Nossa pequena equipe versus milhões de bots
por Ian Kelling — Publicado em 02 de julho de 2025, 14h25
Leia a atualização mais recente originária da equipe técnica da FSF.
O texto a seguir foi inteiramente traduzido pelo Google Tradutor. O texto original (escrito em inglês) está acessível neste linque: <https://www.fsf.org/blogs/sysadmin/our-small-team-vs-millions-of-bots>.
A equipe de SysOps da FSF é composta por dois funcionários em tempo integral e um punhado de voluntários dedicados. Grande parte do nosso trabalho consiste em executar o software e os servidores físicos que hospedam sites e outros serviços para projetos GNU, FSF e outros projetos de software livre, incluindo máquinas virtuais para a extensão de navegador JShelter, o ambiente de desktop e a coleção de software KDE, e o Sugar Labs, uma organização que cria ferramentas de aprendizagem para crianças. Recentemente, contabilizamos setenta serviços diferentes e temos uma dúzia de servidores físicos em dois data centers na área de Boston.
Desde a última vez que escrevemos, muita coisa aconteceu e, embora eu adorasse falar sobre tudo isso, incluindo o processo de implantação de quatro novos servidores em nossos data centers, quero me concentrar na enorme tarefa de manter nossos serviços diante dos contínuos (e crescentes) ataques distribuídos de negação de serviço (DDoS). Um ataque DDoS normalmente ocorre quando invasores controlam milhares ou milhões de máquinas e fazem com que todas enviem solicitações ou outro tráfego para um servidor alvo. Em seguida, o servidor fica sobrecarregado com o processamento dessas solicitações e não responde às solicitações de usuários legítimos. Uma maneira comum de se defender contra um ataque DDoS, que frequentemente usamos, é descobrir uma maneira de identificar quais endereços IP estão enviando solicitações como parte do DDoS e, em seguida, fazer com que o servidor ignore as solicitações desses endereços IP.
Nossa infraestrutura está sob ataque desde agosto de 2024. Os rastreadores web Large Language Model (LLM) têm sido uma fonte significativa dos ataques e, quanto ao restante, não esperamos saber que tipo de entidade está atacando nossos sites ou por quê.
No Boletim de outono, escrevemos sobre o ataque de agosto ao gnu.org. Esse ataque continua, mas nós o mitigamos. A julgar pelo padrão e escopo, o objetivo provavelmente era derrubar o site e não era um rastreador LLM. Não sabemos quem ou o que está por trás do ataque, mas, desde então, tivemos mais ataques com gravidade ainda maior.
Para começar, o GNU Savannah, o sistema de desenvolvimento colaborativo de software da FSF, foi atingido por uma botnet massiva que controlava cerca de cinco milhões de IPs a partir de janeiro. No momento em que este artigo foi escrito, o ataque ainda estava em andamento, mas a iteração atual da botnet foi mitigada. O objetivo provavelmente era construir um conjunto de dados de treinamento LLM. Não sabemos quem ou o que está por trás disso.
Além disso, gnu.org e ftp.gnu.org foram alvos de um novo ataque DDoS iniciado em 27 de maio de 2025. O objetivo parece ser derrubar o site. Atualmente, ele está mitigado. Ele teve várias iterações, e cada uma delas causou algumas horas de inatividade enquanto descobríamos como nos defender. Novamente, o objetivo provavelmente era derrubar nossos sites e não sabemos quem ou o que está por trás disso.
Além disso, directory.fsf.org, o servidor por trás do Diretório de Software Livre, está sob ataque desde 18 de junho. Provavelmente se trata de um scraper LLM projetado para atingir especificamente sites do Media Wiki com uma botnet. Esse ataque está muito ativo e agora foi parcialmente mitigado.
Conforme desenvolvíamos programas para identificar endereços IP pertencentes à botnet, eles às vezes identificavam incorretamente endereços IP de usuários legítimos. Nós os removemos da lista de endereços IP de DDoS e aprimoramos nossas defesas para torná-los mais precisos. Se você não tem acesso ao gnu.org no momento, envie-nos um e-mail para sysadmin@fsf.org com seu endereço IP e nós o verificaremos. Se você estiver com problemas com uma VPN (rede virtual privada), tente alternar os nós de saída e não nos contate — sabemos que nossos invasores usam VPNs, o que nos leva a bloquear as que eles estão usando.
Mais recentemente, os sistemas automatizados de construção de software se tornaram um problema para nós. Geralmente, eles são conhecidos pelo termo nada óbvio CI/CD, que significa "integração contínua ou implantação contínua". Eles enviam solicitações automatizadas para verificar se há novos códigos no Savannah a fim de reconstruir seu software. Frequentemente, enviam muito mais solicitações do que o necessário, o que parece e age como um ataque DDoS, mesmo que não seja intencional. As ferramentas de CI/CD normalmente não possuem informações de contato identificando seu tráfego, portanto, não temos como contatá-los caso haja algum problema além de banir seus endereços ou enviar relatórios de abuso, se conseguirmos encontrar um local para enviá-los. Tivemos que bloquear alguns desses endereços IP, o que frequentemente os leva a buscar maneiras melhores de atingir os mesmos objetivos.
Além de tudo isso, temos nossos rastreadores padrão comuns, rastreadores de SEO (otimização para mecanismos de busca), rastreadores que fingem ser usuários normais, rastreadores que fingem ser outros rastreadores, sistemas de tempo de atividade, scanners de vulnerabilidade, tradução de endereços de rede de nível de operadora, VPNs e navegadores comuns atacando nossos sites. É desgastante para nossos sites e para nossa equipe de funcionários e voluntários, pois precisamos descobrir uma abordagem de defesa específica para cada ataque. Alguns dos abusos não são Exclusivo para nós, e parece que a saúde da web está com sérios problemas no momento.
Quando você visita um site, ele pode enviar ao seu navegador um ou mais programas JavaScript. Esses programas JavaScript geralmente são proprietários. Explicamos isso com mais detalhes em "A Armadilha do JavaScript". Se um site lhe envia um programa JavaScript gratuito, você pode desenvolver uma versão modificada, compartilhá-la com outras pessoas para que elas possam se beneficiar e configurar seu navegador para executar a versão modificada em vez da que o site envia. Mas alguns programas JavaScript são malware, que fazem coisas como espionar você, e a única modificação que qualquer usuário desejaria é impedi-lo de ser executado.
Alguns desenvolvedores web começaram a integrar um programa chamado Anubis para diminuir a quantidade de solicitações que sistemas automatizados enviam e, assim, ajudar o site a evitar ataques DDoS. O problema é que o Anubis faz com que o site envie um programa JavaScript gratuito que age como malware. Um site que usa o Anubis responderá a uma solicitação para uma página da web com um programa JavaScript gratuito e não à página que foi solicitada. Se você executar o programa JavaScript enviado pelo Anubis, ele realizará alguns cálculos inúteis com números aleatórios e manterá uma CPU totalmente ocupada. Isso pode levar menos de um segundo ou mais de um minuto. Ao concluir, ele envia os resultados dos cálculos de volta ao site. O site verificará se o cálculo inútil foi realizado analisando os resultados e só então concederá acesso à página originalmente solicitada.
Na FSF, não apoiamos esse esquema porque ele entra em conflito com os princípios da liberdade de software. Os cálculos do programa JavaScript do Anubis são o mesmo tipo de cálculo feito por programas de mineração de criptomoedas. Um programa que realiza cálculos que o usuário não deseja é uma forma de malware. Software proprietário geralmente é malware, e as pessoas geralmente o executam não porque querem, mas porque foram pressionadas a fazê-lo. Se fizéssemos nosso site usar o Anubis, estaríamos pressionando os usuários a executar malware. Embora seja software livre, ele faz parte de um esquema muito semelhante ao software proprietário para ser aceitável. Queremos que os usuários controlem sua própria computação e tenham autonomia, independência e liberdade. Com o seu apoio, podemos continuar a colocar esses princípios em prática.
Mesmo sob ataque ativo, os sites gnu.org, ftp.gnu.org e savannah.gnu.org estão com tempos de resposta normais no momento, e assim têm sido durante a maior parte desta semana, em grande parte graças ao trabalho árduo dos hackers de Savannah, Bob, Corwin e Luke, que nos ajudaram, seus administradores de sistemas. Protegemos esses sites por quase um ano inteiro de ataques intensos e continuaremos combatendo esses ataques enquanto eles continuarem.
Nossa equipe técnica em tempo integral da FSF é composta por apenas dois administradores de sistemas, e atualmente não temos recursos para contratar mais técnicos em um futuro próximo. Sei que muitos leitores apoiam o movimento do software livre de diversas maneiras, o que apreciamos muito, mas, para melhorar nossa equipe, precisamos de mais membros associados.
Você pode se juntar a nós em nosso trabalho crucial para proteger a liberdade dos usuários e desafiar a distopia? Torne-se um membro associado hoje mesmo! Cada membro associado conta, e cada novo membro nos ajudará a atingir nossa meta de arrecadação de fundos de 200 novos membros. Ao nos apoiar hoje, você ajuda a desafiar a distopia que as Big Techs estão tentando nos impor.
Sabemos que nem todos têm condições de doar US$ 140 ou mais, e é por isso que também oferecemos a assinatura Friends por US$ 35, que vem com alguns benefícios a menos. Além disso, agora você pode se candidatar para receber uma assinatura patrocinada da FSF.
Obrigado por apoiar a equipe de tecnologia!
Nenhum comentário:
Postar um comentário