Kahve Molanızda Artık Sadece Siz Yoksunuz: Web'i Ele Geçiren Bot Saldırıları
Bot Savaşı Kullanıcıları Vuruyor: Çözüm mü, Dert mi?
Şöyle bir sahne hayal et: Saat sabahın yedisi. Kahvenin ikincisini yudumluyorsun, işe gitmeden önce haberlere bir göz atayım diyorsun. Ama yapay zeka düzenlemeleri hakkındaki o yazıyı okumak yerine, yaya geçitlerini, motorsikletleri ve trafik ışıklarını görmeye çalışıyorsun. Bir kez daha. Testi zar zor geçiyorsun ve sonunda içeriğe ulaşıyorsun. Bu sahne tanıdık mı geldi?
Yalnız değilsin ve bu hayal kırıklığı gün geçtikçe büyüyor.
Koruma Önlemleri Neden İşe Yaramıyor?
Arka planda neler olduğunu anlamak için bir adım geri çekilmek lazım. Site sahipleri botlardan korkuyor ve bu korku yerinde. Kimlik deneme saldırıları, yorum spamları, bilet kuyruklamacılığı ve veri kazıma kampanyaları şirketlere milyonlarca dolara mal oluyor, herkesin deneyimini olumsuz etkiliyor.
Ama mesele bu önlemlerin nasıl uygulandığıyla ilgili.
Tarayıcılar yıllardır üçüncü parti çerezleri, detaylı tarayıcı parmak izlerini ve kalıcı IP adreslerini kaldırmak için uğraştı. Bugün gelinen noktada bu izler büyük ölçüde ortadan kalktı. Tamam, gizlilik açısından bu iyi bir şey. Ancak bir bedeli var: botlarla insanları ayırt etmeye yarayan araçlar da gitti.
Siteler bu boşluğu doldurmak için daha fazla kanıt istemeye başladı. CAPTCHA'lar çoğaldı. Tek bir sayfayı okumak için bile giriş yapma zorunluluğu geldi. "İnsan olduğunuzu doğrulayamıyoruz" engelleri arttı. VPN trafiğini tamamen yasaklayan siteler çoğaldı çünkü kötü niyetli aktörler VPN'lerin arkasına saklanıyor.
Sonuç? Gizlilik ve kullanılabilirlik birbirine düşmüş durumda. Kazanan yok.
"Çözüm" Diyerek Yeni Sorunlar Yaratmak
Önerilen bazı çözümler yakından bakınca sıkıntılı.
Web Environment Integrity (WEI) gibi bir yaklaşım, belirli içeriklere erişmeden önce cihazınızın "güvenilir" olduğunu kanıtlamanızı istiyor. Yüzeysel olarak mantıklı görünüyor—bot scriptleri çalıştıran ele geçirilmiş cihazları engellemek istiyorsunuz. Ama bir sorun var: bu "güvenilirlik" kararını birkaç işletim sistemi ve donanım devi verecek. Hangi cihazların ve yazılımların web'e erişebileceğini onlar belirleyecek.
Bu tanıdık geliyor mu? Temel olarak bir grup bekçiyi (reklam ağları ve veri toplayıcılar) başka bir grupla (çip üreticileri ve OS geliştiricileri) değiştiriyorsunuz. Tarih bize gösteriyor ki web erişimi üzerinde kontrolü merkezileştirdiğiniz her an, tek arıza noktaları, kötüye kullanım potansiyeli ve yenilik engelleri yaratıyorsunuz.
NameOcean olarak domain name sisteminde neden merkeziyetsizliğin önemli olduğunu biliyoruz. ICANN kök bölgeyi dağıtık, uluslararası bir süreçle yönetiyor. Tek bir kuruluş tüm web'i kapatamıyor. Aynı felsefe insan olduğunuzu kanıtlamak için de geçerli olmalı.
Daha İyi Bir Yol: Gizlilik Koruyucu Kefalet Sistemi
Ya sitelerin sizi tanımasına gerek olmasaydı? Sadece makul kullanım sınırları içinde gerçek bir insan olduğunuzu bilseler yeterliydi?
Anonim kimlik bilgileri üzerine yapılan yeni araştırmaların temelinde bu fikir yatıyor. Mantık basit: her siteye ayrı ayrı kimliğinizi veya cihazınızın güvenilirliğini kanıtlamak yerine, zaten ilişki içinde olduğunuz taraflar sizin için kefil olabilse?
Şöyle düşünün. Gizliliğe önem verdiğiniz için bir VPN servisi kullanıyorsunuz. Ama bu VPN IP aralığı muhtemelen onlarca kara listede çünkü diğer siteler aynı IP'lerden bot trafiği görmüş. Peki VPN trafiğini tamamen engellemek yerine—ki bu meşru kullanıcıları cezalandırıyor—VPN sağlayıcınız şifreli olarak şunu söyleyemez mi: "Bu bizim ücretli aboneliklerimizden biri. Makul kullanım sınırları içinde. Lütfen buna göre davranın."
Site bot olmadığınızdan emin oluyor. VPN sağlayıcı kimliğinizi veya servisi kullandığınızı açıklamıyor. Siz daha az engelle karşılaşıyorsunuz.
Bu bilim kurgu değil. Apple zaten benzer bir konsepti Private Access Tokens ile kullanıyor. iOS cihazlar hangi siteleri ziyaret ettiğinizi ifşa etmeden bot olmadıklarını kanıtlıyor. Sistem çalışıyor çünkü Apple donanımı kontrol ediyor, bu da güven oluşturuyor.
Ama donanım üreticilerini devreye sokmadan daha ileri gidebiliriz.
Anonim Kimlik Bilgileri: Teknik Temel
Kriptografik anonim kimlik bilgileri, bir tarafın size verdiği ve daha sonra kimliğinizi açıklamadan veya takip edilmenizi sağlamadan kendinizle ilgili bir şeyi doğrulamak için sunabileceğiniz bir rozet gibi düşünülebilir.
Bir kütüphane kart sistemi hayal edin. Kütüphane "bu kişi doğrulanmış bir üyedir" diyor ama hangi kartın hangi kütüphanede kullanıldığını kaydetmiyor. Üye erişim alıyor. Kütüphane meşruiyet kanıtı alıyor. Kimse okuma alışkanlıklarınızdan bir dosya oluşturmuyor.
Aynı prensip hız sınırlama için de geçerli. Bir kimlik bilgisi vericisi "bu kullanıcı meşru ve kullanım limitini aşmamış" diyebilir, kim olduğunu, kimlik bilgisinin nereden geldiğini veya sitelerin sizi web'de takip etmesini sağlamadan.
Bu, gizlilik koruyucu kefalet sistemini mümkün kılan kriptografik temel. Donanım kanıtlamasının aksine, hangi yazılımın web'e erişebileceğine Qualcomm, Intel veya Apple'ın karar vermesine güvenmenizi gerektirmiyor.
Geliştiriciler ve İşletmeler İçin Ne Anlama Geliyor?
Web uygulamaları geliştiriyorsanız, muhtemelen bu gerilimi yaşamışsınızdır. Altyapınızı kötüye kullanımdan korumak istiyorsunuz ama meşru kullanıcıları uzaklaştıracak engeller de istemiyorsunuz.
Mevcut seçenekler kaba aletler. CAPTCHA'ların insanlarda %30-50 başarısızlık oranı var. IP engelleme VPN ve Tor kullanıcılarını toplu yakalıyor. Giriş duvarları kitlenizi azaltıyor ve sürtünme yaratıyor.
Gizlilik koruyucu anonim kimlik bilgileri sistemi bu dengeleri kökten değiştirir. İzleme altyapısı kurmadan trafiğin meşru olup olmadığı hakkında daha iyi sinyaller alırsınız. Kullanıcılarınız gizlilikten taviz vermeden daha sorunsuz bir deneyim yaşar.
NameOcean olarak bu gelişmeleri yakından takip ediyoruz çünkü aynı prensipler domain kaydı ve DNS için de geçerli. Kritik altyapı üzerindeki yoğunlaşmış kontrolün nasıl riskler yarattığını gördük. Herhangi bir tarafın kullanıcılar için kefil olabildiği ve sitelerin hangi vericilere güveneceklerini seçebildiği bir web, internetin açık, merkeziyetsiz mimarisinin her katmanda korunması gerektiği inancımızı yansıtıyor.
Yol Önümüzde
Bunu bir gecede çözemeyeceğiz. Anonim kimlik bilgilerini web ölçeğinde uygulamak, kriptografi, standardizasyon ve kullanıcı deneyiminde zor problemlerin çözülmesini gerektiriyor. Mozilla, Cloudflare ve tarayıcı satıcıları arasında tartışılan öneriler umut verici ama hâlâ erken aşamada.
Önemli olan konuşmanın yapılıyor olması. Web'in gizlilik ve kullanılabilirlik arasında seçim yapması gerekmiyor. İnsanları gözetlemeden insan olduklarını doğrulayan sistemler kurabiliriz.
O zamana kadar o yaya geçitlerine bakmaya devam edeceğiz. Ama belki sonsuza kadar değil.