Page 3 of 3 FirstFirst 123
Results 31 to 32 of 32

Thread: TSC

  1. #1
    Moderator Robot Territories Champion, Fish Shooter Champion, Bat & Mouse 2 Champion, Bloody Rage Champion, Hot Pepper vs The Water 3 Champion, Snowboard in switzerland Champion, New Years Night Champion, Anchovy Assault Free Play Champion, Kid Launcher Champion, Tropical Dragon Slaughter Champion
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,545
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3545

    TSC

    Tracker: TSC
    Source: schwer zu sagen, ich würde auf eine veränderte NV-Source tippen

    Vom Unterhaltungswert kann ich versprechen, dass dieses Security-Review das bislang Amüsanteste werden wird. Für gewöhnlich halte ich mich ja ziemlich dezent zurück, aber diese Aktion, die sich da TSC geleistet hat, werde ich gnadenlos ausschlachten. Aber fangen wir erst mal wie mit jedem Security-Review an. Großer Dank geht wie immer an Instab, der mich auch hier tatkräftig unterstützt hat. Los geht’s!

    Serversicherheit

    OS: Linux, Debian 8
    DB: MySQL, 5.5.44-0+deb8u1
    SMTP: Postfix
    Webserver: Apache/2.4.12
    SSH: OpenSSH_6.7p1
    SHOUTcast: 1.9.8

    Die MySQL Version ist auf dem Stand vom Juli und somit sehr aktuell im Vergleich zu den anderen getesteten Trackern. Weniger gut ist allerdings, dass sie von außen erreichbar ist und das ohne Hostfilter und auf dem Standardport!
    Auch ein Mailserver antwortet brav am Standardport, was für sich gesehen kein Problem ist. Da eine Torrentseite aber weder e-Mails empfangen muss, noch sollte, stellt dies ein unnötiges Risiko dar.
    Wenn man also das Gesamtbild betrachtet, zeigt sich wie so oft eine schlecht konfigurierte Standardinstallation, die in diesem Fall immerhin nicht auch noch durch stark veraltete Versionen glänzt. Soll heißen: Es gab schon schlimmere Fälle, aber von einem Meisterstück ist auch dieser Server sicherheitstechnisch gesehen weit entfernt.

    Trackersicherheit

    Wie auch bei vielen anderen deutschen Trackern konnte ich hier einige der häufigsten Lücken ausfindig machen, welche mir problemlosen Zugriff auf die Datenbank ermöglicht haben. Damit ist es auch hier möglich, sämtliche Userdaten, Torrents, Private Nachrichten etc. auszulesen. Wie immer habe ich exemplarisch die Datenbanken aufgelistet und einen kleinen Auszug aus der Benutzertabelle. Anschließend folgen ein paar Erklärungen.

    Datenbanken

    • information_schema
    • mysql
    • performance_schema
    • phpmyadmin
    • programmagic
    • tsctracker



    ID Added Class Email Username Passhash
    1 2008-07-17 02:42:37 102 cen***@web.de Force 2903396cfb4fa5a4adec4448909ea1a8
    21749 2013-02-16 00:14:25 1 cen***@web.de Scubadevil 41065ff29e29c6a4bde4136a81b8dc96
    21761 2013-02-16 23:4 7:02 1 cen***@web.de Test d81115a0662cba7b2e5e3da1b58f45d1
    21781 2013-02-18 00:04:17 1 cen***@web.de Cazzper 3d66c299d8df5a921770bc1c7af5568e
    21792 2013-02-18 15:29:37 1 cen***@web.de bvb 8a4f7466349c56dd0b4bf3431c7fe4d8

    Auch wenn eine Sache im Auszug der Benutzertabelle direkt auffallen sollte, habe ich die entsprechenden Stellen mal rot markiert. Obwohl ich die E-Mail-Adressen zensiert habe, so kann man doch eine verblüffende Ähnlichkeit feststellen, obwohl es sich bei jeder Zeile um einen anderen Benutzer handelt. Doch wie kann das sein? Die Antwort ist ziemlich einfach und zugleich schockierend: Ich habe versehentlich beim rumspielen mit der Datenbank alle E-Mail Adressen in der Benutzertabelle mit meiner Eigenen überschrieben.
    Ich dachte erst an einen Fehler meinerseits, aber es stellte sich schnell heraus, dass ich tatsächlich von allen Usern die Mail-Adresse geändert habe.
    Aber richtig amüsant wird diese Aktion eigentlich erst mit der letzten Newsmeldung, die TSC herausgebracht hat:
    Durch einen Systemfehler wurden leider alle Profile auf Anfang gestellt
    und eure E-Mail Adresse wurde leider auch geändert!
    Der Fehler wurde gefunden und beseitigt!
    Allerdings bitten wir euch, eure Profile wieder selbst einzustellen, dickes SORRY dafür !
    Als kleine Entschädigung für eure Mühen stellen wir alle Torrents auf OU !
    Vielen Dank für das Verständnis und weiterhin viel Spass!
    „Systemfehler“. So nennt man einen Hack jetzt neuerdings also. Ich weiß nicht, was ich schlimmer finde. Die vorhandenen Sicherheitslücken oder die dreiste Lüge, mit der die Community für dumm verkauft werden soll. Solche „Systemfehler“ gibt es nicht. Entweder wurden als Panikreaktion direkt alle Mailadressen mit einem Platzhalter ersetzt, wodurch auch ein Teil der Profileinstellungen verloren gegangen ist oder, was wesentlich erschreckender wäre, es existierte kein Backup! Damit hätte man die E-Mail-Adressen ziemlich einfach wieder zurücksetzen können. Dies verleitet mich zu der Annahme, dass es keine regelmäßige Backup-Routine gibt, was bei jedem Web-Projekt grob fahrlässig ist. Auch wenn ich es noch nicht erneut getestet habe, so bin ich mir sicher, dass die eigentliche Sicherheitslücke noch nicht mal geschlossen wurde.

    Fazit

    Wie mein Review ausfällt, kann man sich wohl denken. Setzen sechs!



    Reply With QuoteReply With Quote
    Thanks

  2. Who Said Thanks:

    Turnschuh (10.01.19) , anthony-joal (20.08.17) , Russelowner (03.12.15) , blood (18.09.15) , MonsterLag (18.09.15) , TorrentJunky (17.09.15) , zappkönig12345 (16.09.15) , Snitlev (16.09.15) , Instab (16.09.15)

  3. #31
    TSC-Staff
    Join Date
    10.04.17
    Posts
    5
    Activity Longevity
    5/20 3/20
    Today Posts
    1/5 ssssssss5
    Quote Originally Posted by pombaer View Post
    100%? Nun sind wir aber alle gespannt auf die neue Source (Edith: war wohl nix noch immer der alte Schund).
    Wer hat was von einer neuen Source gesagt? War nie die Rede von.


    Quote Originally Posted by Darkman1965 View Post
    Der Tracker steht sowieso schon am Abgrund muss nur noch herunter fallen.
    Das derzeitige Team dort hat alles getan um das zu bewerkstelligen.
    Hat damals angefangen mit den Clienten ( das viele nicht mehr in der Whitelist sind) und hat sich seitdem auch nicht wieder erholt.
    MfG
    Ja alles Scheiße , Team Scheiße, Tracker Scheiße, was machst du dann noch bei uns? Lösche dein Account wenn alles so Scheiße ist und gut ist.

    greetz
    Missi
    Last edited by Missi; 09.01.19 at 20:03.
    Reply With QuoteReply With Quote
    Thanks

  4. #32

    Join Date
    20.04.14
    Location
    NRW
    P2P Client
    rtorrent
    Posts
    12
    Activity Longevity
    1/20 8/20
    Today Posts
    0/5 sssssss12
    Ihr seid und bleibt ein Scheiß Tracker
    Reply With QuoteReply With Quote
    Thanks

Page 3 of 3 FirstFirst 123

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •