Closed Thread
Results 1 to 5 of 5

Thread: Borgzelle

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730

    Borgzelle

    Tracker: Borgzelle
    Tracker-Source: Gazelle

    Um den Tracker aufrufen zu können, muss man zunächst die hosts-Datei (C:\Windows\System32\drivers\etc) oder (/etc/hosts) bei Linux/Unix, bearbeiten und folgende Einträge hinzufügen:
    Code:
    95.211.7.20 borgboard.borg 
    31.192.105.2 borgzelle.borg 
    31.192.105.2 announce.borg 
    95.211.7.20 borgspeak.borg
    Dies ist allerdings eher ein „Pseudo-Schutz“, da es nicht allzu schwierig sein dürfte, die entsprechenden Einträge herauszufinden. Benutzerunfreundlich ist diese Maßnahme ebenfalls, aber das will ich an dieser Stelle nicht bewerten.

    Serversicherheit

    Wichtigste Komponente für einen hohen Sicherheitsstandard ist zweifelsfrei der Server. Dieser ist bei Borgzelle leider sehr schlecht gepflegt und stellt für Hacker keine große Hürde dar. Die PHP-Info liegt direkt im Root-Verzeichnis des Trackers (https://borgzelle.borg/info.php) und gibt uns Aufschluss über PHP und MySQL.

    PHP-Version: 5.2.6-1+lenny13 (Aktuellste: 5.6.9)

    Schaut man sich die PHP-Info an, sieht man, dass „allow_url_fopen“ aktiviert ist. Diese Funktion sollte grundsätzlich deaktiviert werden, da es dadurch u. a. möglich ist, externe Dateien in vorhandene Sicherheitslücken der Webanwendung (in diesem Fall Gazelle) zu schleusen.

    MySQL-Version: 5.0.51a (Aktuellste: 5.6.25)

    Die von Borgzelle verwendete MySQL Version ist durch eine Sicherheitslücke kompromittiert (CVE-2012-2122). Da allerdings Remote Zugriff nicht erlaubt ist, hat Borg Glück und man kann diese Lücke nicht ausnutzen. Ansonsten wäre ein Hacker innerhalb von Minuten in der Datenbank.

    Webserver: lighttpd/1.4.28 (Aktuellste: 1.4.35)

    Trackersicherheit

    Die Gazelle-Source als Tracker ist gewöhnlich nicht die schlechteste Wahl. Aber auch diese Source muss gepflegt und möglichst mit Updates versorgt werden. Dies stellt keine große Schwierigkeit dar, da Gazelle auf Github liegt und daher hohe Transparenz bietet. Leider haben es die Coder von Borg geschafft, auch den Tracker selbst zu vernachlässigen, weshalb ich mindestens eine Sicherheitslücke gefunden habe, womit man einen Zugriff auf die Datenbank erhält. Aus Sicherheitsgründen werde ich darauf nicht genauer eingehen, ich poste aber ein paar Datensätze aus der Datenbank.
    ID Class Email Secret Username Passhash
    1 5 jacky4711@***.com 2olsrhv18fxi9i2oh4pa17lbagx9xia6 JackONeill c978fcd7437ed97e0e531d4076c42076d96135ed
    2 5 molke@***.prg 7m9g5wzwipaoi1s45aAypvqctqis3xy1 molke 6e6ccf57f987448050bc559465d0788acda70851
    3 5 diesisteine@***.mail k17fl55uibj5m127new6x7my9i0r05jf IceAge 7c858c56c17eg33510cbb6a8f1f146d1a4f5fd2a
    4 5 daywalker@***.ai 3vqoop3kne487f7qez0ls18k3rjy18n2 Harvey bfaba32f31A1cd30348f97ffc14c6d7ddd58171b
    5 5 aexaitaed@***.com pj6pc0icb7v7jakqyhja37hy0u2f3psd eXcited 1673bAa0f2ce773cdd96e12997f15e9efeb8ecc8
    7 5 dreamertracker@***.com az3890fbhad6ugteqn0xpyoojf7nz6cf Treklie 0d3ae951fff5571310d2944a7022834fc2d54333
    8 5 baeda@***.bae g8gh52emmnupxjumtuyonga=98n8813d Baeda 83908c67856e67590760dd3b46d80bcc4bc5c287
    9 5 njx@***.de jysa7vds0xy8mj0fmoy1b6qj2jd8bns6 Sauron d8383d5e0e1a8d0147194dc710274c11d849560d
    10 5 Smith4@***.net aszz8ka57ikm613nrludlkysakgkkz5j Smith 6c9a86171bc69e741899ad09d7e730bdcded86=9
    11 5 beta2013@***.com ijsboqqasd876h92vr1bgh43gqmsslwp ViruS b1b4b3e291b4a2d77721637600eac48162369064
    Wie man sehen kann, sind ein paar Namen dabei, die auf dem Tracker als Coder geführt werden. Die Passhashes dürften eher schwierig zu knacken sein, da diese mit einem Salt zusätzlich gesichert werden.

    Fazit

    Wenn man bedenkt, mit welchen sensiblen Daten ein Tracker konfrontiert wird und das hierbei wissentlich urheberrechtlich geschütztes Material geshared wird, ist es doch ziemlich amateurhaft, wie bei Borg vorgegangen wird. Durch die hosts-Datei Geschichte, die geschlossene Registrierung und die reglementierten Invites, wird Sicherheit suggeriert, die nicht vorhanden ist. Aus sicherheitstechnischem Aspekt kann ich jedem nur abraten, diesen Tracker zu benutzen. Bedenkt, dass man über die Datenbank sämtliche heruntergeladenen Files mit eurer IP-Adresse in Verbindung bringen kann. Borgzelle hat meinen Sicherheitscheck also nicht bestanden. Ich hoffe, der Bericht hat etwas Einblick gegeben. Wer einen Wunschtracker hat, zu dem ich ein Security Review erstellen soll, kann mir gerne eine PN schicken.

    In diesem Sinne,



    Thanks

  2. Who Said Thanks:

    Nemesis (19.11.18) , zappkönig12345 (26.06.15) , olag (24.06.15) , Großmutter (24.06.15) , Flux (16.06.15) , hunterman (10.06.15) , Daden (09.06.15) , system28 (06.06.15) , blood (06.06.15) , mmmmm (06.06.15) , Snitlev (06.06.15) , anon (06.06.15) , Lucius (06.06.15) , Instab (05.06.15) , Nagilum (05.06.15)

  3. #2

    Join Date
    21.08.08
    Location
    germany
    P2P Client
    qbittorrent; RM+
    Posts
    793
    Activity Longevity
    0/20 19/20
    Today Posts
    0/5 ssssss793
    Danke für das Review. Denkst du, dass sie die Sicherheitslücken schließen würden wenn man sie darauf hinweist?
    Last edited by coolio256; 24.06.15 at 19:27.
    Thanks

  4. #3
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Bevor ich dieses Review öffentlich gemacht habe, hatte ich versucht dem SysOp im TS zu erklären, dass einige Sicherheitslücken vorhanden sind. Aber der hat die ganze Zeit nur was von Teamviewer gefaselt und hat nicht kapiert, dass ich gar nichts von ihm wollte. Letztendlich wollte er dann lieber "zocken", weshalb ich mich verabschiedet habe und es direkt veröffentlicht habe. Die PHPInfo ist jedenfalls nicht mehr öffentlich zugänglich. Ob man noch in die Datenbank kommt weiß ich nicht, hab's seitdem nicht mehr getestet.


    Thanks

  5. Who Said Thanks:

    Nemesis (19.11.18) , Instab (24.06.15) , olag (24.06.15) , Snitlev (24.06.15)

  6. #4

    Join Date
    23.06.15
    Location
    Internet
    Posts
    7
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 ssssssss7
    Üble Geschichte.
    Ich stelle mir vor das wenn ich einen solchen Tracker betreiben würde, eine große Verantwortung auf mir lasten würde.
    Dies sehen scheinbar nich alle Sysops so, erschreckend.
    Thanks

  7. Who Said Thanks:

    Instab (24.06.15)

  8. #5

    Join Date
    20.09.20
    Posts
    10
    Activity Longevity
    0/20 5/20
    Today Posts
    0/5 sssssss10
    Gibts hierzu ein Update? War ehrlich gesagt etwas schockiert, als ich den Bericht las.
    Thanks

Closed Thread

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •