BitCity Reloaded (Recheck)

[Rebound]

Tracker: BitCity-Reloaded
Source: NV-Source

"Winter is coming" fanden wir in diesem Fall irgendwie zutreffend, weshalb wir dieses Review damit einleiten wollen.

Im Rahmen unserer TOG-Reviews haben wir BitCity-Reloaded etwas eingehender untersucht. Dieser Tracker hat auf TOG am aggressivsten und gleichzeitig auch am primitivsten im TOG Forum für neue User geworben.


Serversicherheit

OS: Linux, Debian 8
Webserver: Apache
SSH: OpenSSH 6.7p1 Debian 5+deb8u7
PHP: 5.6.40-0+deb8u1
MySQL: 5.5.62
OpenSSL: 1.0.1t

SSH liegt nicht auf dem Standardport, was gut ist. Nicht so gut ist die PHPInfo, die direkt im Webroot liegt (fürs Archiv haben wir die PHPInfo unten angehängt). Ist natürlich nett, wenn man direkt alle Versionsnummern so präsentiert bekommt. Die PHPInfo im Webroot liegen zu lassen stellt einen klassischen Anfängerfehler dar.
Für die Firewall gilt das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.


Trackersicherheit

Die Source sieht zwar besser aus als bei unserem letzten Review, das ist aber auch schon alles. Von Sicherheit kann man genau wie beim Server nicht sprechen. Wir konnten uns deshalb erneut Zugang verschaffen.

Proof

Auszug aus der Benutzertabelle hatten wir letztes Mal schon. Deshalb gibt es dieses mal ein paar Screenshots von einem Staffaccount.

Interne Statistiken









PM-Spion



Gebannte User




Extraservice von uns für euch

Als kleinen Bonus haben wir eine Seite geschaltet, mit der ihr euch eure Benutzerinfos von BC anzeigen lassen können. Was auch ganz interessant ist, dort werden euch auch die Staff-Kommentare angezeigt, die vom Staff oder vom System über euch verfasst wurden und normalerweise nur für den Staff sichtbar sind. Wir dachten, den einen oder anderen könnte das sicherlich interessieren.
Alles was ihr dafür tun müsst, ist eure Benutzer-ID von BC und den privaten Hash den ihr in unserer E-Mail erhalten habt dort eingeben.
Die Seite findet ihr hier: https://www.sb-innovation.de/pverifier.php

Wer keine E-Mail erhalten hat, kann sich gerne auch bei mir per PN melden. Dann erzeuge ich einen entsprechenden Hash für seinen BC-Account.

Als zweiten Service haben wir noch unser "Hash-Verifikationsverfahren" ins Leben gerufen. Ob sich das durchsetzen wird und ob andere Tracker daran interessiert sind wird sich zeigen. Weiterführende Informationen für User und Trackerbetreiber finden sich hier: https://www.sb-innovation.de/showthr...tionsverfahren


Fazit

Dieses Fazit wird lang, was an der endlos langen Liste von Fehlern liegt, die hier von BC Reloaded begangen wurden. Wir werden nicht mal alle auflisten. Dafür haben wir gar keine Zeit. Wie schon beim letzten Mal konnten wir die vollständige Datenbank kopieren und sichern. Es hat einige Tage gedauert alles auszuwerten, aber wir haben sehr Erschreckendes festgestellt. Hier liegt nicht einfach nur technisches Unwissen vor, sondern auch wirklich grobe (ganz ganz grobe!) Fahrlässigkeit auf mehreren Ebenen.

Der erste Punkt betrifft die Passwörter. Wir haben die Passworthashes mit denen von 2016 verglichen und mussten leider feststellen, dass fast niemand sein Passwort geändert hat! WTF? Wir hätten uns drei Jahre lang in fast jeden Account auf dem Tracker einloggen können. Offenbar hat BC seine User nie über den Hack von damals informiert und falls doch, den Usern nicht die angemessenen Maßnahmen empfohlen.

Der zweite Punkt betrifft wieder Passwörter, aber dieses mal Andere. BC Reloaded besitzt ein Bewerbungsformular, was in letzter Zeit auch von vielen TOG-Usern in Anspruch genommen wurde. Dort muss man seinen gewünschten Usernamen, sein Passwort, einen Link zu einem Bild von einem Referenztracker und einen Bewerbungstext eingeben. Alle angenommenen Bewerbungen sind im System gespeichert und befinden sich in unseren Händen. Wir sind fast vom Stuhl gefallen, als wir festgestellt haben, dass dort alle Passwörter im KLARTEXT gespeichert sind! WTF²? Wir sind nun im Besitz von über tausend Passwörtern von Leuten, die über das Bewerbungsformular auf den Tracker gelangt sind.

Als nächstes haben wir uns die Datenbank aus technischer Sicht angesehen. Wer davon keine Ahnung hat oder wen es nicht interessiert, kann diesen Abschnitt gerne überspringen. Auch hier hat jemand überhaupt keine Ahnung wie man eine Datenbank ordentlich konfiguriert.

1. Es werden für einzelne Tabellen teilweise völlig ineffiziente (falsche) Engines verwendet
2. Indexe fehlen entweder ganz oder sind teilweise fehlerhaft

Allgemein sieht die Source zwar etwas besser aus als beim letzten Mal, in der Summe ist es aber immer noch viel zu wenig. Genauso der Server. Einen so konfigurierten Server haben wir lange nicht mehr gesehen.

Weiterhin anmerken kann man noch, dass sich der Tracker offenbar nicht um unsere Security-Reviews schert. Beim letzten Review wurden wir anschließend zwar von Logitech kontaktiert, aber man hatte dort erwartet, dass wir ihnen die Arbeit abnehmen und sagen wie wir eingedrungen sind. Ein solches Vorgehen ist natürlich völliger Unsinn, weil damit das Grundproblem nicht gelöst wird. Die Kommunikation ist dann auch irgendwann von BC Reloaded Seite im Sand verlaufen. Nach unserer Ankündigung zu den TOG-Reviews ist BC Reloaded einer der wenigen Tracker, der sich nicht bei uns gemeldet hat. Wir hätten erwartet, dass hier zumindest ein grundlegendes Interesse an einer Wiedergutmachung von 2016 besteht.

Da BC Reloaded schon bei unserem letzten Review ihre User unzureichend informiert hat, haben wir das Zepter dieses Mal selbst in die Hand genommen und allen BC Reloaded Benutzern eine entsprechende E-Mail mit Informationen zukommen lassen.

tl;dr: Keinerlei Verbesserung des Zustands im Vergleich zum letzten Security-Review von 2016 und wieder krachend durchgefallen.

[Un1x]

@F1r3st0rm Sehe ich ganz genau so.

Nur ist die Frage wie man sich da jetzt anmeldet, bzw. einloggt.

[F1r3st0rm]

Gar nicht. Zumindest nicht solange sie mit den Vorbereitungen noch nicht fertig sind. Wann das ist kann ich dir auch nicht sagen, da ich nicht zum Trackerteam gehöre. Einfach weiter abwarten.

[Rebound]

Du bemängelst das BCR die UNIT3D Source benutzt? Warum?

Wo habe ich das bemängelt? Zeige mir bitte die entsprechende Stelle in meinem Beitrag. Ich habe meine persönliche Meinung dazu abgegeben. Meiner persönlichen Meinung nach ist die UNIT3D übertrieben aufgebläht, schwerfällig und hat unnötig viele Software-Abhängigkeiten.

Außerdem ist mein Beitrag kein offizielles Security-Review. Ist dir das nicht aufgefallen? Ich kritisiere die Art und Weise wir hier mit der Problematik, dass man von Programmierung und Serverkonfiguration keine Ahnung hat, umgegangen wird.

Dass man mit einer neuen Source weniger Aufwand und Arbeit hat, ist eine völlige Fehleinschätzung. Da muss man zwar meistens keine Sicherheitsprobleme beheben, aber man muss z. B. das Design anpassen, sich einarbeiten, unbekannte Software konfigurieren, Daten von der alten Source importieren usw. usw.

Meine Befürchtung ist einfach die, dass man es sich mit der UNIT3D Source zu leicht macht. Wenn man die nicht vernünftig anpasst (vor allem das Design), wird BC Re-Reloaded nichts Besonderes mehr sein. Und wir reden hier nicht von ein paar Zeilen Code die geändert werden müssen. Sowas braucht Wochen oder Monate. Sonst hat man hier später eine 1:1 Kopie von TSH. Ich glaube, das kann niemand ernsthaft wollen.

Ich sehe hier eine Entwicklung, die in die völlig falsche Richtung geht und warne vor den Folgen. Vielleicht liege ich mit meiner Einschätzung auch völlig daneben. Aber wenn nicht, werden die meisten ehemaligen BCR User mit der UNIT3D nicht mehr glücklich dort.

Und wo du hier schon TSH ins Spiel bringst, kann ich dazu gerne auch noch ein paar Worte sagen.
Beim ersten Security-Review haben sich die Jungs von TSH auch ziemlich daneben benommen und das ist ziemlich eskaliert. Nachzulesen hier. Aber man hat dort aus den Fehlern der Vergangenheit gelernt und ist mit eigenen Unzulänglichkeiten angemessen umgegangen. Wieso sollte ich das schlechtreden? TSH hat seit dem Review von 2015 eine positive Entwicklung genommen. Von BCR kann man das leider nicht behaupten. Die denken nach wie vor wir sind an allem Schuld und glauben immer noch, sie hätten alles richtig gemacht. Für die User ist das jetzt schon ein völliges Desaster und wie es derzeit aussieht, wird es nicht unbedingt besser.

Wir machen diese Reviews jetzt seit ca. 4 Jahren. Sowas wie hier, haben wir noch nie erlebt. Zudem halten wir uns hier schon extrem zurück und haben absichtlich viele Informationen zurückgehalten, um es den Jungs von BCR nicht noch schwerer zu machen als es ohnehin schon ist. Uns liegt genau wie dir oder dem BCR-Staff daran, dass der Tracker so bald wie möglich zurück kommt und den Usern dann ein sicheres Zuhause bietet. Aber im Interesse aller kann ich nur hoffen, dass hier die richtigen Entscheidungen getroffen werden und man aus Fehlern der Vergangenheit endlich lernt.

[lmt]

Also ich sehe zwar eine Startseite aber mit meinen Daten kann ich mich nicht einloggen

[ViennaDC]

warte gerne ist ein guter tracker.

[F1r3st0rm]

Wo habe ich das bemängelt? Zeige mir bitte die entsprechende Stelle in meinem Beitrag.

Sollte man sich tatsächlich für diese Source entscheiden, dürfte BCR wohl endgültig in der Bedeutungslosigkeit verschwinden.

Das ist eine Eindeutige Kritik, die du erst mit deinem zweiten Post entkräftigt hast.

Außerdem ist mein Beitrag kein offizielles Security-Review. Ist dir das nicht aufgefallen?

Ich habe nie behauptet, dass dein Beitrag ein offizieller Sercurity-Review war. Ich habe lediglich eine Aussage aus einem Security-Review von dir verwendet, um meinen Standpunkt zu untermauern.

Meine Befürchtung ist einfach die, dass man es sich mit der UNIT3D Source zu leicht macht. Wenn man die nicht vernünftig anpasst (vor allem das Design), wird BC Re-Reloaded nichts Besonderes mehr sein.

Mal ganz im Ernst. 90% der User sind doch nicht auf einem Tracker, weil er besonders hübsch ist. Ihnen geht es entweder um die Community oder die Files. Die Tracker sehen doch abgesehen von der Farbgestaltung sowieso alle gleich aus (nämlich gleich scheiße). Von daher glaube ich nicht, dass ein Design welches ähnlich wie das eines anderem Trackers ist, BCR das Genick brechen würde, da dieser Zustand jetzt schon auf 90% aller Tracker zutrifft.

Ich sehe hier eine Entwicklung, die in die völlig falsche Richtung geht und warne vor den Folgen. Vielleicht liege ich mit meiner Einschätzung auch völlig daneben. Aber wenn nicht, werden die meisten ehemaligen BCR User mit der UNIT3D nicht mehr glücklich dort.

Warum? Wie schon gesagt, das Layout einer Seite ist den meisten Usern scheißegal. Denen geht es um Files oder die Community. Und wenn eine neue Source auch noch neue Funktionen mitbringt, wüsste ich nicht warum das schaden sollte? Solange die Suche und das Hochladen der Torrents intuitiv bleibt (ich kenne die Source selbst nicht), sollte das eigentlich kein Problem geben.

Und wo du hier schon TSH ins Spiel bringst, kann ich dazu gerne auch noch ein paar Worte sagen.
Beim ersten Security-Review haben sich die Jungs von TSH auch ziemlich daneben benommen und das ist ziemlich eskaliert. Nachzulesen hier. Aber man hat dort aus den Fehlern der Vergangenheit gelernt und ist mit eigenen Unzulänglichkeiten angemessen umgegangen. Wieso sollte ich das schlechtreden?

Du sollst es auch nicht schlecht reden. Aber wie ich bereits etwas weiter oben geschrieben habe, klang dein Post von gestern nun mal eher so als wenn die Source scheiße ist. Zumindest ich habe es so verstanden. Und war damit wohl auch nicht ganz alleine (zumindest 2 User scheinen es ja genauso empfunden zu haben).

TSH hat seit dem Review von 2015 eine positive Entwicklung genommen. Von BCR kann man das leider nicht behaupten. Die denken nach wie vor wir sind an allem Schuld und glauben immer noch, sie hätten alles richtig gemacht. Für die User ist das jetzt schon ein völliges Desaster und wie es derzeit aussieht, wird es nicht unbedingt besser.

Wir machen diese Reviews jetzt seit ca. 4 Jahren. Sowas wie hier, haben wir noch nie erlebt. Zudem halten wir uns hier schon extrem zurück und haben absichtlich viele Informationen zurückgehalten, um es den Jungs von BCR nicht noch schwerer zu machen als es ohnehin schon ist. Uns liegt genau wie dir oder dem BCR-Staff daran, dass der Tracker so bald wie möglich zurück kommt und den Usern dann ein sicheres Zuhause bietet. Aber im Interesse aller kann ich nur hoffen, dass hier die richtigen Entscheidungen getroffen werden und man aus Fehlern der Vergangenheit endlich lernt.

Auch das ist richtig. Ich war genauso geschockt als du den Review veröffentlicht hast. Und mit ihren Ausreden haben sie es auch nicht besser gemacht. Aber wie du auch sagst, sie sind auf dem Weg. Sie haben (zwar spät aber immerhin) die Konsequenzen gezogen und sind offline gegangen. Und da finde ich es einfach etwas unfair noch einmal draufzuhauen. So habe ich es nämlich empfunden. Dabei handelt es sich natürlich um mein ganz persönliches empfinden und wenn das nicht deine Intention war, dann möchte ich mich für den Angriff auf dich auch entschuldigen, aber wie ich eingangs schon schrieb, ohne deine zusätzlichen Erläuterungen waren deine Aussagen für mich nicht anders zu erkennen, als so wie ich dann auch den Post verfasst habe.

Ich stimme dir auf jedem Fall zu das BCR Fehler gemacht hat und sich nicht ansatzweise mit Ruhm bekleckert haben. Allerdings glaube ich nicht pauschal, dass die Auswahl der neuen Source ein Fehler ist. Das muss die Zeit zeigen. Und ja Designing ist eine scheißarbeit, die nicht mal eben innerhalb von einer halben Stunde erledigt ist. Das weiß ich als hauptberuflicher Webentwickler mit 5 Jahren Berufserfahrung nur zu gut. Allerdings glaube ich auch nicht, dass bei einem Tracker das Design ausschlaggebend ist. Von daher würde ich sagen, warten wir es einfach ab, anstatt BCR schon vorab zu beerdigen.

Viele Grüße
F1r3

[Instab]

Allerdings glaube ich nicht pauschal, dass die Auswahl der neuen Source ein Fehler ist.

der kritikpunkt, den Rebound hatte und dem ich mich anschließe, ist die art der reaktion vom BCR personal. nämlich anstatt jemand zu holen der ahnung hat, oder sich selbst ein bisschen weiterzubilden, wird einfach die nächste source raufgeknallt und gehofft, daß die besser ist. somit ändert sich an dem hauptproblem, daß die verantwortlichen nicht herr der lage sind, nichts.

[unodue]

warte gerne ist ein guter tracker.

Ich glaube kaum das mit diesem Tracker noch viel passieren wird.
Die sind schon zu lange Offline, geben keine Informationen heraus wann und ob es weitergeht.
Die User werden sicherlich nicht mehr lange warten bevor sie gänzlich woanders hingehen,
wenn sie es nicht schon getan haben wovon ich aber ausgehe.

Was ich nicht ganz verstehe ist :
Die haben doch angeblich einen hochgelobten Coder der alles kann ( Silez ).

Warum wurden nicht ersteinmal die Lücken laut Rebound behoben :
Die vorhandenen Sicherheitsprobleme hätte man mit ein paar Coding-Skills recht einfach beheben können.

Und parallel eine neue Source aufgesetzt ?

Naja, da kann sich jeder seine eigene Meinung zu bilden :)

Scheinbar sind sie aber unfähig die richtigen Schritte in der richtigen Reihenfolge abzuwickeln.

[ikke2323]

Oo
Wenn ich so lese was manch einer von sich gibt, bezweifel ich doch ganz stark ob man schon seinen Schulabschluß gemacht hat.
Auf der einen Seite wurde förmlich schon gebettelt das man Offline schaltet, auf der anderen Seite wird nun gemosert, das man es getan hat?
Dann ist hier zu lesen
Der Source Wechsel ist der falsche Schritt, man hätte erst mal lieber die alte Source fixen sollen!
Infos kamen vom Team
Das Fixen der alten Source würde so viel Zeit in Anspruch nehmen, das es sich nicht mehr lohnen würde, dann kommt man lieber mit einer ganz neuen Source zurück!
Also ich finde das ist mega schlau! Warum eine Uralte Source mit veralteter Technik auf Teufel komm raus Fixen, wenn man doch eine Source der heutigen Zeit und Technik nutzen könne!
Auch was den Fluss der Infos an geht, wenn man mal am richtigen Ort ist, bekommt man auch Informationen!
Also sollten solche Behauptungen mal lieber doch ganz schnell wieder gelasssen werden!
Wie ja schon bekannt wurde, gehen die nun auf die Source von UNIT 3D, welche aber was alleine schon die Deutsche Sprache angeht, so gut wie ohne auf den Markt gekommen ist! Ledeglich ein paar Zeilen scheinen mit Google übersetzt zu sein! Also auch hier ist da so einiges zu tun, da man diese Source gerne dem User dann auch in Deutsch zur Verfügung stellen möchte!
Zum Punkt - Einfach nur Install und fertig..
Hier wird etwas mehr getan als die Source einfach im Urzustand dem User vor die Füsse zu legen.

[Rebound]

Danke für den Beitrag sebastian. Deine beiden Accounts wurden nun gesperrt. Doppelaccounts sind hier nämlich laut Regeln nicht erlaubt.
Noch jemand Fragen zur BCR Teamkompetenz?

[verbatim52x]

Es ist echt erstaunlich, wie sehr der Staff (oder nur dieser völlig unfähige Sebastian?) sich immer weiter ins Abseits schießt. Wirklich unfassbar, man will auf keinen Fall eingestehen, Fehler gemacht zu haben. Ob es hier, im Gods Forum oder sonst wo ist, überall die gleiche Reaktion. Dabei wird auf keinen Fall in Betracht gezogen, dass andere Recht haben könnten, bzw. Bedenken zur Handhabung zurecht geäußert werden. Es ist unfassbar, da fehlen mir die Worte. Dieser Tracker hat echt einen Meilenstein gelegt., so viel Uneinsicht habe seit ewigen Jahren nicht mehr erlebt.

[sebastian1]

Ahhhhhhhhhhh schön.. Nun kann ich ja doch noch mal etwas klärendes hier sagen!
Ich habe hier KEINEN Doppel Account! Wenn ICH etwas zu sagen haben, mache ich es SELBER ich habe es absolut NICHT nötig andere hier vor zu schicken, oder unter falschem Namen etwas zum Thema hier zu posten!
Aber es ist echt Interessant was man mir nun echt überall unterstellt! Ich bin NICHT der Codeer / Server Admin .. sondern auch nur ein ( User ) im Team . ICH gebe ledeglich die Infos weiter, die man mir zur Verfügung stellt!
Sagt man mir - Wir machen das so oder so.. dann gebe ich das so weiter-- Sagt man mir.. es ist so oder so..- gebe ich das so weiter!
Auch wird ständig gesagt.. Warum kommt keine Entschuldigung-- Einsicht! ?? ICH selber habe MEHRFACH im Namen von BIt-City unseren Fehler eingeräumt, und AUFRICHTIG um ENTSCHULDIGUNG gebeten!
Warum geht KEINER auf diese ein? Man schickt nur einen Shitstorm nach dem Andern auf uns los.. vor allem aber auf mich! ICH bin UNFÄHIG .. ICH habe die User verarscht - ICH ICH HICH ... Ich habe NICHTS dergleichen getan! Ist eigentlich auch mal jemanden in den Sinn gekommen, das die ** Unsicherheiten ** nicht nur die User betreffen? Wir vom Team sind doch die ERSTEN die scheiße am Arsch haben, wenn da was aufliegen sollte! Somit ist die **Sicherheit ** der User für uns natürlich ein Thema, denn diese Sicherheit trifft alles aller erstes UNS -- also auch MICH.. und NICHT den kleinen User!
Das ist hier nun keine Stellungsnahme vom ganzen Team, sondern von MIR ganz alleine
sebastian

[g33rtz]

Und was willst du uns damit sagen... Das Euer Coder keine Eier in der Hose hat sich selber um die Probleme zu lösen jemand anderen vorschiebt.

Also ehrlich man hatte 3 Jahre Zeit um es zufixen und habt es nicht hinbekommen und dann auf eine neue Source zuwechseln wo euer Coder wahrscheinlich auch keine Ahnung hat wie man mit der umgeht.

Wäre euer Coder zb zu Rebound gegangen und hätte sachlich gefragt nach den Bugs dann wären die heute schon geschlossen.

Man sieht und hört Dich nur schreiben sonst keinen anderen im Team der sich äusert.

[sebastian1]

Und was willst du uns damit sagen... Das Euer Coder keine Eier in der Hose hat sich selber um die Probleme zu lösen jemand anderen vorschiebt.

Also ehrlich man hatte 3 Jahre Zeit um es zufixen und habt es nicht hinbekommen und dann auf eine neue Source zuwechseln wo euer Coder wahrscheinlich auch keine Ahnung hat wie man mit der umgeht.

Wäre euer Coder zb zu Rebound gegangen und hätte sachlich gefragt nach den Bugs dann wären die heute schon geschlossen.

Man sieht und hört Dich nur schreiben sonst keinen anderen im Team der sich äusert.

Das liegt daran, das wir uns darauf geeinigt haben, das EINER die Kommunikation macht, warum sollen nun alle durcheinander schreiben?
Ich hatte auch mehrfach erwähnt, das unser Coder das ganze Projekt im laufenden Modus vor etwas über 1 Jahr erst bekommen hatte! Und er leider nicht geschaut hatte ob die ihm vom vorhigen Coder als gefixt gekenzeichneten Bugs wirklich Fix waren! Er schaute nur auf NICHT funktionierende Anwendungen und behob diese Fehler, damit der Tracker auch wirklich nutzbar war! Aber all dieses wurde von mir auch schon MEHRFACH erwähnt, aber scheinbar nicht zur Kenntniss genommen, weil man ja nur die Texte der Trolle im Auge hat, anstat mal die Infos die vom Team kommen auch mal zu lesen!
Man liest nur -- ** vor 3 Jahren ** In 3 Jahren ändert sich viel. Dinge die man vor 3 Jahren zb. nicht Hacken konnte, sind heute für jeden der den PC anschalten kann ein Kinderspiel.. Und wer meint unser Coder hat keine Eier um sich mal zu äussern!.. Warum sieht man euch nicht im TS bei uns, wo der Coder immer mal wieder extra für die User Online geht, damit Fragen gestellt und beantwortet werden können? Was meint ihr denn wo her die User ihre Infos zum Stand der Dinge her bekommen?
THX
basti

[schotte]

Sorry was ist TS