Beim täglichen Surfen durchs Netz schliddert man auch schnell mal an Infos vorbei, die eigentlich zum Verweilen und zum Nachdenken einladen. Zum Glück gibt es aber den Streusand-Effekt.

In früheren Zeiten wurde den Leuten Sand in die Augen gestreut, wobei nur geringe Mengen nötig waren, um die Sicht zu verhindern. Heutzutage wird mit der gleichen Methode versucht unerwünschte Informationen im Netz zu bedecken. Nur ist die Datenautobahn so breit und so lang, dass gar nicht so viel Sand heran gekarrt werden kann, um den gewünschten Effekt zu erzielen, wodurch aus dem verdeckenden Sand der bremsende Sand wird — der Streusand.

Den Streusand-Effekt kann man auch sehr effektiv einsetzen um Informationen in die breite Öffentlichkeit zu tragen, wenn man ein offizielles Mitglied der Geheimniskrämer ist. Die etwas einfältigen Mitglieder der Geheimniskrämer sehen nur das Verbot eine Information zu verteilen, und — Verbot == GUT!

Wenn Geheimniskrämer den Streusand-Effekt nutzen, dann weiß ich immer nicht ob sie

1. einfach nur dumm wie 100 Meter Feldweg sind,
2. einmalig eine andere Meinung vertreten oder
3. Spione sind und die Gruppe der echten Geheimniskrämer infiltriert haben.

Ein aktuelles Beispiel für den Streusand-Effekt ist der angebliche Urheberrechtsverstoß eines Blogs, der zur Veröffentlichung von noch mehr Dokumenten zur Loveparde in Duisburg führte.
“Loveparade: Stadt Duisburg untersagt Blog Veröffentlichung von Dokumenten” (netzpolitik.org)
“Loveparade 2010 Duisburg planning documents, 2007-2010” (wikileaks.org)


Ein, ohne Kristallkugel, vorhersehbarer Streusand-Effekt zeichnet sich bei Googles Street View ab. Wer in Zukunft virtuell durch eine der 20 Städte schlendert, der wird ganz sicher stehenbleiben, wenn er ein Haus sieht welches bis zur Unkenntlichkeit verpixelt wurde.

• Was mag es dort geben, was niemand sehen soll?
• Dort muss es sich lohnen einzubrechen, ansonsten würde man es ja nicht verbergen wollen!?
• Wo gibt es unverpixelte Bilder dazu?

Von mir nur die “virtuelle Streifenfahrt” zu dem Thema, über die Udo Vetter kürzlich schrieb: “Verbrecherjagd mit Street View” (lawblog.de)
Ich kann nur hoffen, dass der Herr Polizist nicht mehr im aktiven Dienst tätig ist und nur in der Gewerkschaft ein paar Akten hin und her tragen darf.


Auch bei meinen Penntests (die Suche nach Stellen wo jemand gepennt hat) stoße ich auf den Streusand-Effekt.

Wenn ich nach einer Injektion korrupter Daten (dies sind Daten die man bestechen kann, unerwünschte Dinge zu tun) auf die Startseite weitergeleitet werde, dann geht meine Motivationskurve fast senkrecht nach unten, an dieser Stelle weiter nach Schwachstellen zu suchen. Bekomme ich hingegen eine schöne Fehlermeldung zurück,

XSS per GET-Request ergibt 999-Fehlermeldung…

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html>
<head>
<title>999 Possible Attack Detected!</title>
</head>
<body>
</body>
</html>

aber per POST-Request erfolgreich korrumpiert. Und nein!, POST-Request ist kein Sicherheitsfeature — immer noch nicht, auch wenn ein “Fachinformatiker” von “Sicherheitsgründen” schreibt, weshalb er POST benutzt hat. Bei solchen “Fach” (Welches bloß?) “Informatikern” werde ich nie arbeitslos. <g>

dann bin ich motiviert weitere Injektionen auszuprobieren, um den Filter auf Herz und Nieren zu prüfen.

Auch Fehlermeldungen die Auskunft über die verwendete Scriptsprache, Datenbank und/oder absolute Serverpfade ausspucken, werden von mir immer wieder gerne entgegengenommen. Während der Entwicklungs- und Testphase sind Fehlermeldungen sehr hilfreich und absolut notwendig, aber in produktiven Systemen sollten diese abgeschaltet werden. Fast jede Fehlermeldung birgt die Gefahr eines Streusand-Effektes, denn ein Angreifer bekommt Informationen, die ihn gerade erst richtig anstacheln weiter zu bohren.


Ein (angeblicher) Streusand-Effekt kann aber auch nur eine geschickte Methode von viralem Marketing sein, um ein stinklangweiliges Produkt interessant erscheinen zu lassen. Von der Unattraktivität des Produktes ist der Hersteller selber überzeugt, weshalb er diese Methode der Reklame gewählt hat.


Die Wikipedia kennt den Streisand-Effekt (de.wikipedia.org), welcher im Grunde das gleiche Phänomen beschreibt.

Das Trigami seit Samstag ein kleines technisches Problem hat, bzw. Google etwas missgestimmt ist,

ist wohl fast allen Bloggern aufgefallen, die Reviews schreiben.

Safe Browsing Diagnoseseite für trigami.com (google.com) (Screenshot)


Die Empfehlung von Trigami von heute 12:04 Uhr:

Zur Zeit empfehlen wir unseren Bloggern, die Trigami Berichte weiterhin online zu halten. Sollte wieder erwartet unsere Seite nicht in wenigen Stunden online sein, werden wir weitere Anweisungen aussprechen.

Quelle: GOOGLE BLOCKT MOMWORX! MIT BESTEN DANK AN TRIGAMI! (momworx.de)

Da die trigami.com bei Google zur Zeit noch immer als Malwareschleuder eingestuft ist,

Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!

glaube ich, dass dies ein schlechter Rat von Trigami ist.

Wenn man davon ausgeht dass die Malware mittlerweile entfernt wurde, so kann man zwar die Hinweise von Google zu trigami.com ignorieren, aber so lange Googles Safe Browsing das nicht gefressen hat, könnten Blogs die die Reviews inkl. dem Ref-Link von Trigami anbieten, ebenfalls im Safe Browsing landen. Da niemand weiß wie lange Google für die erneute Prüfung braucht, kann die Empfehlung zur Zeit nur lauten: Reviews auf Entwurf stellen.

Im gleichen Blogeintrag antwortet Trigami auf Kritik an der Empfehlung:

Alle Blogger aus dem Trigami Netzwerk (über 12’000) zu bitten, die Beiträge offline zu stellen, wäre doch unverhältnismäßig.

Die Blogger deren Seite, aufgrund der Empfehlung, auch von Google blockiert werden sehen das evtl. etwas anders.


Irgendjemand hatte am Wochenende geschrieben dass er Trigami für seriös hält und die Malware-Meldung wohl eher ein Fehler von Google sei. Trigami hatte bereits heute Vormittag eingeräumt:

Unser AdServer hat über einige Banner Schadcode ausgelöst…

Quelle: http://twitter.com/trigami/status/20126839109
(Gemeint ist wohl “ausgeliefert”, aber egal.)

Es hat wohl niemand ernsthaft geglaubt, Trigami würde wissentlich Malware über die Seiten der Blogger verteilen wollen?! Das Problem bei AdServern ist eben die zentrale Lage. Ein AdServer beliefert hunderte oder tausende von Websites mit Bannern, Scriptcodes, etc. Solche AdServer sind für Angreifer natürlich immer sehr interessant, da sie mit nur einem geknackten Server sehr viele Server dazu missbrauchen können Malware zu verteilen. AdServer sollten besonders gut geschützt und gepflegt werden.


Was bei diesem Fall wirklich voll in die Hose gegangen ist, ist dass es knapp zwei Tage gedauert hat, bis eine Reaktion von Trigami folgte. Ok, es war Wochenende und am Sonntag war der Nationalfeiertag der Schweiz, aber trotzdem sollte es ein Notfallteam geben, welches ständig erreichbar ist. Nach eigenen Angaben hat Trigami 12.000 Blogger im Netzwerk, was auch ein gewisses Maß an Verantwortung mit sich bringt. Ich weiß nicht wie groß Trigami ist, wie viele Mitarbeiter, wie viel Umsatz/Gewinn, etc. aber zumindest eine Person sollte es doch geben, die mal, auch am Wochende, nach dem Rechten schaut.


Ich denke Trigami wird aus diesem Unfall lernen und besser werden, aber da das Netz nichts vergisst, wird dieser Fall lange Zeit an der Reputation knabbern. Bei vielen passenden oder auch unpassenden Gelegenheiten wird irgendwer das Thema wieder ausgraben und aufwärmen, vor allem wenn es wieder gegen die Kommerzialisierung von Blogs geht.