1 Punkte von GN⁺ 2025-07-07 | 1 Kommentare | Auf WhatsApp teilen
  • Der Betreiber von myNoise berichtet, dass er Hunderttausende Code-Injection-Versuche und Angriffe durch massenhaftes Herunterladen von Sounddateien erlebt hat; der Server hielt stand, aber Zeit, Energie und innere Ruhe gingen verloren
  • Nachdem der Angreifer wegen der eigens entwickelten myNoise-Architektur nicht eindringen konnte, wechselte er zu einer Methode, bei der alle Sounddateien wiederholt heruntergeladen wurden, um Bandbreite zu verschwenden
  • Für myNoise, das jedes Jahr Bäume pflanzt, um den Energieverbrauch der Besucher auszugleichen, fühlt sich ein absichtlicher Server-Flood nicht wie bloßer Traffic an, sondern wie Verschwendung und Beschädigung
  • Der Betreiber musste die Zeit, in der er neue Sounds und Ambient-Klangwelten geschaffen hätte, stattdessen für Ursachenanalyse und Abwehrmaßnahmen aufwenden; zur nachträglichen Härtung gehörten unter anderem ein Honeypot und eine Strategie mit langsamen Antworten
  • Nach dem Vorfall reagierten Hunderte Nutzer mit Zuspruch, technischen Ratschlägen, Spenden oder erneuten Spenden, und der Betreiber erklärte, myNoise weiter als kleines Refugium des Friedens für Menschen bereitzustellen, die es brauchen

Was der Angriff tatsächlich angerichtet hat

  • myNoise wird als Versuch betrieben, einen positiven Ort im chaotischen Internet zu schaffen
  • Vor einigen Tagen schickte ein feindseliger Besucher oder Akteur Hunderttausende Anfragen, um Code einzuschleusen
    • Diese Versuche scheiterten
    • Möglicherweise half dabei, dass myNoise kein übliches CMS ist, sondern von Grund auf eigens entwickelt wurde
  • Nachdem das Eindringen misslang, änderte der Angreifer seine Strategie und begann, alle Sounddateien wiederholt herunterzuladen
    • Das wurde als Angriff verstanden, der Server-Bandbreite verschwendet

Warum die Verschwendung von Bandbreite schwerer wog

  • Der Betreiber von myNoise pflanzt jedes Jahr Bäume, um den Energieverbrauch der Website-Besucher auszugleichen
    • Er räumt ein, dass man die Methodik hinterfragen kann
    • Entscheidend sei die Absicht, verantwortungsvoll zu handeln
  • Ein absichtlicher Server-Flood fühlt sich nicht nur wie ein technisches Problem an, sondern eher wie Verschwendung und Zerstörung

Was vor dem Server gestohlen wurde

  • Der Server fiel zwar nicht aus, aber der Angriff nahm dem Betreiber Zeit und Energie
    • Zeit, die für neue Sounds und ruhige Ambient-Klangwelten gedacht war, floss stattdessen in die Analyse des Problems
    • Hinzu kam die Arbeit, den Angriff zu stoppen und künftige Schutzmaßnahmen einzurichten
  • Der Angriff erschütterte auch die dem Betreiber verbliebene innere Ruhe
    • Er bleibt als Beispiel dafür, wie Zeit für Abwehr verloren geht, die in einer utopischen Welt unnötig wäre

Traurigkeit und Ohnmacht

  • Im Zentrum des Textes steht weniger der Angriff selbst als die dadurch erneut ausgelöste Traurigkeit und Ohnmacht
  • Die Unwucht, dass Zerstören weniger Energie kostet als Erschaffen, wird mit dem Gesetz der Entropie verglichen
  • Das wird auch mit einer gesundheitlichen Krise vor zwei Jahren verbunden, nach der eine Krankheit den Körper schnell in Besitz nahm, während die Erholung lange dauerte
    • Krankheit ist in der Regel keine absichtliche Handlung eines Menschen
    • Wenn andere absichtlich Schaden zufügen, bleibt ein völlig anderes Gefühl zurück

Die Geschichte mit der Taube und ein kleines Positives

  • Der Betreiber pflegte mehrere Wochen lang eine junge Taube, die aus dem Nest gefallen war und schwere Verletzungen hatte, und fütterte sie mit einer Spritze
    • Heute fliegt sie frei durch die Nachbarschaft, kommt aber weiterhin vorbei
    • Solche kleinen positiven Veränderungen machen ihn nach eigener Aussage glücklich
  • Zugleich fällt es ihm schwer, den Gedanken abzuschütteln, dass jemand Vögel hassen und irgendwann dem schaden könnte, was sie gerettet haben

Sicherheitsverstärkung nach dem Angriff

  • In den Wochen nach dem Angriff konzentrierte man sich auf die Sicherheitsverstärkung des myNoise-Servers
    • Dem Angriff gelang es nicht, in den Server einzudringen
    • Er zeigte jedoch, dass die bestehende Konfiguration Hunderttausende Code-Injection-Versuche zulassen konnte
    • Je höher die Zahl der Versuche, desto größer erschien die Chance, dass irgendwann doch einer erfolgreich sein könnte
  • myNoise ist vor Kurzem auf einen verwalteten VPS umgezogen und hat keinen vollständigen Administratorzugang, also keinen Root-Zugriff
    • Standardwerkzeuge zur Angriffserkennung oder fortgeschrittene Firewalls konnten deshalb nicht genutzt werden
    • Stattdessen wurden maßgeschneiderte Sicherheitsmaßnahmen für myNoise entwickelt
    • Dass diese nicht öffentlich dokumentiert sind, wird als zusätzliche Schutzschicht betrachtet
  • Zur neuen Strategie gehört ein Honeypot
    • Wenn ein böswilliger Akteur mit der Falle interagiert, wird er sofort blockiert
    • Außerdem wurde eine Strategie umgesetzt, bei der schädliche Agenten Daten nur extrem langsam erhalten, um sie Zeit verlieren zu lassen
    • Nach der Sperre sollen sie auf andere Websites weiterziehen
  • In verbotenen Ordnern wurde zudem ein Labyrinth aus endlosen Unterseiten und Links angelegt
    • Je weiter man darin navigiert, desto stärker wächst die Struktur exponentiell
    • Das dient dazu, Eindringlinge zu verlangsamen, und fungiert zugleich als Easter Egg für neugierige Nutzer
    • Wer schon vor dem Erreichen des Labyrinths im Honeypot landet, kann von der Website blockiert werden

Reaktionen der Community

  • Nach dem vorherigen Beitrag meldeten sich Hunderte Nutzer
    • Es kamen zahlreiche Nachrichten, dass myNoise im Alltag wichtig sei
    • Auch technische Ratschläge, Spenden und erneute Spenden gingen ein
  • Der Angriff löste mehr Unterstützung aus als ein gewöhnlicher Release neuer Soundscapes
  • Der Betreiber sagt, dass er durch diesen Vorfall die Verbundenheit und das Gemeinschaftsgefühl zwischen myNoise und seinen Nutzern noch stärker gespürt habe
    • Er fühlte sich an die große Reaktion erinnert, als er vor zwei Jahren im Krankenhaus lag
  • Die myNoise-Community wird als freundliches, hilfsbereites und positives Umfeld beschrieben
    • Klänge und Musik würden Menschen miteinander verbinden

Wie es weitergeht

  • Der Betreiber sagt, dass er auch künftig Bäume pflanzen, Sounds erstellen, jungen Tauben helfen und myNoise als kleines Refugium des Friedens für Menschen anbieten wird, die es brauchen
  • Er schlägt vor, gemeinsam mehr zu erschaffen und zahlenmäßig denjenigen überlegen zu sein, die sich für Zerstörung entscheiden
  • Zusammengefasst gibt nicht das Zerstören dem Leben Sinn, sondern das Erschaffen

1 Kommentare

 
GN⁺ 2025-07-07
Meinungen auf Hacker News
  • Ich musste kürzlich in einem sehr lauten Gebäude wohnen, und passend entzerrtes weißes Rauschen über Lautsprecher abzuspielen half dabei, den Lärm zu überdecken und ein Mindestmaß an psychischer Gesundheit und Schlaf zu bewahren.
    Die myNoise-App ist zwar nicht glamourös, erfüllt aber ohne Ballast genau das, was sie verspricht, und funktioniert gut auf mehreren Geräten.
    Beim Kauf wusste ich, glaube ich, nicht, wer die App gemacht hatte, aber durch diesen Beitrag hat das Gesicht hinter der App für mich Konturen bekommen.
    Wenn man von jemandem angegriffen wird, bricht das Vertrauen in Menschen zusammen, was zu einem noch größeren Trauma wird; in der Folge kann man defensiver und misstrauischer werden oder umgekehrt selbst aggressiv handeln und das Vertrauen anderer zerstören.
    Ich will den Angreifer nicht verteidigen, aber um diesen Teufelskreis zu durchbrechen, sollte man es wohl als Frage der langfristigen psychischen Gesundheit über Generationen hinweg betrachten.

    • Ich hatte wegen des Mieters direkt über mir über lange Zeit Lärmprobleme, und obwohl ich mich regelmäßig bei der Hausverwaltung beschwerte, bekam ich nur Mitgefühl, aber es geschah kaum etwas.
      Danach habe ich einen iOS-Kurzbefehl erstellt, der jedes Mal, wenn ich zu Siri „Loud neighbors“ sagte, eine standardisierte E-Mail an den Vermieter schickte; drei bis vier E-Mails pro Woche waren überraschend wirksam.
      Ich denke, es ist ein Unterschied, ob man jemanden im Büro irgendwie beruhigt und wegschickt oder ob man alle zwei Tage auf eine E-Mail antworten muss.
      Natürlich ist das keine Strategie, die für jede Situation passt, aber ich hoffe, es wird ruhig und friedlich.
  • Aus der Perspektive von jemandem, der Penetrationstests/Bug-Bounty-Arbeit macht, verstehe ich zwar, dass der Betreiber frustriert ist, aber das liest sich wie gewöhnliches Internetrauschen.
    Im schlimmsten Fall sieht es danach aus, als hätte jemand Burp Suite gestartet und auf der Website auf Ausführen geklickt.
    Viele kommerzielle Tools führen solche Angriffe standardmäßig massenhaft aus, und manche SaaS-Unternehmen bieten das sogar als Produkt an.
    Das gesamte Internet wird ständig gescannt, und es gibt viele Scanner, die auf entdeckten Websites automatisch Angriffssammlungen laufen lassen.
    Das heißt nicht, dass es richtig ist, aber so ist die Realität, in der wir leben, und ich denke nicht, dass man es persönlich nehmen sollte.

    • Auch wenn ein Hai angreift, ist das nichts Persönliches, aber es wird trotzdem zum Trauma.
      Außerdem wurde der Hai nicht von einem ethisch fragwürdigen Hacker erschaffen.
      Ich verstehe nicht, warum man das berechtigte Leid dieser Person kleinreden sollte, und das wirkt ziemlich unhöflich.
  • Hacker haben https://glslsandbox.com praktisch getötet.
    Jemand hat es mit Spam überflutet, und weil keine Zeit für die Behebung war, ist die Seite seit etwa anderthalb Jahren geschlossen.
    Es gibt zwar Seiten wie Shadertoy, die Ähnliches machen, aber es ist wirklich traurig, wenn das Projekt von jemandem auf diese Weise kaputtgemacht wird.
    Da Denial-of-Service-Probleme bei kostenlosen Diensten auftreten, versuche ich bei meinen Projekten meist, direkte Gegenmaßnahmen zu vermeiden, indem ich mich hinter Cloudflare verstecke.
    Diese Hacker-Haltung nach dem Motto „Wenn ich deine Sachen kaputtmachen kann, ist es deine Schuld, du hättest sie besser bauen müssen“ nervt mich immer.
    Fenster, Türen und Körper kann man auch kaputtmachen, aber nur weil es möglich ist, macht das nicht das Opfer verantwortlich.
    Trotzdem weiß ich auch, dass man solche Menschen nicht loswerden kann.

    • Physische Systeme und Informationssysteme sind unterschiedlich.
      Informationssysteme kann man so bauen, dass sie nicht zu knacken sind, physische Systeme dagegen nicht.
      Physische Systeme sind durch Lokalität von Natur aus sicherer und können auch bis zu einem gewissen Grad von Security by Obscurity profitieren.
      Wenn man ein schwaches Informationssystem an ein globales Netzwerk anschließt, mit dem jeder interagieren kann, und jemand einen Weg findet, es kaputtzumachen, lohnt es sich eher, die systemischen Schwächen anzusehen, als sich über einen bestimmten Angreifer zu ärgern.
    • Der letzte Teil stimmt wirklich.
      Ich bin ein großer Kerl, 6 Fuß 3 Zoll, 260 Pfund, mehrere Ironman, Sport, Klettern, Krafttraining, Jagen und über Jahre hinweg ein wenig Kampftraining.
      Ich denke, ich könnte die meisten Menschen in meinem Umfeld mit bloßen Händen töten, aber ich tue es nicht.
      Denn wie gesagt: So funktioniert das Leben nicht.
      Aber auf Autos, Handys und persönliche Projekte wie oben wenden Leute diese Logik leichtsinnig an.
      Ich frage mich, wie es sich für sie anfühlen würde, wenn ich sie zusammenschlage und lachend sage: „Deine Mutter hätte mit einem größeren Mann schlafen sollen.“
      Jedenfalls stimme ich zu, dass es wirklich traurig ist.
  • Man sollte es besser nicht persönlich nehmen.
    Sie wissen nicht, wer du bist, und es interessiert sie auch nicht.
    Auf Servern wird irgendeine Form von Rate Limiter inzwischen fast unverzichtbar.
    Scans und Erkundungen gehen über bloße Unhöflichkeit hinaus, aber im Internet wimmelt es von lästigen Dingen.
    Fail2ban lässt sich leicht so konfigurieren, dass es einfache Login-Versuche oder Schwachstellen-Scans behandelt.
    Falls es für Webserver nichts Ähnliches gibt, dürfte es nicht schwer sein, so etwas zu bauen; ich frage mich, ob jemand Fail2ban für Webserver oder einen Rate Limiter kennt.

    • Wenn man eine Website vor den kostenlosen Cloudflare-Tarif hängt, ist das Problem gelöst.
  • Seit ich diese Seite zum ersten Mal entdeckt habe, mag ich sie durchgehend.
    In Zeiten, in denen die Bürodichte immer weiter zunimmt, ist sie zumindest in meiner Region noch hilfreicher.
    Auch das jüngste Redesign der App war hervorragend.
    Allein der Zugang zu der riesigen Bibliothek, die er aufgebaut hat, ist eine kleine Unterstützung wert.
    Besonders weil der Großteil der Inhalte von ihm selbst vor Ort aufgenommen, gemischt und in Equalizer-Bänder aufgeteilt wurde.
    Darunter sind die irische Küste, unterirdische Wasserläufe und die Geräusche verschiedener Wälder.

  • Der unfaire Kampf zwischen Gut und Böse ist vermutlich seit Tausenden von Jahren ein ungelöstes Problem.
    Es gab viele Lösungsansätze dafür, wie man mit schlechten Menschen umgehen soll: sie töten, ihnen vergeben, sie erziehen und korrigieren; aber in der Praxis scheint nichts wirklich gut zu funktionieren.
    Eine Lösung könnte sein, sie alle zusammenzusammeln und auf einen anderen Planeten zu schicken, wo sie leben können, wie sie wollen, ohne gute Menschen zu belästigen.
    Und jemand könnte sagen, dass genau das bereits passiert ist und wir deshalb hier sind.

    • Das wurde früher schon einmal versucht.
      Angefangen hat man mit Telefon-Desinfizierern, Friseuren und Werbeplanern.
    • Ich glaube, ich habe kürzlich einen Beitrag gesehen, in dem jemand über das HTTP-Protokoll speziell präparierte gzip-komprimierte Inhalte ausgeliefert hat, die auf Empfängerseite in der Größe explodieren.
      Crawler weisen normalerweise nicht so viel Speicherplatz pro Instanz zu, daher könnte das eine gute Vorsichtsmaßnahme sein.
    • So gesehen sind wir hier wohl die Bösen.
    • Wann haben wir je böswillige Hacker getötet?
  • Bedauerlicherweise wurde er vermutlich von einem LLM-Bot gecrawlt.
    Der „Angreifer“ weiß wahrscheinlich gar nicht, wer diese Person ist.
    Es könnte einfach ein gesichtsloses Unternehmen sein, das seine Sounds oder White-Noise-Inhalte fürs Training und die Bereitstellung von LLMs verwenden will.
    Ich bekomme täglich ähnliche „Angriffe“, aber wenn man genauer hinsieht, sind es oft Bots, die Certificate-Transparency-Logs crawlen.
    Wenn man das Zertifikat der Website prüft, wurde es von der Let’s Encrypt CA ausgestellt, und im schlimmsten Fall ist es Script-Kiddie-Niveau, das nach leichter Beute sucht.
    Ich hoffe, dass er solche „Angriffe“ künftig nicht zu persönlich nimmt.
    Insgesamt ist er ein guter Mensch, vielleicht sogar zu gut für diese Welt.

  • Ich bin Lifetime-Mitglied und nutze mynoise.net seit vielen Jahren gern.
    Es ist das Beste, was ich gefunden habe, um mich zu konzentrieren und Ablenkungen auszublenden.
    Ich nutze auch brain.fm und YouTube Music, aber seine Website ist besser, bewusster gestaltet und funktioniert für mich besser, deshalb komme ich immer wieder darauf zurück.

  • Die MyNoise-App hat mein Leben tatsächlich verbessert.
    Zu Hause nutze ich ein White-Noise-Gerät, aber auf Reisen ist MyNoise mein Schlafbegleiter, und besonders gut gefällt mir, dass ich den Equalizer so einstellen kann, dass bestimmte Geräusche ausgeblendet werden, die mich sonst wecken würden.
    Schade von diesem ärgerlichen Hack zu hören.

    • Stimme völlig zu, ich mache das seit Jahren genauso.
      Besonders gut bei instabiler Verbindung: Hat man das bevorzugte Geräusch einmal geladen, läuft es lokal im Browser weiter und spielt auch bei Verbindungsabbruch ohne Unterbrechung weiter.
  • Ich verstehe nicht, warum jemand diesem Menschen schaden wollen sollte.
    Diese Website ist großartig.

    • Es gibt Menschen, die die Welt einfach brennen sehen wollen.
      Es mag viele Gründe geben, aber im Kern stimmt wohl: Verletzte Menschen verletzen andere.
      Daran versuche ich auch zu denken, wenn jemand weniger freundlich ist und ich darauf reagiere.
      Wenn man schlecht reagiert, gibt man dieser Person nur einen Vorwand, beim nächsten Mal dasselbe gegenüber jemand anderem zu rechtfertigen.
      Ich habe gelernt, dass man sich schützen kann, ohne zu einem schäumenden Wahnsinnigen zu werden.
      In den meisten Fällen lassen sich Grenzen nicht mit Atomwaffen, sondern mit einer Wasserpistole setzen.
      Alles ist miteinander verbunden, und dieser Mensch mag naiv sein, aber er versucht, gute Verbindungen anzustoßen.
      Dafür möchte ich applaudieren.
    • Es ist wahrscheinlich kein gezielter Angriff.
      Aus Erfahrung mit dem Betrieb von Websites ist das Internet eine Ödnis aus AI-Crawlern, Script-Kiddies, die jedes Formular in einen Amplification-Vektor verwandeln wollen, und Vulnerability-Scannern.
    • Es könnte auch sein, dass jemand bei einer großen AI-Firma auf einen Button gedrückt hat, um diese Website einer Sammlung von Trainingsmaterial hinzuzufügen.
      Vielleicht wurden, aus Faulheit oder nicht, auch noch die Checkboxen „wiederholen“ und „für immer“ angeklickt.
    • Wenn mich meine Jahre im Internet eines gelehrt haben, dann dass manche Menschen wirklich ernsthaft psychisch instabil sind und alles zerstören wollen, was ihnen in die Hände fällt.
      Sie tun es, einfach weil sie es können.
      Manchmal geht es darum, Aufmerksamkeit zu bekommen, manchmal wollen sie einfach nur die Welt brennen sehen.
      So oder so ist es sinnlos zu fragen: „Was hat das Ziel getan, um so etwas zu verdienen?“
      Der Angreifer hat sich diese Frage sehr wahrscheinlich nie gestellt und ist vielleicht schlicht ein unverhohlener Soziopath.
      Je größer das Internet wird, desto mehr solcher Menschen gibt es.
      Früher wären sie gesellschaftlich ausgegrenzt worden, ihre Fähigkeit, anderen zu schaden, wäre stark begrenzt gewesen, sofern sie nicht zu extremeren Mitteln gegriffen hätten, und meist hätte das ernste Konsequenzen gehabt.
      Das Internet aber hat ihnen ein neues Ventil gegeben, ihnen Wege eröffnet, Dinge von Menschen überall auf der Welt zu ruinieren, die sie früher nie hätten erreichen können, und das in der Regel mit kaum einem Risiko, bestraft zu werden.