Closed Thread
Page 4 of 4 FirstFirst ... 234
Results 46 to 51 of 51

Thread: TSC

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    TSC

    Tracker: TSC
    Source: schwer zu sagen, ich würde auf eine veränderte NV-Source tippen

    Vom Unterhaltungswert kann ich versprechen, dass dieses Security-Review das bislang Amüsanteste werden wird. Für gewöhnlich halte ich mich ja ziemlich dezent zurück, aber diese Aktion, die sich da TSC geleistet hat, werde ich gnadenlos ausschlachten. Aber fangen wir erst mal wie mit jedem Security-Review an. Großer Dank geht wie immer an Instab, der mich auch hier tatkräftig unterstützt hat. Los geht’s!

    Serversicherheit

    OS: Linux, Debian 8
    DB: MySQL, 5.5.44-0+deb8u1
    SMTP: Postfix
    Webserver: Apache/2.4.12
    SSH: OpenSSH_6.7p1
    SHOUTcast: 1.9.8

    Die MySQL Version ist auf dem Stand vom Juli und somit sehr aktuell im Vergleich zu den anderen getesteten Trackern. Weniger gut ist allerdings, dass sie von außen erreichbar ist und das ohne Hostfilter und auf dem Standardport!
    Auch ein Mailserver antwortet brav am Standardport, was für sich gesehen kein Problem ist. Da eine Torrentseite aber weder e-Mails empfangen muss, noch sollte, stellt dies ein unnötiges Risiko dar.
    Wenn man also das Gesamtbild betrachtet, zeigt sich wie so oft eine schlecht konfigurierte Standardinstallation, die in diesem Fall immerhin nicht auch noch durch stark veraltete Versionen glänzt. Soll heißen: Es gab schon schlimmere Fälle, aber von einem Meisterstück ist auch dieser Server sicherheitstechnisch gesehen weit entfernt.

    Trackersicherheit

    Wie auch bei vielen anderen deutschen Trackern konnte ich hier einige der häufigsten Lücken ausfindig machen, welche mir problemlosen Zugriff auf die Datenbank ermöglicht haben. Damit ist es auch hier möglich, sämtliche Userdaten, Torrents, Private Nachrichten etc. auszulesen. Wie immer habe ich exemplarisch die Datenbanken aufgelistet und einen kleinen Auszug aus der Benutzertabelle. Anschließend folgen ein paar Erklärungen.

    Datenbanken

    • information_schema
    • mysql
    • performance_schema
    • phpmyadmin
    • programmagic
    • tsctracker



    ID Added Class Email Username Passhash
    1 2008-07-17 02:42:37 102 cen***@web.de Force 2903396cfb4fa5a4adec4448909ea1a8
    21749 2013-02-16 00:14:25 1 cen***@web.de Scubadevil 41065ff29e29c6a4bde4136a81b8dc96
    21761 2013-02-16 23:4 7:02 1 cen***@web.de Test d81115a0662cba7b2e5e3da1b58f45d1
    21781 2013-02-18 00:04:17 1 cen***@web.de Cazzper 3d66c299d8df5a921770bc1c7af5568e
    21792 2013-02-18 15:29:37 1 cen***@web.de bvb 8a4f7466349c56dd0b4bf3431c7fe4d8

    Auch wenn eine Sache im Auszug der Benutzertabelle direkt auffallen sollte, habe ich die entsprechenden Stellen mal rot markiert. Obwohl ich die E-Mail-Adressen zensiert habe, so kann man doch eine verblüffende Ähnlichkeit feststellen, obwohl es sich bei jeder Zeile um einen anderen Benutzer handelt. Doch wie kann das sein? Die Antwort ist ziemlich einfach und zugleich schockierend: Ich habe versehentlich beim rumspielen mit der Datenbank alle E-Mail Adressen in der Benutzertabelle mit meiner Eigenen überschrieben.
    Ich dachte erst an einen Fehler meinerseits, aber es stellte sich schnell heraus, dass ich tatsächlich von allen Usern die Mail-Adresse geändert habe.
    Aber richtig amüsant wird diese Aktion eigentlich erst mit der letzten Newsmeldung, die TSC herausgebracht hat:
    Durch einen Systemfehler wurden leider alle Profile auf Anfang gestellt
    und eure E-Mail Adresse wurde leider auch geändert!
    Der Fehler wurde gefunden und beseitigt!
    Allerdings bitten wir euch, eure Profile wieder selbst einzustellen, dickes SORRY dafür !
    Als kleine Entschädigung für eure Mühen stellen wir alle Torrents auf OU !
    Vielen Dank für das Verständnis und weiterhin viel Spass!
    „Systemfehler“. So nennt man einen Hack jetzt neuerdings also. Ich weiß nicht, was ich schlimmer finde. Die vorhandenen Sicherheitslücken oder die dreiste Lüge, mit der die Community für dumm verkauft werden soll. Solche „Systemfehler“ gibt es nicht. Entweder wurden als Panikreaktion direkt alle Mailadressen mit einem Platzhalter ersetzt, wodurch auch ein Teil der Profileinstellungen verloren gegangen ist oder, was wesentlich erschreckender wäre, es existierte kein Backup! Damit hätte man die E-Mail-Adressen ziemlich einfach wieder zurücksetzen können. Dies verleitet mich zu der Annahme, dass es keine regelmäßige Backup-Routine gibt, was bei jedem Web-Projekt grob fahrlässig ist. Auch wenn ich es noch nicht erneut getestet habe, so bin ich mir sicher, dass die eigentliche Sicherheitslücke noch nicht mal geschlossen wurde.

    Fazit

    Wie mein Review ausfällt, kann man sich wohl denken. Setzen sechs!



    Thanks

  2. Who Said Thanks:

    Nemesis (04.04.19) , Flux (26.03.19) , tesastreifen (26.03.19) , tr0y (22.03.19) , Turnschuh (10.01.19) , anthony-joal (20.08.17) , Russelowner (03.12.15) , blood (18.09.15) , MonsterLag (18.09.15) , TorrentJunky (17.09.15) , zappkönig12345 (16.09.15) , Snitlev (16.09.15) , Instab (16.09.15)

  3. #46
    Missi
    Quote Originally Posted by Flux View Post
    man wird´s sehen und erleben auch wenn, bzw. falls das neue Review (oder wie sagst du "Preview") als Safe auftauchen sollte.
    man ist geprägt aus den vergangenen Jahren , und ich denke mal nicht das die User es selbst wissen.
    viele sind eben bisschen schlauer wie du oder andere von dort.

    aber lassen wir es mal so stehen und lassen dir/euch den glauben, wer hoooooch fliegt wird sehr tiiief fallen.

    und wir werden zu schauen und
    Auch wieder so eine Aussage!
    Wer fliegt hier wo hoch?
    Es gibt immer einen der besser ist!
    Ich verstehe einfach auch deinen Groll nicht gegen uns, was bezweckst du mit deiner ständigen Nörgelei, das bringt niemanden einen Schritt weiter.

    Du erzählst irgendwas von, es hat sich nichts geändert was schon mal definitiv Unwahr ist, beleidigst in einer tour das Team, was bezweckst du mit solchen Aussagen bitte?

    Alles wo rum ich dich gebeten habe war etwas Contenance in deinen Aussagen zu bewahren, ist das zuviel verlangt, du wirfst hier mit Aussagen um dich und das in einer Tonalität wo ich mir denke wie alt ist der Bitte.

    Es hat halt auch überhaupt keinen Sinn mit dir zu schreiben da eh nur immer wieder das gleiche kommt.

    Was die neue Source betrifft, auch dazu habe ich mich schon mehrmals geäußert, es wird keine neue geben, weil, die die wir haben ist absolut in Ordnung!

    Es ist richtig das wir mal angefangen hatten mit einem anderen Coder aber sehr schnell festgestellt haben das uns das nicht gefällt, also, last but and least haben wir unsere bestehende Source überarbeitet und diese läuft besser wie jemals zuvor. Wir haben einen sehr guten Coder der täglich bestrebt ist alles zu tun für die Sicherheit der Member und für den reibungslosen Betrieb.

    Ich verbleibe mal Mit freundlichen Grüßen
    Missi
    Last edited by Missi; 26.03.19 at 15:36.

  4. #47

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by liller1 View Post
    Wenn du im waren Leben auch immer das letzte Wort haben musst, dann tust mir leid. ...... greetz
    und dafür musstest du dich registrieren sanfte Leistung
    Thanks

  5. #48

    Join Date
    26.03.19
    Posts
    2
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 ssssssss2
    Darauf hatte ich gewartet, hast es allen bestätigt. Du bist ein Kobold. Und somit für alle die Bestätigung. Aus welchem Grund ich mir rege kann die LATTE sein. :-D
    Thanks

  6. #49
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Auch drei Wochen nachdem hier seitens des Staffs große Töne gespuckt wurden, haben wir immer noch keinen Account für einen Recheck erhalten. Also lag ich mit meiner Einschätzung wohl richtig, dass seitens TSC wirklich niemand Interesse an einer Wiedergutmachung hat. Das ist sehr enttäuschend und wirft kein gutes Licht auf die Verantwortlichen.


    Thanks

  7. Who Said Thanks:

    waffi (15.04.19) , Violence (15.04.19) , Flux (15.04.19)

  8. #50
    Missi
    Quote Originally Posted by Rebound View Post
    Auch drei Wochen nachdem hier seitens des Staffs große Töne gespuckt wurden, haben wir immer noch keinen Account für einen Recheck erhalten. Also lag ich mit meiner Einschätzung wohl richtig, dass seitens TSC wirklich niemand Interesse an einer Wiedergutmachung hat. Das ist sehr enttäuschend und wirft kein gutes Licht auf die Verantwortlichen.
    Hallöchen Rebound,

    immer ruhig mit dem jungen Pferden, ich schicke dir gleich eine PN mit den Test ACC Daten, kannst dich austoben.
    Ich freue mich auf den erneuten Test und hoffe auf eine gute Zusammenarbeit.

    greeetz
    Missi
    Last edited by Missi; 15.04.19 at 14:42.

  9. #51
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723


    Thanks

Closed Thread
Page 4 of 4 FirstFirst ... 234

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •