Closed Thread
Page 11 of 13 FirstFirst ... 910111213 LastLast
Results 151 to 165 of 186

Thread: BitCity Reloaded (Recheck)

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    BitCity Reloaded (Recheck)

    Tracker: BitCity-Reloaded
    Source: NV-Source

    "Winter is coming" fanden wir in diesem Fall irgendwie zutreffend, weshalb wir dieses Review damit einleiten wollen.

    Im Rahmen unserer TOG-Reviews haben wir BitCity-Reloaded etwas eingehender untersucht. Dieser Tracker hat auf TOG am aggressivsten und gleichzeitig auch am primitivsten im TOG Forum für neue User geworben.


    Serversicherheit

    OS: Linux, Debian 8
    Webserver: Apache
    SSH: OpenSSH 6.7p1 Debian 5+deb8u7
    PHP: 5.6.40-0+deb8u1
    MySQL: 5.5.62
    OpenSSL: 1.0.1t

    SSH liegt nicht auf dem Standardport, was gut ist. Nicht so gut ist die PHPInfo, die direkt im Webroot liegt (fürs Archiv haben wir die PHPInfo unten angehängt). Ist natürlich nett, wenn man direkt alle Versionsnummern so präsentiert bekommt. Die PHPInfo im Webroot liegen zu lassen stellt einen klassischen Anfängerfehler dar.
    Für die Firewall gilt das Gleiche wie bei den bisherigen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.


    Trackersicherheit

    Die Source sieht zwar besser aus als bei unserem letzten Review, das ist aber auch schon alles. Von Sicherheit kann man genau wie beim Server nicht sprechen. Wir konnten uns deshalb erneut Zugang verschaffen.

    Proof

    Auszug aus der Benutzertabelle hatten wir letztes Mal schon. Deshalb gibt es dieses mal ein paar Screenshots von einem Staffaccount.

    Interne Statistiken









    PM-Spion



    Gebannte User




    Extraservice von uns für euch

    Als kleinen Bonus haben wir eine Seite geschaltet, mit der ihr euch eure Benutzerinfos von BC anzeigen lassen können. Was auch ganz interessant ist, dort werden euch auch die Staff-Kommentare angezeigt, die vom Staff oder vom System über euch verfasst wurden und normalerweise nur für den Staff sichtbar sind. Wir dachten, den einen oder anderen könnte das sicherlich interessieren.
    Alles was ihr dafür tun müsst, ist eure Benutzer-ID von BC und den privaten Hash den ihr in unserer E-Mail erhalten habt dort eingeben.
    Die Seite findet ihr hier: https://www.sb-innovation.de/pverifier.php

    Wer keine E-Mail erhalten hat, kann sich gerne auch bei mir per PN melden. Dann erzeuge ich einen entsprechenden Hash für seinen BC-Account.

    Als zweiten Service haben wir noch unser "Hash-Verifikationsverfahren" ins Leben gerufen. Ob sich das durchsetzen wird und ob andere Tracker daran interessiert sind wird sich zeigen. Weiterführende Informationen für User und Trackerbetreiber finden sich hier: https://www.sb-innovation.de/showthr...tionsverfahren


    Fazit

    Dieses Fazit wird lang, was an der endlos langen Liste von Fehlern liegt, die hier von BC Reloaded begangen wurden. Wir werden nicht mal alle auflisten. Dafür haben wir gar keine Zeit. Wie schon beim letzten Mal konnten wir die vollständige Datenbank kopieren und sichern. Es hat einige Tage gedauert alles auszuwerten, aber wir haben sehr Erschreckendes festgestellt. Hier liegt nicht einfach nur technisches Unwissen vor, sondern auch wirklich grobe (ganz ganz grobe!) Fahrlässigkeit auf mehreren Ebenen.

    Der erste Punkt betrifft die Passwörter. Wir haben die Passworthashes mit denen von 2016 verglichen und mussten leider feststellen, dass fast niemand sein Passwort geändert hat! WTF? Wir hätten uns drei Jahre lang in fast jeden Account auf dem Tracker einloggen können. Offenbar hat BC seine User nie über den Hack von damals informiert und falls doch, den Usern nicht die angemessenen Maßnahmen empfohlen.

    Der zweite Punkt betrifft wieder Passwörter, aber dieses mal Andere. BC Reloaded besitzt ein Bewerbungsformular, was in letzter Zeit auch von vielen TOG-Usern in Anspruch genommen wurde. Dort muss man seinen gewünschten Usernamen, sein Passwort, einen Link zu einem Bild von einem Referenztracker und einen Bewerbungstext eingeben. Alle angenommenen Bewerbungen sind im System gespeichert und befinden sich in unseren Händen. Wir sind fast vom Stuhl gefallen, als wir festgestellt haben, dass dort alle Passwörter im KLARTEXT gespeichert sind! WTF²? Wir sind nun im Besitz von über tausend Passwörtern von Leuten, die über das Bewerbungsformular auf den Tracker gelangt sind.

    Als nächstes haben wir uns die Datenbank aus technischer Sicht angesehen. Wer davon keine Ahnung hat oder wen es nicht interessiert, kann diesen Abschnitt gerne überspringen. Auch hier hat jemand überhaupt keine Ahnung wie man eine Datenbank ordentlich konfiguriert.

    1. Es werden für einzelne Tabellen teilweise völlig ineffiziente (falsche) Engines verwendet
    2. Indexe fehlen entweder ganz oder sind teilweise fehlerhaft


    Allgemein sieht die Source zwar etwas besser aus als beim letzten Mal, in der Summe ist es aber immer noch viel zu wenig. Genauso der Server. Einen so konfigurierten Server haben wir lange nicht mehr gesehen.

    Weiterhin anmerken kann man noch, dass sich der Tracker offenbar nicht um unsere Security-Reviews schert. Beim letzten Review wurden wir anschließend zwar von Logitech kontaktiert, aber man hatte dort erwartet, dass wir ihnen die Arbeit abnehmen und sagen wie wir eingedrungen sind. Ein solches Vorgehen ist natürlich völliger Unsinn, weil damit das Grundproblem nicht gelöst wird. Die Kommunikation ist dann auch irgendwann von BC Reloaded Seite im Sand verlaufen. Nach unserer Ankündigung zu den TOG-Reviews ist BC Reloaded einer der wenigen Tracker, der sich nicht bei uns gemeldet hat. Wir hätten erwartet, dass hier zumindest ein grundlegendes Interesse an einer Wiedergutmachung von 2016 besteht.

    Da BC Reloaded schon bei unserem letzten Review ihre User unzureichend informiert hat, haben wir das Zepter dieses Mal selbst in die Hand genommen und allen BC Reloaded Benutzern eine entsprechende E-Mail mit Informationen zukommen lassen.

    tl;dr: Keinerlei Verbesserung des Zustands im Vergleich zum letzten Security-Review von 2016 und wieder krachend durchgefallen.



    Thanks

  2. Who Said Thanks:

    JonDoe (16.09.20) , HellsBells (14.06.19) , .Pogo. (29.04.19) , unodue (07.04.19) , dom72 (29.03.19) , tesastreifen (26.03.19) , hui64 (25.03.19) , Devils_Bitch (24.03.19) , Flux (24.03.19) , Snitlev (24.03.19) , Patron (24.03.19) , Mauerwerk (23.03.19) , Turnschuh (23.03.19) , Data1 (22.03.19) , Ibot (22.03.19) , Azrael (22.03.19) , viper1978 (22.03.19) , tr0y (22.03.19) , xJ9_ (22.03.19) , DevilsCut (22.03.19) , TheLegendary (22.03.19) , zappkönig12345 (22.03.19) , 5xxxxx (22.03.19) , Freak69 (22.03.19) , FlyingHeart (22.03.19) , Jackson312 (22.03.19) , trackeropi2 (22.03.19) , hunterman (22.03.19) , Nemesis (22.03.19) , Rednesierder (22.03.19) , Violence (22.03.19) , picasa (22.03.19)

  3. #151

    Join Date
    13.07.19
    Posts
    12
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss12
    Tatsache ist, wenn die sich von anderen Quellen haben testen lassen und sagen Wir sind nun sicher, ist das für ausreichend! Zumal ja sb-i das ganze schon längst hätte widerlegen können, wenn dem nicht so wäre! Es kam aber die ganzen Monate nichts dergleichen! Somit.. steht für mich ein SAFE absolut fes. Ein Safe ist davon mal abgesehen eh nur eine Momentaufnahme, denn man kann bereits wenige Sekunden nach dem Teyt schon wieder eine neue Lücke haben, da man zb. ein Update aufgespielt hat.
    Thanks

  4. #152

    Join Date
    29.04.19
    Posts
    10
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss10
    Welche Quelle ?
    Thanks

  5. #153
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by Vogelflug View Post
    Seiten die wir getestet haben und durchgefallen sind , sind unsicher, ist völlige Selbstüberschätzung und Schwachsinn
    also als erstes änderst du mal deinen ton und dann nimm dir mal einen moment zeit zum denken. wenn wir bei einer seite die komplette datenbank abgreifen und sogar manipulieren können, was gibt es dann noch zu diskutieren? keine ahnung wie du bei solch einer sachlage auf "Selbstüberschätzung" und "Schwachsinn" kommst.
    unter welchen umständen ist ein testergebnis für dich schlecht? wenn wir ein foto veröffentlichen, auf dem wir den server unterm arm haben?

    auch andere können auf Sicherheit testen, das kann eben nicht nur sb-i
    haben wir das je bestritten?
    der punkt ist, daß man das belegen muß. einfach nur zu sagen "wir haben getestet" ist wertlos.
    Your account has been disabled.
    Thanks

  6. Who Said Thanks:

    waffi (14.07.19) , Violence (14.07.19)

  7. #154

    Join Date
    13.07.19
    Posts
    12
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss12
    Quote Originally Posted by Instab View Post
    der punkt ist, daß man das belegen muß. einfach nur zu sagen "wir haben getestet" ist wertlos.
    Das hast sehr schön gesagt! Der Punkt ist Ihr habt es auch nicht belegt das der Tracker nach wie vor unsicher IST! Es wird einfach nur weiter behauptet das er nicht sicher ist!
    Thanks

  8. #155

    Join Date
    17.11.12
    Location
    D
    P2P Client
    utorrent
    Posts
    6
    Activity Longevity
    0/20 14/20
    Today Posts
    0/5 ssssssss6
    irgendwie denke ich bei postings von vogelflug an sebastian
    Thanks

  9. #156

    Join Date
    29.04.19
    Posts
    10
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss10
    nochmal, Quelle zu dem test deines vertrauens ?
    Last edited by .Pogo.; 14.07.19 at 16:23.
    Thanks

  10. #157
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by Vogelflug View Post
    Ihr habt es auch nicht belegt das der Tracker nach wie vor unsicher IST!
    und wie soll das in der praxis aussehen? sollen wir jede woche einen neuen test machen?

    Es wird einfach nur weiter behauptet das er nicht sicher ist!
    nein. wir sagen, daß er bei unserem test durchgefallen ist.
    Your account has been disabled.
    Thanks

  11. #158

    Join Date
    13.07.19
    Posts
    12
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss12
    Quote Originally Posted by zappkönig12345 View Post
    irgendwie denke ich bei postings von vogelflug an sebastian
    Deine Gedanken sind frei, du darfst gerne denken was du magst.

    @ sb-i macht doch einfach einen Test, dann sind alle zufrieden! Sollte BitCity dann erneut durchfallen, ist doch alles gesagt, und die sollten dann SOFORT vom Netz gehen, oder jemand nimmt sie dann zum Schutz der User vom Netz
    Thanks

  12. #159
    Sebastian ist ja nun endlich weg aus der Tracker Scene und mit Rebound lässt sich sicher reden, soll sich doch der Sys-Op bei ihm melden und nochmals für einen Test nachfragen?

    Verstehe das gebashe von den einten User hier echt nicht. Beim ersten Review wurde auch auf Gott geschworen das die Lücken nun geschlossen sind und der Tracker Safe ist und was ist passiert? Seit doch nicht so Naiv, gibt auch gute andere sichere Tracker :)
    Thanks

  13. #160
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by Vogelflug View Post
    macht doch einfach einen Test, dann sind alle zufrieden!
    und dann kommt 2 wochen danach wieder jemand und sagt es wurde was geändert und wir sollen erneut testen. und 2 wochen danach wieder usw.
    das könnte man endlos so weitermachen.

    die betreiber hatten zwischen dem ersten und zweiten test über 2 jahre zeit aufzuräumen.
    Your account has been disabled.
    Thanks

  14. #161

    Join Date
    13.07.19
    Posts
    12
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss12
    @ waffi
    Du scheinst ja auch so ein Sebastian heater zu sein! Was hat er dir den getan das du so über ihn her ziehst?
    @ Instab
    Sollte euer Test ergeben das es weiter nicht sicher ist, kann ich mir nicht vorstellen das auch nur noch ein User dann da bleiben möchte. Ich bin auf jeden dann sofort da weg, da würde dann auch kein # wir machen das SCHON# noch helfen! Sollte ein neuer Test zeigen UNSAFE, ist es das absolute aus für diesen Tracker.
    Last edited by Vogelflug; 14.07.19 at 17:16.
    Thanks

  15. #162
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by Vogelflug View Post
    Sollte euer Test ergeben das es weiter nicht sicher ist, kann ich mir nicht vorstellen das auch nur noch ein User dann da bleiben möchte
    die erfahrungen aus diesem thread sprechen für das gegenteil.
    Your account has been disabled.
    Thanks

  16. #163
    Bit-Titan Staff
    Join Date
    05.01.15
    Posts
    13
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss13
    Fakt ist doch...SBI hat BC 2 mal getestet und BC ist 2 mal durchgefallen was sicherheit betrifft......wenn BC sagt die haben sich von andere testen lassen was sicherheit angeht.....kann man das glauben oder nicht,ich glaube ist jeden selber überlassen ob da was dran ist......Fakt ist auch das durch das Unsave von SBI einige user dort sich haben löschen lassen.........aber die meisten sind dort geblieben trotz Unsave.........das sagt doch aus....das der Großteil an Usern dort es am Arsch vorbei geht was die Sicherheit betrifft......Versteh nicht was hier für eine Welle gemacht wird......die Trackerbetreiber müssen sich doch hinterfragen ob ich wirklich alles getan zu haben um sicher zu sein.Ich denk mal das wenn BC hier nochmal um ein Test nachfragen sollte dieses verneint wird.
    Thanks

  17. Who Said Thanks:

    Vogelflug (14.07.19)

  18. #164

    Join Date
    13.07.19
    Posts
    12
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss12
    Ich sage es mal so
    Wenn sb-i wirklich so umsorgt ist um die Sicherheit der User, warum haben sie dann nicht schon lange mal neu nach geschaut?
    Anstat sich immer einen schuldigen zu suchen ( am liebsten immer der Sebastian ) einfach mal einen Test machen und gut sein lassen! Aber NEIN!!!!!!!!!!! Der Staff von BitCity kam ja nicht an um Arschkriechen zu betreiben, somit lässt man lieber weiter den Trollen eine Platform und kann seinen eigenen Gottkomplex weiter ausleben. Macht einen neuen Test, oder hier zu, denn so bringt das ganze absolut nichts neues mehr zum Vorschein. Die Trolle melden sich regelmäßig um nicht vergessen zu werden, und mehr passiert da auch nicht mehr. Von Seiten des Trackers ist alles getan, nun liegt es an sb-i dieses wenn zu widerlegen, oder eben das ganze als gegeben zu sehen und hier zu schließen mehr habe ich nun zu diesem Thema auch nicht mehr zu sagen.
    Thanks

  19. #165
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723




    Thanks

  20. Who Said Thanks:

    PRIME (15.07.19)

Closed Thread
Page 11 of 13 FirstFirst ... 910111213 LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •