Tracker: Borgzelle
Tracker-Source: Gazelle
Um den Tracker aufrufen zu können, muss man zunächst die hosts-Datei (C:\Windows\System32\drivers\etc) oder (/etc/hosts) bei Linux/Unix, bearbeiten und folgende Einträge hinzufügen:
Code:
95.211.7.20 borgboard.borg
31.192.105.2 borgzelle.borg
31.192.105.2 announce.borg
95.211.7.20 borgspeak.borg
Dies ist allerdings eher ein „Pseudo-Schutz“, da es nicht allzu schwierig sein dürfte, die entsprechenden Einträge herauszufinden. Benutzerunfreundlich ist diese Maßnahme ebenfalls, aber das will ich an dieser Stelle nicht bewerten.
Serversicherheit
Wichtigste Komponente für einen hohen Sicherheitsstandard ist zweifelsfrei der Server. Dieser ist bei Borgzelle leider sehr schlecht gepflegt und stellt für Hacker keine große Hürde dar. Die PHP-Info liegt direkt im Root-Verzeichnis des Trackers (https://borgzelle.borg/info.php) und gibt uns Aufschluss über PHP und MySQL.
PHP-Version: 5.2.6-1+lenny13 (Aktuellste: 5.6.9)
Schaut man sich die PHP-Info an, sieht man, dass „allow_url_fopen“ aktiviert ist. Diese Funktion sollte grundsätzlich deaktiviert werden, da es dadurch u. a. möglich ist, externe Dateien in vorhandene Sicherheitslücken der Webanwendung (in diesem Fall Gazelle) zu schleusen.
MySQL-Version: 5.0.51a (Aktuellste: 5.6.25)
Die von Borgzelle verwendete MySQL Version ist durch eine Sicherheitslücke kompromittiert (CVE-2012-2122). Da allerdings Remote Zugriff nicht erlaubt ist, hat Borg Glück und man kann diese Lücke nicht ausnutzen. Ansonsten wäre ein Hacker innerhalb von Minuten in der Datenbank.
Webserver: lighttpd/1.4.28 (Aktuellste: 1.4.35)
Trackersicherheit
Die Gazelle-Source als Tracker ist gewöhnlich nicht die schlechteste Wahl. Aber auch diese Source muss gepflegt und möglichst mit Updates versorgt werden. Dies stellt keine große Schwierigkeit dar, da Gazelle auf Github liegt und daher hohe Transparenz bietet. Leider haben es die Coder von Borg geschafft, auch den Tracker selbst zu vernachlässigen, weshalb ich mindestens eine Sicherheitslücke gefunden habe, womit man einen Zugriff auf die Datenbank erhält. Aus Sicherheitsgründen werde ich darauf nicht genauer eingehen, ich poste aber ein paar Datensätze aus der Datenbank.
ID |
Class |
Email |
Secret |
Username |
Passhash |
1 |
5 |
jacky4711@***.com |
2olsrhv18fxi9i2oh4pa17lbagx9xia6 |
JackONeill |
c978fcd7437ed97e0e531d4076c42076d96135ed |
2 |
5 |
molke@***.prg |
7m9g5wzwipaoi1s45aAypvqctqis3xy1 |
molke |
6e6ccf57f987448050bc559465d0788acda70851 |
3 |
5 |
diesisteine@***.mail |
k17fl55uibj5m127new6x7my9i0r05jf |
IceAge |
7c858c56c17eg33510cbb6a8f1f146d1a4f5fd2a |
4 |
5 |
daywalker@***.ai |
3vqoop3kne487f7qez0ls18k3rjy18n2 |
Harvey |
bfaba32f31A1cd30348f97ffc14c6d7ddd58171b |
5 |
5 |
aexaitaed@***.com |
pj6pc0icb7v7jakqyhja37hy0u2f3psd |
eXcited |
1673bAa0f2ce773cdd96e12997f15e9efeb8ecc8 |
7 |
5 |
dreamertracker@***.com |
az3890fbhad6ugteqn0xpyoojf7nz6cf |
Treklie |
0d3ae951fff5571310d2944a7022834fc2d54333 |
8 |
5 |
baeda@***.bae |
g8gh52emmnupxjumtuyonga=98n8813d |
Baeda |
83908c67856e67590760dd3b46d80bcc4bc5c287 |
9 |
5 |
njx@***.de |
jysa7vds0xy8mj0fmoy1b6qj2jd8bns6 |
Sauron |
d8383d5e0e1a8d0147194dc710274c11d849560d |
10 |
5 |
Smith4@***.net |
aszz8ka57ikm613nrludlkysakgkkz5j |
Smith |
6c9a86171bc69e741899ad09d7e730bdcded86=9 |
11 |
5 |
beta2013@***.com |
ijsboqqasd876h92vr1bgh43gqmsslwp |
ViruS |
b1b4b3e291b4a2d77721637600eac48162369064 |
Wie man sehen kann, sind ein paar Namen dabei, die auf dem Tracker als Coder geführt werden. Die Passhashes dürften eher schwierig zu knacken sein, da diese mit einem Salt zusätzlich gesichert werden.
Fazit
Wenn man bedenkt, mit welchen sensiblen Daten ein Tracker konfrontiert wird und das hierbei wissentlich urheberrechtlich geschütztes Material geshared wird, ist es doch ziemlich amateurhaft, wie bei Borg vorgegangen wird. Durch die hosts-Datei Geschichte, die geschlossene Registrierung und die reglementierten Invites, wird Sicherheit suggeriert, die nicht vorhanden ist. Aus sicherheitstechnischem Aspekt kann ich jedem nur abraten, diesen Tracker zu benutzen. Bedenkt, dass man über die Datenbank sämtliche heruntergeladenen Files mit eurer IP-Adresse in Verbindung bringen kann. Borgzelle hat meinen Sicherheitscheck also nicht bestanden. Ich hoffe, der Bericht hat etwas Einblick gegeben. Wer einen Wunschtracker hat, zu dem ich ein Security Review erstellen soll, kann mir gerne eine PN schicken.
In diesem Sinne,
Bookmarks