Precursor: Cloudflare’ın Tüm Oturum Boyunca Ajan Davranışını Tespit Eden Sistemi
(blog.cloudflare.com)- Oturum açma, kayıt ve ödeme gibi tekil doğrulama noktaları, gerçek tarayıcı ve JavaScript kullanan otomasyonu ayırt etmekte yetersiz kalmaya başlayınca Cloudflare, tüm kullanıcı yolculuğundaki davranış sinyallerini sürekli analiz eden Precursor’ı devreye aldı
- HTML yanıtlarına dinamik olarak oluşturulmuş hafif bir JavaScript ekleyerek işaretçi hareketi, klavye etkinliği, odak ve sayfa görünürlük durumunu topluyor; bunları edge değerlendirmesi ve mevcut bot savunma sistemine gerçek zamanlı yansıtıyor
- Bilek hareketi ve bilişsel gecikme, el titremesi, hız·yön·düzeltme ritmi; düz çizgide hareket, sabit hız veya aşırı hassasiyet gösteren otomasyonun tüm oturum boyunca kopyalaması zor olduğundan oturum bazlı ayrım için temel oluşturuyor
- Gerçek tuş girdileri yerine yalnızca zamanlama ve ritmi topluyor; davranış sinyallerini kullanıcı hesaplarına veya kalıcı profillere bağlamayan, müşteri panosunda doğrudan göstermeyen gizlilik korumalı bir tasarım uyguluyor
- Şu anda Enterprise Bot Management özelliği olarak dağıtılıyor; bu yılın sonunda GA olana kadar ücretsiz kullanılabiliyor ve uygulamada değişiklik yapmadan arka planda gözlem ya da doğrulanmamış oturumlara Challenge zorunlu kılma şeklinde çalıştırılabiliyor
Tekil doğrulama noktalarından tüm oturuma
- Bot savunması, saldırganın uyum sağlaması ile savunmacının yanıt vermesinin tekrarlandığı hasmane bir rekabettir; Cloudflare ağ genelindeki görünürlüğü ve istemci ortamından gelen sinyalleri birlikte kullanır
- Küresel ağında günde 1 trilyondan fazla isteği analiz ederek web’in %20’sinden fazlasını kapsayan bir alanda itibar, örüntüler ve anormallikleri belirler
- Cloudflare Turnstile, CAPTCHA alternatifinden, kullanıcı doğrulaması için gereken sürtünme düzeyini ayarlayan risk tabanlı yönetilen Challenge’a evrildi
- Turnstile, oturum açma, kayıt ve ödeme gibi hassas noktalarda günde yaklaşık 3 milyar kez çalıştırılıyor; ancak bu noktaların arasını da kapsayan tüm kullanıcı yolculuğunda insanların ve botların nasıl davrandığı yalnızca sınırlı ölçüde anlaşılabiliyordu
- Precursor, bu görünürlük boşluğunu kapatmak için web uygulaması genelinde istemci davranış sinyallerini sürekli toplar ve oturum bazında ayrım yapar
- Challenge tarafından sağlanan istemci tarafı tespiti tüm uygulamaya genişletir
- Turnstile’ı isteğe bağlı olarak tamamlar; her iki özellik de Enterprise Bot Management kapsamındadır
Kısa anlardan daha zor taklit edilen davranış sürekliliği
- Modern otomasyon JavaScript çalıştırabilir, gerçek tarayıcı ortamları kullanabilir ve tekil CAPTCHA’ları da geçebilir; bu nedenle kısa aralıklarda normal kullanıcı gibi görünebilir
- Tüm oturum boyunca tutarlı insan davranışını yeniden üretmek daha zordur; Precursor bu davranış sürekliliğini dolandırıcılık ve kötüye kullanım tespiti için sinyal olarak kullanır
- Her karara daha fazla sinyal ekleyerek insan ile otomasyonu ayırmadaki hassasiyeti artırır
- Agresif Challenge bağımlılığını azaltarak normal kullanıcılar için gereksiz kesintileri düşürür
- Bot geliştiricilerinin tüm oturumu taklit etmesi gerektiğinden otomasyon kurma ve sürdürme maliyeti artar, büyük ölçekli operasyonların güvenilirliği azalır
İnsan hataları ve fiziksel kısıtlar
- Bot geliştiricileri fare hareketlerine Gauss gürültüsü veya tekdüze rastgele gecikmeler ekler; ancak insan hareketlerinde basit gürültünün ötesinde fiziksel ve bilişsel kısıtlar vardır
- Bilek dönme ekseni: Bileğin hareket aralığı ve ön kolun dönüşü nedeniyle fare çoğu zaman yay biçiminde hareket eder
- Bilişsel yük: Bir onay kutusunu gördükten sonra tıklamaya kadar ölçülebilir bir gecikme oluşur
- El titremesi: Sabit duran bir elde bile fizyolojik el titremesi frekansına bağlı titreşim görülür
- Otomasyon düz çizgi enterpolasyonu veya matematiksel olarak ideal Bézier eğrileri kullanma ve insanların yeniden üretmesi zor bir hassasiyetle tıklama eğilimindedir
- Örnek otomasyon kütüphaneleri fareyi tamamen düz bir çizgide hareket ettirir, her zaman başlangıç noktasına döner ve aynı hızda tepki verir
- Buna karşılık insanlar aynı sitede bile düzensiz rotalar, küçük düzeltmeler ve hedefi aşmalar, hız·zamanlama·yön değişimleri gösterir
- Tekil etkileşimler makul görünse de tüm oturumda davranış örüntülerindeki farklar ortaya çıkar; Precursor etkileşimler devam ederken bu davranış imzalarını yakalayıp değerlendirir
İstemciye ekleme ve sinyal toplama
- Precursor etkinleştirildiğinde, Cloudflare ağından geçen sitelerin HTML yanıtlarına otomatik olarak hafif bir betik eklenir
- Ek yapılandırma, ayrı ağ bağlantısı veya üçüncü taraf gömme gerektirmez
- Paket küçüktür, obfuscate edilmiştir ve her yanıt için dinamik olarak birleştirilir
- Barındırılan web uygulamasının diğer sayfa mantığını bozmamak üzere tasarlanmıştır
- Betik, hafif event listener’larla işaretçi hareketi, klavye etkinliği, odak değişiklikleri ve sayfa görünürlük durumunu yakalar
- Olayları sıkıştırılmış biçimde serileştirerek bellekte tamponlar
- Tamponda biriken veriler düzenli olarak değerlendirme katmanına gönderilir
Edge değerlendirmesi ve çapraz doğrulama
- Edge sunucusu gelen Precursor payload’unu davranış girdisi olarak deseralize eder ve dispatcher aracılığıyla birden fazla değerlendirici (evaluator) çalıştırır
- Her değerlendirici gerekli Precursor akışını okuyabilir ve paylaşılan tespit kayıt sistemine sinyal kaydedebilir
- Tek bir olaya dayanmak yerine farklı verileri çapraz doğrular
- İşaretçi etkinliğinin sayfanın görünür olduğu süreyle örtüşüp örtüşmediğini kontrol eder
- Klavye olaylarının yalnızca metin alanı odaktayken gerçekleşip gerçekleşmediğine bakar
- Ardışık gelen bilgiler tekil tespit sinyallerinde birleştirilir ve tespit ağırlıklarını hesaplamak için kullanılır
Oturum birikimi ve sonraki tespit katmanları
- Precursor verileri oturum kapsamında biriktiği için, bot sayfayı yenilese veya yeni bir Challenge’dan yeniden başlasa bile davranış imzasını sıfırlayamaz
- Oturum meta verileri sonraki tespit katmanlarına da aktarılır
- Gölge mod heuristikleri ve oturum analizi
- Beklenen tamamlama ile gerçek tamamlamanın karşılaştırılması
- Oturum delinquency heuristikleri
- Edge’de gözlemlenen bilgiler tespiti iyileştirmek için kaydedilir ve oturumun bot skorunu ayarlamakta kullanılır
Gizlilik korumalı tasarım
- Event listener’lar, insan örüntüleri ile otomasyon ve kötüye kullanım örüntülerini ayırmak için gereken asgari bilgiyi toplar
- Klavye etkinliğinde gerçekten basılan tuşlar değil, yalnızca zamanlama ve ritim yakalanır
- Tekil davranışlardan çok toplu davranış örüntüleri değerlendirilir
- Davranış sinyalleri yalnızca Cloudflare’in bot tespit sistemi içinde kullanılır
- Müşteri panosunda doğrudan gösterilmez
- Kullanıcı hesapları, oturum açma kimliği veya kalıcı profillerle ilişkilendirilmez
- Bu sayede normal kullanıcılara uygulanan sürtünme azaltılırken davranış değerlendirmesi sürekli güncellenir
Oturum tabanlı Security Analytics
- Security Analytics’e, tekil istekler yerine tüm ziyaretçi yolculuğunu gösteren oturum tabanlı görünüm eklendi
- Panoda şu sorular araştırılabilir
- Sitedeki tipik bir oturum nasıl görünür
- Beklenen davranıştan sapılan noktalar nerelerdir
- Zaman içinde otomasyon belirtileri gösteren oturumlar hangileridir
- İstek bazlı analizle yakalanması zor olan istekler arasındaki davranış da analiz kapsamına girer
- Precursor verileri mevcut bot skoruna, Challenge kararlarına ve güvenlik kurallarına doğrudan aktarıldığı için eklenen oturum bağlamı mevcut savunma sisteminde hemen kullanılabilir
Gelecekteki genişleme ve etkinleştirme yöntemi
- Precursor, bot tespitini tüm uygulamaya genişletmek için bir temel oluşturur; Cloudflare şu alanları genişletmeyi sürdürmeyi planlıyor
- Güvenlikte kullanılan davranış sinyallerinin kapsamı ve derinliği
- Oturum düzeyi bilgilerin bot yönetimi korumalarını nasıl etkilediği
- Oturum verilerini görselleştirme ve bunlara göre aksiyon alma için yeni yöntemler
- Botlar geliştikçe tespitin de izole doğrulama noktalarından çıkıp tüm kullanıcı etkinliği akışını ele alması gerekir
- Şu anda Cloudflare panosunda bölge bazında Precursor etkinleştirilebilir ve bu yılın sonunda GA çıkışına kadar ücretsiz sunulur
- Oturum doğrulama yoğunluğu iki şekilde seçilebilir
- Düşük sürtünmeli modda davranış arka planda gözlemlenir
- Tamamen doğrulanmış oturum gerekiyorsa mevcut oturum olmadığında Challenge zorunlu kılınır
- Etkinleştirildiği anda mevcut bot savunması güçlenir ve uygulama değişikliği gerekmez
- Bot Management veya Turnstile zaten kullanılıyorsa tespit kapsamı mevcut Challenge noktalarının ötesine, oturumun geri kalanına ve koruma noktaları arasındaki etkinliklere genişler
1 yorum
Hacker News yorumları
Cloudflare'ın hem engelleme hem de izin verme tarafında botların hakemi haline gelmesi endişe verici görünüyor ve internetin geneli için de sağlıklı görünmüyor
Yaklaşık 20 yıldır reklamdan daha iyi bir içerik üreticisi ücretlendirme yöntemine ihtiyaç olduğundan yakınıyordum; bu bunun cevabı olabilir
Anthropic ve OpenAI'nin izinsiz alınmış içeriklerin üzerine kurulduğu yönündeki eleştiriler de sürüyordu; bu gerçeği görmezden gelip iki tarafı da aynı anda istemek mümkün değil
Kapsamın fazla geniş olduğunu mu, yoksa kimsenin benzer bir hizmet sunmadığını mı söylüyorsunuz; bu tür genel eleştirilerle bunu anlamak zor
Cloudflare'ın bir yandan ajan ürünleri satarken diğer yandan webdeki ajan kullanımını engelliyor gibi görünen bir hizmet çıkarması biraz tuhaf hissettiriyor
Fare hareketlerine ek olarak çok daha fazla sinyal kullanıyor olacaklardır, ancak dokunmatik ekranlar ya da ThinkPad TrackPoint gibi alışılmadık giriş aygıtlarında ayrım yapmak şimdiden zor olabilir
Erişilebilirlik amaçlı fare araçları kullananları bot sanmak ciddi bir sorun olur, ama bunlara istisna tanımak da ajan taraması için bir kaçış yolu haline gelebilir
Yine de ajan botların kötüye kullanımını ve spam'i azaltması açısından bu neredeyse kesin olarak iyi bir yön
İyi botların kullanacağı hizmetler sunarken kötü botları engellemeye yardımcı olabilirsiniz
Eğer botlar fare hareketlerini beceriksizce taklit ediyorsa bu güçlü bir anomali sinyali olur ve iyi botlar
robots.txtkurallarına uyar, bot olduklarını da gizlemez6 yıl önce hCaptcha tüm bunları zaten uygulamıştı
Yalnızca insanla botu ayırmakla kalmıyor, aynı kişinin birden fazla hesap açarken ya da birden fazla kredi kartını denerken sergilediği klavye ve fare davranışlarını da tespit ediyordu
Cloudflare 2020'de hCaptcha'ya geçtiğinde bu kötüye kullanım tespiti de dahildi ve 2022'de hCaptcha'dan ayrıldığında bunu zaten kendisinin uyguladığını sanıyordum
Sayfada erişilebilirlik için arama yapınca sonuç çıkmıyor; bu yüzden bu tür fare hareketi astrolojisinin görme engellileri ve yalnızca klavyeyle kullananları internetin önemli bir kısmından tamamen dışlayacağını düşünüyorum
Giriş yapıp anonimliğinden vazgeçersen, muhtemelen bot olmadığın varsayılacak
Bazı bölgelerde akıllı telefon olmadan uçuş check-in'i bile yapılamadığı için seyahatin kendisi imkânsız hale geliyor, ama çoğu kişi bunu normal karşılıyor
Ajan tespiti yeni oluşan bir alan ve gelecekte çok daha önemli olacak
İlgili ürünler arasında Foil(https://usefoil.com/), Kasada https://www.kasada.io/, DataDome(https://datadome.co/), Castle(https://castle.io/), Fingerprint(https://fingerprint.com/), HUMAN(http://humansecurity.com/), fiilen reCAPTCHA'nın halefi olan Google Cloud Fraud Defense(https://cloud.google.com/security/products/fraud-defense?hl=...) ve Cloudflare Precursor var
Şu anda başlıca kullanım alanları otomatik credential stuffing, sahte hesap ve ücretsiz deneme kötüye kullanımı ile bunun yol açtığı Twilio SMS maliyetleri, ödeme dolandırıcılığı, LLM scraping, bilet ve spor ayakkabıların botlarla kapatılmasını önleme
Hangi kullanım alanının kurumsal talebi yönlendireceğini merak ediyorum; ayrıca ajanları toptan engellemek yerine tespit ettikten sonra onları ajana özel bir yola yönlendirip kullanıcı adına webde gezinmelerini ve iş yapmalarını sağlamayı umuyorum
Yüz milyonlarca konut IP'si, insan benzeri tarayıcı parmak izleri ve özel tarayıcı binary'leri sunuyorlar; Turnstile, reCAPTCHA v3, Kasada, DataDome, AWS WAF gibi sistemlerle karşılaşınca otomatik olarak etrafından dolaşıyorlar
Profilleme ile aşama geçiş olasılığını birleştirerek, dijital varlıkların yalnızca belirli bölümlerinde — örneğin chargeback riski taşıyan ödemelerde — ajanlardan ek doğrulama istemeyi veya onları engellemeyi mümkün kılıyor
Şu an Precursor ise aynı siteden birden fazla belge alan scraping tespitine daha çok odaklanıyor gibi görünüyor
Botların veya ajanların insan imleç hareketlerini taklit eden ince titreşimler eklemesi durumunda bunun neyle engellenebileceği merak ediliyor
Başka sinyaller de kullanılıyordur ama en azından bu sinyalin, botlar biraz daha geliştiğinde kolayca aşılabilecek gibi göründüğü düşünülüyor
Temel makine öğrenimi kümeleme yöntemleriyle bile botların fare, klavye ve dokunma davranışları insanlardan ayırt edilebilir; ancak göz takibi gibi yardımcı özellikler kullanan engelli kişilere karşı da ayrımcılık riski yüksektir
Tek elini kullanan kişilerin davranışı tipik kullanıcılardan ciddi biçimde farklı olabilir ve şu anda ABD'de California, Illinois ve NY dışındaki bölgelerde ADA uygulaması da zayıftır
Cloudflare gibi etkisi büyük şirketler, engelli kullanıcıların bu tür davranış analizi nedeniyle zarar görmemesi için filtrelemeyi muhafazakâr yapmalıdır
“Yalnızca bot olasılığı puanı veriyoruz, eşik değerini her web sitesi belirliyor” diyerek sorumluluğu devredip, ardından engelli kullanıcıların engellenmesini sitelerin eşiği fazla katı belirlemesine bağlamamak gerekir
Bu ölçekte, kararların ikinci ve üçüncü derece etkilerine kadar sorumluluk alınmalıdır
Bu veriler yalnızca botları değil; cinsiyeti, baskın eli, yaklaşık yaşı, tuş vuruş düzenine göre ana dili, yaralanma ve iyileşme sürecini, zihinsel ve fiziksel engelleri de ayırt edebilir
Site gezinme biçiminden ADHD, şizofreni, Parkinson hastalığı, madde kullanımı ve tedavi etkisi bile tahmin edilebileceği için, tüm bu sinyallerde tipik insanlarla aynı kümeye girecek şekilde taklit yapmak çok zordur
Kısa vadede işe yarasa bile zamanla belirgin örüntüler ortaya çıkar ve site ile yerleşim bazında titreşim verileri de çeşitli olduğu için yapay taklit kolayca yakalanabilir
Aynı kullanıcının bile kullandığı giriş aygıtına göre hareketleri değişir
İş bilgisayarında fare, kişisel dizüstünde touchpad, iş dizüstünde ise ThinkPad TrackPoint kullanıldığı için bir kişide üç ayrı davranış profili oluşur
Bu, yapay zekanın hareketlerinden farklı olacaktır ama fare hareketi parmak izi bir başka geçit haline gelirse ilginç aykırı değerler çokça görülebilir
Cloudflare interneti koruyormuş gibi yapmamalı
https://developers.cloudflare.com/browser-run/quick-actions/...
Bu şirket sigara satıp bir yandan hastane yapan şirket gibi
Cloudflare'in bir gün bilek durumumla ilgili verileri sigorta şirketlerine satmasını dört gözle bekliyorum. Kendi elimizle kurduğumuz gözetim cehennemi ne kadar da harika
Son zamanlarda Cloudflare'in yanlış pozitifleri yüzünden oturumlarda sürekli yükleme olup gerçek sayfaya geçilemeyen durumlar sık yaşanıyor
Sürekli sezgiyle kodlanmış yeni çözümler her gün yayımlanırsa bunun hizmet kalitesini de olumsuz etkileyebileceğinden endişe ediliyor