Im Juli 2023 kam es zu mehreren DDoS (Distributed Denial of Service)-Angriffen auf die Website „Archive of Our Own“ (AO3). Bei solchen Attacken wird eine Website derart mit Internet-Traffic bombardiert, dass sie für legitime Besucher nicht mehr funktioniert.
AO3 wurde 2007 von der Organization for Transformative Works (OTW) gegründet, um Fanfiction und damit verbundenen Kreativprojekten eine Heimat zu bieten. Infolge der Attacke war die Website insgesamt 28 Stunden offline.
Laut dem Vorsitzenden des Systemausschusses von OTW hat der Layer 7-DDoS-Angriff klein angefangen: durch den Missbrauch von Endpunkten. Ein Team aus Freiwilligen organisierte mit den verfügbaren Werkzeugen die Gegenwehr. Doch irgendwann mussten die Server der Anwender nicht weniger als 1,5 Millionen Anfragen pro Sekunde bewältigen. Zwischenzeitlich ging von ihnen Datenverkehr in einem Umfang von ungefähr 6 Gbit/s aus und das Rechenzentrum der Organisation meldete den Eingang von bis zu 1,2 Tbit/s an Layer 3-Traffic.
Die Hacker-Gruppe Anonymous Sudan hat sich (allerdings ohne Beleg) zu dem Angriff bekannt und eine Lösegeldforderung gestellt.
Um sich besser zur Wehr setzen und die Website wieder in Betrieb nehmen zu können, ist OTW Projekt „Galileo“ beigetreten. Dieses bietet vulnerablen Organisationen aus den Bereichen Kunst, Menschenrechte, Zivilgesellschaft, Journalismus und Demokratie Dienste auf Geschäftskundenniveau.
Bei OTW ist der Systemausschuss für Server, Netzwerkgeräte, Reverse-Proxys, Lastverteilung und Datenbank-Cluster zuständig. Unter Leitung seines Vorsitzenden informiert er sich über Branchentrends, um über Sicherheitslücken auf dem Laufenden zu bleiben und bei Bedarf die entsprechenden Patches einzuspielen.
Laut dem Vorsitzenden verfügt OTW zwar über technisches Know-how, doch da in der Organisation ausschließlich Freiwillige tätig sind, stehen ihr nicht die gleichen Ressourcen zur Verfügung wie manch anderen gemeinnützigen Organisationen. „100 Gigabit-Routing-Ausrüstung, umfangreiche WAF Appliances, diverse Points of Presence oder andere Verfahren, die bei Großangriffen hilfreich sind, haben wir nicht.“
Angesichts von Milliarden Seitenabrufen im Monat sei der Druck groß, verlässlich Zugang zu den kreativen Arbeiten von AO3 zu ermöglichen. „Sämtliche unserer Projekte sind online – wenn sie über das Internet nicht verfügbar sind, kommen wir unserem Auftrag nicht nach“, stellte er fest. Die Freiwilligen von OTW greifen auch auf Tools zurück, die auf der Server-Infrastruktur laufen.
Zusammenfassend erklärte der Vorsitzende: „Wir brauchen unbedingt Maßnahmen, mit denen wir unsere Server und Anwendungen vor Angriffen schützen können. Es geht nicht nur darum, unsere Daten abzusichern, sondern wir wollen unseren Dienst Fangemeinden auch weiterhin zur Verfügung stellen können.“
Nachdem OTW den Aufnahmeantrag für Projekt „Galileo“ gestellt hatte, dauerte es nur drei Stunden, bis dieser angenommen wurde, die Nameserver der Organisation so konfiguriert wurden, dass sie auf Cloudflare verweisen, und die AO3-Website wieder über das Internet erreichbar war. „Der Effekt war sofort sichtbar“, so der Vorsitzende.
Gemeinsam mit seinem Team hat er Feinjustierungen an der Infrastruktur der Organisation vorgenommen und die Web Application Firewall- und Cache-Einstellungen aktualisiert. In den ersten zehn Stunden nach dem Upgrade des Diensts von OTW wurden seinen Angaben zufolge mehr als 7 Milliarden bösartige Anfragen von Cloudflare neutralisiert.
Doch die Angreifer waren noch nicht bereit, von der Website abzulassen. Kurz nach der Verstärkung der Abwehr wurde die Organisation erneut angegriffen, diesmal aber mit noch größerer Wucht.
Der Vorsitzende des Systemausschusses erklärte: „Für uns kam der eindrucksvollste Moment einen Monat später, als wir die größte von uns jemals verzeichnete Attacke verzeichnet haben, die zu Spitzenzeiten 65 Millionen Anfragen pro Sekunde erreichte. Wir wären niemals in der Lage gewesen, uns allein vor einer solchen Traffic-Flut zu schützen.“
Der Systemausschuss hofft, nicht nur vor künftigen verheeren DDoS-Angriffen sicher zu sein, sondern auch Dritte am Scraping der Website hindern zu können. Es wurde bereits das Bot-Management installiert, um bösartige Bots fernzuhalten und gutartigen, die unter anderem zu Forschungszwecken eingesetzt werden, weiterhin Zugang zu erlauben. „Die Arbeiten unserer Nutzer sind ziemlich beliebt und es herrscht kein Mangel an Leuten, die versuchen, damit auf verschiedenen Wegen Geld zu verdienen. Mit dem Bot-Management von Cloudflare können wir entscheiden, welche Arten von Bots wir sperren oder zulassen“, so der Vorsitzende.
AO3 unterscheidet sich unter anderem dadurch von anderen Online-Archiven, dass es von einer gemeinnützigen Organisation mit einem von Fans gewählten Vorstand betrieben wird. So will man die langfristige Stabilität des Angebots gewährleisten. Das Archiv, das Millionen von Werken aus Tausenden von Fangemeinden umfasst, wurde ausschließlich von den Fans erstellt. Viele von ihnen haben durch ihre Arbeit an dem quelloffenen Projekt neue Kenntnisse erworben, etwa im Bereich Programmieren und Design. Die Website wird werbefrei betrieben und verlangt von ihren Nutzern für das Posten und Ansehen der Werke von Fans keine Gebühren, sie finanziert sich ausschließlich aus Spenden.
Eine weitere Initiative von OTW ist das Legal Advocacy-Projekt, das Werke von Fans vor kommerzieller Ausbeutung und rechtlicher Anfechtung schützt, unter anderem durch die Einreichung von Amicus-Schriftsätzen und Kommentaren bei gesetzgebenden Gremien in den Vereinigten Staaten und anderen Ländern. Der Rechtsausschuss der Organisation hat sich beispielsweise 2023 öffentlich gegen mehrere Gesetzesvorlagen im US-Kongress gewandt und auf mögliche Folgen für das Internet hingewiesen.
(Stand: März 2024)