Notícias

Justiceiros do DDOs tentam silenciar o Black Lives Matter

Por Corin Faife, para a Motherboard*, em 14/12/2016

“Recebemos ameaças de morte o tempo todo em nossos e-mails e nossas contas nas mídias sociais”, diz Janisha Gabriel. “Quem está envolvido neste tipo de trabalho sabe que assume certos riscos.”

Estas não são as palavras de um político ou de um agente penitenciário, mas de uma web designer. Janisha é dona da Haki Creatives, uma empresa de design especializada no desenvolvimento de sites para grupos de ativistas sociais como Black Lives Matter (BLM, Vidas Negras São Importantes). Por causa deste trabalho, estranhos querem matá-la.

Quando essas pessoas não estão fazendo ameaças ao designer, lançam ataques ao próprio site do BLM — em 117 diferentes ocasiões, nos últimos seis meses, para ser preciso. Alugam servidores, usam redes de botnets, fazem convocações para ataques em mídias sociais e testam diferentes métodos de ataque para ver qual vai funcionar. Na verdade, nem sequer está claro se “eles” são as mesmas pessoas que assumiram publicamente a responsabilidade pelos ataques.

Eu queria saber exatamente o que é preciso para manter um site como o BlackLivesMatter.com no ar e como seus adversários tentam derrubá-lo. O que encontrei foi uma história que envolve campanhas no Twitter, vídeos no YouTube, grupos de hackers afiliados ao Anonymous e uma variedade de software ofensivos e defensivos. Esta é uma história do que acontece nos bastidores sempre que você digita a URL de um site que trata de temas polêmicos.

BlackLivesMatter.com

O movimento Black Lives Matter atua desde 2013 mas o site oficial do grupo foi criado no final de 2014, depois que Michael Brown foi morto pela polícia em Ferguson, Missouri. Até então, sua atividade online se aglutinava em torno da hashtag #BlackLivesMatter. Mas quando as manifestações massivas em Ferguson revelaram o movimento ao público, um site foi criado para compartilhar informações e ajudar os participantes a se conectar entre eles.

A reação contra o BLM, tanto no mundo físico e digital, é muito forte desde o início do movimento. O site foi derrubado várias vezes por ataques DdoS com os quais seu provedor de hospedagem original teve dificuldade de lidar. Na busca de um provedor que pudesse lidar com um cliente de alto risco, os administradores do site BLM descobriram o MayFirst, um coletivo radical de tecnologia que se especializou no apoio a causas por justiça social, como o movimento pró-palestino BDS, que também é alvo de ataques cibernéticos.

O MayFirst recomenda muitos clientes de alto nível para eQualit.ie, uma organização canadense sem fins lucrativos que dá suporte digital à sociedade civil e grupos de direitos humanos. O Deflect, serviço oferecido pelo grupo, fornece hoje proteção de negação de serviço distribuída (DDoS) para o site Black Lives Matter. Em um relatório publicado em dezembro de 2016, o eQualit.ie analisa seis meses de tentativas de ataques ao BLM, incluindo um cronograma completo, vetores de ataque e sua eficácia, e fornece um vislumbre atrás da cortina sobre o que é preciso para manter um site desse tipo funcionando.

O primeiro ataque sério ocorreu apenas alguns dias após a BLM contratou o Deflect. O atacante usou o Slowloris, um software inteligente, mas datado, que pode, teoricamente, derrubar um servidor web com uma única máquina, em um ataque dissimulado mas insistente. Descrito como um “cliente http de banda estreita, mas ganancioso e venenoso”, Slowloris realiza um ataque de negação de serviço “lento”. Em vez de invadir agressivamente a rede, o programa faz um número cada vez maior de solicitações HTTP, mas nunca as completa. Envia cabeçalhos HTTP ocasionais para manter as conexões abertas até que o servidor tenha usado todo o seu conjunto de recursos e não consiga novas solicitações de outras fontes legítimas.

O Slowloris era elegante quando foi escrito, em 2009, mas muitos servidores agora implementaram regras para se proteger de seus ataques. Nesse caso, o ataque ao BLM foi rapidamente detectado e bloqueado. Mas a variedade das ameaças estava prestes a ficar bem maior.

Anonymous “expõe racismo”

Em 2 de maio de 2016, o canal @anonymous_exposes_racism do Youtube fez o upload de um vídeo chamado “Anonymous expõe racismo contra brancos.

O canal, ativo oito meses antes desta publicação, tinha anteriormente divulgado clipes de notícias e imagens de arquivo legendados com declarações incendiárias (“Louis Farrakhan disse que PESSOAS BRANCAS MERECEM MORRER”). Mas este novo vídeo era um material original, produzido com a estética do Anonymous – música de abertura dramática, imagem de um homem mascarado piscando na tela e uma voz computadorizada falando em uma cadência estranha.

“Derrubamos alguns de seus web sites e continuaremos a derrubar, desfigurar, e coletar suas bases de dados até que seus líderes venham à frente e desencorajem comportamentos racistas e detestáveis. Queremos nada menos do que uma declaração de sua liderança de que todo o ódio é errado … Se isso não acontecer, vamos considerar vocês outro grupo de incitação ao ódio e vocês podem aguardar a nossa atenção.”

O “nós” em questão era presumivelmente uma célula do Anonymous conhecida como Ghost Squad Hackers. Três dias antes, em uma série de tuítes de 29 de abril, o autodenominado admin “@ _s1ege” do Ghost Sqaud afirmou ter tirado o site do BLM do ar. O Ghost Squad tinha um histórico de reivindicações semelhantes. Pouco antes, havia lançado um ataque contra um site Ku Klux Klan, tirando-o do ar por alguns dias.

A Dra. Gabriella Coleman é antropóloga e autora de Hacker, Hoaxer, Whistleblower, Spy – considerado o mais importante estudo sobre o Anonymous. (Ela também participa do conselho do eQualit.ie.) Coleman afirma que o Ghost Squad é hoje um dos grupos mais prolíficos de desfiguração e DDoS operando sob a bandeira do Anonymous, mas também observa que apenas alguns de seus membros já se pronunciaram publicamente .

“Sem conversar com os os membros de um grupo é difícil saber qual é a sua cultura”, diz Coleman. “Posso imaginar, hipoteticamente, que um monte de pessoas que usam o nome do Ghost Squad pode ser contra [atacar Black Lives Matter], mas também pode não ser contra o suficiente para dizer isso publicamente. Não se sabe se todos eles apoiam ativamente ou somente toleram os ataques. “

Assim como no caso do Anonymous como um todo, essa incerteza é agravada por dúvidas sobre a identidade daqueles que declaram fazer parte do Ghost Squad em um dado momento — um fato corroborado pelos padrões de ataque às vezes caóticos mostrados na análise de tráfego do site do BLM.

O ataque de 29 de abril, anunciado por S1ege, foi acompanhado por uma tela mostrando um desktop Linux Kali executando um trecho de software chamado Black Horizon. Como observa o relatório do eQualit.ie, o BlackHorizon é essencialmente um clone do GoldenEye, por sua vez baseado no HULK, código escrito como prova de conceito em 2012 pelo pesquisador de segurança Barry Shteiman.

Todos esses scripts de ataque compartilham um método conhecido como randomized no-cache flood, que submete, por meio de um usuário, um grande número de solicitações como se fossem uma só. Para isso, escolhe-se um usuário aleatório de uma lista, forjando um referenciador falso e gerando nomes de parâmetro de URLs personalizados para cada solicitação ao site. Isso engana o servidor, que entende que deve retornar uma nova página a cada solicitação em vez de servir uma cópia em cache. Assim, maximiza a carga do servidor com o mínimo esforço do invasor.

Depois que os detalhes do ataque de Ghost Squad foram publicados no HackRead, uma enxurrada de outros ataques começou, muitos usando métodos menos eficazes. (O ataque mais básico pode ter sido escrito em apenas três linhas de código Python.)

Coleman me disse que esse padrão é típico. “As operações de DDoS podem atrair muitas pessoas que querem apenas aparecer”, disse ela. “Sempre haverá uma porcentagem de pessoas que são motivadas por crenças políticas, mas outros estão apenas experimentando o poder de fogo que eles têm.”

Um grupo convocou o ataque e uma multidão digital logo se encarregou..

Ameaças complexas

As organizações da sociedade civil enfrentam ataques cibernéticos com uma freqüência maior do que a maioria de nós percebe. É um problema que esses ataques existam, é claro, mas também é um problema que tentativas bem-sucedidas e fracassadas muitas vezes aconteçam em silêncio.

Em um artigo sobre hacking de organizações de direitos humanos patrocinados pelo Estado, Eva Galperin e Morgan Marquis-Boire esxplicam que esse silêncio só ajuda os atacantes. Sem relatos publicamente disponíveis sobre a natureza da ameaça, os usuários vulneráveis não têm as informações necessárias para tomar medidas apropriadas de proteção e as conversas em torno de procedimentos defensivos eficazes permanecem isoladas umas das outras.

Quando falei com Galperin, que trabalha como analista de políticas globais na Electronic Frontier Foundation, ela disse que ouve falar de um grupo da sociedade civil sendo atacado “uma vez a cada poucos dias”, embora alguns grupos atraim mais fogo e de uma maior variedade de adversários.

“As preocupações [do BLM] são realmente bastante complicadas, porque seus atacantes potenciais não são necessariamente atores estatais”, diz Galperin. “De certa forma, um atacante que não é um Estado-nação — e que tem rancor — é muito mais perigoso. É mais difícil prever o que eles vão fazer, e eles provavelmente serão muito persistentes. E isso torna mais árduo se proteger contra eles“.

Como exemplo, Galperin aponta para um incidente em junho de 2016, quando a conta do Twitter da ativista do BLM Deray Mckesson foi comprometida apesar de estar protegida por autenticação de dois fatores. Os hackers usaram técnicas de engenharia social para enganar o provedor de telefonia Mckesson e redirecionar suas mensagens de texto para um cartão SIM diferente, um ataque que exigiu um estudo cuidadoso do alvo a ser atingido.

Além de sua imprevisibilidade, a persistência também é uma característica dos ataques ao BLM. De abril a outubro de 2016, a eQualit.ie observou mais de 100 incidentes, a maioria deles usando ferramentas disponíveis gratuitamente, com documentação e até mesmo tutoriais online. Com tanta diversidade de ameaças, poderia ser possível saber quem estava realmente atrás dos ataques?

Caçando botherders

Certa manhã, depois que comecei a apurar esta matéria, uma mensagem apareceu em minha caixa postal:

“Oi, como você está? Você gostaria de ter provas de que eu sou eu?”

Eu havia divulgado entre os contatos na cena de hacking que queria conversar online com S1ege e esta resposta apareceu. Naturalmente, quem pede a um hacker que prove sua identidade não recebe de volta um passaporte com uma foto. Mas quem me contatou, enviou uma mensagem da conta @GhostSquadHack no Twitter, a mesma usada para anunciar a maioria das façanhas da equipe. Uma prova que parecia boa, pelo menos naquele momento.

De acordo com S1ege, quase todos os ataques contra o BLM foram realizados pelo Ghost Squad Hackers porque do ponto de vista deles o Black Lives Matter está “lutando contra o racismo com o racismo” e “lidando com as coisas de maneira errada”. Nossa conversa foi temperada por reivindicações-padrão dos Anon: a verdadeira luta é entre ricos e pobres, a mídia é usada para semear a divisão e, portanto, o problema real não é o racismo, mas quem financia a mídia.

Isso é verdade? Difícil saber. A afirmação de S1ege de que o Ghost Squad realizou a maioria dos ataques contra o BLM é novidade. Além dos tuítes de 29 de abril, nenhum dos outros ataques ao BLM foi reivindicado pelo Ghost Squad ou por qualquer outra pessoa. Para aumentar a confusão, 29 de abril foi também a data em que a conta do Twitter do S1ege foi criada, e a reivindicação de autoria da Op AllLivesMatter não foi repetida pela conta principal do Ghost Squad até que outros meios de comunicação começaram a denunciá-la, momento em que a conta simplesmente compartilhou posts já atribuídos a ela.

Apesar da minha pressão, S1ege não explicou qualquer detalhe técnico sobre os maiores ataques, o que teria provado seu conhecimento a respeito. Nossa conversa parou. A última mensagem antes do silêncio simplesmente dizia: “A operação está suspensa até que o movimento faça algo racista novamente”.

Atrás da máscara

Como a eQualit.ie deixa claro, os ataques mais poderosos contra o site do BLM não fizeram parte da onda anunciada em abril pelo Ghost Squad. Em maio, julho, setembro e outubro, um “ator sofisticado” usou um método conhecido como reflexo de pingback do WordPress para lançar vários ataques poderosos no site. O maior deles realizou mais de 34 milhões de conexões.”

O ataque explora uma característica inócua de sites WordPress, sua capacidade de enviar uma notificação para outro site ao qual tenha sido ligado, informando-o do link. O problema é que, por padrão, todos os sites do WordPress podem receber um pedido enviado por um terceiro, o que faz com que eles dêem uma notificação de pingback para qualquer URL especificada no pedido. Assim, um invasor mal-intencionado pode usar centenas de milhares de sites legítimos para fazer solicitações ao mesmo servidor, fazendo com que ele caia.

Desde que este ataque se tornou comum, a versão mais recente do WordPress inclui o endereço IP que está solicitando o pingback no próprio pedido. Aqui está um exemplo:

WordPress/4.6; //victim.site.com; verifying pingback from 8.8.4.4

Às vezes esses endereços IP são falsificados — o exemplo acima (8.8.4.4) corresponde ao servidor DNS público do Google – , mas quando eles correspondem a um endereço no espaço IP global, podem fornecer pistas úteis sobre o invasor. Esses endereços geralmente são de máquinas “botherder“, servidores de comando e controle usados para dirigir ataques em massa por meio de computadores comprometidos (um “botnet“) ao redor do globo.

Neste caso, o ataque deixou pistas: cinco endereços IP representaram a maioria de todos os servidores botherder registrados nos logs. Todos os cinco eram rastreáveis de volta ao DMZHOST, um provedor de hospedagem “offshore” que alega operar a partir de um “datacenter protegido localizado num bunker na Holanda“. Os mesmos endereços IP foram usados por outras organizações para outros ataques de botnet, dirigidos a outros grupos. Seu proprietário é, por enquanto, desconhecido. (A política de privacidade do host simplesmente diz: “O DMZHOST não armazena qualquer informação / log sobre a atividade dos usuários.”)

O relatório do eQualit.ie menciona esses detalhes em uma seção intitulada “Maskirovka“, a palavra russa para despiste militar, porque grupos de hackers como o Ghost Squad (e o Anonymous como um todo) também podem ser uma fachada ideal para outros atores, incluindo estados-nação.

Como o terrorismo ou a guerra de guerrilha, os ataques DDoS e outros assédios online se encaixam no paradigma clássico de guerra assimétrica, onde os recursos necessários para montar um ataque são muito menores do que aqueles necessários para se defender contra ele. Botnets podem ser alugados por cerca de US $ 60 por dia no mercado negro, mas o preço de ser atacado por um pode chegar a centenas de milhares de dólares. (Serviços comerciais de proteção contra DDoS podem custar centenas de dólares por mês. A EQualit.ie oferece seu serviço de graça, mas isso só é possível cobrindo os custos operacionais com doações.)

A internet já foi considerada uma força democratizante, onde qualquer pessoa pode publicar e defender suas ideias. Hoje, no entanto, o custo da liberdade de expressão pode ser diretamente vinculado ao custo de lutar contra os ataques para silenciá-la.

* Corin Faife é jornalista freelancer e escreve sobre a intersecção entre tecnologias e política. No Twitter: @corintxt.

Artigo AnteriorPróximo Artigo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *