Schutz vor technischen Angriffen auf Indymedia linksunten

Indylogo
Alles zum G20-Gipfel 2017 auf Indymedia linksunten

In den letzten Wochen kam es zu diversen Angriffen auf Indymedia linksunten. Wir möchten die Probleme transparent machen und die Dynamik hinter der Lösung der Probleme kurz darstellen. Die Kurzfassung: Alle Probleme sollten gelöst sein, es gab unseres Wissens nach keine staatlichen Angriffe auf linksunten und die nichtstaatlichen AngreiferInnen kochen auch nur mit Wasser.

 

Der Webserver von Indymedia linksunten ist regelmäßig DDoS-Angriffen ausgesetzt. Aus diesem Grund nutzen wir die Anti-DDoS-Dienste von Deflect. Deren Sysadmins haben unser Verhältnis einmal charmant diplomatisch in Worte gefasst: „Ihr gehört zu unseren besten KundInnen.“ Die allermeisten DDoS-Angriffe werden von Deflect erkannt und abgewehrt. Dazu nutzt Deflect JavaScript, was die häufig gestellte Frage beantwortet, warum Indymedia linksunten nur mit angeschaltetem JavaScript genutzt werden kann.

 

Während des G20-Gipfels kam es erwartungsgemäß zu erhöhten Zugriffszahlen und in der Folge zu einer höheren Last auf dem linksunten Server. Gleichzeitig gab es einen erfolgreichen DDoS-Angriff, der die Seite in der Nacht auf den 8. Juli unbenutzbar machte. Wir konnten den Angriff im Laufe des Tages abmildern und in den Folgetagen mit der Hilfe von Deflect komplett abwehren.

 

Leider führten die neuen Konfigurationen zu einer Reihe von Fehlern, die erst durch aufwändige Analysen behoben werden konnten. Die Fehler hatten mit der Website nichts zu tun, sondern traten allesamt bei den vorgeschalteten Servern auf. Betroffen waren die Suche, der Fotobutton im HTML-Editor und die Startseiten-Tabs, was zu einer zeitweiligen Einschränkung der entsprechenden Funktionen führte.

 

Außerdem war das Captcha betroffen, also das Bild mit den verzerrten Buchstaben, das beim Posten erkannt und abgeschrieben werden muss. Kommerziellen Bots war es in Folge der Konfigurationsfehler gelungen, das Captcha zu überwinden, was zu einer Spamwelle auf linksunten führte. Wir versuchten zuerst den Spam mittels einer Erhöhung des Schwierigkeitsgrades des Captchas zu bekämpfen, doch selbst das führte selbst dann nicht zum Erfolg, als es für Menschen nahezu unbenutzbar war. Am Ende stellte sich raus, dass das Problem recht banal war: Das Captcha wurde gecached! Es wurde also nach jedem Fehlversuch dasselbe Bild erneut angezeigt, wodurch Bots beliebig viele Versuche hatten dasselbe Captcha zu lösen.

 

Mittlerweile sollten wir alle Folgeprobleme in den Griff bekommen haben. Durch die Anpassungen des Serverstacks sollte die Website zudem sehr viel besser gegen DDoS-Attacken geschützt sein als zuvor. Darüber hinaus haben wir neue Debugging-Techniken gelernt und die Zusammenarbeit mit den Deflect-Sysadmins gefestigt, denen wir an dieser Stelle herzlich für ihren Support danken möchten. Nicht zuletzt hat die Fehleranalyse auch zu einer Überarbeitung des Anti-Spam- und Caching-Konzepts der neuen linksunten-Website geführt, an der wir gerade arbeiten.

 

Indymedia linksunten
Communiqué vom 17.08.2017

Zeige Kommentare: ausgeklappt | moderiert

Zu dem Anlaß möchte ich als regelmäßiger Leser und gelegentlicher anonymer Kommentierer mal ein ganz dickes Dankeschön ans Team im Maschinenraum loswerden!

Vorwärts und nicht vergessen!

Ist ein eingeschalteter Java nicht ein Sicherheitsrisiko? Von woher kamen die Angriffe? Woher will erkannt werden, ob es sich um staatliche Angriffe handelt oder nicht? Hacks können Auftragsarbeiten sein. Welche Metadaten habt und speichert ihr hier?

 

Diese Seite sollte niemals unterhalb eines Tor Browser, besser noch Tails besucht werden. Mir wurde erzählt, daß wenn jemand die Webseite Linksunten Indymedia aufsuchte, das Mikrowellen Messgerät am eingeschalteten Handy höhere Werte aufgezeigt hat. Dies wird gewertet als Möglichkeit der Ausforschung jener Besucher*innen auf Linksunten Indymedia.

Ich würde dir empfehlen, dein eingeschaltetes Handy in Alufolie einzupacken. Mit ein bisschen schreien kannst du es immer noch wunderbar benutzen und die Jungs vom BKA haben dann sowas von das Nachsehen!!!

Leider gibt es noch ein Problem, dass erst seit kurzem Auftritt: Bei Nutzung des TOR Browsers und aktiviertem JavaScript ist es nicht möglich ein Bild von der Seite zu speichern. Dies scheint am Zusammenspiel von deflect und Tor Browser zu liegen. Ihr könnt das ganz einfach reproduzieren:

1. Tor Browser starten.

2. Per NoScript "Scripte allgemein erlauben".

3. Ein beliebigen Artikel mit Bild aufrufen.

4. Die eigenständige Seite des Bildes aufrufen (z.B. https://linksunten.indymedia.org/de/node/99).

5. Die Grafik per rechtsklick -> "Grafik speichern unter" versuchen zu speichern.

Die Datei, die dann abgespeichert wird, ist eine Text-Datei (HTML) und kein Bild. Offenbar macht der Tor-Browser beim Abspeichern eine weitere Anfrage und die bleibt bei Deflect hängen.

Betrifft genauso andere Dateitypen wie PDF. Das neue ist das das nicht seit deflect sondern seit kurzem erst auftritt. Aber vielleicht hat der Torbrowser ja was geändert und cached nicht(mehr)?

Ist es wirklich notwendig statische Dateien / Bilder per Deflect zu schützen? Abseits von der Bandbreite dürften die ja keine Serverlast erzeugen. Kann mensch die nicht einfach per Regel von deflect ausnehmen? Es ist wirklich ziemlich scheiße, dass Speichern von Bildern im Tor Browser nicht mehr geht.

Deflect schützt alles oder nichts, wir können nicht einzelne URLs ausnehmen. Abgesehen davon: ja, das ist notwendig, auch statische Bilder eignen sich für DDoS-Attacken. Zum Beispiel fpr DNS Amplification oder SYN-Flood Attacks. Da geht es nicht um die Datenmenge, sondern um die Bandbreite zum Server.

Befindet sich die BTC Adresse 1JHVUUBqM2Fdr1gzizaPKEXY9GjgSgK1XS noch unter eurer Kontrolle?

 

Und könntet ihr bei Gelegenheit eine Bitcoin Cash oder Ethereum Adresse veröffentlichen, kleinere Überweisungen gestalten sich bei BTC seit ein paar Monaten etwas schwierig.

 

Solidarische Grüße

BCC stirbt in Kürze endgültig - 400 vs 4000 USD im Kurs. Und Ether nutzt nach den diversen "Hack" Katastrophen auch keiner mehr, da sind Dogecoin noch sinnvoller...

Wenn du es für eine kleine Transaktion brauchst ist das (auch weil die Zielgruppe viel kleiner ist als bei BTC) doch vielmehr Arbeit als Nutzen das zu betreuen und einzutauschen. Du siehst unter der Bitcoinadresse auch das selbst die nicht viel genutzt wird.

Übrigens: Benutzt Mixer wie coinmixibh45abn7.onion (Tor) da die Bitcoinwege öffentlich nachvollzogen werden können. Auch z.B. über Onlinecasinos mit BTC-Unterstützung lassen sich mit etwas mehr Aufwand BTC waschen.

Ja, die Adresse ist noch unter unserer Kontrolle und wir freuen uns über Spenden! Oben in der Leiste gibt es auch den Link zur Spendenseite.

Hey... nur mal so, die aktuellen Captchas sind eine reine Katastrophe. Teilweise benötigt 1 10 Versuche oder mehr, grad für Menschen mit eher suboptimalen Augen ist das echt scheiße!

Bitte tauscht die Teile aus - oder probiert pow_captcha aus.

Im Moment können wir da leider nicht viel machen, weil einfachere Captchas von Bots geknackt wurden und wir mit der momentanen Software keine neuren Captchas einbauen können – jedenfalls nicht mit vertretbarem Aufwand. Aber uns ist das Problem bewusst und wir werden schauen, wie wir das bei der nächsten Seite anders und besser machen können.

.

Hmm. Das ist Drupal. Wenn mich nicht alles täuscht kann man den Zeichensatz für Captchas ändern - am meisten Schwierigkeiten machen mir C/c, n/h, I/l, X/x, W/w, K/k, B/8. Die Pärchen raus würde schonmal erheblich weiterhelfen. Oder einen "Score" einbauen, d.h. bis zu 2 oder 3 Fehler sind erlaubt...

Wir haben eine andere Schriftart eingestellt, mal schauen, ob die zu mehr Spam führt.

Das Pärchen h/n und X/x gibt's immer noch, der Rest passt :)

Nein, es gab immer nur "h" und "X", nie "n" oder "x". Aber stimmt, das "h" war wirklich schwer zu erkennen. Wir müssen mal abwarten, wie sich die neue Schriftart bewährt.

Das ist eine gute Erklärung. Wäre vielleicht hilfreich, das in den Hilfetext unterhalb vom Captcha zu tun - der ist eh noch nicht auf Deutsch übersetzt, sucht mal in der Translation-UI nach "Enter the characters shown in the image".

Irgendwas spinnt aber immer noch: ich bin jetzt beim 6. (!) Captcha für den Post.

Da hast du völlig, die Captchas sind eine absolute Katastrophe :(

 

Aber mit einem ordentlich installierten Debian, einem guten iptables Skript und der einen oder anderen Änderung im /proc Verzeichnis:

 

https://www.symantec.com/connect/articles/linux-firewall-related-proc-en...

 

solltet ihr eigentlich euch eigentlich von Deflect befreien können, nur mal so, diy \o/

Bei Deflect und anderen DDOS Proctection Services - das bekannteste ist wohl Cloudflare - geht es in erster Linie um die Anbindung von deren Netzen. Ein verhältnismäßig kleines Projekt wie Indymedia wird sich schlicht nicht die Anbindung ans Netz leisten können, um die heutige Power von DDoS Angriffen standzuhalten. Bildlich gesprochen verstopfen die Schlicht die Zufahrt. Wenn die legitimen Anfragen gar nicht mehr bis an den Server kommen, kann dann auch der beste Admin nichts machen.

Mr. Neunmalklug, hast du dich jemals praktisch mit DDoS-Angriffen beschäftigt? Die von die vorgeschlagenen Maßnahmen helfen nicht viel ab einer gewissen Größenordnung. Zudem basieren die meisten Maßnahmen darauf, dass IP-Ranges gesperrt werden. Wofür die IPs aber erst mal geloggt und ausgewertet werden, was bei einer Seite wie linksunten niemand will. Außer Leuten, die keine Ahnung haben und Bullen.