Closed Thread
Page 1 of 2 12 LastLast
Results 1 to 15 of 17

Thread: Torrentheaven

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    Torrentheaven

    Tracker: Torrentheaven
    Source: selfcoded

    In letzter Zeit war es etwas ruhiger um die Security-Reviews, da ich leider kaum Zeit hatte. Da ich immer ziemlich gründlich bin, ist so ein Check doch relativ zeitaufwendig. Trotzdem habe ich es geschafft den TH mal etwas genauer unter die Lupe zu nehmen und musste dabei leider einige grob fahrlässige Lücken feststellen. Früher als der TH tatsächlich noch mit den Großen mithalten konnte, war er sogar mal mein Lieblingstracker. Wieso man mittlerweile allerdings die Finger von diesem Tracker lassen sollte, werde ich im Folgenden genau erläutern.

    Serversicherheit

    OS: Linux, Debian 7
    DB: MySQL 5.0.12
    PHP: 5.4.45
    Webserver: Apache
    SSH: OpenSSH_6.0p1

    Die Serverwartung ist leider nur Durchschnitt. Besonders die MySQL Version ist etwas in die Jahre gekommen (von 2005!) und sollte mal einem Update unterzogen werden. Offene Ports von nicht benötigten Drittanwendungen waren nicht zu finden, was schon mal gut ist. Grundsätzlich ist der Server zwar vernünftig aufgesetzt, aber eher schlecht gewartet. Trotz teilweise veralteter Software ist der Server meiner Meinung nach aber (zumindest momentan) nicht als Sicherheitsrisiko einzustufen. Da habe ich schon weitaus schlimmeres gesehen.

    Trackersicherheit

    Wie in den meisten anderen Fällen auch liegt das Sicherheitsproblem im Tracker selber. Der TH-Tracker ist seit über zehn Jahren nahezu unverändert. Umso mehr wundert es mich das er noch nie gehackt wurde, denn die Lücken dürften schon damals existiert haben. Aber keine Sorge, das holen wir jetzt nach.
    Wie immer exemplarisch ein paar Interna aus der Datenbank als Proof, dass ich tatsächlich drin bin:

    Vorhandene Datenbanken
    • information_schema
    • performance_schema
    • ircchat
    • mysql
    • phpmyadmin
    • torrentheaven
    • turboboard


    Ich weiß nicht, ob sich der Coder vom TH damals, was gedacht hat, aber die Tabellenstruktur vom TH ist total merkwürdig. Userdaten sind z. B. in mehrere Tabellen aufgeteilt was meiner Meinung nach überhaupt keinen Sinn macht, da man so unnötige JOINS benötigt. Alle Tabellen vom Tracker beginnen mit dem Prefix „af_“, was sicherheitstechnisch ein guter Ansatz ist, aber natürlich nichts bringt, wenn im Tracker gravierende Lücken zu finden sind.
    Es war beim TH zwar nicht einfach in die Datenbank zu kommen, aber es ist mir dennoch gelungen. Was man damit so alles anstellen kann, brauche ich glaube ich nicht zu erzählen, hat man ja in meinen vergangenen Security-Reviews gut gesehen.
    Eine weiterer Sicherheitsverstoß, der mir aufgefallen ist, ist das Login. Es gibt weder Captcha noch eine IP-Sperre wenn man das Passwort falsch eingibt. Da die Mitgliederliste auf dem TH für alle User einsehbar ist, kann man sich also relativ einfach alle Accountnamen besorgen und dann auf das Login einfach eine Bruteforce Attacke mit den Accounts starten. Dafür muss man weder hacken können noch besonders talentiert sein. Das kann ein Zwölfjähriger mit dem richtigen Script. Es ist sehr bedauerlich, dass der TH im Endeffekt doch so schlecht abschneidet bei meinem Review. Trotz seines langen Bestehens steht er auf dem gleichen Level wie viele No-Name Tracker, die ich ziemlich einfach hacken konnte. Die Mischung aus durchschnittlicher Serverwartung und veraltetem Frontend (Tracker) werden dem TH zum Verhängnis. Was ihr daraus macht muss natürlich jeder für sich selber entscheiden. Trotzdem bekommt der TH von mir ein dickes „Unsafe“.



    Thanks

  2. Who Said Thanks:

    MonsterLag (02.09.16) , Russelowner (29.12.15) , Freak69 (25.12.15) , blood (21.12.15) , Snitlev (21.12.15) , Darkman1965 (21.12.15) , Instab (21.12.15) , DarkGeneral (20.12.15) , Großmutter (20.12.15)

  3. #2

    Join Date
    03.12.15
    Location
    Schweiz
    P2P Client
    utorrent
    Posts
    15
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss15
    Nochmals Danke für deine zeit und mühe das review zu machen
    Schade nur das es für einen Safe nicht gereicht hatt :/
    Thanks

  4. #3
    Oh ha - Danke für dieses Review. Dann muss man ja gar nicht traurig sein - da nie Mitglied von gewesen zu sein ;-)
    Thanks

  5. #4

    Join Date
    17.05.12
    Posts
    37
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 sssssss37
    Das ist jetzt keine wirkliche Überraschung.
    Mit dem TH geht es seit Jahren mal mehr und mal weniger schnell Berg ab.

    Ein Team aus Traumtänzern die schon seit Jahren nichts Neues geschweige denn irgendwas Innovatives auf die Beine gestellt haben.

    An der Source haben schon mehr Leute rum gefummelt wie an einer Bordsteinschwalbe die seit 20 Jahren im Geschäft ist.Und da waren auch Einige dabei die vom coden soviel Ahnung hatten wie ich keine Ahnung von Kernspaltung habe.

    Das Lustige ist noch das die User gerade einen Thread auf dem TB eröffnet haben in dem sie alle das Team lobpreisen wie toll sie doch sind.
    Naja,wenn man nichts Anderes kennt muss man das wohl glauben.

    TH gehörte mal,zumindest aus meiner Sicht,zu den Top Trackern in Deutschland.Aber das ist lange her.Leider!

    *Nachtrag*
    Bevor ich es vergesse:
    http://www.sb-innovation.de/showthre...threadid=32489
    TH und TSC sind ein und derselbe Coder.
    Ob man mir das glaubt muss jeder für dich selbst entscheiden.

    Frohe Weihnachten und guten Rutsch!!
    Last edited by Jodito; 21.12.15 at 15:16.
    Thanks

  6. #5

    Join Date
    07.06.15
    P2P Client
    Utorren
    Posts
    95
    Activity Longevity
    1/20 11/20
    Today Posts
    0/5 sssssss95
    da können wir mal sehen man denk das die grossen sicher sind und dann sowas.

    danke nochmal an rebound für seine arbeit.
    Thanks

  7. #6

    Join Date
    01.08.09
    Location
    Deutschland
    P2P Client
    2.0.4
    Posts
    155
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 ssssss155
    *Nachtrag*
    Bevor ich es vergesse:

    TH und TSC sind ein und derselbe Coder.
    Ob man mir das glaubt muss jeder für dich selbst entscheiden.
    da hast du vollkommen Recht !!

    Ich hoffe das man sich miteinander in Verbindung setzt und darüber spricht was man tun kann um diese Schwachstellen zu beseitigen.

    MfG
    Last edited by Instab; 26.12.15 at 01:34. Reason: zitat
    Thanks

  8. #7

    Join Date
    03.12.15
    Location
    Schweiz
    P2P Client
    utorrent
    Posts
    15
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss15
    Das werden sie auch dun
    Thanks

  9. #8

    Join Date
    03.04.15
    Location
    germany
    P2P Client
    utorrent
    Posts
    28
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss28
    Wenn ich das als Laie lese, erhalte ich den Eindruck mit "Zweitaufwändigen" Reviews wäre Bruteforce gemeint, bis man den Acc mit ausreichend Berechtigungen für die DB eben gefunden hat.
    Thanks

  10. #9
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Bruteforce ist ja nicht zeitaufwendig, weil man das automatisiert laufen lassen kann.


    Thanks

  11. #10

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    nichts gegen diese art *Security Reviews*
    scheinen auch ok zu sein , aber die veröffentlichkeit hat seine vor und nachteile, klar man weiss welcher alt safe und welcher nicht safe ist.

    aber ist das nicht angebrachter wenn man schon ein Security Reviews macht das man hintenrum den staff kontaktiert bevor man irgendwas posten ?

    will da hinnaus , es brauchen nur andere voll deppen das lesen und schon geht das gemätzel los und es wird überall Ddd0s ??

    muss das sein, denke ich nicht, helfen und veröffentlichen sind zwei paar schuhe

    aber das wird in der großen schwanz verlängerungs www nie ändern, traurig sowas

    p.s.

    hut ab die es können die es aber auch nicht ausnutzen, klar bietet man seine hilfe an die lücken etc zu schliessen , und wird die vernachlässigt oder nur so dahin gestellt

    dann keine frage dass das veröffentlicht wird

    in dem sinne hf
    Last edited by Flux; 23.12.15 at 13:03.
    Thanks

  12. #11
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    In den meisten Fällen ist es nicht sehr zielführend den Staff zu kontaktieren (habe es natürlich schon mal versucht). Die meisten Coder reagieren sehr pikiert auf Sicherheitslücken und sind daher wenig kooperativ. Da ich hier die Lücken selber nicht veröffentliche, sondern lediglich exemplarisch einige Daten poste, entsteht daraus auch kein großer Schaden. DDoS hat mit meinen Reviews überhaupt nichts zu tun, das sind zwei paar Schuhe. Wenn ich dazu bedenke was für Beleidigungen ich mir in der Vergangenheit schon alles anhören musste, sollte verständlich sein, wieso es nicht meine Aufgabe ist das Gespräch zu suchen. Wie bereits in dem Info-Thread steht, geht es in erster Linie darum die Coder für Sicherheitslücken zu sensibilisieren. Das sind einfachste Sicherheitsstandards die jeder der sich "Coder" oder "Sys0p" nennt drauf haben sollte. Ansonsten sollte der Tracker lieber geschlossen werden. Dass das alles nur ein Hobby ist, lasse ich auch nicht gelten. Der Endbenutzer hat ein Recht darauf zu erfahren auf welchem Tracker der Umgang mit seinen sensiblen Daten (IP, ISP etc.) mit Füßen getreten wird und für jeden mit Know-How jederzeit einsehbar ist.

    Nach den bisherigen Reviews müssten eigentlich 70% der Tracker schließen, weil sie den erforderlichen Standards nicht gerecht werden und die "Coder" sind meistens nicht mal in der Lage die Fehlerquelle zu erkennen.


    Thanks

  13. Who Said Thanks:

    Russelowner (29.12.15) , Instab (26.12.15) , Würfelzucker (24.12.15)

  14. #12

    Join Date
    18.07.15
    Location
    Outer Space
    Posts
    23
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss23
    Danke für den Review. Ich hätte auch vermutet, dass TH besser abschneidet. Gut zu wissen.
    Thanks

  15. #13

    Join Date
    16.09.10
    Location
    Germany
    Posts
    384
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 ssssss384
    Hätte mit was schlimmeren gerechnet, auch wenn das schon echt arg beschäment ist, für einen ehemals großen Namen. Schlimmer finde ich aber ehrlich gesagt, dass das mit der Coder von TSC sein soll oder gar ist!

    Wobei es auch "Coder" gibt, die keinen Zugriff auf den Server bekommen, weil der Server auf den "Sys0p" läuft und somit gar keine Lücken stopfen kann. Tracker wo das war benenne ich jetzt mal nicht, aufjedenfall gibts Ihn seit über einem Jahr nicht mehr.


    Pikiert darauf zu reagieren ist irgendwo verständlich, indem moment wo ein anderer sagt "Hey Jung, Du hast da und da fehler im Code übersehen!", kratzt erstmal am Ego, trotzdem sollte jeder damit klar kommen, das man mehr kann als andere und gleichzeitig aber auch weniger. Es wird immer einen geben im Leben, der mehr kann als man selbst. Sei es weil er mehr lernen wollte, schneller lernt als man selbst (unterschiedliche Geschwindigkeiten sind normal) oder sei es einfach mehr Interesse und somit tiefere beschäftigung mit der Materie.

    Frage mich aber auch immer, wie wenig Chourage man haben muss, um dann dem Team - trotz solch offener Beiträge wie hier - in den Allerwertesten gekrochen wird. Teilweise so heftig, dass das schon danach aussieht, als wäre das Ihre Droge um Ihre Sucht unter kontrolle zu halten, weil es ja keinen anderen "Tracker" für Ihre Sucht gibt?


    @Flux es gibt gute und schlechte, die guten helfen beim Lücken finden und fixen - so wie es Rebound versucht. Böse würden die Lücken einfach veröffentlichen und ggf. noch veröffentlichen, wie die Lücke ausgenutzt wurde.
    Thanks

  16. Who Said Thanks:

    Rebound (25.12.15)

  17. #14

    Join Date
    03.04.15
    Location
    germany
    P2P Client
    utorrent
    Posts
    28
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss28
    Was ist dann so sehr zeitaufwändig?
    Thanks

  18. #15
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Mindestens eine Lücke besteht übrigens weiterhin.


    Thanks

  19. Who Said Thanks:

    Freak69 (15.02.16) , Instab (13.02.16)

Closed Thread
Page 1 of 2 12 LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •