PDA

View Full Version : Unsafe Mafiosi-Clan (Recheck)



Rebound
22.03.20, 20:17
Tracker: Mafiosi-Clan (https://mafiosi-clan.sytes.net)
Source: RTT-Source (angeblich, könnte aber auch alles andere sein)

Dieser Tracker hat kürzlich schon ein Review erhalten und ist durchgefallen. Wir hatten dabei eine häufig auftauchende Lücke in einem TTT-Source Derivat gefunden, welche auch bei vielen anderen Trackern existierte (https://www.sb-innovation.de/showthread.php?34428-Sicherheitswarnung-Kritische-Sicherheitsl%FCcke-in-der-TTT-Source). Daraufhin wurde das erste Review von diesem Tracker entfernt. Dies ist also gewissermaßen schon der "Recheck".

Serversicherheit

OS: Linux, Debian 8
Webserver: nginx
SSH: OpenSSH 6.7p1 Debian 5+deb8u8
MySQL: 5.5.62-0+deb8u1


Viel geändert zum letzten Mal hat sich nicht. Der Server steht immer noch in Frankreich bei OVH und die eingesetzte Software ist auch nahezu identisch. Einzig als Webserver läuft nun Apache statt nginx. Es gibt allerdings überflüssig viele offene Ports. Teilweise laufen Dienste sogar mehrfach. Allein 4 offene Ports fallen auf den Audio-Streaming-Server Icecast. Neben Icecast findet sich noch ein weiterer Port für Teamspeak 3, ein Port für SSH (kein Standardport) sowie zwei weitere Ports mit Diensten die wir nicht weiter zuordnen konnten (einer davon nutzt zumindest SSH). Also reichlich was los auf dem Server.

Für die Firewall gilt das Gleiche wie bei den meisten anderen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert. Der Server hat bei keinem unserer Tests irgendeine Form von Widerstand gezeigt.

Als Hoster OVH in Frankreich zu nutzen ist wie immer fahrlässig und hat mit Sicherheit nicht viel zu tun.


Trackersicherheit

Die Sicherheitslücke die wir hier (https://www.sb-innovation.de/showthread.php?34428-Sicherheitswarnung-Kritische-Sicherheitsl%FCcke-in-der-TTT-Source) gefunden hatten konnten wir immerhin nicht mehr ausnutzen. Allerdings hat es nicht lange gedauert bis wir eine der anderen üblichen Lücken ausgemacht hatten.

Proofs

Datenbanken

information_schema
mafiosi
mysql
performance_schema
phpmyadmin


Auszug Benutzertabelle



id
username
ip
pin
passhash


2888
Doc©
77.20.*
5262
f118c3ac73e2c146dd82bf39*


2915
Catalana
93.133.*
4590
d5189c59d4730b84697a3d6a*


2916
Hunter
31.19.*
4590
981ea9400ef55f4b2e4d5bef*


2927
deper
178.201.*
190
d99ef28f1ed3dabd1a76ef9c*


2913
domi
-
2666
0e714277b211fd76395aba84*


2917
Stalker2710
-
1234
f8404e5d8da349844ffad42c*


2918
Delpiero
-
190
55e420c3c30c94bd23707cb6*


2919
Viennacargo28
178.18.*
1156
6a2fa29c12027ee1fbb6192d*


2936
reisender
89.244.*
0
8f2382b2677c824597d7c5c7*


2923
lambarder
-
112
2dd8a1afc2fbd3dd33db2c46*




Fazit

Es handelt sich hier mal wieder um eine hingeklatschte deutsche Standard-Source mit den üblichen Sicherheitsproblemen. Das Ergebnis überrascht daher wenig.


https://www.sb-innovation.de/attachment.php?attachmentid=15436

Bluesteel
23.03.20, 11:37
Um es nochmal festzuhalten ist dies keine TTT source, da ein source wechsel stattgefunden hatte. Desweiteren möchte ich anmerken das ich es höchst bedenklich finde das, sensible Daten aus der db gepostet werden gerade das User table mit passhash und pin. Ich bitte daher um eine unkenntlich machung. Da dieser Auszug den Usern massiv schaden kann, dies sollte klar sein.

Rebound
23.03.20, 16:36
Um es nochmal festzuhalten ist dies keine TTT source, da ein source wechsel stattgefunden hatte.
Steht ja auch dabei dass es möglicherweise keine TTT-Source ist. Wieso klärst du das nicht auf und nennst dann die richtige Source?



Desweiteren möchte ich anmerken das ich es höchst bedenklich finde das, sensible Daten aus der db gepostet werden gerade das User table mit passhash und pin. Ich bitte daher um eine unkenntlich machung. Da dieser Auszug den Usern massiv schaden kann, dies sollte klar sein.

Mit den Daten kann niemand etwas anfangen. Daher ist es nicht sensibel. Wie das irgendjemandem schaden kann ist mir auch rätselhaft. Wenn wir gar keine Daten posten hat es ja keinen Effekt. Die wirklich sensiblen Daten wie E-Mail oder IP-Adresse wurden gar nicht veröffentlicht oder zensiert. Also unterstelle uns bitte keine Unwahrheiten.

Bluesteel
23.03.20, 17:00
Also Punkt 1 ist dies eine zusammengeschusterte source aus nv Teilen die sich angeblich RTT nennt was auch immer der Name bedeuten soll.
Zum zweiten kann mann mit Benutzer Namen id plus passhash sehr wohl schaden anrichten genaueres werde ich hier nicht zu Methoden des manipulieren von Daten schreiben, solltest du eventuell besser wissen als cheater.
Von daher bitte ich dich nochmals um unkenntlich machen.
Und im übrigen sind alle Daten einer fremden DB sensibel gerade wenn es aus dem User table kommt.

Rebound
23.03.20, 17:08
Also Punkt 1 ist dies eine zusammengeschusterte source aus nv Teilen die sich angeblich RTT nennt was auch immer der Name bedeuten soll.

Danke. Habe es mal ergänzt.



Zum zweiten kann mann mit Benutzer Namen id plus passhash sehr wohl schaden anrichten genaueres werde ich hier nicht zu Methoden des manipulieren von Daten schreiben, solltest du eventuell besser wissen als cheater.

Die letzten 8 Stellen der Passhashes habe ich zensiert. Mehr ist nicht drin. Und Passhash ist nicht der Passkey. Hat also mit cheaten nichts zu tun.



Und im übrigen sind alle Daten einer fremden DB sensibel gerade wenn es aus dem User table kommt.

Nicht wirklich.

Bluesteel
23.03.20, 17:23
Und selbst ohne die letzten 8 stellen des hashes kann man es da reichen schon nutzername +id und in Zusammenhang mit den hashe mach ich da genug draus. Aber wie dem auch sei username +pin und ID ist sensibel genug.

Zur untermauern der Tests muss es auch nicht unbedingt ein Auszug der db sein..
Schade das mein bitten dahingehend auf Taube Ohren stößt

Instab
23.03.20, 20:33
Schade das mein bitten dahingehend auf Taube Ohren stößt

wie wir an den beiträgen hier immer wieder sehen, ist vielen leuten der ernst der lage nicht klar. das zeigt sich z.b. auch an den vielen "echten" emails, mit denen sich die leute auf den trackern anmelden. darum müssen wir die dinge ungeschminkt darstellen. wir machen diese tests schließlich im interesse der benutzer.

Bluesteel
23.03.20, 21:07
wie wir an den beiträgen hier immer wieder sehen, ist vielen leuten der ernst der lage nicht klar. das zeigt sich z.b. auch an den vielen "echten" emails, mit denen sich die leute auf den trackern anmelden. darum müssen wir die dinge ungeschminkt darstellen. wir machen diese tests schließlich im interesse der benutzer.

Wer im Interesse der Benutzer handelt würde dies wohl nicht tun! Es gibt wohl andere Möglichkeiten die Tests glaubhaft aufzuzeigen oder würdest du es gern sehen wenn deine Daten(egal welche) öffentlich gemacht werden? Ihr sagt immer ihr wollt user schützen, dabei setzt ihr sie einem immensen Risiko aus, daher nochmals mein bitten!

Rebound
23.03.20, 21:38
Die Betreiber unsicherer Tracker setzen ihre User einem Risiko aus. Nicht wir. Wer von Sicherheit keine Ahnung hat kann sich jederzeit freiwillig für Tests melden. Wer das nicht tut muss mit sowas dann eben leben.

Vielleicht sollte man auch mal überlegen wo diese ganzen mit Lücken verseuchten Sourcen eigentlich herkommen. Ein nicht unerheblicher Anteil stammt aus dem Forum in dem du Moderator bist. Also mal lieber an die eigene Nase fassen.

Bluesteel
24.03.20, 15:41
Die Betreiber unsicherer Tracker setzen ihre User einem Risiko aus. Nicht wir. Wer von Sicherheit keine Ahnung hat kann sich jederzeit freiwillig für Tests melden. Wer das nicht tut muss mit sowas dann eben leben.

Vielleicht sollte man auch mal überlegen wo diese ganzen mit Lücken verseuchten Sourcen eigentlich herkommen. Ein nicht unerheblicher Anteil stammt aus dem Forum in dem du Moderator bist. Also mal lieber an die eigene Nase fassen.

Zum ersten Absatz gebe ich dir gern Teilweise recht, sicher setzen diese Betreiber den User einem erheblichen Risiko aus. Nur du tust dies zusätzlich auch mit dem Posten von DB Inhalten (User Tabelle).

Dein zweiter Absatz hingegen hat erstens mit der Kritik meinerseits nichts zu tun und desweiteren solltest Du wissen das die meisten Bugs und Lücken wenn erkannt immer wieder, fixe dafür bereitgestellt wurden und auch weiterhin werden. Zudem ist noch anzumerken das es weder konstruktiv noch angemessen ist die Schuld an einem speziellen forum oder Entwickler zu suchen.

Instab
25.03.20, 04:36
Zudem ist noch anzumerken das es weder konstruktiv noch angemessen ist die Schuld an einem speziellen forum oder Entwickler zu suchen.

wenn eine software sicherheitsprobleme hat ist das selbstverständlich die schuld der macher. von wem sonst? :P
und vertriebspartner, die diese verbreiten, obwohl sie um die probleme wissen, trifft logischerweise eine mitschuld.

wie gesagt, der kalte-dusche-effekt ist leider nötig und mit einer zensierten kostprobe aus der datenbank ein akzeptabler kompromiß.

Rebound
31.03.20, 23:17
Ich weiß nicht genau ob hier einige Leute zu dumm zum Lesen und Verstehen sind oder wir zu kompliziertes Deutsch schreiben. Daher hier noch mal für alle zum Mitmeißeln in möglichst einfachen Hauptsätzen.


Es gibt hier keine Zensur. Off-Topic, Spam oder andere Regelverstöße werden allerdings konsequent gelöscht.
Die Security-Reviews sind für die Benutzer und nicht für die Betreiber. Wir erwarten von einem Betreiber, dass er einfache Sicherheitsstandards einhalten und seinen Benutzern eine grundlegende IT-Sicherheit bieten kann. Unsere Testmethoden müssen wir deshalb nicht offenlegen. Außerdem könnten diese Informationen von Dritten für weitere Angriffe auf Tracker missbraucht werden.
Konstruktive Kritik ist jederzeit willkommen und gerne gesehen. Wir haben dafür ein Forum (https://www.sb-innovation.de/forumdisplay.php?7-Feedback) wo jeder gerne ein Thema erstellen kann. Ausdrücklich unerwünscht sind: Rumjammern, Beleidigen, haltlose Anschuldigungen/Behauptungen/Unterstellungen, Drohungen und alles weitere sinnfreie Geflame.


Der Tracker scheint inzwischen runtergefahren worden zu sein. Daher,

:bbclosed: