Os conflitos em curso na Ucrânia e no Oriente Médio fizeram com que um grande número de meios de comunicação independentes e organizações de direitos humanos recorressem à Deflect para obter proteção contra ataques DDoS. A rede disponibilizou mais de 75 milhões de páginas para leitores legítimos em agosto, nosso maior número até o momento. Uma semana em particular se destacou, pois incorporamos dois sites em meio a ataques DDoS em andamento contra eles.
Um dos sites estava sendo atingido por uma botnet baseada em uma versão mais recente do malware Dirt Jumper. Já tínhamos treinado nossos servidores de borda para reconhecer e proteger contra bots do Dirt Jumper, mas essa rede apresentou um comportamento diferente, ao qual tivemos que nos adaptar. Os ataques não conseguiram contornar nossa rede de cache.
O outro site foi integrado em meio a um ataque sofisticado e prolongado, que utilizava vários métodos para derrubá-lo. Um vetor de ataque notável foi o uso de um DDoS do tipo Pingback a partir de hosts infectados que rodavam o software WordPress. Trata-se de um tipo de ataque de reflexão que explora o código do WordPress integrado ao pacote principal para melhorar as classificações de SEO de um site. Além disso, os invasores estavam utilizando toda a sua rede de 14.000 hosts de forma coordenada e atacando o alvo a partir de cada bot uma ou duas vezes por vez. Esse é um comportamento incomum, já que as botnets geralmente tentam sobrecarregar o site com ataques frequentes e intensos (revelando, assim, sua intenção maliciosa). Nesse caso específico, a botnet foi adaptada para atacar alvos protegidos por uma infraestrutura de cache como a nossa. O reconhecimento inicial do padrão foi difícil para os IPs em questão. A equipe de operadores de sistema, porém, reagiu rapidamente e isolou todos os hosts, impedindo-os de acessar a rede. Aqui está um exemplo de uma entrada de log desse ataque.
SOURCE_IP – [DATA_E_HORA] “GET /PAGE HTTP/1.0” http SITE_DOMAIN 200 158580 “WordPress/3.9.2; http://ATTACKERWORDPRESS; verificando pingback de PINGBACKURL” TCP_MISS text/html ORIGIN_SERVER 5621
Recomenda-se aos leitores que mantêm sites com o software WordPress que instalem o plugin “Disable XML-RPC Pingback” para evitar que suas instâncias sejam alvo desse ataque.
Devido à natureza de nossa infraestrutura, não observamos o tráfego DDoS em níveis mais baixos da rede — contamos com diversos provedores ao redor do mundo que hospedam nossos servidores de cache para absorvê-lo. Isso dificulta avaliarmos com precisão a magnitude de um ataque. Nesses casos, contamos com as estatísticas de nossos provedores e e-mails que nos alertam sobre enormes cargas de tráfego. Entre 7 e 8 de agosto, ataques simultâneos contra clientes da Deflect geraram níveis de tráfego entre 8 e 10 Gbps.
Ambos os sites estavam inicialmente protegidos pela Cloudflare. Uma das organizações chegava a pagar a taxa de conta de 200 USD por mês, que prometia mitigação avançada contra DDoS. A missão da Deflect é proteger e possibilitar a expressão online de mídias independentes e organizações de direitos humanos qualificadas , operando sob uma política rigorosa de nunca negar ou encerrar um serviço simplesmente por ser alvo de um grande ataque.
Normalmente, não divulgamos nossos clientes ao público. Desta vez, solicitamos a permissão deles, pois acreditamos que nosso serviço e nossos princípios são exemplificados ao apoiarmos uma organização que defende os direitos humanos de todos, mesmo quando isso vai contra a opinião popular em seu próprio país. A B’Tselem, o Centro de Informação Israelense para os Direitos Humanos nos Territórios Ocupados, monitora e documenta violações dos direitos humanos, realiza pesquisas sobre questões de direitos humanos, promove a responsabilização por violações dos direitos humanos, além de atuar na mídia, na defesa de causas e na educação pública.
Como organização dedicada à salvaguarda dos direitos humanos na Cisjordânia ocupada e na Faixa de Gaza, enfrentamos muitas tentativas de silenciar nossa voz. Durante os últimos confrontos na Faixa de Gaza, as tentativas dos oponentes da liberdade de expressão se intensificaram, incluindo ataques DDoS cada vez mais frequentes que nossos provedores de hospedagem anteriores não conseguiram repelir. A Deflect se mostrou extremamente útil na proteção do nosso site e nos permitiu continuar divulgando nossas informações ao público aqui em Israel, na Palestina e no exterior.
– Hagai El Ad, Diretor Executivo, B’Tselem
A B’Tselem é vencedora do Prêmio de Direitos Humanos de Estocolmo de 2014 e indicada ao Prêmio Václav Havel de Direitos Humanos deste ano.