Im Mai 2008 haben die Webmaster von The Register eine unerwartete Spitze im Traffic ihrer Seite beobachtet. Plötzlich habe man wesentlich mehr Leser als jemals zuvor gehabt. Auf einigen Seiten habe sich die Anzahl der Besuche ungefähr verdoppelt. Man hat herausgefunden, dass die neue Malware-Scanning-Technologie von AVG Schuld daran ist. AVG hat vor etwa sechs Monaten Exploit Prevention Labs und deren Software Linkscanner erworben. Das Tool prüft die Ergebnisse von Suchmaschinen bevor ein Anwender auf diese klickt. Ende April hat AVG Linkscanner in die hauseigene Anti-Virus-Engine implementiert. Angeblich nutzen 70 Millionen Anwender AVG als bevorzugtes Werkzeug, um ihre PCs zu schützen. Bis zum jetzigen Zeitpunkt sollen bereits 20 Millionen Anwender mit dem Upgrade ausgestattet sein.
Adam Beale, ein Internet-Berater aus Großbrittanien, meint, dass einige Seite plötzlich 80 Prozent mehr Traffic verbuchen. AVG Linkscanner mag gut für die Sicherheit der Anwender sein, allerdings bereite es dem einen oder anderen Webmaster arge Kopfschmerzen. Das Tool koste auf Grund wachsender Logdateien Festplattenspeicher und belaste unnötig die Bandbreiten. Einige Webseitenbetreiber würden für Bandbreite bezahlen. Außerdem gaukle diese Methode den Menschen vor, dass die Besuche auf ihren Seiten steigen. Einer von Beagles Kunden hätte normalerweise 140 GByte Traffic pro Monat. Seit Linkscanner sei diese Zahl um fünf Prozent angestiegen.
Man habe Roger Thompson von AVG auf das Problem angesprochen und er wusste nichts davon. Allerdings verteidigte er Linkscanner, den er als CTO von Exploit Prevention Labs mit entworfen hat. Es würde so viel Hacking im Netz passieren. Der einzige Weg eine nicht schadhafte Seite von einer gefährlichen zu unterscheiden sei ein Blick darauf zu werfen. Er wolle den Spies zu diesem Problem nicht umdrehen, allerdings müsse man eben ein paar Eier zerbrechen, wenn man ein Omelett machen will.
Webmaster müssen mit Robot-Traffic und anderen versteckten Besuchen immer umgehen. Allerdings sei die Sachlage hier etwas anders. Um selbst die hinterhältigsten Malware-Exploits zu erkennen, versuche Linkscanner reale Anwenderklicks so gut als möglich zu imitieren. Die meisten Webmaster wüssten gar nicht, wie ihnen geschieht. Im Moment gäbe es einen einzigen Weg, Linkscanner-Traffic auszufiltern. Aber es sei ungewiss, ob man damit auch echten Traffic aussiebe. Thompson sagte, dass im Namen der Sicherheit AVG versuchen will, Linkscanner-Traffic unfilterbar zu machen. Doch dies könnte die Webanalysen wie man sie heute kennt komplett über den Haufen werfen.
AVG 8 scannt Suchresultate von Google, Yahoo! und Microsofts Live Search und maskiere dabei die IP-Adresse des Anwenders nicht. Um selbst die trickreichsten Exploits zu erkennen, müsse man wie ein menschlicher Internet-Surfer aussehen sagte Thompson. Die meisten Exploit-Toolkits würden die IP-Adresse von Anwendern speichern und niemals einen Exploit zweimal an eine IP-Adresse servieren. In einer Diskussion auf Webmaster World haben Webseiten-Gurus einen User-Agent hervorgehoben, der dem Anti-Malware-Werkzeug einen Strich durch die Rechnung machen könnte - "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;1813)". Durch das Filtern dieses Agents erhoffen sie sich, dass wieder Normalität in die Logdateien einkehrt. Zumindest könne man eine Dummy-Datei ausliefern, was sehr viel Bandbreite einsparen würde.
Laut The Register könnte die Sache noch viel schlimmer kommen. 50 Millionen Anwender warten noch auf ein Update von AVG. Wenn der Hersteller von Sicherheits-Software keinen Workaraound einbaue oder seinen User-Agent intelligenter werden lasse, dann sehe Geister-Traffic genau wie echter aus. Dies könnte das Web und dessen Analysen in Schwierigkeiten bringen. (jdo)