1 puan yazan GN⁺ 2 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Oturum açma, kayıt ve ödeme gibi tekil doğrulama noktaları, gerçek tarayıcı ve JavaScript kullanan otomasyonu ayırt etmekte yetersiz kalmaya başlayınca Cloudflare, tüm kullanıcı yolculuğundaki davranış sinyallerini sürekli analiz eden Precursor’ı devreye aldı
  • HTML yanıtlarına dinamik olarak oluşturulmuş hafif bir JavaScript ekleyerek işaretçi hareketi, klavye etkinliği, odak ve sayfa görünürlük durumunu topluyor; bunları edge değerlendirmesi ve mevcut bot savunma sistemine gerçek zamanlı yansıtıyor
  • Bilek hareketi ve bilişsel gecikme, el titremesi, hız·yön·düzeltme ritmi; düz çizgide hareket, sabit hız veya aşırı hassasiyet gösteren otomasyonun tüm oturum boyunca kopyalaması zor olduğundan oturum bazlı ayrım için temel oluşturuyor
  • Gerçek tuş girdileri yerine yalnızca zamanlama ve ritmi topluyor; davranış sinyallerini kullanıcı hesaplarına veya kalıcı profillere bağlamayan, müşteri panosunda doğrudan göstermeyen gizlilik korumalı bir tasarım uyguluyor
  • Şu anda Enterprise Bot Management özelliği olarak dağıtılıyor; bu yılın sonunda GA olana kadar ücretsiz kullanılabiliyor ve uygulamada değişiklik yapmadan arka planda gözlem ya da doğrulanmamış oturumlara Challenge zorunlu kılma şeklinde çalıştırılabiliyor

Tekil doğrulama noktalarından tüm oturuma

  • Bot savunması, saldırganın uyum sağlaması ile savunmacının yanıt vermesinin tekrarlandığı hasmane bir rekabettir; Cloudflare ağ genelindeki görünürlüğü ve istemci ortamından gelen sinyalleri birlikte kullanır
    • Küresel ağında günde 1 trilyondan fazla isteği analiz ederek web’in %20’sinden fazlasını kapsayan bir alanda itibar, örüntüler ve anormallikleri belirler
    • Cloudflare Turnstile, CAPTCHA alternatifinden, kullanıcı doğrulaması için gereken sürtünme düzeyini ayarlayan risk tabanlı yönetilen Challenge’a evrildi
  • Turnstile, oturum açma, kayıt ve ödeme gibi hassas noktalarda günde yaklaşık 3 milyar kez çalıştırılıyor; ancak bu noktaların arasını da kapsayan tüm kullanıcı yolculuğunda insanların ve botların nasıl davrandığı yalnızca sınırlı ölçüde anlaşılabiliyordu
  • Precursor, bu görünürlük boşluğunu kapatmak için web uygulaması genelinde istemci davranış sinyallerini sürekli toplar ve oturum bazında ayrım yapar
    • Challenge tarafından sağlanan istemci tarafı tespiti tüm uygulamaya genişletir
    • Turnstile’ı isteğe bağlı olarak tamamlar; her iki özellik de Enterprise Bot Management kapsamındadır

Kısa anlardan daha zor taklit edilen davranış sürekliliği

  • Modern otomasyon JavaScript çalıştırabilir, gerçek tarayıcı ortamları kullanabilir ve tekil CAPTCHA’ları da geçebilir; bu nedenle kısa aralıklarda normal kullanıcı gibi görünebilir
  • Tüm oturum boyunca tutarlı insan davranışını yeniden üretmek daha zordur; Precursor bu davranış sürekliliğini dolandırıcılık ve kötüye kullanım tespiti için sinyal olarak kullanır
    • Her karara daha fazla sinyal ekleyerek insan ile otomasyonu ayırmadaki hassasiyeti artırır
    • Agresif Challenge bağımlılığını azaltarak normal kullanıcılar için gereksiz kesintileri düşürür
    • Bot geliştiricilerinin tüm oturumu taklit etmesi gerektiğinden otomasyon kurma ve sürdürme maliyeti artar, büyük ölçekli operasyonların güvenilirliği azalır

İnsan hataları ve fiziksel kısıtlar

  • Bot geliştiricileri fare hareketlerine Gauss gürültüsü veya tekdüze rastgele gecikmeler ekler; ancak insan hareketlerinde basit gürültünün ötesinde fiziksel ve bilişsel kısıtlar vardır
    • Bilek dönme ekseni: Bileğin hareket aralığı ve ön kolun dönüşü nedeniyle fare çoğu zaman yay biçiminde hareket eder
    • Bilişsel yük: Bir onay kutusunu gördükten sonra tıklamaya kadar ölçülebilir bir gecikme oluşur
    • El titremesi: Sabit duran bir elde bile fizyolojik el titremesi frekansına bağlı titreşim görülür
  • Otomasyon düz çizgi enterpolasyonu veya matematiksel olarak ideal Bézier eğrileri kullanma ve insanların yeniden üretmesi zor bir hassasiyetle tıklama eğilimindedir
  • Örnek otomasyon kütüphaneleri fareyi tamamen düz bir çizgide hareket ettirir, her zaman başlangıç noktasına döner ve aynı hızda tepki verir
  • Buna karşılık insanlar aynı sitede bile düzensiz rotalar, küçük düzeltmeler ve hedefi aşmalar, hız·zamanlama·yön değişimleri gösterir
  • Tekil etkileşimler makul görünse de tüm oturumda davranış örüntülerindeki farklar ortaya çıkar; Precursor etkileşimler devam ederken bu davranış imzalarını yakalayıp değerlendirir

İstemciye ekleme ve sinyal toplama

  • Precursor etkinleştirildiğinde, Cloudflare ağından geçen sitelerin HTML yanıtlarına otomatik olarak hafif bir betik eklenir
    • Ek yapılandırma, ayrı ağ bağlantısı veya üçüncü taraf gömme gerektirmez
    • Paket küçüktür, obfuscate edilmiştir ve her yanıt için dinamik olarak birleştirilir
    • Barındırılan web uygulamasının diğer sayfa mantığını bozmamak üzere tasarlanmıştır
  • Betik, hafif event listener’larla işaretçi hareketi, klavye etkinliği, odak değişiklikleri ve sayfa görünürlük durumunu yakalar
    • Olayları sıkıştırılmış biçimde serileştirerek bellekte tamponlar
    • Tamponda biriken veriler düzenli olarak değerlendirme katmanına gönderilir

Edge değerlendirmesi ve çapraz doğrulama

  • Edge sunucusu gelen Precursor payload’unu davranış girdisi olarak deseralize eder ve dispatcher aracılığıyla birden fazla değerlendirici (evaluator) çalıştırır
  • Her değerlendirici gerekli Precursor akışını okuyabilir ve paylaşılan tespit kayıt sistemine sinyal kaydedebilir
  • Tek bir olaya dayanmak yerine farklı verileri çapraz doğrular
    • İşaretçi etkinliğinin sayfanın görünür olduğu süreyle örtüşüp örtüşmediğini kontrol eder
    • Klavye olaylarının yalnızca metin alanı odaktayken gerçekleşip gerçekleşmediğine bakar
  • Ardışık gelen bilgiler tekil tespit sinyallerinde birleştirilir ve tespit ağırlıklarını hesaplamak için kullanılır

Oturum birikimi ve sonraki tespit katmanları

  • Precursor verileri oturum kapsamında biriktiği için, bot sayfayı yenilese veya yeni bir Challenge’dan yeniden başlasa bile davranış imzasını sıfırlayamaz
  • Oturum meta verileri sonraki tespit katmanlarına da aktarılır
    • Gölge mod heuristikleri ve oturum analizi
    • Beklenen tamamlama ile gerçek tamamlamanın karşılaştırılması
    • Oturum delinquency heuristikleri
  • Edge’de gözlemlenen bilgiler tespiti iyileştirmek için kaydedilir ve oturumun bot skorunu ayarlamakta kullanılır

Gizlilik korumalı tasarım

  • Event listener’lar, insan örüntüleri ile otomasyon ve kötüye kullanım örüntülerini ayırmak için gereken asgari bilgiyi toplar
    • Klavye etkinliğinde gerçekten basılan tuşlar değil, yalnızca zamanlama ve ritim yakalanır
    • Tekil davranışlardan çok toplu davranış örüntüleri değerlendirilir
  • Davranış sinyalleri yalnızca Cloudflare’in bot tespit sistemi içinde kullanılır
    • Müşteri panosunda doğrudan gösterilmez
    • Kullanıcı hesapları, oturum açma kimliği veya kalıcı profillerle ilişkilendirilmez
  • Bu sayede normal kullanıcılara uygulanan sürtünme azaltılırken davranış değerlendirmesi sürekli güncellenir

Oturum tabanlı Security Analytics

  • Security Analytics’e, tekil istekler yerine tüm ziyaretçi yolculuğunu gösteren oturum tabanlı görünüm eklendi
  • Panoda şu sorular araştırılabilir
    1. Sitedeki tipik bir oturum nasıl görünür
    2. Beklenen davranıştan sapılan noktalar nerelerdir
    3. Zaman içinde otomasyon belirtileri gösteren oturumlar hangileridir
  • İstek bazlı analizle yakalanması zor olan istekler arasındaki davranış da analiz kapsamına girer
  • Precursor verileri mevcut bot skoruna, Challenge kararlarına ve güvenlik kurallarına doğrudan aktarıldığı için eklenen oturum bağlamı mevcut savunma sisteminde hemen kullanılabilir

Gelecekteki genişleme ve etkinleştirme yöntemi

  • Precursor, bot tespitini tüm uygulamaya genişletmek için bir temel oluşturur; Cloudflare şu alanları genişletmeyi sürdürmeyi planlıyor
    • Güvenlikte kullanılan davranış sinyallerinin kapsamı ve derinliği
    • Oturum düzeyi bilgilerin bot yönetimi korumalarını nasıl etkilediği
    • Oturum verilerini görselleştirme ve bunlara göre aksiyon alma için yeni yöntemler
  • Botlar geliştikçe tespitin de izole doğrulama noktalarından çıkıp tüm kullanıcı etkinliği akışını ele alması gerekir
  • Şu anda Cloudflare panosunda bölge bazında Precursor etkinleştirilebilir ve bu yılın sonunda GA çıkışına kadar ücretsiz sunulur
  • Oturum doğrulama yoğunluğu iki şekilde seçilebilir
    • Düşük sürtünmeli modda davranış arka planda gözlemlenir
    • Tamamen doğrulanmış oturum gerekiyorsa mevcut oturum olmadığında Challenge zorunlu kılınır
  • Etkinleştirildiği anda mevcut bot savunması güçlenir ve uygulama değişikliği gerekmez
  • Bot Management veya Turnstile zaten kullanılıyorsa tespit kapsamı mevcut Challenge noktalarının ötesine, oturumun geri kalanına ve koruma noktaları arasındaki etkinliklere genişler

1 yorum

 
GN⁺ 2 시간 전
Hacker News yorumları
  • Cloudflare'ın hem engelleme hem de izin verme tarafında botların hakemi haline gelmesi endişe verici görünüyor ve internetin geneli için de sağlıklı görünmüyor

    • Tersinden bakılırsa Cloudflare, tarama için ödeme (pay for crawl) modelinin yolunu açıyor ve bunun asil ve iddialı bir hedef olduğunu düşünüyorum
      Yaklaşık 20 yıldır reklamdan daha iyi bir içerik üreticisi ücretlendirme yöntemine ihtiyaç olduğundan yakınıyordum; bu bunun cevabı olabilir
      Anthropic ve OpenAI'nin izinsiz alınmış içeriklerin üzerine kurulduğu yönündeki eleştiriler de sürüyordu; bu gerçeği görmezden gelip iki tarafı da aynı anda istemek mümkün değil
    • Rakip bir hizmet oluşturmak Cloudflare'ın rakiplerine kalmış bir iş
    • Cloudflare yalnızca kendi hizmetlerini işletenlere isteğe bağlı olarak açılabilen bir koruma katmanı sunuyor
      Kapsamın fazla geniş olduğunu mu, yoksa kimsenin benzer bir hizmet sunmadığını mı söylüyorsunuz; bu tür genel eleştirilerle bunu anlamak zor
    • Bu sadece sıradan bir ticari faaliyet ve tüketiciler cüzdanlarıyla oy vermeli
  • Cloudflare'ın bir yandan ajan ürünleri satarken diğer yandan webdeki ajan kullanımını engelliyor gibi görünen bir hizmet çıkarması biraz tuhaf hissettiriyor
    Fare hareketlerine ek olarak çok daha fazla sinyal kullanıyor olacaklardır, ancak dokunmatik ekranlar ya da ThinkPad TrackPoint gibi alışılmadık giriş aygıtlarında ayrım yapmak şimdiden zor olabilir
    Erişilebilirlik amaçlı fare araçları kullananları bot sanmak ciddi bir sorun olur, ama bunlara istisna tanımak da ajan taraması için bir kaçış yolu haline gelebilir
    Yine de ajan botların kötüye kullanımını ve spam'i azaltması açısından bu neredeyse kesin olarak iyi bir yön

    • İyi botlarla kötü botları ayırırsanız daha az tuhaf geliyor
      İyi botların kullanacağı hizmetler sunarken kötü botları engellemeye yardımcı olabilirsiniz
      Eğer botlar fare hareketlerini beceriksizce taklit ediyorsa bu güçlü bir anomali sinyali olur ve iyi botlar robots.txt kurallarına uyar, bot olduklarını da gizlemez
    • Biraz dükkânlara koruma parası satan mafya gibi hissettiriyor
  • 6 yıl önce hCaptcha tüm bunları zaten uygulamıştı
    Yalnızca insanla botu ayırmakla kalmıyor, aynı kişinin birden fazla hesap açarken ya da birden fazla kredi kartını denerken sergilediği klavye ve fare davranışlarını da tespit ediyordu
    Cloudflare 2020'de hCaptcha'ya geçtiğinde bu kötüye kullanım tespiti de dahildi ve 2022'de hCaptcha'dan ayrıldığında bunu zaten kendisinin uyguladığını sanıyordum

    • reCAPTCHA v3 de benzer değil miydi diye düşünüyorum. Ana tanıtım noktası arka planda sessizce gözetim yapmasıydı diye hatırlıyorum
  • Sayfada erişilebilirlik için arama yapınca sonuç çıkmıyor; bu yüzden bu tür fare hareketi astrolojisinin görme engellileri ve yalnızca klavyeyle kullananları internetin önemli bir kısmından tamamen dışlayacağını düşünüyorum

    • Görme engelliler ve yalnızca klavye kullananlar anonim internette dışlanma riskiyle karşı karşıya
      Giriş yapıp anonimliğinden vazgeçersen, muhtemelen bot olmadığın varsayılacak
    • Fare hareketi muhtemelen uygun ağırlık verilen birçok sinyalden sadece biri ama gerçekten ilgili kullanıcıların geri bildirimlerini görmek isterim
    • Cloudflare zaten izin listesinde olmayan Batı dışı kullanıcılara dakikalarca motosiklet seçtirdiği için, az sayıdaki görme engelli erişilebilirliği konusunda çok kaygılanacakmış gibi görünmüyor
    • Belgede üç kez “Mouse movement is just one example of the signals Precursor evaluates” deniyor. Yani fare hareketi birçok sinyalden sadece biri
    • Hizmetleri akıllı telefon merkezli tasarlayıp akıllı telefonu olmayan yaşlıları ve engellileri dışlamakla aynı şey
      Bazı bölgelerde akıllı telefon olmadan uçuş check-in'i bile yapılamadığı için seyahatin kendisi imkânsız hale geliyor, ama çoğu kişi bunu normal karşılıyor
  • Ajan tespiti yeni oluşan bir alan ve gelecekte çok daha önemli olacak
    İlgili ürünler arasında Foil(https://usefoil.com/), Kasada https://www.kasada.io/, DataDome(https://datadome.co/), Castle(https://castle.io/), Fingerprint(https://fingerprint.com/), HUMAN(http://humansecurity.com/), fiilen reCAPTCHA'nın halefi olan Google Cloud Fraud Defense(https://cloud.google.com/security/products/fraud-defense?hl=...) ve Cloudflare Precursor var
    Şu anda başlıca kullanım alanları otomatik credential stuffing, sahte hesap ve ücretsiz deneme kötüye kullanımı ile bunun yol açtığı Twilio SMS maliyetleri, ödeme dolandırıcılığı, LLM scraping, bilet ve spor ayakkabıların botlarla kapatılmasını önleme
    Hangi kullanım alanının kurumsal talebi yönlendireceğini merak ediyorum; ayrıca ajanları toptan engellemek yerine tespit ettikten sonra onları ajana özel bir yola yönlendirip kullanıcı adına webde gezinmelerini ve iş yapmalarını sağlamayı umuyorum

    • Bot engellemeyi etkisizleştiren ürünler arasında https://brightdata.com/, https://www.zenrows.com/, https://www.capsolver.com/, https://scrapfly.io/ da var
      Yüz milyonlarca konut IP'si, insan benzeri tarayıcı parmak izleri ve özel tarayıcı binary'leri sunuyorlar; Turnstile, reCAPTCHA v3, Kasada, DataDome, AWS WAF gibi sistemlerle karşılaşınca otomatik olarak etrafından dolaşıyorlar
    • Darwinium(darwinium.com) da benzer bir ürün
      Profilleme ile aşama geçiş olasılığını birleştirerek, dijital varlıkların yalnızca belirli bölümlerinde — örneğin chargeback riski taşıyan ödemelerde — ajanlardan ek doğrulama istemeyi veya onları engellemeyi mümkün kılıyor
      Şu an Precursor ise aynı siteden birden fazla belge alan scraping tespitine daha çok odaklanıyor gibi görünüyor
  • Botların veya ajanların insan imleç hareketlerini taklit eden ince titreşimler eklemesi durumunda bunun neyle engellenebileceği merak ediliyor
    Başka sinyaller de kullanılıyordur ama en azından bu sinyalin, botlar biraz daha geliştiğinde kolayca aşılabilecek gibi göründüğü düşünülüyor

    • Bunu aşmak için az değil, epey yüksek bir sofistikasyon gerekir
      Temel makine öğrenimi kümeleme yöntemleriyle bile botların fare, klavye ve dokunma davranışları insanlardan ayırt edilebilir; ancak göz takibi gibi yardımcı özellikler kullanan engelli kişilere karşı da ayrımcılık riski yüksektir
      Tek elini kullanan kişilerin davranışı tipik kullanıcılardan ciddi biçimde farklı olabilir ve şu anda ABD'de California, Illinois ve NY dışındaki bölgelerde ADA uygulaması da zayıftır
      Cloudflare gibi etkisi büyük şirketler, engelli kullanıcıların bu tür davranış analizi nedeniyle zarar görmemesi için filtrelemeyi muhafazakâr yapmalıdır
      “Yalnızca bot olasılığı puanı veriyoruz, eşik değerini her web sitesi belirliyor” diyerek sorumluluğu devredip, ardından engelli kullanıcıların engellenmesini sitelerin eşiği fazla katı belirlemesine bağlamamak gerekir
      Bu ölçekte, kararların ikinci ve üçüncü derece etkilerine kadar sorumluluk alınmalıdır
      Bu veriler yalnızca botları değil; cinsiyeti, baskın eli, yaklaşık yaşı, tuş vuruş düzenine göre ana dili, yaralanma ve iyileşme sürecini, zihinsel ve fiziksel engelleri de ayırt edebilir
      Site gezinme biçiminden ADHD, şizofreni, Parkinson hastalığı, madde kullanımı ve tedavi etkisi bile tahmin edilebileceği için, tüm bu sinyallerde tipik insanlarla aynı kümeye girecek şekilde taklit yapmak çok zordur
    • Sadece rastgele titreşim değil, insan imleç hareketine benzeyen titreşim sentezlemek gerektiği için son derece zordur
    • 2027'de titreşim üretimi, önceden planlama, sonradan doğrulama ve Cloudflare'in karşı titreşim önlemlerine ne kadar token harcanacağının merak edildiği söyleniyor
    • CAPTCHA'yı başarısız kılmak için kasıtlı olarak titreşim tespitini yenmeye çalışılıyor ama şimdiye kadar bir kez bile başarılamadığı halde denenmeye devam ediliyor
    • Teknik olarak bunu engelleyen bir şey yok, ancak Cloudflare çok daha fazla gerçek titreşim verisine sahip olduğu için başlangıçtan itibaren dezavantaj var
      Kısa vadede işe yarasa bile zamanla belirgin örüntüler ortaya çıkar ve site ile yerleşim bazında titreşim verileri de çeşitli olduğu için yapay taklit kolayca yakalanabilir
  • Aynı kullanıcının bile kullandığı giriş aygıtına göre hareketleri değişir
    İş bilgisayarında fare, kişisel dizüstünde touchpad, iş dizüstünde ise ThinkPad TrackPoint kullanıldığı için bir kişide üç ayrı davranış profili oluşur
    Bu, yapay zekanın hareketlerinden farklı olacaktır ama fare hareketi parmak izi bir başka geçit haline gelirse ilginç aykırı değerler çokça görülebilir

  • Cloudflare interneti koruyormuş gibi yapmamalı
    https://developers.cloudflare.com/browser-run/quick-actions/...
    Bu şirket sigara satıp bir yandan hastane yapan şirket gibi

  • Cloudflare'in bir gün bilek durumumla ilgili verileri sigorta şirketlerine satmasını dört gözle bekliyorum. Kendi elimizle kurduğumuz gözetim cehennemi ne kadar da harika

  • Son zamanlarda Cloudflare'in yanlış pozitifleri yüzünden oturumlarda sürekli yükleme olup gerçek sayfaya geçilemeyen durumlar sık yaşanıyor
    Sürekli sezgiyle kodlanmış yeni çözümler her gün yayımlanırsa bunun hizmet kalitesini de olumsuz etkileyebileceğinden endişe ediliyor

    • Sebep kullanıcı ajanı, IP adresi veya tarayıcı eklentilerinden biri olabilir
    • Bölgesel ISP fiber hattına kıyasla Starlink üzerinde çok daha sık engellenecek hedef olarak işaretleniyor