1 पॉइंट द्वारा GN⁺ 2024-08-02 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • ClownStrike.lol के संचालक ने कहा कि CrowdStrike ने CSC Global प्रतीत होने वाली “Clown Services Company” के माध्यम से Cloudflare को बिना आधार वाला takedown notice भेजा, और चूंकि साइट एक पैरोडी है, इसे चलाते रहेंगे
  • यह साइट CrowdStrike outage का व्यंग्य करने के लिए बनाई गई थी, और संचालक ने आलोचना की कि इस outage से एयरलाइन यात्रियों के लाखों लोग प्रभावित हुए और अरबों डॉलर का नुकसान हुआ
  • संचालक ने तर्क दिया कि DMCA का इस्तेमाल करके trademark infringement का मुद्दा उठाकर पैरोडी साइट को हटाने की कोशिश अनुचित है, और पैरोडी, आलोचना, समाचार रिपोर्टिंग और शिक्षा जैसी चीजें fair use में आती हैं
  • इसके बाद Cloudflare, Fortinet और CRDF के साथ टकराव जारी रहा; Fortinet ने लगभग 6 घंटे बाद phishing classification ठीक की, जबकि CRDF ने malicious classification को 8 मिनट में सुधार दिया
  • गैर-व्यावसायिक पैरोडी साइटें भी कंपनियों की हटाने की मांगों और सुरक्षा कंपनियों की गलत वर्गीकरण का शिकार हो सकती हैं, और आपत्ति व counter notice प्रक्रिया संचालक पर काफी बोझ डालती है

CrowdStrike के takedown notice और ClownStrike.lol की प्रतिक्रिया

  • ClownStrike.lol के संचालक ने कहा कि CrowdStrike ने CSC Global के जरिए Cloudflare को साइट हटाने का नोटिस भेजा
  • संचालक ने कहा कि CrowdStrike को पैरोडी साइट पसंद न हो, यह समझा जा सकता है, लेकिन बिना आधार वाले नोटिस से साइट हटवाने की कोशिश करना अनुचित था
  • 31 जुलाई 2024 सुबह नोटिस मिलने के बाद, 1 अगस्त 2024 सुबह Cloudflare को जवाब भेजा गया, और कहा गया कि Cloudflare से साइट हट भी जाए तो भी इसे इंटरनेट पर बनाए रखेंगे
  • Cloudflare ने 2 अगस्त 2024 सुबह फिर संपर्क किया, और संचालक ने उसी दिन दोबारा जवाब दिया
  • 5 अगस्त 2024 दोपहर Cloudflare ने सार्वजनिक दबाव बढ़ने के बाद जवाब दिया, और संचालक ने भी उसी दिन फिर उत्तर दिया

पैरोडी और fair use को लेकर जवाब

  • संचालक ने कहा कि यह साइट CrowdStrike outage का व्यंग्य करने वाली स्पष्ट पैरोडी है, और कोई भी समझदार व्यक्ति इसे उसी रूप में पहचान सकता है
  • उन्होंने कहा कि साइट का कोई व्यावसायिक उपयोग नहीं है, कोई उत्पाद नहीं बेचा जाता, और किसी भी तरीके से इससे पैसा नहीं कमाया जाता
  • DMCA एक copyright law है, इसलिए इसका उपयोग करके trademark infringement के आधार पर पैरोडी साइट हटाने की कोशिश अनुचित है
  • उन्होंने जोर दिया कि पैरोडी, आलोचना, रूपांतरित रचनाएँ, समाचार रिपोर्टिंग/पत्रकारिता और शिक्षा में trademark और copyrighted works के उपयोग के लिए fair use महत्वपूर्ण है
  • उन्होंने 15 U.S. Code § 1125 (c)(3)(c) में दिए गए “Any noncommercial use of a mark” अपवाद का भी हवाला दिया

DMCA प्रक्रिया से संचालक पर पड़ने वाला बोझ

  • संचालक ने आलोचना की कि DMCA का उपयोग कंपनियाँ अपनी असहमति वाले वैध content को हटाने के लिए करती हैं, और EFF लेख को लिंक किया
  • उन्होंने कहा कि DMCA service providers से उल्लंघनकारी सामग्री को तेजी से हटाने या उसकी पहुँच निष्क्रिय करने को कहता है, लेकिन counter notice आने पर access बहाल करने के लिए 14 दिन तक की अनुमति देता है
  • उन्होंने इस ढांचे की आलोचना की कि अमेरिका के कई कानूनों की तरह यह भी वास्तविक नागरिकों की तुलना में कंपनियों के पक्ष में झुका हुआ है
  • उन्होंने यह भी जोड़ा कि CrowdStrike के खिलाफ मुकदमे में जीतना marketing के लिहाज से अच्छा होगा

CrowdStrike outage का व्यंग्य करने का संदर्भ

  • संचालक ने CrowdStrike की आलोचना की कि उसने वैश्विक IT outage पैदा किया, और कई रिपोर्टों व संस्थागत अलर्ट के लिंक दिए
  • लिंक की गई सामग्रियों में CNN, TechCrunch, Ars Technica, CNBC, New York Times, CISA, TechTarget आदि के CrowdStrike outage से जुड़े स्रोत शामिल थे
  • Ars Technica के एक लिंक में बताया गया कि CrowdStrike recovery “अधिकतम 15 reboots” से शुरू होकर और अधिक जटिल हो जाती है
  • एक Ars Technica लिंक में यह भी शामिल था कि Microsoft ने CrowdStrike BSOD से प्रभावित systems की संख्या 8.5 million बताई

CRDF की malicious classification और तेज सुधार

  • 9 अगस्त 2024 अपडेट में संचालक ने कहा कि उन्हें CRDF से संदेश मिला कि ClownStrike.lol को malicious के रूप में वर्गीकृत किया गया है
  • संचालक ने आलोचना की कि CRDF के रिपोर्ट फॉर्म में आक्रामक भाषा शामिल थी
  • उन्होंने यह भी मुद्दा उठाया कि CRDF की शर्तों में रिपोर्ट जमा करने के लिए CRDF को indemnify करने की मांग की जाती है
  • इसके बावजूद उन्होंने रिपोर्ट जमा की, और 8 मिनट बाद CRDF ने जवाब देकर malicious classification ठीक कर दी
  • संचालक ने जोड़ा कि शुरू में साइट सूची में क्यों डाली गई, यह अब भी स्पष्ट नहीं है

Fortinet की phishing classification और आपत्ति

  • 7 अगस्त 2024 अपडेट में कहा गया कि Fortinet ने ClownStrike.lol को phishing के रूप में वर्गीकृत किया
  • संचालक ने FortiGuard web filter से जुड़ा पेज देखा और आपत्ति दर्ज कराने की कोशिश की
  • पहले चुना गया Appeal a blocked Spam IP, URL or Email address मार्ग एक समय खाली पेज या HTTP 500 error लौटा रहा था
  • बाद में फॉर्म फिर काम करने लगा, और Fortinet ने जल्दी जवाब दिया, लेकिन अलग submission path सुझाया
  • Submit a change for a web filter incorrectly rated site वही फॉर्म निकला जिसे वे पहले ही इस्तेमाल कर चुके थे, जबकि Report a problem with Malicious URL classification एक अलग फॉर्म था
  • Fortinet ने लगभग 6 घंटे बाद जवाब दिया और phishing classification ठीक कर दी
  • संचालक ने कहा कि Fortinet ने शुरुआत में phishing चिह्नित करने का कारण नहीं बताया, और आपत्ति प्रक्रिया भी झंझटभरी थी, हालांकि अपेक्षाकृत समय पर सुधार करने की बात उन्होंने मानी

Cloudflare abuse portal की खोज

  • 22 फ़रवरी 2026 अपडेट में संचालक ने पाया कि Cloudflare dashboard में abuse portal जोड़ा गया है
  • उन्होंने कहा कि यह ClownStrike.lol घटना की वजह से हुआ या नहीं, यह पता नहीं है
  • यह वास्तव में काम करता है या नहीं, यह भी स्पष्ट नहीं, और उन्होंने उम्मीद जताई कि उन्हें इसका इस्तेमाल न करना पड़े
  • फिर भी, उन्होंने कहा कि यह email black hole की तुलना में सुधार है, या कम से कम सुधार की कोशिश जैसा लगता है

1 टिप्पणियां

 
GN⁺ 2024-08-02
Hacker News की राय
  • संदर्भ के लिए, CSC ऐसी कंपनी है जिसे दूसरी कंपनियां अपनी ओर से प्रशासनिक काम संभालने के लिए नियुक्त करती हैं
    बहुत मुमकिन है कि आपकी कंपनी भी Delaware राज्य में registered agent के तौर पर CSC का इस्तेमाल करती हो, और CSC की मुख्य भूमिका कागजों पर मौजूद रहना और annual forms जमा करना भर है ताकि अमेरिका में कंपनी के अस्तित्व के लिए जरूरी legal और compliance जरूरतें पूरी रहें
    मुझे नहीं पता था कि वे कंपनी की ओर से DMCA requests भी भेजते हैं; यह उनकी सामान्य छवि से थोड़ा मेल नहीं खाता लगा
    लेकिन खोजने पर पता चला कि CSC के पास Online Brand Protection service है: https://www.cscdbs.com/en/brand-protection/
    ऐसा लगता है कि संभव है CrowdStrike incident से इंटरनेट ठप हुआ, CrowdStrike ने brand protection guarantee शामिल वाली cyber insurance claim की, CrowdStrike या insurance company ने CSC जैसी brand protection service खरीदी, और नतीजतन इस व्यक्ति को takedown request मिली
    शुरुआत में मैं CSC का बचाव करने के लिए लिखना शुरू कर रहा था, लेकिन खोजने पर लगता है कि CSC की brand protection service ही वजह है। CrowdStrike ने अपना brand “protect” करने के लिए पैसे दिए, लेकिन उल्टा असर हो रहा है और इस site का traffic ही बढ़ रहा है

    • विडंबना यह है कि CrowdStrike को उस कंपनी की service में एक अनपेक्षित failure mode के कारण reputation damage झेलना पड़ रहा है, जिसे उन्होंने reputation damage रोकने के लिए hire किया था
      इससे शायद वे उन users के प्रति थोड़ी सहानुभूति महसूस करें जिन्होंने अपनी infrastructure protect करने के लिए CrowdStrike service खरीदी थी
    • मुझे नहीं लगता कि CSC customer confirmation के बिना proactive तरीके से cease-and-desist/takedown notices भेजेगा
      CrowdStrike के अंदर किसी ने “हां, इस मामले में takedown भेजो” कहकर approve किया होना चाहिए
      यह निष्कर्ष CSC brand protection इस्तेमाल करने वाली जगह पर काम करने के अनुभव पर आधारित है
    • असल में clownstrike.com register करके crowdstrike.com पर redirect किया गया है
      https://who.is/whois/clownstrike.com
    • मुझे लगा CSC कोई parody site है। सिर्फ buzzwords भरे हैं, product नहीं है, और बस “solutions” दिखते हैं, जिसे दूसरी कंपनियों में अक्सर “वास्तव में बेचने लायक कुछ नहीं है” के अर्थ में इस्तेमाल किया जाता है
    • यह Streisand effect है
  • सोचता हूं कंपनियां इस तरह के enforcement actions से होने वाले reputation damage को कितना ध्यान में रखती हैं
    हाल में एक छोटे biotech startup की जानकारी खोजते समय मुझे यह दिखा: https://udrp.adr.eu/decisions/detail?id=65fab3e46fc02956a01040a9
    आगे जब भी उस company का नाम सुनूंगा, शायद यह घटना सबसे पहले याद आएगी

    • यह हैरान करने वाला है कि उन्होंने उस व्यक्ति पर मुकदमा किया जो अपना surname domain के रूप में इस्तेमाल कर रहा था। यानी वे मानते थे कि उनका trademark दूसरे व्यक्ति के family name के इस्तेमाल को भी रोक सकना चाहिए
      ऊपर से वह trademark उस व्यक्ति द्वारा अपना नाम इस्तेमाल करना शुरू करने के बाद register हुआ था
    • Mr. Scipio को domain न खोने के लिए evidence देना पड़ा, privacy खोनी पड़ी, और domain इस्तेमाल करने की वजह justify करनी पड़ी
      यही अपने-आप में पर्याप्त evidence है कि UDRP बहुत अन्यायपूर्ण है और इसे खत्म होना चाहिए
      “first come, first served” इस बकवास से कहीं ज्यादा fair है कि “burden of proof defendant पर है”
      किसी दिन ICANN को किसी बेहतर चीज से replace करना होगा
    • वह तो 5,000 euro में बेचने को भी तैयार था। किसी के पैसे मांग सकने की बात पर भड़कने के बजाय अगर उन्होंने वह छोटी रकम दे दी होती तो domain मिल जाता, सच में हास्यास्पद है
      अच्छा हुआ Christian जीता, और दूसरी तरफ वाले मूर्ख लगते हैं
      हालांकि एक सवाल भी उठता है। मेरे पास बहुत समय से arp242.net है, और यह जाहिर है कि मेरा real name नहीं है। क्या कोई company “arp242” को trademark के रूप में register करके मेरा domain छीन सकती है?
    • ऐसे कदम और ज्यादा नजरें और ध्यान खींचते हैं, और जो लोग पहले अनजान थे या जिनकी कोई राय नहीं थी, उन्हें भी उस company को नकारात्मक रूप से देखने पर मजबूर करते हैं
      https://en.m.wikipedia.org/wiki/Streisand_effect
    • Nissan Computer Company के Uzi Nissan की याद आती है
  • CrowdStrike को बता दूं, इस घटना से आपने अपने brand को अतिरिक्त और व्यापक नुकसान पहुंचाया है, और संभव है कि उन लोगों को और हिम्मत दी हो जो lawsuit करने में हिचक रहे थे
    अनैतिक व्यवहार और DMCA abuse आखिरकार CrowdStrike को सजा दिलाने के लिए इस्तेमाल होगा
    अगर ClownStrike को हटाने में सफल हो गए, तो और ज्यादा नफरत कमाएंगे
    अपने brand, reputation, customers और industry के trust और goodwill को चकनाचूर करने की प्रक्रिया का आनंद लीजिए

    • reputation damage के बाद companies कभी-कभी अपना नाम पूरी तरह बदल देती हैं
      कहीं ऐसा तो नहीं कि CrowdStrike बाद में clownstrike नाम से rebrand करके reputation damage से बचना चाहता हो, इसलिए अभी attack कर रहा है?
  • यही वजह है कि content और readers के बीच intermediaries को जितना हो सके कम करना चाहिए
    आदर्श स्थिति यह है कि आपके पास अपना ASN, contracted line और अपने physical servers हों। तब takedown का target सिर्फ upstream bandwidth provider होगा
    इसके बाद hosting provider, edge cache/firewall provider, commercial CMS जैसे targets एक-एक करके बढ़ते जाते हैं। इसलिए बीच के points बहुत सोच-समझकर चुनने चाहिए
    commercial CMS चुनने पर आप आसान target बन जाते हैं, और Cloudflare चुनने पर भी ऐसा ही लगता है

    • Cloudflare harassment के खिलाफ शायद तभी खड़ा होता है जब CEO को व्यक्तिगत रूप से attack महसूस हो
    • इस मामले में Cloudflare की समझ की विफलता के कारण और किरकिरी हुई। उन्होंने trademark complaint और copyright complaint में फर्क नहीं किया और पहले वाले को गलती से दूसरे वाला दिखा दिया
      fair use के सवाल से अलग, DMCA trademark disputes पर लागू नहीं होता
    • अगला Cloudstrike.com है क्या?
    • https://madattheinternet.substack.com/p/where-the-sidewalk-ends-the-death
  • मैं CSC को अच्छी तरह जानता हूँ, और उनसे कई नकली DMCA takedown requests मिल चुकी हैं।
    वे आम तौर पर इन्हें DMCA जैसा दिखाते हैं, लेकिन कई बार लोगो copyright (c) नहीं बल्कि trademark (TM) होता है। इसलिए वे DMCA नहीं भेज सकते।
    मूल रणनीति है इंटरनेट पर नकली DMCA बड़ी मात्रा में फैलाना और ब्रांड के लिए सकारात्मक न दिखने वाली हर चीज़ को निशाना बनाना।
    मैंने इन requests को 100% ignore किया है और अब तक कुछ नहीं हुआ। यह ध्यान रखना चाहिए कि वे ऐसी requests लाखों की संख्या में भेजते हैं।

  • इस पोस्ट के upvotes देखकर लगता है CrowdStrike ने बड़ी PR गलती की है।

    • अगर कुछ साल बाद CrowdStrike “parody पर fake DMCA भेजने वाली कंपनी” के रूप में जानी जाए, तो यह बहुत बड़ी सफलता भी हो सकती है।
      अभी तो नकारात्मक ध्यान को मोड़ना भी उनके लिए अच्छा हो सकता है।
    • यहाँ Streisand effect पूरी तरह काम कर रहा है। अब यह साधारण PR गलती से आगे निकल चुका है, और उम्मीद है कि mainstream media इसे कवर करेगी।
    • अगर revenue पर असर नहीं पड़ता, तो किसे फर्क पड़ेगा?
    • मुझे लगता है कि CrowdStrike की ओर से brand reputation company ने गलती की। CrowdStrike के अंदर किसी व्यक्ति के सीधे शामिल होने की संभावना कम लगती है।
  • Cloudflare के वकीलों को CrowdStrike से साफ कह देना चाहिए था कि दफा हो जाओ।
    DMCA के copyright प्रावधान सिर्फ copyrighted content पर लागू होते हैं, trademarks पर नहीं।
    Cloudflare बिना liability लिए इन मसखरों को दफा होने को कह सकता था, और उल्टा fake DMCA claim के लिए कार्रवाई की धमकी भी दे सकता था।

    • सभी internet providers DMCA के प्रावधानों का इस्तेमाल करके बोझ claimant पर वापस नहीं डालते। ऐसा केवल कुछ ही करते हैं।
      आम तौर पर जिन internet providers या CDN के free plans होते हैं, उनके लिए ऐसा करना मुश्किल होता है, क्योंकि malicious actors free plans का बड़े पैमाने पर दुरुपयोग करते हैं।
      इसके विपरीत, known customers से असली पैसा लेने वाले internet providers या CDN आमतौर पर तब तक customer को offline नहीं करते जब तक customer को online बनाए रखने के सभी legal रास्ते खत्म न हो जाएँ, या upstream provider की तरफ से दूसरे customers तक खतरा पहुँचने के कारण पीछे न हटना पड़े।
      यह सिर्फ “जितना पैसा दिया, उतना मिला” वाली बात नहीं है; बात यह सुनिश्चित करने की है कि उसी provider का उपयोग करने वाले सभी लोग भुगतान कर रहे हैं, और मामला होने के बाद नहीं बल्कि पहले ही provider से इस पर चर्चा की जाए।
      इस तरीके के लिए chain की हर कड़ी का वैसा होना ज़रूरी है, नहीं तो किसी दूसरे jurisdiction में hosting करनी होगी, जो कुछ data या content के लिए संभव नहीं हो सकता।
      अगर US में रहना ज़रूरी है, तो ऐसे internet provider, CDN, DNS registrar, datacenter और backbone provider ढूँढने होंगे जो पूछे जाने से पहले ही content न हटाएँ।
      हम कभी ऐसे provider रहे हैं जिसने बेतुके कारणों से customers को हटाने से इनकार किया, और कभी ऐसे upstream provider के customer भी रहे हैं जिसने हमारे customers को धमकी मिलने पर हमें हटाने से इनकार किया। जब बड़ी कंपनियाँ court तक जाने पर अड़ीं, तो झुकने के बजाय हमने पैसा खर्च किया; वे बड़ी कंपनियाँ आमतौर पर तुरंत हार गईं, और हमने EFF को भी donate किया।
    • अगर Cloudflare ने content नहीं हटाया होता और वह content infringing होता, तो वह safe harbor protection खो सकता था [1]।
      इस मामले में website स्पष्ट रूप से parody है। यह घटना DMCA की समस्या को अच्छी तरह दिखाती है। Fraudulent DMCA requests लागत पैदा करती हैं, लेकिन शायद ही कभी सज़ा मिलती है।
      [1] https://www.dmca.com/FAQ/What-is-a-DMCA-Takedown
  • CrowdStrike/CSC कम से कम 2012 से clownstrike.com और clownstrike.net के मालिक हैं, लेकिन लगता है नए top-level domains तक ध्यान नहीं रख पाए।

    • सही [0]। लेकिन और भी चौंकाने वाली बात यह है कि clownstrike.com crowdstrike.com पर redirect होता है।
      पता नहीं उन्होंने इसे अच्छा idea क्यों समझा, लेकिन इसकी वजह से web पर उसका ज़िक्र करते समय सच में clownstrike.com इस्तेमाल किया जा सकता है।
      [0] https://www.whois.com/whois/clownstrike.com
    • तेजी से बदलते dynamic environment में लगातार सब संभालना मुश्किल हो सकता है। शुक्र है कि वे EDR नहीं चलाते।
    • जब .xxx top-level domain खुला था, मैं company_name में काम कर रहा था, और मेरे boss को पूरा यकीन था कि हमें company_name.xxx खरीदना चाहिए।
      मैंने उन्हें समझाकर रोका, और सौभाग्य से अब तक किसी ने maliciously company_name.xxx register नहीं किया। बेशक यह कभी भी हो सकता है।
    • यह सोच आना ही काफी हैरान करने वाला है। शायद मैं ही भोला हूँ।
      सोचता हूँ कि वे और कौन-से parody नाम या variant names own करते होंगे।
    • अब top-level domains लगभग 2,000 हो चुके हैं और लगातार बढ़ रहे हैं, है न? हर संभव parody domain को हर TLD में own करना realistic नहीं लगता।
  • Streisand effect पूरी तरह चालू है।
    HN के अंदर भी बहुत से लोग इस parody site के बारे में नहीं जानते होंगे, लेकिन अब जानेंगे और सक्रिय रूप से देखेंगे।
    अफसोस है कि सैकड़ों अरब डॉलर की industry चलाने वाले लोग socio-economic dynamics में actions के बुनियादी unintended consequences बिल्कुल नहीं सीखते दिखते।

    • असल में कोई परिणाम नहीं है। उन्हें पता है वे क्या कर रहे हैं, और सीखने को कुछ नहीं है।
    • मान लो 1,000 HN users इस site पर जाते हैं। तो क्या बदल जाएगा?
  • अगर ClownStrike site हटाना चाहता था, तो उन्हें बस एक और bug update deploy करना था।
    तब बाकी internet के साथ वह site भी down हो जाती।

    • अगली बार केवल वही sites प्रभावित होंगी जो सभी CrowdStrike updates को बिना किसी verification के तुरंत हर device पर allow करती हैं।
      सक्षम IT departments समझ जाएँगे कि अब वे इस तरह business को risk में नहीं डाल सकते।
      खासकर airlines को मानना होगा कि CrowdStrike हो या Microsoft, अगर ऐसा फिर हुआ तो वे करोड़ों डॉलर का नुकसान नहीं झेल सकतीं, और updates को पहले केवल test systems पर लागू करने का तरीका बनाना होगा।