"Web bozuldu" - Ya cihazım başkalarına saldıran bir botnet’in parçası olursa? Yapay zeka taraması ve gizli proxy ekosistemi

 (jan.wildeboer.net)
8 puan yazan GN⁺ 2025-04-20 | 1 yorum | WhatsApp'ta paylaş
  • Bazı yapay zeka şirketleri, veri toplamak için uygulamalara 'botnetleştirilmiş P2P proxy SDK'ları gömüyor ve kullanıcılar farkında olmadan bu şirketlerin web tarama altyapısına dahil ediliyor
  • Bu SDK, kullanıcının ağ bant genişliğinin bir kısmını (120~150kbps) izinsiz biçimde 'satarak' geliştiriciye gelir sağlıyor (kişi başına 18 sent) ve tarama, posta sunucusu brute-force gibi anormal faaliyetler yürütüyor
  • Bu botnet, tespitten kaçınmak için on binlerce konut tipi/mobil IP kullanıyor; IP başına günde yalnızca bir kez saldırı deneyerek fail2ban gibi güvenlik sistemlerini aşıyor
  • Temsilî örnekler arasında Infatica SDK gibi çözümler var; bunu içeren uygulamaların geliştiricileri fiilen kullanıcıları botnet’e bulaştırmış oluyor
  • 'Konut tipi proxy (residential proxy)' pazarı, yapay zeka tarama talebiyle hızla büyüyor ve bu fiilen yetkisiz bir tarama altyapısı anlamına geliyor
  • Bu botnet yapısı, yeni tür bir gizli siber saldırı biçimi ve uygulama geliştiricileri bu ekosisteme katılıyor
  • Yazar, web taramasının kendisini 'web’in temelini hedef alan bir eylem' olarak tanımlıyor; geliştiriciler ile platform şirketlerinin sorumluluk almasını ve tüm taramanın engellenmesini savunuyor

Gizli botnet, gerçekte ne: Botnet Part 1

Kişisel posta sunucusuna yönelik botnet saldırısı

  • Yazarın posta sunucusu sürekli SMTP brute-force saldırısı alıyor
  • Saldırının amacı: hesabı ele geçirip spam e-posta göndermek
  • Çoğu başarısız oluyor ama girişimlerin kendisi sürekli ve inatçı

Botnet’in gerçek yüzü: SDK üzerinden cihaz enfeksiyonu

  • Uygulama geliştiricilerine SDK ekleme karşılığında para ödeniyor
    • Örnek: kullanıcı başına aylık 18 sent
  • Bu SDK, kullanıcının trafiğinin bir bölümünü (120~150kbps) kiralıyor
  • "P2P proxy" veya "residential proxy" diye paketleniyor, ama gerçekte kullanıcının cihazını bir botnet düğümü olarak kullanıyor

Saldırı yöntemi: Tespitten kaçınan dağıtık saldırı

  • Günde IP başına yalnızca bir giriş denemesifail2ban, UFW gibi otomatik tespit sistemlerini atlatıyor
  • Ama on binlerce IP’ye sahip olduğu için saldırıyı sürekli ve dağıtık biçimde yürütüyor
  • Yazar, bu yaklaşımın standart güvenlik araçlarını etkisizleştirdiğini belirtiyor

ASN tabanlı engellemenin verimsizliği

  • IP’lerin belirli telekom operatörlerinde (ASN) yoğunlaşıp yoğunlaşmadığı incelenmiş
    • Sonuç: ASN başına ortalama 4’ten az saldırı IP’si → ASN’in tamamını engellemek etkili değil
  • Şu anda yöntem şu: günlük log analizi → yeni IP’leri engelleme komutlarını e-postayla gönderme → manuel engelleme

Savunma yaklaşımı ve felsefesi

  • Otomasyon mümkün olsa da, bizzat görüp müdahale ederek kalıpları anlamayı ve gözetim farkındalığını korumayı tercih ediyor
  • Saldırgan IP sayısı: şu anda yaklaşık 50 binden fazla engellenmiş durumda
  • Çoğu IPv4; IPv6 saldırıları ise hâlâ nadir

Botnet ekosisteminin gerçeği

  • "SDK ekle → gelir paylaş" şeklinde, yasal görünümlü bir dağıtım yapısı
  • Gerçekte ise kullanıcı trafiği rıza olmadan spam, saldırı, tarama vb. için kullanılıyor
  • Bu tür botnet’ler genel antivirüs veya güvenlik sistemleri tarafından tespit edilmiyor

Sonuç

  • Uygulama geliştiricileri bu tür SDK’ları eklediğinde, fiilen botnet üretimine ortak olmuş oluyor
  • Sıradan kullanıcılar bu tür SDK’ların eklenip eklenmediğini bilemez ve otomatik olarak botnet’e katılmış olur
  • Yazar, bu sorundan hareketle web ekosisteminin çöküşü konusunda uyarıyor

"Bunun 'normal bir SDK' olduğunu iddia eden şirketlere hiç güvenmiyorum. Bu bir botnet."
— Jan Wildeboer, Şubat 2025

# Web bozuldu: Botnet Part 2

Web tarayıcılarının patlaması ve arka planı

  • Son dönemde yapay zeka modeli eğitimi için büyük ölçekli veri toplama talebi arttı
  • Yapay zeka şirketleri sessizce web’deki tüm içeriği çekip alıyor ve trafik yüklenmesine yol açıyor
  • Sıradan webmaster’lar ve sunucu yöneticileri tarayıcılardan bıkmış durumda, ancak çoğu zaman bu tarayıcıları kimin işlettiğini bilmiyorlar

Botnet’in yeni biçimi: SDK üzerinden kullanıcı enfeksiyonu

  • Bazı şirketler, uygulama geliştiricilerine 'SDK ekleme karşılığı' para ödüyor
  • Bu SDK’yı içeren uygulamaları kuran sıradan kullanıcılar farkında olmadan trafiklerinin yapay zeka tarayıcıları için kullanılmasına maruz kalıyor
  • Bu tür SDK’lar iOS, Android, MacOS, Windows uygulamalarına gömülebiliyor

Temsilî örnek: Infatica

  • Web sitesi: https://infatica.io
  • Geliştiricilere yönelik tanıtım sayfasında, kullanıcı ağları üzerinden tarama yapılabileceği anlatılıyor
  • Milyonlarca dönen (residential/mobile) IP sunduğunu iddia ediyor

Bu neden sorun?

  • Infatica gibi şirketler, müşterilerinin (tarama amaçlı yapay zeka şirketleri vb.) hangi komutları çalıştırdığını izlediklerini iddia etseler de, pratikte bu bir sorumluluktan kaçış yapısı
  • Trend Micro’nun 2023 raporunda da benzer örnekler doğrulanmıştı
  • Bazıları SDK’yı ücretsiz yazılımlara gizlice gömüp dağıtıyor ve bunu kullanıcı rızası olmadan kuruyor

Zarar: hem bireysel kullanıcıya hem küçük sunuculara

  • Uygulama geliştiricileri: para cazibesine kapılıp SDK ekliyor → fiilen kötü amaçlı yazılım dağıtıcısı oluyor
  • Kullanıcılar: cihazları ve ağları web tarama ve DDoS için kullanılıyor
  • Sunucu işletmecileri: farkında olmadan aşırı isteğe maruz kalan hedef hâline geliyor
    • Örnek: yazarın Forgejo örneği de aşırı bot trafiği nedeniyle özel moda alınmış

'Konut tipi proxy' ambalajı

  • Kullanıcı cihazlarını çıkış noktası olarak kullanan proxy’lere "residential IP" deniyor
  • Proxy hizmeti inceleme sitesi örneği:
    https://proxyway.com/reviews
  • Yüzeyde 'meşru altyapı' gibi görünse de, gerçekte izinsiz yayılma ve proxy’leştirme yapısı

Sonuç: web tarama artık istismar düzeyinde

  • Yazar, web taramanın her türünün kötü niyetli eylem sayılması gerektiğini savunuyor
  • Web tarayıcılarının web’in temelini hedef aldığını düşünüyor
  • Yapay zeka bu yapının temel itici gücü ve bunun ‘meşru’ olduğu iddiasına sert biçimde karşı çıkıyor

Öneriler ve sorun bilinci

  • SDK içeren uygulamaların geliştiricileri sorumlu tutulmalı
  • Apple, Google, Microsoft gibi platform işletmecileri bu pazarı yaptırımla karşılamalı
  • Sıradan kullanıcıların bunu tespit etmesi veya engellemesi neredeyse imkânsız
  • Web işletmecileri tarayıcıları teknik olarak engellemeye çalışsa da bunun sınırları var

“Yapay zeka sayesinde web artık güvenilebilir bir alan olmaktan çıkıyor. Teşekkürler, yapay zeka.”
– Jan Wildeboer, Nisan 2025

İlgili okumalar

1 yorum

 
GN⁺ 2025-04-20
Hacker News görüşleri

  • Uygulama geliştiricilerinin gelir için 3rd party SDK eklemesi sorunun bir parçası ve kullanıcıya kötü amaçlı yazılım sundukları için sorumluluk taşımaları gerektiğini düşünüyorum

    • Birçok SDK'nın bu tür sorunlara sahip olduğundan şüpheleniyorum
    • Kişisel olarak bağımlılık takıntısından kaçınmayı ve kendim geliştirmeyi tercih ediyorum
    • Kötü niyetli aktörler, modern geliştiricilerin bağımlılık takıntısını kullanarak tuzak kuruyor

  • iOS, Android, MacOS ve Windows'ta, uygulama geliştiricilere kullanıcı ağ bant genişliğini satmak için kütüphane eklettiren bir pazar var

    • Bu, Cloudflare ve Google'ın neden CAPTCHA istediğiyle bağlantılı
    • Play Protect, MS Defender ve Apple'ın antivirüsünün bu tür kötü amaçlı yazılımları tespit etmemesini anlamıyorum
    • Bir SDK kütüphanesinin kullanıcının cihazını bir botnetin parçası haline getirmesi, Truva atının açık bir örneği

  • Web'in sorunu, verilerin okunabilir kalması için belirli sistem yöneticilerinin sunucuları ayakta tutmak zorunda olması

    • İçerik adresleme modeli kullanılırsa tekillik kısıtları kaldırılabilir
    • Yapay zeka scraper'ları verileri kendi aralarında paylaşabilir ve orijinal kaynağa yük bindirmez

  • Ağ paylaşım yazılımları istenmeyen uygulama olarak sınıflandırılmalı

    • Kullanıcının yüklemek istediği şeyle birlikte kurulup kaynakları kötüye kullanıyor
    • Şüpheli etkinliği doğrulamak için Wireshark kullanmak isterim
    • Bu şekilde davranan uygulamalar için herkese açık bir depoya ihtiyaç var

  • Kötü amaçlı yazılım içeren uygulamalar derhal karantinaya alınmalı

    • Doğrudan zarar vermese bile bu yine de kötü amaçlı yazılımdır

  • Web scraping istismar olarak görülmeli ve web sunucuları bunu engellemeli

    • YouTube gibi platformlar muhtemelen buna katılır

  • Bu tür kütüphaneleri kullanan yazılımların bir listesini derleyen biri olup olmadığını merak ediyorum

    • Kaçınılması gereken uygulamaları bilmek iyi olurdu

  • Konut tipi IP proxy'lerinin, IP adreslerinin sık sık değişmesi gibi bir zayıflığı var

    • Aynı proxy sağlayıcısından gelen IP'ler kolayca tespit edilebilir
    • Açık kaynaklı bir sahtekarlık önleme platformu geliştiriyorum ve konut tipi proxy'lerden gelen sahte kullanıcıları tespit etmek kullanım senaryolarından biri

  • Şu ana kadar net bir kanıt yok, ancak bu davranış kolayca tespit edilebilir

    • iOS'ta uygulamaların bağlantılarını incelemeye yarayan özellikler var
    • Android'de böyle bir özellik yok ama pcapdroid gibi üçüncü taraf güvenlik duvarları kullanılabilir
    • MacOS'ta Little Snitch, Windows'ta Fort Firewall kullanılabilir
    • Bu uygulamaları kullanan çok kişi yok ama cihazlarını botnet olarak kullanan uygulamaları bildirme olasılıkları yüksek

  • Pihole vb.'ye eklenebilecek bir c&c sunucusu listesi olup olmadığını merak ediyorum