Hacker'ın Benden Çaldıkları
(mynoise.net)- myNoise'un işletmecisi yüz binlerce kod enjeksiyonu girişimi ve toplu ses dosyası indirme saldırısıyla karşılaştığını, sunucu ayakta kalsa da zamanını, enerjisini ve huzurunu kaybettiğini anlatıyor
- Saldırgan, elde yazılmış myNoise yapısı nedeniyle içeri sızamayınca yöntemi değiştirip tüm ses dosyalarını tekrar tekrar indirerek bant genişliğini boşa harcamaya yöneldi
- Ziyaretçilerin enerji kullanımını dengelemek için her yıl ağaç diken myNoise için kasıtlı sunucu flood'u sadece trafik değil, israf ve tahribat olarak hissedildi
- İşletmeci, yeni sesler ve ambiyanslar üretmeye ayıracağı zamanı sorunu anlamaya ve savunma önlemleri almaya harcamak zorunda kaldı; sonrasında yapılan güvenlik güçlendirmeleri arasında honeypot ve yavaş yanıt stratejileri de yer aldı
- Olaydan sonra yüzlerce kullanıcı destek mesajı, teknik tavsiye, bağış veya yeniden bağışla karşılık verdi; işletmeci myNoise'u buna ihtiyaç duyanlar için küçük bir huzur sığınağı olarak sunmaya devam edeceğini söyledi
Saldırının gerçekte yaptığı şey
- myNoise, kaotik internet içinde olumlu bir yer yaratma çabası olarak işletiliyor
- Birkaç gün önce düşmanca bir ziyaretçi ya da aktör yüz binlerce istek göndererek kod enjeksiyonu denedi
- Bu girişim başarısız oldu
- myNoise'un sıradan bir CMS değil, en baştan elde yazılmış bir yapıya sahip olması bunda etkili olmuş olabilir
- İçeri girmeyi başaramayınca saldırgan stratejisini değiştirip tüm ses dosyalarını tekrar tekrar indirmeye başladı
- Bu, sunucu bant genişliğini boşa harcamaya yönelik bir saldırı olarak değerlendirildi
Bant genişliği israfının neden daha ağır hissedildiği
- myNoise'un işletmecisi, site ziyaretçilerinin enerji kullanımını dengelemek için her yıl ağaç dikiyor
- Bunun yönteminin sorgulanabileceğini kabul ediyor
- Esas noktanın sorumlu davranma niyeti olduğunu vurguluyor
- Kasıtlı sunucu flood'u, sıradan bir teknik sorun değil, israf ve tahribata yakın bir eylem gibi hissediliyor
Sunucudan önce çalınan şey
- Sunucu çökmedi ama saldırı işletmecinin zamanını ve enerjisini çaldı
- Yeni sesler ve sakin ambiyanslar üretmek için ayırdığı zaman sorunu anlamaya gitti
- Saldırıyı durdurmak ve geleceğe dönük koruma önlemleri hazırlamak da ayrıca zaman aldı
- Saldırı, işletmecinin elinde kalan huzuru da sarstı
- Ütopik bir dünyada hiç gerekmeyecek savunmalar için zaman kaybedilen bir örnek olarak kaldı
Hüzün ve çaresizlik
- Yazının odağında saldırının kendisinden çok, onun yeniden tetiklediği hüzün ve çaresizlik var
- Bir şeyi inşa etmektense yıkmanın daha az enerji gerektirmesi biçimindeki dengesizlik, entropi yasasına benzetiliyor
- Bu duygu, iki yıl önce yaşanan sağlık sorunu sonrası hastalığın bedeni hızla ele geçirip iyileşmenin uzun sürmesi deneyimiyle de ilişkilendiriliyor
- Hastalık çoğu zaman birinin kasıtlı eylemi değildir
- Ama bir başkası bilerek zarar verdiğinde geride bambaşka duygular kalır
Güvercin hikâyesi ve küçük bir iyilik
- İşletmeci, yuvadan düşüp ağır yaralanan genç bir güvercini haftalar boyunca şırıngayla besleyerek iyileştirdiğini anlatıyor
- Şimdi mahallede özgürce uçuyor ama hâlâ uğruyor
- Bu tür küçük olumlu değişimlerin kendisini mutlu ettiğini söylüyor
- Aynı zamanda, birilerinin kuşlardan nefret edip kurtardıkları bu canlıya bir gün zarar verebileceği düşüncesini aklından atamadığını belirtiyor
Saldırı sonrası güvenlik güçlendirmeleri
- Saldırıdan sonraki haftalarda odak noktası myNoise sunucusunun güvenliğini güçlendirmek oldu
- Saldırı sunucuya sızmayı başaramadı
- Ama mevcut ayarların yüz binlerce kod enjeksiyonu denemesine izin verebildiğini ortaya çıkardı
- Deneme sayısı arttıkça bir gün başarılı olma ihtimalinin de yükseldiği düşünüldü
- myNoise kısa süre önce yönetilen bir VPS'e taşındı ve tam yönetici yetkisi olan root erişimine sahip değil
- Bu yüzden standart saldırı tespit araçları veya gelişmiş firewall çözümleri kullanılamadı
- Bunun yerine myNoise'a uygun özel güvenlik önlemleri geliştirildi
- Bunların kamuya açık biçimde belgelenmemesi de ek bir koruma katmanı olarak görülüyor
- Yeni strateji içinde bir honeypot da bulunuyor
- Kötü niyetli bir aktör tuzakla etkileşime girerse anında engelleniyor
- Kötü niyetli ajanlara veriyi çok yavaş sağlayarak zaman kazanmaya yönelik bir strateji de uygulanıyor
- Böylece engellendikten sonra başka web sitelerine yönelmeleri amaçlanıyor
- Yasaklı klasörlerin içinde sonsuz alt sayfalar ve bağlantı labirentleri de hazırlandı
- Yapı, ilerledikçe geometrik olarak büyüyor
- Hem saldırganı yavaşlatan bir düzenek hem de meraklı kullanıcılar için bir Easter egg işlevi görüyor
- Labirente ulaşmadan önce honeypot'a yakalanılırsa siteden engellenmek mümkün
Topluluğun tepkisi
- Önceki yazının ardından yüzlerce kullanıcı iletişime geçti
- myNoise'un günlük yaşamlarında önemli olduğunu anlatan mesajlar geldi
- Teknik tavsiyeler, bağışlar ve yeniden bağışlar da devam etti
- Saldırı, sıradan bir yeni soundscape yayınına kıyasla daha fazla destek doğurdu
- İşletmeci, bu olay sayesinde myNoise ile kullanıcıları arasındaki bağı ve topluluk duygusunu daha güçlü hissettiğini söylüyor
- Bu, iki yıl önce hastaneye kaldırıldığında gelen büyük tepkiyi de hatırlattı
- myNoise topluluğu, nazik, yardımsever ve olumlu bir atmosfere sahip bir çevre olarak tasvir ediliyor
- Seslerin ve müziğin insanları birbirine bağladığı düşünülüyor
Bundan sonra da yapılacaklar
- İşletmeci, bundan sonra da ağaç dikmeye, ses üretmeye, genç güvercinlere yardım etmeye ve myNoise adlı küçük huzur sığınağını buna ihtiyaç duyanlara sunmaya devam edeceğini söylüyor
- Hep birlikte daha çok şey üretip, yıkımı seçenlerden sayıca fazla olmamız gerektiğini öneriyor
- Hayata anlam veren şeyin inşa etmek, yok etmek değil olduğu sonucuna varıyor
1 yorum
Hacker News yorumları
Yakın zamanda çok gürültülü bir binada kalmak zorunda kaldım; hoparlörlerden uygun şekilde ekolayz edilmiş beyaz gürültü çalmak, gürültüyü maskelemeye ve asgari akıl sağlığımı ve uykumu korumaya yardımcı oldu.
myNoise uygulaması gösterişli olmasa da vaat ettiği işi fazlalıksız yapıyor ve birden çok cihazda iyi çalışıyor.
Satın alırken uygulamayı kimin yaptığını bilmiyordum sanırım; bu yazı sayesinde uygulamanın arkasındaki insanın yüzünü görmüş oldum.
Birinin saldırısına uğradığınızda insanlara olan güveniniz yıkılıyor; bu da daha büyük bir travmaya dönüşüyor ve sonuçta sizi daha savunmacı ve güvensiz yapabiliyor ya da tam tersine başkalarına saldıran, güven kıran biri hâline getirebiliyor.
Saldırganı savunmuyorum ama bu kısır döngüyü kırmak için bunu kuşakları aşan bir uzun vadeli ruh sağlığı meselesi olarak görmek gerekiyor gibi.
Sonra Siri’ye her “Loud neighbors” dediğimde ev sahibine kalıplaşmış bir e-posta gönderen bir iOS Kestirmesi oluşturdum; haftada 3-4 e-posta şaşırtıcı derecede etkili oldu.
Ofiste birini geçiştirip göndermekle iki günde bir e-postaya yanıt vermek zorunda kalmak aynı şey değil bence.
Elbette her duruma uyan bir strateji değil ama umarım sessiz ve huzurlu olur.
Pentest/bug bounty işi yapan biri olarak, sahibinin bunu sinir bozucu bulmasını anlıyorum ama bu bana sıradan internet gürültüsü gibi geliyor.
En kötü ihtimalle biri Burp Suite’i açıp web sitesinde çalıştır düğmesine basmış gibi görünüyor.
Birçok ticari araç varsayılan olarak bu tür saldırıları toplu hâlde yürütüyor; bazı SaaS şirketleri bunu doğrudan ürün olarak bile sunuyor.
Tüm internet sürekli taranıyor ve bulunan web sitelerinde otomatik saldırı paketleri çalıştıran çok sayıda tarayıcı var.
Bunun doğru olduğu anlamına gelmiyor ama içinde yaşadığımız gerçeklik bu ve kişisel algılanacak bir şey olmadığını düşünüyorum.
Üstelik köpekbalığı etik açıdan şüpheli bir hacker tarafından yapılmış bir şey de değil.
Bu kişinin meşru acısını neden küçümsemek gerektiğini bilmiyorum; bunu yapmak oldukça kaba görünüyor.
Hacker’lar fiilen https://glslsandbox.com sitesini öldürdü.
Biri spam yağdırdı ve bununla ilgilenecek zaman olmadığı için site yaklaşık bir buçuk yıldır kapalı.
Shadertoy gibi benzer işler yapan siteler var ama birinin projesinin bu şekilde mahvolması gerçekten üzücü.
Hizmet reddi sorunu ücretsiz hizmetlerden kaynaklandığı için, kendi projemde doğrudan uğraşmaktan kaçınmak adına genelde Cloudflare arkasına saklanma yolunu seçiyorum.
“Senin eşyanı kırabiliyorsam bu senin suçun; daha iyi yapmalıydın” şeklindeki hacker tavrı her zaman canımı sıkıyor.
Pencereleri, kapıları, bedenleri de kırabilirsiniz ama mümkün olması, mağduru sorumlu yapmaz.
Yine de böyle insanları ortadan kaldıramayacağımızı da biliyorum.
Bilgi sistemleri kırılamaz hâle getirilebilir ama fiziksel sistemler için bunu yapamazsınız.
Fiziksel sistemler yerellik sayesinde doğası gereği daha güvenlidir ve gizlilik yoluyla güvenlikten de bir ölçüde fayda görebilir.
Zayıf bir bilgi sistemini herkesin etkileşime girebildiği küresel bir ağa bağladıysanız ve biri onu bozmanın bir yolunu bulduysa, belirli bir saldırgana öfkelenmektense sistemik zayıflıklara bakmaya değer.
6 fit 3 inç boyunda, 260 pound ağırlığında; birkaç Ironman, spor, tırmanış, ağırlık çalışması, avcılık ve yıllarca biraz dövüş eğitimi almış iri biriyim.
Çevremdeki çoğu insanı çıplak ellerimle bile öldürebileceğimi düşünüyorum ama bunu yapmıyorum.
Çünkü dediğiniz gibi hayat böyle işlemiyor.
Ama insanlar bu mantığı arabalara, telefonlara ve yukarıdaki kişisel projeler gibi şeylere pervasızca uyguluyor.
Onları dövüp gülerek “Annen daha iri biriyle yatmalıydı” desem nasıl hissederler merak ediyorum.
Her hâlükârda bunun gerçekten üzücü bir şey olduğuna katılıyorum.
Kişisel algılamamak daha iyi.
Onlar sizin kim olduğunuzu bilmiyor ve umursamıyor.
Sunucularda artık bir biçimde hız sınırlayıcı neredeyse zorunlu hâle geliyor.
Tarama ve yoklama kabalığın ötesine geçiyor ama internet can sıkıcı şeylerle dolu.
Fail2ban basit oturum açma denemeleri veya zafiyet taramalarını ele alacak şekilde kolayca yapılandırılabilir.
Web sunucuları için benzeri yoksa yapmak zor olmasa gerek; web sunucuları için Fail2ban ya da bir hız sınırlayıcı bilen var mı merak ediyorum.
İlk öğrendiğimden beri bu siteyi hep sevdim.
Ofis yoğunluğunun giderek arttığı günümüz ortamında, en azından benim bölgemde, daha da işe yarıyor.
Yakın zamandaki uygulama yeniden tasarımı da harikaydı.
Oluşturduğu devasa kütüphaneye erişebilmek bile küçük bir bağışı hak ediyor.
Özellikle içeriklerin çoğu onun bizzat sahada kaydettiği, mikslediği ve ekolayzer bantlarına ayırdığı şeyler.
İrlanda kıyıları, yeraltı su kanalları ve çeşitli orman sesleri de buna dahil.
İyi ile kötünün adaletsiz mücadelesi muhtemelen binlerce yıldır süren zorlu bir sorun.
Kötü insanlarla nasıl başa çıkılacağına dair öldürmek, affetmek, eğitip ıslah etmek gibi çeşitli çözümler ortaya atıldı ama pratikte iyi çalışan bir şey yok gibi görünüyor.
Bir çözüm, hepsini toplayıp başka bir gezegene göndermek ve orada istedikleri gibi yaşamalarına izin verirken iyi insanları rahatsız etmelerini engellemek olabilir.
Ve biri, bunun zaten yapıldığını ve bu yüzden bizim burada olduğumuzu söyleyebilir.
Telefon dezenfektancıları, kuaförler ve reklam yöneticileriyle başlanmıştı.
Crawler’lar genelde her instance’a o kadar fazla alan ayırmadığı için iyi bir önlem olabilir.
Zavallı, muhtemelen bir LLM botu tarafından taranmış gibi görünüyor
“Saldırgan”ın bu kişinin kim olduğunu bilmiyor olma ihtimali yüksek
Belki de yüzü olmayan bir şirket, onun seslerini veya beyaz gürültü içeriklerini LLM eğitimi ve beslemesi için kullanmak istiyordur
Ben de her gün benzer “saldırılar” alıyorum ama bakınca çoğu zaman bunlar sertifika şeffaflığı günlüklerini tarayan botlar oluyor
Sitenin sertifikasını kontrol edince Let’s Encrypt CA tarafından verilmiş olduğu görülüyor; en fazla kolay hedef arayan script kiddie düzeyi
Umarım bundan sonra bu tür “saldırıları” fazla kişisel algılamaz
Genel olarak iyi biri; belki de bu dünya için fazla iyi biri
Ömür boyu üyeyim ve mynoise.net’i yıllardır keyifle kullanıyorum
Odaklanmak ve dikkat dağıtıcı şeyleri engellemek için bulduklarım arasında en iyisi
brain.fm ve YouTube Music de kullanıyorum ama onun sitesi daha iyi, daha bilinçli tasarlanmış ve bende daha etkili olduğu için sürekli geri dönüyorum
MyNoise uygulaması hayatımı gerçekten daha iyi hale getirdi
Evde beyaz gürültü makinesi kullanıyorum ama seyahatte MyNoise uyku yoldaşım oluyor; özellikle beni uyandırabilecek belirli sesleri engellemek için ekolayzer ayarlayabilmeyi seviyorum
Can sıkıcı hack haberine üzüldüm
Özellikle bağlantı kararsızken güzel yanı şu: Tercih ettiğiniz sesi bir kez yükleyince tarayıcıda yerel olarak çalışıyor ve bağlantı kopsa bile kesintisiz çalmaya devam ediyor
Birinin neden bu adama zarar vermek isteyeceğini anlamıyorum
Bu site harika
Bunun birçok nedeni olabilir ama en temelde, incinmiş insanların başkalarını incittiği sözü doğru
Biri daha az nazik davrandığında nasıl tepki vereceğimi düşünürken bunu hatırlamaya çalışıyorum
Kötü tepki verirsem, o kişiye bir dahaki sefere başkasına aynı şeyi yapmasını meşrulaştıracak bir bahane vermiş olurum
Ağzından köpükler saçan bir deliye dönüşmeden de kendimi koruyabileceğimi öğrendim
Çoğu durumda sınırlar nükleer silahla değil, su tabancasıyla da çizilebilir
Her şey birbirine bağlı ve bu kişi saf olabilir ama iyi bağlantılar başlatmaya çalışıyor
Alkışı hak ediyor
Site işletmiş biri olarak deneyimime göre internet; AI crawler’ların, her formu bir amplifikasyon vektörüne çevirmeye çalışan script kiddie’lerin ve zafiyet tarayıcılarının birbirine karıştığı bir çorak arazi
Tembelce ya da değil, “tekrarla” ve “sonsuza kadar” onay kutularını da işaretlemiş olabilir
Bunu sırf yapabildikleri için yaparlar
Bazen ilgi çekmek içindir, bazen de sadece dünyanın yanışını izlemek istedikleri için
Her iki durumda da “hedef ne yaptı da bunu hak etti?” diye sormak anlamsızdır
Saldırganın en başta böyle bir soruyu kendine hiç sormamış olma ihtimali yüksektir; düpedüz bir sosyopat da olabilir
İnternet büyüdükçe bu tür insanların sayısı da artıyor
Eskiden toplum tarafından dışlanırlardı; daha uç yöntemler kullanmadıkları sürece başkalarına zarar verme kapasiteleri de ciddi biçimde sınırlıydı ve genelde ağır bedelleri olurdu
Ama internet onlara yeni bir çıkış yolu verdi; geçmişte ulaşamayacakları dünyanın dört bir yanındaki insanların şeylerini mahvetmenin yollarını sundu ve çoğu zaman cezalandırılma riski de neredeyse yok