Closed Thread
Page 7 of 13 FirstFirst ... 56789 ... LastLast
Results 91 to 105 of 186

Thread: BitCity Reloaded (Recheck)

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    BitCity Reloaded (Recheck)

    Tracker: BitCity-Reloaded
    Source: NV-Source

    "Winter is coming" fanden wir in diesem Fall irgendwie zutreffend, weshalb wir dieses Review damit einleiten wollen.

    Im Rahmen unserer TOG-Reviews haben wir BitCity-Reloaded etwas eingehender untersucht. Dieser Tracker hat auf TOG am aggressivsten und gleichzeitig auch am primitivsten im TOG Forum für neue User geworben.


    Serversicherheit

    OS: Linux, Debian 8
    Webserver: Apache
    SSH: OpenSSH 6.7p1 Debian 5+deb8u7
    PHP: 5.6.40-0+deb8u1
    MySQL: 5.5.62
    OpenSSL: 1.0.1t

    SSH liegt nicht auf dem Standardport, was gut ist. Nicht so gut ist die PHPInfo, die direkt im Webroot liegt (fürs Archiv haben wir die PHPInfo unten angehängt). Ist natürlich nett, wenn man direkt alle Versionsnummern so präsentiert bekommt. Die PHPInfo im Webroot liegen zu lassen stellt einen klassischen Anfängerfehler dar.
    Für die Firewall gilt das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.


    Trackersicherheit

    Die Source sieht zwar besser aus als bei unserem letzten Review, das ist aber auch schon alles. Von Sicherheit kann man genau wie beim Server nicht sprechen. Wir konnten uns deshalb erneut Zugang verschaffen.

    Proof

    Auszug aus der Benutzertabelle hatten wir letztes Mal schon. Deshalb gibt es dieses mal ein paar Screenshots von einem Staffaccount.

    Interne Statistiken









    PM-Spion



    Gebannte User




    Extraservice von uns für euch

    Als kleinen Bonus haben wir eine Seite geschaltet, mit der ihr euch eure Benutzerinfos von BC anzeigen lassen können. Was auch ganz interessant ist, dort werden euch auch die Staff-Kommentare angezeigt, die vom Staff oder vom System über euch verfasst wurden und normalerweise nur für den Staff sichtbar sind. Wir dachten, den einen oder anderen könnte das sicherlich interessieren.
    Alles was ihr dafür tun müsst, ist eure Benutzer-ID von BC und den privaten Hash den ihr in unserer E-Mail erhalten habt dort eingeben.
    Die Seite findet ihr hier: https://www.sb-innovation.de/pverifier.php

    Wer keine E-Mail erhalten hat, kann sich gerne auch bei mir per PN melden. Dann erzeuge ich einen entsprechenden Hash für seinen BC-Account.

    Als zweiten Service haben wir noch unser "Hash-Verifikationsverfahren" ins Leben gerufen. Ob sich das durchsetzen wird und ob andere Tracker daran interessiert sind wird sich zeigen. Weiterführende Informationen für User und Trackerbetreiber finden sich hier: https://www.sb-innovation.de/showthr...tionsverfahren


    Fazit

    Dieses Fazit wird lang, was an der endlos langen Liste von Fehlern liegt, die hier von BC Reloaded begangen wurden. Wir werden nicht mal alle auflisten. Dafür haben wir gar keine Zeit. Wie schon beim letzten Mal konnten wir die vollständige Datenbank kopieren und sichern. Es hat einige Tage gedauert alles auszuwerten, aber wir haben sehr Erschreckendes festgestellt. Hier liegt nicht einfach nur technisches Unwissen vor, sondern auch wirklich grobe (ganz ganz grobe!) Fahrlässigkeit auf mehreren Ebenen.

    Der erste Punkt betrifft die Passwörter. Wir haben die Passworthashes mit denen von 2016 verglichen und mussten leider feststellen, dass fast niemand sein Passwort geändert hat! WTF? Wir hätten uns drei Jahre lang in fast jeden Account auf dem Tracker einloggen können. Offenbar hat BC seine User nie über den Hack von damals informiert und falls doch, den Usern nicht die angemessenen Maßnahmen empfohlen.

    Der zweite Punkt betrifft wieder Passwörter, aber dieses mal Andere. BC Reloaded besitzt ein Bewerbungsformular, was in letzter Zeit auch von vielen TOG-Usern in Anspruch genommen wurde. Dort muss man seinen gewünschten Usernamen, sein Passwort, einen Link zu einem Bild von einem Referenztracker und einen Bewerbungstext eingeben. Alle angenommenen Bewerbungen sind im System gespeichert und befinden sich in unseren Händen. Wir sind fast vom Stuhl gefallen, als wir festgestellt haben, dass dort alle Passwörter im KLARTEXT gespeichert sind! WTF²? Wir sind nun im Besitz von über tausend Passwörtern von Leuten, die über das Bewerbungsformular auf den Tracker gelangt sind.

    Als nächstes haben wir uns die Datenbank aus technischer Sicht angesehen. Wer davon keine Ahnung hat oder wen es nicht interessiert, kann diesen Abschnitt gerne überspringen. Auch hier hat jemand überhaupt keine Ahnung wie man eine Datenbank ordentlich konfiguriert.

    1. Es werden für einzelne Tabellen teilweise völlig ineffiziente (falsche) Engines verwendet
    2. Indexe fehlen entweder ganz oder sind teilweise fehlerhaft


    Allgemein sieht die Source zwar etwas besser aus als beim letzten Mal, in der Summe ist es aber immer noch viel zu wenig. Genauso der Server. Einen so konfigurierten Server haben wir lange nicht mehr gesehen.

    Weiterhin anmerken kann man noch, dass sich der Tracker offenbar nicht um unsere Security-Reviews schert. Beim letzten Review wurden wir anschließend zwar von Logitech kontaktiert, aber man hatte dort erwartet, dass wir ihnen die Arbeit abnehmen und sagen wie wir eingedrungen sind. Ein solches Vorgehen ist natürlich völliger Unsinn, weil damit das Grundproblem nicht gelöst wird. Die Kommunikation ist dann auch irgendwann von BC Reloaded Seite im Sand verlaufen. Nach unserer Ankündigung zu den TOG-Reviews ist BC Reloaded einer der wenigen Tracker, der sich nicht bei uns gemeldet hat. Wir hätten erwartet, dass hier zumindest ein grundlegendes Interesse an einer Wiedergutmachung von 2016 besteht.

    Da BC Reloaded schon bei unserem letzten Review ihre User unzureichend informiert hat, haben wir das Zepter dieses Mal selbst in die Hand genommen und allen BC Reloaded Benutzern eine entsprechende E-Mail mit Informationen zukommen lassen.

    tl;dr: Keinerlei Verbesserung des Zustands im Vergleich zum letzten Security-Review von 2016 und wieder krachend durchgefallen.



    Thanks

  2. Who Said Thanks:

    JonDoe (16.09.20) , HellsBells (14.06.19) , .Pogo. (29.04.19) , unodue (07.04.19) , dom72 (29.03.19) , tesastreifen (26.03.19) , hui64 (25.03.19) , Devils_Bitch (24.03.19) , Flux (24.03.19) , Snitlev (24.03.19) , Patron (24.03.19) , Mauerwerk (23.03.19) , Turnschuh (23.03.19) , Data1 (22.03.19) , Ibot (22.03.19) , Azrael (22.03.19) , viper1978 (22.03.19) , tr0y (22.03.19) , xJ9_ (22.03.19) , DevilsCut (22.03.19) , TheLegendary (22.03.19) , zappkönig12345 (22.03.19) , 5xxxxx (22.03.19) , Freak69 (22.03.19) , FlyingHeart (22.03.19) , Jackson312 (22.03.19) , trackeropi2 (22.03.19) , hunterman (22.03.19) , Nemesis (22.03.19) , Rednesierder (22.03.19) , Violence (22.03.19) , picasa (22.03.19)

  3. #91

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by unodue View Post
    BC ist wieder Online seit SONNTAG.

    Laut Tracker News aber noch in Testphase.

    Mal schauen wie es wird. Noch ist ja kein erneuter - SECURE REVIEW - erfolgt.
    Komisch ich sehe zwar die Seite, aber will man sich einloggen kommt dann, Name/Passwort falsch lass ich mir ein Passwort Recovern bzw. zuschicken kommt die Antwort das die mir das per Mail schicken ..... wohl noch mehr als Test anscheint .......
    Thanks

  4. #92

    Join Date
    21.04.19
    Posts
    1
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 ssssssss1
    Kann mich nur anschliessen. Per Mail kam bisher noch nichts..... Was nun?
    Thanks

  5. #93

    Join Date
    06.10.09
    Location
    Da wo du Bist :D
    P2P Client
    rutorrent
    Posts
    176
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssss176
    Quote Originally Posted by Goody View Post
    Kann mich nur anschliessen. Per Mail kam bisher noch nichts..... Was nun?
    ich denk mal abwarten, wie ich mitbekommen habe soll es noch eine Testphase sein,
    wobei man dann doch lieber anders testen sollte bevor die ganzen anfragen auftauchen.
    Thanks

  6. Who Said Thanks:

    matrix2003 (26.04.19) , inge70 (22.04.19)

  7. #94
    Hab es gerade getestet und Passwort zurück setzen klappt nun :-)
    Thanks

  8. #95
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by phoenix2207 View Post
    Passwort zurück setzen klappt nun
    zurücksetzen? ich hoffe mal du meinst ein neues passwort zuschicken lassen. andernfalls würde das bedeuten es gäbe ein standardpasswort für neue benutzer, was logischerweise extrem fahrlässig wäre.
    Your account has been disabled.
    Thanks

  9. #96

    Join Date
    11.04.17
    Posts
    19
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 sssssss19
    Quote Originally Posted by unodue View Post
    BC ist wieder Online seit Sonntag

    Laut Tracker News aber noch in Testphase.

    Mal schauen wie es wird. Noch ist ja kein erneuter - SECURE REVIEW - erfolgt.
    Eigentlich sollte eine Testphase nur das Team machen und nicht wieder alle User drauf lassen.
    Zumindest wir halten es so.Erst testet das Team auf Funktion(en),begibt sich auf Fehlersuche und bevor wir die User drauf lassen,bekommt Rebound erstmal einen Account zum testen.kommt dann ein Safe gehen wir online,wenn nicht setzen wir uns mit Rebound nochmal in Verbindung.
    Thanks

  10. Who Said Thanks:

    matrix2003 (26.04.19) , Flux (22.04.19)

  11. #97
    Quote Originally Posted by Instab View Post
    zurücksetzen? ich hoffe mal du meinst ein neues passwort zuschicken lassen. andernfalls würde das bedeuten es gäbe ein standardpasswort für neue benutzer, was logischerweise extrem fahrlässig wäre.
    Sorry stimmt, falsch ausgedrückt. Ich meinte natürlich ein neues Passwort zusenden lassen :-D
    Thanks

  12. #98
    BC hat Ihre eigene Source wieder genommen, ist derzeit online & auch schon komplett aktiv mit Torrents, etc.

    Hoffentlich sind nun alle Sicherheitslücken geschlossen!!!
    Thanks

  13. Who Said Thanks:

    Data1 (22.04.19)

  14. #99

    Join Date
    02.04.19
    Location
    Penner
    P2P Client
    Penner
    Posts
    9
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 ssssssss9
    Laut BC Tracker News :

    Wir haben mit Rebound Kontakt aufgenommen, um mit seiner Hilfe auf
    eventuell noch bestehende Lücken hingewiesen zu werden,
    um diese dann auch noch schließen zu können.

    Wann kann man mit einem erneuten Recheck rechnen,
    damit man BC wieder ordentlich nutzen kann oder eben auch nicht ?
    Last edited by unodue; 25.04.19 at 00:26.
    Thanks

  15. Who Said Thanks:

    ExGod (26.04.19) , schotte (25.04.19) , 4n0nym0u5 (25.04.19)

  16. #100

    Join Date
    02.04.19
    Location
    Penner
    P2P Client
    Penner
    Posts
    9
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 ssssssss9
    Quote Originally Posted by unodue View Post
    Laut BC Tracker News :
    Wann kann man mit einem erneuten Recheck rechnen,
    damit man BC wieder ordentlich nutzen kann oder eben auch nicht ?

    Erst groß Tamtam und dann passiert nichts mehr seitens SB-I ?

    - Keine Info, kein Recheck, kein nichts -

    Hatte ich eigentlich anders erwartet
    um die User von BC nicht evtl. neuerlich im Regen stehen zu lassen.
    Thanks

  17. #101
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Wir warten immer noch auf eine Nachricht von BCR.


    Thanks

  18. #102

    Join Date
    22.02.12
    Posts
    330
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 ssssss330
    Quote Originally Posted by Rebound View Post
    Wir warten immer noch auf eine Nachricht von BCR.
    Das ist so aber nicht ganz richtig lieber Rebound!
    Denn ich hatte dir bereits geschrieben
    Empfänger:
    Rebound
    21.04.19, 18:06
    und dich gebeten uns noch mal zu Testen!
    Neuer test von BC ?

    moin moin, Ich wünsche dir Frohe Ostern!
    Wir sind mit dem Tracker nun soweit fertig, und würden uns sehr feuen wenn du einen Blick drauf werfen könntest, da uns dein Sicherheitstest sehr am Herzen liegt!
    Ich weiß das ich in der Vergangengenheit nicht immer das beste Licht auf mich scheinen lies, aber es kam leider alles wie es kam, und leider wurde ich persönlich auch immer wieder angegriffen, und man schob mir die Schuld zu, obwohl ich nur der Bote der Nachrichten war, und nichts mit den Einstellungen zu tun hatte!
    lg
    sebastian
    Du warst mit meiner Bitte nur nicht einverstanden, und hast mir geschrieben
    Wir verhandeln nicht mit Unterhändlern. silez soll sich selber bei mir melden.
    Du bezeichnest also einen Sysop als Unterhändler!? OK.. Ich hatte vom Tag 1 an im Netz gesagt. Ich werde mich bei Rebound melden, sobald ich das OK bekomme! Du hättets also schon vor Wochen sagen können, ``Sorry, aber mit dir möchte ich nicht sprechen´´
    Thanks

  19. #103
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Gott ist das peinlich sebastian. Mit der Nachricht auf die wir warten, meine ich natürlich die von silez. Und ich habe auch nicht silez als Unterhändler bezeichnet, sondern dich.

    Zumal dein Beitrag hier zur ziemlichen Unzeit kommt. Ich habe nämlich eben die Nachricht von silez erhalten.
    Aber dein Beitrag hier zeigt mir leider, dass du immer noch überhaupt nichts dazu gelernt hast.

    - Du veröffentlichst private Nachrichten (wie Logitech schon damals beim ersten Review)
    - Du liest nicht richtig bzw. nur das was du lesen willst
    - Du fällst deinem eigenen Team in den Rücken (Teamabsprachen sind wohl nicht existent?)

    Unter solchen Voraussetzungen wird es keine Zusammenarbeit geben. Die Nachricht von silez war absolut nett und angemessen. Aber nun kann ich mir die Zeit für eine Antwort darauf sparen. Danke!

    Wir werden irgendwann ein erneutes Review durchführen. Aber sicherlich nicht in den nächsten Wochen und sicherlich nicht in Zusammenarbeit mit BCR. In meiner gesamten Karriere hier bei SB-I habe ich noch nie so einen Affenzirkus erlebt.

    Ich habe ja schon letztes Mal gesagt, dass es keine gute Idee war dich als Sprachrohr auszuwählen. Das Team und die BCR User dürfen sich bei dir bedanken.

    ---------- Post Merged at 16:08 ---------- Previous Post was at 15:39 ----------

    sebastian ist hier jetzt endgültig gesperrt. Ich habe gerade noch eine beleidigende PN von ihm erhalten, die ich hier nicht zitieren kann, weil sie gegen den deutschen Pressekodex verstoßen würde.

    Wirklich unterstes Niveau BCR!


    Thanks

  20. Who Said Thanks:

    xJ9_ (08.05.19) , Rednesierder (30.04.19) , TheLegendary (29.04.19) , Nemesis (29.04.19) , Snitlev (29.04.19) , picasa (29.04.19) , unodue (29.04.19) , zappkönig12345 (28.04.19) , schotte (28.04.19) , waffi (28.04.19) , Jackson312 (28.04.19) , Violence (28.04.19)

  21. #104

    Join Date
    29.04.19
    Posts
    10
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss10

    Thumbs down

    Also wär auf aroganz steht und gerne in den Arschkricht ist da gut aufgehoben

    Niveau gleich null, kritik annehemn null, und dann wird über dirrte gelästern das es kein morgen gibt ! und der chef ist vorne mit dabei !

    Also mein Fazit ist finger weg , ich würde den tracker auch nicht mehr testen, das wird eh kein sinn machen.

    Gude
    Thanks

  22. Who Said Thanks:

    Rednesierder (30.04.19) , TheLegendary (29.04.19)

  23. #105

    Join Date
    13.03.19
    Posts
    20
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss20
    Der Text mit der "geplanten verantworungsvollen Zusammenarbeit"
    mit SB-I / Rebound wurde auf dem Tracker entfernt.

    Es wird weiterhin die alte "unsafe" Source genutzt, positive Veränderungen
    seitens der Sicherheit sind für den User nicht erkennbar. Andersdenkende
    bzgl. Sicherheit werden kritisiert oder lächerlich gemacht, im Einzelfall
    vom Tracker durch Sebastian geworfen.

    Tja ... wer auf BCR aktiv sein möchte: Bitte, tut es aber habt wenigstens
    euren Arsch an der Wand und sichert euch selbst ab, von der Tracker Crew,
    insbesondere dem sehr labilen und emotionalen Sprachrohr Sebastian,
    ist nichts zu erwarten.
    Last edited by Violence; 29.04.19 at 19:48.
    Thanks

  24. Who Said Thanks:

    Darkman1965 (10.05.19) , hui64 (08.05.19) , 00:spaßkostet:00 (02.05.19) , schotte (01.05.19) , .Pogo. (01.05.19) , Rebound (30.04.19) , Rednesierder (30.04.19) , TheLegendary (29.04.19)

Closed Thread
Page 7 of 13 FirstFirst ... 56789 ... LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •