"Web Rusak" - Bagaimana jika perangkat saya menjadi botnet untuk menyerang orang lain? Perayapan AI dan ekosistem proksi tersembunyi

 (jan.wildeboer.net)
8 poin oleh GN⁺ 2025-04-20 | 1 komentar | Bagikan ke WhatsApp
  • Sejumlah perusahaan AI menyisipkan 'SDK proksi P2P yang dibotnetkan' ke dalam aplikasi untuk mengumpulkan data, sehingga pengguna tanpa sadar dimasukkan ke dalam infrastruktur perayapan web mereka
  • SDK ini 'menjual' sebagian bandwidth jaringan pengguna (120~150kbps) tanpa izin dan memberi pengembang pendapatan (18 sen per pengguna), sambil melakukan aktivitas tidak normal seperti perayapan dan brute-forcing server mail
  • Botnet ini memanfaatkan puluhan ribu IP residensial/mobile untuk menghindari deteksi, dan hanya mencoba menyerang sekali per IP per hari untuk melewati sistem keamanan seperti fail2ban
  • Contoh yang representatif adalah Infatica SDK; pengembang aplikasi yang memasukkannya pada dasarnya menginfeksi pengguna dengan botnet
  • Pasar 'proksi residensial (residential proxy)' berkembang pesat karena permintaan perayapan AI, dan pada praktiknya menjadi infrastruktur perayapan tidak berizin
  • Struktur botnet seperti ini adalah bentuk baru serangan siber siluman, dan para pengembang aplikasi ikut terlibat dalam ekosistem ini
  • Penulis mendefinisikan perayapan web itu sendiri sebagai 'tindakan menyerang fondasi web', menuntut tanggung jawab pengembang dan perusahaan platform, serta berpendapat bahwa semua perayapan harus diblokir

Botnet siluman, jati dirinya: Botnet Part 1

Serangan botnet ke server mail pribadi

  • Server mail milik penulis terus-menerus menerima serangan brute-force SMTP
  • Tujuan serangan: mengambil alih akun untuk mengirim email spam
  • Sebagian besar gagal, tetapi upaya itu sendiri terus berlangsung dan sangat gigih

Jati diri botnet: infeksi perangkat melalui SDK

  • Pengembang aplikasi dibayar untuk menyisipkan SDK
    • Contoh: 18 sen per pengguna per bulan
  • SDK ini menyewakan sebagian trafik pengguna (120~150kbps)
  • Dikemas sebagai "proksi P2P" atau "residential proxy", tetapi sebenarnya memanfaatkan perangkat pengguna sebagai node botnet

Cara serangan: serangan terdistribusi yang menghindari deteksi

  • Satu percobaan login per IP per hari → melewati deteksi otomatis seperti fail2ban dan UFW
  • Namun karena memiliki puluhan ribu IP, serangan dijalankan secara terus-menerus dan terdistribusi
  • Penulis menyoroti bahwa cara ini melumpuhkan alat keamanan standar

Tidak efisiennya pemblokiran berdasarkan ASN

  • Dianalisis apakah IP terkonsentrasi pada operator tertentu (ASN)
    • Hasil: rata-rata kurang dari 4 IP penyerang per ASN → memblokir seluruh ASN tidak efektif
  • Saat ini tetap memakai cara analisis log harian → kirim email perintah blokir IP baru → blokir manual

Metode respons dan filosofi

  • Otomatisasi memungkinkan, tetapi dengan melihat dan menanggapi langsung, pola bisa dipahami dan kewaspadaan tetap terjaga
  • Jumlah IP penyerang: saat ini sekitar lebih dari 50 ribu telah diblokir
  • Sebagian besar adalah IPv4, dan serangan IPv6 masih jarang

Realitas ekosistem botnet

  • Struktur distribusi "sisipkan SDK → bagi hasil" yang terlihat legal
  • Kenyataannya, trafik pengguna dipakai tanpa persetujuan untuk spam, serangan, perayapan, dan lain-lain
  • Botnet seperti ini tidak terdeteksi oleh antivirus atau sistem keamanan umum

Kesimpulan

  • Jika pengembang aplikasi memasukkan SDK seperti ini, pada dasarnya mereka ikut membuat botnet
  • Pengguna biasa tidak bisa mengetahui apakah SDK semacam ini disertakan, dan secara otomatis ikut menjadi bagian botnet
  • Berdasarkan kesadaran masalah ini, penulis memperingatkan tentang runtuhnya ekosistem web

"Saya sama sekali tidak percaya pada perusahaan yang mengklaim ini sebagai 'SDK normal'. Ini botnet."
— Jan Wildeboer, Februari 2025

# Web Rusak: Botnet Part 2

Lonjakan crawler web dan latar belakangnya

  • Belakangan ini permintaan pengumpulan data skala besar untuk pelatihan model AI meningkat
  • Perusahaan AI diam-diam mengeruk semua konten web, memicu beban trafik berlebih
  • Webmaster dan operator server biasa kewalahan menghadapi crawler, tetapi sering kali tidak tahu siapa yang mengoperasikannya

Bentuk baru botnet: infeksi pengguna melalui SDK

  • Sejumlah perusahaan membayar pengembang aplikasi sebagai imbalan penyisipan SDK
  • Pengguna umum yang memasang aplikasi dengan SDK tersebut tanpa sadar trafiknya dipakai untuk crawler AI
  • SDK semacam ini dapat disisipkan ke aplikasi iOS, Android, MacOS, Windows

Contoh representatif: Infatica

  • Situs web: https://infatica.io
  • Di halaman penjelasan untuk pengembang, mereka mempromosikan bahwa perayapan bisa dilakukan melalui jaringan pengguna
  • Mengklaim menyediakan jutaan IP berotasi (residensial/mobile)

Mengapa ini menjadi masalah?

  • Perusahaan seperti Infatica mengklaim memantau perintah apa yang dijalankan pelanggan mereka (misalnya perusahaan AI untuk tujuan perayapan), tetapi secara praktik ini adalah struktur untuk menghindari tanggung jawab
  • Laporan Trend Micro tahun 2023 juga mengonfirmasi kasus serupa
  • Sebagian pihak diam-diam menyisipkan SDK ke software gratis lalu mendistribusikannya, tanpa persetujuan pengguna

Dampak: bagi pengguna pribadi maupun server kecil

  • Pengembang aplikasi: tergoda uang lalu memasukkan SDK → pada dasarnya penyebar malware
  • Pengguna: perangkat dan jaringan saya dipakai untuk perayapan web dan DDoS
  • Operator server: tanpa sadar menjadi target penerima permintaan berlebihan
    • Contoh: instance Forgejo milik penulis juga diubah menjadi privat karena trafik bot yang berlebihan

Balutan bernama 'proksi residensial'

  • Proksi yang memanfaatkan perangkat pengguna sebagai titik pijak disebut "IP residensial"
  • Contoh situs ulasan layanan proksi:
    https://proxyway.com/reviews
  • Di permukaan terlihat seperti infrastruktur yang legal, tetapi pada kenyataannya merupakan struktur penyebaran dan proksi tanpa izin

Kesimpulan: perayapan web kini sudah sampai tingkat penyalahgunaan

  • Penulis berpendapat bahwa semua bentuk perayapan web harus dianggap sebagai tindakan berbahaya
  • Ia menilai crawler web sedang menyerang fondasi web
  • AI adalah pendorong utama struktur ini, dan ia sangat menolak klaim bahwa ini bersifat 'legal'

Saran dan kesadaran masalah

  • Pengembang aplikasi yang menyertakan SDK harus bertanggung jawab
  • Operator platform seperti Apple, Google, Microsoft harus menindak pasar ini
  • Hampir mustahil bagi pengguna biasa untuk mengidentifikasi atau memblokirnya
  • Operator web mencoba menghalangi crawler secara teknis, tetapi ada batasnya

“Berkat AI, web semakin menjadi ruang yang tak lagi bisa dipercaya. Terima kasih, AI.”
– Jan Wildeboer, April 2025

Bacaan terkait

1 komentar

 
GN⁺ 2025-04-20
Pendapat Hacker News

  • Bahwa pengembang aplikasi memasukkan SDK pihak ketiga demi pendapatan adalah bagian dari masalah, dan mereka harus bertanggung jawab karena telah mendistribusikan malware kepada pengguna

    • Curiga banyak SDK memiliki masalah seperti ini
    • Secara pribadi lebih memilih menghindari kecanduan terhadap dependensi dan mengembangkan sendiri
    • Pelaku jahat memanfaatkan kecanduan dependensi para pengembang modern untuk memasang jebakan

  • Ada pasar yang membuat pengembang aplikasi menyertakan library di iOS, Android, MacOS, dan Windows untuk menjual bandwidth jaringan pengguna

    • Ini berkaitan dengan alasan Cloudflare dan Google meminta CAPTCHA
    • Sulit dipahami mengapa Play Protect, MS Defender, dan antivirus Apple tidak mendeteksi malware seperti ini
    • Library SDK yang menjadikan perangkat pengguna bagian dari botnet adalah contoh Trojan yang jelas

  • Masalah web adalah agar data tetap bisa dibaca, admin sistem tertentu harus terus memelihara server

    • Dengan menggunakan model content-addressed, batasan keunikan bisa dihilangkan
    • Scraper AI dapat saling berbagi data dan tidak membebani sumber asli

  • Perangkat lunak berbagi jaringan seharusnya diklasifikasikan sebagai aplikasi yang tidak diinginkan

    • Terpasang bersama sesuatu yang sebenarnya ingin dipasang pengguna lalu menyalahgunakan sumber daya
    • Ingin memeriksa aktivitas mencurigakan menggunakan Wireshark
    • Perlu repositori publik untuk aplikasi yang berperilaku seperti ini

  • Aplikasi yang menyertakan malware harus segera dikarantina

    • Meskipun tidak menimbulkan kerusakan langsung, itu tetap malware

  • Web scraping harus dianggap sebagai penyalahgunaan dan server web harus memblokirnya

    • Platform seperti Youtube kemungkinan besar akan setuju dengan hal ini

  • Bertanya-tanya apakah ada orang yang telah menyusun daftar software yang menggunakan library seperti ini

    • Akan bagus jika bisa tahu aplikasi mana yang harus dihindari

  • Proxy IP residensial memiliki kelemahan berupa alamat IP yang sering berubah

    • IP yang berasal dari penyedia proxy yang sama dapat dideteksi dengan mudah
    • Sedang mengembangkan platform antifraud open source, dan mendeteksi pengguna palsu dari proxy residensial adalah salah satu use case-nya

  • Sejauh ini belum ada bukti yang jelas, tetapi perilaku seperti ini mudah dideteksi

    • iOS memiliki fitur untuk memeriksa koneksi aplikasi
    • Android tidak memiliki fitur seperti ini, tetapi bisa menggunakan firewall pihak ketiga seperti pcapdroid
    • Di MacOS bisa memakai Little Snitch, di Windows bisa memakai Fort Firewall
    • Tidak banyak orang yang memakai aplikasi semacam ini, tetapi mereka kemungkinan akan melaporkan aplikasi yang menggunakan perangkat mereka sebagai botnet

  • Bertanya-tanya apakah ada daftar server c&c yang bisa ditambahkan ke Pihole dan sebagainya