CrowdStrike tìm cách gỡ bỏ trang web nhại
(clownstrike.lol)- Người vận hành ClownStrike.lol cho biết CrowdStrike đã gửi thông báo gỡ bỏ vô căn cứ tới Cloudflare thông qua “Clown Services Company”, được cho là CSC Global, và tuyên bố sẽ tiếp tục duy trì trang vì đây là trang nhại
- Trang này được tạo ra để châm biếm sự cố của CrowdStrike, và người vận hành chỉ trích rằng sự cố đó đã gây ảnh hưởng tới hàng triệu hành khách hàng không và thiệt hại trị giá hàng tỷ USD
- Người vận hành phản bác rằng việc dùng DMCA để nêu vấn đề xâm phạm nhãn hiệu nhằm hạ một trang nhại là không phù hợp, và nhại, phê bình, đưa tin, giáo dục... đều thuộc phạm vi sử dụng hợp lý
- Sau đó tiếp tục phát sinh va chạm với Cloudflare, Fortinet và CRDF; Fortinet đã sửa phân loại lừa đảo sau khoảng 6 giờ, còn CRDF sửa phân loại độc hại chỉ trong 8 phút
- Ngay cả một trang nhại phi thương mại cũng có thể bị ảnh hưởng bởi yêu cầu gỡ bỏ từ doanh nghiệp và việc phân loại sai từ các hãng bảo mật; quy trình phản đối và counter notice tạo gánh nặng đáng kể cho người vận hành
Thông báo gỡ bỏ của CrowdStrike và phản ứng của ClownStrike.lol
- Người vận hành ClownStrike.lol cho biết CrowdStrike đã gửi thông báo gỡ bỏ tới Cloudflare thông qua CSC Global
- Người vận hành nói rằng có thể hiểu CrowdStrike không thích một trang nhại, nhưng chỉ trích cách họ tìm cách hạ trang bằng một thông báo vô căn cứ là không phù hợp
- Sau khi nhận thông báo vào sáng 2024-07-31, người vận hành đã gửi phản hồi cho Cloudflare vào sáng 2024-08-01 và nói rằng ngay cả khi trang bị gỡ khỏi Cloudflare, nó vẫn sẽ tiếp tục tồn tại trên Internet
- Cloudflare liên hệ lại vào sáng 2024-08-02, và người vận hành đã phản hồi thêm trong cùng ngày
- Chiều 2024-08-05, Cloudflare phản hồi sau khi áp lực công khai gia tăng, và người vận hành cũng trả lời lại trong ngày
Phản bác xoay quanh nhại và sử dụng hợp lý
- Người vận hành cho rằng đây là một trang nhại rõ ràng nhằm châm biếm sự cố của CrowdStrike, và bất kỳ người hợp lý nào cũng có thể nhận ra điều đó
- Trang không có mục đích thương mại, không bán sản phẩm và không kiếm tiền dưới bất kỳ hình thức nào
- Họ chỉ trích rằng DMCA là luật bản quyền, nên việc dùng nó để viện dẫn xâm phạm nhãn hiệu nhằm hạ một trang nhại là không phù hợp
- Họ nhấn mạnh tầm quan trọng của sử dụng hợp lý trong việc dùng nhãn hiệu và tác phẩm có bản quyền cho mục đích nhại, phê bình, tác phẩm cải biên, đưa tin/báo chí và giáo dục
- Họ cũng viện dẫn ngoại lệ “Any noncommercial use of a mark” trong 15 U.S. Code § 1125 (c)(3)(c)
Gánh nặng mà quy trình DMCA đặt lên người vận hành
- Người vận hành chỉ trích DMCA bị dùng để hạ nội dung hợp pháp mà doanh nghiệp không đồng tình, đồng thời dẫn liên kết tới bài viết của EFF
- Họ chỉ ra rằng DMCA yêu cầu nhà cung cấp dịch vụ nhanh chóng gỡ hoặc vô hiệu hóa quyền truy cập đối với tài liệu bị cho là vi phạm, nhưng lại cho phép tới 14 ngày để khôi phục truy cập khi có counter notice
- Họ chỉ trích cấu trúc này, giống nhiều luật khác ở Mỹ, là có lợi cho doanh nghiệp hơn là cho công dân thực tế
- Họ cũng nói thêm rằng nếu thắng CrowdStrike trong một vụ kiện thì điều đó sẽ khá tốt về mặt marketing
Bối cảnh châm biếm sự cố của CrowdStrike
- Người vận hành chỉ trích CrowdStrike đã gây ra một sự cố CNTT toàn cầu và đính kèm liên kết tới nhiều bài báo và thông báo từ các cơ quan
- Các liên kết gồm tài liệu liên quan đến sự cố CrowdStrike từ CNN, TechCrunch, Ars Technica, CNBC, New York Times, CISA, TechTarget...
- Một trong các liên kết của Ars Technica đề cập việc khôi phục CrowdStrike bắt đầu từ “khởi động lại tới 15 lần” rồi trở nên phức tạp hơn
- Cũng có liên kết Ars Technica nói rằng Microsoft đã nhắc tới 8,5 triệu hệ thống bị ảnh hưởng bởi BSOD do CrowdStrike
Phân loại độc hại của CRDF và việc sửa rất nhanh
- Trong bản cập nhật ngày 2024-08-09, người vận hành cho biết họ nhận được thông báo rằng CRDF đã phân loại ClownStrike.lol là malicious
- Người vận hành chỉ trích biểu mẫu báo cáo của CRDF có chứa ngôn từ mang tính công kích
- Họ cũng nêu vấn đề với điều khoản yêu cầu miễn trừ trách nhiệm cho CRDF để có thể gửi báo cáo
- Dù vậy, họ vẫn gửi báo cáo và 8 phút sau CRDF đã phản hồi, sửa lại phân loại malicious
- Người vận hành nói thêm rằng họ không biết vì sao trang lại bị đưa vào danh sách ngay từ đầu
Phân loại lừa đảo của Fortinet và quá trình khiếu nại
- Trong bản cập nhật ngày 2024-08-07, Fortinet đã phân loại ClownStrike.lol là phishing
- Người vận hành kiểm tra các trang liên quan tới FortiGuard web filter và thử tiến hành khiếu nại
- Đường dẫn Appeal a blocked Spam IP, URL or Email address mà họ chọn đầu tiên từng trả về trang trống hoặc lỗi HTTP 500
- Sau đó biểu mẫu hoạt động trở lại, và Fortinet phản hồi nhanh nhưng hướng dẫn một tuyến gửi khác
- Submit a change for a web filter incorrectly rated site thực ra là cùng một biểu mẫu họ đã dùng, còn Report a problem with Malicious URL classification là một biểu mẫu khác
- Fortinet phản hồi sau khoảng 6 giờ và sửa lại phân loại phishing
- Người vận hành nói Fortinet không giải thích vì sao ban đầu lại gắn nhãn phishing, và quy trình khiếu nại cũng phiền phức, nhưng vẫn thừa nhận rằng họ đã sửa tương đối kịp thời
Phát hiện abuse portal của Cloudflare
- Trong bản cập nhật ngày 2026-02-22, người vận hành phát hiện bảng điều khiển Cloudflare đã được bổ sung abuse portal
- Họ nói không rõ điều này có phải vì vụ việc ClownStrike.lol hay không
- Họ cũng không biết nó có thực sự hoạt động hay không, và nói thêm rằng hy vọng sẽ không phải dùng đến nó
- Dù vậy, họ đánh giá đây vẫn là một cải thiện, hoặc ít nhất là một nỗ lực cải thiện, so với một hố đen email
1 bình luận
Ý kiến trên Hacker News
Xin nói thêm, CSC là công ty được các công ty khác thuê để xử lý công việc hành chính thay họ
Rất có thể công ty của bạn cũng đang dùng CSC làm đại diện đăng ký tại bang Delaware, và vai trò chính của CSC chỉ là tồn tại trên giấy tờ và nộp các biểu mẫu hằng năm để đáp ứng các yêu cầu pháp lý và tuân thủ cần thiết giúp công ty duy trì hoạt động tại Mỹ
Tôi không biết họ còn gửi cả yêu cầu DMCA thay mặt công ty nữa, nên điều đó có vẻ hơi lệch với hình dung ban đầu của tôi
Nhưng tìm thử thì thấy CSC có dịch vụ Online Brand Protection: https://www.cscdbs.com/en/brand-protection/
Có vẻ khả năng là sau khi sự cố CrowdStrike làm Internet tê liệt, CrowdStrike đã yêu cầu bồi thường bảo hiểm an ninh mạng có kèm bảo vệ thương hiệu, rồi CrowdStrike hoặc bên bảo hiểm đã mua một dịch vụ bảo vệ thương hiệu kiểu của CSC, và kết quả là người này nhận được yêu cầu gỡ bài
Ban đầu tôi viết để bênh CSC, nhưng tìm kiếm xong thì có vẻ chính dịch vụ bảo vệ thương hiệu của CSC là nguyên nhân. CrowdStrike đã trả tiền để “bảo vệ” thương hiệu, nhưng cuối cùng lại tạo ra hiệu ứng hoàn toàn ngược lại là chỉ làm tăng thêm traffic cho trang này
Chuyện này có khi còn khiến người ta đồng cảm hơn một chút với những khách hàng đã mua CrowdStrike để bảo vệ hạ tầng của họ
Chắc hẳn phải có ai đó trong nội bộ CrowdStrike phê duyệt kiểu “ừ, gửi yêu cầu gỡ cho vụ này đi”
Đây là nhận định dựa trên kinh nghiệm làm ở nơi từng dùng dịch vụ bảo vệ thương hiệu của CSC
https://who.is/whois/clownstrike.com
Tôi tự hỏi các công ty thực sự cân nhắc đến mức nào về tổn hại danh tiếng mà những hành động thực thi kiểu này gây ra
Gần đây tôi tìm thông tin về một startup công nghệ sinh học nhỏ và thấy vụ này: https://udrp.adr.eu/decisions/detail?id=65fab3e46fc02956a01040a9
Sau này hễ nghe tên công ty đó, có lẽ tôi sẽ nhớ đến chuyện này trước tiên
Hơn nữa, nhãn hiệu đó còn được đăng ký sau khi người kia đã bắt đầu dùng tên của mình
Chỉ riêng điều này cũng đã là bằng chứng đủ cho thấy UDRP cực kỳ bất công và nên bị xóa bỏ
“Ai đến trước thì được trước” công bằng hơn nhiều so với cái luận điệu vô nghĩa rằng “gánh nặng chứng minh thuộc về bị đơn”
Một ngày nào đó, ICANN cần được thay thế bằng một thứ tốt hơn
May là Christian đã thắng, còn phía kia thì trông đúng là ngốc nghếch
Nhưng điều đó cũng làm tôi nảy ra một thắc mắc. Tôi đã có arp242.net từ rất lâu rồi, mà rõ ràng đó không phải tên thật của tôi. Liệu có công ty nào đăng ký “arp242” làm nhãn hiệu rồi cướp mất tên miền của tôi không?
https://en.m.wikipedia.org/wiki/Streisand_effect
Gửi lời đến CrowdStrike: với vụ này, họ đã tự gây ra thêm tổn hại lớn và trên diện rộng cho thương hiệu của mình, đồng thời có thể đã tiếp thêm dũng khí cho những người còn đang lưỡng lự chuyện kiện tụng
Hành vi phi đạo đức và lạm dụng DMCA cuối cùng sẽ được dùng để trừng phạt CrowdStrike
Nếu họ thành công trong việc hạ ClownStrike xuống, họ sẽ còn bị ghét hơn nữa
Chúc họ tận hưởng quá trình tự tay phá nát thương hiệu, danh tiếng, cùng niềm tin và thiện cảm của khách hàng lẫn cả ngành
Biết đâu CrowdStrike đang tấn công bây giờ chỉ vì sau này họ muốn đổi tên công ty thành clownstrike để né thiệt hại danh tiếng?
Đây là lý do phải giảm tối đa số lượng bên trung gian giữa nội dung và độc giả
Tình huống lý tưởng là có ASN riêng, đường truyền thuê riêng và máy chủ vật lý riêng. Khi đó đối tượng có thể bị nhắm tới để gỡ bỏ chỉ còn là nhà cung cấp băng thông upstream
Từ đó mỗi lớp như nhà cung cấp hosting, nhà cung cấp edge cache/tường lửa, hay CMS thương mại lại thêm một mục tiêu nữa. Vì vậy phải chọn các điểm trung gian thật cẩn thận
Có vẻ nếu chọn CMS thương mại thì bạn trở thành mục tiêu dễ ăn, và chọn Cloudflare cũng vậy
Bất kể có phải sử dụng hợp lý hay không, DMCA không áp dụng cho tranh chấp nhãn hiệu
Tôi khá hiểu CSC và đã từng nhận rất nhiều yêu cầu gỡ bỏ DMCA giả mạo từ họ
Thường họ làm cho nó trông giống DMCA, nhưng logo lại là thương hiệu (TM) chứ không phải bản quyền (c). Vì vậy không thể gửi DMCA
Chiến lược cơ bản là phát tán hàng loạt DMCA giả trên Internet để nhắm vào mọi thứ không khiến thương hiệu trông tích cực
Tôi luôn phớt lờ 100% các yêu cầu đó và đến giờ chưa có chuyện gì xảy ra. Cần nhớ rằng họ gửi những yêu cầu kiểu này với số lượng lên tới hàng triệu
Nhìn vào số lượt upvote của bài này thì có vẻ CrowdStrike đã mắc một sai lầm PR lớn
Hiện tại, ngay cả việc chuyển hướng sự chú ý theo chiều tiêu cực cũng có thể có lợi cho họ
Các luật sư của Cloudflare lẽ ra nên bảo CrowdStrike biến đi
Điều khoản bản quyền của DMCA chỉ áp dụng cho nội dung có bản quyền, không áp dụng cho thương hiệu
Cloudflare hoàn toàn có thể bảo đám hề này biến đi mà không phải chịu trách nhiệm, thậm chí còn có thể dọa đáp trả bằng khiếu nại DMCA giả mạo
Nói chung, các nhà cung cấp Internet hoặc CDN có gói miễn phí khó làm thế, vì các tác nhân xấu thường lạm dụng hàng loạt gói miễn phí
Ngược lại, các nhà cung cấp Internet hoặc CDN đang thu tiền thật từ khách hàng đã biết danh tính thường sẽ không gỡ xuống cho đến khi mọi con đường pháp lý để giữ khách hàng online đã cạn, hoặc khi phía nhà cung cấp cấp trên lùi bước vì các khách hàng khác cũng bị đe dọa
Đây không đơn thuần là chuyện tiền nào của nấy, mà là bảo đảm mọi người dùng cùng một nhà cung cấp đều đang trả chi phí, và trao đổi trước với nhà cung cấp thay vì đợi đến lúc sự cố xảy ra
Muốn dùng cách này thì mọi mắt xích đều phải như vậy, nếu không thì phải host ở khu vực tài phán khác, điều có thể là bất khả thi với một số dữ liệu hoặc nội dung
Nếu buộc phải ở Mỹ, bạn cần tìm nhà cung cấp Internet, CDN, đơn vị đăng ký DNS, trung tâm dữ liệu và nhà cung cấp backbone không gỡ xuống trước cả khi hỏi
Tôi từng là nhà cung cấp từ chối gỡ khách hàng vì những lý do vớ vẩn, và cũng từng là khách hàng của nhà cung cấp cấp trên đã từ chối gỡ chúng tôi khi khách hàng của chúng tôi bị đe dọa. Khi tập đoàn lớn cứng rắn đòi ra tòa, chúng tôi bỏ tiền ra thay vì đầu hàng, và các tập đoàn lớn thường thua ngay, đồng thời chúng tôi cũng đã quyên góp cho EFF
Trong trường hợp này, trang web rõ ràng là nội dung nhại lại. Vụ này cho thấy rõ vấn đề của DMCA. Các yêu cầu DMCA gian dối gây ra chi phí nhưng hầu như không bị trừng phạt
[1] https://www.dmca.com/FAQ/What-is-a-DMCA-Takedown
CrowdStrike/CSC ít nhất từ năm 2012 đã sở hữu clownstrike.com và clownstrike.net, nhưng có vẻ không lo đến các tên miền cấp cao nhất mới
Tôi không hiểu tại sao họ nghĩ đó là ý hay, nhưng nhờ vậy khi nhắc đến nó trên web, người ta thực sự có thể dùng clownstrike.com
[0] https://www.whois.com/whois/clownstrike.com
Tôi đã thuyết phục để ngăn lại, và may là đến giờ chưa ai đăng ký company_name.xxx với ý đồ xấu. Tất nhiên chuyện đó có thể xảy ra bất cứ lúc nào
Tôi tự hỏi họ còn sở hữu những tên nhại lại hay biến thể nào khác nữa
Hiệu ứng Streisand đang hoạt động hết công suất
Ngay trong HN hẳn cũng có nhiều người chưa từng biết đến trang nhại lại này, nhưng giờ họ sẽ biết và sẽ chủ động vào xem
Thật đáng tiếc khi những người điều hành một ngành công nghiệp trị giá hàng trăm tỷ đô dường như hoàn toàn không học được những hệ quả ngoài ý muốn cơ bản của hành động trong các động lực kinh tế-xã hội
Nếu ClownStrike muốn hạ trang đó thì chỉ cần phát hành thêm một bản cập nhật lỗi nữa
Khi đó cùng với phần còn lại của Internet, trang đó cũng sẽ sập theo
Các bộ phận IT có năng lực rồi sẽ hiểu rằng họ không thể tiếp tục đặt doanh nghiệp vào rủi ro theo cách này
Đặc biệt, các hãng hàng không sẽ phải thừa nhận rằng dù là CrowdStrike hay Microsoft, nếu chuyện này lặp lại thì họ không thể gánh nổi thiệt hại hàng trăm triệu đô, và cần thiết lập cách chỉ cập nhật trước trên hệ thống thử nghiệm