In der Demoszene wetteifern Coder in Intro-Competitions darum, möglichst beeindruckende Effekte in nur 4 Kilobyte große Binärdateien zu packen. Halbleiterhersteller konkurrieren darum, wer die meisten Transistoren auf einem Die unterbringen kann. Und für das Guinness-Buch der Rekorde knubbeln sich auch schon mal über 30 Personen in und auf einen VW-Käfer.

Eine Reihe von Journalisten hingegen versucht sich im Wettkampf untereinander mit einer enorm hohen Fehlerdichte pro Kurztext zu profilieren. Den Klassiker in dieser Disziplin stellte die unvergessene Zeitschrift TOMORROW auf, die uns 1999 mit dem Abschnitt

WWW. World Wide Web. Dieser Teil der Adresse beschreibt die Organisation, die vereinfacht den Zugang ins Netz ermöglicht. Hier könnte zB auch eine Nummer stehen wie 123.456.789″

einen Höhepunkt bescherte. Oder wie Gisbert Damaschke (nach Wau Holland zitiert) damals treffend feststellte:

Es ist ein Kunststueck eigener Art, so viele Fehler in einen so kurzen Text zu packen. Mein Liebling ist die IP-Adresse mit drei statt 4 Tripeln, von denen 2 auch noch oberhalb von 255 liegen.”

In der heutigen Zeit sind diese Kleinode weitestgehend unerreicht, aber immer wieder gibt es Versuche in die Richtung, die Fehlerdichte möglichst hoch zu treiben. Bereits in der Vergangenheit ist Spiegel-Online positiv in diesem Feld aufgefallen. Heute gab es nach längerer Zeit wieder einen Höhepunkt zu vermelden.

Felix Knoke schreibt im Netzwelt-Ticker:

Wiki-Community verhindert Wurm-Attacke

In einen Wikipedia-Artikel eingefügte Links und eine ganze Spam-Lawine sollte gestern die Malware W32.Blaster verbreiten – aber die Wiki-Community schritt schnell genug ein. Nur Minuten nach der Attacke wurde der Angriff abgewehrt.

• Von einer Wurm-Attacke spricht man in der Regel, wenn ein Wurm sich selber verbreitet.
• Die Wiki-Community (gemeint ist wohl die Wikipedia-Community) hat an dem eigentlichen Spamrun nichts verhindert.
• Dass die Dateien Malware enthielten ist wahrscheinlich – allerdings wurde bei Heise Security keiner von 20 Virenscanner fündig. W32.Blaster war somit also garantiert nicht enthalten.
• Die “Minuten” bis zur Versionslöschung waren leider Stunden. Die entsprechende “manipulierte” Version des Artikels wurde zwar schnell nach Einstellung revertet – das wiederum hatte keinen Einfluss auf den “Angriff”, da in der Spam-Mail der Permalink auf die alte Version genutzt wurde.

Die Mail brüllte laut, wie Spam-Mails eben brüllen: “Wikipedia schlägt Alarm. Neue Variante des W32.Blasters im Umlauf. Wurm-Fix zum Download”. Ein Link zur Wikipedia sollte Vertrauen schaffen: Wer sich gegen die neue Blaster-Variante schützen wolle, müsse nur auf den Blaster-Artikel in der Wikipedia surfen, dort gäbe es die nötigen Updates.

• Von “brüllen” schreibt man im Mailkontext dann, wenn Großbuchstaben verwendet werden – aber ich will nicht zu kleinlich sein.
• Der letzte Satz ist irreführend (war aber auch in der Original-Mail unklar gehalten). In der entsprechenden Artikelversion fand sich ein externer Link auf die angeblichen Updates.

Und tatsächlich: Wer dem Link zur Wikipedia folgte, konnte dort Links zu den Patches finden – samt Hinweis von Microsoft, dass man zu so einem außergewöhnlichen Mittel greifen müsse, da die Microsoft-Downloadserver ausgefallen seien. Natürlich versteckte sich hinter den Downloads nichts anderes als der W32-Blaster, vor dem sich hereingelegte Surfer eigentlich schützen wollten.

• Siehe oben. Wenn in den Dateien eine Malware enthalten war (wahrscheinlich), so definitiv nicht W32.Blaster.

Doch unter den Empfängern der Blaster-Spammail muss auch ein Wikipedia-Autor gewesen sein. Der bemerkte schnell, dass eine einfache Änderung des Artikels nicht viel bringen wird. Der Wurm-Autor hatte auf eine History-Version des Artikel verlinkt, diese Versionen lassen sich nicht ändern. Nur wenige Minuten, nachdem die Spam-Lawine losging, sperrte die Wikipedia deshalb den kompletten Artikel.

• Die logische Schlussfolgerung, warum unter den Empfängern des Spams ein Wikipedia-Autor gewesen sein muss, bleibt mir verborgen. Fakt ist, dass wir unter anderem durch Hinweise von Dritten, aber auch durch eine große Anzahl an Bounces auf den Spamrun aufmerksam wurden.
• Die Aussage, dass der Artikel nach wenigen Minuten gesperrt wurde ist falsch und unsinnig: Eine Sperre bringt hier natürlich nichts. Der wichtige Punkt ist die Löschung der entsprechenden Artikelversion. Dies geschah leider nicht nach Minuten, sondern erst nach Stunden. Nachdem dann die verunstaltete Seite erneut eingestellt wurde, wurde diese wieder gelöscht und der Artikel gesperrt.

Alles in allem ist das für einen relativ kurzen Text eine ansehnliche Fehlerdichte. Aber ich werde die Augen nach weiteren Anwärtern offen halten. Bis dahin ersteinmal herzlichen Glückwunsch, Spiegel-Online!