- myNoise の運営者は数十万件のコード挿入の試行と大量のサウンドファイルダウンロード攻撃を受け、サーバーは耐えたものの、時間・エネルギー・平穏を失ったと振り返っている
- 攻撃者は独自に書かれた myNoise の構造のため侵入に失敗した後、すべてのサウンドファイルの反復ダウンロードで帯域を浪費させる方法に切り替えた
- 訪問者のエネルギー使用を相殺しようと毎年木を植えている myNoise にとって、意図的なサーバー flood は単なるトラフィックではなく浪費と損壊として感じられる
- 運営者は新しいサウンドやアンビエンスを作る時間を問題の把握と防御策に費やすことになり、その後のセキュリティ強化にはハニーポットと低速応答戦略が含まれた
- 事件後、数百人のユーザーが応援、技術的助言、寄付または再寄付で反応し、運営者は myNoise を必要とする人々のための小さな平和の避難所として提供し続けると述べた
攻撃が実際にしたこと
- myNoise は、混沌としたインターネットの中に前向きな場所を作ろうとする試みとして運営されている
- 数日前、敵対的な訪問者または主体が数十万件のリクエストを送り、コード挿入を試みた
- この試みは失敗した
- myNoise が一般的な CMS ではなく、最初から独自に書かれた構造だったことが助けになった可能性がある
- 侵入に失敗した後、攻撃者はすべてのサウンドファイルを繰り返しダウンロードする方法へと戦略を変えた
帯域の浪費がより大きく感じられた理由
- myNoise の運営者は、サイト訪問者のエネルギー使用を相殺するために毎年木を植えている
- その方法論には疑問が呈されうることも認めている
- 核心は責任ある行動を取ろうとする意図にある
- 意図的なサーバー flood は、単なる技術的問題ではなく、浪費と損壊に近い行為として感じられる
サーバーより先に奪われたもの
- サーバーはダウンしなかったが、攻撃は運営者の時間とエネルギーを奪った
- 新しいサウンドや静かなアンビエンスを作るために使うはずだった時間が、問題の把握に費やされた
- 攻撃を止め、今後の保護策を整える作業も加わった
- 攻撃は、運営者に残っていた平穏まで揺るがせた
- ユートピア的な世界なら不要だったはずの防御に時間を失った事例として残った
悲しみと無力感
- 文章の中心にあるのは、攻撃そのものよりも、攻撃によって再び呼び起こされた悲しみと無力感である
- 何かを作るより壊すほうがエネルギーを要しないという不均衡を、エントロピーの法則になぞらえている
- 2年前の健康問題以降、病気が身体を急速に支配し、回復には長い時間がかかった経験とも結びつけている
- 病気はたいてい誰かの意図的行為ではない
- 他人が意図的に害を与えるときには、まったく異なる感情が残る
ハトの話と小さな前向きさ
- 運営者は、巣から落ちて大けがをした幼いハトを数週間にわたり注射器で餌を与えながら世話した
- 今では近所を自由に飛び回っているが、今もなお訪ねてくる
- こうした小さな前向きな変化が自分を幸せにすると述べている
- 同時に、誰かが鳥を嫌い、自分たちが救ったものをいつか傷つけるかもしれないという考えを振り払うのは難しいともいう
攻撃後のセキュリティ強化
- 攻撃後の数週間、myNoise サーバーのセキュリティ強化に集中した
- 攻撃はサーバー侵入には成功しなかった
- ただし、既存設定が数十万件のコード挿入試行を許してしまうことを明らかにした
- 試行回数が増えるほど、いつか成功する可能性も高まると判断した
- myNoise は最近マネージド VPS に移行しており、全面的な管理者権限であるroot アクセスがない
- 標準的な侵入検知ツールや高度なファイアウォールは使えなかった
- その代わり、myNoise に合わせたカスタムのセキュリティ対策を作った
- 公開文書化していないことが追加の保護層として機能すると見ている
- 新しい戦略にはハニーポットが含まれる
- 悪意ある主体が罠と相互作用すると即座に遮断される
- 悪意あるエージェントにデータを非常に遅く提供して時間を浪費させる戦略も実装した
- 遮断後、別のウェブサイトへ移動させる方式である
- 禁止されたフォルダーの中には、終わりのない下位ページとリンクの迷路も用意されている
- 探索するほど指数関数的に大きくなる構造である
- 侵入者を遅らせる装置であると同時に、好奇心のあるユーザー向けの Easter egg の役割も持つ
- 迷路にたどり着く前にハニーポットに引っかかると、サイトから遮断される可能性がある
コミュニティの反応
- 前回の投稿以後、数百人のユーザーが連絡してきた
- 日常の中で myNoise が重要だというメッセージが続いた
- 技術的助言、寄付、再寄付も続いた
- 攻撃は、通常の新しいサウンドスケープ公開よりも多くの支援を引き出した
- 運営者はこの出来事を通じて、myNoise とユーザーの間の絆とコミュニティ感覚をより強く感じたという
- 2年前に病院へ入院したときの大きな反応を思い出した
- myNoise コミュニティは、親切で助け合い、前向きな雰囲気を持つ環境として描かれている
これからも続けること
- 運営者は今後も木を植え、サウンドを作り、幼いハトを助け、myNoise という小さな平和の避難所を必要とする人々に提供し続けると述べている
- ともにより多くを作り、破壊を選んだ人々より数で上回ろうと提案する
- 人生に意味を与えるのは作ることであって、破壊することではないと締めくくる
1件のコメント
Hacker News のコメント
最近、騒音のひどい建物で過ごさなければならなかったが、スピーカーで適切にイコライジングしたホワイトノイズを流しておくと、騒音を覆い隠し、最低限のメンタルヘルスと睡眠を保つ助けになった。
myNoise アプリは派手ではないものの、約束した機能を無駄なくこなし、複数のデバイスでうまく動作する。
購入したときは誰が作ったアプリなのか知らなかった気がするが、今回の記事のおかげで、アプリの背後にいる人の顔が見えるようになった。
誰かに攻撃されると、人への信頼が崩れてより大きなトラウマになり、その結果、より防御的・不信的になるか、逆に他人に攻撃的になったり信頼を壊す側に回ったりすることがある。
攻撃者を擁護するわけではないが、この悪循環を断ち切るには、世代をまたぐ長期的なメンタルヘルスの問題として見る必要がありそうだ。
その後、Siri に「Loud neighbors」と言うたびに大家へ定型メールを送る iOS ショートカットを作ったところ、週3〜4通のメールが意外に効果的だった。
事務所で適当になだめて帰らせるのと、2日に1回メールに返信しなければならないのとでは違うと思う。
もちろん、すべての状況に合う戦略ではないだろうが、静かで平穏になることを願っている。
ペネトレーションテスト/バグバウンティの仕事をしている立場から見ると、所有者が苛立つのは理解できるが、これはよくあるインターネット上のノイズのように読める。
最悪でも、誰かが Burp Suite を起動してウェブサイトに対して実行ボタンを押した、という程度に見える。
多くの商用ツールはデフォルトでこうした攻撃を大量に実行するし、SaaS 企業の中にはそれ自体を製品として提供しているところもある。
インターネット全体は常にスキャンされており、見つかったウェブサイトに自動攻撃のセットを走らせるスキャナーも多い。
それが正しいという意味ではないが、私たちが生きている現実はこういうもので、個人的に受け止めることではないと思う。
しかもサメは、倫理的に疑わしいハッカーが作ったものでもない。
なぜこの人の正当な苦痛を軽んじる必要があるのか分からないし、そうするのはかなり失礼に見える。
ハッカーたちが実質的に https://glslsandbox.com を潰した。
誰かがスパムを浴びせ、対処する時間がなかったため、約1年半閉鎖されたままになっている。
Shadertoy のように似たことをするサイトはあるが、誰かのプロジェクトがこういう形で壊されるのは本当に残念だ。
サービス拒否の問題は無料サービスだから、自分のプロジェクトではたいてい Cloudflare の背後に隠す方法で、直接対応を避けようとしている。
「俺がお前の物を壊せるなら、それはお前のせいで、もっとちゃんと作るべきだった」というハッカー的な態度にはいつも腹が立つ。
窓もドアも身体も壊せるが、可能だからという理由だけで被害者の責任になるわけではない。
それでも、こういう人間たちをなくすことはできないのも分かっている。
情報システムは侵入できないように作ることができるが、物理システムはそうはできない。
物理システムは局所性のおかげで本質的により安全であり、隠蔽によるセキュリティもある程度は利点がある。
弱い情報システムを誰もが相互作用できるグローバルネットワークにつないで、誰かが壊す方法を見つけたのなら、特定の攻撃者に怒るよりも、システム上の弱点を見つめる価値がある。
身長6フィート3インチ、体重260ポンドで、Ironman を何度も完走し、スポーツ、クライミング、ウェイトトレーニング、狩猟、さらに何年かの軽い戦闘訓練までしてきた大柄な人間だ。
周りの人の大半は素手でも殺せると思うが、そんなことはしない。
言われているように、人生はそういうふうには回っていないからだ。
ところが人々は、車、携帯電話、上に挙がった個人プロジェクトのようなものには、この論理を無謀に適用する。
私が彼らを殴り倒して笑いながら「お前の母親はもっとデカい男と寝るべきだったな」と言ったら、どんな気分になるのか気になる。
ともあれ、本当に残念なことだという点には同意する。
個人的に受け止めないほうがいい。
彼らはあなたが誰かを知らないし、関心もない。
サーバーには今や、何らかの形のレートリミッターがほぼ必須になりつつある。
スキャンや探索は無礼の域を超えているが、インターネットには厄介なものがあふれている。
Fail2ban は、単純なログイン試行や脆弱性スキャンに対処するよう簡単に設定できる。
ウェブサーバー向けに同じようなものがないなら作るのは難しくないはずだが、ウェブサーバー向けの Fail2ban やレートリミッターを知っている人がいるか気になる。
初めて知って以来、このサイトをずっと気に入っている。
最近のようにオフィスの密度がどんどん高まっている環境では、少なくとも自分の地域ではさらに役に立つ。
最近のアプリの再設計も素晴らしかった。
彼が作った膨大なライブラリにアクセスできるというだけでも、小額の支援をする価値がある。
特にコンテンツの大半は、彼自身が現地で録音し、ミキシングし、イコライザーバンドに分けたものだ。
アイルランドの海岸、地下水路、複数の森の音まで含まれている。
善と悪の不公平な対決は、おそらく何千年も続いてきた難題なのだろう。
悪い人々をどう扱うかについて、殺す、許す、教育して矯正するなどさまざまな解決策が出てきたが、実際にうまく機能するものはなさそうだ。
ひとつの解決策は、彼らを全員集めて別の惑星へ送り、そこで好きに暮らさせる一方で、善良な人々を悩ませられないようにすることかもしれない。
そして誰かは、すでにそうされて私たちがここにいるのだと言うかもしれない。
電話消毒員、美容師、広告プランナーから始めた。
クローラーは通常、各インスタンスにそれほど多くの容量を割り当てないので、よい予防策になり得る。
気の毒なことに、おそらく LLM ボットにクロールされたのだと思う
「攻撃者」は、この人が誰なのか知らない可能性が高い
ただ顔の見えない企業が、彼のサウンドやホワイトノイズのコンテンツを LLM の学習と提供に使おうとしているだけかもしれない
自分も毎日似たような「攻撃」を受けているが、調べてみると証明書透明性ログをクロールするボットであることが多い
サイトの証明書を確認してみると Let’s Encrypt CA が発行したもので、せいぜい簡単な獲物を狙うスクリプトキディ程度だ
今後は、こうした「攻撃」をあまり個人的に受け止めないでほしい
全体的に良い人で、もしかするとこの世界に対して良すぎる人なのかもしれない
生涯会員で、mynoise.net を何年も愛用してきた
集中して邪魔なものを遮断するために、自分が見つけた中では最高のものだ
brain.fm と YouTube Music も使っているが、彼のサイトのほうが良く、より意図的に設計されていて、自分にはより効果的なので、何度も戻ってきてしまう
MyNoise アプリは、実際に自分の生活を良くしてくれた
家ではホワイトノイズマシンを使っているが、旅行中は MyNoise が睡眠の相棒で、特に自分を起こしそうな特定のノイズを遮断できるよう イコライザーを設定できる点が気に入っている
厄介なハッキングのニュースは残念だ
特に接続が不安定なときに良いのは、好みのノイズを一度読み込めばブラウザ内でローカルに動作し、接続が切れても途切れず再生し続けることだ
なぜ誰かがこの人を傷つけようとするのか分からない
このサイトは素晴らしい
理由はいろいろあるだろうが、最も基本的には、傷ついた人は他人を傷つけるという言葉が当たっている
誰かがあまり親切でない態度を取ったとき、自分がどう反応するかについても、これを思い出すようにしている
悪く反応すれば、その人が次にも別の人に同じことをする正当化の口実を与えてしまう
口から泡を吹く狂人にならなくても、自分を守ることはできると学んだ
たいていの場合、境界線は核兵器ではなく 水鉄砲でも引ける
すべてはつながっていて、この人は無邪気かもしれないが、良いつながりを始めようと努力している
拍手を送りたい
サイトを運営した経験から言うと、インターネットは AI クローラー、あらゆるフォームを増幅ベクトルに変えようとするスクリプトキディ、脆弱性スキャナーが入り混じった荒野だ
怠慢かどうかはともかく、「繰り返し」と「永遠に」のチェックボックスまで押したのかもしれない
ただ可能だからそうする
注目を得るためのこともあれば、ただ世の中が燃えるのを見たいだけのこともある
どちらにせよ、「対象が何をしたからこんな目に遭ったのか?」と問うのは無意味だ
攻撃者はそもそも自分にそんな問いを投げかけていない可能性が高く、単に露骨な ソシオパスなのかもしれない
インターネットが大きくなるほど、こうした人々の数も増える
昔なら社会から排斥され、より極端な手段を使わない限り他人に害を与える能力も大きく制限され、たいていは深刻な代償が伴ったはずだ
しかしインターネットは彼らに新たなはけ口を与え、過去なら届かなかった世界中の人々のものを台無しにする方法を提供し、通常は処罰されるリスクもほとんどない