English version below.
Hallo zusammen,
vor ca. 2 Wochen gab es einen Post auf Hacker News, in welchem ein DDoS der Betreiber von archive[.]today, auch auf diversen anderen Domains wie archive[.]ph oder archive[.]is vertreten, gemeldet wurde.
Der HN Post selber ist recht fragwürdig, wie man in den HN Kommentaren nachlesen kann, insbesondere hinsichtlich des Nutzernamens von dem das gepostet wurde, aber inhaltlich ist es zutreffend.
Der DDoS-Angriff wird als JavaScript Code im Browser von Besuchern der archive[.]today Webseiten ausgeführt. Effektiv werden damit die Geräte von Besuchern für den Cyberangriff missbraucht, was einen Block beim Ziel deutlich erschwert. Wer bewusst an einem Botnetz teilnimmt macht sich potentiell auch der Computersabotage nach § 303b StGB in Deutschland oder vergleichbaren Gesetzen schuldig.
Dies ist auch jetzt weiterhin der Fall, da beim Besuchen der CAPTCHA-Seite weiterhin JavaScript Code für den DDoS ausgeliefert wird, um die angegriffene Seite vielfach aufzurufen. Die meisten gängigen Content- und Werbeblocker wie uBlock Origin sollten dies standardmäßig rausfiltern, jedoch kann man nicht davon ausgehen, dass jede Person sowas nutzt, insbesondere auf Mobilgeräten.
Zunächst hat @eb@social.coop diesen Thread gepostet, mit zusätzlichen Details weiter unten im Thread. Konkret hier und hier.
Etwas später gab es eine weitere Meldung von @iampytest1@infosec.exchange, welcher auch zusätzlich die Betreiber per Email um eine Stellungnahme gebeten hat. Laut iam-py-test gab es eine Antwort, in welcher der Ausgang des Angriffs von archive[.]today zugegeben wird. Damit ist davon auszugehen dass es nicht nur ein Fall eines Kompromittierten Servers ist.
Da archive[.]today ein recht populärer Dienst zur Archivierung von Webseiten ist möchten wir nicht ohne Rücksprache mit der Community drastische Maßnahmen ergreifen. Wir haben in den letzten Tagen überlegt welche Maßnahmen wir hier ergreifen können und welche Auswirkungen diese haben werden:
- Hinterlegung der Domains in Lemmy’s URL-Filter
Für lokale Nutzer werden Inhalte mit Links zu den betroffenen Domains nicht mehr erstellbar sein bis der Link entfernt wurde.
Inhalte von Nutzern anderer Instanzen werden bei der Föderation direkt abgewiesen und sind bei uns überhaupt nicht erst sichtbar. Bei Inhalten in unseren Communities werden die Nutzer darüber auch nicht informiert, aus deren Sicht ist es nur ein Föderationsproblem, wodurch der Inhalt in der Regel nur auf der Instanz des Erstellers sichtbar bleibt. - Hinterlegung der Domains in Lemmy’s Beleidigungsfilter
Dieser Filter wertet nur Textinhalte aus, Direktlinks aus Posts zu Archivlinks (URL Feld bei der Erstellung von Posts) können hiermit nicht gefiltert werden.
Für lokale Nutzer werden entsprechende Inhalte nicht mehr erstellbar sein bis die Domain entfernt wurde.
Inhalte von Nutzern anderer Instanzen werden bei der Föderation zensiert, indem die betroffenen Stellen im Text durch*removed*ersetzt werden. Der Inhalt wird nur bei uns geändert, andere Instanzen ohne diese Konfiguration zeigen den ursprünglichen Inhalt an. - Entfernung von betroffenen Inhalten per AutoMod
Diese Option würde betroffene Inhalte im Modlog vermerken und würde uns auch die Möglichkeit geben weitere Logik anzubinden, wie eine PM an den betroffenen Nutzer zu senden, wenn der Inhalt in einer unserer Communities war. Für Communities von anderen Instanzen würden wir hier keine Benachrichtigungen einbauen.
Diese Maßnahmen würden sich nur auf neue Inhalte beziehen, wir haben aktuell nicht vor alte Posts und Kommentare zu entfernen o.ä.
Wir bitten hiermit um Kommentare mit euren Meinungen bis Sonntagnachmittag dazu, bevor wir auf Adminebene entscheiden wie wir letztendlich damit umgehen wollen. Primär wollen wir uns hier an Feedback von lokalen Nutzern orientieren, jedoch werden wir natürlich auch Kommentare von Nutzern anderer Instanzen berücksichtigen, da diese natürlich auch mit unseren Communities interagieren.
Zu archive[.]today gehören mindestens folgende Domains:
archive[.]todayarchive[.]isarchive[.]pharchive[.]foarchive[.]li
Hello everyone,
approximately 2 weeks ago someone reported a DDoS orchestrated by the operator of archive[.]today, also known from other domains like archive[.]ph or archive[.]is, on Hacker News.
The HN post itself is questionable, as you can see in the HN comments, especially concerning the poster’s name, but the content is accurate.
The DDoS attack runs as JavaScript code in the browser of visitors of archive[.]today websites. Effectively this abuses the devices and abuses the devices of visitors for the attack. Effectively this abuses the devices of visitors for the cyberattack, which makes it a lot more challenging to block on the recipient’s side. Someone knowingly participating in a botnet may also be guilty of Computer sabotage" according to § 303b StGB in Germany or similar laws.
This is currently still ongoing, as visiting the CAPTCHA sites still delivers JavaScript code for the DDoS, to access the targeted site many times. Most commonly used content and ad blockers like uBlock Origin should already be filtering this by default, but we can’t expect everyone to use them, especially on mobile devices.
Originally, @eb@social.coop posted about the attack in this thread with additional details further down the thread. Specifically here and here.
A bit later there was another report by @iampytest1@infosec.exchange, who also reached out to the operator by email, asking for a statement. According to iam-py-test he received a response, which admits the attacks to be originating from archive[.]today. Based on this we can assume that this is not just a case of a compromised server.
As archive[.]today is a rather popular service for archival of websites we don’t want to implement drastic measures against this without community feedback. In the last days we’ve considered which actions we could take and what their impacts will be:
- Adding the domains to Lemmy’s URL filter
For local users, content linking to affected domains cannot be posted anymore until the link is removed.
Content from users on other instances will be dropped as it’s received through federation and will never appear on our instance. For content in our communities users will also not be informed, for them it will look like just a federation issue, which will typically result in the content only being visible on the instance of the creator. - Adding the domains to Lemmy’s slur filter
This filter only evaluates text content, direct links from posts to archive urls (URL field when creating a post) cannot be filtered with this.
Local users won’t be able to post affected content until the domain has been removed.
Content from users on other instances will be censured as it’s being processed by federation by replacing affected sections in the text with*removed*. Content will only be changed on our instance, other instances without this configuration will still show the original content. - Removal of affected content via AutoMod
This option would log affected content in modlog and would also allow us to implement additional logic, like sending a pm to users being moderated within one of our local communities. We would not notify users about content in communities on other instances.
These measures would only affect new content, we are not planning to remove or otherwise change old posts or comments.
Please comment your opinions on this until Sunday afternoon (CET), before we’ll make the final decision on admin level on how we will deal with this. Primarily we want to base our decision on the feedback from local users, but we’ll of course also consider comments from users on other instances, as they are also participating in our communities.
At least the following domains belong to archive[.]today:
archive[.]todayarchive[.]isarchive[.]pharchive[.]foarchive[.]li
Für mich ist prinzipiell alles okay, was Schaden von feddit und Dritten abhält.
Ich möchte ergänzend darauf hinweisen, dass es sinnvoll wäre, die systemimmanente Einladung zur Nutzung von archiv.-Links zu entfernen, die beim Erstellen von Beiträgen aktuell immer noch erscheint:
Desweiteren fände ich wünschenswert, wenn der Sachverhalt für IT-Laien runter gebrochen in einem Beitrag in DACH angepinnt vermittelt werden könnte; quasi als Dienstmeldung respektive Warnung an alle. Dass es Bedarf gibt, zeigen ja die hier von surprised pikachu präsentierten Zahlen, wonach archive-Links hier täglich mehrfach aufschlagen.
danke für den hinweis, das lässt sich leider nicht so einfach abstellen. ich habe dafür jetzt ein issue im lemmy-ui repo angelegt: https://github.com/LemmyNet/lemmy-ui/issues/3825
Als Nutzer einer anderen Instanz wäre für mich wohl Nr. 3 am wünschenswertesten. Auch wenn der Automod sich nicht meldet hat man als Nutzer zumindest die Chance im Modlog nachzuvollziehen was mit dem eigenen Beitrag passiert ist. Bei allen anderen Optionen steht man wenn ich es richtig verstehe dann ja komplett ohne Hinweis da.
Ich selber rufe nix auf ohne uBO. Kann mir als Laien mal wer erklären was da abläuft und vor allem gegen wen sich der DDOS derzeit richtet?
Ein kleiner Blog welcher einen Beitrag über die Archive.is etc. veröffentlicht hat.
Mit einem aktiven Aufruf der verschiedenen Archive Seiten (ohne unlock) trägst du zu 3 Requests/Sec auf den Blog bei:
setInterval(function() { fetch("https://gyrovague.com/?s" + Math.round(new Date().getTime() % 10000000), { referrerPolicy: "no-referrer", mode: "no-cors" }); }, 300);Was hat es mit der angegriffenen Seite so auf sich, gibts schon etwas zum Motiv des Täters?
deleted by creator
deleted by creator
Wenn die Seite wirklich bößartig ist, sollten auf jeden Fall keine Links darauf führen. Sowohl neue, als auch bestehende Links sollten entfernt werden. Den Client als DDoS-bot zu missbrauchen ist schon schlimm genug, aber wer weiß wie lange es dauert bis tatsächlich persistente Malware verteilt wird… Option 3 ist m.E. am sinnvollsten, weil der Benutzer eine konkrete Info erhält.
If the site is truly malicous, it should absolutely not be linked to. Both new as well as existing links should be purged. Using the visiting client as DDoS-bot is bad in its own right, but it’s just a matter of time until visitors might get infected with persistant malware. Option 3 seems to be the most reasonable, as the user will get an information why the site is malicous.
Option 3 und bei alten Posts automod kommi der die Sache erklärt.
Des weiter finde ich es schon scheiße, dass man jetzt die Wahl hat zwischen illegalen pay-or-ok, Buggy freemium Modellen, 728 Partnern, Preisen die man nicht verantworten kann wenn man mehr als eine Quelle im Leben haben möchte, russischen DDoS honigtöpfen und einem Internet Archive welches derartig Kapazitätsmäßig ausgelastet ist dass man es nicht verwenden soll um Artikel zu lesen.
Da wär ich fast fine damit archive.ph mit uBlock aufm Desktop und Mobil zu nutzen auch wenn die Russen dann evtl Statistik bekommen dass ich Demokrat bin. So einfach ist es aber natürlich nicht.
Ich muss auch sagen dass ich den Blog-Post https://gyrovague.com/2023/08/05/archive-today-on-the-trail-of-the-mysterious-guerrilla-archivist-of-the-internet/ nicht in Ordnung finde. Da wird eine Person gedoxxt die einen Service für die Allgemeinheit anbietet, die höchstwahrscheinlich anonym bleiben wollte, und wir wissen ja wie gefährlich es ist als wirksamer Aktivist nicht anonym zu sein. Das ganze ist ja immerhin nicht gerade ganz legal.
wir unterstützen absolut kein doxxing, aber das entschuldigt lange nicht den missbrauch von besuchern für cyberangriffe.
Alte Weisheit im Internet: Wenn etwas nicht kostet, bist du die Ware. Archive[.]today war da einfach zu nett.
FOSS? Fediverse?
Leben auch von Spenden. Du bist nicht verpflichtet, etwas beizusteuern, und wenn es nur deine Zeit ist, aber wenn es keiner macht, wird es sterben.
Safe, ich denke halt wirklich weil die praktisch damit abrufzahlen über die gesamte Text-Medien Landschaft extrapolieren können. Gesellschaftlichr Insight die so nicht mal unsere eigene Regierung hat, bestimmt gut wenn man seit spätestens 2014 hybriden Krieg führt.
Mal unabhängig davon, wie es ausgeht: was wäre denn eine Alternative für Archivlinks?
archive.org ist seriös https://de.wikipedia.org/wiki/Internet_Archive
Umgeht nur Paywalls leider nicht so schön.
Ich sehe archive[.]today schon lange kritisch, wie aus meinem Profil ersichtlich wird und ich auch gepfostet habe.
Von solch konkreten Bedenken (javascript von mail[.]ru) abgesehen, es ist ein typischer Fall von Zu Gut Um Wahr Zu Sein. Die Betreiber scheinen wohl ziemlich viel Geld für Resourcen ausgeben, seit vielen Jahren, für etwas das umsonst ist? Erinnert mich daran wie 2007 Gmail der heisseste Scheiss war (keine Werbung! Umsonst! Speicherplatz!) und wir wissen ja alle wo das letztenendes hingeführt hat.
Ich sehe meine Bedenken also bestätigt, und bin für die strengstmögliche Lösung die aber andere Instanzen nicht ausschliesst.
BTW was den Vorwurf des Doxxens betrifft:
Joni Patakallio hat “lediglich” alles zusammengetragen was im Netz zu archive[.]today etc. zu finden war und hat aus dem Usernamen masharabinovitch geschlossen dass es sich wohl um eine(n) Masha Rabinovitch handelt.
Weiter, und ich zitiere iam-py-test:
Jani Patokallio isn’t the only person to try and uncover the ownership of archive.today, nor even the most recent or most aggressive. Though the other people who have attempted it maybe aren’t as easy targets. Especially given that list includes the US FBI, which doesn’t take kindly to being DDoSed.
Gibt es ne Möglichkeit, die Links als Beitrag zu sperren und, wenn sie in einem Textfeld gepostet werden, dass sie zu einer sicheren Variante ala archive[.] today umgewandelt werden?
Dazu sollte eventuell bei jedem solchen Link eine Warnung automatisch gepostet werden, wenn es dazu nen fähigen bot gibt.
Ansonsten #3
Auch unabhängig von der aktuellen Problematik haben Archiv-Links aus meiner Sicht nichts im URL-Feld verloren, weil die Original-Quelle nicht transparent in der URL beziehungsweise in der Vorschau (Titel, Thumbnail & Zusammenfassung) erkennbar ist und Diskussionen nicht so einfach zusammengeführt werden können, wenn jemand anderes den gleichen Link postet.
Ich bin zwiegespalten:
- Es ist natürlich völlig nicht ok, wenn hier Links gepostet werden, die User zum Teil eines DDOS machen
- Das hat höchstwahrscheinlich auch eine rechtliche Komponente. Keine Ahnung, wie das in Österreich ist, aber als geDDOSte Seite dürfte es in Deutschland ein recht klarer Fall sein.
- Das dürfte theoretisch auch grundsätzlich für diese Umgehungslinks gelten. Ich warte eigentlich nur drauf, dass ein Medienunternehmen seine Anwälte losschickt und die Umgehung der Paywall abmahnen lässt. Vllt. nicht hier, aber bei Reddit in /r/de wird das ja sogar per Bot erzwungen und/oder die Leute posten den Volltext als Kommentar und das in einem der größten deutschen Foren, welches definitiv den Medienunternehmen bekannt ist
- Aber, ganz großes Aber: Diese Archiv-Links sind in Paywall-Zeiten leider eine kritische Infrastruktur und leider, leider nötig. Natürlich wird hier keiner ein Abo der Neuen Osnabrücker Zeitung abschließen, nur um einen eingereichten Artikel zu lesen. Paywalls knallen auch unterschiedlich rein, nach Zeit, Abrufen, gelesenen Artikeln pro Monat, Geoposition. Das führt dann am Ende dazu, dass es keine Kommentare gibt, dass wieder nur die Überschrift kommentiert wird oder dass die Kommentare aus diesem höchst nervigen Paywall-Gemotze bestehen
Option 3 scheint mir für die Nutzer am transparentesten zu sein, daher würde ich dafür stimmen. Ich bin aber noch nie mit dem URL-Filter oder Beleidigungsfilter in Berührung bekommen, bekommen Nutzer denn irgendein Feedback, wenn sie etwas posten/kommentieren, bei dem diese Filter greifen? Also z.B. “diese Domain ist auf unserer Blacklist”?
Eigentlich ist Option 3 auch nicht transparent, da Nutzer ja auch nicht benachrichtig werden, wenn ihre Kommentare oder Posts wegmoderiert werden, aber das wird wenigstens dokumentiert.
Ich finde 1) blöd. Interessante und/oder wichtige Inhalte prallen damit an der feddit-Firewall (ich nenn’s mal so) ab, ohne dass irgendjemand weiß, warum. Möglicherweise weiß der Ersteller des Posts auch gar nichts von der Kontroverse um
archive.ph.2) finde ich nicht treffsicher genug. Durch direkte Links nach
archive.phwird weiterhin geDOSt.3) scheint mir die beste Lösung zu sein. Der Programmieraufwand sollte sich in Grenzen halten (denke ich) und es wäre das zielgenaueste Instrument.
4) Ich würde auch alte Inhalte bereinigen. Was spricht dagegen?
ich mache ungern unwiderrufliche änderungen rückwirkend direkt in der datenbank, insbesondere über größere datenmengen.
aktuell haben wir z.b.
- 23,907 posts in denen eine der domains in der beschreibung vorkommt
- 15,680 posts in deren links eine der domains vorkommt
- 6,306 kommentare in denen eine der domains vorkommt
ich gehe dabei auch davon aus dass die älteren inhalte im laufe der zeit an bedeutung verlieren.
stimmt zwar. Ich finde, wenn das Problem so wichtig ist, dass man in Erwägung zieht es programmatisch zu lösen, sollten auch alte Beiträge bereinigt werden. Die werden zwar höchstwahrscheinlich nur noch sehr selten aufgerufen, aber da macht es die Menge.
Du musst sie ja nicht löschen. Ersetze einfach
archive.ph/linkdurcharchive[.]ph/linkund füge ganz ans Ende des Beitrags den Satz hinzu: „\n\nThe archive.ph link was automatically removed. See <Link zu einem Erklärungspost>“ich habe auch schon darüber nachgedacht evtl in lemmy nen filter einzubauen der das nur in der repräsentation die wieder ausgegeben wird ändert, evtl. auf ne warnungsseite die erst nach bestätigung weiterleitet, aber zum einen ist das nicht so toll zu maintainen (evtl wird das mit dem lemmy 1.0 pluginsystem besser), und zum anderen wäre ich vermutlich der einzige im team der das maintainen könnte, was auch nicht ideal wäre. das hätte aber immerhin den vorteil dass die ursprünglichen daten nicht verändert würden.
tl;dr: Option 1.
Warum? Zu dem Problem gibt es mehrere Perspektiven.
Meine persönliche lässt sich mit “NYPA” ganz gut zusammenfassen. Ich will nicht für einen Kleinkrieg zwischen zwei Institutionen benutzt werden - schon gar nicht, ohne mein Einverständnis. Seitdem ich also über die Problematik bescheid weiß, besuche ich keine der genannten archive.[*] URLs oder teile Content darüber.
Aus dieser Perspektive kann ich argumentieren, dass ich selber entscheiden kann, ob ich auf eine der URLs draufklicke. Option 4 “Keine Maßnahmen ergreifen” fehlt nur leider in der Liste.
Das ist auch verständlich, da es noch die Community-Perspektive gibt. Als Admin und Mod hat man Verantwortung für seine Schäfchen und sollte auch individuelle Entscheidungen vorwegnehmen. Orientiert man sich an (eine der vielen Versionen) der Netiquette erkennt man ganz klar Verstöße gegen die Einhaltung von technischen Standards und erwünschten, zwischenmenschlichem Verhalten. Vor dem Hintergrund der Schwere des Verstoß halte ich es für angebracht, sämtliche neuen Beiträge zu mit Referenzen zu archive.[*] zu verbieten. Hier käme also nur Option 1 in Betracht.
Gemäß der Spock’schen Regel (The lives of the many outweigh the lives of the few) lande ich am Ende meiner Argumentation also bei Option 1.
Warum nicht Option 2? Option 1 erscheint mir kalkulierbarer - auch für andere Instanzen.
Warum nicht Option 3? Man sollte das Zeug erst gar nicht reinlassen. Wenn man es vor dem Posten filtern kann - warum nicht?
Wenn ich das richtig verstanden habe, bezrifft Option 1 nur das URL-Feld und Option 2 nur das Textfeld, es erscheint mir also sinnvoll, beide Optionen zu kombinieren.
Option 1 betrifft auch Links in Texten, sofern diese als Links erkannt werden. Sowas wie https://archive.org/ z.B.
Du hast recht - das habe ich übersehen.
Allerdings muss man da auch aufpassen, nicht ganze diskussionen über dieses Thema zu ersticken mit einem zu scharfen Filter.
Ich bin für 2. oder 3. und hasse es, dass es noch schwieriger wird, wichtigen Inhalt zu konservieren.
Ich tendiere zu 2.
Was machen wir, wenn er eine neue Archiv url aufsetzt, weil die alten “verbrannt” sind?Edit: kann man eine sprechende Fehlermeldung ausgeben, wenn die Erstellung lokal geblockt wurde?
die liste lässt sich problemlos anpassen
Würden wir es überhaupt mitbekommen, oder ist jetzt jede archive.xxx verdächtig?
wir würden nur bestätigte Domains blocken. Die sind ja einfach zu erkennen wenn man sie anguckt. Neue Domains müssten vermutlich erst von jemandem gemeldet werden.
zum edit: leider können wir die genaue fehlermeldung nicht anpassen.
die fehlermeldungen an der stelle sind:
- URL is blocked on this instance
- Text contains a slur which is blocked by this instance
Dann würde ich in der / den Seitenleisten darauf hinweisen. Das verhindert Frust
