicitações na web, enquanto o site de notícias palestino registrou 7 milhões de solicitações na web. Pense nisso como milhões de ligações indesejadas sobrecarregando uma linha direta.
  2. Táticas e técnicas: Os invasores se adaptaram e utilizaram diversos métodos para contornar as defesas do Deflect. Alguns tentaram variar as solicitações de ataque de maneira sutil para enganar os conjuntos de regras manuais. Outros adotaram uma abordagem mais direta, enviando rapidamente um grande número de solicitações. Em alguns casos, os invasores tentaram disfarçar suas solicitações maliciosas, fazendo com que parecessem visitas normais de usuários.
  3. Padrões de ataque em comum: Percebemos que muitos dos ataques a ambos os sites pareciam ter origem nas mesmas fontes ou grupos. É como identificar o mesmo grupo de desordeiros causando perturbações em vários lugares. Especificamente, os métodos e até mesmo alguns dos endereços de internet (IPs) utilizados nos ataques eram comuns aos dois sites.
  4. Eficiência das defesas: Nossas medidas de proteção — pense nelas como guardas de segurança ou filtros — funcionaram bem na maioria dos casos. Elas conseguiram identificar e bloquear essas solicitações maliciosas, evitando interrupções significativas. No entanto, os invasores são persistentes e continuam tentando vários métodos para contornar nossas defesas.

Nos últimos tempos, nosso sistema de proteção, o Deflect, tem se mostrado um robusto guardião dos sites sob sua supervisão. Utilizando técnicas sofisticadas, que incluem o poder do aprendizado de máquina, ele tem diferenciado com precisão entre tráfego normal e malicioso. Isso não apenas garantiu que esses ciberataques fossem efetivamente frustrados, mas também manteve o serviço ininterrupto dos sites em questão. Isso é uma prova da capacidade do Deflect de lidar com ataques cibernéticos complexos e agressivos, salvaguardando a essência e o funcionamento ininterrupto das plataformas online e, assim, apoiando a liberdade de expressão na internet.

  1. Home
  2. >
  3. Desviar
Categorias
Blog Comunicado à imprensa Desviar

Apresentando o Deflect-next

Após vários anos de trabalho árduo, temos o orgulho de anunciar o lançamento público do novo ecossistema de software Deflect. Em nossa organização no GitHub https://github.com/deflect-ca você encontrará todos os repositórios oficiais de código aberto relacionados ao Deflect, que permitem que você implemente uma infraestrutura completa de proteção de sites ou seus componentes individuais. O Deflect oferece uma rede de armazenamento em cache e entrega de conteúdo de alto desempenho, ferramentas de mitigação de ataques cibernéticos com tecnologia da Banjax e do centro de aprendizado de máquina Baskerville, painéis de controle para usuários, APIs e muito mais. Você está lendo esta postagem em uma infraestrutura do Deflect reconstruída e refatorada, e estamos muito orgulhosos disso!

A seguir, apresentamos a história de como o novo Deflect surgiu e os motivos que levaram às diversas escolhas de software.

Desviar-próximo

Criado em 2011, o Deflect foi uma solução relativamente simples para o problema do tipo “muitos contra um” dos ataques de negação de serviço distribuída (DDoS) direcionados aos servidores web da sociedade civil. Ao executar o software de cache e mitigação do Deflect em servidores de borda em constante rotação, estrategicamente localizados em alguns dos maiores data centers do mundo, oferecemos um cenário de “muitos contra muitos”, utilizando a natureza abrangente da Internet de maneira semelhante àqueles que organizavam ataques contra nossos clientes – nivelando o campo de jogo e trazendo um pouco mais de “igualdade” para os direitos de nossos clientes à liberdade de expressão e de associação com nosso público. Os servidores de borda da Deflect memorizavam solicitações anteriores de dados de sites (por meio de técnicas de cache de proxy reverso) e aliviavam a carga dos servidores web de nossos clientes. Para bloquear a enxurrada de ataques conduzidos por bots, desenvolvemos um software de mitigação de ataques baseado em regras – o Banjax –, que identifica comportamentos algorítmicos que consideramos maliciosos e bloqueia os endereços IP que os exibem. 

À medida que expandíamos nossa infraestrutura e centenas de meios de comunicação independentes, grupos de direitos humanos e outras organizações sem fins lucrativos aderiam ao serviço, a rede Deflect passava a receber milhões de solicitações diárias de todo o mundo. Esse crescimento foi acompanhado por uma maior frequência e sofisticação dos ataques. A infraestrutura do Deflect foi continuamente e meticulosamente corrigida, aprimorada e atualizada várias vezes. Como costuma acontecer, o código-fonte que sustenta o serviço tornou-se pesado e repleto de configurações e correções complicadas. Além disso, fomos nos afastando cada vez mais da ambição do nosso projeto secundário: ver outros grupos de tecnologia operando suas próprias instâncias do Deflect usando nossa base de código. A pilha de software exigia muita configuração manual e “conhecimento especializado”. A partir de 2019, começamos a arquitetar e desenvolver uma nova versão do Deflect, utilizando um método totalmente novo de provisionamento, gerenciamento e configuração de componentes de rede, mantendo nossa agilidade e incorporando a reprodutibilidade como filosofia principal de design.

Do ATS para o Nginx

A principal ferramenta para hospedar os sites dos clientes da Deflect é o software de cache instalado em cada ponto de borda da rede. Ele realiza todo o trabalho pesado em nossa arquitetura – atendendo a solicitações da Internet em nome dos sites de nossos clientes, funcionando como um proxy reverso. Inicialmente, optamos pelo Apache Traffic Server (ATS), desenvolvido pelo Yahoo e lançado como código aberto no início dos anos 2000. A escolha foi feita principalmente por causa de seus níveis de desempenho em testes de carga. O software em si ainda não era amplamente difundido e era um pouco mais difícil de configurar e manter, com a configuração de ações específicas frequentemente distribuída por vários arquivos. Isso exigia que cada operador de rede da Deflect se aprofundasse na documentação e no código-fonte para entender o que aconteceria a cada alteração.

Outra solução de cache e proxy — o Nginx — revelou-se uma opção mais atraente para nosso novo projeto de rede, com formatos de configuração flexíveis e uma base de usuários técnicos muito maior.

Do Ansible e do Bash ao Python e ao Docker

Os clientes do Deflect personalizam suas configurações de cache e mitigação de ataques por meio do Deflect Dashboard, que envia instantâneos dessas configurações para o controlador de rede. Anteriormente, o mecanismo de configuração era uma combinação de Ansible e Bash, e sua lógica e complexidade haviam crescido além do que era viável gerenciar nessas linguagens. Agora, reconstruímos o módulo de configuração em Python, garantindo melhor escalabilidade no futuro e compatibilidade com comunicações via API.

Reestruturamos o módulo de orquestração do Deflect — para instalar pacotes, iniciar e parar processos e enviar novas configurações para os pontos de extremidade da rede — utilizando o Docker.

Os benefícios da conteinerização são bem conhecidos, mas, resumidamente, as vantagens para nós foram: dissociar as aplicações do sistema operacional host (a atualização entre versões do Debian sempre foi um ponto crítico), tornar nossos diversos ambientes de desenvolvimento e teste mais reproduzíveis e permitir que criássemos e destruíssemos facilmente várias cópias de um contêiner no mesmo servidor. Depois que nossas aplicações foram containerizadas, precisávamos de uma maneira de iniciar e parar esses contêineres, e decidimos escrever o código de forma imperativa em nossa linguagem de uso geral preferida, o Python. Existe uma biblioteca, a docker-py, que se conecta ao daemon do Docker em hosts remotos via SSH e fornece uma API para construir imagens, criar volumes, iniciar/parar contêineres e tudo o mais de que precisávamos. O resultado não é tão simples quanto o Docker Compose ou o Swarm, mas também não é tão complicado quanto o Kubernetes, e está escrito em uma linguagem que todos em nossa equipe de desenvolvimento já conhecem.

De Banjax para Banjax-go

Nosso principal método de mitigação — o Banjax — era, anteriormente, um plug-in do ATS e, como tal, estava fortemente acoplado aos detalhes internos da máquina de estados de processamento de solicitações e do ciclo de eventos do ATS. Escrito em C++, ele estava fortemente acoplado aos mecanismos internos do ATS e, muitas vezes, tinha sua funcionalidade limitada pelo próprio servidor de cache. Responder a uma pergunta simples como “uma solicitação conta para o limite de taxa mesmo que o resultado já tenha sido armazenado em cache, ou apenas se a solicitação for encaminhada até a origem?” exigia uma leitura minuciosa do código-fonte do Banjax e do ATS. Para portar nossa lógica de mitigação de ataques para outro servidor, como o Nginx, seria necessário um entendimento igualmente detalhado de seus mecanismos internos. Além disso, queríamos compartilhar as ferramentas do Banjax com outras pessoas — mas não conseguíamos dissociá-las do ATS —, pois nenhum de nossos parceiros ou colegas utilizava esse software de cache.

Exploramos uma arquitetura alternativa: na qual a lógica de mitigação de ataques reside em um processo separado (desenvolvido em qualquer linguagem e desacoplado do funcionamento interno de qualquer servidor específico) e se comunica com o servidor por meio de algum canal de comunicação entre processos. Exploramos o uso de um plug-in do Nginx especializado para essa finalidade (e desenvolvemos um plug-in ATS de prova de conceito em Lua que fazia a mesma coisa) mas descobrimos que uma combinação entre a diretiva `proxy_pass`, amplamente utilizada, e o cabeçalho `X-Accel-Redirect` era mais flexível (as respostas de autenticação podem redirecionar o cliente para locais arbitrários) e provavelmente mais portável entre servidores. Quanto à escolha da linguagem para o serviço de autenticação, Python e a estrutura Flask teriam sido uma boa opção, já que os utilizamos em outras partes de nossa pilha, mas alguns testes de desempenho mostraram que Go e Gin eram muito mais rápidos (nossa meta era uma sobrecarga no pior caso de cerca de 1 ms além das solicitações, com um tempo de resposta no 50º percentil de 50 ms, e o Go/Gin atinge isso).

A interface entre o Nginx e o Banjax-go é uma boa demonstração do poder de expressão do arquivo de configuração do Nginx. Este primeiro bloco de código indica que se deve corresponder a todas as solicitações recebidas (`/`) e encaminhá-las para `http://banjax-go/auth-request`.

location / {
    proxy_pass http://banjax-go/auth_request
}

O Banjax-go então verifica o IP do cliente e o nome do site em suas listas de IPs a serem bloqueados ou submetidos a verificação. Ele responde ao Nginx com um cabeçalho semelhante a `X-Accel-Redirect: @access_granted` ou `X-Accel-Redirect: @access_denied`. Esses são nomes de outros blocos de localização na configuração do Nginx, e o Nginx realiza um redirecionamento interno para um deles.

location @access_granted {
    proxy_pass https://origin-server
}
location @access_denied {
    return 403 "acesso negado";
}

Isso já é muito mais fácil de entender do que um plugin que se integra à lógica interna de processamento de solicitações do Nginx ou do ATS (ler e gravar um arquivo de configuração é mais fácil do que ler e gravar código). Além disso, ele se integra muito bem aos outros conceitos que podem ser expressos com a configuração por escopo do Nginx: você pode controlar o registro em log, o cache, o tratamento de erros e muito mais em cada bloco `location`, e fica claro se isso se aplica à solicitação ao banjax-go, à solicitação ao servidor de origem ou à mensagem estática 403 de acesso negado.

Aqui está um diagrama que mostra o fluxo de proxy_pass + X-Accel-Redirect descrito acima (siga os números vermelhos 1, 2 e 3), juntamente com as outras interfaces que o Banjax-go possui: o monitoramento de logs e a conexão com o Kafka. O monitoramento de logs aplica as mesmas regras de expressão regular e limite de taxa que o plug-in ATS aplicava, mas de forma assíncrona (fora da solicitação e da resposta do cliente), em vez de síncrona. O canal do Kafka serve para receber decisões do Baskerville (“desafiar este IP”) e para informar
 se um IP desafiado foi aprovado ou reprovado no desafio.

Cliente da Baskerville

O centro de coordenação de previsão de anomalias liderado por máquinas — Baskerville — é uma infraestrutura inovadora que vem operando em produção no Deflect há mais de um ano. Trata-se de uma configuração complexa que depende de servidores de borda que enviam logs para o centro de coordenação, onde o pré-processamento para extração de características (identificação de comportamentos anômalos em logs da web) gera vetores que são, em seguida, processados pelo modelo de aprendizado. Uma previsão de anomalia é gerada e comunicada de volta à borda da rede. O centro de coordenação é executado em um cluster do Kubernetes e requer uma grande quantidade de recursos para o processamento.

Recentemente, dividimos a base de software em dois componentes: a câmara de compensação e o software cliente (que opera em qualquer servidor web Linux+nginx). A ideia era permitir que clientes de terceiros, que não utilizam o Deflect, se beneficiem das previsões da câmara de compensação e da ferramenta de mitigação Banjax. Nesse novo modelo, o cliente Baskerville é instalado independentemente do Deflect e realiza:

  • Processa os logs do servidor web nginx e calcula características estatísticas.
  • Envia recursos para uma instância da câmara de compensação do Baskerville.
  • Recebe previsões de uma câmara de compensação para cada endereço IP.
  • O Issues emite comandos para cada IP malicioso em um tópico separado do Kafka.
  • Monitora ataques nos painéis do Grafana.
Qualquer pessoa pode se beneficiar das previsões de anomalias da Baskerville e das ferramentas de mitigação da Banjax

Próximos componentes de código aberto do Deflect

  • Deflect — todos os componentes necessários para configurar seu controlador de rede e servidores de borda — que, essencialmente, atuam como um proxy reverso para você ou para os servidores web de origem dos seus clientes.
  • Deflect-API — uma interface para os componentes do Deflect
  • Edgemanage — uma ferramenta para gerenciar a disponibilidade HTTP de um cluster de servidores web por meio do DNS. Se for constatado que uma máquina está apresentando baixo desempenho, ela é substituída por um novo host para garantir a máxima disponibilidade da rede.
  • Banjax — limitação básica da taxa de solicitações recebidas de acordo com um conjunto configurável de padrões de expressões regulares.
  • Baskerville — um mecanismo de análise que utiliza aprendizado de máquina para distinguir entre comportamentos normais e anormais no tráfego da web. Utilizado em conjunto com o Banjax para bloquear e banir endereços IP que ultrapassem um limite definido pela operadora.
  • Cliente Baskerville — software de ponta para o pré-processamento de características comportamentais a partir de registros da web e para a comunicação com o centro de dados Baskerville para previsões de anomalias.
  • Painel do Baskerville — Um painel destinado aos usuários que utilizam o software Baskerville Client, oferecendo opções de configuração, definição de rótulos e envio de feedback à câmara de compensação

Boa programação a todos!

  1. Home
  2. >
  3. Desviar
Categorias
DDoS Desviar Notícias da Deflect Labs Uncategorized

Atualizações da Deflect – 3 – 2022

Este foi um mês movimentado para as ferramentas de mitigação do Deflect, com o Banjax bloqueando quase 12 milhões de solicitações maliciosas lançadas por 108.294 bots diferentes. Devido à guerra na Ucrânia, muitas pessoas recorreram aos sites de mídia ucranianos protegidos pelo Deflect em busca de informações. Ao longo do mês, a Deflect atendeu 1.128.751.920 solicitações (quase o dobro do mês anterior), das quais 283.570.50 vieram da Ucrânia — cerca de 20% do nosso tráfego global. 1.277.053 ucranianos acessaram sites protegidos pelo Deflect — o que também atesta a estabilidade da Internet naquele país.

Público ucraniano em março, por cidade

O maior ataque registrado neste mês foi contra o informator.ua — um site de notícias de abrangência nacional na Ucrânia, com foco na região de Donbas.

No dia 31 de março, entre 07h45 e 08h50 GMT+0 , cerca de 1.300 endereços IP únicos foram bloqueados pelo Deflect ao atacarem o site informator.ua com as solicitações GET /ru?8943563843054274 e POST /ru?829986440416200, utilizando técnicas de cache-busting. Esses bots eram originários do Brasil, dos EUA, da Indonésia, da Índia, de Bangladesh e de muitos outros países; cerca de 1.000 deles parecem ser roteadores MikroTik infectados. Várias centenas eram servidores web comprometidos e proxies SOCKS. Houve uma interrupção parcial neste site por cerca de uma hora, pois o Deflect não conseguiu mitigar esse ataque com rapidez suficiente para garantir que nenhuma solicitação maliciosa atingisse o servidor de origem. O sistema Baskerville não reagiu como esperado (isso já foi corrigido). Habilitamos o Challenger para este domínio a fim de garantir que possamos mitigar futuros ataques sem causar problemas para a origem. Nosso sistema de agregação e análise de logs foi afetado pelo volume total de solicitações e ficou fora de sincronia por um curto período de tempo.

Os invasores geraram mais de 300.000 solicitações por minuto. Como você pode ver, uma quantidade significativa de bots tinha origem nos Estados Unidos. Esse é mais um lembrete importante para que você aplique as atualizações de segurança em seus sistemas de computador e outros dispositivos conectados à Internet. Caso contrário, pode ser o seu próprio sistema que esteja atacando sites ucranianos também!
Principais IPs únicos bloqueados por fornecedor

    912 MikroTikRouter
    232 Desconhecido
     51 UbuntuServer
     44 Torrouter
     33 DebianServer
     16 WindowsServer
      6 WindowsSystem
      6 RedHatServer
      4 CentOSLinuxServer

Principais IPs únicos bloqueados por serviço

    875 MikroTik
    232
     49 Ubuntu-ssh
     44 Cabeçalho HTTP do roteador de saída do Tor
     33 Cabeçalho SSH do Debian
     13 Informações SNMP do MikroTik
     10 Servidor FTP do MikroTik
      8 MikroTikPPTPserver
      7 WindowsRDPServer
      7 MSIISheader
      6 WindowsNetBIOS
      6 RedHatDNSheader
      5 MikrotikRouterOSconfigurationpage
      4 ApacheCentOS
      2 WindowswithMSHTTPAPIWebServer

por client_url:

199940     /ru
102142     /ru/categoria/negócios/login
37312      /ru/negociações-entre-a-ucrania-e-a-rússia-em-istambul-resultados
3          /ru/post-anterior/45573
  1. Home
  2. >
  3. Desviar
Categorias
Blog Desviar Uncategorized

Atualizações da Deflect – 2 – 2022

Desde o início deste ano, atendemos a mais de 1,5 bilhão de solicitações em sites para aproximadamente 13,5 milhões de leitores únicos em todo o mundo! Mitigamos mais de 17 ataques distintos e significativos e mantivemos nossos clientes online 100% do tempo! Nossa tecnologia combinada de bloqueio de bots (previsões baseadas em inteligência artificial do Baskerville e anomalias confirmadas pelo Banjax) bloqueou 5.794.533 acessos maliciosos originados de 1.668.388 bots zumbis. É um número e tanto para esta fase inicial da temporada 🙂

Alguns dos maiores ataques foram direcionados ao site colombiano de jornalismo independente “Los Danieles”, ao meio de comunicação filipino “Verafiles”, a uma agência de notícias latino-americana e a um portal indiano de direitos feministas.

Ataques ocorridos em janeiro e fevereiro de 2022. As cores representam diferentes clientes da Deflect.

Em um incidente bastante incomum, o próprio site deflect.ca foi atacado no dia 7 de fevereiro. Por volta das 11h00-11h03 GMT+0, cerca de 10.000 endereços IP únicos estavam enviando solicitações GET / para o deflect.ca. Nenhuma dessas solicitações foi bloqueada, pois o intervalo do ataque foi muito curto. O Baskerville funcionou bem, classificando cerca de 5.700 delas como maliciosas. Algumas solicitações retornaram códigos 502, mas essas eram, em geral, solicitações maliciosas. O eQPress teve um bom desempenho, atendendo a até 2.620 solicitações por segundo no nginx, com 5.000 RPS para o banco de dados e 100 Mbps de tráfego de saída. Não foram detectados danos colaterais a outros clientes do eQPress. Investigamos e aprimoramos parte de nossa lógica de cache como resultado desse incidente.

  1. Home
  2. >
  3. Desviar
Categorias
Blog DDoS Desviar Uncategorized

Deflect – um resumo do ano

Performance icon

Mais uma vez, a rede Deflect cresceu em tamanho e público em 2021. Além do trabalho continuamente excelente de nossos clientes, o que mais se destacou para a equipe da Deflect encarregada do monitoramento da rede e da mitigação de ameaças foi a crescente sofisticação e “precisão” do Baskerville, que superou os conjuntos de regras criados por humanos para a biblioteca de limitação de taxa de solicitações do kit de ferramentas de mitigação Banjax. Sim, a máquina está superando os humanos na Deflect. Não vamos nos aprofundar na natureza filosófica dessa realidade, mas sim compartilhar com vocês algumas estatísticas e ataques interessantes que testemunhamos este ano.

O ano em números

Número de solicitações válidas atendidas10.152.911.060
Número de leitores únicos (IP) válidos77.011.728
Total de solicitações bloqueadas – Banjax3.326.915
Total de solicitações contestadas pelo Baskerville2.606.927
% dos clientes da Deflect que também utilizam a hospedagem eQpress34 %
Tempo total de indisponibilidade total do Deflect0
Menor tempo de atividade entre todos os clientes da Deflect99,8%
Aumento na porcentagem de clientes em relação ao ano anterior21,62%
Maior botnet, em número de bots 19.333
Número de eventos DDoS significativos103

Ataques desviados

Como é um ataque

Em 4 de novembro de 2021, um ataque DDoS contra um meio de comunicação vietnamita (também hospedado na EQPress) teve início por volta das 16h50 UTC. Entre 2.000 e 2.500 endereços IP únicos foram bloqueados, originários dos Estados Unidos, Canadá, Alemanha, França e outros países. Esses bots enviaram cerca de 825 mil solicitações GET / e GET https://website.com// durante esse ataque. A maioria dos IPs envolvidos foi detectada como proxies, e muitos deles revelaram um IP no cabeçalho X-Forwarded-For. A instância do WordPress subjacente recebeu até 5.000 solicitações por segundo, forçando o servidor da EQPress a enviar até 30 megabits por segundo de respostas HTML. Graças ao cache do FasctCGI e ao reforço geral da configuração, o cluster da rede de hospedagem dispunha de recursos suficientes para atender às solicitações até que todos os bots fossem bloqueados, sem quaisquer problemas significativos para o próprio site ou para os sites vizinhos.

O Baskerville detectou esse ataque e enviou comandos de desafio para mais de 2.200 endereços IP.

Sistema de classificação de semáforos de Baskerville

Esse ataque teve como alvo um site independente de jornalismo investigativo das Filipinas. O ataque teve início em 15 de novembro e se estendeu pelas duas semanas seguintes. Grande parte do tráfego do ataque não foi detectada pelo Deflect, visando o data center de hospedagem com inundações de tráfego nas camadas L3/L4.

Quase 4.000 endereços IP únicos enviaram mais de 70 milhões de solicitações “GET /” e “GET /?&148294400498e131004165713TT117859756720Q106417752262N” contra o site, utilizando técnicas de `cache busting` com parâmetros aleatórios na string de consulta. Os invasores também recorreram ao uso de User-Agents falsificados nas cadeias de solicitação. Obviamente, esse ataque foi adaptado para contornar as defesas de cache do Deflect. Muitos dos endereços IP participantes eram proxies, possivelmente revelando o remetente original por meio do cabeçalho X-Forwarded-For.

Infelizmente, esse ataque não foi totalmente contido de forma rápida e causou várias horas de indisponibilidade para os usuários reais. Após ativar manualmente os mecanismos avançados de proteção do Deflect e ajustar a configuração da origem, o site voltou a funcionar normalmente.

Uma organização zambiana de defesa da democracia sofreu dois ataques entre os dias 8 e 9 e 11 e 12 de agosto. Parece que, quando os invasores voltaram pela segunda vez, não haviam aprendido a lição e tentaram uma técnica semelhante, utilizando uma botnet quase idêntica.

Servidores de diferentes países (principalmente Estados Unidos, Alemanha, Rússia e França) estavam enviando mais de 16 milhões de solicitações GET / e /s=87675957 (com números aleatórios para contornar o cache) durante a primeira onda de ataques. Durante o incidente seguinte, mais de 137 milhões de solicitações maliciosas foram registradas e bloqueadas.

A maioria desses endereços IP é conhecida como servidores comprometidos que poderiam ser usados como proxies e roteadores MikroTik. Foram utilizados 383 cabeçalhos User-Agent distintos, todos eles variações do Google Chrome. Também podemos observar cerca de 400 nós de saída da rede TOR que foram utilizados nesse ataque.

Milhões de acessos por minuto

O primeiro ataque não foi totalmente mitigado devido ao seu perfil, e parte do tráfego conseguiu atingir o servidor de origem, resultando em várias horas de indisponibilidade parcial para visitantes reais durante diferentes fases desse ataque. O segundo ataque foi totalmente mitigado, pois já tínhamos atualizado nossos perfis de mitigação.

  1. Home
  2. >
  3. Desviar
Categorias
Blog Comunicado à imprensa Desviar Uncategorized

A Deflect estabelece parcerias com grupos de tecnologia e mídia

1º de junho de 2021 — A Deflect firma parceria com grupos de tecnologia e mídia

Desde 2010, a Deflect se especializou na proteção de plataformas online contra ataques cibernéticos. Hoje, nossa missão e nossas ferramentas comprovadas alcançam um alcance maior e mais abrangente do que nunca! Temos a honra de anunciar parcerias estratégicas com conhecidos provedores de serviços de Internet e empreendedores da mídia digital nas Américas e na Europa. Nossa oferta combinada de serviços inclui todos os tipos de hospedagem na web e plataformas de colaboração online, consultoria técnica e serviços de segurança na web. Com mais de cem anos de experiência tecnológica coletiva e uma dúzia de idiomas em comum entre nós, esta é uma parceria que atenderá uma clientela global e enfrentará os desafios da redução dos espaços online para a expressão e a autodeterminação.

Nossa missão se fortalece por meio dessa parceria mutuamente benéfica. Estamos unidos, mais fortes e cada vez mais resilientes, para proteger as plataformas de nossos clientes com soluções tecnológicas éticas, recursos humanos multilíngues e uma crença comum de que os princípios vêm antes dos lucros.

Dmitri Vitaliev, fundador do deflect.ca

Saiba mais sobre os serviços e a missão de cada um dos nossos parceiros na lista abaixo. Confira as oportunidades de parceria da Deflect e entre em contato conosco!

@colnodo

A Colnodo é uma organização sem fins lucrativos que atua desde 1994, prestando serviços de infraestrutura de Internet a ativistas e organizações da sociedade civil.  O principal objetivo da Colnodo é o acesso, o uso e a apropriação das tecnologias da informação e comunicação (TIC) para o desenvolvimento social, o desenvolvimento humano e a melhoria das condições de vida das pessoas por meio do fortalecimento de capacidades e competências, da educação para o trabalho, da troca de informações e conhecimentos, do aumento da participação cidadã, do desenvolvimento sustentável e da inovação.

@greenhost

A Greenhost (Países Baixos) é uma provedora de infraestrutura consolidada, com foco em direitos humanos digitais e sustentabilidade. Ao fornecer serviços (de infraestrutura) a uma ampla gama de organizações que defendem os direitos humanos, a liberdade de imprensa e/ou a contornagem da censura, ao mesmo tempo em que preserva as garantias de privacidade, a Greenhost se empenha em manter a internet como um espaço aberto e inovador.

@greennetisp

A GreenNet (Reino Unido) vem conectando pessoas e grupos ativistas em prol da paz, do meio ambiente, da igualdade e dos direitos humanos desde 1986 – oferecendo serviços de internet, design de sites e hospedagem. Nossas escolhas de hardware e software se baseiam em avaliações técnicas especializadas, em nossa sustentabilidade ecológica e em nossos valores éticos de negócios.

@cloud68hq

(Tirana, Tallinn, em todo o mundo) A Cloud68.co oferece infraestrutura digital de código aberto confiável para equipes, organizações e pessoas físicas de pequeno e médio porte com um objetivo específico, além de um suporte ágil e cordial. Como uma equipe de colaboradores de longa data em projetos de privacidade digital e conhecimento aberto, estamos comprometidos em ajudá-lo a migrar das grandes empresas de tecnologia da maneira mais fácil possível.

@sembramedia

A SembraMedia é uma organização sem fins lucrativos dedicada a fortalecer vozes diversas na mídia em espanhol, para que possam publicar notícias e informações com independência, integridade jornalística e um impacto positivo nas comunidades que atendem. A organização realiza pesquisas, oferece treinamento, consultoria e apoio financeiro para ajudar líderes da mídia a desenvolver modelos de negócios mais sustentáveis na América Latina, na Espanha e no mercado hispânico dos Estados Unidos.

Na MainMicro, nosso objetivo é garantir a satisfação do cliente, oferecendo suporte contínuo e soluções econômicas para nossos parceiros. Temos muito orgulho de ter uma taxa de retenção de clientes que está entre as mais altas do setor. Para nós, quando você se torna um cliente, você também se torna um amigo, e nós nos tornamos o ponto único de contato para todas as suas necessidades relacionadas à TI.

Na Black Crow Labs, construímos o ecossistema da sua marca e contamos a sua história. Ao interagir com clientes em potencial em plataformas específicas, integramos a sua marca à vida e às conversas deles.

  1. Home
  2. >
  3. Desviar
Categorias
Blog DDoS Desviar

Vai, Banjax, vai!

O serviço Deflect foi desenvolvido com base nos princípios de defesa em profundidade para manter seu site online, independentemente do tráfego recebido. Nossos pontos de borda da rede estão localizados em data centers de vários provedores ao redor do mundo. Cada ponto de borda da rede Deflect armazena em cache recursos estáticos de páginas da web e é capaz de responder com grande rapidez a uma grande quantidade de solicitações simultâneas. À medida que o tráfego chega ao ponto de borda, dois módulos distintos estão sempre atentos a bots maliciosos e ataques. Um deles é o Baskerville — que utiliza previsões de anomalias baseadas em aprendizado de máquina. Temos uma página dedicada explicando como isso funciona. O outro é o Banjax — uma lista selecionada de padrões de expressões regulares com limites de taxa associados. Isso nos permite, por exemplo, bloquear instantaneamente endereços IP que enviam solicitações com user agents de uma lista de scanners de vulnerabilidades. Ou podemos bloquear endereços IP que solicitam um endpoint /search/ oneroso com muita frequência, ou que enviam uma quantidade excessiva de solicitações POST ou GET para a rede. É simples, mas muito eficiente.

O Banjax foi originalmente programado em C++ e criado como um plug-in do Apache Traffic Server (ATS). Essas escolhas iniciais dificultaram a adoção por terceiros (que não utilizavam o ATS). Ao refatorar o Banjax, decidimos usar Go — uma linguagem mais moderna que ainda oferecia todas as funcionalidades necessárias e facilitava a manutenção da biblioteca a longo prazo. Portanto, agora temos o prazer de apresentar o Banjax-Go, desenvolvido para a década de 2020 e funcionando perfeitamente em conjunto com os sistemas de cache Baskerville e Deflect ou como um módulo independente em sua configuração do nginx.

Portanto, as decisões que o Banjax pode tomar são: Permitir, Bloquear ou Solicitar confirmação. As listas de decisões são preenchidas a partir do arquivo de configuração (útil para criar listas de permissão ou bloqueio de IPs conhecidos como bons ou ruins), a partir dos resultados das regras de limitação de taxa por expressões regulares (portanto, violar uma regra pode resultar em um Bloqueio, um Desafio ou até mesmo uma Permissão), e a partir de mensagens recebidas em um tópico do Kafka (é assim que o Baskerville se comunica com o banjax-next).

Além de bloquear solicitações (no nível HTTP) ou bloquear endereços IP (no nível do iptables/netfilter), o Banjax também oferece suporte ao envio de uma página HTML de “desafio” que contém um desafio básico de senha (útil como uma linha extra de defesa nas seções de administração) ou um desafio de prova de trabalho (útil para bloquear bots que não conseguem executar JavaScript, ao mesmo tempo em que permite o acesso de navegadores da web).

Uma das principais preocupações ao abandonar o C++ era o desempenho — durante um ataque, o Banjax frequentemente precisa processar milhares de solicitações por segundo, em cada nó de borda. Realizamos uma série de testes sintéticos para avaliar o desempenho do Banjax-Go. Utilizamos uma série de cenários de pior caso, com base em nossas experiências anteriores com o Deflect. Nosso objetivo era processar 1.000 endereços IP únicos por segundo em uma máquina virtual comum (um droplet da Digital Ocean).

Primeiramente, testamos o iptables diretamente para verificar com que rapidez ele consegue processar solicitações diretas — excluindo 2.000 regras — sem a interferência de nenhum outro sistema. Chegamos aos seguintes resultados:

Em seguida, testamos a rapidez com que o Banjax-Go é capaz de processar diferentes tipos de solicitações comuns (novamente, nas condições do pior cenário possível):

  • Cada solicitação gera um desafio: 800 solicitações/segundo
  • Todas as solicitações são encaminhadas para o servidor de origem sem nenhum armazenamento em cache: 1.200 solicitações/segundo
  • Cada solicitação passa pelo sistema e recebe uma versão em cache de uma página da web: 2.800 solicitações/segundo

Ao mesmo tempo, decidimos atualizar nosso mecanismo de cache, passando do Apache Traffic Server para o Nginx. Esses e muitos outros módulos farão parte do nosso lançamento do Deflect-Core — um produto do projeto que esperamos apresentar até o final da primavera. Por enquanto, nossos esforços estão concentrados no kit de ferramentas de mitigação banjax-next.

  1. Home
  2. >
  3. Desviar
Categorias
Blog DDoS Desviar

Tudo o que você sempre quis saber sobre como proteger seu site com o Deflect* (*mas tinha medo de perguntar)

Seja você o proprietário de um site de mídia independente que conta histórias que ninguém mais conta, uma organização sem fins lucrativos ou comunitária que informa seus membros sobre recursos e eventos disponíveis, ou uma empresa de qualquer porte, garantir que seu site permaneça protegido e online é de extrema importância. 

Compreender a diferença entre vulnerabilidade indireta e direta

Muitos ataques indiretos à segurança cibernética — malware, phishing, trojans, violações de dados e ransomware — podem ser evitados por meio da conscientização dos funcionários de uma organização e da adoção de melhores práticas em relação a clicar em links suspeitos ou baixar arquivos de fontes não confiáveis. 

No entanto, seu site também pode ser alvo de ataques DDoS diretos. É por isso que sua segurança deve ser gerenciada por uma equipe de suporte técnico dedicada em que você confie, que compartilhe seus valores de transparência, privacidade e responsabilidade social. 

O que é um ataque DDoS?

Ao contrário dos ataques que dependem de que as pessoas cliquem em links suspeitos em seus e-mails ou baixem arquivos de sites não confiáveis, os ataques DDoS são ataques diretos à infraestrutura de TI de uma organização.

Um ataque DDoS (negação de serviço distribuída) é como a corrida aos supermercados no início da pandemia, quando os clientes se amontoavam e bloqueavam a porta na ânsia frenética por aquele último rolo de papel higiênico. Só que, quando todo esse tráfego atinge seu site, não se trata de clientes — são bots. E o principal objetivo deles é sobrecarregar seu site e tirá-lo do ar. Sem proteção, seu site pode ficar incapacitado por um ataque e ser desativado completamente. 

Meu site não vai ser alvo de ataques porque somos muito pequenos

Um ataque DDoS pode acontecer com qualquer pessoa, independentemente do tamanho do seu site ou do número de visitantes. Na verdade, muitos sites pequenos, especialmente meios de comunicação independentes e organizações de base, são particularmente vulneráveis a ataques porque suas vozes muitas vezes se opõem a um governo poderoso, a forças armadas ou a um consenso popular. Em alguns casos, esses sites são alvo de grupos de ódio, como aconteceu quando protegemos o Black Lives Matter contra ataques que ocorreram mais de 100 vezes por dia em seu site durante sete meses em 2016.

Uma boa pergunta a se fazer: alguém gostaria de silenciar a sua voz? Se a resposta for sim, você provavelmente já sabe da importância da proteção contra ataques DDoS. Oferecemos o mesmo nível de proteção para organizações sem fins lucrativos e sites de mídia independentes que oferecemos aos clientes comerciais. Saiba mais sobre nossa proteção gratuita para grupos qualificados aqui

Não há muitos ataques DDoS, então provavelmente não vou precisar de proteção

De acordo com um relatório técnico recente divulgado pela CISCO, os ataques DDoS vêm se tornando cada vez mais intensos e frequentes a cada ano. Em 2018, ocorreram 7,9 milhões de ataques DDoS e, até 2023, estima-se que esse número dobre para 15,4 milhões.

As empresas mais conhecidas não são melhores quando se trata de proteção contra ataques DDoS?

Não. A Deflect tem capacidade para garantir a proteção de qualquer site, e nossa experiência na mitigação de ataques a alguns dos sites mais vulneráveis em países de todo o mundo nos tornou especialistas na área.

Segundo Ali Reza, “a IPOS se beneficiou diretamente da experiência e do profissionalismo da Deflect quando nosso site principal foi alvo de um ataque sem precedentes. Na época, os serviços de empresas semelhantes, incluindo a CloudFlare e o Google PageSpeed, não conseguiram proteger a enquete de acompanhamento eleitoral da IPOS contra um grande ataque DDoS durante as eleições presidenciais de 2013 no Irã. No entanto, a Deflect conseguiu configurar rapidamente uma rede de distribuição de conteúdo (CDN) para receber o tráfego do domínio principal da IPOS e repelir o ataque.”

Meu setor não será alvo de ataques. São os bancos e os governos que, na maioria das vezes, são alvo de ataques DDoS

Embora bancos e governos tenham de fato sido alvo de ataques DDoS, nenhum setor está imune a esses ataques. De acordo com o relatório “ Global DDoS Threat Landscape” de 2019, elaborado pela Imperva, ocorreram ataques na maioria dos setores, incluindo entretenimento adulto, jogos, notícias, sociedade, estilo de vida, varejo, viagens e jogos de azar. Se o seu site não estiver nesses setores, isso não significa que você esteja a salvo de um ataque DDoS. 

Motivos para ataques DDoS

Conforme destaca o mesmo relatório, as motivações para os ataques DDoS são diversas e podem incluir: 

Concorrência comercial — um concorrente pode contratar uma botnet para derrubar seu site. 

Extorsão — os sites de comércio eletrônico dependem especialmente do tempo de atividade de seus sites para gerar receita. Isso os torna particularmente suscetíveis à extorsão, sob a promessa de que não atacarão o site.

Hacktivismo — sites políticos, de mídia ou corporativos podem ser alvo de hacktivistas como forma de protesto contra suas ações.

Vandalismo — usuários insatisfeitos ou infratores aleatórios costumam atacar serviços de jogos ou outros clientes de grande visibilidade.

A essa lista, gostaríamos de acrescentar:

Censura — esses ataques podem ser cometidos por indivíduos, governos ou forças armadas contra grupos por causa de seus movimentos sociais, ambientais, de direitos humanos ou políticos, com o objetivo de silenciar suas vozes. Como você pode imaginar, fora da América do Norte, alguns dos ataques mais frequentes contra os povos e grupos mais vulneráveis, como nosso cliente ARNO, em Mianmar, são desse tipo.

Proteção transparente, confiável e ética

Mas eu já estou protegido por um dos caras mais populares, e “de graça”. 

Grandes provedores costumam alegar que oferecem proteção contra ataques DDoS “gratuitamente”. Para prestar esse serviço, no entanto, muitos firmam acordos com investidores de capital de risco, e a contrapartida por essa proteção “gratuita” é a privacidade dos seus dados, que podem ser compartilhados ou vendidos. 

Antes do escândalo da Cambridge Analytica, muitos de nós costumávamos rolar a tela sem pensar e concordar com todos os termos e condições, mas, para a mídia independente, organizações sem fins lucrativos e comunitárias, bem como empresas, os dados devem sempre ser mantidos em segurança e privacidade. Ao escolher quem irá protegê-lo contra ataques DDoS, leia as políticas com atenção para descobrir se você está abrindo mão de algo em troca de proteção “gratuita”. Nossa proteção para organizações sem fins lucrativos, ONGs e mídia independente é realmente gratuita.

Preços de desvio

Na Deflect, sempre oferecemos nossos serviços gratuitamente a organizações sem fins lucrativos e grupos de mídia independentes que se enquadram nos critérios, sem comprometer a privacidade dos seus dados. Nossos princípios, política de privacidade e condições são transparentes. Para sites comerciais, nossa estrutura de preços é transparente. Ao contrário da maioria dos nossos concorrentes, cobramos com base no número de IPs únicos mensais que acessam seu site, e não por visitas múltiplas a partir de um mesmo IP ou pelo tráfego proveniente de ataques. 

Existem outras restrições à proteção “gratuita” oferecida por alguns de nossos concorrentes. Em mais de uma ocasião, clientes que estavam protegidos por nossos concorrentes nos procuraram após sofrerem um ataque e foram informados de que precisavam fazer o upgrade para um serviço premium ou cancelar a assinatura, justamente no momento em que estavam mais vulneráveis. 

Nós, da Deflect, nos consideramos a empresa número 1 do mundo em proteção ética de segurança cibernética. Temos mais de 10 anos de experiência protegendo as vozes mais vulneráveis e mais atacadas da mídia independente e sem fins lucrativos em todo o mundo, em mais de 80 países. 

Além do nosso compromisso com políticas transparentes e com a privacidade, temos uma política clara contra o ódio e o incitamento à violência. Para nós, isso é óbvio. Se o seu site violar essa política, você será convidado a sair. 

Somos socialmente responsáveis. Para cada cliente comercial pagante que protegemos, podemos estender as mesmas proteções gratuitamente a grupos importantes que, de outra forma, não teriam condições de arcar com os custos da proteção ou que poderiam ser excluídos da proteção “gratuita” oferecida por nossos concorrentes, pois o trabalho que realizam os torna mais vulneráveis a ataques. 

Caso tenha mais dúvidas ou queira obter mais informações sobre os programas da Deflect para organizações sem fins lucrativos, empresas ou parceiros, entre em contato conosco enviando uma mensagem aqui ou escrevendo para terry@deflect.network para questões relacionadas a organizações sem fins lucrativos e para garfield@deflect.network para programas voltados a empresas e parceiros. 

  1. Home
  2. >
  3. Desviar
Categorias
Blog Desviar Uncategorized

Atualizações da Deflect – 2 – 2021

Tráfego e ataques

Desde o início deste ano, atendemos a mais de 2 bilhões de acessos a sites para aproximadamente 18 milhões de leitores únicos em todo o mundo! Nós mitigamos mais de 30 ataques distintos e mantivemos nossos clientes online 100% do tempo! A tecnologia de bloqueio de bots da Banjax bloqueou 291.898 acessos maliciosos originados de 58.181 bots zumbis. Nosso sistema de previsão de anomalias baseado em inteligência artificial, o Baskerville, conseguiu ainda identificar e bloquear endereços IP com comportamento suspeito 1.182.084 vezes ; dessas, apenas 16.755 se revelaram leitores legítimos e tiveram permissão para acessar o site solicitado. Isso equivale a uma precisão de 98,58% — o que é muito bom para uma máquina!

Países mais populares que acessam sites protegidos pelo Deflect

Esses ataques nos ajudaram a confirmar que nossa implementação anterior do estimativa do valor de Shapley no Baskerville havia gerado resultados positivos. Essa é uma maneira geral de explicar a saída do modelo de aprendizado de máquina por meio de uma classificação da importância das características — para nos ajudar a decidir qual característica funciona melhor. Utilizamos esse algoritmo para comparar um modelo de aprendizado de máquina mais antigo com um modelo que usa apenas as características que os valores de Shapley indicam como importantes, em um conjunto de dados que continha os ataques mais recentes. O modelo com apenas as características mais importantes apresentou melhor desempenho do que o modelo mais antigo.

Programa de indicação “Deflect”

A sobrevivência financeira e a independência na Internet de hoje são difíceis.As grandes empresas de tecnologiapermeiam e controlam praticamente todos os aspectos da nossa experiência digital. Quando se trata de infraestrutura da Internet e serviços de rede, gigantes corporativos como Akamai, AWS e Cloudflare dominam o mercado. Essas poucas empresas conseguiram criar um ecossistema no qual lucram com praticamente todas as transações ou campanhas publicitárias. Embora sejamos nós, como consumidores, a escolher nosso destino, o problema crescente é a falta de opções. De uma forma ou de outra, estamos sendo empurrados para um punhado de empresas.

Queremos fazer as coisas de maneira diferente. Nosso objetivo é ter sucesso em sintonia com nossos clientes, e não simplesmente lucrar às custas deles. O programa de indicação da Deflect cria uma oportunidade comercial mutuamente benéfica — ao se inscrever neste programa e instalar um selo “Protegido pela Deflect” em seu site com um link exclusivo, você receberá 50% das taxas do primeiro mês completo cobradas de cada novo cliente que se inscrever por meio desse link. Escreva para partner@deflect.network se quiser participar deste programa ou saiba mais sobre esta e outras oportunidades de colaboração napágina Programas de Parceria.

Novo site

Você está lendo esta atualização em nosso site recém-lançado — desenvolvido com o WordPress e hospedado na plataforma segura eQpress. Decidimos criá-lo usando otema padrãode 2020. Esse código conta com o suporte da equipe do WordPress e foi desenvolvido de acordo com as melhores práticas. Isso é importante quando se trata de operar a popular (mas frequentemente comprometida) plataforma WordPress – a facilidade de instalação de novos temas e plugins reduz a barreira de entrada e torna a plataforma altamente funcional e personalizável. Ao mesmo tempo, desenvolvimentos de código personalizado ficam desatualizados, tornam-se inseguros e, muitas vezes, levam à invasão do site e aataques DDoS indesejados. Nossa configuração inicial inclui o seguinte:

  • Proteção contra ataques DDoS e tentativas de adivinhação de senha por força bruta
  • Snapshots diários e backup diferencial
  • Suporte a temas de longo prazo do WordPress
  • Gerenciamento de SEO, suporte por chat, Matomo Analytics, traduções com o Polylang

Mais de 25% dos clientes da Deflect também hospedam seus sites na eQpress. O serviço está descrito em detalhes napágina da eQpress, e você pode solicitá-lo pelo Painel de Controle ou entrar em contato conosco caso tenha alguma dúvida. 

  1. Home
  2. >
  3. Desviar
Categorias
Blog Desviar Notícias da Deflect Labs Uncategorized

Novidades da Deflect – janeiro de 2021

Os avanços significativos em nossas ferramentas de mitigação automatizadas aliviaram parte da carga de trabalho da nossa equipe de suporte na mitigação de ataques neste mês. Estamos muito satisfeitos com o desempenho do sistema, mas ele não vai substituir as pessoas! A seguir, compartilhamos alguns destaques do tráfego, eventos relevantes do Deflect e histórias de nossos clientes.

Tráfego em janeiro

Ao longo do mês de janeiro, o Deflect atendeu a mais de 884 milhões de solicitações de mais de 9 milhões de leitores únicos em todo o mundo. Grande parte do tráfego tinha como destino o Los Danieles — uma nova e muito popular publicação de mídia independente na Colômbia. Todos os domingos, o site deles atrai entre 5 e 9 milhões de acessos legítimos! Felizmente, o Deflect conseguiu atender a mais de 94% dessas solicitações diretamente de seu cache de borda.

Conteúdo fornecido a partir do cache do Deflect

Outro evento de destaque neste mês coincidiu com o lançamento de um relatório online que investiga a tortura de milhares de manifestantes bielorrussos pelas forças do governo atual. Publicado pelo renomado Comitê contra a Tortura, trata-se de uma investigação visual, destinada exclusivamente a um público adulto.

Ataques notáveis em janeiro

Este mês, foram registrados dezesseis ataques distintos contra sites protegidos pelo Deflect. Desses, cinco se destacaram pela intensidade e persistência, com dois ataques se prolongando por um período de quatro dias. O maior ataque, com a participação de mais de 5.000 bots, teve como alvo o site de notícias independente vietnamita Tiếng Dân. Esta não é a primeira vez que o site deles é alvo de ataques. Aproximadamente metade dos bots atacantes foi detectada e neutralizada pelo Baskerville, enquanto a outra metade foi bloqueada por nossos conjuntos de regras manuais. No geral, o Deflect manteve 100% de disponibilidade da rede em janeiro.

Opções de temas do Kandinsky para o eQpress

Os clientes que já utilizam ou desejam migrar para nossa plataforma segura de hospedagem WordPress agora podem solicitar a instalação de um novo tema chamado Kandinsky. Desenvolvido por nossos amigos da «Теплица социальных технологий» (Greenhouse for Social Technology) em resposta às necessidades expressas por grupos da sociedade civil, que desejam ter uma presença online eficaz e bem projetada Kandinsky oferece três modelos e orienta os criadores de sites com dicas úteis e listas de verificação. Você pode ler nossa entrevista completa com o Kandinsky aqui.

Deflect e o Fórum Social Mundial

No dia 29 de janeiro, a equipe do Deflect participou de um painel ao vivo durante o Fórum Social Mundial, juntamente com nossos parceiros Colnodo e a Fundação para a Liberdade de Imprensa (FLIP). Julian Casasbuenas, do Colnodo, apresentou o caso de uso do site de mídia independente colombiano losdanieles.com como um exemplo da proteção oferecida pelo Deflect e de sua importância para o desenvolvimento da liberdade de expressão jornalística na Colômbia. O projeto losdanieles.com foi lançado por um grupo de jornalistas de grande reputação que haviam se envolvido no escândalo da parapolítica colombiana.

Para encerrar este boletim informativo, gostaríamos de compartilhar um vídeo de agradecimento muito legal que recebemos do colunista do LosDanieles.com, Daniel Samper Ospina.

Siga os Daniels no Twitter: @DanielSamperO, @DanielsamperP e @DCoronell