हैकर ने मुझसे क्या चुरा लिया
(mynoise.net)- myNoise के ऑपरेटर ने बताया कि उन्हें सैकड़ों हजारों code injection attempts और बड़े पैमाने पर sound file downloads के हमलों का सामना करना पड़ा; server तो टिका रहा, लेकिन उनका समय, ऊर्जा और सुकून छिन गया
- हमलावर, खुद लिखे गए myNoise architecture की वजह से घुसपैठ में नाकाम रहने के बाद, सभी sound files को बार-बार download करके bandwidth बर्बाद करने की रणनीति पर चला गया
- visitor energy usage को offset करने के लिए हर साल पेड़ लगाने वाले myNoise के लिए जानबूझकर किया गया server flood सिर्फ traffic नहीं, बल्कि बर्बादी और नुकसान जैसा लगा
- ऑपरेटर को नए sounds और ambience बनाने का समय समस्या समझने और defensive measures में लगाना पड़ा, और आगे की security hardening में honeypots और slow response strategy शामिल की गई
- घटना के बाद सैकड़ों users ने support messages, technical advice, donations या re-donations के जरिए प्रतिक्रिया दी, और ऑपरेटर ने कहा कि वे myNoise को जरूरतमंद लोगों के लिए एक छोटी शांति की शरणस्थली के रूप में जारी रखेंगे
हमले ने असल में क्या किया
- myNoise को अव्यवस्थित Internet के बीच एक सकारात्मक जगह बनाने की कोशिश के रूप में चलाया जाता है
- कुछ दिन पहले किसी शत्रुतापूर्ण visitor या entity ने सैकड़ों हजारों requests भेजकर code injection की कोशिश की
- यह कोशिश नाकाम रही
- संभव है कि myNoise का किसी सामान्य CMS के बजाय शुरू से खुद लिखा गया structure होना मददगार रहा हो
- घुसपैठ में नाकाम रहने के बाद हमलावर ने सभी sound files को बार-बार download करने की strategy अपना ली
- इसे server bandwidth बर्बाद कराने वाले हमले के रूप में लिया गया
bandwidth की बर्बादी ज्यादा भारी क्यों लगी
- myNoise के ऑपरेटर site visitors के energy usage को offset करने के लिए हर साल पेड़ लगाते हैं
- वे मानते हैं कि इस methodology पर सवाल उठाए जा सकते हैं
- मुख्य बात जिम्मेदारी से काम करने की नीयत है
- जानबूझकर किया गया server flood केवल technical problem नहीं, बल्कि बर्बादी और नुकसान के करीब लगा
server से पहले क्या छिन गया
- server down नहीं हुआ, लेकिन हमले ने ऑपरेटर का समय और ऊर्जा छीन ली
- नया sound और शांत ambience बनाने में लगने वाला समय समस्या समझने में चला गया
- हमले को रोकना और भविष्य के protection measures तैयार करना भी अतिरिक्त काम बन गया
- हमले ने ऑपरेटर के बचे हुए सुकून को भी हिला दिया
- यह ऐसे defense पर समय गंवाने का उदाहरण बन गया, जिसकी utopian world में जरूरत नहीं होती
उदासी और बेबसी
- लेख के केंद्र में हमले से ज्यादा वह उदासी और बेबसी है, जिसे हमले ने फिर से जगा दिया
- कुछ बनाने के मुकाबले तोड़ने में कम ऊर्जा लगती है—इस असंतुलन की तुलना entropy के नियम से की गई
- इसे दो साल पहले की health problems के बाद के अनुभव से भी जोड़ा गया, जब बीमारी ने शरीर पर तेजी से कब्जा कर लिया था और recovery में लंबा समय लगा था
- बीमारी आमतौर पर किसी की जानबूझकर की गई हरकत नहीं होती
- लेकिन जब कोई दूसरा व्यक्ति जानबूझकर नुकसान पहुंचाता है, तो बिल्कुल अलग भावना रह जाती है
कबूतर की कहानी और छोटी-सी सकारात्मकता
- ऑपरेटर ने घोंसले से गिरकर गंभीर रूप से घायल हुए एक छोटे कबूतर की कई हफ्तों तक syringe से खाना खिलाकर देखभाल की
- अब वह neighborhood में आज़ादी से उड़ता है, लेकिन फिर भी मिलने आता है
- उन्होंने कहा कि इस तरह के छोटे positive changes उन्हें खुश करते हैं
- साथ ही, वे यह सोच हटाने में कठिनाई महसूस करते हैं कि किसी को पक्षी पसंद न हों और वह कभी उनके बचाए हुए पक्षी को नुकसान पहुंचा सकता है
हमले के बाद security hardening
- हमले के बाद कई हफ्तों तक myNoise server की security hardening पर ध्यान दिया गया
- हमला server में घुसपैठ करने में सफल नहीं हुआ
- हालांकि, इसने दिखाया कि मौजूदा setup सैकड़ों हजारों code injection attempts को allow कर सकता था
- उन्होंने माना कि attempts की संख्या जितनी बढ़ेगी, किसी दिन सफलता की संभावना भी उतनी बढ़ सकती है
- myNoise हाल ही में managed VPS पर shift हुआ है और उसके पास full admin privilege यानी root access नहीं है
- standard intrusion detection tools या advanced firewall इस्तेमाल नहीं कर सके
- इसके बजाय myNoise के लिए customized security measures बनाए गए
- उन्होंने माना कि इन्हें public documentation में न रखना protection की एक अतिरिक्त layer की तरह काम करता है
- नई strategy में honeypot शामिल है
- अगर malicious entity trap से interact करती है, तो उसे तुरंत block कर दिया जाता है
- malicious agents को बहुत धीरे-धीरे data देकर उनका समय खींचने की strategy भी implement की गई
- block होने के बाद उन्हें दूसरी website पर भेजने का तरीका है
- banned folders के अंदर endless sub-pages और links की maze भी बनाई गई है
- यह structure जितना explore किया जाए, उतना exponentially बढ़ता जाता है
- यह intruders को slow करने वाला device है और curious users के लिए Easter egg की तरह भी काम करता है
- maze तक पहुंचने से पहले honeypot में फंसने पर site से block किया जा सकता है
community की प्रतिक्रिया
- पिछले post के बाद सैकड़ों users ने संपर्क किया
- रोजमर्रा की जिंदगी में myNoise की अहमियत बताने वाले messages आते रहे
- technical advice, donations और re-donations भी जारी रहीं
- हमले ने किसी सामान्य नए soundscape release से ज्यादा support जुटाया
- ऑपरेटर ने कहा कि इस घटना के जरिए उन्होंने myNoise और users के बीच की bonding और community sense को और मजबूत महसूस किया
- उन्हें दो साल पहले hospital में admit होने पर मिली बड़ी प्रतिक्रिया याद आई
- myNoise community को एक दयालु, मददगार और positive माहौल वाले environment के रूप में दिखाया गया
- वे मानते हैं कि sound और music लोगों को जोड़ते हैं
आगे क्या जारी रहेगा
- ऑपरेटर ने कहा कि वे आगे भी पेड़ लगाते रहेंगे, sound बनाते रहेंगे, छोटे कबूतरों की मदद करते रहेंगे, और myNoise नाम की छोटी शांति की शरणस्थली जरूरतमंद लोगों को देते रहेंगे
- उन्होंने सुझाव दिया कि हम साथ मिलकर ज्यादा बनाएं और destruction चुनने वालों से संख्या में आगे निकलें
- निष्कर्ष यह है कि जीवन को अर्थ बनाने का काम देता है, न कि नष्ट करने का काम
1 टिप्पणियां
Hacker News की राय
हाल ही में मुझे शोर-गुल वाली इमारत में रहना पड़ा, और स्पीकर पर ठीक से equalize किया हुआ white noise चलाने से शोर को ढकने में मदद मिली और कम से कम मानसिक संतुलन व नींद बनाए रखना संभव हुआ
myNoise ऐप भले चमकदार न हो, लेकिन जो वादा करता है वह बिना किसी फालतू चीज़ के पूरा करता है, और कई devices पर अच्छी तरह काम करता है
खरीदते समय शायद मुझे यह नहीं पता था कि ऐप किसने बनाया है, लेकिन इस लेख की वजह से अब ऐप के पीछे के इंसान का चेहरा दिखने लगा
जब कोई आप पर हमला करता है, तो लोगों पर भरोसा टूट जाता है और वह और भी बड़ा trauma बन सकता है; नतीजतन इंसान या तो अधिक रक्षात्मक और अविश्वासी हो जाता है, या उल्टा दूसरों के प्रति आक्रामक और भरोसा तोड़ने वाला बन सकता है
मैं हमलावर का बचाव नहीं कर रहा, लेकिन इस दुष्चक्र को तोड़ने के लिए शायद इसे पीढ़ियों तक फैली दीर्घकालिक मानसिक स्वास्थ्य की समस्या के रूप में देखना होगा
उसके बाद मैंने एक iOS Shortcut बनाया, जो Siri से “Loud neighbors” कहने पर मकान मालिक को एक तयशुदा email भेज देता था; हफ्ते में 3–4 email भेजना उम्मीद से ज़्यादा असरदार निकला
मुझे लगता है कि दफ़्तर में किसी को बस टाल देना और हर दो दिन में एक email का जवाब देना, दोनों अलग बातें हैं
बेशक यह हर स्थिति के लिए सही रणनीति नहीं होगी, लेकिन उम्मीद है कि शांति और सुकून मिले
penetration testing/bug bounty का काम करने वाले नज़रिए से देखें तो मालिक की झुंझलाहट समझ में आती है, लेकिन यह सामान्य इंटरनेट शोर जैसा लगता है
सबसे बुरी स्थिति में भी यह बस ऐसा दिखता है कि किसी ने Burp Suite खोला और वेबसाइट पर run दबा दिया
बहुत से commercial tools डिफ़ॉल्ट रूप से ऐसे हमले बड़े पैमाने पर चलाते हैं, और कुछ SaaS कंपनियाँ तो इन्हें सीधे product के रूप में देती हैं
पूरा इंटरनेट लगातार scan हो रहा है, और ऐसी भी बहुत-सी scanners हैं जो कोई वेबसाइट मिलते ही automated attack collection चला देती हैं
इसका मतलब यह नहीं कि यह सही है, लेकिन हक़ीक़त यही है, और इसे निजी तौर पर लेने की बात नहीं है
ऊपर से शार्क किसी नैतिक रूप से संदिग्ध hacker ने बनाई हुई चीज़ भी नहीं है
समझ नहीं आता कि इस इंसान के जायज़ दर्द को कम करके क्यों दिखाया जाए; ऐसा करना काफ़ी बदतमीज़ी लगता है
hackers ने लगभग https://glslsandbox.com को मार ही डाला
किसी ने spam की बौछार कर दी, और उससे निपटने का समय न होने के कारण यह करीब डेढ़ साल से बंद पड़ा है
Shadertoy जैसी दूसरी साइटें हैं जो मिलती-जुलती चीज़ करती हैं, लेकिन किसी का project इस तरह टूट जाना वाकई दुखद है
service denial की समस्या के मामले में, क्योंकि यह free service है, मैं अपने projects में आम तौर पर Cloudflare के पीछे छिपने का तरीका अपनाकर सीधे निपटने से बचने की कोशिश करता हूँ
“अगर मैं तुम्हारी चीज़ तोड़ सकता हूँ तो गलती तुम्हारी है, तुम्हें इसे बेहतर बनाना चाहिए था” — यह hacker वाली सोच हमेशा चिढ़ाती है
खिड़की, दरवाज़ा, शरीर — सब तोड़े जा सकते हैं, लेकिन सिर्फ़ इसलिए कि यह संभव है, दोष पीड़ित का नहीं हो जाता
फिर भी यह भी जानता हूँ कि ऐसे लोगों को पूरी तरह ख़त्म नहीं किया जा सकता
information systems को ऐसा बनाया जा सकता है कि उनमें घुसपैठ न हो सके, लेकिन physical systems के साथ ऐसा नहीं किया जा सकता
physical systems locality की वजह से स्वाभाविक रूप से ज़्यादा सुरक्षित होते हैं, और security through obscurity से भी कुछ फायदा मिल सकता है
अगर आपने कमज़ोर information system को ऐसे global network से जोड़ दिया है जहाँ हर कोई उससे interact कर सकता है, और किसी ने उसे तोड़ने का तरीका ढूँढ लिया, तो किसी खास attacker पर ग़ुस्सा करने के बजाय system-level कमज़ोरी को देखना ज़्यादा उपयोगी हो सकता है
मैं 6 फुट 3 इंच, 260 पाउंड का बड़ा आदमी हूँ; कई बार Ironman किया है, sports, climbing, weights, hunting, और कई साल की थोड़ी-बहुत combat training भी है
मेरे आसपास के ज़्यादातर लोगों को मैं शायद निहत्थे भी मार सकता हूँ, लेकिन मैं ऐसा नहीं करता
क्योंकि, जैसा कहा गया, ज़िंदगी ऐसे नहीं चलती
लेकिन लोग इसी तर्क को कार, फ़ोन, या ऊपर बताए गए personal project जैसी चीज़ों पर लापरवाही से लागू कर देते हैं
सोचता हूँ अगर मैं उन्हें पीट दूँ और हँसकर कहूँ, “तुम्हारी माँ को किसी और बड़े आदमी के साथ सोना चाहिए था,” तो उन्हें कैसा लगेगा
खैर, यह सचमुच दुखद है — इस बात से सहमत हूँ
इसे निजी तौर पर न लेना ही बेहतर है
उन्हें न तो पता है कि आप कौन हैं, न ही उन्हें इससे कोई मतलब है
अब servers पर किसी न किसी रूप में rate limiter लगभग ज़रूरी होता जा रहा है
scan और probing सिर्फ़ बदतमीज़ी से आगे की चीज़ है, लेकिन इंटरनेट पर ऐसी परेशान करने वाली चीज़ें भरी पड़ी हैं
Fail2ban को साधारण login attempts या vulnerability scans से निपटने के लिए आसानी से configure किया जा सकता है
अगर web servers के लिए ऐसा कुछ नहीं है, तो बनाना मुश्किल नहीं होना चाहिए; सोच रहा हूँ क्या किसी को web server के लिए Fail2ban या rate limiter जैसा कुछ पता है
जब से इस साइट के बारे में पता चला, तब से इसे लगातार पसंद करता आया हूँ
आजकल जब offices की density बढ़ती जा रही है, कम से कम मेरे इलाके में, यह और भी ज़्यादा मददगार हो गया है
हाल की app redesign भी शानदार थी
सिर्फ़ उसके बनाए विशाल library तक पहुँच मिलना भी एक छोटा-सा समर्थन देने लायक है
खासकर इसलिए कि ज़्यादातर content उसने खुद मौके पर record किया, mix किया, और equalizer bands में बाँटा है
इसमें Ireland का तट, भूमिगत जलमार्ग, और कई तरह के जंगलों की आवाज़ें शामिल हैं
अच्छाई और बुराई के बीच यह अन्यायपूर्ण मुकाबला शायद हज़ारों साल पुरानी समस्या रहा है
बुरे लोगों से कैसे निपटा जाए — मार देना, माफ़ करना, शिक्षा देकर सुधारना — ऐसे कई उपाय सामने आए, लेकिन कोई भी वास्तव में काम करता नहीं दिखता
एक उपाय यह हो सकता है कि उन सबको इकट्ठा करके किसी दूसरे ग्रह पर भेज दिया जाए, जहाँ वे अपनी मर्ज़ी से रहें लेकिन अच्छे लोगों को परेशान न कर सकें
और कोई यह भी कह सकता है कि शायद ऐसा पहले ही किया जा चुका है, और हम अभी उसी जगह पर हैं
शुरुआत telephone sanitizers, hairdressers, और advertising executives से हुई थी
crawlers आम तौर पर हर instance को इतना ज़्यादा space allocate नहीं करते, इसलिए यह एक अच्छा preventive measure हो सकता है
अफसोस है, लेकिन लगता है कि शायद इसे LLM bots ने crawl किया है
संभव है कि “attacker” को यह भी न पता हो कि यह व्यक्ति कौन है
हो सकता है कि कोई बेनाम कंपनी उसकी sound या white noise content को LLM training और distribution के लिए इस्तेमाल करना चाहती हो
मुझ पर भी हर दिन इसी तरह के “attacks” होते हैं, लेकिन देखने पर अक्सर वे certificate transparency logs को crawl करने वाले bots निकलते हैं
साइट का certificate देखकर लगता है कि वह Let’s Encrypt CA द्वारा जारी किया गया है, और ज़्यादा से ज़्यादा यह आसान शिकार ढूंढने वाले script kiddie स्तर का मामला है
आगे से उम्मीद है कि वह ऐसे “attacks” को बहुत व्यक्तिगत तौर पर नहीं लेंगे
कुल मिलाकर वे अच्छे इंसान लगते हैं, शायद इस दुनिया के हिसाब से कुछ ज़्यादा ही अच्छे
मैं lifetime member हूँ और कई सालों से mynoise.net का आनंद लेकर इस्तेमाल कर रहा हूँ
ध्यान लगाने और distractions को रोकने के लिए यह मुझे मिली सबसे बेहतरीन चीज़ों में से एक है
मैं brain.fm और YouTube Music भी इस्तेमाल करता हूँ, लेकिन उनकी साइट बेहतर है, ज़्यादा सोच-समझकर design की गई है, और मेरे लिए अधिक असरदार है, इसलिए मैं बार-बार वहीं लौटता हूँ
MyNoise app ने सचमुच मेरी ज़िंदगी बेहतर बनाई है
घर पर मैं white noise machine इस्तेमाल करता हूँ, लेकिन यात्रा के दौरान MyNoise मेरी sleep companion होती है, और खास तौर पर यह अच्छा लगता है कि equalizer को इस तरह सेट किया जा सकता है कि वे खास आवाज़ें दब जाएँ जो मुझे जगा सकती हैं
hacking की यह परेशान करने वाली खबर दुखद है
खासकर unstable connection में इसकी अच्छी बात यह है कि एक बार पसंदीदा noise load हो जाए, तो वह browser में local रूप से चलता है, इसलिए connection टूटने पर भी बिना रुकावट बजता रहता है
समझ नहीं आता कि कोई इस व्यक्ति को नुकसान क्यों पहुँचाना चाहेगा
यह साइट शानदार है
वजहें बहुत हो सकती हैं, लेकिन सबसे बुनियादी बात यही है कि आहत लोग दूसरों को आहत करते हैं
जब कोई कम दयालु व्यवहार करता है, तब मैं अपनी प्रतिक्रिया में इसे याद रखने की कोशिश करता हूँ
अगर मैं बुरी तरह प्रतिक्रिया दूँ, तो मैं उस व्यक्ति को अगली बार किसी और के साथ वही करने का औचित्य दे दूँगा
मैंने सीखा है कि बिना मुँह से झाग निकालने वाले पागल बने भी खुद की रक्षा की जा सकती है
ज़्यादातर मामलों में सीमाएँ water pistol से भी तय की जा सकती हैं, nuclear weapon की ज़रूरत नहीं होती
सब कुछ जुड़ा हुआ है, और यह व्यक्ति भले भोला हो, लेकिन अच्छे संबंध शुरू करने की कोशिश कर रहा है
इसके लिए तालियाँ बनती हैं
साइट चलाने के मेरे अनुभव में internet एक उजड़ा हुआ मैदान है जहाँ AI crawlers, हर form को amplification vector में बदलने की कोशिश करने वाले script kiddies, और vulnerability scanners सब मिले-जुले घूमते हैं
चाहे आलस में या जानबूझकर, उसने शायद “repeat” और “forever” वाले checkboxes भी टिक कर दिए हों
वे ऐसा सिर्फ इसलिए करते हैं क्योंकि वे कर सकते हैं
कभी attention पाने के लिए, कभी सिर्फ दुनिया को जलते हुए देखने की इच्छा से
दोनों ही हालत में “आखिर target ने ऐसा क्या किया कि उसके साथ यह हुआ?” पूछना बेकार है
बहुत संभव है कि attacker ने खुद से ऐसा सवाल कभी पूछा ही न हो, और वह बस एक खुला हुआ sociopath हो
internet जितना बड़ा होता जाता है, ऐसे लोगों की संख्या भी उतनी बढ़ती जाती है
पहले के समय में ऐसे लोग समाज से बाहर कर दिए जाते, और जब तक वे कोई बहुत चरम तरीका न अपनाएँ, दूसरों को नुकसान पहुँचाने की उनकी क्षमता भी काफ़ी सीमित रहती, और आम तौर पर गंभीर परिणाम भुगतने पड़ते
लेकिन internet ने उन्हें नया outlet दिया है, दुनिया भर के उन लोगों की चीज़ें बर्बाद करने का तरीका दिया है जिन तक वे पहले पहुँच भी नहीं सकते थे, और आम तौर पर सज़ा का जोखिम भी लगभग नहीं के बराबर है