1 poin oleh GN⁺ 2025-07-07 | 1 komentar | Bagikan ke WhatsApp
  • Operator myNoise merangkum bahwa mereka mengalami ratusan ribu upaya injeksi kode serta serangan pengunduhan massal file suara; server bertahan, tetapi waktu, energi, dan ketenangan hilang
  • Setelah gagal menyusup karena struktur myNoise yang ditulis sendiri, penyerang beralih ke cara memboroskan bandwidth dengan mengunduh semua file suara berulang kali
  • Bagi myNoise, yang menanam pohon setiap tahun untuk mengimbangi penggunaan energi pengunjung, flood server yang disengaja terasa bukan sekadar trafik, melainkan pemborosan dan perusakan
  • Operator harus memakai waktu yang seharusnya digunakan untuk membuat suara dan ambience baru untuk memahami masalah serta mengambil langkah pertahanan; penguatan keamanan lanjutan mencakup honeypot dan strategi respons lambat
  • Setelah kejadian itu, ratusan pengguna merespons dengan dukungan, saran teknis, donasi, atau donasi ulang, dan operator menyatakan akan terus menyediakan myNoise sebagai tempat perlindungan kecil yang damai bagi mereka yang membutuhkannya

Apa yang Sebenarnya Dilakukan Serangan Itu

  • myNoise dioperasikan sebagai upaya untuk menciptakan tempat yang positif di tengah internet yang kacau
  • Beberapa hari lalu, pengunjung atau pihak yang bermusuhan mengirim ratusan ribu permintaan untuk mencoba injeksi kode
    • Upaya ini gagal
    • Fakta bahwa myNoise bukan CMS umum, melainkan struktur yang ditulis sendiri sejak awal, mungkin membantu
  • Setelah gagal menyusup, penyerang mengubah strategi dengan mengunduh semua file suara berulang kali
    • Ini dipandang sebagai serangan yang memboroskan bandwidth server

Mengapa Pemborosan Bandwidth Terasa Lebih Besar

  • Operator myNoise menanam pohon setiap tahun untuk mengimbangi penggunaan energi pengunjung situs
    • Mereka mengakui bahwa metodologinya bisa dipertanyakan
    • Intinya ada pada niat untuk bertindak secara bertanggung jawab
  • Flood server yang disengaja terasa bukan sekadar masalah teknis, melainkan tindakan yang mendekati pemborosan dan perusakan

Hal yang Dirampas Sebelum Server

  • Server tidak down, tetapi serangan itu merampas waktu dan energi operator
    • Waktu yang seharusnya dipakai untuk membuat suara baru dan ambience yang tenang digunakan untuk memahami masalah
    • Pekerjaan untuk menghentikan serangan dan menyiapkan perlindungan ke depan juga bertambah
  • Serangan itu juga mengguncang ketenangan yang masih dimiliki operator
    • Ini menjadi contoh hilangnya waktu untuk pertahanan yang seharusnya tidak diperlukan dalam dunia yang utopis

Kesedihan dan Rasa Tak Berdaya

  • Inti tulisan ini bukan serangannya sendiri, melainkan kesedihan dan rasa tak berdaya yang kembali dipicunya
  • Ketimpangan bahwa menghancurkan sesuatu membutuhkan energi lebih sedikit daripada membuatnya dianalogikan dengan hukum entropi
  • Hal ini juga dikaitkan dengan pengalaman dua tahun lalu setelah masalah kesehatan, ketika penyakit dengan cepat mengambil alih tubuh dan pemulihan membutuhkan waktu lama
    • Penyakit biasanya bukan tindakan sengaja seseorang
    • Ketika orang lain sengaja menimbulkan kerugian, emosi yang tersisa sama sekali berbeda

Kisah Merpati dan Hal Positif Kecil

  • Operator merawat seekor merpati muda yang jatuh dari sarangnya dan terluka parah selama beberapa minggu, memberinya makan dengan jarum suntik
    • Kini merpati itu terbang bebas di lingkungan sekitar, tetapi masih sering datang
    • Ia menyatakan bahwa perubahan positif kecil seperti ini membuatnya bahagia
  • Pada saat yang sama, ia mengatakan sulit menepis pikiran bahwa seseorang yang membenci burung suatu hari mungkin menyakiti sesuatu yang telah mereka selamatkan

Penguatan Keamanan Setelah Serangan

  • Selama beberapa minggu setelah serangan, fokus diarahkan pada penguatan keamanan server myNoise
    • Serangan itu tidak berhasil menyusup ke server
    • Namun, serangan tersebut mengungkap bahwa konfigurasi yang ada dapat memungkinkan ratusan ribu upaya injeksi kode
    • Mereka menilai bahwa semakin banyak jumlah percobaan, semakin besar pula kemungkinan suatu saat ada yang berhasil
  • myNoise baru-baru ini pindah ke VPS terkelola, dan tidak memiliki akses root, yaitu hak administrator penuh
    • Mereka tidak dapat menggunakan alat deteksi intrusi standar atau firewall tingkat lanjut
    • Sebagai gantinya, mereka membuat langkah keamanan khusus yang disesuaikan untuk myNoise
    • Tidak mendokumentasikannya secara publik dipandang sebagai lapisan perlindungan tambahan
  • Strategi baru mencakup honeypot
    • Jika pihak jahat berinteraksi dengan jebakan itu, mereka segera diblokir
    • Strategi untuk mengulur waktu dengan menyajikan data kepada agen jahat dengan sangat lambat juga diterapkan
    • Setelah diblokir, mereka diarahkan untuk pindah ke situs web lain
  • Di dalam folder terlarang juga disiapkan subhalaman tak berujung dan labirin tautan
    • Strukturnya tumbuh secara eksponensial semakin jauh dijelajahi
    • Ini berfungsi sebagai perangkat untuk memperlambat penyusup sekaligus Easter egg bagi pengguna yang penasaran
    • Jika terkena honeypot sebelum mencapai labirin, pengguna dapat diblokir dari situs

Respons Komunitas

  • Setelah tulisan sebelumnya, ratusan pengguna menghubungi mereka
    • Pesan-pesan yang menyatakan pentingnya myNoise dalam kehidupan sehari-hari terus berdatangan
    • Saran teknis, donasi, dan donasi ulang juga terus mengalir
  • Serangan itu memunculkan lebih banyak dukungan dibanding peluncuran soundscape baru yang biasa
  • Operator mengatakan bahwa melalui kejadian ini, ia merasakan ikatan dan rasa komunitas antara myNoise dan para pengguna dengan lebih kuat
    • Ia teringat respons besar ketika dirawat di rumah sakit dua tahun lalu
  • Komunitas myNoise digambarkan sebagai lingkungan yang ramah, membantu, dan bernuansa positif
    • Ia memandang suara dan musik sebagai hal yang menghubungkan orang-orang

Hal yang Akan Terus Dilakukan

  • Operator mengatakan akan terus menanam pohon, membuat suara, membantu merpati muda, dan menyediakan myNoise, tempat perlindungan kecil yang damai, bagi orang-orang yang membutuhkannya
  • Ia mengajak untuk membuat lebih banyak hal bersama-sama dan menjadi lebih banyak jumlahnya daripada orang-orang yang memilih perusakan
  • Ia menyimpulkan bahwa yang memberi makna pada hidup adalah menciptakan, bukan menghancurkan

1 komentar

 
GN⁺ 2025-07-07
Komentar Hacker News
  • Baru-baru ini saya harus tinggal di gedung yang sangat bising, dan memutar white noise yang di-equalize dengan tepat lewat speaker membantu menutupi kebisingan serta menjaga kesehatan mental dan tidur pada level minimal
    Aplikasi myNoise mungkin tidak mencolok, tetapi menjalankan fungsi yang dijanjikan tanpa banyak embel-embel, dan bekerja baik di berbagai perangkat
    Saat membelinya, rasanya saya tidak tahu siapa pembuat aplikasinya, tetapi berkat tulisan ini saya jadi bisa melihat wajah orang di balik aplikasi tersebut
    Ketika diserang seseorang, kepercayaan terhadap manusia runtuh dan itu menjadi trauma yang lebih besar; akibatnya seseorang bisa menjadi lebih defensif dan tidak percaya, atau sebaliknya menjadi agresif terhadap orang lain dan merusak kepercayaan
    Saya tidak membela penyerangnya, tetapi untuk memutus lingkaran setan ini, tampaknya perlu dilihat sebagai persoalan kesehatan mental jangka panjang yang lintas generasi

    • Saya mengalami masalah kebisingan jangka panjang karena penyewa tepat di lantai atas, dan meski secara berkala mengadu ke kantor pengelola, yang saya dapat hanya empati tanpa tindakan berarti
      Setelah itu saya membuat Shortcut iOS yang mengirim email baku ke pemilik rumah setiap kali saya mengatakan “Loud neighbors” kepada Siri, dan ternyata 3–4 email per minggu cukup efektif
      Menurut saya, menenangkan seseorang sekadarnya di kantor lalu menyuruhnya pulang berbeda dengan harus membalas email setiap dua hari sekali
      Tentu ini bukan strategi yang cocok untuk semua situasi, tetapi semoga keadaan menjadi tenang dan damai
  • Dari sudut pandang orang yang bekerja di pentest/bug bounty, saya paham pemiliknya merasa frustrasi, tetapi ini terbaca seperti kebisingan internet biasa
    Dalam skenario terburuk pun, kelihatannya hanya sebatas seseorang membuka Burp Suite lalu menekan tombol jalankan pada sebuah situs web
    Banyak alat komersial secara default menjalankan serangan semacam ini secara massal, dan beberapa perusahaan SaaS bahkan menawarkannya sebagai produk
    Seluruh internet terus-menerus dipindai, dan ada banyak scanner yang menjalankan kumpulan serangan otomatis terhadap situs web yang ditemukan
    Bukan berarti itu benar, tetapi inilah kenyataan tempat kita hidup, dan menurut saya ini bukan sesuatu yang perlu diambil secara pribadi

    • Kalau hiu menyerang pun itu bukan karena perasaan pribadi, tetapi tetap saja menjadi trauma
      Lagi pula hiu juga bukan dibuat oleh hacker yang etikanya meragukan
      Saya tidak mengerti mengapa penderitaan sah orang ini harus diremehkan, dan melakukan itu tampak cukup tidak sopan
  • Para hacker pada dasarnya membunuh https://glslsandbox.com
    Seseorang membanjirinya dengan spam, dan karena tidak ada waktu untuk menanganinya, situs itu sudah ditutup sekitar satu setengah tahun
    Memang ada situs seperti Shadertoy yang melakukan hal serupa, tetapi sangat disayangkan proyek seseorang rusak dengan cara seperti ini
    Karena masalah denial-of-service ini adalah layanan gratis, di proyek saya sendiri biasanya saya mencoba menghindari penanganan langsung dengan bersembunyi di balik Cloudflare
    Sikap ala hacker, “kalau aku bisa merusak barangmu, itu salahmu, harusnya kamu membuatnya lebih baik,” selalu menjengkelkan
    Jendela, pintu, dan tubuh juga bisa dirusak, tetapi hanya karena itu mungkin dilakukan bukan berarti korbannya yang salah
    Meski begitu saya juga tahu manusia-manusia seperti ini tidak bisa dilenyapkan

    • Sistem fisik dan sistem informasi itu berbeda
      Sistem informasi bisa dibuat tidak dapat ditembus, tetapi sistem fisik tidak bisa dibuat seperti itu
      Sistem fisik pada dasarnya lebih aman berkat lokalitas, dan keamanan melalui penyembunyian juga bisa memberi manfaat tertentu
      Jika sistem informasi yang lemah dihubungkan ke jaringan global yang bisa diinteraksikan siapa saja, lalu seseorang menemukan cara untuk merusaknya, lebih layak melihat kelemahan sistemiknya daripada marah pada penyerang tertentu
    • Bagian terakhir itu benar sekali
      Saya orang berbadan besar, tinggi 6 kaki 3 inci, 260 pon, pernah beberapa kali ikut Ironman, olahraga, climbing, angkat beban, berburu, bahkan bertahun-tahun sedikit latihan bela diri
      Saya pikir sebagian besar orang di sekitar saya mungkin bisa saya bunuh dengan tangan kosong, tetapi saya tidak melakukannya
      Seperti yang Anda katakan, hidup tidak berjalan seperti itu
      Namun orang-orang menerapkan logika ini secara sembrono pada mobil, ponsel, dan proyek pribadi seperti di atas
      Saya penasaran bagaimana perasaan mereka kalau saya menghajar mereka lalu tertawa sambil berkata, “ibumu harusnya tidur dengan orang yang lebih besar”
      Bagaimanapun, saya setuju ini benar-benar menyedihkan
  • Sebaiknya jangan diambil secara pribadi
    Mereka tidak tahu siapa Anda dan tidak peduli
    Server kini hampir wajib memiliki rate limiter dalam bentuk apa pun
    Pemindaian dan eksplorasi memang melampaui batas ketidaksopanan, tetapi internet penuh dengan hal-hal menyebalkan
    Fail2ban bisa dengan mudah dikonfigurasi untuk menangani percobaan login sederhana atau pemindaian kerentanan
    Kalau belum ada yang serupa untuk web server, seharusnya tidak terlalu sulit dibuat; saya penasaran apakah ada yang tahu Fail2ban atau rate limiter untuk web server

    • Menaruh paket gratis Cloudflare di depan situs web akan menyelesaikan masalah
  • Saya terus menyukai situs ini sejak pertama kali mengetahuinya
    Dalam lingkungan sekarang, ketika kepadatan kantor makin tinggi, setidaknya di daerah saya, situs ini makin membantu
    Redesign aplikasi baru-baru ini juga sangat bagus
    Akses ke pustaka besar yang ia buat saja sudah layak untuk sedikit dukungan
    Terutama karena sebagian besar kontennya ia rekam sendiri di lapangan, ia mixing, lalu ia bagi menjadi band equalizer
    Termasuk pantai Irlandia, saluran air bawah tanah, hingga berbagai suara hutan

  • Pertarungan tidak adil antara kebaikan dan kejahatan mungkin merupakan persoalan sulit yang sudah berlangsung ribuan tahun
    Ada berbagai solusi tentang cara menangani orang jahat, seperti membunuh, memaafkan, mendidik dan merehabilitasi, tetapi tampaknya tidak ada yang benar-benar bekerja baik
    Salah satu solusi mungkin mengumpulkan mereka semua, mengirimnya ke planet lain, dan membiarkan mereka hidup sesuka hati di sana, asalkan tidak bisa mengganggu orang baik
    Dan mungkin ada yang akan berkata bahwa itu sudah pernah dilakukan, sehingga kita berada di sini sekarang

    • Dulu pernah dicoba
      Dimulai dari petugas desinfeksi telepon, penata rambut, dan eksekutif periklanan
    • Belakangan saya sepertinya melihat tulisan tentang seseorang yang menyediakan konten gzip terkompresi yang dibuat khusus melalui protokol HTTP agar ukurannya meledak di sisi penerima
      Crawler biasanya tidak mengalokasikan ruang sebanyak itu untuk tiap instance, jadi ini bisa menjadi langkah pencegahan yang bagus
    • Kalau dilihat begitu, sepertinya di sini kitalah pihak yang jahat
    • Kapan terakhir kali kita pernah membunuh hacker jahat?
  • Kasihan, kemungkinan besar dia sedang di-crawl oleh bot LLM
    “Penyerang” itu kemungkinan besar tidak tahu siapa orang ini
    Bisa jadi hanya perusahaan tanpa wajah yang ingin memakai suara atau konten white noise miliknya untuk pelatihan dan penyediaan LLM
    Saya juga menerima “serangan” serupa setiap hari, tetapi kalau ditelusuri, sering kali itu bot yang meng-crawl log Certificate Transparency
    Kalau sertifikat situsnya diperiksa, sertifikat itu diterbitkan oleh Let’s Encrypt CA, dan paling jauh cuma level script kiddie yang mengincar sasaran empuk
    Ke depannya, semoga “serangan” seperti ini tidak terlalu dianggap personal
    Secara keseluruhan dia orang baik, bahkan mungkin terlalu baik untuk dunia ini

  • Saya anggota seumur hidup dan sudah bertahun-tahun menikmati mynoise.net
    Ini yang terbaik yang pernah saya temukan untuk membantu fokus dan memblokir distraksi
    Saya juga memakai brain.fm dan YouTube Music, tetapi situsnya lebih bagus, dirancang dengan lebih sengaja, dan lebih efektif bagi saya, jadi saya terus kembali ke sana

  • Aplikasi MyNoise benar-benar membuat hidup saya lebih baik
    Di rumah saya memakai mesin white noise, tetapi saat bepergian MyNoise adalah teman tidur saya, dan saya terutama suka karena equalizer-nya bisa diatur untuk memblokir suara tertentu yang mungkin membangunkan saya
    Sedih mendengar kabar peretasan yang menyebalkan ini

    • Sepenuhnya setuju, dan saya juga melakukan hal yang sama selama bertahun-tahun
      Yang sangat bagus, terutama saat koneksi tidak stabil, adalah begitu suara pilihan dimuat sekali, ia berjalan secara lokal di browser sehingga meski koneksi terputus, pemutaran tetap berlanjut tanpa tersendat
  • Saya tidak mengerti kenapa ada orang yang ingin mencelakai orang ini
    Situs ini luar biasa

    • Ada orang yang hanya ingin melihat dunia terbakar
      Ada banyak alasannya, tetapi yang paling mendasar, ungkapan bahwa orang yang terluka akan melukai orang lain memang benar
      Saya juga berusaha mengingat ini dalam cara saya merespons ketika seseorang bersikap kurang baik
      Jika saya bereaksi buruk, itu memberi orang tersebut alasan untuk membenarkan melakukan hal yang sama kepada orang lain di lain waktu
      Saya belajar bahwa kita bisa melindungi diri sendiri tanpa berubah menjadi orang gila yang berbusa-busa mulutnya
      Dalam kebanyakan kasus, batasan bisa ditegakkan dengan pistol air, bukan senjata nuklir
      Semuanya saling terhubung, dan orang ini mungkin naif, tetapi ia berusaha memulai koneksi yang baik
      Saya ingin memberinya tepuk tangan
    • Kemungkinan besar ini bukan serangan tertarget
      Dari pengalaman menjalankan situs, internet adalah gurun campuran crawler AI, script kiddie yang mencoba mengubah setiap form menjadi vektor amplifikasi, dan pemindai kerentanan
    • Mungkin juga ada seseorang di perusahaan AI besar yang menekan tombol untuk menambahkan situs ini ke kumpulan materi pelatihan
      Entah karena malas atau tidak, mungkin mereka juga mencentang kotak “ulang” dan “selamanya”
    • Jika ada yang diajarkan oleh tahun-tahun saya di internet, itu adalah bahwa sebagian orang benar-benar tidak stabil secara mental secara serius dan berusaha menghancurkan apa pun yang bisa mereka jangkau
      Mereka melakukannya hanya karena bisa
      Kadang demi mendapatkan perhatian, kadang hanya karena ingin melihat dunia terbakar
      Apa pun alasannya, tidak ada gunanya bertanya “apa yang dilakukan target sampai pantas mengalami ini?”
      Penyerangnya kemungkinan besar sejak awal tidak menanyakan hal seperti itu kepada diri sendiri, dan bisa saja memang seorang sosiopat terang-terangan
      Semakin besar internet, semakin banyak pula orang seperti ini
      Pada masa lalu, mereka mungkin dikucilkan oleh masyarakat, kemampuan mereka untuk merugikan orang lain juga sangat terbatas kecuali memakai cara yang lebih ekstrem, dan biasanya ada konsekuensi berat
      Namun internet memberi mereka saluran pelepasan baru, memberi cara untuk merusak milik orang-orang di seluruh dunia yang dulu tidak akan bisa mereka jangkau, dan biasanya hampir tanpa risiko hukuman