Closed Thread
Results 1 to 7 of 7

Thread: Immortuos

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    Immortuos

    Tracker: Immortuos
    Source: UNIT3D

    Der Staff von dem neuen Tracker Immortuos hat uns bereits vor der offiziellen Eröffnung um eine Einschätzung der Sicherheit gebeten. Mittlerweile ist der Tracker offiziell eröffnet und einem Security-Review steht nichts mehr im Wege.
    Auch Immortuos hat sich bedauerlicherweise für die aufgeblähte UNIT3D-Source entschieden.

    Serversicherheit

    OS: Linux, Ubuntu
    Webserver: nginx 1.15.8
    SSH: OpenSSH 7.6p1 Ubuntu 4ubuntu0.3

    SSH liegt nicht auf dem Standardport und sehr weit oben. Wie bei der UNIT3D üblich, gibt es noch einen offenen Port für Node.js. Immortuos folgt leider ebenfalls dem unschönen Trend und setzt Cloudflare ein.

    Für die Firewall gilt das Gleiche wie bei den meisten anderen Reviews auch: Falls eine existiert, ist sie nicht effektiv genug konfiguriert.

    Erwähnen muss man an dieser Stelle noch den Serverstandort Online.net in Frankreich. Als direktes Nachbarland und mit guten bilateralen Beziehungen zwischen Frankreich und Deutschland, ist der Standort kaum sicherer als Deutschland selbst.


    Trackersicherheit

    Zumindest oberflächlich befindet sich die UNIT3D in einem ziemlichen Standardzustand und der Tracker sieht genauso aus wie alle anderen deutschen Tracker mit dieser Source. Positiv zu vermerken ist allerdings, dass die standardmäßigen externen Bibliotheken der UNIT3D-Source entfernt wurden und dadurch kein externer Service mehr Daten sammeln kann (abgesehen von Cloudflare).

    Sicherheitstechnisch ist die Source aber solide und offenbart keine kritischen Probleme. Einzig die Server-Konfiguration scheint für die UNIT3D (noch) nicht optimal zu sein. Seitenladezeiten von teilweise bis zu 10 Sekunden sind auch für die überfrachtete UNIT3D eher untypisch. Zumindest bei der derzeitigen Benutzer- und Torrentzahl.


    Fazit

    Server und Source sind in Ordnung, auch wenn man da noch einiges verbessern kann.
    Die Kommunikation mit dem Staff war angenehm und auf Verbesserungsvorschläge wurde zumindest teilweise eingegangen. Die Tatsache, dass sich der Tracker schon vor der offiziellen Öffnung gemeldet hat, ist vorbildlich. In der Summe erhält der Tracker von uns deshalb ein Safe.



    Thanks

  2. Who Said Thanks:

    Replaymax (31.07.20) , Ronnsen (20.09.19) , Crash90 (15.08.19) , LeckiTeng (06.08.19) , ***BrainFire*** (31.07.19) , AngelsHeart (21.07.19) , Schlapppi587 (14.07.19) , matrix2003 (14.07.19) , waffi (14.07.19) , Großmutter (14.07.19) , .Pogo. (13.07.19) , xJ9_ (13.07.19)

  3. #2

    Join Date
    22.11.09
    Posts
    5
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssssss5

    Nochmal ein Nachtrag

    Also der Tracker ist leider doch nicht ganz so sicher ... Leider wurden ein paar Lücken gefunden.

    Auf SceneHub wurde die Datenbank veröffentlich mit allen Logs und Screens vom AdminPanel eines Teamlers ..

    Die Usertable können ausgelesen werden so das man als klartext den Usernamen und PW sehen kann ..

    Dadurch sind Lib dateien und Hash dateien auch Auslesbar.

    Da die User sich ja damit Rühmen alte GODS Teamler zu sein und sie auf dem Forum ihre macht ausspielen an unschuldigen Usern , zeigt einem das Diese Teamler nicht reif sind und nicht mit sensieblen Userdaten umgehen können und dürfen ...

    Forum Radio und Teamspeak liegen auf einem anderen Server was im grunde ja nicht schlecht ist ... wenn man nicht durch den Teamspeak Port auch den Serverport vom Tracker raus bekommen könnte....

    Dadurch kann man leider dann erkennen das die Source in Frankreich liegt und egal ob man jetzt nen Proxy schaltet oder nicht , der User und das Team immer Rechtlich angreifbar ist.UND STRAFRECHTLICH SCHNELL VERVOLLGT WERDEN KANN ( SIEHE WOT , DTC , ) .

    Desweiteren wie auf den internen Bord auf SceneHub gut zu sehen ist , kann die Source nicht unterscheiden , sie sieht nicht wenn man als User in einen Team ACC einloggt .. (keine warnung oder doppel IP erkennung ) .Wurde mit 3 Teamlern in 3 Teamklassen ausprobiert und ging ohne probleme.

    Also doch lieber die Finger von dem Tracker lassen .... Egal ob es eine Unit3d ist ... Die Shoutbox sowie die Admin rights und eine ganze andere menge ist in dieser Source zwar geändert worden zum Original ... Aber leider dadurch auch Hardcodet .... ( Jungs eure Übersetzung von einigen sachen sind schlechter als 3. Klasse Englisch )

    also möchte ich Rebound bitte nochmals bitten ... ins Hub zu schauen und sein Safe zu überlegen ..

    Der Coder DragonHunter scheint ja ein wehnig Ahnung zu haben aber nicht was Sicherheit bei veränderungen in der Source.

    Der Teamler Timecut scheint ein Komp. Mensch zu sein , spielt aber leider seine macht Position an einigen Wichtigen Usern in der Scene aus ... (änder mal dein PW ^^) (matrix und Brainfire am besten auch mal .. ) aber egal wie oft ihr versucht das PW zu ändern es ist einfach im Lib eine Lücke ...

    Der Owner Schlappi ist ja nun auch ein alter Hase ( siehe Gods) , aber auch du solltest aufpassen auf welche Links du Klicks und wehm du welche PM´s schickst ...

    Und wenn ihr die nicht schliest kann man immer wieder die Datenbank auslesen und Runterladen sorry.
    Bei Fragen könnt Ihr euch gerne an mich wenden und ich gebe Euch Tips.

    ALSO LIEBE USER ,WENN IHR DAS HIER LEST .EIN SAFE als BILD HEISST NICHT SAFE .WENN DAS TEAM (auch wenn 2 davon IT ler sind ) keine ahnung ahnung haben was Sourcebearbeitung und nur Serverrights Beruflich machen .... (noch ein kleiner kritik )Punkt ... Euer TS ist auch auslesbar,was ihr untereinander schreibt kann man im Ghost Modus mitlesen
    Last edited by Ralphie; 31.07.19 at 09:33.
    Thanks

  4. #3
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Ich will das natürlich nicht ausschließen. Aber alles was du beschreibst, kann man mit ein paar Kenntnissen leicht in ein paar Minuten herausfinden. Beweise für den Hack bleibst du schuldig und verweist auf irgendein internes Forum.
    Ohne aussagekräftigen Proof (kannst du mir auch per PN senden) gehe ich deshalb erst mal von Fake-News aus.

    Was sollen Hash-Dateien sein?
    Was dieses ominöse "SceneHub" sein soll, wolltest du uns ja auch 2009 schon nicht erklären: https://www.sb-innovation.de/showthr...l=1#post144179


    Thanks

  5. Who Said Thanks:

    Ronnsen (20.09.19) , Rednesierder (20.09.19) , LeckiTeng (06.08.19)

  6. #4

    Join Date
    13.07.19
    Posts
    12
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss12
    Das ist ja mal ein starkes Stück. Zumal da jemand vom Team angeblich auch zum Prüfteam von sb-i gehört. Nun zeigt sich ja ganz deutlich wie toll die hier von sb-i wirklich einen Tracker prüfen, wenn so extrem sensible Daten im Klarnamen zum Nachlesen im Netz landen. Was die Hochnäsigkeit einiger alten GODS Staffler betrifft, hier habt hier aber mal mehr als schön einen auf den Kopf bekommen. Wird höchste Zeit mal von eurem hohen Ross zu steigen.
    Last edited by Vogelflug; 31.07.19 at 09:54.
    Thanks

  7. Who Said Thanks:

    viki 88 (17.04.22)

  8. #5
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by Vogelflug View Post
    Das ist ja mal ein starkes Stück. Zumal da jemand vom Team angeblich auch zum Prüfteam von sb-i gehört.
    Auch dafür bitte handfeste Beweise.

    Ihr habt dafür beide 24h Zeit. Ansonsten gehen wir davon aus, dass hier mal wieder irgendein privater Kleinkrieg ausgetragen wird und die Beiträge werden entfernt. Wäre bei Ralphie ja auch nicht das erste Mal, wenn ich mir die History hier so angucke...


    Thanks

  9. Who Said Thanks:

    Ronnsen (20.09.19) , LeckiTeng (06.08.19)

  10. #6
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Nachdem die 24h Stunden bereits abgelaufen sind, gibt es nun das Statement von SB-Innovation dazu.

    Wir nehmen solche Sicherheitshinweise sehr ernst. Immortuos tut das ebenfalls, da sie uns direkt kontaktiert und einen weiteren Testaccount zur Verfügung gestellt haben.
    Trotzdem erwarten wir in diesem Forum einen angemessenen Umgang im gemeinsamen Miteinander, weshalb bis auf Beitrag #2 und #4 auch alle Beiträge entfernt wurden.

    Nun ein bisschen was zur eigentlichen Sache. Ralphie konnte sein Versprechen leider nicht einlösen und hat uns keine konkreten Beweise dafür liefern können, dass ein Hack stattgefunden hat. Uns wurden keinerlei sensible Daten zugespielt, anhand denen man das irgendwie hätte verifizieren können. Lediglich irgendwelche zusammenkopierten Meta-Infos, die jeder hätte erstellen können.
    Wir fragen uns also, wieso hier nichts aus der Datenbank veröffentlicht wurde, wenn man sie doch angeblich so einfach herunterladen kann? Bis auf haltlose Behauptungen und Anschuldigungen, ist hier in der Summe nichts herumgekommen.
    Was da intern mit dem Benutzer Ralphie aka rastma abgelaufen ist wissen wir nicht und das hat hier auch nichts verloren.

    Nicht ohne Grund liefern wir in unseren Security-Reviews im Falle eines Unsafes immer einen Proof mit. Würden wir das nicht tun, passiert nämlich genau sowas wie hier. Aussage gegen Aussage. Das kann letztendlich niemand nachprüfen.

    Falls es also noch irgendwelche belegbaren Hinweise über Sicherheitsprobleme bei Immortuos geben sollte, dann bitten wir darum, diese hier auch mitzuteilen. Haltlose Behauptungen und Rufschädigung werden wir hier nicht dulden und mit Verwarnung und/oder Bann sanktionieren.


    Thanks

  11. Who Said Thanks:

    (06.08.20) , Alucart24 (21.09.19) , Ronnsen (20.09.19) , Rednesierder (20.09.19) , Crash90 (15.08.19) , LeckiTeng (06.08.19) , matrix2003 (02.08.19) , xJ9_ (02.08.19) , ***BrainFire*** (02.08.19) , Violence (01.08.19) , .Pogo. (01.08.19)

  12. #7
    Immortuos Staff
    Join Date
    27.09.18
    Location
    Immortuos
    Posts
    7
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 ssssssss7
    Vielen Dank an sb-i für das schnelle Handeln. Sobald uns selbst solche Bugs bekannt sind oder mitgeteilt werden, sind wir bemüht diese schnellstmöglich zu fixen.

    Sicherheit geht vor und wir werden uns danach messen lassen. Also teilt uns bitte in Zukunft solche Bugs mit. Wie und Wo ihr uns findet, solltet ihr ja nun wissen.

    i.V. Immortuos
    Thanks

  13. Who Said Thanks:

    AnneDecke (01.02.20) , Ronnsen (20.09.19) , Rednesierder (20.09.19) , iAwesome (20.08.19) , Crash90 (15.08.19) , LeckiTeng (06.08.19) , matrix2003 (03.08.19) , Violence (02.08.19) , .Pogo. (01.08.19)

Closed Thread

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •