Closed Thread
Page 1 of 4 123 ... LastLast
Results 1 to 15 of 51

Thread: Torrent Network

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730

    Torrent Network

    Tracker: Torrent Network
    Sources: TB-Source 09; selfcoded Java-based-Tracker

    Es gibt immer noch einen Haufen Tracker, die ich noch nicht geprüft habe. Heute widme ich mich mal dem Torrent Network. Der Tracker gehört mittlerweile zu den Ältesten und auch dort sind schon einige SysOp-Generationen durchgebracht worden. Wie es bei dem Tracker um die Sicherheit bestellt ist, habe ich mir mal genauer angesehen.

    Serversicherheit

    MySQL: 5.0.12
    Webserver: nginx (3 zusätzliche)
    Mail: Postfix
    SSH: OpenSSH 5.3

    Abgesehen vom http/s Dienst an den Standardports stehen noch drei weitere an höheren Ports bereit. Es findet sich auch ein Postfix und ein altes SSH was auf eine ähnlich alte Version des Betriebssystems schließen lässt.
    Eine Firewall war nicht festzustellen. Sollte eine solche existieren, ist sie ziemlich nutzlos. Eine über zehn Jahre alte MySQL Version ist zwar grundsätzlich keine Sicherheitslücke, aber allein wegen dem Performancezugewinn wäre ein Update wünschenswert.

    Trackersicherheit

    Torrent Network scheint es mit der Sicherheit nicht so genau zu nehmen und hat gleich zwei Tracker parallel laufen, die die selbe Datenbank benutzen. Dies ist aus mehreren Aspekten eine sehr schlechte Idee. Zum einen gibt es eine unnötige Doppelbelastung des Servers (insbesondere der Datenbank), zum anderen gibt es so natürlich auch doppelte Angriffsfläche für einen möglichen Angreifer. Es laufen einmal eine etwas in die Jahre gekommene TB-Source und dann ein offenkundig selbst geschriebener Tracker, der auf Java(script) basiert. Besonders spannend bei diesem Java-Frontend: Man kann ohne überhaupt eingeloggt zu sein die Seitenstruktur und somit Inhalte, die erst nach dem Login sichtbar sein sollten, sehen.
    Kommen wir zum sensiblen Teil dieser Kategorie, den Sicherheitslücken. Wie bereits angesprochen sind zwei Plattformen als Angriffsziel natürlich für einen potenziellen Hacker wie eine Einladung auf dem Silbertablett. Es war zwar nicht so einfach, aber es ist mir wieder einmal gelungen Zugriff auf die Datenbank und sämtliche Teile des Trackers zu erlangen.
    Ich habe mich dieses mal wieder für ein paar Screens von einem Sys0p Account entschieden, weil Tabellen mit Daten aus der Datenbank doch etwas trocken sind auf Dauer. Hier jetzt also ein paar interne Screenshots (TB-Source):

    Stafftools



    MySQL Stats


    Uploader Stats


    Doppelaccounts


    Auszug aus der Usertabelle
    added class email secret passkey username passhash
    1274528211 0 sys*@web.de !7}Vu 875d36cbd2cc7015720e4098fd5d6984 Holzfuß 85f1e507c4bc99c21f49df6e8d56bad7
    1274566999 70 den*@hotmail.de |A^bO 261e07e5559e1646c7eef0bbe16c9d2f TOMTOM 45cb79d8a49f73c5adcec4e3d63b7180
    1275307293 1 meis*@hotmail.de KPdj; 4ffd1c8165c66e28b3feecd2c1dbfd2d Meisterpropper a9b569d5c26780b174e4c8d91e45b0ab
    1275483911 18 free*@googlemail.com P7]mW 69b88d582bdb6d144050e22280d505e9 Chakka be807691ac2efe8437dbc970f78a6e54
    1275585770 18 bo*@hotmail.de FI&ap d4475b6a948011bcb182ad45d31d49dc WurstPelle cb7e5a53d72644e4082489364a485ae7
    1275860791 18 96ja*@gmail.com V[c+! 7cfab9414b5739c1bdf05afd18093c04 jackbauer 1737ba9dc2c10bdbf7ac797ba219d780
    1275860851 70 sound*@hotmail.com >kJ'' d8e77773d3a21eafcbf9d17b0ce6185f SoundmixDJ 2aaa8208a9fbda39f2b99e90674dbcf5
    1275933665 1 hor*@hotmail.de Q8CZa 0c6b79d57b71209b544404ead36e1ce3 Gartenzwerg 37669d24bd140c528ea386329168adf5
    1275942558 1 red*@arcor.de yV3aM 22f5b07b2d46a2fd3af6fce98a899212 jason a39566165fe3528764126ec736cccf05
    1275947749 40 ro*@freenet.de 'z)Gc f149085edb1c419da52d247b4d8dc66e ZoRo 431f248bcddc5eb816e089bf862d7822
    1275981241 20 ed*@gmx.de 3}0<+ 57f6673e25e1f83ffcae15b424f4d72a Edd186 28930e81c947897c57ac7d79c7dff700
    1276104098 1 darth*@web.de .FXhR 9e3be93144f8fa83a6ef7e013b37a740 Pennywise 33d0c688182c00a89e0a49b1d983c02c
    1277810527 0 d.d*@atas.cz U(5i{ 1d30b0aefdf89dc21d0a4a8a9251c4b1 Geronimo eed2c74334c54f2b18094f0781840439
    1277821853 1 c*@googlemail.com jzu8w 5838adf8d7e8501f841464cc9a9fe53f Ammari f95b35a66d80f816a909a48643e812c4
    1275942558 1 red*@arcor.de yV3aM 22f5b07b2d46a2fd3af6fce98a899212 jason a39566165fe3528764126ec736cccf05
    1277883492 1 no*@gmx-topmail.de ['Hnz 006085e2b456b63106486bd84f095c7e fatfred 47a4234c1e705681bb04ed352a3c38b1
    1277897764 1 ano*@web.de P2Q"H dff921a516c15d8783c3a3eb7e0a5af9 gitta 092ee59ec86aee5d2b67e999a4ba3572

    Fazit

    Der Weggang von Cloudflare hat mir natürlich in die Hände gespielt und gleichzeitig offengelegt, dass die Betreiber mehr Zeit in Wartung und Konfiguration des Servers stecken sollten. Bedenkt man den modernen aber fraglichen Ansatz der neuen Java-basierten Seite, stellt sich die Frage, ob die Betreiber ihre Bemühungen an den richtigen Stellen investieren. Man sollte sich für eine Source entscheiden und nicht auf zwei Hochzeiten gleichzeitig tanzen. Die TB-Source als Basis ist nicht die aller schlechteste und kommt in Deutschland auch selten zum Einsatz. Als Endbenutzer würde ich mich allerdings nach Alternativen umsehen, der Java-Tracker war nämlich offenkundig ein Griff ins Klo. Dazu die angebliche Sperre von Cloudflare, sollte sämtliche Alarmglocken klingeln lassen. Die Höhe der Bitcoin Spenden kann man übrigens hier einsehen: https://blockchain.info/address/1AqZ...VEzTrn3ySNnQnS



    Thanks

  2. Who Said Thanks:

    (16.01.20) , tesastreifen (03.04.19) , Quasar (15.06.17) , blood (03.02.16) , frido (01.02.16) , LaTorrenta (30.01.16) , Darkman1965 (29.01.16) , corregidor (29.01.16) , Würfelzucker (29.01.16) , xJ9_ (29.01.16) , Snitlev (29.01.16) , Instab (29.01.16) , Großmutter (28.01.16) , Lucius (28.01.16) , Freak69 (28.01.16)

  3. #2

    Join Date
    21.11.11
    Posts
    21
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 sssssss21
    Statement zu dem hack:
    Thanks

  4. Who Said Thanks:

    Würfelzucker (30.01.16)

  5. #3
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Lobenswert ist die schnelle Reaktion. Die Loginsession an die IP-Adresse zu binden, ist jedenfalls der Schritt in die richtige Richtung. Allerdings unterschätzt der Sys0p wohl irgendwie die Tragweite einer solchen Attacke, daher werde ich jetzt mal nachlegen. Im nächsten Newsabschnitt wurde leider wieder völlig versagt:

    Die Datenbank wurde sehr sicher nicht kompromittiert, was vorallem durch falsche Informationen zur DB vom "Angreifer" bestätigt wurde.
    Also ich kann mich nicht daran erinnern, dass ich irgendwas bestätigt habe.

    Folgend ein Mitschnitt aus dem TN IRC der mir zugespielt wurden.
    Code:
    (+netw0rx) ergo hat er nun die tn db ^ ^
    (~Cazeri)unwahrscheinlich das er die hat, er war zu 99.999% nich in der db selbst sonst wüsste er die richtige db version ;)
    Mit den verbleibenden 0.001 % werde ich exemplarisch also mal ein paar Daten veröffentlichen müssen, scheinbar halten die Herren das für einen Spaß.

    Ein paar Datensätze aus der Usertabelle. Datenbank heißt übrigens "project-napalm". Schon irgendwie eine Ironie des Schicksals, wenn so leicht alles in Flammen aufgehen kann.

    Edit:// Tabelle im Startpost ergänzt.

    Ich habe absichtlich nichts zensiert, mich braucht auch niemand anschreiben, ich werde es nicht tun. Wer in der Liste steht, kann sich direkt beim verantwortlichen Sysop Cazeri bedanken. Nächstes mal kommen vielleicht ein paar IPs oder Private Nachrichten.
    Die Passkeys eignen sich übrigens wunderbar zum Schwarzleechen, aber vorher die IP wechseln.


    Thanks

  6. #4

    Join Date
    24.07.11
    P2P Client
    Bit Tornado
    Posts
    11
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 sssssss11
    Mal schauen ob es auch Spaß macht, Anzeigen wegen Verstoß gegen das Bundesdatenschutzgesetz zu kassieren. Denn hier werden private Email-Adressen ohne die Zustimmung der Betroffenen veröffentlicht.
    Thanks

  7. #5
    Retired Staff
    v6ph1's Avatar
    Join Date
    29.09.08
    P2P Client
    (keinen)
    Posts
    2,177
    Activity Longevity
    0/20 19/20
    Today Posts
    0/5 sssss2177
    Quote Originally Posted by RFT View Post
    Mal schauen ob es auch Spaß macht, Anzeigen wegen Verstoß gegen das Bundesdatenschutzgesetz zu kassieren. Denn hier werden private Email-Adressen ohne die Zustimmung der Betroffenen veröffentlicht.
    Die Veröffentlichung hat genau genommen der Trackerbetreiber zu verantworten.
    Mail-Adressen sind ohne Zuordnungstabelle der Mail-Provider (fast) nie einer natürlichen Person zuzuordnen, sodass man (analog zu IP-Adressen) die Schutzfähigkeit in Frage stellen kann.

    Nebenbei müssten die Admins den Hack auch nach dem IT-Sicherheitsgesetz auch melden.

    Für Rebound am schlimmsten dürfte aber die Urheberrechtsverletzung durch die Kopie des "Datenbankwerkes" Nutzertabelle sein.

    -- v6ph1

    PS: den 2. Eintrag der Tabelle würde ich aus Datenschutzgründen weglassen.
    Ebenso könnte ein Bild dem Missbrauch etwas vorbeugen.
    Multibootsysteme einrichten
    Apple: Da ist der Wurm drin.
    Der Klügere gibt nach. Deshalb wird die Welt auch von Dummen regiert.
    Das Volumen einer Pizza mit Radius z und Höhe a ist gleich Pi·z·z·a
    Thanks

  8. Who Said Thanks:

    Rebound (31.01.16)

  9. #6
    VIP
    Snitlev's Avatar
    Join Date
    30.09.08
    Location
    WWW
    P2P Client
    legal, illegal, scheißegal
    Posts
    10,437
    Activity Longevity
    1/20 19/20
    Today Posts
    0/5 ssss10437
    Also beides ist nicht legal, weder eine Plattform für Filesharing, noch ein Verstoß gegen das D
    Bundesdatenschutzgesetz.

    Was soll man daraus schließen, kein Kläger kein Richter, es sei denn man versucht dieser Situation mit einer Selbstanzeige zuvor zu kommen

    mfg

    Wer versucht zu rennen, bevor er laufen kann, kommt meistens zu Fall



    stop animal experiments, take child molesters - they like pain!


    Besser man bereut was man getan hat, anstatt zu bereuen das man es unterlassen hat
    Thanks

  10. #7

    Join Date
    27.01.16
    Posts
    6
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss6
    Ich finds ja voll ok zu provozieren und den leuten auch zu zeigen, dass hier was schiefläuft.

    Aber rebound das hier geht zu weit:

    Du sagst du machst das FÜR die User, damit die wissen, wo sie sicher unterwegs, bzw. wo besser nicht und dan veröffentlichst du EMails der Nutzer, die hier absolut nix dafür können ...

    Sorry aber muss das sein!?
    Thanks

  11. Who Said Thanks:

    OnkelKlaus (03.02.16) , xJ9_ (30.01.16) , Würfelzucker (30.01.16) , uk501 (30.01.16) , sebbl (30.01.16) , Jackson312 (30.01.16) , Flux (30.01.16) , apple (30.01.16)

  12. #8
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Quote Originally Posted by sone View Post
    Sorry aber muss das sein!?
    Es gibt keine andere Möglichkeit wenn der Verantwortliche nach einer solchen Aktion auch noch versucht alles herunterzuspielen. Hier ist jemand am Werk, der von einfachsten Sicherheitsstandards offenbar keine Ahnung hat und das ist extrem gefährlich. Das ist eine Gefahr für alle die dort einen Account haben und das werde ich nicht einfach ignorieren. Eine komplette Datenbank habe ich (noch) nie veröffentlicht und werde ich auch hoffentlich niemals machen müssen. Die Reaktion erinnert mich ein bisschen an die Leute vom TSC-Tracker, da haben sie sich auch ganz schön ins eigene Bein geschossen.

    Ich verstehe natürlich den Unmut von den Usern die dort einen Account haben, aber wieso lasst ihr euch denn öffentlich belügen? Wenn sensible Daten an die Öffentlichkeit gelangen, ist es das Recht eines jeden Einzelnen die Wahrheit zu erfahren. Wenn das einzige was den TN Leuten einfällt die Drohung einer Anzeige ist, sollte sich jeder Benutzer der dort einen Account hat ernsthaft überlegen, ob es das Wert ist bzw. ob es sicher ist dort überhaupt urheberrechtlich geschütztes Material zu sharen.
    Für sachliche Diskussionen bin ich immer zu haben, Emotionen und Beleidigungen haben hier nichts verloren. Jeder Sysop hat die Wahl wie man mit einer solchen Sache umgeht und die meisten haben das auch vernünftig gelöst in der Vergangenheit. Hier hat man leider fast alles falsch gemacht.


    Thanks

  13. Who Said Thanks:

    Snitlev (31.01.16)

  14. #9
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,661
    Activity Longevity
    4/20 18/20
    Today Posts
    0/5 sssss6661
    "master of desaster", recht passender benutzertitel des sysops
    Your account has been disabled.
    Thanks

  15. #10

    Join Date
    31.01.16
    Posts
    1
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss1
    Rebound, solltest du zur Begründung (der Veröffentlichung) nicht einfach schreiben: "Ich brauch das für mein Ego"?

    Sonst würde ja keiner merken was fürn toller Hecht du bist.

    Gruß
    Last edited by blingbl; 31.01.16 at 16:46.
    Thanks

  16. Who Said Thanks:

    Xerxes (02.04.16)

  17. #11
    Hi,

    ich finde die Aktion selbst gut. Es ist immer schwierig sich zwischen White und Black Hat zu positionieren. Ob Rebound damit zu weit gegangen ist oder nicht, kann jeder für sich entscheiden. Wenn Rebound das als sinnvolle Reaktion erachtet, dann ist es seine Entscheidung. Sicherheitslücken aufdecken ist gut und sollten auch weiterhin gesucht und veröffentlicht werden.
    Dass bei Veröffentlichungen solcher Missstände sich eine Gruppe oder Person in der Vordergrund spielt war schon immer so. Ob dies nun mit dem Ego zu tun hat, wage ich zu bezweifeln. Da Rebound auch gut gesicherte Tracker zeigt und hervor hebt. Es lässt sich auch schwer solch Informationen anonym veröffentlichen, da dann sehr schnell die Erkenntnisse als Fake abgetan werden. Damit ist nun wirklich niemand geholfen.
    Das einzige kritische in dem Beitrag ist für mich, dass dort ein Benutzer mit einer Email auftaucht, welche wahrscheinlich seinen Klarnamen enthält. Das ist grenzwertig. Es mag wachrütteln, aber der Benutzer kann nichts dafür. Denn steckt man nicht so tief in der Materie, muss man dem Trackerbetreiber so lange vertrauen, bis es zu einem Leak kommt. In dem Fall könnte Rebound etwas Rücksicht nehmen und den Benutzer schützen, in dem er wenigstens die Email teilweise zensiert hätte.

    Greetz cyberwarrior
    Thanks

  18. Who Said Thanks:

    frido (01.02.16) , Snitlev (01.02.16) , Instab (01.02.16) , Darkman1965 (31.01.16) , Rebound (31.01.16)

  19. #12

    Join Date
    31.01.16
    Posts
    5
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss5
    Wie man sieht, gehört der Account einem der SysOps - sollte das ein Klarname sein, stützt das ja nur die bis jetzt an den Tag gelegte Professionalität.
    Die Kritik am Vorgehen kann ich nicht wirklich verstehen, schließlich ist Rebound nicht zwingend der Erste und Einzige, der die Lücke genutzt haben muss und somit können die Daten schon viel früher entwendet und getradet oder sonstwie missbraucht worden sein. Mit dem Unterschied, dass Rebound auf den Missstand aufmerksam gemacht hat. Dass es zum proof mit Auszügen der DB gekommen ist, ist ja einzig und allein das Verschulden des Sysops und an Dreistheit und Naivität kaum noch zu überbieten. Wenn es nach ihm ginge, hätten die eigenen User schließlich nie erfahren, dass ihre Daten entwendet worden sind und das geht einfach gar nicht.
    Thanks

  20. Who Said Thanks:

    Snitlev (01.02.16) , Instab (01.02.16) , Rebound (31.01.16)

  21. #13

    Join Date
    24.07.09
    Posts
    434
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 ssssss434
    Quote Originally Posted by cyberwarrior View Post
    Das ist grenzwertig. Es mag wachrütteln, aber der Benutzer kann nichts dafür
    grenzwertig? rl email für die registrierung bei nem BT tracker verwenden? da würden mir noch andere ausdrücke einfallen...

    kann der benutzer was dafür? klar, wer sonst? er soll lieber froh sein, dass rebound auf dieses "suboptimale verhalten" aufmerksam gemacht hat und keiner mit schlechten absichten?
    Thanks

  22. #14

    Join Date
    01.08.09
    Location
    Deutschland
    P2P Client
    2.0.4
    Posts
    155
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 ssssss155
    Ich würde eher sagen """" wie schlecht die anderen sind """" das würde es eher treffen. Immerhin haben die Betreiber eines Trackers ( oder besser Sie sollten es haben) ein bisschen Veantwortung bezüglich ihrer User die sich auf dem Tracker gereggt haben..

    Quote Originally Posted by blingbl View Post
    Rebound, solltest du zur Begründung (der Veröffentlichung) nicht einfach schreiben: "Ich brauch das für mein Ego"?

    Sonst würde ja keiner merken was fürn toller Hecht du bist.

    Gruß
    Thanks

  23. #15

    Join Date
    03.04.15
    Location
    germany
    P2P Client
    utorrent
    Posts
    28
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss28
    Sysops vereinigt euch und schlagt gegen diesen schwarzen Ego-Ritter zurück!

    TSC hat schlechter reagiert und wurde nicht so bestraft.
    Die Teammitglieder so zu gefährden führt vielleicht dazu, dass sie ihre Tätigkeiten einstellen. Das Ziel sollte sein den Verantwortlichen mit etwas Druck zum Handeln zu bewegen. Nicht für Zwist und Unsachlichkeit zu sorgen!
    Thanks

  24. Who Said Thanks:

    Xerxes (02.04.16) , Freak69 (03.02.16) , xJ9_ (01.02.16)

Closed Thread
Page 1 of 4 123 ... LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •