PDA

View Full Version : Safe eXtreme Hot



Rebound
14.03.19, 21:23
Tracker: eXtreme Hot (http://extreme-hot.ath.cx/)
Source: NV-Source Derivat

Im Rahmen unserer TOG-Reviews haben wir eXtreme Hot etwas eingehender untersucht.


Serversicherheit

OS: Linux, Ubuntu
Webserver: Apache 2.4.7
SMTP: Postfix
SSH: OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.12

SSH auf dem Standardport und ein offener Mailserver lassen nichts Gutes hoffen. Die Apache Version ist von 2013 und sollte dringend mal aktualisiert werden.

Als Serverstandort wurde NL und als Hoster Leaseweb gewählt. Ideal ist das sicherlich auch nicht da innerhalb der EU und direktes Nachbarland von Deutschland, jedoch hat sich NL in der Vergangenheit in Sachen Filesharing schon häufig als liberal gezeigt. Für ein Tracker dieser Größe sollte der Standort deshalb ausreichen. Besser wäre natürlich trotzdem eine größere Entfernung - am besten außerhalb des Gültigkeitbereichs der EU.


Trackersicherheit

Als zusätzlicher Schutz wird CTracker benutzt. Dies scheint zu funktionieren. Wir konnten zwar potentielle Sicherheitslücken finden, diese jedoch aufgrund der zusätzlichen Überprüfungen nicht ausnutzen. Also Glück im Unglück für den Trackerbetreiber kann man sagen.


Fazit

Server und Source überzeugen beide nicht besonders, da wir aber nicht einbrechen konnten, müssen wir mit einem Zähneknirschen ein Safe vergeben. Wir empfehlen den Betreibern trotzdem den Server in Ordnung zu bringen und die Source auf mögliche Lücken zu untersuchen. Sobald CTracker nicht mehr läuft, kann man den Tracker höchstwahrscheinlich ohne größere Anstrengungen hacken.


https://www.sb-innovation.de/attachment.php?attachmentid=15433

eXtremeHoT
15.03.19, 08:35
Hallo werter Autor

Deine "Einschätzung" besitzt so im Grunde keine Berwertungs-Grundlage. Was hier aufgeführt wird, ist genau das, was ich nach ausen geben will. Soviel zu den versionen und Daten.

Um etwas wirklich Bewerten zu können, muss man die Herangehensweise kennen.
Übersetzt: Test-Szenario => erwartetes Resultat => Tatsächliches Resultat

Mich würde sehr dieses Test-Protokoll interessieren. Woher kommen die Erkenntnisse - was wurde wie getestet? Wenn es das ist, was ich in den Logs gefunden/gesehen habe -- ist es gelinde gesagt stümperhaft. Nichts desto trotz möchte ich gern das komplette Test-Protokoll einsehen, um diese Angaben hier korrekt bewerten zu können. Es gibt nirgends im Netz eine wirklich sichere Seite. Einzig der Aufwand einzubrechen und Schaden anzurichten ist limitiert.

zu den Punkten:
SSH (22): akzeptiert nur meinen persönlichen Key (liegt dieser vor?)
SMTP: kann nur senden und das auch nur an ein einziges Ziel
Serverstandort: schlicht und ergreifend falsch! (wir hosten in Skandinavien)
Apache: ja -- 2013 aber seit seeehr langer Zeit gehärtet

Dies als Review auf diesen Thread. Ich bitte nun um konstruktive Reaktion und über eine PM kann ich gern eine eMail für den Testbericht bereitstellen. Erst danach kann ich dieses hier korrekt bewerten.

in diesem Sinne
Cerberus
(the Hell himself)

Rebound
15.03.19, 09:32
Klar, ein richtiges Review dauert Tage oder Wochen. Das sind hier nur rudimentäre Checks die sich auf Dinge konzentrieren, die absolut selbstverständlich sein sollten. Das erste was man bei einem neuen Server nun mal tut, ist den SSH-Port ändern. Unsere Tests bestehen aus mehreren Stufen. Dazu gehören automatisierte und manuelle Tests. Diese werden wir hier nicht offenlegen.

Wie auch schon an anderer Stelle beschrieben, bieten unsere Tests keinerlei Aussagekraft. Eben auch weil sie nur mit beschränkten Mitteln stattfinden. Aber sie können als Anhaltepunkt dienen und mehr wollen wir hier auch gar nicht liefern.

Wir konnten nun mal einige Stellen auf dem Tracker finden die Anomalien aufweisen, was auf potentielle SQL-Injections hindeutet. Da hat euch unserer Auffassung nur der CTracker gerettet, der sowas abfängt.

In der Zeit wo du diesen Beitrag geschrieben hast, hättest du die Mängel auf dem Server schon längst abstellen können. Wir sind hier auch nicht dazu da um zu erklären wie man einen Server richtig konfiguriert und welche Anfängerfehler man vermeiden sollte. Wenn du der Meinung bist alles ist sicher und wir schreiben hier nur Blödsinn, ignorier dieses Review doch einfach. :P


SMTP: kann nur senden und das auch nur an ein einziges Ziel

Du gibst es also sogar zu, dass dafür kein offener Port benötigt wird. Wieso ist er dann überhaupt offen?

eXtremeHoT
15.03.19, 10:36
Dazu gehören automatisierte und manuelle Tests. Diese werden wir hier nicht offenlegen.
Von offenlegen spricht niemand - ich will einen Closed-Einblick in den Bericht haben. Dies habe ich auch deutlich gemacht.


Wir konnten nun mal einige Stellen auf dem Tracker finden die Anomalien aufweisen, was auf potentielle SQL-Injections hindeutet.
Das häte ich gern belegt (bitte per PM / eMail)


Da hat euch unserer Auffassung nur der CTracker gerettet, der sowas abfängt.
öhm -- das Bild ist zwar noch drin -- aber der Code längt inaktiv ...


In der Zeit wo du diesen Beitrag geschrieben hast, hättest du die Mängel auf dem Server schon längst abstellen können.
Mein Zeitmanagement ist in dem Fall nicht von Bedeutung.


Wir sind hier auch nicht dazu da um zu erklären wie man einen Server richtig konfiguriert und welche Anfängerfehler man vermeiden sollte.
Wobei wir wieder an der Stelle sind, das ihr nicht darlegt, was ihr da macht.


Wenn du der Meinung bist alles ist sicher und wir schreiben hier nur Blödsinn, ignorier dieses Review doch einfach.
Wo auch immer genau Du diese Einsicht her hast - ich ignoriere das sicher nicht.

1.) Wenn ihr das korrekt machen wollen würdet, dann fragt ihr nach einem Account und meldet es dann beim Team an.
2.) Wenn ihr korrekt arbeiten wollt und eine ECHTE Hilfe sein wollt, gehen die Ergebnisse als Protokoll an das Team

Ich bin nach wie vor ein Verfechter einer konstruktiven Lösung. Ich habe geschrieben (und wiederhole es nochmal) - ohne das Protokoll kann ich die Angaben hier nicht bewerten.

mfg und auf baldige (PM-)Antwort

Rebound
15.03.19, 12:59
1.) Wenn ihr das korrekt machen wollen würdet, dann fragt ihr nach einem Account und meldet es dann beim Team an.
2.) Wenn ihr korrekt arbeiten wollt und eine ECHTE Hilfe sein wollt, gehen die Ergebnisse als Protokoll an das Team

Die Reviews hier sind für die Nutzer und nicht die Betreiber. Da hast du irgendwas falsch verstanden.

Wir bieten hier nur unwissenden Benutzern eine subjektive Einschätzung unserer Sicht auf einen Tracker und dies möglichst einfach sowie textuell aufbereitet, sodass auch für technisch weniger versierte Nutzer alles verständlich ist. Black-Box Tests sind immer schwierig, da man nun mal keinen Zugriff auf die Source hat. Auch False Positives können wir natürlich nicht ausschließen. Wir erheben auch keinen Anspruch auf Vollständigkeit - haben wir auch nie behauptet. Des Weiteren haben wir gar kein Interesse daran Kontakt zu den Betreibern aufzunehmen und dafür auch gar keine Zeit. Wäre außerdem auch ziemlich witzlos, wenn man alles vorher ankündigt.

Es ist davon abgesehen auch ziemlich anmaßend von dir uns vorschreiben zu wollen, wie ein "korrektes Review" abzulaufen hat. Wir haben unser internes Verfahren dafür, mehr muss man nicht wissen. Auch deine unverschämte Art "ich will", spricht Bände.

Zudem hat dich sowieso niemand um eine Stellungnahme hier gebeten. Wenn du das tun willst, tue es auf Basis dieses Reviews und höre auf hier rumzupöbeln.

eXtremeHoT
15.03.19, 14:19
Okay...

Fassen wir einmal zusammen:
1.) Ihr testet etwas, was ihr nicht kommuniziert
2.) Ob eure test Fehler enthalten wird/kann nicht geprüft werden
3.) Manöverkritik ist unerwünscht
4.) Closed-Einblick gibt es nicht (vermutlich, weil es kein Protokoll gibt)
5.) Falsch-Informationen werden auch nicht korrigiert und/oder angepasst

Ok - Aktuell kann ich den "Test" daher nach wie vor nicht bewerten.
Ich halte mich an die LOG-Files des Servers und bekomme da schon raus was ihr eigendlich vor hattet.

Es wurden Behauptungen in den Raum gestellt, welche weder Bewiesen, noch belegt wurden.
Ich habe um Koopieration ersucht und meine selbige Kund getan.

Aus meiner Sicht geht es hier keinesfalls um die Usersicherheit oder gar ein objektives Review.
Ich habe zu keinem einzigen Zeitpunkt "rumgepöbelt" - ich bin an einer Zielorientierten Lösung interessiert.

Anfänglich dachte ich ernsthaft, das es gewünscht ist etwas zu verbessern - aber es stellte Sich einzig als Anschuldigungs-Pranger heraus.
Unbewiesen und unkommentiert -- sehr Schade.

Ich bin nach wie vor Gesprächsbereit - obwohl ich dies hier nicht erkennen kann.

mfg

Instab
15.03.19, 22:44
Ich habe um Koopieration ersucht
naja das ist etwas geschönt. du verlangst detailierten einblick in unsere methoden, dem wir logischerweise nicht nachkommen.


Einzig der Aufwand einzubrechen und Schaden anzurichten ist limitiert
exakt das ist die grundlage eines jeden sicherheitskonzepts. nämlich es einem potentiellen angreifer so schwer wie möglich zu machen. dabei zählt jede maßnahme, auch wenn es eine kleinere ist. und genau dazu zählen methoden wie die vermeidung von standardports. je mehr hindernisse umso besser. auch wenn es kleine sind.
im falle von ssh z.b. hat man schonmal den großteil der automatisierten versuche los, durch so eine simple methode wie den port zu ändern.


SMTP: kann nur senden und das auch nur an ein einziges Ziel
also muß er von außen nicht erreichbar sein.


wie Rebound schon ausgeführt hat, diese tests hier sind ein kostenloser und freiwilliger service unsererseits. daher gibt es weder seitens der betreiber, noch der benutzer irgendwelche ansprüche, die man geltend machen könnte.

eXtremeHoT
16.03.19, 00:23
Auch wieder recht nichtssagend.
Ich mache sowas beruflich - und wenn wir Pentest durchgeführt bekommen, wissen wir erstens Bescheid und bekommen zweitens ein Protokoll. Erst dann ist der Test aussagekräftig.

Nunja -- leider ist es nun wie es ist.
Die Server-Logs habe ich gesichert und werde den Test auswerten.
Die IP habe ich auch und den zuggehörigen User-Account.
Sollte er bis Soinntag keine plausible Erklärung haben, ist der Account dicht.

Eventuell als kleinen Hinweis meinerseits -- ihr seid noch nicht mal an der ersten Schranke vorbei bekommen.
Von SQL-Injection ist da bei weitem noch nichts zu sehen gewesen -- 13.03.2019 ab 20:47

Ich erstelle dann eine Auswertung und stelle Sie im Forum öffendlich. Dies wird Meinungslos geschehen, damit sich jeder leser sein eigens Bild darüber zeichnen kann.

Trotz allem -- vielen Dank.
Schade, das es so verläuft - aber nicht verwunderlich.

Instab
16.03.19, 02:40
wo ist denn das problem?
ihr habt ein "safe" bekommen und daß man den server besser machen kann, ist unstrittig.

Snitlev
16.03.19, 03:11
@eXtremeHoT als Leser dieser Reviews und Ersteinschätzungen zu div. Alt denke ich "Getroffene Hunde bellen", denn kein anderer reagiert auf diese SB-I Bewertungen seitens "Gods-Vorstellungen". Aber ok es geht dir wohl eher um dein Ego, anstatt um die primäre Sicherheit der User.
Da du dich beruflich damit auseinandersetzt ist es ja legitim deine Kenntnisse hier kundzutun. Ich persönlich freue mich wenn sich Verantwortliche hier auf diese Reviews persönlich äussern, nur die wenigstens sind bereit im Gegensatz zu dir dieses hier öffentlich auszutragen, das finde ich gut von dir.

Wir als User wie auch ich selber habe hier viele Reviews von ALT erstellt, aber um die Sicherheit besser einschätzen zu können bin ich froh dass man zumindest hier eine Ersteinschätzung bekommen kann, was man letztendlich davon hält bleibt ja jedem selber überlassen.

Wo bekommt man sonst eine deutschsprachige Review und subjektive Einschätzung zur Sicherheit der Tracker. ich weiß keine andere als hier.

mfg

eXtremeHoT
17.03.19, 09:27
Alt denke ich "Getroffene Hunde bellen", denn kein anderer reagiert auf diese SB-I Bewertungen seitens "Gods-Vorstellungen". Aber ok es geht dir wohl eher um dein Ego, anstatt um die primäre Sicherheit der User.
Leider ist genau das NICHT meine Intension. Dies wird aber einfach nicht erkannt.

Ich habe mich mit unserem Spezi zusammengesetzt und den Test analysiert:
http://www.netvision-technik.de/forum/showthread.php?p=84641
Damit er nicht manipuliert wird, ist er nur extern zu lesen.

Aufgrund meiner Tätigkeit und der Verwenung eines Privat-Aschlusses für den Test liegen mir bereits die Anschluss-Inhaberdaten vor. Diese bleiben bei mir unter Verschluss.
Für Konstruktiv- und Zielführende Konversation, stehe ich nach wie vor zur Verfügung.

mfg

Instab
17.03.19, 22:22
Für Konstruktiv- und Zielführende Konversation, stehe ich nach wie vor zur Verfügung.
naja da gäbe es z.b. folgendes aus deinem bericht:


Dies will ich nicht im Life-System haben. Wobei mir Pen-Tests im Life-System
zum einen heißt das "Live-System" (https://de.wikipedia.org/wiki/Live-System) und zum anderen glaube ich, daß du was anderes meinst. vom kontext her meinst du wahrscheinlich "Produktivsystem" (https://www.computerwissen-online.de/?page=lexika&action=view&content=2618).


aber davon abgesehen ist mir wie gesagt nicht klar, was dein problem ist. ihr habt bestanden mit ein paar schönheitsfehlern ... und das wars. sache abgehakt.