TSC

[Rebound]

Tracker: TSC
Source: schwer zu sagen, ich würde auf eine veränderte NV-Source tippen

Vom Unterhaltungswert kann ich versprechen, dass dieses Security-Review das bislang Amüsanteste werden wird. Für gewöhnlich halte ich mich ja ziemlich dezent zurück, aber diese Aktion, die sich da TSC geleistet hat, werde ich gnadenlos ausschlachten. Aber fangen wir erst mal wie mit jedem Security-Review an. Großer Dank geht wie immer an Instab, der mich auch hier tatkräftig unterstützt hat. Los geht’s!

Serversicherheit

OS: Linux, Debian 8
DB: MySQL, 5.5.44-0+deb8u1
SMTP: Postfix
Webserver: Apache/2.4.12
SSH: OpenSSH_6.7p1
SHOUTcast: 1.9.8

Die MySQL Version ist auf dem Stand vom Juli und somit sehr aktuell im Vergleich zu den anderen getesteten Trackern. Weniger gut ist allerdings, dass sie von außen erreichbar ist und das ohne Hostfilter und auf dem Standardport!
Auch ein Mailserver antwortet brav am Standardport, was für sich gesehen kein Problem ist. Da eine Torrentseite aber weder e-Mails empfangen muss, noch sollte, stellt dies ein unnötiges Risiko dar.
Wenn man also das Gesamtbild betrachtet, zeigt sich wie so oft eine schlecht konfigurierte Standardinstallation, die in diesem Fall immerhin nicht auch noch durch stark veraltete Versionen glänzt. Soll heißen: Es gab schon schlimmere Fälle, aber von einem Meisterstück ist auch dieser Server sicherheitstechnisch gesehen weit entfernt.

Trackersicherheit

Wie auch bei vielen anderen deutschen Trackern konnte ich hier einige der häufigsten Lücken ausfindig machen, welche mir problemlosen Zugriff auf die Datenbank ermöglicht haben. Damit ist es auch hier möglich, sämtliche Userdaten, Torrents, Private Nachrichten etc. auszulesen. Wie immer habe ich exemplarisch die Datenbanken aufgelistet und einen kleinen Auszug aus der Benutzertabelle. Anschließend folgen ein paar Erklärungen.

Datenbanken

• information_schema
• mysql
• performance_schema
• phpmyadmin
• programmagic
• tsctracker

ID	Added	Class	Email	Username	Passhash
1	2008-07-17 02:42:37	102	cen***@web.de	Force	2903396cfb4fa5a4adec4448909ea1a8
21749	2013-02-16 00:14:25	1	cen***@web.de	Scubadevil	41065ff29e29c6a4bde4136a81b8dc96
21761	2013-02-16 23:4 7:02	1	cen***@web.de	Test	d81115a0662cba7b2e5e3da1b58f45d1
21781	2013-02-18 00:04:17	1	cen***@web.de	Cazzper	3d66c299d8df5a921770bc1c7af5568e
21792	2013-02-18 15:29:37	1	cen***@web.de	bvb	8a4f7466349c56dd0b4bf3431c7fe4d8

Auch wenn eine Sache im Auszug der Benutzertabelle direkt auffallen sollte, habe ich die entsprechenden Stellen mal rot markiert. Obwohl ich die E-Mail-Adressen zensiert habe, so kann man doch eine verblüffende Ähnlichkeit feststellen, obwohl es sich bei jeder Zeile um einen anderen Benutzer handelt. Doch wie kann das sein? Die Antwort ist ziemlich einfach und zugleich schockierend: Ich habe versehentlich beim rumspielen mit der Datenbank alle E-Mail Adressen in der Benutzertabelle mit meiner Eigenen überschrieben.
Ich dachte erst an einen Fehler meinerseits, aber es stellte sich schnell heraus, dass ich tatsächlich von allen Usern die Mail-Adresse geändert habe.
Aber richtig amüsant wird diese Aktion eigentlich erst mit der letzten Newsmeldung, die TSC herausgebracht hat:

Durch einen Systemfehler wurden leider alle Profile auf Anfang gestellt
und eure E-Mail Adresse wurde leider auch geändert!
Der Fehler wurde gefunden und beseitigt!
Allerdings bitten wir euch, eure Profile wieder selbst einzustellen, dickes SORRY dafür !
Als kleine Entschädigung für eure Mühen stellen wir alle Torrents auf OU !
Vielen Dank für das Verständnis und weiterhin viel Spass!

„Systemfehler“. So nennt man einen Hack jetzt neuerdings also. Ich weiß nicht, was ich schlimmer finde. Die vorhandenen Sicherheitslücken oder die dreiste Lüge, mit der die Community für dumm verkauft werden soll. Solche „Systemfehler“ gibt es nicht. Entweder wurden als Panikreaktion direkt alle Mailadressen mit einem Platzhalter ersetzt, wodurch auch ein Teil der Profileinstellungen verloren gegangen ist oder, was wesentlich erschreckender wäre, es existierte kein Backup! Damit hätte man die E-Mail-Adressen ziemlich einfach wieder zurücksetzen können. Dies verleitet mich zu der Annahme, dass es keine regelmäßige Backup-Routine gibt, was bei jedem Web-Projekt grob fahrlässig ist. Auch wenn ich es noch nicht erneut getestet habe, so bin ich mir sicher, dass die eigentliche Sicherheitslücke noch nicht mal geschlossen wurde.

Fazit

Wie mein Review ausfällt, kann man sich wohl denken. Setzen sechs!

[Missi]

man wird´s sehen und erleben auch wenn, bzw. falls das neue Review (oder wie sagst du "Preview") als Safe auftauchen sollte.
man ist geprägt aus den vergangenen Jahren , und ich denke mal nicht das die User es selbst wissen.
viele sind eben bisschen schlauer wie du oder andere von dort.

aber lassen wir es mal so stehen und lassen dir/euch den glauben, wer hoooooch fliegt wird sehr tiiief fallen.

und wir werden zu schauen und

Auch wieder so eine Aussage!
Wer fliegt hier wo hoch?
Es gibt immer einen der besser ist!
Ich verstehe einfach auch deinen Groll nicht gegen uns, was bezweckst du mit deiner ständigen Nörgelei, das bringt niemanden einen Schritt weiter.

Du erzählst irgendwas von, es hat sich nichts geändert was schon mal definitiv Unwahr ist, beleidigst in einer tour das Team, was bezweckst du mit solchen Aussagen bitte?

Alles wo rum ich dich gebeten habe war etwas Contenance in deinen Aussagen zu bewahren, ist das zuviel verlangt, du wirfst hier mit Aussagen um dich und das in einer Tonalität wo ich mir denke wie alt ist der Bitte.

Es hat halt auch überhaupt keinen Sinn mit dir zu schreiben da eh nur immer wieder das gleiche kommt.

Was die neue Source betrifft, auch dazu habe ich mich schon mehrmals geäußert, es wird keine neue geben, weil, die die wir haben ist absolut in Ordnung!

Es ist richtig das wir mal angefangen hatten mit einem anderen Coder aber sehr schnell festgestellt haben das uns das nicht gefällt, also, last but and least haben wir unsere bestehende Source überarbeitet und diese läuft besser wie jemals zuvor. Wir haben einen sehr guten Coder der täglich bestrebt ist alles zu tun für die Sicherheit der Member und für den reibungslosen Betrieb.

Ich verbleibe mal Mit freundlichen Grüßen
Missi

[Flux]

Wenn du im waren Leben auch immer das letzte Wort haben musst, dann tust mir leid. ...... greetz

und dafür musstest du dich registrieren sanfte Leistung

[liller1]

Darauf hatte ich gewartet, hast es allen bestätigt. Du bist ein Kobold. Und somit für alle die Bestätigung. Aus welchem Grund ich mir rege kann die LATTE sein. :-D

[Rebound]

Auch drei Wochen nachdem hier seitens des Staffs große Töne gespuckt wurden, haben wir immer noch keinen Account für einen Recheck erhalten. Also lag ich mit meiner Einschätzung wohl richtig, dass seitens TSC wirklich niemand Interesse an einer Wiedergutmachung hat. Das ist sehr enttäuschend und wirft kein gutes Licht auf die Verantwortlichen.

[Missi]

Auch drei Wochen nachdem hier seitens des Staffs große Töne gespuckt wurden, haben wir immer noch keinen Account für einen Recheck erhalten. Also lag ich mit meiner Einschätzung wohl richtig, dass seitens TSC wirklich niemand Interesse an einer Wiedergutmachung hat. Das ist sehr enttäuschend und wirft kein gutes Licht auf die Verantwortlichen.

Hallöchen Rebound,

immer ruhig mit dem jungen Pferden, ich schicke dir gleich eine PN mit den Test ACC Daten, kannst dich austoben.
Ich freue mich auf den erneuten Test und hoffe auf eine gute Zusammenarbeit.

greeetz
Missi

[Rebound]

Hier geht's weiter: https://www.sb-innovation.de/showthr...-TSC-(Recheck)