Những gì hacker đã đánh cắp từ tôi

 (mynoise.net)
1 điểm bởi GN⁺ 2025-07-07 | 1 bình luận | Chia sẻ qua WhatsApp
  • myNoise là một dự án cá nhân được khởi đầu với mong muốn tạo ra một không gian Internet tích cực đến mức ai đó cũng muốn tự mình ghé thăm trong một thế giới hỗn loạn
  • Gần đây, trang web đã hứng chịu hàng trăm nghìn lần thử tấn công, bao gồm các nỗ lực chèn mã và cách làm tiêu hao tài nguyên máy chủ

Diễn biến và tác động của cuộc tấn công

  • myNoise không dùng CMS có sẵn mà là một cấu trúc do chính tác giả phát triển, nên đã có thể chặn được các cuộc tấn công chèn mã
  • Tuy nhiên, hacker đã đổi chiến lược, chuyển sang cách liên tục tải xuống các tệp âm thanh một cách vô nghĩa để làm tiêu hao lưu lượng máy chủ
  • Người vận hành từ trước đến nay luôn cố gắng quan tâm đến môi trường, như trồng cây hằng năm để bù lại mức tiêu thụ năng lượng của khách truy cập, nhưng những cuộc tấn công như vậy lại để lại cảm giác trống rỗng như thể đang chế nhạo chính những nỗ lực đó

Sự mất cân bằng giữa phá hủy và sáng tạo

  • Trải nghiệm này một lần nữa gợi nhắc đến quy luật entropy rằng “năng lượng cần để phá hỏng một thứ luôn ít hơn công sức cần để tạo ra nó
  • Nó cũng mang đến cảm giác hụt hẫng và buồn bã khi nghĩ về sự khác biệt giữa sự tàn phá cơ thể do bệnh tật gây ra với khó khăn của quá trình hồi phục, và những thiệt hại bị cố ý gây ra bởi người khác
  • Kiểu phá hoại này vượt xa một cuộc tấn công máy chủ đơn thuần, nó còn cướp đi năng lượng, thời gian và cả sự bình yên trong tâm trí

Ý nghĩa của những thay đổi nhỏ theo hướng tốt đẹp

  • Gần đây, tác giả nhớ lại trải nghiệm cả gia đình chăm sóc một chú chim bồ câu non bị rơi khỏi tổ và bị thương, rồi giúp nó khỏe mạnh để trở về với tự nhiên
  • Những hành động tích cực nhỏ bé như vậy khiến người ta cảm nhận được ý nghĩa của cuộc sống
  • Nhưng đồng thời vẫn luôn tồn tại nỗi bất an rằng sẽ có ai đó cản trở những nỗ lực thiện ý như thế

Kết lại và quyết tâm

  • Sau cuộc tấn công lần này, máy chủ không sụp đổ, nhưng tôi có cảm giác thời gian, năng lượng và phần bình yên còn lại của mình đã bị đánh cắp
  • Quỹ thời gian vốn dành để tạo âm thanh mới, xây dựng môi trường yên tĩnh và tạo ra những thay đổi tích cực đã bị tiêu hao vào việc phòng thủ, khôi phục và chuẩn bị đối sách
  • Dù vậy, tác giả vẫn bày tỏ ý chí tiếp tục tạo ra thay đổi tích cực như trồng cây, làm âm thanh và chăm sóc những sinh linh cần được giúp đỡ
  • Cuối cùng, bài viết khép lại với thông điệp rằng “thế giới chỉ có ý nghĩa khi có nhiều người tạo dựng hơn, còn phá hủy thì không có ý nghĩa gì

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-07-07
Ý kiến Hacker News

  • Gần đây tôi từng khổ sở vì vấn đề tiếng ồn, và xin chia sẻ rằng việc mở white noise đã được chỉnh EQ phù hợp qua loa thực sự giúp ích rất nhiều cho tinh thần và giấc ngủ của tôi. Ứng dụng mynoise không hào nhoáng, nhưng cung cấp đầy đủ những tính năng thật sự cần thiết và là một dịch vụ đáng tin cậy hoạt động tốt trên nhiều thiết bị. Lúc mua tôi không biết gì về nhà phát triển, nhưng qua câu chuyện này tôi có cảm giác dịch vụ ấy giờ đã có một gương mặt. Khi bị tấn công, người ta còn có thể bị thêm một dạng sang chấn làm lung lay cả niềm tin vào con người. Điều đó có thể lan sang thái độ phòng thủ/tấn công hoặc phá vỡ lòng tin, nên nếu muốn cắt đứt vòng lặp ấy thì cuối cùng sức khỏe tinh thần dài hạn xuyên suốt nhiều thế hệ mới là điều thật sự cốt lõi

    • Tôi cũng từng trực tiếp chịu đựng vấn đề tiếng ồn kéo dài từ người thuê nhà ở tầng trên. Có phàn nàn với văn phòng thì cũng chỉ nhận được sự thông cảm chứ không có biện pháp thực chất nào. Vì vậy tôi đã tạo một phím tắt iOS để khi nói với Siri “Loud neighbors” thì email khiếu nại sẽ tự động được gửi cho chủ nhà. Khi email được gửi 3–4 lần mỗi tuần thì hiệu quả khá rõ. Việc chỉ cho khách đến văn phòng về không giống chút nào với việc phải trực tiếp trả lời email mỗi lần. Tất nhiên không phải tình huống nào cũng áp dụng được, nhưng tôi hoàn toàn đồng cảm với nỗi mệt mỏi vì tiếng ồn và mong mọi người đều có được cuộc sống bình yên

  • Đây là câu chuyện thực tế về việc hacker đã gần như khiến https://glslsandbox.com biến mất. Dịch vụ đã ngừng hoạt động suốt một năm rưỡi vì các đợt spam của hacker. Trong trường hợp của tôi, vì dịch vụ là miễn phí nên tôi tạm ẩn nó sau Cloudflare, nhưng tôi luôn thấy khó chịu với kiểu lý lẽ rất đặc trưng của hacker rằng “nếu có lỗ hổng bảo mật thì là lỗi của bạn”. Chỉ vì cửa sổ, cửa ra vào, thậm chí cơ thể con người cũng có thể bị phá, không có nghĩa là đó là cái cớ để nói rằng “đập phá là điều đương nhiên”. Tất nhiên tôi cũng thừa nhận thực tế rằng gần như không thể loại bỏ kiểu người như vậy khỏi thế giới này

    • Tôi thật sự đồng cảm với đoạn cuối. Tôi cao 6’3’’, nặng 260 pound, từng nhiều lần thi Ironman, chơi thể thao, leo núi, tập gym, đi săn và cả được huấn luyện chiến đấu. Nói thật thì tôi có thể giết phần lớn những người quanh mình bằng tay không, nhưng tôi không sống như thế. Cuộc sống không phải vậy. Thế mà với ô tô, điện thoại, dự án của người khác, ở đâu người ta cũng áp dụng cái logic vô lý đó. Nếu ai đó đánh tôi rồi cười nhạo rằng “lẽ ra mẹ mày phải ngủ với thằng to xác hơn”, thì đó đúng là một thế giới hết sức phi lý. Dù sao tôi cũng muốn chia sẻ nỗi buồn về thực tế này
    1. Không cần bị cuốn theo cảm xúc quá mức vì các cuộc tấn công. Phía bên kia thậm chí còn không quan tâm bạn là ai. 2. Tôi nghĩ rate limiter giờ đã là thành phần bắt buộc khi vận hành server. Các hoạt động thu thập thông tin đơn thuần giờ đã vượt xa mức bất lịch sự. Có thể chặn các lần thử đăng nhập đơn giản hoặc quét lỗ hổng bằng công cụ như fail2ban. Không biết có ai biết công cụ nào kiểu fail2ban hoặc rate limiter dành cho web server không
    • Đặt Cloudflare (gói miễn phí) phía trước website là giải quyết gọn vấn đề này

  • Tôi nói từ góc nhìn của một pentester/bug bounty hunter. Với chủ sở hữu thì chuyện này rất khó chịu, nhưng theo tiêu chuẩn của tôi đây là nhiễu internet rất bình thường, hoặc giống như ai đó bật burp suite để chạy tấn công tự động. Đây là một thế giới nơi các công cụ thương mại dựa trên thư viện và các đợt tấn công nhắm vào SaaS là mặc định. Toàn bộ internet luôn bị quét, và các website mới ra mắt phải đối mặt với vô số đợt tấn công tự động. Dù là một thực tế bất công, đó vẫn là thực tế mà ai cũng gặp, nên cá nhân tôi nghĩ không cần quá bận tâm

    • Cá nhân tôi cũng không có ác cảm gì với cá mập nếu bị cá mập tấn công, nhưng sang chấn thì vẫn là thật. Và cá mập cũng không phải thứ do những hacker có vấn đề đạo đức tạo ra. Tôi nghĩ thái độ xem nhẹ sang chấn của người này là quá thô lỗ

  • Cuộc chiến bất công giữa phía tốt và phía xấu là nan đề đã kéo dài hàng nghìn năm. Đã có đủ loại lời giải như “giết chúng”, “tha thứ”, “cải tạo/cải thiện”, nhưng có vẻ chưa có giải pháp nào thật sự hiệu quả. Tôi thậm chí tưởng tượng rằng tốt hơn hết là chọn riêng những kẻ xấu và gửi chúng sang hành tinh khác để chúng không thể quấy phá nữa. Đùa một chút thì biết đâu Trái Đất của chúng ta vốn đã được tạo ra theo cách đó

    • Thật ra chuyện “gửi sang hành tinh khác” đã từng được làm rồi. Bắt đầu từ nhân viên khử trùng điện thoại, thợ làm tóc và đội ngũ điều hành ngành quảng cáo

    • Tôi nhớ từng đọc một bài viết về trường hợp lợi dụng giao thức http bằng cách thao túng đặc biệt nội dung gzip để khiến dữ liệu phình to khủng khiếp ở phía nhận. Cách này có thể hiệu quả để chống crawler, vì phần lớn crawler đều có giới hạn dung lượng đĩa trên mỗi instance

    • Cũng có thể đùa ra kết luận rằng “tất cả chúng ta đều là những kẻ xấu đó”

    • Tôi tự hỏi liệu đã từng có ai thực sự áp dụng phương án “giết” các hacker độc hại hay chưa

  • Từ khi lần đầu biết đến mynoise, tôi đã luôn rất yêu thích nó. Gần đây môi trường văn phòng ngày càng chật chội, nên hiệu quả mà website này mang lại càng lớn hơn. Bản redesign ứng dụng mới cũng rất tuyệt vời. Chỉ cần quyên góp một khoản nhỏ cho thư viện âm thanh đồ sộ đó thôi cũng đã hoàn toàn xứng đáng. Phần lớn nội dung ở đó là kết quả của sự tận tâm khi chính nhà phát triển tự đi ghi âm tại hiện trường, mix và cắt thành các dải equalizer. Đó là những nội dung do ông ấy trực tiếp tạo ra, từ bờ biển Ireland, cống ngầm đến âm thanh của nhiều khu rừng khác nhau

  • Với tư cách là thành viên trọn đời, tôi đã yêu mynoise.net suốt nhiều năm. Không có sản phẩm nào tốt hơn nó về khả năng tập trung và chặn tiếng ồn bên ngoài. Tôi cũng đã thử brain.fm và YouTube music, nhưng cuối cùng lúc nào cũng quay lại website này. Lý do là nó được chăm chút hơn và hiệu quả với tôi hơn

  • Tôi từng sở hữu domain trong thời gian dài, và gần đây có vài cái bị đánh cắp. Dù chỉ là những domain giá rẻ chỉ có ý nghĩa với riêng tôi, bị mất cắp rồi tôi vẫn tự hỏi rốt cuộc ai lại bỏ công làm chuyện đó

    • Domain mới không được công cụ tìm kiếm tin cậy bằng domain cũ. Vì thế mới tồn tại thị trường domain bị đánh cắp, và tài khoản mạng xã hội cũng ở tình trạng tương tự

    • Mấy vụ trộm domain nghe hơi đáng sợ. Trường hợp của tôi thì tôi rất muốn biết rốt cuộc chúng đã đánh cắp bằng cách nào

  • Có lẽ cần bình tĩnh hơn một chút chăng. Những ai cung cấp dịch vụ trên internet mở lúc nào cũng sẽ gặp loại log như thế này. Hầu như tất cả đều là tấn công tự động. Đây là cấu trúc mặc định của internet

    • Việc nó phổ biến không có nghĩa là ổn, và cảm thấy khó chịu hoàn toàn là điều dễ hiểu. Cách tiếp cận kiểu “bình tĩnh lại đi” theo tôi là điều nguy hiểm vì có thể hợp thức hóa sự phân biệt và thô lỗ

    • Ngược lại, tôi nghĩ chuyện này càng phổ biến thì chúng ta càng nên thấy đáng buồn hơn

  • Tôi thắc mắc ai lại muốn tấn công một người tốt như vậy

    • Một lần nữa nhấn mạnh nguyên lý người bị tổn thương lại làm tổn thương người khác. Trên đời cũng có những kiểu người chỉ đơn giản muốn phá hỏng thế giới, và nếu tôi phản ứng quá mức khi người khác cư xử tệ, điều đó có thể bị dùng để biện minh cho hành vi ấy rồi lặp lại lần nữa. Vẫn nên giữ ranh giới đủ chắc, nhưng không nhất thiết phải đáp trả quá khích hơn mức cần thiết. Có thể đối phương cũng đang cố gắng làm cho thế giới tốt đẹp hơn. Đây là một nỗ lực đáng được hoan nghênh

    • Đây không phải cuộc tấn công nhắm vào cá nhân nào cả. Theo kinh nghiệm vận hành website, internet là vùng hoang địa nơi đủ loại crawler AI, script tự động và kẻ tấn công dò tìm lỗ hổng trộn lẫn với nhau mà lang thang khắp nơi

    • Cũng có thể là một công ty AI nào đó đang thu thập dữ liệu để huấn luyện, chỉ việc tích vào tùy chọn lặp lại rồi để hệ thống tự động thu gom

    • Nhìn lại kinh nghiệm internet lâu năm, có những người thật sự rất lệch lạc, sẵn sàng phá hủy mọi thứ chỉ vì chúng có thể bị phá. Có thể họ muốn được chú ý, hoặc chỉ đơn thuần có xung động hủy hoại, nhưng thật ra ngay cả câu hỏi “nạn nhân đã làm gì?” cũng vô nghĩa. Kẻ tấn công hầu như không bao giờ tự đặt ra câu hỏi đó. Trước đây những kiểu người này sẽ bị xã hội xa lánh và khả năng gây hại cũng bị giới hạn, nhưng internet đã trao cho họ công cụ tấn công toàn cầu cùng với gần như sự miễn trừ trách nhiệm vô hạn