PDA

View Full Version : Unsafe Borgzelle



Rebound
05.06.15, 20:51
Tracker: Borgzelle (https://borgzelle.borg/)
Tracker-Source: Gazelle (https://github.com/WhatCD/Gazelle)

Um den Tracker aufrufen zu können, muss man zunächst die hosts-Datei (C:\Windows\System32\drivers\etc) oder (/etc/hosts) bei Linux/Unix, bearbeiten und folgende Einträge hinzufügen:

95.211.7.20 borgboard.borg
31.192.105.2 borgzelle.borg
31.192.105.2 announce.borg
95.211.7.20 borgspeak.borg

Dies ist allerdings eher ein „Pseudo-Schutz“, da es nicht allzu schwierig sein dürfte, die entsprechenden Einträge herauszufinden. Benutzerunfreundlich ist diese Maßnahme ebenfalls, aber das will ich an dieser Stelle nicht bewerten.

Serversicherheit

Wichtigste Komponente für einen hohen Sicherheitsstandard ist zweifelsfrei der Server. Dieser ist bei Borgzelle leider sehr schlecht gepflegt und stellt für Hacker keine große Hürde dar. Die PHP-Info liegt direkt im Root-Verzeichnis des Trackers (https://borgzelle.borg/info.php) und gibt uns Aufschluss über PHP und MySQL.

PHP-Version: 5.2.6-1+lenny13 (Aktuellste: 5.6.9)

Schaut man sich die PHP-Info an, sieht man, dass „allow_url_fopen“ aktiviert ist. Diese Funktion sollte grundsätzlich deaktiviert werden, da es dadurch u. a. möglich ist, externe Dateien in vorhandene Sicherheitslücken der Webanwendung (http://en.wikipedia.org/wiki/File_inclusion_vulnerability) (in diesem Fall Gazelle) zu schleusen.

MySQL-Version: 5.0.51a (Aktuellste: 5.6.25)

Die von Borgzelle verwendete MySQL Version ist durch eine Sicherheitslücke kompromittiert (CVE-2012-2122 (http://seclists.org/oss-sec/2012/q2/493)). Da allerdings Remote Zugriff nicht erlaubt ist, hat Borg Glück und man kann diese Lücke nicht ausnutzen. Ansonsten wäre ein Hacker innerhalb von Minuten in der Datenbank.

Webserver: lighttpd/1.4.28 (Aktuellste: 1.4.35)

Trackersicherheit

Die Gazelle-Source als Tracker ist gewöhnlich nicht die schlechteste Wahl. Aber auch diese Source muss gepflegt und möglichst mit Updates versorgt werden. Dies stellt keine große Schwierigkeit dar, da Gazelle auf Github liegt und daher hohe Transparenz bietet. Leider haben es die Coder von Borg geschafft, auch den Tracker selbst zu vernachlässigen, weshalb ich mindestens eine Sicherheitslücke gefunden habe, womit man einen Zugriff auf die Datenbank erhält. Aus Sicherheitsgründen werde ich darauf nicht genauer eingehen, ich poste aber ein paar Datensätze aus der Datenbank.


ID
Class
Email
Secret
Username
Passhash


1
5
jacky4711@***.com
2olsrhv18fxi9i2oh4pa17lbagx9xia6
JackONeill
c978fcd7437ed97e0e531d4076c42076d96135ed


2
5
molke@***.prg
7m9g5wzwipaoi1s45aAypvqctqis3xy1
molke
6e6ccf57f987448050bc559465d0788acda70851


3
5
diesisteine@***.mail
k17fl55uibj5m127new6x7my9i0r05jf
IceAge
7c858c56c17eg33510cbb6a8f1f146d1a4f5fd2a


4
5
daywalker@***.ai
3vqoop3kne487f7qez0ls18k3rjy18n2
Harvey
bfaba32f31A1cd30348f97ffc14c6d7ddd58171b


5
5
aexaitaed@***.com
pj6pc0icb7v7jakqyhja37hy0u2f3psd
eXcited
1673bAa0f2ce773cdd96e12997f15e9efeb8ecc8


7
5
dreamertracker@***.com
az3890fbhad6ugteqn0xpyoojf7nz6cf
Treklie
0d3ae951fff5571310d2944a7022834fc2d54333


8
5
baeda@***.bae
g8gh52emmnupxjumtuyonga=98n8813d
Baeda
83908c67856e67590760dd3b46d80bcc4bc5c287


9
5
njx@***.de
jysa7vds0xy8mj0fmoy1b6qj2jd8bns6
Sauron
d8383d5e0e1a8d0147194dc710274c11d849560d


10
5
Smith4@***.net
aszz8ka57ikm613nrludlkysakgkkz5j
Smith
6c9a86171bc69e741899ad09d7e730bdcded86=9


11
5
beta2013@***.com
ijsboqqasd876h92vr1bgh43gqmsslwp
ViruS
b1b4b3e291b4a2d77721637600eac48162369064


Wie man sehen kann, sind ein paar Namen dabei, die auf dem Tracker als Coder geführt werden. Die Passhashes dürften eher schwierig zu knacken sein, da diese mit einem Salt (http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29) zusätzlich gesichert werden.

Fazit

Wenn man bedenkt, mit welchen sensiblen Daten ein Tracker konfrontiert wird und das hierbei wissentlich urheberrechtlich geschütztes Material geshared wird, ist es doch ziemlich amateurhaft, wie bei Borg vorgegangen wird. Durch die hosts-Datei Geschichte, die geschlossene Registrierung und die reglementierten Invites, wird Sicherheit suggeriert, die nicht vorhanden ist. Aus sicherheitstechnischem Aspekt kann ich jedem nur abraten, diesen Tracker zu benutzen. Bedenkt, dass man über die Datenbank sämtliche heruntergeladenen Files mit eurer IP-Adresse in Verbindung bringen kann. Borgzelle hat meinen Sicherheitscheck also nicht bestanden. Ich hoffe, der Bericht hat etwas Einblick gegeben. Wer einen Wunschtracker hat, zu dem ich ein Security Review erstellen soll, kann mir gerne eine PN schicken.

In diesem Sinne,


http://www.sb-innovation.de/attachment.php?attachmentid=15436

coolio256
24.06.15, 18:27
Danke für das Review. Denkst du, dass sie die Sicherheitslücken schließen würden wenn man sie darauf hinweist?

Rebound
24.06.15, 18:32
Bevor ich dieses Review öffentlich gemacht habe, hatte ich versucht dem SysOp im TS zu erklären, dass einige Sicherheitslücken vorhanden sind. Aber der hat die ganze Zeit nur was von Teamviewer gefaselt und hat nicht kapiert, dass ich gar nichts von ihm wollte. Letztendlich wollte er dann lieber "zocken", weshalb ich mich verabschiedet habe und es direkt veröffentlicht habe. Die PHPInfo ist jedenfalls nicht mehr öffentlich zugänglich. Ob man noch in die Datenbank kommt weiß ich nicht, hab's seitdem nicht mehr getestet.

olag
24.06.15, 19:54
Üble Geschichte.
Ich stelle mir vor das wenn ich einen solchen Tracker betreiben würde, eine große Verantwortung auf mir lasten würde.
Dies sehen scheinbar nich alle Sysops so, erschreckend.