FSE FBI ile Karşılaşıyor

 (blog.freespeechextremist.com)
1 puan yazan GN⁺ 2025-06-10 | 1 yorum | WhatsApp'ta paylaş
  • FSE (Freespeech Extremist) sunucusu, ABD Federal Soruşturma Bürosu'nun (FBI) veri toplama hedefi haline gelme deneyimini paylaşıyor
  • FBI, özel şirketlere (SocialGist vb.) ödeme yaparak çeşitli forumlar ve Fediverse verilerini büyük ölçekte scrape ediyor; bunları içerik analizi, anahtar kelime tabanlı sınıflandırma ve duygu analizi için kullanıyor
  • Sunucu işletimi sırasında kötü niyetli kullanıcı tespiti, trafik analizi ve iz sürme bilgisi, ayrıca veri zehirleme ya da dolaylı crawling girişimlerine karşı edinilen deneyimler anlatılıyor
  • BoardReader gibi veri toplama şirketleri agresif crawling ve proxy üzerinden dolanma yöntemleriyle sunucuyu sürekli taradı ve FBI veri bağlantıları da ortaya çıktı
  • Bu vaka üzerinden Fediverse sunucu yöneticileri ve IT sektörü için veri güvenliği, gözlem ve müdahale kabiliyetini artırma gereği vurgulanıyor

FSE FBI ile Karşılaşıyor

Pete, 6 Nisan 2025

Genel bakış ve olayın gelişimi

  • FSE (Freespeech Extremist) yöneticisi, sunucunun UGC'si, crawler'lar ve federal soruşturma kurumlarının veri toplaması etrafında yaşadığı sıra dışı deneyimi paylaşıyor
  • FBI ile gerçek temas noktaları ve verilerin nasıl scrape edilerek gerçekten kolluk kuvvetlerinin iç sistemlerine ve Facebook tabanlı bir organizasyon arayüzüne aktarıldığı inceleniyor
  • Metnin ana odağı sunucu log analizi, kötü niyetli kullanıcılarla başa çıkma, trafik anormalliği tespit yöntemleri ile veri scraping şirketlerinin dolaylı erişim yöntemleri ve bunların kolluk kuvvetleriyle bağlantıları

Olayın kökü – yasa dışı içeriğin tehdidi

  • Fediverse içine çocuk cinsel istismarcılarının sızması, sunucunun varlığını tehdit eden en ciddi risk olarak görülüyor
  • FSE, ifade özgürlüğünü önemseyen bir yaklaşımla yönetilse de yasa dışı davranışlar ortaya çıktığında kapsamlı kayıt tutup aktif biçimde engelliyor ve ifşa ediyor
  • Diğer instance'ların yanlış blokları ve yanlış anlamalardan doğan bilgi çarpıtmasına, ayrıca verilerin dış istihbarat kurumlarına (ör. FBI) aktarılabildiği yapıya da dikkat çekiliyor

Teknik müdahale ve log analizi için hızlandırılmış kurs

Sunucu işletiminde anormallik belirtilerini teşhis etme

  • Sunucu yazılımının sınırlamaları, anormal trafik ve crawler/bot/scanner etkinliği nedeniyle açık sunucular her zaman “Weird” durumlara maruz kalıyor
  • Etkili müdahale için awk, tail -f, whois, tcpdump, traceroute, Shodan gibi metin ve ağ analizi araçlarını öğrenmek gerekiyor
  • Web sunucusu log formatını özelleştirme (TSV vb.), kaynak bazında yanıt süresi kaydı tutma ve aykırı değer tespitiyle gerçek zamanlı veri akışını anlama yöntemleri tanıtılıyor
  • Basit istatistiksel analizler (ortalama, standart sapma, aykırı değer uyarıları) kullanılarak DDoS, crawling gibi anormal durumlar tespit edilebiliyor

Deneyimle oluşan “skar dokusu” ve karşı önlemler

  • İlk dönemde sıradan spammer'lar ve otomatik kayıt sorunlarıyla karşılaşıldı
  • Toplu kayıtları önlemek için loglarla entegre e-posta, sesli bildirimler, nginx rate limit gibi hafif araçlar geliştirildi ve kullanıldı
  • CAPTCHA ve e-posta doğrulaması eklemek yerine asgari kişisel veri politikası ve elle parola sıfırlama yaklaşımı benimsendi
  • Çözümlerin çoğu doğrudan kendi içinde geliştirildi; böylece esneklik, hız ve hızlı müdahale kapasitesi sağlandı

BoardReader, FSE ve crawler tespiti

BoardReader'ın crawling süreci ve analizi

  • Daha önce bilinmeyen BoardReader adlı bir şirket, FSE verilerini forum gönderileri olarak algılayıp büyük ölçekli crawling yaptı
  • Crawler, çeşitli IP'ler, residential proxy'ler, Tor, farklı UA'lar, hatta Chrome oturum yeniden oynatımı gibi yöntemlerle engelleri aşmaya çalıştı
  • 429 (throttling), 401/403 (yetki/yasak) hataları verildiğinde daha da fazla istek tekrarlamaya çalıştı
  • Sonunda 402 (Payment Required) dâhil çeşitli yanıtlarla engelleme sürdürüldü; iletişim kurulmaya da çalışıldı ancak veri toplamaya dolaylı yollarla devam edildi
  • Crawler'ın kaçınma kalıpları belirlenirken SocialGist bağlantısı ve FBI ile ilişkili olabileceğine dair bulgular da ortaya çıktı

BoardReader ve SocialGist ile gerçek yazışmalar

  • Tekrarlanan crawling nedeniyle BoardReader ve SocialGist'e resmî olarak ulaşılıp, “crawling'in durdurulması ve info@boardreader.com adresinden yanıt verilmesi” talep edildi
  • SocialGist tarafı yalnızca biçimsel yanıtlar verdi; pratikte ise dolanmayı sürdürdü ve verdiği sözleri tutmadığı görüldü
  • Ek olarak geliştirici IP takibi (Sırbistan ISP'si, devtools.boardreader.com) yapıldı ve iç tarafta Fediverse mimarisi hakkında yönlendirme sağlandı

FBI'ın doğrudan müdahalesi

FBI temasının arka planı ve tespitler

  • Dave (SocialGist) ile yazışmalar sürerken, fbi.gov adresinden “Emergency Disclosure Request” başlıklı resmî bir e-posta alındı
  • FBI ajanı, “WitchKingOfAngmar” adlı kullanıcının kimlik bilgilerini talep etti ve gönderi ekran görüntülerini ekledi
  • İlgili gönderi aslında FSE'ye değil sneed.social altındaki bir gönderiye aitti; ancak crawler bunu FSE'ye aitmiş gibi veritabanına kaydettiği için yanlış yönlendirme oluştu
  • FBI ekran görüntüsünde forum tarzı listeleme, duygu analizi ve ilgili anahtar kelimelerin (kill blackrock, larry fink vb.) vurgulandığı görüldü
  • SocialGist Relay'in, BoardReader'ın veri mimarisindeki kusurların ve FBI'ın yapısal yanlış anlamasının, gerçekte Fediverse'ün dağıtık doğasıyla birleşen sistemik bir karışıklığa yol açtığı ortaya çıktı

FBI ile sonraki adımlar

  • FSE yöneticisi FBI'a, özgün gönderinin FSE'ye ait olmadığını açıkladı ve asıl göndericinin instance'ının doğrulanmasını istedi
  • FBI ajanının soruları durdu, doğrudan temas sona erdi; gönderi gizlendi ve acil müdahalenin ardından sunucu hizmetine erişim geçici olarak sınırlandırıldı
  • Aynı sırada BoardReader dolaylı crawling girişimlerini sürdürdü ancak engelleme devam etti; FBI ise ek yanıt vermeden süreci kapattı

Sonuç ve çıkarımlar

  • Bu vaka, scraping şirketleri, veri broker'ları ve devlet kurumları arasındaki veri bağlantısının fiilî durumunu somut biçimde gösteriyor
  • Dağıtık sosyal ağ (Fediverse) sunucu yöneticilerinin log analizi, anormal örüntü tespiti, hukuki karşılık verme ve otomatik engelleme araçları kurma konusunda yetkin olması gerektiği vurgulanıyor
  • Toplumsal ölçekte ise demokratik açık web sistemlerinin özel ya da devlet gözetim mekanizmaları tarafından kolayca emilip çarpıtılabileceği riskine işaret ediliyor
  • Son olarak, açık ağ tasarımı ile operatör topluluğu içinde bilgi paylaşımının etkili veri güvenliği savunmasının anahtarı olduğu vurgulanıyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-06-10
Hacker News yorumları

  • Fediblock'un olguları kontrol etmeden yanlış anlamalara yol açtığı yönünde eleştiriler vardı; ancak blog yazısında bağlantı verilen yerin aslında sadece defederasyon uygulanan, yani bağlantısı kesilmiş instance'ların bir listesi olduğu belirtildi. Fediblock'un zaten birkaç yıl önce kapanmış bir hizmet olduğu, resmi bir ölçüt değil yalnızca referans amaçlı bilgi sunduğu vurgulandı. Blog yazısının yazarının da aslında eski Fediblock içeriğini ararken onun yerine geçen bağlantıyı farkında olmadan kullanmış olabileceğine dair bir sezgi paylaşıldı.

    • Ben orta ölçekli bir Mastodon sunucusunun yöneticisiyim; bir kullanıcının bana ırkçı hakaretler etmesi ve yöneticilere bildirilmesine rağmen hiçbir işlem yapılmaması üzerine ilgili instance'ı engellediğim bir deneyimimi paylaştım. Bunun fediblock ya da topluluk mekanizmalarıyla hiçbir ilgisi olmayan bir karar olduğunu, kendi sunucu kullanıcılarını taciz eden trol davranışları sergileyen bir karşı instance ile ille de iletişim kurmak için bir neden olmadığını vurguladım. FSE'nin sanki birileri onları komplo kurarak engellemiş gibi anlatmasını ise komik buluyorum.
    • Fediblock hizmetinin gerçekten de Eylül 2023'te kapandığı ve haberde anılan olayların çoğunun bu kapanış tarihinden önce yaşandığına dikkat çekildi.

  • Bu yazının neden ilginç olduğunu analiz eden bir yorumda, önce CAPTCHA eklemenin gerçek kullanıcılara zarar verebileceği kaygısıyla başlayıp sonunda kayıtları ve zaman akışını herkese açtıktan sonra bir dizi sorun yüzünden kullanıcı deneyiminin daha da kötüleştiğini uzun uzun ve çıplak biçimde göstermesine dikkat çekildi. Topluluk alanlarını bizzat işletme işine asla girişmek istemediği sonucuna vardığını söyleyen kişisel bir içgörü de paylaşıldı.

  • Bu gönderinin cazibesi beş maddede özetlendi: 1) FBI'ın bilgi toplama/gözetim mekanizmalarını yurttaş bilimi tarzında çözümlemesi, 2) Fediverse içindeki küçük olaylar, 3) küçük sunucu yöneticisi bakış açısından pratik sistem işletim ipuçları, 4) birçok olayın merkezindeki torswats adlı kişi ve onun tutuklanmasına kadar uzanan ilgi çekici alt hikâye, 5) zeki ve akıcı yazım tarzı. Sonuç: 5 üzerinden 5 yıldız, mutlaka okunmalı.

    • Ben de bunun teknik ayrıntıları yerinde dozda kullanan harika bir yazı olduğunu düşünüyorum; Chaos Communication Congress gibi bir hacker konferansında sunulsa bile sırıtmayan bir düzeyde.
    • Bir başka yorum ise yazarın yazıda yanlış bir sonuca vardığını söyledi: FBI, şiddet tehdidi içeren bir kullanıcının ekran görüntülerini gönderip bilgi istemiş olmasına rağmen yazar bunu yalnızca blöf gibi değerlendirmişti. Yakın dönemde CEO cinayeti gibi gerçek şiddet olayları da düşünülünce riskin hafife alındığı belirtildi. FSE yöneticisinin federal soruşturmacıyla aktif biçimde konuşmuş olması sevindirici olsa da, tehdit ekran görüntülerine bakıp otomatik olarak zararsız sonucuna varmanın tehlikeli bir önyargı olduğu vurgulandı.

  • Yazıdan içtenlikle etkilendiğini söyleyen bir yorumcu, kendi tek ayrıntılı itirazının arama motorundaki "Negative" düğmesinin duygu analizi sonucu değil, arama sonucunun uygunsuz ya da başarısız olduğu anlamına geliyor olabileceği yönünde olduğunu söyledi. Bu senaryoda duygu analizinin kayda değer bir kullanım alanı olmadığını düşündüğünü paylaştı.

    • Buna katılmayanlar da vardı; "Negative" simgesinin kırmızı bir kafa biçiminde tasarlanmış olmasının, bunun uygunsuzluk işareti olmaktan çok dilsel olarak duygu analizine daha yakın durduğunu öne süren bir yorum yapıldı.

  • fediblock yüzünden FSE'nin yanlış bir izin politikasına sahip olduğu gibi bir yanlış anlama doğduğunu söyleyen bir yorumda, kaynak kodu kiwifarms'ta bulunan bir siteye atıf yapılmasından rahatsızlık dile getirildi. FSE'nin engellenme nedeninin çoğu kullanıcının "free speech" gruplarıyla iletişim kurmak istememesi olduğu da eklendi.

    • Buna karşılık, engellenme ile olgu denetimi arasında bir bağ varmış gibi görünmediği, hoşnutsuzluk ya da engellemenin mutlaka olgu kontrolüyle ilgili bir tartışma olmadığı yönünde itiraz geldi.

  • Scraping'e karşı savunma yöntemi için daha verimli teknik seçenekler olup olmadığı soruldu; örneğin IP veya alan adı düzeyinde gelen trafiği engellemek ya da Cloudflare gibi API uç noktalarını koruyan harici hizmetlerden yararlanmak önerildi. Ancak bu tür hizmetlerin maliyet yaratabileceği ve Free Speech Extremist gibi bir site için uygun olmayabileceği de belirtildi. Buna rağmen maliyet açısından bakıldığında kötü niyetli trafiği engellemenin tasarruf bile sağlayabileceği ileri sürüldü.

    • Bir yorumcu da kendisinin scraping yapan IP'leri engelleme komutunu sunucusunda uyguladığını, fakat çok geçmeden ABD içindeki yeni konut tipi IP'lerden, yani proxy'lerden denemeler gördüğünü anlattı.

  • FSE'de pedofili sorununun ortaya çıktığına dikkat çekildi; bunun Fediverse geneline özgü değil, Discord gibi yerlerde de görülebilen bir mesele olduğu eklendi.

    • Gerçek isim zorunluluğu olmayan ve fotoğraf yüklemeye izin veren hemen her çevrimiçi alanda benzer sorunların yaşanabileceği yönünde katılım geldi.
    • Signal ya da Telegram gibi anonim mesajlaşma platformlarında da aynı riskin bulunduğu belirtildi.

  • FSE'nin (Free Speech Extremist) neden "extremist" etiketiyle anılması gerektiği soruldu; ifade özgürlüğünü anayasal olarak koruyan bir ülkede neden ille de "aşırılıkçı" olarak görülmesi gerektiği sorgulandı.

    • Yazarın mizah anlayışı düşünüldüğünde bu ifadenin bir tür şaka sayılabileceği söylendi. Ayrıca ifade özgürlüğünün kapsamı ve sınırları konusunda ABD hukuk sistemi içinde de tartışmaların sürdüğü, FSE instance politikasının da "yasal olduğu sürece iğrenç ya da rahatsız edici sözleri ilke olarak kabul etmek" yaklaşımıyla yürütüldüğü analizi yapıldı. Yorumu yazan kişi bu ilkeye sempati duyduğunu ama gerçek hayatta tamamen uygulamaya cesaret edemeyeceğini dürüstçe söyledi. Buna karşılık federasyondaki diğer çoğu instance'ın katı kurallar ve engelleme listeleri kullandığı arka plan bilgisi verildi. İlgili bağlantı de paylaşıldı.
    • Böyle bir sorunun sorulmasının, FBI'ın anayasal yükümlülüklerinden kaçındığını ya da onları doğrudan ihlal ettiğini gösteren bir olay bağlamında daha da önemli hâle geldiği belirtildi.
    • "Extremist" sözcüğünün "radical" için aşağılayıcı bir ifade olduğu, tarihsel ve kültürel olarak tartışmalı pozisyonları kim benimserse benimsesin bu tür etiketlerin yapışmasının kaçınılmaz olduğu söylendi.
    • ABD Anayasası'ndaki hakların mutlak olmadığı ve mahkemelerin de açık sınırlar çizdiği için, pratikte bu sınırların ötesini savunan kişilerin karşıtları tarafından kolayca "aşırılıkçı" diye damgalandığı açıklandı.
    • Aşırılıkçıların her zaman bir değeri diğer tüm değerlerin önüne koyma eğiliminde olduğu; örneğin nefes almayı yemek yemekten ve su içmekten mutlak biçimde daha önemli görmek kısa vadede doğru olsa da orta ve uzun vadede sorun yaratır benzetmesiyle, farklı değerler arasında denge gerektiği anlatıldı.

  • Çevrimiçi bir alan işletmenin pratikte son derece yıpratıcı bir iş olduğu tek cümleyle özetlendi.