O caso em que meu gato me avisou sobre um ataque DDoS

 (dannyguo.com)
3 pontos por GN⁺ 2024-04-15 | 1 comentários | Compartilhar no WhatsApp

O gato que avisou sobre um ataque DDoS

  • Quando o autor trabalhava em uma startup, não havia uma rotação formal de on-call
    • Como on-call é algo desgastante, isso foi evitado de propósito
    • Em vez disso, os membros da equipe tentavam ficar atentos juntos aos alertas de emergência
  • Certo dia, por volta das 3 da manhã, o autor acordou porque seu gato começou a lamber sua cabeça
    • O hábito de se limpar do gato em si não era algo incomum, mas foi a primeira vez em 9 anos que ele fez isso enquanto o autor dormia
  • Ao verificar o celular, ele viu que um alerta do AWS CloudWatch havia sido disparado alguns minutos antes
    • Era um alerta sobre alvos não íntegros no load balancer
  • Como o site da empresa não carregava, ele abriu o dashboard de monitoramento
    • Havia um grande volume de requisições vindo de muitos endereços IP, principalmente de IPs no exterior
    • Como o produto da empresa só podia ser usado dentro dos Estados Unidos, tráfego internacional não era algo normal
    • Ele percebeu que se tratava de um ataque de negação de serviço distribuída (DDoS)
  • No início, tentou bloquear os endereços IP no nível do servidor, mas então se lembrou de que o AWS WAF (Web Application Firewall) já estava configurado
    • Para lidar com a indisponibilidade imediata, ele criou uma regra para bloquear requisições vindas de outros países
    • Essa medida bloqueou centenas de milhares de requisições, e o site voltou a funcionar
  • Mais tarde, ele descobriu que havia chegado uma mensagem no e-mail de suporte ao cliente no momento em que o ataque começou
    • O remetente, com uma gramática horrível, afirmava ter encontrado uma vulnerabilidade no site capaz de derrubar um Apache que nem sequer era usado
    • Dizia que forneceria um "arquivo da solução" se recebesse US$ 5.000 em bitcoin, mas ele decidiu não responder
  • O autor ainda acha difícil acreditar no timing perfeito com que o gato o acordou
    • Dá para supor que o celular tenha vibrado ou emitido algum som por causa do alerta da AWS e que isso tenha acordado o gato primeiro, mas o modo não perturbe estava ativado durante a noite
    • Por isso, ele prefere acreditar que o gato de alguma forma percebeu que havia um problema que não podia esperar até a manhã
    • Foi uma forma muito mais agradável de ser acordado do que por um alerta do PagerDuty

Opinião do GN⁺

  • É verdade que, no começo de uma startup, pode ser difícil ter uma rotação formal de on-call, mas pelo menos vale a pena ter um sistema básico de monitoramento e alertas. Manter toda a equipe de prontidão o tempo todo não é sustentável
  • Parece que ter o AWS WAF e afins configurados com antecedência facilitou a reação na hora da emergência. É um caso que mostra a importância de medidas preventivas contra ameaças de segurança
  • Foi uma decisão sensata não responder ao e-mail do atacante. Ceder a ameaças pode causar problemas ainda maiores
  • Se fosse adotado um sistema de detecção de anomalias baseado em machine learning, um algoritmo poderia identificar esse tipo de ataque cedo em vez do gato. Ainda assim, talvez não seja bom subestimar o instinto dos animais de estimação

Leituras relacionadas

1 comentários

 
GN⁺ 2024-04-15
Comentários do Hacker News
  • É fácil ignorar a ameaça interna. Com um e-mail de ameaça gramaticalmente suspeito e exigência de resgate em bitcoin, não me ocorreu que o gato pudesse estar por trás do ataque
  • No Kansas quase não há terremotos, mas a única experiência de terremoto de que me lembro:
    • Um gato siamês me acordou arranhando meu rosto e depois sentou na beirada da cama rosnando (comportamento incomum)
    • 30 segundos depois, começou o tremor. Não sei como ele percebeu, mas foi impressionante. Ele se foi em 2020 e ainda faz falta
  • Talvez ele tenha percebido a tela piscando mesmo no modo silencioso
  • No meu primeiro emprego, um colega conseguia perceber no dashboard de monitoramento quando um incidente estava prestes a acontecer. Não sabia explicar exatamente o quê, mas sentia que algo estava estranho, e na maioria das vezes o alerta tocava logo depois
  • Um pedido de resgate absurdo de US$ 5.000. Quando sofri um ataque de DDoS em 2016, preparei bitcoin, mas decidi ignorar. Em vez disso, gastei muito mais com defesa contra DDoS, mas vale a pena não dar dinheiro a extorsionários
  • Pensei em tirar sarro dos ameaçadores, mas isso pode fazer você aparecer ainda mais no radar deles, então é arriscado. Não responder é a única solução
  • Um parente de alguém disse que o gato avisou sobre um vazamento na lava-louças. Era difícil concluir se o gato estava tentando salvar ou matar a pessoa
  • Talvez sejamos sensíveis a campos elétricos e magnéticos. Quando eu dormia em uma almofada térmica elétrica ou em um colchão magnético, no dia seguinte me sentia mal, e se eu passava muito tempo na frente de um monitor CRT, tinha diarreia. Depois que troquei por LCD ou notebook, os sintomas desapareceram. Se eu durmo com o roteador sem fio à direita e assisto YouTube no smartphone à esquerda, tenho sonhos estranhos e acordo cedo. Mas, se deixo o smartphone à direita, os sintomas diminuem
  • Suponho que o gato também tenha percebido algo sem som
  • Isso me lembrou o livro "O cão que sabe quando seus donos estão voltando para casa"
  • Achei que o alimentador do gato estivesse conectado ao alarme, mas é uma história fofa. Fiquei curioso para saber o nome do gato
  • Será que existe alguma forma de impedir completamente um ataque de DDoS? Em comparação com outras ameaças, é um tipo de ataque barato que pode ser feito só com scripts ou serviços, sem técnica ou conhecimento especial