1 पॉइंट द्वारा GN⁺ 2025-07-07 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • myNoise के ऑपरेटर ने बताया कि उन्हें सैकड़ों हजारों code injection attempts और बड़े पैमाने पर sound file downloads के हमलों का सामना करना पड़ा; server तो टिका रहा, लेकिन उनका समय, ऊर्जा और सुकून छिन गया
  • हमलावर, खुद लिखे गए myNoise architecture की वजह से घुसपैठ में नाकाम रहने के बाद, सभी sound files को बार-बार download करके bandwidth बर्बाद करने की रणनीति पर चला गया
  • visitor energy usage को offset करने के लिए हर साल पेड़ लगाने वाले myNoise के लिए जानबूझकर किया गया server flood सिर्फ traffic नहीं, बल्कि बर्बादी और नुकसान जैसा लगा
  • ऑपरेटर को नए sounds और ambience बनाने का समय समस्या समझने और defensive measures में लगाना पड़ा, और आगे की security hardening में honeypots और slow response strategy शामिल की गई
  • घटना के बाद सैकड़ों users ने support messages, technical advice, donations या re-donations के जरिए प्रतिक्रिया दी, और ऑपरेटर ने कहा कि वे myNoise को जरूरतमंद लोगों के लिए एक छोटी शांति की शरणस्थली के रूप में जारी रखेंगे

हमले ने असल में क्या किया

  • myNoise को अव्यवस्थित Internet के बीच एक सकारात्मक जगह बनाने की कोशिश के रूप में चलाया जाता है
  • कुछ दिन पहले किसी शत्रुतापूर्ण visitor या entity ने सैकड़ों हजारों requests भेजकर code injection की कोशिश की
    • यह कोशिश नाकाम रही
    • संभव है कि myNoise का किसी सामान्य CMS के बजाय शुरू से खुद लिखा गया structure होना मददगार रहा हो
  • घुसपैठ में नाकाम रहने के बाद हमलावर ने सभी sound files को बार-बार download करने की strategy अपना ली
    • इसे server bandwidth बर्बाद कराने वाले हमले के रूप में लिया गया

bandwidth की बर्बादी ज्यादा भारी क्यों लगी

  • myNoise के ऑपरेटर site visitors के energy usage को offset करने के लिए हर साल पेड़ लगाते हैं
    • वे मानते हैं कि इस methodology पर सवाल उठाए जा सकते हैं
    • मुख्य बात जिम्मेदारी से काम करने की नीयत है
  • जानबूझकर किया गया server flood केवल technical problem नहीं, बल्कि बर्बादी और नुकसान के करीब लगा

server से पहले क्या छिन गया

  • server down नहीं हुआ, लेकिन हमले ने ऑपरेटर का समय और ऊर्जा छीन ली
    • नया sound और शांत ambience बनाने में लगने वाला समय समस्या समझने में चला गया
    • हमले को रोकना और भविष्य के protection measures तैयार करना भी अतिरिक्त काम बन गया
  • हमले ने ऑपरेटर के बचे हुए सुकून को भी हिला दिया
    • यह ऐसे defense पर समय गंवाने का उदाहरण बन गया, जिसकी utopian world में जरूरत नहीं होती

उदासी और बेबसी

  • लेख के केंद्र में हमले से ज्यादा वह उदासी और बेबसी है, जिसे हमले ने फिर से जगा दिया
  • कुछ बनाने के मुकाबले तोड़ने में कम ऊर्जा लगती है—इस असंतुलन की तुलना entropy के नियम से की गई
  • इसे दो साल पहले की health problems के बाद के अनुभव से भी जोड़ा गया, जब बीमारी ने शरीर पर तेजी से कब्जा कर लिया था और recovery में लंबा समय लगा था
    • बीमारी आमतौर पर किसी की जानबूझकर की गई हरकत नहीं होती
    • लेकिन जब कोई दूसरा व्यक्ति जानबूझकर नुकसान पहुंचाता है, तो बिल्कुल अलग भावना रह जाती है

कबूतर की कहानी और छोटी-सी सकारात्मकता

  • ऑपरेटर ने घोंसले से गिरकर गंभीर रूप से घायल हुए एक छोटे कबूतर की कई हफ्तों तक syringe से खाना खिलाकर देखभाल की
    • अब वह neighborhood में आज़ादी से उड़ता है, लेकिन फिर भी मिलने आता है
    • उन्होंने कहा कि इस तरह के छोटे positive changes उन्हें खुश करते हैं
  • साथ ही, वे यह सोच हटाने में कठिनाई महसूस करते हैं कि किसी को पक्षी पसंद न हों और वह कभी उनके बचाए हुए पक्षी को नुकसान पहुंचा सकता है

हमले के बाद security hardening

  • हमले के बाद कई हफ्तों तक myNoise server की security hardening पर ध्यान दिया गया
    • हमला server में घुसपैठ करने में सफल नहीं हुआ
    • हालांकि, इसने दिखाया कि मौजूदा setup सैकड़ों हजारों code injection attempts को allow कर सकता था
    • उन्होंने माना कि attempts की संख्या जितनी बढ़ेगी, किसी दिन सफलता की संभावना भी उतनी बढ़ सकती है
  • myNoise हाल ही में managed VPS पर shift हुआ है और उसके पास full admin privilege यानी root access नहीं है
    • standard intrusion detection tools या advanced firewall इस्तेमाल नहीं कर सके
    • इसके बजाय myNoise के लिए customized security measures बनाए गए
    • उन्होंने माना कि इन्हें public documentation में न रखना protection की एक अतिरिक्त layer की तरह काम करता है
  • नई strategy में honeypot शामिल है
    • अगर malicious entity trap से interact करती है, तो उसे तुरंत block कर दिया जाता है
    • malicious agents को बहुत धीरे-धीरे data देकर उनका समय खींचने की strategy भी implement की गई
    • block होने के बाद उन्हें दूसरी website पर भेजने का तरीका है
  • banned folders के अंदर endless sub-pages और links की maze भी बनाई गई है
    • यह structure जितना explore किया जाए, उतना exponentially बढ़ता जाता है
    • यह intruders को slow करने वाला device है और curious users के लिए Easter egg की तरह भी काम करता है
    • maze तक पहुंचने से पहले honeypot में फंसने पर site से block किया जा सकता है

community की प्रतिक्रिया

  • पिछले post के बाद सैकड़ों users ने संपर्क किया
    • रोजमर्रा की जिंदगी में myNoise की अहमियत बताने वाले messages आते रहे
    • technical advice, donations और re-donations भी जारी रहीं
  • हमले ने किसी सामान्य नए soundscape release से ज्यादा support जुटाया
  • ऑपरेटर ने कहा कि इस घटना के जरिए उन्होंने myNoise और users के बीच की bonding और community sense को और मजबूत महसूस किया
    • उन्हें दो साल पहले hospital में admit होने पर मिली बड़ी प्रतिक्रिया याद आई
  • myNoise community को एक दयालु, मददगार और positive माहौल वाले environment के रूप में दिखाया गया
    • वे मानते हैं कि sound और music लोगों को जोड़ते हैं

आगे क्या जारी रहेगा

  • ऑपरेटर ने कहा कि वे आगे भी पेड़ लगाते रहेंगे, sound बनाते रहेंगे, छोटे कबूतरों की मदद करते रहेंगे, और myNoise नाम की छोटी शांति की शरणस्थली जरूरतमंद लोगों को देते रहेंगे
  • उन्होंने सुझाव दिया कि हम साथ मिलकर ज्यादा बनाएं और destruction चुनने वालों से संख्या में आगे निकलें
  • निष्कर्ष यह है कि जीवन को अर्थ बनाने का काम देता है, न कि नष्ट करने का काम

1 टिप्पणियां

 
GN⁺ 2025-07-07
Hacker News की राय
  • हाल ही में मुझे शोर-गुल वाली इमारत में रहना पड़ा, और स्पीकर पर ठीक से equalize किया हुआ white noise चलाने से शोर को ढकने में मदद मिली और कम से कम मानसिक संतुलन व नींद बनाए रखना संभव हुआ
    myNoise ऐप भले चमकदार न हो, लेकिन जो वादा करता है वह बिना किसी फालतू चीज़ के पूरा करता है, और कई devices पर अच्छी तरह काम करता है
    खरीदते समय शायद मुझे यह नहीं पता था कि ऐप किसने बनाया है, लेकिन इस लेख की वजह से अब ऐप के पीछे के इंसान का चेहरा दिखने लगा
    जब कोई आप पर हमला करता है, तो लोगों पर भरोसा टूट जाता है और वह और भी बड़ा trauma बन सकता है; नतीजतन इंसान या तो अधिक रक्षात्मक और अविश्वासी हो जाता है, या उल्टा दूसरों के प्रति आक्रामक और भरोसा तोड़ने वाला बन सकता है
    मैं हमलावर का बचाव नहीं कर रहा, लेकिन इस दुष्चक्र को तोड़ने के लिए शायद इसे पीढ़ियों तक फैली दीर्घकालिक मानसिक स्वास्थ्य की समस्या के रूप में देखना होगा

    • ऊपर वाले किरायेदार की वजह से लंबे समय तक शोर की समस्या झेली, और management office में नियमित शिकायत करने पर भी बस सहानुभूति मिलती थी, कोई खास कार्रवाई नहीं होती थी
      उसके बाद मैंने एक iOS Shortcut बनाया, जो Siri से “Loud neighbors” कहने पर मकान मालिक को एक तयशुदा email भेज देता था; हफ्ते में 3–4 email भेजना उम्मीद से ज़्यादा असरदार निकला
      मुझे लगता है कि दफ़्तर में किसी को बस टाल देना और हर दो दिन में एक email का जवाब देना, दोनों अलग बातें हैं
      बेशक यह हर स्थिति के लिए सही रणनीति नहीं होगी, लेकिन उम्मीद है कि शांति और सुकून मिले
  • penetration testing/bug bounty का काम करने वाले नज़रिए से देखें तो मालिक की झुंझलाहट समझ में आती है, लेकिन यह सामान्य इंटरनेट शोर जैसा लगता है
    सबसे बुरी स्थिति में भी यह बस ऐसा दिखता है कि किसी ने Burp Suite खोला और वेबसाइट पर run दबा दिया
    बहुत से commercial tools डिफ़ॉल्ट रूप से ऐसे हमले बड़े पैमाने पर चलाते हैं, और कुछ SaaS कंपनियाँ तो इन्हें सीधे product के रूप में देती हैं
    पूरा इंटरनेट लगातार scan हो रहा है, और ऐसी भी बहुत-सी scanners हैं जो कोई वेबसाइट मिलते ही automated attack collection चला देती हैं
    इसका मतलब यह नहीं कि यह सही है, लेकिन हक़ीक़त यही है, और इसे निजी तौर पर लेने की बात नहीं है

    • शार्क का हमला भी निजी भावना से नहीं होता, लेकिन फिर भी वह trauma बन जाता है
      ऊपर से शार्क किसी नैतिक रूप से संदिग्ध hacker ने बनाई हुई चीज़ भी नहीं है
      समझ नहीं आता कि इस इंसान के जायज़ दर्द को कम करके क्यों दिखाया जाए; ऐसा करना काफ़ी बदतमीज़ी लगता है
  • hackers ने लगभग https://glslsandbox.com को मार ही डाला
    किसी ने spam की बौछार कर दी, और उससे निपटने का समय न होने के कारण यह करीब डेढ़ साल से बंद पड़ा है
    Shadertoy जैसी दूसरी साइटें हैं जो मिलती-जुलती चीज़ करती हैं, लेकिन किसी का project इस तरह टूट जाना वाकई दुखद है
    service denial की समस्या के मामले में, क्योंकि यह free service है, मैं अपने projects में आम तौर पर Cloudflare के पीछे छिपने का तरीका अपनाकर सीधे निपटने से बचने की कोशिश करता हूँ
    “अगर मैं तुम्हारी चीज़ तोड़ सकता हूँ तो गलती तुम्हारी है, तुम्हें इसे बेहतर बनाना चाहिए था” — यह hacker वाली सोच हमेशा चिढ़ाती है
    खिड़की, दरवाज़ा, शरीर — सब तोड़े जा सकते हैं, लेकिन सिर्फ़ इसलिए कि यह संभव है, दोष पीड़ित का नहीं हो जाता
    फिर भी यह भी जानता हूँ कि ऐसे लोगों को पूरी तरह ख़त्म नहीं किया जा सकता

    • भौतिक systems और information systems अलग होते हैं
      information systems को ऐसा बनाया जा सकता है कि उनमें घुसपैठ न हो सके, लेकिन physical systems के साथ ऐसा नहीं किया जा सकता
      physical systems locality की वजह से स्वाभाविक रूप से ज़्यादा सुरक्षित होते हैं, और security through obscurity से भी कुछ फायदा मिल सकता है
      अगर आपने कमज़ोर information system को ऐसे global network से जोड़ दिया है जहाँ हर कोई उससे interact कर सकता है, और किसी ने उसे तोड़ने का तरीका ढूँढ लिया, तो किसी खास attacker पर ग़ुस्सा करने के बजाय system-level कमज़ोरी को देखना ज़्यादा उपयोगी हो सकता है
    • आख़िरी बात सच में सही है
      मैं 6 फुट 3 इंच, 260 पाउंड का बड़ा आदमी हूँ; कई बार Ironman किया है, sports, climbing, weights, hunting, और कई साल की थोड़ी-बहुत combat training भी है
      मेरे आसपास के ज़्यादातर लोगों को मैं शायद निहत्थे भी मार सकता हूँ, लेकिन मैं ऐसा नहीं करता
      क्योंकि, जैसा कहा गया, ज़िंदगी ऐसे नहीं चलती
      लेकिन लोग इसी तर्क को कार, फ़ोन, या ऊपर बताए गए personal project जैसी चीज़ों पर लापरवाही से लागू कर देते हैं
      सोचता हूँ अगर मैं उन्हें पीट दूँ और हँसकर कहूँ, “तुम्हारी माँ को किसी और बड़े आदमी के साथ सोना चाहिए था,” तो उन्हें कैसा लगेगा
      खैर, यह सचमुच दुखद है — इस बात से सहमत हूँ
  • इसे निजी तौर पर न लेना ही बेहतर है
    उन्हें न तो पता है कि आप कौन हैं, न ही उन्हें इससे कोई मतलब है
    अब servers पर किसी न किसी रूप में rate limiter लगभग ज़रूरी होता जा रहा है
    scan और probing सिर्फ़ बदतमीज़ी से आगे की चीज़ है, लेकिन इंटरनेट पर ऐसी परेशान करने वाली चीज़ें भरी पड़ी हैं
    Fail2ban को साधारण login attempts या vulnerability scans से निपटने के लिए आसानी से configure किया जा सकता है
    अगर web servers के लिए ऐसा कुछ नहीं है, तो बनाना मुश्किल नहीं होना चाहिए; सोच रहा हूँ क्या किसी को web server के लिए Fail2ban या rate limiter जैसा कुछ पता है

    • वेबसाइट के आगे Cloudflare free plan लगा दो, समस्या हल हो जाएगी
  • जब से इस साइट के बारे में पता चला, तब से इसे लगातार पसंद करता आया हूँ
    आजकल जब offices की density बढ़ती जा रही है, कम से कम मेरे इलाके में, यह और भी ज़्यादा मददगार हो गया है
    हाल की app redesign भी शानदार थी
    सिर्फ़ उसके बनाए विशाल library तक पहुँच मिलना भी एक छोटा-सा समर्थन देने लायक है
    खासकर इसलिए कि ज़्यादातर content उसने खुद मौके पर record किया, mix किया, और equalizer bands में बाँटा है
    इसमें Ireland का तट, भूमिगत जलमार्ग, और कई तरह के जंगलों की आवाज़ें शामिल हैं

  • अच्छाई और बुराई के बीच यह अन्यायपूर्ण मुकाबला शायद हज़ारों साल पुरानी समस्या रहा है
    बुरे लोगों से कैसे निपटा जाए — मार देना, माफ़ करना, शिक्षा देकर सुधारना — ऐसे कई उपाय सामने आए, लेकिन कोई भी वास्तव में काम करता नहीं दिखता
    एक उपाय यह हो सकता है कि उन सबको इकट्ठा करके किसी दूसरे ग्रह पर भेज दिया जाए, जहाँ वे अपनी मर्ज़ी से रहें लेकिन अच्छे लोगों को परेशान न कर सकें
    और कोई यह भी कह सकता है कि शायद ऐसा पहले ही किया जा चुका है, और हम अभी उसी जगह पर हैं

    • पहले भी ऐसा करने की कोशिश हुई थी
      शुरुआत telephone sanitizers, hairdressers, और advertising executives से हुई थी
    • हाल में शायद मैंने एक पोस्ट देखी थी कि किसी ने HTTP protocol के ज़रिए ऐसा खास तौर पर बनाया गया gzip-compressed content दिया, जो receiver side पर size explosion कर देता था
      crawlers आम तौर पर हर instance को इतना ज़्यादा space allocate नहीं करते, इसलिए यह एक अच्छा preventive measure हो सकता है
    • उस नज़र से देखें तो यहाँ हम ही बुरे पक्ष में लगते हैं
    • हमने आख़िर कब malicious hackers को मारना शुरू किया था?
  • अफसोस है, लेकिन लगता है कि शायद इसे LLM bots ने crawl किया है
    संभव है कि “attacker” को यह भी न पता हो कि यह व्यक्ति कौन है
    हो सकता है कि कोई बेनाम कंपनी उसकी sound या white noise content को LLM training और distribution के लिए इस्तेमाल करना चाहती हो
    मुझ पर भी हर दिन इसी तरह के “attacks” होते हैं, लेकिन देखने पर अक्सर वे certificate transparency logs को crawl करने वाले bots निकलते हैं
    साइट का certificate देखकर लगता है कि वह Let’s Encrypt CA द्वारा जारी किया गया है, और ज़्यादा से ज़्यादा यह आसान शिकार ढूंढने वाले script kiddie स्तर का मामला है
    आगे से उम्मीद है कि वह ऐसे “attacks” को बहुत व्यक्तिगत तौर पर नहीं लेंगे
    कुल मिलाकर वे अच्छे इंसान लगते हैं, शायद इस दुनिया के हिसाब से कुछ ज़्यादा ही अच्छे

  • मैं lifetime member हूँ और कई सालों से mynoise.net का आनंद लेकर इस्तेमाल कर रहा हूँ
    ध्यान लगाने और distractions को रोकने के लिए यह मुझे मिली सबसे बेहतरीन चीज़ों में से एक है
    मैं brain.fm और YouTube Music भी इस्तेमाल करता हूँ, लेकिन उनकी साइट बेहतर है, ज़्यादा सोच-समझकर design की गई है, और मेरे लिए अधिक असरदार है, इसलिए मैं बार-बार वहीं लौटता हूँ

  • MyNoise app ने सचमुच मेरी ज़िंदगी बेहतर बनाई है
    घर पर मैं white noise machine इस्तेमाल करता हूँ, लेकिन यात्रा के दौरान MyNoise मेरी sleep companion होती है, और खास तौर पर यह अच्छा लगता है कि equalizer को इस तरह सेट किया जा सकता है कि वे खास आवाज़ें दब जाएँ जो मुझे जगा सकती हैं
    hacking की यह परेशान करने वाली खबर दुखद है

    • पूरी तरह सहमत, मैं भी कई सालों से यही कर रहा हूँ
      खासकर unstable connection में इसकी अच्छी बात यह है कि एक बार पसंदीदा noise load हो जाए, तो वह browser में local रूप से चलता है, इसलिए connection टूटने पर भी बिना रुकावट बजता रहता है
  • समझ नहीं आता कि कोई इस व्यक्ति को नुकसान क्यों पहुँचाना चाहेगा
    यह साइट शानदार है

    • कुछ लोग बस दुनिया को जलते हुए देखना चाहते हैं
      वजहें बहुत हो सकती हैं, लेकिन सबसे बुनियादी बात यही है कि आहत लोग दूसरों को आहत करते हैं
      जब कोई कम दयालु व्यवहार करता है, तब मैं अपनी प्रतिक्रिया में इसे याद रखने की कोशिश करता हूँ
      अगर मैं बुरी तरह प्रतिक्रिया दूँ, तो मैं उस व्यक्ति को अगली बार किसी और के साथ वही करने का औचित्य दे दूँगा
      मैंने सीखा है कि बिना मुँह से झाग निकालने वाले पागल बने भी खुद की रक्षा की जा सकती है
      ज़्यादातर मामलों में सीमाएँ water pistol से भी तय की जा सकती हैं, nuclear weapon की ज़रूरत नहीं होती
      सब कुछ जुड़ा हुआ है, और यह व्यक्ति भले भोला हो, लेकिन अच्छे संबंध शुरू करने की कोशिश कर रहा है
      इसके लिए तालियाँ बनती हैं
    • संभवतः यह targeted attack नहीं है
      साइट चलाने के मेरे अनुभव में internet एक उजड़ा हुआ मैदान है जहाँ AI crawlers, हर form को amplification vector में बदलने की कोशिश करने वाले script kiddies, और vulnerability scanners सब मिले-जुले घूमते हैं
    • यह भी संभव है कि किसी बड़ी AI company में किसी ने training material collection में इस साइट को जोड़ने के लिए बस एक button दबा दिया हो
      चाहे आलस में या जानबूझकर, उसने शायद “repeat” और “forever” वाले checkboxes भी टिक कर दिए हों
    • अगर internet पर बिताए सालों ने मुझे कुछ सिखाया है, तो वह यह कि कुछ लोग सचमुच मानसिक रूप से इतने अस्थिर होते हैं कि वे हाथ लगने वाली किसी भी चीज़ को तोड़ना चाहते हैं
      वे ऐसा सिर्फ इसलिए करते हैं क्योंकि वे कर सकते हैं
      कभी attention पाने के लिए, कभी सिर्फ दुनिया को जलते हुए देखने की इच्छा से
      दोनों ही हालत में “आखिर target ने ऐसा क्या किया कि उसके साथ यह हुआ?” पूछना बेकार है
      बहुत संभव है कि attacker ने खुद से ऐसा सवाल कभी पूछा ही न हो, और वह बस एक खुला हुआ sociopath हो
      internet जितना बड़ा होता जाता है, ऐसे लोगों की संख्या भी उतनी बढ़ती जाती है
      पहले के समय में ऐसे लोग समाज से बाहर कर दिए जाते, और जब तक वे कोई बहुत चरम तरीका न अपनाएँ, दूसरों को नुकसान पहुँचाने की उनकी क्षमता भी काफ़ी सीमित रहती, और आम तौर पर गंभीर परिणाम भुगतने पड़ते
      लेकिन internet ने उन्हें नया outlet दिया है, दुनिया भर के उन लोगों की चीज़ें बर्बाद करने का तरीका दिया है जिन तक वे पहले पहुँच भी नहीं सकते थे, और आम तौर पर सज़ा का जोखिम भी लगभग नहीं के बराबर है