Botları daha iyi tespit etmek ve CAPTCHA’yı değiştiriyoruz

Vikipedi’de dahil tüm büyük web siteleri, günümüzün internetinde giderek daha da kötüleşen bir sorun olan kötü niyetli botlarla mücadele etmektedir. Vikipedi, kötü niyetli otomatik (Yapay Zeka destekli olanlar dahil) faaliyetlerden kendini korumak için daha güçlü araçlara ihtiyaç duymaktadır. Wikimedia Vakfı olarak, Nisan ayında Wikimedia içeriğini eğitim verileri için aşırı derecede kullanan kazıyıcı programlardan altyapımızı korumak konusunda bir yazı yayınladık. Bu yazıda, hesap oluşturma ve düzenleme gibi genellikle insanlar için tasarlanmış faaliyetleri gerçekleştiren kötü niyetli botlardan Wikimedia’yı korumak için yeni bir yöntemden bahsettik.

Bunu yapmak için, Vikipedi’de yeni bir bot algılama hizmetini deniyoruz. Öncelikle bunu hesap oluşturma işleminde uygulayacağız ve daha sonra düzenleme veya diğer hassas işlemleri korumak için genişletebiliriz.

Amacımız, Temmuz ayında İngilizce Vikipedi’de yaşanan toplu kelime değiştirme girişimleri ve Mart ayında karşılaştığımız otomatik hesap ele geçirme girişimleri gibi vandalizm saldırılarına karşı daha iyi savunma yapabilmek için zemin hazırlamaktır. Ayrıca, içeriği değiştirebilecek veya gönüllü topluluğun bütünlüğü koruma ve ortak görüş sağlama süreçlerini etkileyebilecek otomatik sahte hesaplara karşı da daha iyi hazırlıklı olmak istiyoruz.

Yeni bot algılama hizmeti, 2000’li yıllara dayanan ve yazılım tarafından oluşturulan temel bir “kelimeyi yaz” görsel bulmaca olan mevcut CAPTCHA’nın yerini alacak. Basitçe söylemek gerekirse, bu sistem ağ’in eski bir döneminden kalma ve modern yapay zeka destekli saldırılara karşı savunma yeteneğine sahip değil. Ayrıca, mevcut CAPTCHA’nın insan kullanıcılar için kullanımı çok zor olduğu konusunda çok sayıda geri bildirim aldık.

Denemeye başlayacağımız hizmet, bot algılama konusunda uzmanlaşmış bir üçüncü taraf hizmet olan hCaptcha’dır. Bu hizmet, Signal ve diğer birçok internet hizmeti dahil olmak üzere gizlilik konusunda hassas müşterilere özel olarak odaklanmaktadır ve bu da onu Vikipedi için uygun bir seçim haline getirmektedir.

Bu denemede, hCaptcha’nın bot kaynaklı etkinlikleri durdurma veya yavaşlatma konusunda ne kadar uygun olduğunu ve gerçek kullanıcıların Vikipedi’yi daha kolay kullanmasına ne kadar yardımcı olduğunu bakacağız.

Bu denemenin, Vikipedi’leri üçüncü taraf bir özel hizmetle doğrudan entegre etmemizi gerektireceğini açıkça belirtmek isteriz. Bu, Wikimedia için yeni bir şey ve Vakıf olarak hafife alamayacağımız bir konu. Ancak, bu çağda projeleri güvende tutabilecek bir hizmeti kendimiz oluşturmamız da mümkün değil. Bot algılama hizmetlerini yürütmeye çalışan kuruluşlar, bizden çok daha fazla uzmanlığa ve kaynağa sahipler – özellikle de her yıl değişen bot algılama ve bu oyuna ayak uydurmak için sürdürdükleri çalışmalar.

Vikipedi’yı her zaman mümkün olan en gizlilik odaklı şekilde işletiyoruz. Bu sayede, cağdaş web’de çok yaygın hale gelen sıradan bilgi paylaşımı ve çevrimiçi izleme gibi uygulamalardan uzak duruyoruz. Bu sorumluluğu sürdürmek için, hCaptcha’nın ziyaretçilerin ham IP adreslerini görememesi ve hangi eylemlerin gerçekleştirildiğini veya hangi URL’lere erişildiğini görememesi için gerekli düzenlemeleri yaptık. Bot algılama kapsamında toplanan ziyaretçi cihazlarıyla ilgili tüm bilgiler, hCaptcha tarafından 10 gün içinde silinecektir.

Sonuç olarak, bu, kullanıcı gizliliğine olan etkisini dikkatlice sınırlarken, aynı zamanda wiki’lerin erişilebilirliğini ve güvenliğini iyileştirme fırsatıdır. Bunun nasıl yapıldığına dair daha teknik ayrıntılar aşağda bulunmakta:

• Mevcut CAPTCHA’dan farklı olarak, bu yeni hizmet genellikle görünmez bir şekilde çalışacaktır. Ziyaretçilerin çoğu (yaklaşık %99,9) çözülmesi gereken bir bulmaca ile hiç karşılaşmayacak.
• Bulmaca gören ziyaretçiler, hesap oluşturmak için bulmacayı tamamlamaları gerekecektir. Bunlar görsel bulmacalardır, ancak görme sorunu olan veya diğer erişilebilirlik ihtiyaçları olan kullanıcılar için, yalnızca klavye kullanılarak tamamlanabilen metin bir bulmaca da mevcuttur.
• Servis, hesabın sahte bir kullanıcı tarafından oluşturulduğuna dair güven düzeyini gösteren bir “tehlike puanı” gönderecektir. Bu tehlike puanı kamuya açık olmayacak, ancak WMF ve gönüllü araştırmacılar tarafından olası bot faaliyetlerine yönelik analiz ve yanıtlar için özel olarak kaydedilecektir.
• Ziyaretçilerin IP adresleri servise gönderilmeyecektir – servise giden tüm istekler, ham IP adresler ile beraber, bizim bulundurduğumuz bir proxy üzerinden geçecek.
• Servisten yüklediğimiz kod, kullanıcı oturumunun sayfa bağlamını göremeyecek ve etkileyemeyecek şekilde sanal bir ortamda çalıştırılacak ve böylece servis, sayfanın belirli URL’sini göremeyecek.
• Daha fazla teknik ayrıntı için proje sayfamızı inceleyin.

Ayrıca, elde ettiğimiz bot algılama verilerini, güvenilir gönüllü araştırmacılarımıza kendi sağladığımız araçlara dahil ederek, sahte hesaplar ve diğer sahte faaliyetlere karşı önlem almayı planlıyoruz. Bu, bu yıl wiki’lere daha fazla kötüye kullanım önleme sinyali ve aracı eklemek için güvenlik ve emniyet alanındaki daha geniş çaplı çabalarımızın bir parçasıdır. Bu fikirlerin bir kısmını yakın vadeli kamuya açık planlarımızda görebilirsiniz.

Önümüzdeki haftalarda başlayarak ve birkaç ay boyunca, botların wiki’lerle nasıl etkileşimde bulunduğunu analiz ederek, hCaptcha’nın Vikipedi’yı kullanmayı beklenmedik bir şekilde zorlaştırmadığından emin olarak, alabileceğimiz diğer gizlilik ve güvenlik önlemlerini belirleyeceğiz. Bu incelemeyi gözden geçirerek, denemenin nasıl gittiği konusunda topluluklarla kamuoyuna açık bir şekilde iletişim kuracağız. Ardından, mevcut CAPTCHA’yı değiştirmek için hCaptcha’nın kullanımını genişletme konusunda karar vereceğiz.Bu süreç boyunca topluluklarla iletişim halinde olacağız. Şimdiye kadar doğrudan geri bildirimde bulunan gönüllülere teşekkür ederiz. Geri bildirimleriniz, gizlilik modelimizi ve teknik uygulamamızı şekillendirmemize yardımcı oldu. Çalışmalarımız ilerledikçe güncellemeleri paylaşacağız. Lütfen proje sayfamızda görüşlerinizi paylaşın ve ekibimizin haber bültenine abone olun.