PDA

View Full Version : Unsafe Torrentheaven



Rebound
20.12.15, 18:50
Tracker: Torrentheaven
Source: selfcoded

In letzter Zeit war es etwas ruhiger um die Security-Reviews, da ich leider kaum Zeit hatte. Da ich immer ziemlich gründlich bin, ist so ein Check doch relativ zeitaufwendig. Trotzdem habe ich es geschafft den TH mal etwas genauer unter die Lupe zu nehmen und musste dabei leider einige grob fahrlässige Lücken feststellen. Früher als der TH tatsächlich noch mit den Großen mithalten konnte, war er sogar mal mein Lieblingstracker. Wieso man mittlerweile allerdings die Finger von diesem Tracker lassen sollte, werde ich im Folgenden genau erläutern.

Serversicherheit

OS: Linux, Debian 7
DB: MySQL 5.0.12
PHP: 5.4.45
Webserver: Apache
SSH: OpenSSH_6.0p1

Die Serverwartung ist leider nur Durchschnitt. Besonders die MySQL Version ist etwas in die Jahre gekommen (von 2005!) und sollte mal einem Update unterzogen werden. Offene Ports von nicht benötigten Drittanwendungen waren nicht zu finden, was schon mal gut ist. Grundsätzlich ist der Server zwar vernünftig aufgesetzt, aber eher schlecht gewartet. Trotz teilweise veralteter Software ist der Server meiner Meinung nach aber (zumindest momentan) nicht als Sicherheitsrisiko einzustufen. Da habe ich schon weitaus schlimmeres gesehen.

Trackersicherheit

Wie in den meisten anderen Fällen auch liegt das Sicherheitsproblem im Tracker selber. Der TH-Tracker ist seit über zehn Jahren nahezu unverändert. Umso mehr wundert es mich das er noch nie gehackt wurde, denn die Lücken dürften schon damals existiert haben. Aber keine Sorge, das holen wir jetzt nach. :P
Wie immer exemplarisch ein paar Interna aus der Datenbank als Proof, dass ich tatsächlich drin bin:

Vorhandene Datenbanken

information_schema
performance_schema
ircchat
mysql
phpmyadmin
torrentheaven
turboboard


Ich weiß nicht, ob sich der Coder vom TH damals, was gedacht hat, aber die Tabellenstruktur vom TH ist total merkwürdig. Userdaten sind z. B. in mehrere Tabellen aufgeteilt was meiner Meinung nach überhaupt keinen Sinn macht, da man so unnötige JOINS benötigt. Alle Tabellen vom Tracker beginnen mit dem Prefix „af_“, was sicherheitstechnisch ein guter Ansatz ist, aber natürlich nichts bringt, wenn im Tracker gravierende Lücken zu finden sind.
Es war beim TH zwar nicht einfach in die Datenbank zu kommen, aber es ist mir dennoch gelungen. Was man damit so alles anstellen kann, brauche ich glaube ich nicht zu erzählen, hat man ja in meinen vergangenen Security-Reviews gut gesehen. :D
Eine weiterer Sicherheitsverstoß, der mir aufgefallen ist, ist das Login. Es gibt weder Captcha noch eine IP-Sperre wenn man das Passwort falsch eingibt. Da die Mitgliederliste auf dem TH für alle User einsehbar ist, kann man sich also relativ einfach alle Accountnamen besorgen und dann auf das Login einfach eine Bruteforce Attacke mit den Accounts starten. Dafür muss man weder hacken können noch besonders talentiert sein. Das kann ein Zwölfjähriger mit dem richtigen Script. Es ist sehr bedauerlich, dass der TH im Endeffekt doch so schlecht abschneidet bei meinem Review. Trotz seines langen Bestehens steht er auf dem gleichen Level wie viele No-Name Tracker, die ich ziemlich einfach hacken konnte. Die Mischung aus durchschnittlicher Serverwartung und veraltetem Frontend (Tracker) werden dem TH zum Verhängnis. Was ihr daraus macht muss natürlich jeder für sich selber entscheiden. Trotzdem bekommt der TH von mir ein dickes „Unsafe“.


http://www.sb-innovation.de/attachment.php?attachmentid=15436

DarkGeneral
20.12.15, 23:44
Nochmals Danke für deine zeit und mühe das review zu machen
Schade nur das es für einen Safe nicht gereicht hatt :/

corregidor
21.12.15, 11:08
Oh ha - Danke für dieses Review. Dann muss man ja gar nicht traurig sein - da nie Mitglied von gewesen zu sein ;-)

Jodito
21.12.15, 15:03
Das ist jetzt keine wirkliche Überraschung.
Mit dem TH geht es seit Jahren mal mehr und mal weniger schnell Berg ab.

Ein Team aus Traumtänzern die schon seit Jahren nichts Neues geschweige denn irgendwas Innovatives auf die Beine gestellt haben.

An der Source haben schon mehr Leute rum gefummelt wie an einer Bordsteinschwalbe die seit 20 Jahren im Geschäft ist.Und da waren auch Einige dabei die vom coden soviel Ahnung hatten wie ich keine Ahnung von Kernspaltung habe.

Das Lustige ist noch das die User gerade einen Thread auf dem TB eröffnet haben in dem sie alle das Team lobpreisen wie toll sie doch sind.
Naja,wenn man nichts Anderes kennt muss man das wohl glauben.

TH gehörte mal,zumindest aus meiner Sicht,zu den Top Trackern in Deutschland.Aber das ist lange her.Leider!

*Nachtrag*
Bevor ich es vergesse:
http://www.sb-innovation.de/f271/tsc-32489/
TH und TSC sind ein und derselbe Coder.
Ob man mir das glaubt muss jeder für dich selbst entscheiden.

Frohe Weihnachten und guten Rutsch!!

Daden
21.12.15, 18:58
da können wir mal sehen man denk das die grossen sicher sind und dann sowas.

danke nochmal an rebound für seine arbeit.

Darkman1965
21.12.15, 19:07
*Nachtrag*
Bevor ich es vergesse:

TH und TSC sind ein und derselbe Coder.
Ob man mir das glaubt muss jeder für dich selbst entscheiden.


da hast du vollkommen Recht !!

Ich hoffe das man sich miteinander in Verbindung setzt und darüber spricht was man tun kann um diese Schwachstellen zu beseitigen.

MfG

DarkGeneral
21.12.15, 19:14
Das werden sie auch dun ;)

dasH
22.12.15, 22:16
Wenn ich das als Laie lese, erhalte ich den Eindruck mit "Zweitaufwändigen" Reviews wäre Bruteforce gemeint, bis man den Acc mit ausreichend Berechtigungen für die DB eben gefunden hat.

Rebound
22.12.15, 23:07
Bruteforce ist ja nicht zeitaufwendig, weil man das automatisiert laufen lassen kann.

Flux
23.12.15, 13:01
nichts gegen diese art *Security Reviews*
scheinen auch ok zu sein , aber die veröffentlichkeit hat seine vor und nachteile, klar man weiss welcher alt safe und welcher nicht safe ist.

aber ist das nicht angebrachter wenn man schon ein Security Reviews macht das man hintenrum den staff kontaktiert bevor man irgendwas posten ?

will da hinnaus , es brauchen nur andere voll deppen das lesen und schon geht das gemätzel los und es wird überall Ddd0s ??

muss das sein, denke ich nicht, helfen und veröffentlichen sind zwei paar schuhe

aber das wird in der großen schwanz verlängerungs www nie ändern, traurig sowas

p.s.

hut ab die es können die es aber auch nicht ausnutzen, klar bietet man seine hilfe an die lücken etc zu schliessen , und wird die vernachlässigt oder nur so dahin gestellt

dann keine frage dass das veröffentlicht wird

in dem sinne hf

Rebound
23.12.15, 18:30
In den meisten Fällen ist es nicht sehr zielführend den Staff zu kontaktieren (habe es natürlich schon mal versucht). Die meisten Coder reagieren sehr pikiert auf Sicherheitslücken und sind daher wenig kooperativ. Da ich hier die Lücken selber nicht veröffentliche, sondern lediglich exemplarisch einige Daten poste, entsteht daraus auch kein großer Schaden. DDoS hat mit meinen Reviews überhaupt nichts zu tun, das sind zwei paar Schuhe. Wenn ich dazu bedenke was für Beleidigungen ich mir in der Vergangenheit schon alles anhören musste, sollte verständlich sein, wieso es nicht meine Aufgabe ist das Gespräch zu suchen. Wie bereits in dem Info-Thread (http://www.sb-innovation.de/f271/information-security-reviews-von-trackern-32276/) steht, geht es in erster Linie darum die Coder für Sicherheitslücken zu sensibilisieren. Das sind einfachste Sicherheitsstandards die jeder der sich "Coder" oder "Sys0p" nennt drauf haben sollte. Ansonsten sollte der Tracker lieber geschlossen werden. Dass das alles nur ein Hobby ist, lasse ich auch nicht gelten. Der Endbenutzer hat ein Recht darauf zu erfahren auf welchem Tracker der Umgang mit seinen sensiblen Daten (IP, ISP etc.) mit Füßen getreten wird und für jeden mit Know-How jederzeit einsehbar ist.

Nach den bisherigen Reviews müssten eigentlich 70% der Tracker schließen, weil sie den erforderlichen Standards nicht gerecht werden und die "Coder" sind meistens nicht mal in der Lage die Fehlerquelle zu erkennen.

MonsterLag
23.12.15, 22:45
Danke für den Review. Ich hätte auch vermutet, dass TH besser abschneidet. Gut zu wissen.

Freak69
25.12.15, 22:31
Hätte mit was schlimmeren gerechnet, auch wenn das schon echt arg beschäment ist, für einen ehemals großen Namen. Schlimmer finde ich aber ehrlich gesagt, dass das mit der Coder von TSC sein soll oder gar ist!

Wobei es auch "Coder" gibt, die keinen Zugriff auf den Server bekommen, weil der Server auf den "Sys0p" läuft und somit gar keine Lücken stopfen kann. Tracker wo das war benenne ich jetzt mal nicht, aufjedenfall gibts Ihn seit über einem Jahr nicht mehr.


Pikiert darauf zu reagieren ist irgendwo verständlich, indem moment wo ein anderer sagt "Hey Jung, Du hast da und da fehler im Code übersehen!", kratzt erstmal am Ego, trotzdem sollte jeder damit klar kommen, das man mehr kann als andere und gleichzeitig aber auch weniger. Es wird immer einen geben im Leben, der mehr kann als man selbst. Sei es weil er mehr lernen wollte, schneller lernt als man selbst (unterschiedliche Geschwindigkeiten sind normal) oder sei es einfach mehr Interesse und somit tiefere beschäftigung mit der Materie.

Frage mich aber auch immer, wie wenig Chourage man haben muss, um dann dem Team - trotz solch offener Beiträge wie hier - in den Allerwertesten gekrochen wird. Teilweise so heftig, dass das schon danach aussieht, als wäre das Ihre Droge um Ihre Sucht unter kontrolle zu halten, weil es ja keinen anderen "Tracker" für Ihre Sucht gibt?


@Flux es gibt gute und schlechte, die guten helfen beim Lücken finden und fixen - so wie es Rebound versucht. Böse würden die Lücken einfach veröffentlichen und ggf. noch veröffentlichen, wie die Lücke ausgenutzt wurde.

dasH
27.12.15, 20:06
Was ist dann so sehr zeitaufwändig?

Rebound
13.02.16, 18:36
Mindestens eine Lücke besteht übrigens weiterhin.

dermo
16.02.16, 17:14
mir wurde von jojo und vodooman gesagt,dass es garnicht stimmt was du sagst.angeblich wäre alles io

Rebound
16.02.16, 20:06
mir wurde von jojo und vodooman gesagt,dass es garnicht stimmt was du sagst.angeblich wäre alles io

Nach meinen Informationen wurde zwar etwas geändert, aber inwieweit jetzt alles abgesichert ist lässt sich von außen natürlich nur schwer feststellen. Ich weiß nur, dass ich gerade wieder mein Profil gecrasht habe beim Testen und das lässt darauf schließen, dass immer noch nicht alles abgesichert ist. :P Aber bevor die Sache hier jetzt so eskaliert wie im TN Thread kann ich sagen, dass Anstrengungen unternommen wurden die Lücken zu beseitigen und den Tracker nachhaltig abzusichern. Sicherer als vorher ist er allemal und für die handvoll User dürfte das vollkommen ausreichen.
An dieser Stelle kann ich auch mal ein Lob aussprechen. TH war sofort darum bemüht den Tracker abzusichern und hat sich mit mir in Verbindung gesetzt wie es sein sollte.