Apa yang Dicuri Peretas dari Saya
(mynoise.net)- Operator myNoise merangkum bahwa mereka mengalami ratusan ribu upaya injeksi kode serta serangan pengunduhan massal file suara; server bertahan, tetapi waktu, energi, dan ketenangan hilang
- Setelah gagal menyusup karena struktur myNoise yang ditulis sendiri, penyerang beralih ke cara memboroskan bandwidth dengan mengunduh semua file suara berulang kali
- Bagi myNoise, yang menanam pohon setiap tahun untuk mengimbangi penggunaan energi pengunjung, flood server yang disengaja terasa bukan sekadar trafik, melainkan pemborosan dan perusakan
- Operator harus memakai waktu yang seharusnya digunakan untuk membuat suara dan ambience baru untuk memahami masalah serta mengambil langkah pertahanan; penguatan keamanan lanjutan mencakup honeypot dan strategi respons lambat
- Setelah kejadian itu, ratusan pengguna merespons dengan dukungan, saran teknis, donasi, atau donasi ulang, dan operator menyatakan akan terus menyediakan myNoise sebagai tempat perlindungan kecil yang damai bagi mereka yang membutuhkannya
Apa yang Sebenarnya Dilakukan Serangan Itu
- myNoise dioperasikan sebagai upaya untuk menciptakan tempat yang positif di tengah internet yang kacau
- Beberapa hari lalu, pengunjung atau pihak yang bermusuhan mengirim ratusan ribu permintaan untuk mencoba injeksi kode
- Upaya ini gagal
- Fakta bahwa myNoise bukan CMS umum, melainkan struktur yang ditulis sendiri sejak awal, mungkin membantu
- Setelah gagal menyusup, penyerang mengubah strategi dengan mengunduh semua file suara berulang kali
- Ini dipandang sebagai serangan yang memboroskan bandwidth server
Mengapa Pemborosan Bandwidth Terasa Lebih Besar
- Operator myNoise menanam pohon setiap tahun untuk mengimbangi penggunaan energi pengunjung situs
- Mereka mengakui bahwa metodologinya bisa dipertanyakan
- Intinya ada pada niat untuk bertindak secara bertanggung jawab
- Flood server yang disengaja terasa bukan sekadar masalah teknis, melainkan tindakan yang mendekati pemborosan dan perusakan
Hal yang Dirampas Sebelum Server
- Server tidak down, tetapi serangan itu merampas waktu dan energi operator
- Waktu yang seharusnya dipakai untuk membuat suara baru dan ambience yang tenang digunakan untuk memahami masalah
- Pekerjaan untuk menghentikan serangan dan menyiapkan perlindungan ke depan juga bertambah
- Serangan itu juga mengguncang ketenangan yang masih dimiliki operator
- Ini menjadi contoh hilangnya waktu untuk pertahanan yang seharusnya tidak diperlukan dalam dunia yang utopis
Kesedihan dan Rasa Tak Berdaya
- Inti tulisan ini bukan serangannya sendiri, melainkan kesedihan dan rasa tak berdaya yang kembali dipicunya
- Ketimpangan bahwa menghancurkan sesuatu membutuhkan energi lebih sedikit daripada membuatnya dianalogikan dengan hukum entropi
- Hal ini juga dikaitkan dengan pengalaman dua tahun lalu setelah masalah kesehatan, ketika penyakit dengan cepat mengambil alih tubuh dan pemulihan membutuhkan waktu lama
- Penyakit biasanya bukan tindakan sengaja seseorang
- Ketika orang lain sengaja menimbulkan kerugian, emosi yang tersisa sama sekali berbeda
Kisah Merpati dan Hal Positif Kecil
- Operator merawat seekor merpati muda yang jatuh dari sarangnya dan terluka parah selama beberapa minggu, memberinya makan dengan jarum suntik
- Kini merpati itu terbang bebas di lingkungan sekitar, tetapi masih sering datang
- Ia menyatakan bahwa perubahan positif kecil seperti ini membuatnya bahagia
- Pada saat yang sama, ia mengatakan sulit menepis pikiran bahwa seseorang yang membenci burung suatu hari mungkin menyakiti sesuatu yang telah mereka selamatkan
Penguatan Keamanan Setelah Serangan
- Selama beberapa minggu setelah serangan, fokus diarahkan pada penguatan keamanan server myNoise
- Serangan itu tidak berhasil menyusup ke server
- Namun, serangan tersebut mengungkap bahwa konfigurasi yang ada dapat memungkinkan ratusan ribu upaya injeksi kode
- Mereka menilai bahwa semakin banyak jumlah percobaan, semakin besar pula kemungkinan suatu saat ada yang berhasil
- myNoise baru-baru ini pindah ke VPS terkelola, dan tidak memiliki akses root, yaitu hak administrator penuh
- Mereka tidak dapat menggunakan alat deteksi intrusi standar atau firewall tingkat lanjut
- Sebagai gantinya, mereka membuat langkah keamanan khusus yang disesuaikan untuk myNoise
- Tidak mendokumentasikannya secara publik dipandang sebagai lapisan perlindungan tambahan
- Strategi baru mencakup honeypot
- Jika pihak jahat berinteraksi dengan jebakan itu, mereka segera diblokir
- Strategi untuk mengulur waktu dengan menyajikan data kepada agen jahat dengan sangat lambat juga diterapkan
- Setelah diblokir, mereka diarahkan untuk pindah ke situs web lain
- Di dalam folder terlarang juga disiapkan subhalaman tak berujung dan labirin tautan
- Strukturnya tumbuh secara eksponensial semakin jauh dijelajahi
- Ini berfungsi sebagai perangkat untuk memperlambat penyusup sekaligus Easter egg bagi pengguna yang penasaran
- Jika terkena honeypot sebelum mencapai labirin, pengguna dapat diblokir dari situs
Respons Komunitas
- Setelah tulisan sebelumnya, ratusan pengguna menghubungi mereka
- Pesan-pesan yang menyatakan pentingnya myNoise dalam kehidupan sehari-hari terus berdatangan
- Saran teknis, donasi, dan donasi ulang juga terus mengalir
- Serangan itu memunculkan lebih banyak dukungan dibanding peluncuran soundscape baru yang biasa
- Operator mengatakan bahwa melalui kejadian ini, ia merasakan ikatan dan rasa komunitas antara myNoise dan para pengguna dengan lebih kuat
- Ia teringat respons besar ketika dirawat di rumah sakit dua tahun lalu
- Komunitas myNoise digambarkan sebagai lingkungan yang ramah, membantu, dan bernuansa positif
- Ia memandang suara dan musik sebagai hal yang menghubungkan orang-orang
Hal yang Akan Terus Dilakukan
- Operator mengatakan akan terus menanam pohon, membuat suara, membantu merpati muda, dan menyediakan myNoise, tempat perlindungan kecil yang damai, bagi orang-orang yang membutuhkannya
- Ia mengajak untuk membuat lebih banyak hal bersama-sama dan menjadi lebih banyak jumlahnya daripada orang-orang yang memilih perusakan
- Ia menyimpulkan bahwa yang memberi makna pada hidup adalah menciptakan, bukan menghancurkan
1 komentar
Komentar Hacker News
Baru-baru ini saya harus tinggal di gedung yang sangat bising, dan memutar white noise yang di-equalize dengan tepat lewat speaker membantu menutupi kebisingan serta menjaga kesehatan mental dan tidur pada level minimal
Aplikasi myNoise mungkin tidak mencolok, tetapi menjalankan fungsi yang dijanjikan tanpa banyak embel-embel, dan bekerja baik di berbagai perangkat
Saat membelinya, rasanya saya tidak tahu siapa pembuat aplikasinya, tetapi berkat tulisan ini saya jadi bisa melihat wajah orang di balik aplikasi tersebut
Ketika diserang seseorang, kepercayaan terhadap manusia runtuh dan itu menjadi trauma yang lebih besar; akibatnya seseorang bisa menjadi lebih defensif dan tidak percaya, atau sebaliknya menjadi agresif terhadap orang lain dan merusak kepercayaan
Saya tidak membela penyerangnya, tetapi untuk memutus lingkaran setan ini, tampaknya perlu dilihat sebagai persoalan kesehatan mental jangka panjang yang lintas generasi
Setelah itu saya membuat Shortcut iOS yang mengirim email baku ke pemilik rumah setiap kali saya mengatakan “Loud neighbors” kepada Siri, dan ternyata 3–4 email per minggu cukup efektif
Menurut saya, menenangkan seseorang sekadarnya di kantor lalu menyuruhnya pulang berbeda dengan harus membalas email setiap dua hari sekali
Tentu ini bukan strategi yang cocok untuk semua situasi, tetapi semoga keadaan menjadi tenang dan damai
Dari sudut pandang orang yang bekerja di pentest/bug bounty, saya paham pemiliknya merasa frustrasi, tetapi ini terbaca seperti kebisingan internet biasa
Dalam skenario terburuk pun, kelihatannya hanya sebatas seseorang membuka Burp Suite lalu menekan tombol jalankan pada sebuah situs web
Banyak alat komersial secara default menjalankan serangan semacam ini secara massal, dan beberapa perusahaan SaaS bahkan menawarkannya sebagai produk
Seluruh internet terus-menerus dipindai, dan ada banyak scanner yang menjalankan kumpulan serangan otomatis terhadap situs web yang ditemukan
Bukan berarti itu benar, tetapi inilah kenyataan tempat kita hidup, dan menurut saya ini bukan sesuatu yang perlu diambil secara pribadi
Lagi pula hiu juga bukan dibuat oleh hacker yang etikanya meragukan
Saya tidak mengerti mengapa penderitaan sah orang ini harus diremehkan, dan melakukan itu tampak cukup tidak sopan
Para hacker pada dasarnya membunuh https://glslsandbox.com
Seseorang membanjirinya dengan spam, dan karena tidak ada waktu untuk menanganinya, situs itu sudah ditutup sekitar satu setengah tahun
Memang ada situs seperti Shadertoy yang melakukan hal serupa, tetapi sangat disayangkan proyek seseorang rusak dengan cara seperti ini
Karena masalah denial-of-service ini adalah layanan gratis, di proyek saya sendiri biasanya saya mencoba menghindari penanganan langsung dengan bersembunyi di balik Cloudflare
Sikap ala hacker, “kalau aku bisa merusak barangmu, itu salahmu, harusnya kamu membuatnya lebih baik,” selalu menjengkelkan
Jendela, pintu, dan tubuh juga bisa dirusak, tetapi hanya karena itu mungkin dilakukan bukan berarti korbannya yang salah
Meski begitu saya juga tahu manusia-manusia seperti ini tidak bisa dilenyapkan
Sistem informasi bisa dibuat tidak dapat ditembus, tetapi sistem fisik tidak bisa dibuat seperti itu
Sistem fisik pada dasarnya lebih aman berkat lokalitas, dan keamanan melalui penyembunyian juga bisa memberi manfaat tertentu
Jika sistem informasi yang lemah dihubungkan ke jaringan global yang bisa diinteraksikan siapa saja, lalu seseorang menemukan cara untuk merusaknya, lebih layak melihat kelemahan sistemiknya daripada marah pada penyerang tertentu
Saya orang berbadan besar, tinggi 6 kaki 3 inci, 260 pon, pernah beberapa kali ikut Ironman, olahraga, climbing, angkat beban, berburu, bahkan bertahun-tahun sedikit latihan bela diri
Saya pikir sebagian besar orang di sekitar saya mungkin bisa saya bunuh dengan tangan kosong, tetapi saya tidak melakukannya
Seperti yang Anda katakan, hidup tidak berjalan seperti itu
Namun orang-orang menerapkan logika ini secara sembrono pada mobil, ponsel, dan proyek pribadi seperti di atas
Saya penasaran bagaimana perasaan mereka kalau saya menghajar mereka lalu tertawa sambil berkata, “ibumu harusnya tidur dengan orang yang lebih besar”
Bagaimanapun, saya setuju ini benar-benar menyedihkan
Sebaiknya jangan diambil secara pribadi
Mereka tidak tahu siapa Anda dan tidak peduli
Server kini hampir wajib memiliki rate limiter dalam bentuk apa pun
Pemindaian dan eksplorasi memang melampaui batas ketidaksopanan, tetapi internet penuh dengan hal-hal menyebalkan
Fail2ban bisa dengan mudah dikonfigurasi untuk menangani percobaan login sederhana atau pemindaian kerentanan
Kalau belum ada yang serupa untuk web server, seharusnya tidak terlalu sulit dibuat; saya penasaran apakah ada yang tahu Fail2ban atau rate limiter untuk web server
Saya terus menyukai situs ini sejak pertama kali mengetahuinya
Dalam lingkungan sekarang, ketika kepadatan kantor makin tinggi, setidaknya di daerah saya, situs ini makin membantu
Redesign aplikasi baru-baru ini juga sangat bagus
Akses ke pustaka besar yang ia buat saja sudah layak untuk sedikit dukungan
Terutama karena sebagian besar kontennya ia rekam sendiri di lapangan, ia mixing, lalu ia bagi menjadi band equalizer
Termasuk pantai Irlandia, saluran air bawah tanah, hingga berbagai suara hutan
Pertarungan tidak adil antara kebaikan dan kejahatan mungkin merupakan persoalan sulit yang sudah berlangsung ribuan tahun
Ada berbagai solusi tentang cara menangani orang jahat, seperti membunuh, memaafkan, mendidik dan merehabilitasi, tetapi tampaknya tidak ada yang benar-benar bekerja baik
Salah satu solusi mungkin mengumpulkan mereka semua, mengirimnya ke planet lain, dan membiarkan mereka hidup sesuka hati di sana, asalkan tidak bisa mengganggu orang baik
Dan mungkin ada yang akan berkata bahwa itu sudah pernah dilakukan, sehingga kita berada di sini sekarang
Dimulai dari petugas desinfeksi telepon, penata rambut, dan eksekutif periklanan
Crawler biasanya tidak mengalokasikan ruang sebanyak itu untuk tiap instance, jadi ini bisa menjadi langkah pencegahan yang bagus
Kasihan, kemungkinan besar dia sedang di-crawl oleh bot LLM
“Penyerang” itu kemungkinan besar tidak tahu siapa orang ini
Bisa jadi hanya perusahaan tanpa wajah yang ingin memakai suara atau konten white noise miliknya untuk pelatihan dan penyediaan LLM
Saya juga menerima “serangan” serupa setiap hari, tetapi kalau ditelusuri, sering kali itu bot yang meng-crawl log Certificate Transparency
Kalau sertifikat situsnya diperiksa, sertifikat itu diterbitkan oleh Let’s Encrypt CA, dan paling jauh cuma level script kiddie yang mengincar sasaran empuk
Ke depannya, semoga “serangan” seperti ini tidak terlalu dianggap personal
Secara keseluruhan dia orang baik, bahkan mungkin terlalu baik untuk dunia ini
Saya anggota seumur hidup dan sudah bertahun-tahun menikmati mynoise.net
Ini yang terbaik yang pernah saya temukan untuk membantu fokus dan memblokir distraksi
Saya juga memakai brain.fm dan YouTube Music, tetapi situsnya lebih bagus, dirancang dengan lebih sengaja, dan lebih efektif bagi saya, jadi saya terus kembali ke sana
Aplikasi MyNoise benar-benar membuat hidup saya lebih baik
Di rumah saya memakai mesin white noise, tetapi saat bepergian MyNoise adalah teman tidur saya, dan saya terutama suka karena equalizer-nya bisa diatur untuk memblokir suara tertentu yang mungkin membangunkan saya
Sedih mendengar kabar peretasan yang menyebalkan ini
Yang sangat bagus, terutama saat koneksi tidak stabil, adalah begitu suara pilihan dimuat sekali, ia berjalan secara lokal di browser sehingga meski koneksi terputus, pemutaran tetap berlanjut tanpa tersendat
Saya tidak mengerti kenapa ada orang yang ingin mencelakai orang ini
Situs ini luar biasa
Ada banyak alasannya, tetapi yang paling mendasar, ungkapan bahwa orang yang terluka akan melukai orang lain memang benar
Saya juga berusaha mengingat ini dalam cara saya merespons ketika seseorang bersikap kurang baik
Jika saya bereaksi buruk, itu memberi orang tersebut alasan untuk membenarkan melakukan hal yang sama kepada orang lain di lain waktu
Saya belajar bahwa kita bisa melindungi diri sendiri tanpa berubah menjadi orang gila yang berbusa-busa mulutnya
Dalam kebanyakan kasus, batasan bisa ditegakkan dengan pistol air, bukan senjata nuklir
Semuanya saling terhubung, dan orang ini mungkin naif, tetapi ia berusaha memulai koneksi yang baik
Saya ingin memberinya tepuk tangan
Dari pengalaman menjalankan situs, internet adalah gurun campuran crawler AI, script kiddie yang mencoba mengubah setiap form menjadi vektor amplifikasi, dan pemindai kerentanan
Entah karena malas atau tidak, mungkin mereka juga mencentang kotak “ulang” dan “selamanya”
Mereka melakukannya hanya karena bisa
Kadang demi mendapatkan perhatian, kadang hanya karena ingin melihat dunia terbakar
Apa pun alasannya, tidak ada gunanya bertanya “apa yang dilakukan target sampai pantas mengalami ini?”
Penyerangnya kemungkinan besar sejak awal tidak menanyakan hal seperti itu kepada diri sendiri, dan bisa saja memang seorang sosiopat terang-terangan
Semakin besar internet, semakin banyak pula orang seperti ini
Pada masa lalu, mereka mungkin dikucilkan oleh masyarakat, kemampuan mereka untuk merugikan orang lain juga sangat terbatas kecuali memakai cara yang lebih ekstrem, dan biasanya ada konsekuensi berat
Namun internet memberi mereka saluran pelepasan baru, memberi cara untuk merusak milik orang-orang di seluruh dunia yang dulu tidak akan bisa mereka jangkau, dan biasanya hampir tanpa risiko hukuman