Em julho de 2023, o site Archive of Our Own (AO3) foi atingido por vários ataques de negação de serviço distribuída (DDoS). Os ataques DDoS funcionam sobrecarregando um site com uma enxurrada de tráfego da internet e tornando-o inutilizável para visitantes legítimos.
O site, fundado em 2007 pela Organização para Obras Transformativas (OTW) como um lar para fanfiction e empreendimentos criativos relacionados, ficou off-line por 28 horas no total.
O presidente do Comitê de Sistemas da OTW observa que o ataque DDoS à camada de aplicação começou pequeno, através do abuso de endpoints. Sua equipe de voluntários usou as ferramentas disponíveis para reagir, mas seus servidores acabaram processando até 1,5 milhão de solicitações por segundo. Em alguns momentos, os servidores de aplicativos geravam aproximadamente 6 Gbps de tráfego de saída, e o data center da organização relatou receber até 1,2 Tbps de tráfego de camada 3.
O grupo de hackers Anonymous Sudan afirmou (embora sem provas) que tinha lançado o ataque e também pediu resgate.
Para evitar ataques e retomar as operações, a OTW juntou-se ao Projeto Galileo, que fornece serviços gratuitos a nível empresarial a grupos vulneráveis que trabalham nas artes, nos direitos humanos, na sociedade civil, no jornalismo e na democracia.
Dentro da OTW, o Comitê de Sistemas cuida dos esforços relacionados a servidores, equipamentos de rede, proxies reversos, balanceamento de carga e clusters de bancos de dados. Este grupo, liderado pelo presidente de sistemas da OTW, segue as tendências do setor para se manter à frente das vulnerabilidades e corrigir conforme apropriado.
O presidente de sistemas afirma que, embora os voluntários sejam tecnologicamente experientes, “como uma organização exclusivamente dirigida por voluntários, não temos os mesmos recursos que algumas organizações com fins lucrativos. Não temos equipamentos de roteamento de 100 gigabits, grandes dispositivos WAF, múltiplos pontos de presença ou outras técnicas para ajudar em ataques em larga escala.”
E com bilhões de visualizações de páginas por mês, há uma pressão adicional para garantir acesso confiável aos trabalhos criativos do AO3. “Nossos projetos estão todos on-line. Se estiverem fora do ar, não estamos cumprindo nossa missão”, diz ele. As equipes de voluntários da OTW também contam com ferramentas que funcionam através da infraestrutura do servidor.
Ele resume: “É imperativo que tenhamos medidas para proteger nossos servidores e aplicativos contra ataques, não apenas para proteger nossos dados, mas também para que possamos continuar a servir a comunidade fandom”.
Três horas depois de se candidatar ao Projeto Galileo, a OTW foi aceita no projeto, configurou os seus nameservers para apontarem para a Cloudflare e conseguiu colocar o site do AO3 novamente on-line. Segundo o presidente de sistemas, “o impacto foi imediato”.
Ele e sua equipe ajustaram rapidamente sua infraestrutura e atualizaram o firewall de aplicativos web e as configurações de armazenamento em cache. Ele relata que nas primeiras dez horas após a atualização do serviço da OTW, a Cloudflare mitigou mais de 7 bilhões de solicitações abusivas.
No entanto, os invasores não pararam de tentar derrubar o site. Não muito depois de reforçar as suas defesas, a organização foi atingida por ataques mais consideráveis.
O presidente de sistemas observa: “O momento mais impressionante para nós foi quase um mês depois, quando recebemos o maior ataque que havíamos visto, atingindo brevemente um pico de 65 milhões de solicitações por segundo. Não teríamos como nos proteger sozinhos contra esse tipo de tráfego.”
Além de evitar futuros ataques DDoS devastadores, o Comitê de Sistemas espera evitar que terceiros façam scraping no site, e eles já implementaram o gerenciamento de bots para prevenir bots maliciosos, ao mesmo tempo que permitem bons bots de pesquisa e outros fins. Como explica o presidente de sistemas: “Os trabalhos de nossos usuários são bastante populares e não faltam aqueles que tentam monetizá-los de várias maneiras. O gerenciamento de bots da Cloudflare nos permite escolher quais categorias de bots bloquear ou permitir.”
Parte do que diferencia o AO3 de outros arquivos on-line é que ele é administrado por uma organização sem fins lucrativos com um conselho eleito pelos fãs, uma estrutura destinada a dar estabilidade ao site no longo prazo. O arquivo, que contém milhões de obras de milhares de fandoms, foi desenvolvido inteiramente por fãs, muitos dos quais aprenderam habilidades como codificação e design com seu trabalho no projeto de código aberto. O site não veicula anúncios nem cobra dos usuários para postar ou visualizar obras de fãs e, em vez disso, depende de doações.
Uma das outras iniciativas da OTW é o projeto Legal Advocacy, que protege e defende obras de fãs da exploração comercial e de contestações legais, nomeadamente através da apresentação de "amigos da corte" e da apresentação de comentários a órgãos legislativos nos EUA e em todo o mundo. Em 2023, o comité jurídico do grupo se opôs publicamente a vários projetos de lei propostos no Congresso dos EUA e destacou possíveis consequências para a internet.
(Dados de março de 2024)