Quelle: TNIn Zusammenarbeit mit btsec werden wir in den nächsten Tagen/Wochen unsere Mainpage auf bestmögliche Sicherheit zertifizieren.
Einige Dinge haben wir jetzt schon umgesetzt z.B.: unsere Datenbanken samt Tracker sind hochgradig verschlüsselt.
Es folgen natürlich weiterhin ständige Sicherheitsupdates. Um die Sicherheit aller zu gewährleisten.
Ein Besuch auf btsec lohnt sich in jedem Fall. Dort seit ihr immer auf dem Laufendem, welche Anti-Leech Tracker zertifiziert sind.
mfg
Wer versucht zu rennen, bevor er laufen kann, kommt meistens zu Fall
stop animal experiments, take child molesters - they like pain!
Besser man bereut was man getan hat, anstatt zu bereuen das man es unterlassen hat
Wenn ich das richtig verstehe, werden jetzt irgendwelche Tracker von einer anonymen Zertifizierungsstelle zertifiziert. Mir erschließt sich der Sinn des Ganzen nicht. Scheinbar werden ja zwecks Überprüfung Server- und Datenbankdaten weitergegeben.
was genau weitergegeben wird wäre in der tat interessant.Originally Posted by wOOt
was https betrifft gilt hier das gleiche wie immer nämlich dass die tatsache ob ein zertifikat zertifiziert ist oder nicht an der funktionalität der verschlüsselung nichts ändert.
zudem sei noch angemerkt dass gegen tests wie sie die bekannten und beliebten abmahner durchführen verschlüsselung nichts bringt weil die abmahner ja als 'normale' user agieren.
soll nicht heissen dass btsec eine schlechte sache ist nur eben auch kein grosser gewinn im vergleich zu ohne.
Your account has been disabled.
Besliest euch doch bitte erstmal richtig auf btsec.
Es werden keinerlei Daten getauscht oder weitergegeben!
Die Teilnehmenden Tracker wie z.B. TH,TN,mytorrent legen besonderen Wert auf die Sicherheit der gespeicherten Daten.
Das heißt hier werden unteranderem die Datenbanken stark verschlüsselt im Falle das z.B. die Daten in falsche Hände gelangen sollten können diese nicht ausgewärtet werden.
Zudem https/SSL Zertifikat:
Dieses Zertifikat können nur Tracker einsetzen die die Mindestsicherheitsanforderungen erfüllen.
Weiterhin soll es dem User klar machen: Diese Zertifikate ermöglichen das sichere surfen auf mehreren Webseiten, ohne Ausnahmen hinzufügen zu müssen.
Also nochmal im Groben:
Wer btsec auf einen Tracker liest weis fortan nun. Das dass Thema Sicherheit dort nicht auf die leichte Schulter genommen wird.
Hier mal einpar kurze Zitate von btsec:
Es gibt viele ALTs im deutschen Raum, die mir bekannt sind, die was den Schutz der Daten ihrer User angeht, nicht sicher sind. Diese Tracker sind meistens leicht erkennbar und katastrophal abgesichert. Dabei meine ich nicht den Schutz vor aktiven Eindringversuchen oder Denial of Service Angriffen, sondern nur den Datenschutz.
Das ist der wichtigste Aspekt, meiner Ansicht nach, der Schutz der Userdaten. Außerdem wird an sehr vielen Stellen einfach viel zu viel gespeichert. In der Öffentlichkeit regen sich viele über die Vorratsdatenspeicherung auf. Auf deutschen ALTs ist Vorratsdatenspeicherung über Monate hinweg bittere Realität und wird ganz routinemäßig durchgeführt.Und hier mal der Gläserne User:Die BTCA ist eine Zertifizierungsstelle für BitTorrent-Dienste, mit dem Anspruch, die Daten der Benutzer vor böswilligem Zugriff durch Angreifer (Cracker, Script Kiddies) zu schützen.
Was kann schon im anonymen Internet passieren, was weiss der ALT und das darunterliegende System eigentlich über den User? Mehr als man zuerst annimmt. Die meisten ALTs sind als Webanwendung mit PHP und MySQL entwickelt und bestehen darum aus mehreren Komponenten, die Userdaten an verschiedenen Stellen ablegen.
Was weiss ein ALT?
Damit ein Anti-Leech-Tracker überhaupt funktionieren kann, ist er auf eine Reihe an Daten angewiesen, die gespeichert und verarbeitet werden müssen. Anonymität ist also nicht möglich. Neben eurem Passkey, eurem Pseudonym und eurer E-Mail Adresse wird noch eine Reihe weiterer Stammdaten routinemäßig gespeichert:
Eindeutige Benutzernummer
Letzter Login/Letzer Torrentdownload
Ratio, Datenmenge Download, Upload
Geld an den Tracker gespendet oder nicht
Letze IP mit der zugegriffen wurde
Webseeder oder nicht
Beispielhaft für NV Source
Das erscheint erstmal ziemlich wenig zu sein, um euch eindeutig bei euch daheim vorm Computer zu identifizieren. Aber was passiert, wenn die Daten in die falschen Hände gelangen? Einem unerfahreren Administrator ist es damit leicht möglich die kleinen von den großen Fischen zu trennen und sich beim Provider zu melden. Zusätzlich ist eure IP-Adresse auch mit jedem Torrent assoziert, das ihr jemals auf dem ALT heruntergeladen habt.
Diese Daten sind sehr sensibel und müssen geschützt werden. Aber leider hört es da noch nicht auf.
Was weiss der Server?
In Logfiles werden auf dem Server des ALT-Betreibers alle wichtigen Ereignisse protokolliert. Mit Datum, Uhrzeit und oft auch wichtigen Zusatzinformationen. Gerade die Logfiles des Webservers enthalten eine Menge weiterer Informationen über euch.
Wann wurde zugegriffen?
Auf was wurde zugegriffen?
Welches Betriebssystem benutzt der User?
Welchen Browser benutzt der User?
Über Webseiten wie die RIPE lässt sich damit leicht in Erfahrung bringen, bei welchem Internetprovider der User ist. Mit Software wie GeoIP lässt sich ein ungefährer Standort ausmachen. Alles automatisch.
Auch diese Daten müssen geschützt werden.
Über euren Sysop
Viel sensibler sind die Daten die der Server über die Arbeit eures Sysops darauf speichert. Dazu gehören alle durchgeführten Programmaufrufe genauso, wie die Zeit und IP-Adresse zu der euer Sysop wieder am ALT geschraubt hat. Auch diese Daten sollten geschützt sein.
Zustand deutscher ALTs
Eine Katastrophe. Aus Gesprächen mit einigen kleinen deutschen ALTs und auch etwas größeren sticht ein Punkt hervor:
Viele wissen nicht um die Wichtigkeit des Datenschutzes auf ihrem ALT.
Andere wissen davon, sind bemüht, aber scheitern an den technischen Hürden. Nur eine ganz kleine Teilmenge der deutschen ALTs setzt meines Wissens nach Maßnahmen um, die erhobenen Userdaten schützen.
Hier muss dringend nachgebessert werden. Bei allen.
Eine Notlösung setzt ein bekannter deutscher ALT-Sysop ein: Sicherheitsprüfungen und Empfehlungen an sein Team.
Falls btsec das hier liest kann er mich ja gerne nochmal berichtigen :)
Last edited by root; 16.06.11 at 16:23.
die benutzerdaten sollten verschlüsselt gelagert und vom zugriff der staffer so gut es geht verborgen sein. sensible daten z.b. nur für sysop bzw. den server admin sichtbar.
als benutzer kann man den useragent des browsers manüll ändern damit die übertragenen daten nicht der wirklichkeit entsprechen. zudem referer, css history und javascript ausschalten. wer ganz sicher sein will nutzt einen proxy oder ein vpn.
das wäre alles. dafür braucht es meines erachtens nach keinen externen dienstleister.
Your account has been disabled.
Das sehe ich etwas anders @Instab
Im Prinzip hast du recht. Aber siehe zum Beispiel "Sony" wer seine Userdaten nicht schützt fliegt auf die Schn......
Last edited by root; 16.06.11 at 18:03.
Dieses Zertifikat ist letztendlich doch genausoviel wert, wie eines vom Trackerbetreiber selbst ausgestelltes, nämlich nichts. Wer heutzutage seinen Tracker nicht verschlüsselt sollte die Finger vom Trackergeschäft lassen und wer sich als User mit Realdaten anmeldet, dem ist eh nicht mehr zu helfen. Ich benutze zB. für jeden Tracker eine andere Mailadresse, anonmail.de machts möglich. Einen kurzen Test was man von einem Tracker erwarten kann: einfach mal die Url so eingeben: http://trackername,xx/phpmyadmin/ oder http://trackername,xx/torrents/ oder http://trackername,xx/bitbucket/ oder http://trackername,xx/include/
wenn da auch nur das Geringste zu sehen ist und sei es nur ein htaccess-Fenster - schnell wieder weg
gut, bin ganz ohr
hmm, also doch nicht so anders?Im Prinzip hast du recht.
und das unterscheidet sich von dem was ich gesagt habe wie und wo?Aber siehe zum Beispiel "Sony" wer seine Userdaten nicht schützt fliegt auf die Schn......
mein punkt ist dass man dafür keinen externen dienstleister braucht. wer das nicht selbst kann wird nie gut sein in punkto sicherheit auch wenn er einmalig hilfe bekommt.
Your account has been disabled.
Die Lösung mit den VPN`s und fake daten ist natürlich nicht schlecht. Doch bedenke! 95% der User im Allgeimeinen nutzen keine VPN´s und dergleichen. Daher ist es schon wichtig das der jeweilige Tracker dafür sorgt möglichst schwierig an die begehrten daten zu kommen. Oder möchtest du das man an die Daten die dein VPN Speichert herran kommt? Der muss nämmlich auch dafür Sorgen das deine Daten möglichst Sicher gespeichert sind. Es wurde schon oft genug bewiesen das die angeblich Anonymen VPN´s doch Daten Speichern und garnicht so sicher sind wie beworben.
---------- Post added at 22:55 ---------- Previous post was at 22:45 ----------
Falsch! Selbstausgestellte Zerifikate kann man Manipulieren und eine fremde Seite kann sich dann als die vermeintlich echte Website ausgeben.
Und hier nochmal aus dem Wiki für all diejenigen die noch nicht richtig wissen was https überhaupt bringt:
Das heist zum Beispiel: Habe ich es auf einen Account von Tracker XY ohne https abgeshen so würde ich mich zwischen den User und den Tracker einklinken und die unverschüsselten Logindaten zum Beispiel mitschneiden und zugriff auf vielleicht eines der Staffmitglieder erhalten um schaden anzurichten. Mit https ist das ganze schon um einiges schwieriger.Das HTTPS-Protokoll wird zur Verschlüsselung und zur Authentifizierung der Kommunikation zwischen Webserver und Browser im World Wide Web verwendet.
Ohne Verschlüsselung sind Web-Daten für jeden, der Zugang zum entsprechenden Netz hat, als Klartext lesbar. Mit der zunehmenden Verbreitung von Funkverbindungen, die etwa an WLAN-Hotspots häufig unverschlüsselt ablaufen, nimmt die Bedeutung von HTTPS zu, da hiermit die Inhalte unabhängig vom Netz verschlüsselt werden. Es stellt dabei das einzige Verschlüsselungsverfahren dar, das ohne gesonderte Softwareinstallation auf allen Internet-fähigen Computern unterstützt wird.
Die Authentifizierung dient dazu, dass sich jede Seite der Identität des Verbindungspartners vergewissern kann – ein Problem, das durch Phishing-Angriffe zunehmend Bedeutung bekommt.
Last edited by root; 16.06.11 at 23:13.
ja logisch. genau das hab ich ja gesagt:
nur sehe ich dabei keinen grund für einen externen dienstleister weil:
Your account has been disabled.
Das ist nicht dein Ernst oder?
Soll das heissen wenn ich ein Zertifikat erstelle dann ist das unsicherer als das von btsec, was auch nur igendwer mal erstellt hat und es einfach nur rumgereicht wird?
Ich hab bisher noch von niemandem gehört der einen man in the middle angriff zum Opfer gefallen ist.
Aber auch mit einem selbsterstellten Zertifikat kannst du das knicken, das ist genau so wenig dagegen anfällig wie das so hoch angepriesene von btsec.
Wenn ich falsch liege oder was übersehen habe, vielleicht ist das Zertifikat ja was ganz besonderes oder so, dann korregiert mich bitte.
Ansonsten sehe ich es so, dass auf der einen Seite natürlich die Betreiber zur Sicherheit angehalten sind, aber auch die User.
exakt. sicherheit ist kein artikel den man kaufen kann. es ist immer ein bestandteil von allen beteiligten elementen.
Your account has been disabled.
Sicherheit ist immer eine Kombination aus vielen Unterschiedlichen Schritten und hängt nicht nur an einem einzigen Zertifikat.Und ein selbst erstelltes oder eines von einem der offiziellen Anbieter sind was die Funktion angeht der Verschlüsselung alle gleich unsicher,da gibt es keinen Unterschied.
Der Unterschied bei dem btsec zum selbst erstellten liegt in der Zertifizierung der Zertifikate.Selbst erstellte Zertifikate sind nicht zertifiziert und werden so von vielen Browsern nicht richtig Angenommen.Das btsec ist ein offizielles Zertifikat einer der Validierungsstellen und funktioniert somit in allen Browsern.
Das ist absoluter Blödsinn.
Schaut hier: btsec » Blog Archive » btsec goes private
Posting Permissions
Reply With Quote
Bookmarks