O que um hacker roubou de mim
(mynoise.net)- O operador do myNoise relatou ter sofrido centenas de milhares de tentativas de injeção de código e um ataque de downloads em massa de arquivos de som; o servidor resistiu, mas ele perdeu tempo, energia e tranquilidade
- Depois de falhar na invasão por causa da estrutura do myNoise, escrita sob medida, o atacante mudou de estratégia e passou a desperdiçar largura de banda baixando repetidamente todos os arquivos de som
- Para o myNoise, que planta árvores todos os anos para compensar o uso de energia dos visitantes, um flood deliberado no servidor não parece apenas tráfego, mas desperdício e degradação
- O operador precisou usar o tempo que dedicaria a criar novos sons e ambiências para entender o problema e implementar defesas; o reforço de segurança posterior incluiu honeypots e uma estratégia de respostas lentas
- Depois do incidente, centenas de usuários reagiram com apoio, conselhos técnicos, doações ou novas doações, e o operador afirmou que continuará oferecendo o myNoise como um pequeno refúgio de paz para quem precisa
O que o ataque realmente fez
- O myNoise é operado como uma tentativa de criar um lugar positivo em meio à internet caótica
- Há alguns dias, um visitante ou agente hostil enviou centenas de milhares de requisições tentando fazer injeção de código
- A tentativa fracassou
- O fato de o myNoise não ser um CMS comum, mas uma estrutura escrita do zero, pode ter ajudado
- Depois de falhar na invasão, o atacante mudou de estratégia para baixar repetidamente todos os arquivos de som
- Isso foi entendido como um ataque para desperdiçar a largura de banda do servidor
Por que o desperdício de largura de banda pareceu mais grave
- O operador do myNoise planta árvores todos os anos para compensar o uso de energia dos visitantes do site
- Ele reconhece que a metodologia pode ser questionada
- O ponto central está na intenção de agir com responsabilidade
- Um flood deliberado no servidor foi sentido não apenas como um problema técnico, mas como algo mais próximo de desperdício e degradação
O que foi roubado antes do servidor
- O servidor não caiu, mas o ataque roubou o tempo e a energia do operador
- O tempo que seria usado para criar novos sons e ambiências tranquilas foi gasto para entender o problema
- Também foi necessário interromper o ataque e preparar medidas de proteção futuras
- O ataque também abalou a tranquilidade que ainda restava ao operador
- Ficou como um exemplo de tempo perdido com defesas que não seriam necessárias em um mundo utópico
Tristeza e impotência
- O centro do texto não é tanto o ataque em si, mas a tristeza e a impotência que ele trouxe de volta
- A desigualdade de que destruir exige menos energia do que criar é comparada à lei da entropia
- Isso também é conectado à experiência de dois anos atrás, após problemas de saúde, quando a doença tomou conta do corpo rapidamente e a recuperação levou muito tempo
- Doenças, em geral, não são atos intencionais de alguém
- Quando outra pessoa causa dano deliberadamente, a sensação que fica é completamente diferente
A história do pombo e uma pequena positividade
- O operador cuidou durante semanas de um filhote de pombo que caiu do ninho e ficou gravemente ferido, alimentando-o com seringa
- Hoje ele voa livremente pelo bairro, mas ainda aparece para visitar
- Ele afirma que essas pequenas mudanças positivas o deixam feliz
- Ao mesmo tempo, diz ser difícil afastar a ideia de que alguém que odeia aves possa um dia ferir aquilo que eles salvaram
Reforço de segurança após o ataque
- Nas semanas após o ataque, o foco foi reforçar a segurança do servidor do myNoise
- O ataque não conseguiu invadir o servidor
- Mas revelou que a configuração existente podia permitir centenas de milhares de tentativas de injeção de código
- Ele concluiu que, quanto maior o número de tentativas, maior também a chance de alguma delas ter sucesso um dia
- O myNoise migrou recentemente para um VPS gerenciado e não tem acesso root, ou seja, privilégios administrativos totais
- Não era possível usar ferramentas padrão de detecção de intrusão ou firewalls avançados
- Em vez disso, foram criadas medidas de segurança personalizadas para o myNoise
- O fato de elas não serem documentadas publicamente é visto como uma camada adicional de proteção
- A nova estratégia inclui honeypots
- Quando um agente malicioso interage com a armadilha, ele é bloqueado imediatamente
- Também foi implementada uma estratégia de fornecer dados muito lentamente a agentes maliciosos, para fazê-los perder tempo
- Depois do bloqueio, eles são levados a outro site
- Dentro de pastas proibidas, também foi criado um labirinto de subpáginas e links sem fim
- É uma estrutura que cresce exponencialmente quanto mais é explorada
- Serve tanto como mecanismo para atrasar invasores quanto como Easter egg para usuários curiosos
- Se cair no honeypot antes de chegar ao labirinto, o usuário pode ser bloqueado do site
Reação da comunidade
- Depois do texto anterior, centenas de usuários entraram em contato
- Chegaram mensagens dizendo que o myNoise é importante no dia a dia deles
- Também vieram conselhos técnicos, doações e novas doações
- O ataque gerou mais apoio do que o lançamento típico de uma nova paisagem sonora
- O operador diz que, por meio desse incidente, sentiu com mais força o vínculo e o senso de comunidade entre o myNoise e seus usuários
- Isso o fez lembrar da grande reação de dois anos atrás, quando foi internado
- A comunidade do myNoise é descrita como um ambiente gentil, prestativo e positivo
- Ele vê sons e música como algo que conecta as pessoas
O que continuará daqui para frente
- O operador diz que continuará plantando árvores, criando sons, ajudando filhotes de pombo e oferecendo o pequeno refúgio de paz chamado myNoise a quem precisar
- Ele propõe que todos criem mais juntos e superem em número aqueles que escolheram destruir
- Conclui que o que dá sentido à vida é criar, não destruir
1 comentários
Comentários do Hacker News
Recentemente precisei ficar em um prédio muito barulhento, e colocar ruído branco devidamente equalizado nos alto-falantes ajudou a mascarar o barulho e a manter um mínimo de saúde mental e sono.
O app myNoise não é chamativo, mas faz o que promete sem firulas e funciona bem em vários dispositivos.
Acho que, quando comprei, eu nem sabia quem tinha feito o app, mas este texto me fez enxergar o rosto da pessoa por trás dele.
Quando alguém é atacado, a confiança nas pessoas desmorona e isso vira um trauma maior; como resultado, a pessoa pode se tornar mais defensiva e desconfiada, ou, ao contrário, passar a atacar os outros e quebrar a confiança alheia.
Não estou defendendo o agressor, mas, para romper esse ciclo vicioso, parece que precisamos enxergar isso como uma questão de saúde mental de longo prazo que atravessa gerações.
Depois criei um atalho do iOS que enviava um e-mail padronizado ao proprietário toda vez que eu dizia “Loud neighbors” para a Siri, e 3 ou 4 e-mails por semana acabaram sendo surpreendentemente eficazes.
Acho que há diferença entre me despachar do escritório com uma conversa apaziguadora e ter que responder a um e-mail a cada dois dias.
Claro que não é uma estratégia adequada para todas as situações, mas espero que tudo fique silencioso e tranquilo.
Do ponto de vista de alguém que trabalha com pentest/bug bounty, entendo a frustração do dono, mas isso parece ruído comum da internet.
Mesmo no pior caso, parece apenas que alguém abriu o Burp Suite e apertou executar contra o site.
Muitas ferramentas comerciais executam esse tipo de ataque em massa por padrão, e algumas empresas SaaS até oferecem isso como produto.
A internet inteira é varrida o tempo todo, e há muitos scanners que rodam automaticamente conjuntos de ataques contra sites encontrados.
Não estou dizendo que isso seja certo, mas é a realidade em que vivemos, e acho que não é algo a ser levado para o lado pessoal.
Além disso, um tubarão não foi criado por um hacker eticamente questionável.
Não entendo por que seria preciso diminuir a dor legítima dessa pessoa, e fazer isso parece bastante grosseiro.
Hackers basicamente mataram o https://glslsandbox.com.
Alguém inundou o site com spam e, como não havia tempo para lidar com isso, ele está fechado há cerca de um ano e meio.
Existem sites como o Shadertoy que fazem algo parecido, mas é realmente triste ver o projeto de alguém ser destruído desse jeito.
Como o problema de negação de serviço existe em serviços gratuitos, nos meus projetos tento evitar lidar diretamente com isso, em geral me escondendo atrás da Cloudflare.
A postura hacker de “se eu consigo quebrar sua coisa, a culpa é sua; você deveria ter feito melhor” sempre me irrita.
Dá para quebrar janelas, portas e corpos também, mas isso não torna a vítima culpada só porque é possível.
Ainda assim, sei que não dá para se livrar desse tipo de gente.
Sistemas de informação podem ser feitos de modo a não serem invadidos, mas sistemas físicos não.
Sistemas físicos são intrinsecamente mais seguros graças à localidade, e também podem se beneficiar em algum grau de segurança por obscuridade.
Se você conectou um sistema de informação frágil a uma rede global com a qual qualquer um pode interagir e alguém encontrou uma forma de quebrá-lo, vale mais a pena olhar para as fragilidades sistêmicas do que ficar com raiva de um atacante específico.
Sou um cara grande: 6 pés e 3 polegadas de altura, 260 libras, vários Ironman, esportes, escalada, musculação, caça e até alguns anos de um pouco de treinamento de combate.
Acho que eu conseguiria matar a maioria das pessoas ao meu redor mesmo com as mãos nuas, mas não faço isso.
Como foi dito, a vida não funciona desse jeito.
Só que as pessoas aplicam essa lógica de forma imprudente a coisas como carros, celulares e projetos pessoais como o acima.
Fico imaginando como elas se sentiriam se eu as espancasse e dissesse rindo: “sua mãe devia ter dormido com alguém maior”.
Enfim, concordo que é realmente triste.
É melhor não levar para o lado pessoal.
Eles nem sabem quem você é e nem se importam.
Servidores agora praticamente precisam ter algum tipo de limitador de taxa.
Varreduras e sondagens passam dos limites da falta de educação, mas a internet está cheia de coisas irritantes.
O Fail2ban pode ser configurado facilmente para lidar com tentativas simples de login ou varreduras de vulnerabilidades.
Se não existir algo parecido para servidores web, não deve ser difícil criar; fico curioso se alguém conhece um Fail2ban ou limitador de taxa para servidores web.
Gosto deste site desde que o conheci.
Em ambientes onde a densidade dos escritórios está aumentando cada vez mais, como hoje, ele ajuda ainda mais, pelo menos na minha região.
O redesenho recente do app também ficou excelente.
Só o acesso à enorme biblioteca que ele criou já vale uma pequena contribuição.
Especialmente porque a maior parte do conteúdo foi gravada por ele próprio em campo, mixada e dividida em bandas de equalização.
Inclui a costa da Irlanda, canais subterrâneos de água e sons de várias florestas.
O confronto injusto entre o bem e o mal provavelmente é um problema difícil que dura há milhares de anos.
Já surgiram várias soluções para lidar com pessoas ruins, como matá-las, perdoá-las, educá-las e corrigi-las, mas nenhuma parece funcionar bem de fato.
Uma solução poderia ser reunir todas elas, mandá-las para outro planeta e deixá-las viver lá como quiserem, desde que não possam incomodar as pessoas boas.
E alguém talvez diga que já fizeram isso, e é por isso que estamos aqui.
Começaram pelos higienizadores de telefone, cabeleireiros e executivos de publicidade.
Como crawlers normalmente não alocam tanto espaço para cada instância, isso pode ser uma boa medida preventiva.
Infelizmente, parece que ele provavelmente foi rastreado por um bot de LLM
É bem possível que o “atacante” nem saiba quem essa pessoa é
Talvez seja apenas uma empresa sem rosto querendo usar os sons ou o conteúdo de ruído branco dele para treinar e alimentar LLMs
Eu também recebo “ataques” parecidos todos os dias, mas, quando vou olhar, muitas vezes são bots que rastreiam logs de transparência de certificados
Ao verificar o certificado do site, ele foi emitido pela CA Let’s Encrypt e, no máximo, é coisa de script kiddie procurando presa fácil
Espero que, daqui em diante, ele não leve esse tipo de “ataque” tanto para o lado pessoal
No geral, ele é uma boa pessoa e talvez até seja bom demais para este mundo
Sou membro vitalício e uso o mynoise.net com prazer há muitos anos
É a melhor coisa que encontrei para me concentrar e bloquear distrações
Também uso brain.fm e YouTube Music, mas continuo voltando ao site dele porque é melhor, foi projetado com mais intenção e funciona melhor para mim
O app MyNoise realmente tornou minha vida melhor
Em casa uso uma máquina de ruído branco, mas, quando viajo, o MyNoise é meu companheiro de sono, e gosto especialmente de poder configurar o equalizador para bloquear ruídos específicos que poderiam me acordar
É triste saber desse hack irritante
Algo especialmente bom quando a conexão está instável é que, depois que você carrega o ruído de sua preferência uma vez, ele roda localmente no navegador e continua tocando sem interrupções mesmo se a conexão cair
Não entendo por que alguém iria querer prejudicar essa pessoa
O site é excelente
Pode haver muitos motivos, mas, no nível mais básico, é verdade aquela ideia de que pessoas feridas ferem outras pessoas
Tento lembrar disso também na forma como reajo quando alguém age com menos gentileza
Se eu reagir mal, acabo dando a essa pessoa uma justificativa para fazer a mesma coisa com outra pessoa da próxima vez
Aprendi que é possível se defender sem virar um lunático espumando pela boca
Na maioria dos casos, dá para estabelecer limites com uma pistola d’água, não com armas nucleares
Tudo está conectado, e essa pessoa pode até ser ingênua, mas está tentando iniciar uma boa conexão
Quero aplaudi-lo
Pela minha experiência administrando sites, a internet é um deserto misturado de crawlers de IA, script kiddies tentando transformar todos os formulários em vetores de amplificação e scanners de vulnerabilidades
Talvez, por preguiça ou não, também tenha marcado as caixas “repetir” e “para sempre”
Fazem isso simplesmente porque podem
Às vezes é para chamar atenção, às vezes é só porque querem ver o mundo pegar fogo
De qualquer forma, perguntar “o que o alvo fez para merecer isso?” não faz sentido
É muito provável que o atacante nem tenha feito essa pergunta a si mesmo em primeiro lugar, e pode simplesmente ser um sociopata descarado
Quanto maior a internet fica, maior também fica o número dessas pessoas
Antigamente elas seriam excluídas da sociedade e, a menos que recorressem a métodos mais extremos, sua capacidade de prejudicar os outros seria bastante limitada e, em geral, traria consequências sérias
Mas a internet lhes deu uma nova válvula de escape, ofereceu maneiras de estragar coisas de pessoas no mundo todo que antes estariam fora de alcance e, normalmente, com pouquíssimo risco de punição