Những gì hacker đã đánh cắp từ tôi
(mynoise.net)- Người vận hành myNoise cho biết đã trải qua hàng trăm nghìn nỗ lực chèn mã và một cuộc tấn công tải xuống hàng loạt tệp âm thanh; máy chủ vẫn trụ được, nhưng họ đã mất thời gian, năng lượng và sự bình yên
- Sau khi không thể xâm nhập vì cấu trúc myNoise được tự viết, kẻ tấn công chuyển sang cách tải lặp đi lặp lại tất cả tệp âm thanh để lãng phí băng thông
- Với myNoise, nơi hằng năm trồng cây để bù đắp mức sử dụng năng lượng của khách truy cập, việc cố ý flood máy chủ không chỉ là lưu lượng truy cập đơn thuần mà còn được cảm nhận như một sự lãng phí và phá hoại
- Người vận hành phải dùng thời gian đáng lẽ dành để tạo âm thanh và ambience mới vào việc xác định vấn đề và thực hiện biện pháp phòng thủ; các nâng cấp bảo mật tiếp theo bao gồm honeypot và chiến lược phản hồi chậm
- Sau sự việc, hàng trăm người dùng đã phản hồi bằng lời động viên, tư vấn kỹ thuật, quyên góp hoặc quyên góp lại; người vận hành cho biết sẽ tiếp tục cung cấp myNoise như một nơi trú ẩn bình yên nhỏ cho những người cần nó
Cuộc tấn công thực sự đã làm gì
- myNoise được vận hành như một nỗ lực tạo ra một nơi tích cực giữa Internet hỗn loạn
- Vài ngày trước, một khách truy cập hoặc một thực thể thù địch đã gửi hàng trăm nghìn yêu cầu nhằm thử chèn mã
- Nỗ lực này đã thất bại
- Việc myNoise không phải là một CMS thông thường mà là cấu trúc được tự viết từ đầu có thể đã giúp ích
- Sau khi không xâm nhập được, kẻ tấn công đổi chiến lược sang tải lặp đi lặp lại tất cả tệp âm thanh
- Điều này được xem là một cuộc tấn công nhằm lãng phí băng thông máy chủ
Vì sao việc lãng phí băng thông gây cảm giác nghiêm trọng hơn
- Người vận hành myNoise hằng năm trồng cây để bù đắp mức sử dụng năng lượng của khách truy cập trang web
- Họ thừa nhận phương pháp đó có thể bị đặt câu hỏi
- Điểm cốt lõi nằm ở ý định hành động có trách nhiệm
- Việc cố ý flood máy chủ không chỉ là một vấn đề kỹ thuật, mà được cảm nhận gần với hành vi lãng phí và phá hoại
Những thứ bị lấy đi trước cả máy chủ
- Máy chủ không bị sập, nhưng cuộc tấn công đã lấy đi thời gian và năng lượng của người vận hành
- Thời gian vốn định dùng để tạo âm thanh mới và ambience yên tĩnh đã phải dành cho việc tìm hiểu vấn đề
- Việc chặn cuộc tấn công và chuẩn bị các biện pháp bảo vệ trong tương lai cũng phát sinh thêm
- Cuộc tấn công cũng làm lung lay sự bình yên còn lại của người vận hành
- Nó trở thành một ví dụ về việc mất thời gian cho phòng thủ, thứ lẽ ra không cần thiết trong một thế giới utopia
Nỗi buồn và cảm giác bất lực
- Trọng tâm của bài viết không phải bản thân cuộc tấn công, mà là nỗi buồn và cảm giác bất lực mà nó khơi lại
- Tác giả ví sự mất cân bằng rằng phá hủy tốn ít năng lượng hơn tạo dựng với quy luật entropy
- Điều này cũng liên hệ với trải nghiệm sau vấn đề sức khỏe 2 năm trước, khi bệnh tật nhanh chóng chiếm lấy cơ thể còn hồi phục thì mất rất lâu
- Bệnh tật thường không phải là hành động cố ý của ai đó
- Khi người khác cố ý gây hại, cảm xúc để lại hoàn toàn khác
Câu chuyện chim bồ câu và chút tích cực nhỏ bé
- Người vận hành đã chăm sóc một chú chim bồ câu non bị thương nặng sau khi rơi khỏi tổ trong vài tuần bằng cách cho ăn qua ống tiêm
- Giờ nó bay tự do quanh khu phố nhưng vẫn ghé lại
- Họ cho biết những thay đổi tích cực nhỏ như vậy khiến mình hạnh phúc
- Đồng thời, họ nói khó gạt khỏi đầu ý nghĩ rằng một ngày nào đó ai đó ghét chim có thể làm hại thứ mà họ đã cứu
Tăng cường bảo mật sau cuộc tấn công
- Trong vài tuần sau cuộc tấn công, họ tập trung tăng cường bảo mật máy chủ myNoise
- Cuộc tấn công không thành công trong việc xâm nhập máy chủ
- Tuy vậy, nó cho thấy cấu hình hiện tại có thể cho phép hàng trăm nghìn nỗ lực chèn mã
- Họ đánh giá rằng số lần thử càng nhiều thì khả năng một ngày nào đó thành công cũng tăng lên
- myNoise gần đây đã chuyển sang VPS được quản lý và không có quyền truy cập root, tức quyền quản trị đầy đủ
- Họ không thể dùng các công cụ phát hiện xâm nhập tiêu chuẩn hay tường lửa nâng cao
- Thay vào đó, họ đã tạo các biện pháp bảo mật tùy chỉnh phù hợp với myNoise
- Họ cho rằng việc không công khai tài liệu về các biện pháp này đóng vai trò như một lớp bảo vệ bổ sung
- Chiến lược mới bao gồm honeypot
- Nếu một thực thể độc hại tương tác với bẫy, nó sẽ bị chặn ngay lập tức
- Họ cũng triển khai chiến lược kéo dài thời gian bằng cách cung cấp dữ liệu rất chậm cho tác nhân độc hại
- Đây là cách khiến chúng chuyển sang trang web khác sau khi bị chặn
- Bên trong thư mục bị cấm còn có một mê cung vô tận gồm các trang con và liên kết
- Cấu trúc này càng khám phá càng phình to theo cấp số nhân
- Nó vừa là cơ chế làm chậm kẻ xâm nhập, vừa đóng vai trò Easter egg cho người dùng tò mò
- Nếu vướng vào honeypot trước khi đến được mê cung, bạn có thể bị chặn khỏi trang web
Phản hồi của cộng đồng
- Sau bài viết trước, hàng trăm người dùng đã liên hệ
- Liên tục có những tin nhắn nói rằng myNoise quan trọng trong đời sống hằng ngày của họ
- Các lời khuyên kỹ thuật, khoản quyên góp và quyên góp lại cũng tiếp diễn
- Cuộc tấn công đã kéo theo nhiều sự ủng hộ hơn cả một đợt phát hành soundscape mới thông thường
- Người vận hành nói rằng sự việc này khiến họ cảm nhận mạnh mẽ hơn sự gắn kết và cảm giác cộng đồng giữa myNoise và người dùng
- Họ nhớ lại phản ứng lớn khi nhập viện 2 năm trước
- Cộng đồng myNoise được mô tả là một môi trường tử tế, sẵn lòng giúp đỡ và tích cực
- Họ cho rằng âm thanh và âm nhạc kết nối mọi người
Những việc sẽ tiếp tục làm
- Người vận hành nói rằng họ sẽ tiếp tục trồng cây, tạo âm thanh, giúp chim bồ câu non và cung cấp nơi trú ẩn bình yên nhỏ mang tên myNoise cho những ai cần đến
- Họ đề xuất cùng nhau tạo ra nhiều hơn và vượt về số lượng so với những người chọn phá hoại
- Họ kết luận rằng điều mang lại ý nghĩa cho cuộc sống là tạo dựng, không phải phá hủy
1 bình luận
Ý kiến trên Hacker News
Gần đây tôi phải sống trong một tòa nhà rất ồn, và việc bật tiếng ồn trắng được cân bằng tần số phù hợp qua loa đã giúp che bớt tiếng ồn, đồng thời duy trì mức tối thiểu cho sức khỏe tinh thần và giấc ngủ
Ứng dụng myNoise tuy không hào nhoáng nhưng làm đúng chức năng đã hứa một cách gọn gàng, và hoạt động tốt trên nhiều thiết bị
Khi mua, tôi có lẽ không biết ứng dụng này do ai làm, nhưng nhờ bài viết này tôi đã thấy được khuôn mặt con người đứng sau ứng dụng
Khi bị ai đó tấn công, niềm tin vào con người sụp đổ và trở thành một sang chấn lớn hơn; hệ quả có thể là trở nên phòng thủ, mất lòng tin hơn, hoặc ngược lại là trở nên hung hăng với người khác và phá vỡ niềm tin
Tôi không biện hộ cho kẻ tấn công, nhưng để cắt đứt vòng luẩn quẩn này, có lẽ nên nhìn nó như một vấn đề sức khỏe tinh thần dài hạn kéo dài qua nhiều thế hệ
Sau đó tôi tạo một Shortcut iOS để mỗi khi nói với Siri “Loud neighbors” thì gửi một email theo mẫu cho chủ nhà; 3–4 email mỗi tuần hóa ra lại có hiệu quả bất ngờ
Tôi nghĩ việc dỗ dành cho qua chuyện ở văn phòng khác với việc phải trả lời email hai ngày một lần
Dĩ nhiên đây không phải chiến lược phù hợp cho mọi tình huống, nhưng tôi mong mọi thứ sẽ yên tĩnh và bình yên hơn
Từ góc nhìn của người làm pentest/bug bounty, tôi hiểu vì sao chủ sở hữu cảm thấy bức bối, nhưng chuyện này đọc giống tiếng ồn Internet thông thường hơn
Tệ nhất thì cũng chỉ như ai đó bật Burp Suite lên và nhấn chạy trên website
Nhiều công cụ thương mại mặc định chạy hàng loạt kiểu tấn công như vậy, và một số công ty SaaS thậm chí còn cung cấp hẳn dưới dạng sản phẩm
Toàn bộ Internet liên tục bị quét, và có rất nhiều scanner chạy các bộ tấn công tự động lên những website tìm thấy
Tôi không nói điều đó là đúng, nhưng đó là thực tế chúng ta đang sống trong đó, và tôi nghĩ không nên xem như chuyện nhắm vào cá nhân
Hơn nữa cá mập đâu phải do một hacker đáng ngờ về đạo đức tạo ra
Tôi không hiểu vì sao lại phải hạ thấp nỗi đau chính đáng của người này; làm vậy trông khá thô lỗ
Hacker về cơ bản đã giết chết https://glslsandbox.com
Ai đó đã xả spam vào đó, và vì không có thời gian xử lý nên trang đã đóng cửa khoảng một năm rưỡi
Dù có những trang làm việc tương tự như Shadertoy, thật sự rất đáng tiếc khi dự án của ai đó bị phá hỏng theo cách này
Vì vấn đề từ chối dịch vụ với dịch vụ miễn phí, trong dự án của mình tôi thường cố tránh phải tự đối phó trực tiếp bằng cách ẩn sau Cloudflare
Thái độ kiểu hacker “nếu tôi có thể phá đồ của anh thì đó là lỗi của anh, lẽ ra anh phải làm tốt hơn” lúc nào cũng gây khó chịu
Cửa sổ, cửa ra vào, cơ thể cũng có thể bị phá, nhưng không phải cứ làm được thì lỗi thuộc về nạn nhân
Dù vậy tôi cũng biết là không thể loại bỏ những con người như thế
Hệ thống thông tin có thể được xây dựng để không thể bị xuyên thủng, còn hệ thống vật lý thì không
Hệ thống vật lý vốn an toàn hơn nhờ tính cục bộ, và bảo mật nhờ che giấu cũng có thể mang lại lợi ích ở mức nào đó
Nếu bạn kết nối một hệ thống thông tin yếu vào mạng toàn cầu nơi ai cũng có thể tương tác, và ai đó tìm ra cách phá nó, thì thay vì giận một kẻ tấn công cụ thể, cũng đáng để nhìn vào điểm yếu mang tính hệ thống
Tôi là một người to con, cao 6 feet 3 inch, nặng 260 pound, từng nhiều lần tham gia Ironman, chơi thể thao, leo núi, tập tạ, săn bắn, và có vài năm huấn luyện chiến đấu ở mức nào đó
Tôi nghĩ có thể giết hầu hết những người quanh mình chỉ bằng tay không, nhưng tôi không làm vậy
Vì như đã nói, cuộc sống không vận hành theo cách đó
Thế nhưng người ta lại áp dụng logic này một cách liều lĩnh cho xe hơi, điện thoại, và các dự án cá nhân như ở trên
Tôi tự hỏi họ sẽ cảm thấy thế nào nếu tôi đánh họ một trận rồi cười mà nói “lẽ ra mẹ mày nên ngủ với người to con hơn”
Dù sao thì tôi đồng ý rằng đây là một chuyện thật sự đáng tiếc
Tốt nhất là đừng xem đó là chuyện cá nhân
Họ không biết bạn là ai và cũng chẳng quan tâm
Máy chủ giờ gần như bắt buộc phải có bộ giới hạn tốc độ dưới hình thức nào đó
Việc quét và dò tìm đã vượt quá mức bất lịch sự, nhưng Internet đầy rẫy những thứ phiền toái
Fail2ban có thể được cấu hình dễ dàng để xử lý các lần thử đăng nhập đơn giản hoặc quét lỗ hổng
Nếu chưa có thứ tương tự cho web server thì chắc cũng không khó để làm; tôi tự hỏi có ai biết Fail2ban hoặc bộ giới hạn tốc độ nào dành cho web server không
Tôi vẫn luôn thích trang này kể từ lần đầu biết đến
Trong môi trường mà mật độ văn phòng ngày càng tăng như hiện nay, ít nhất là ở khu vực của tôi, nó còn hữu ích hơn
Bản thiết kế lại ứng dụng gần đây cũng rất tuyệt
Chỉ riêng việc có thể truy cập thư viện đồ sộ mà anh ấy tạo ra cũng đã đáng để ủng hộ một khoản nhỏ
Đặc biệt là phần lớn nội dung do chính anh ấy thu âm ngoài hiện trường, mix lại và chia thành các dải equalizer
Bao gồm cả bờ biển Ireland, cống ngầm, và âm thanh của nhiều khu rừng
Cuộc đối đầu bất công giữa thiện và ác có lẽ là một bài toán nan giải đã kéo dài hàng nghìn năm
Đã có nhiều giải pháp về cách xử lý người xấu như giết họ, tha thứ, giáo dục và cải tạo, nhưng dường như chẳng có cách nào thật sự hiệu quả
Một giải pháp có thể là gom tất cả họ lại, đưa sang một hành tinh khác và để họ sống tùy thích ở đó, miễn là không thể quấy rầy người tốt
Và có người có thể nói rằng chuyện đó đã được làm rồi, nên chúng ta mới ở đây
Bắt đầu với nhân viên khử trùng điện thoại, thợ làm tóc và nhà hoạch định quảng cáo
Crawler thường không cấp nhiều dung lượng như vậy cho từng instance, nên đó có thể là một biện pháp phòng ngừa tốt
Thật đáng thương, có lẽ anh ấy đã bị bot LLM crawl
“Kẻ tấn công” rất có thể không biết người này là ai
Có thể chỉ là một công ty vô danh nào đó muốn dùng âm thanh hoặc nội dung tiếng ồn trắng của anh ấy để huấn luyện và cung cấp cho LLM
Tôi cũng hứng chịu những “cuộc tấn công” tương tự mỗi ngày, nhưng khi xem kỹ thì nhiều khi đó là bot crawl nhật ký minh bạch chứng chỉ
Kiểm tra chứng chỉ của site thì thấy do Let’s Encrypt CA cấp, cùng lắm cũng chỉ ở mức script kiddie nhắm vào con mồi dễ ăn
Mong rằng về sau anh ấy đừng quá coi những “cuộc tấn công” kiểu này là nhắm vào cá nhân mình
Nhìn chung anh ấy là người tốt, và có lẽ thậm chí là quá tốt so với thế giới này
Tôi là thành viên trọn đời và đã dùng mynoise.net vui vẻ suốt nhiều năm
Đây là thứ tốt nhất tôi tìm được để tập trung và chặn các yếu tố gây xao nhãng
Tôi cũng dùng brain.fm và YouTube Music, nhưng site của anh ấy tốt hơn, được thiết kế có chủ đích hơn và hiệu quả với tôi hơn, nên tôi cứ quay lại dùng
Ứng dụng MyNoise thực sự đã làm cuộc sống của tôi tốt hơn
Ở nhà tôi dùng máy tạo tiếng ồn trắng, nhưng khi đi du lịch thì MyNoise là bạn đồng hành cho giấc ngủ, đặc biệt tôi thích việc có thể đặt equalizer để chặn những tiếng ồn cụ thể có thể đánh thức tôi
Thật tiếc khi nghe tin về vụ hack phiền phức này
Một điểm đặc biệt hay khi kết nối không ổn định là: chỉ cần tải tiếng ồn ưa thích một lần, nó sẽ chạy cục bộ trong trình duyệt và tiếp tục phát mượt mà ngay cả khi mất kết nối
Tôi không hiểu vì sao lại có người muốn hại người này
Site này rất tuyệt
Có thể có nhiều lý do, nhưng ở mức cơ bản nhất thì câu “người bị tổn thương sẽ làm tổn thương người khác” là đúng
Tôi cũng cố nhớ điều này trong cách mình phản ứng khi ai đó cư xử kém tử tế
Nếu phản ứng tệ, ta sẽ cho người đó cái cớ để biện minh cho việc tiếp tục làm điều tương tự với người khác lần sau
Tôi đã học được rằng mình có thể tự bảo vệ bản thân mà không cần biến thành một kẻ điên sùi bọt mép
Trong phần lớn trường hợp, ranh giới có thể được thiết lập bằng súng nước chứ không phải vũ khí hạt nhân
Mọi thứ đều có liên hệ với nhau, và người này có thể ngây thơ, nhưng anh ấy đang cố khởi đầu những kết nối tốt đẹp
Tôi muốn vỗ tay tán thưởng anh ấy
Theo kinh nghiệm vận hành site của tôi, internet là một vùng hoang pha trộn giữa crawler AI, script kiddie muốn biến mọi form thành vector khuếch đại, và các công cụ dò lỗ hổng
Có lẽ họ còn bấm cả các checkbox “lặp lại” và “mãi mãi”, dù là do lười biếng hay không
Họ làm vậy chỉ vì có thể
Đôi khi là để được chú ý, đôi khi chỉ vì muốn nhìn thế giới bốc cháy
Dù là trường hợp nào, hỏi “đối tượng đã làm gì để đáng bị như vậy?” là vô nghĩa
Kẻ tấn công nhiều khả năng ngay từ đầu đã không tự hỏi câu đó, và cũng có thể chỉ là một kẻ thái nhân cách xã hội trắng trợn
Internet càng lớn, số người như vậy càng tăng
Ngày trước, họ có lẽ đã bị xã hội loại trừ, khả năng gây hại cho người khác cũng bị hạn chế đáng kể trừ khi dùng những cách cực đoan hơn, và thường sẽ phải trả giá nghiêm trọng
Nhưng internet đã cho họ một lối xả mới, cung cấp cách phá hoại đồ đạc của những người trên khắp thế giới mà trước đây họ không thể chạm tới, và thường gần như không có nguy cơ bị trừng phạt