1 puan yazan GN⁺ 2025-07-07 | 1 yorum | WhatsApp'ta paylaş
  • myNoise'un işletmecisi yüz binlerce kod enjeksiyonu girişimi ve toplu ses dosyası indirme saldırısıyla karşılaştığını, sunucu ayakta kalsa da zamanını, enerjisini ve huzurunu kaybettiğini anlatıyor
  • Saldırgan, elde yazılmış myNoise yapısı nedeniyle içeri sızamayınca yöntemi değiştirip tüm ses dosyalarını tekrar tekrar indirerek bant genişliğini boşa harcamaya yöneldi
  • Ziyaretçilerin enerji kullanımını dengelemek için her yıl ağaç diken myNoise için kasıtlı sunucu flood'u sadece trafik değil, israf ve tahribat olarak hissedildi
  • İşletmeci, yeni sesler ve ambiyanslar üretmeye ayıracağı zamanı sorunu anlamaya ve savunma önlemleri almaya harcamak zorunda kaldı; sonrasında yapılan güvenlik güçlendirmeleri arasında honeypot ve yavaş yanıt stratejileri de yer aldı
  • Olaydan sonra yüzlerce kullanıcı destek mesajı, teknik tavsiye, bağış veya yeniden bağışla karşılık verdi; işletmeci myNoise'u buna ihtiyaç duyanlar için küçük bir huzur sığınağı olarak sunmaya devam edeceğini söyledi

Saldırının gerçekte yaptığı şey

  • myNoise, kaotik internet içinde olumlu bir yer yaratma çabası olarak işletiliyor
  • Birkaç gün önce düşmanca bir ziyaretçi ya da aktör yüz binlerce istek göndererek kod enjeksiyonu denedi
    • Bu girişim başarısız oldu
    • myNoise'un sıradan bir CMS değil, en baştan elde yazılmış bir yapıya sahip olması bunda etkili olmuş olabilir
  • İçeri girmeyi başaramayınca saldırgan stratejisini değiştirip tüm ses dosyalarını tekrar tekrar indirmeye başladı
    • Bu, sunucu bant genişliğini boşa harcamaya yönelik bir saldırı olarak değerlendirildi

Bant genişliği israfının neden daha ağır hissedildiği

  • myNoise'un işletmecisi, site ziyaretçilerinin enerji kullanımını dengelemek için her yıl ağaç dikiyor
    • Bunun yönteminin sorgulanabileceğini kabul ediyor
    • Esas noktanın sorumlu davranma niyeti olduğunu vurguluyor
  • Kasıtlı sunucu flood'u, sıradan bir teknik sorun değil, israf ve tahribata yakın bir eylem gibi hissediliyor

Sunucudan önce çalınan şey

  • Sunucu çökmedi ama saldırı işletmecinin zamanını ve enerjisini çaldı
    • Yeni sesler ve sakin ambiyanslar üretmek için ayırdığı zaman sorunu anlamaya gitti
    • Saldırıyı durdurmak ve geleceğe dönük koruma önlemleri hazırlamak da ayrıca zaman aldı
  • Saldırı, işletmecinin elinde kalan huzuru da sarstı
    • Ütopik bir dünyada hiç gerekmeyecek savunmalar için zaman kaybedilen bir örnek olarak kaldı

Hüzün ve çaresizlik

  • Yazının odağında saldırının kendisinden çok, onun yeniden tetiklediği hüzün ve çaresizlik var
  • Bir şeyi inşa etmektense yıkmanın daha az enerji gerektirmesi biçimindeki dengesizlik, entropi yasasına benzetiliyor
  • Bu duygu, iki yıl önce yaşanan sağlık sorunu sonrası hastalığın bedeni hızla ele geçirip iyileşmenin uzun sürmesi deneyimiyle de ilişkilendiriliyor
    • Hastalık çoğu zaman birinin kasıtlı eylemi değildir
    • Ama bir başkası bilerek zarar verdiğinde geride bambaşka duygular kalır

Güvercin hikâyesi ve küçük bir iyilik

  • İşletmeci, yuvadan düşüp ağır yaralanan genç bir güvercini haftalar boyunca şırıngayla besleyerek iyileştirdiğini anlatıyor
    • Şimdi mahallede özgürce uçuyor ama hâlâ uğruyor
    • Bu tür küçük olumlu değişimlerin kendisini mutlu ettiğini söylüyor
  • Aynı zamanda, birilerinin kuşlardan nefret edip kurtardıkları bu canlıya bir gün zarar verebileceği düşüncesini aklından atamadığını belirtiyor

Saldırı sonrası güvenlik güçlendirmeleri

  • Saldırıdan sonraki haftalarda odak noktası myNoise sunucusunun güvenliğini güçlendirmek oldu
    • Saldırı sunucuya sızmayı başaramadı
    • Ama mevcut ayarların yüz binlerce kod enjeksiyonu denemesine izin verebildiğini ortaya çıkardı
    • Deneme sayısı arttıkça bir gün başarılı olma ihtimalinin de yükseldiği düşünüldü
  • myNoise kısa süre önce yönetilen bir VPS'e taşındı ve tam yönetici yetkisi olan root erişimine sahip değil
    • Bu yüzden standart saldırı tespit araçları veya gelişmiş firewall çözümleri kullanılamadı
    • Bunun yerine myNoise'a uygun özel güvenlik önlemleri geliştirildi
    • Bunların kamuya açık biçimde belgelenmemesi de ek bir koruma katmanı olarak görülüyor
  • Yeni strateji içinde bir honeypot da bulunuyor
    • Kötü niyetli bir aktör tuzakla etkileşime girerse anında engelleniyor
    • Kötü niyetli ajanlara veriyi çok yavaş sağlayarak zaman kazanmaya yönelik bir strateji de uygulanıyor
    • Böylece engellendikten sonra başka web sitelerine yönelmeleri amaçlanıyor
  • Yasaklı klasörlerin içinde sonsuz alt sayfalar ve bağlantı labirentleri de hazırlandı
    • Yapı, ilerledikçe geometrik olarak büyüyor
    • Hem saldırganı yavaşlatan bir düzenek hem de meraklı kullanıcılar için bir Easter egg işlevi görüyor
    • Labirente ulaşmadan önce honeypot'a yakalanılırsa siteden engellenmek mümkün

Topluluğun tepkisi

  • Önceki yazının ardından yüzlerce kullanıcı iletişime geçti
    • myNoise'un günlük yaşamlarında önemli olduğunu anlatan mesajlar geldi
    • Teknik tavsiyeler, bağışlar ve yeniden bağışlar da devam etti
  • Saldırı, sıradan bir yeni soundscape yayınına kıyasla daha fazla destek doğurdu
  • İşletmeci, bu olay sayesinde myNoise ile kullanıcıları arasındaki bağı ve topluluk duygusunu daha güçlü hissettiğini söylüyor
    • Bu, iki yıl önce hastaneye kaldırıldığında gelen büyük tepkiyi de hatırlattı
  • myNoise topluluğu, nazik, yardımsever ve olumlu bir atmosfere sahip bir çevre olarak tasvir ediliyor
    • Seslerin ve müziğin insanları birbirine bağladığı düşünülüyor

Bundan sonra da yapılacaklar

  • İşletmeci, bundan sonra da ağaç dikmeye, ses üretmeye, genç güvercinlere yardım etmeye ve myNoise adlı küçük huzur sığınağını buna ihtiyaç duyanlara sunmaya devam edeceğini söylüyor
  • Hep birlikte daha çok şey üretip, yıkımı seçenlerden sayıca fazla olmamız gerektiğini öneriyor
  • Hayata anlam veren şeyin inşa etmek, yok etmek değil olduğu sonucuna varıyor

1 yorum

 
GN⁺ 2025-07-07
Hacker News yorumları
  • Yakın zamanda çok gürültülü bir binada kalmak zorunda kaldım; hoparlörlerden uygun şekilde ekolayz edilmiş beyaz gürültü çalmak, gürültüyü maskelemeye ve asgari akıl sağlığımı ve uykumu korumaya yardımcı oldu.
    myNoise uygulaması gösterişli olmasa da vaat ettiği işi fazlalıksız yapıyor ve birden çok cihazda iyi çalışıyor.
    Satın alırken uygulamayı kimin yaptığını bilmiyordum sanırım; bu yazı sayesinde uygulamanın arkasındaki insanın yüzünü görmüş oldum.
    Birinin saldırısına uğradığınızda insanlara olan güveniniz yıkılıyor; bu da daha büyük bir travmaya dönüşüyor ve sonuçta sizi daha savunmacı ve güvensiz yapabiliyor ya da tam tersine başkalarına saldıran, güven kıran biri hâline getirebiliyor.
    Saldırganı savunmuyorum ama bu kısır döngüyü kırmak için bunu kuşakları aşan bir uzun vadeli ruh sağlığı meselesi olarak görmek gerekiyor gibi.

    • Hemen üst kattaki kiracı yüzünden uzun süre gürültü sorunu yaşadım; yönetim ofisine düzenli olarak şikâyet etsem de empati dışında pek bir şey yapılmadı.
      Sonra Siri’ye her “Loud neighbors” dediğimde ev sahibine kalıplaşmış bir e-posta gönderen bir iOS Kestirmesi oluşturdum; haftada 3-4 e-posta şaşırtıcı derecede etkili oldu.
      Ofiste birini geçiştirip göndermekle iki günde bir e-postaya yanıt vermek zorunda kalmak aynı şey değil bence.
      Elbette her duruma uyan bir strateji değil ama umarım sessiz ve huzurlu olur.
  • Pentest/bug bounty işi yapan biri olarak, sahibinin bunu sinir bozucu bulmasını anlıyorum ama bu bana sıradan internet gürültüsü gibi geliyor.
    En kötü ihtimalle biri Burp Suite’i açıp web sitesinde çalıştır düğmesine basmış gibi görünüyor.
    Birçok ticari araç varsayılan olarak bu tür saldırıları toplu hâlde yürütüyor; bazı SaaS şirketleri bunu doğrudan ürün olarak bile sunuyor.
    Tüm internet sürekli taranıyor ve bulunan web sitelerinde otomatik saldırı paketleri çalıştıran çok sayıda tarayıcı var.
    Bunun doğru olduğu anlamına gelmiyor ama içinde yaşadığımız gerçeklik bu ve kişisel algılanacak bir şey olmadığını düşünüyorum.

    • Bir köpekbalığı saldırdığında da kişisel bir duygu söz konusu değildir ama yine de travma yaratır.
      Üstelik köpekbalığı etik açıdan şüpheli bir hacker tarafından yapılmış bir şey de değil.
      Bu kişinin meşru acısını neden küçümsemek gerektiğini bilmiyorum; bunu yapmak oldukça kaba görünüyor.
  • Hacker’lar fiilen https://glslsandbox.com sitesini öldürdü.
    Biri spam yağdırdı ve bununla ilgilenecek zaman olmadığı için site yaklaşık bir buçuk yıldır kapalı.
    Shadertoy gibi benzer işler yapan siteler var ama birinin projesinin bu şekilde mahvolması gerçekten üzücü.
    Hizmet reddi sorunu ücretsiz hizmetlerden kaynaklandığı için, kendi projemde doğrudan uğraşmaktan kaçınmak adına genelde Cloudflare arkasına saklanma yolunu seçiyorum.
    “Senin eşyanı kırabiliyorsam bu senin suçun; daha iyi yapmalıydın” şeklindeki hacker tavrı her zaman canımı sıkıyor.
    Pencereleri, kapıları, bedenleri de kırabilirsiniz ama mümkün olması, mağduru sorumlu yapmaz.
    Yine de böyle insanları ortadan kaldıramayacağımızı da biliyorum.

    • Fiziksel sistemler ile bilgi sistemleri farklıdır.
      Bilgi sistemleri kırılamaz hâle getirilebilir ama fiziksel sistemler için bunu yapamazsınız.
      Fiziksel sistemler yerellik sayesinde doğası gereği daha güvenlidir ve gizlilik yoluyla güvenlikten de bir ölçüde fayda görebilir.
      Zayıf bir bilgi sistemini herkesin etkileşime girebildiği küresel bir ağa bağladıysanız ve biri onu bozmanın bir yolunu bulduysa, belirli bir saldırgana öfkelenmektense sistemik zayıflıklara bakmaya değer.
    • Son kısım gerçekten doğru.
      6 fit 3 inç boyunda, 260 pound ağırlığında; birkaç Ironman, spor, tırmanış, ağırlık çalışması, avcılık ve yıllarca biraz dövüş eğitimi almış iri biriyim.
      Çevremdeki çoğu insanı çıplak ellerimle bile öldürebileceğimi düşünüyorum ama bunu yapmıyorum.
      Çünkü dediğiniz gibi hayat böyle işlemiyor.
      Ama insanlar bu mantığı arabalara, telefonlara ve yukarıdaki kişisel projeler gibi şeylere pervasızca uyguluyor.
      Onları dövüp gülerek “Annen daha iri biriyle yatmalıydı” desem nasıl hissederler merak ediyorum.
      Her hâlükârda bunun gerçekten üzücü bir şey olduğuna katılıyorum.
  • Kişisel algılamamak daha iyi.
    Onlar sizin kim olduğunuzu bilmiyor ve umursamıyor.
    Sunucularda artık bir biçimde hız sınırlayıcı neredeyse zorunlu hâle geliyor.
    Tarama ve yoklama kabalığın ötesine geçiyor ama internet can sıkıcı şeylerle dolu.
    Fail2ban basit oturum açma denemeleri veya zafiyet taramalarını ele alacak şekilde kolayca yapılandırılabilir.
    Web sunucuları için benzeri yoksa yapmak zor olmasa gerek; web sunucuları için Fail2ban ya da bir hız sınırlayıcı bilen var mı merak ediyorum.

    • Web sitesinin önüne Cloudflare ücretsiz planını koyarsanız sorun çözülür.
  • İlk öğrendiğimden beri bu siteyi hep sevdim.
    Ofis yoğunluğunun giderek arttığı günümüz ortamında, en azından benim bölgemde, daha da işe yarıyor.
    Yakın zamandaki uygulama yeniden tasarımı da harikaydı.
    Oluşturduğu devasa kütüphaneye erişebilmek bile küçük bir bağışı hak ediyor.
    Özellikle içeriklerin çoğu onun bizzat sahada kaydettiği, mikslediği ve ekolayzer bantlarına ayırdığı şeyler.
    İrlanda kıyıları, yeraltı su kanalları ve çeşitli orman sesleri de buna dahil.

  • İyi ile kötünün adaletsiz mücadelesi muhtemelen binlerce yıldır süren zorlu bir sorun.
    Kötü insanlarla nasıl başa çıkılacağına dair öldürmek, affetmek, eğitip ıslah etmek gibi çeşitli çözümler ortaya atıldı ama pratikte iyi çalışan bir şey yok gibi görünüyor.
    Bir çözüm, hepsini toplayıp başka bir gezegene göndermek ve orada istedikleri gibi yaşamalarına izin verirken iyi insanları rahatsız etmelerini engellemek olabilir.
    Ve biri, bunun zaten yapıldığını ve bu yüzden bizim burada olduğumuzu söyleyebilir.

    • Daha önce denendi.
      Telefon dezenfektancıları, kuaförler ve reklam yöneticileriyle başlanmıştı.
    • Yakın zamanda birinin HTTP protokolü üzerinden, alıcı tarafında boyutu patlayacak şekilde özel hazırlanmış gzip sıkıştırılmış içerik sunduğuna dair bir yazı gördüğümü sanıyorum.
      Crawler’lar genelde her instance’a o kadar fazla alan ayırmadığı için iyi bir önlem olabilir.
    • Böyle bakınca burada kötü taraf bizmişiz gibi görünüyor.
    • Kötü niyetli hacker’ları en son ne zaman öldürdük?
  • Zavallı, muhtemelen bir LLM botu tarafından taranmış gibi görünüyor
    “Saldırgan”ın bu kişinin kim olduğunu bilmiyor olma ihtimali yüksek
    Belki de yüzü olmayan bir şirket, onun seslerini veya beyaz gürültü içeriklerini LLM eğitimi ve beslemesi için kullanmak istiyordur
    Ben de her gün benzer “saldırılar” alıyorum ama bakınca çoğu zaman bunlar sertifika şeffaflığı günlüklerini tarayan botlar oluyor
    Sitenin sertifikasını kontrol edince Let’s Encrypt CA tarafından verilmiş olduğu görülüyor; en fazla kolay hedef arayan script kiddie düzeyi
    Umarım bundan sonra bu tür “saldırıları” fazla kişisel algılamaz
    Genel olarak iyi biri; belki de bu dünya için fazla iyi biri

  • Ömür boyu üyeyim ve mynoise.net’i yıllardır keyifle kullanıyorum
    Odaklanmak ve dikkat dağıtıcı şeyleri engellemek için bulduklarım arasında en iyisi
    brain.fm ve YouTube Music de kullanıyorum ama onun sitesi daha iyi, daha bilinçli tasarlanmış ve bende daha etkili olduğu için sürekli geri dönüyorum

  • MyNoise uygulaması hayatımı gerçekten daha iyi hale getirdi
    Evde beyaz gürültü makinesi kullanıyorum ama seyahatte MyNoise uyku yoldaşım oluyor; özellikle beni uyandırabilecek belirli sesleri engellemek için ekolayzer ayarlayabilmeyi seviyorum
    Can sıkıcı hack haberine üzüldüm

    • Tamamen katılıyorum, ben de yıllardır aynısını yapıyorum
      Özellikle bağlantı kararsızken güzel yanı şu: Tercih ettiğiniz sesi bir kez yükleyince tarayıcıda yerel olarak çalışıyor ve bağlantı kopsa bile kesintisiz çalmaya devam ediyor
  • Birinin neden bu adama zarar vermek isteyeceğini anlamıyorum
    Bu site harika

    • Bazı insanlar dünyanın yanışını izlemek ister
      Bunun birçok nedeni olabilir ama en temelde, incinmiş insanların başkalarını incittiği sözü doğru
      Biri daha az nazik davrandığında nasıl tepki vereceğimi düşünürken bunu hatırlamaya çalışıyorum
      Kötü tepki verirsem, o kişiye bir dahaki sefere başkasına aynı şeyi yapmasını meşrulaştıracak bir bahane vermiş olurum
      Ağzından köpükler saçan bir deliye dönüşmeden de kendimi koruyabileceğimi öğrendim
      Çoğu durumda sınırlar nükleer silahla değil, su tabancasıyla da çizilebilir
      Her şey birbirine bağlı ve bu kişi saf olabilir ama iyi bağlantılar başlatmaya çalışıyor
      Alkışı hak ediyor
    • Hedefli bir saldırı olmama ihtimali yüksek
      Site işletmiş biri olarak deneyimime göre internet; AI crawler’ların, her formu bir amplifikasyon vektörüne çevirmeye çalışan script kiddie’lerin ve zafiyet tarayıcılarının birbirine karıştığı bir çorak arazi
    • Büyük bir yapay zeka şirketinden biri, eğitim verisi koleksiyonuna bu siteyi eklemek için bir düğmeye basmış da olabilir
      Tembelce ya da değil, “tekrarla” ve “sonsuza kadar” onay kutularını da işaretlemiş olabilir
    • İnternette geçirdiğim yılların bana öğrettiği bir şey varsa, bazı insanların gerçekten ciddi biçimde zihinsel olarak dengesiz olduğu ve ellerine geçen her şeyi yok etmeye çalıştığıdır
      Bunu sırf yapabildikleri için yaparlar
      Bazen ilgi çekmek içindir, bazen de sadece dünyanın yanışını izlemek istedikleri için
      Her iki durumda da “hedef ne yaptı da bunu hak etti?” diye sormak anlamsızdır
      Saldırganın en başta böyle bir soruyu kendine hiç sormamış olma ihtimali yüksektir; düpedüz bir sosyopat da olabilir
      İnternet büyüdükçe bu tür insanların sayısı da artıyor
      Eskiden toplum tarafından dışlanırlardı; daha uç yöntemler kullanmadıkları sürece başkalarına zarar verme kapasiteleri de ciddi biçimde sınırlıydı ve genelde ağır bedelleri olurdu
      Ama internet onlara yeni bir çıkış yolu verdi; geçmişte ulaşamayacakları dünyanın dört bir yanındaki insanların şeylerini mahvetmenin yollarını sundu ve çoğu zaman cezalandırılma riski de neredeyse yok