Closed Thread
Page 1 of 4 123 ... LastLast
Results 1 to 15 of 51

Thread: TSC

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730

    TSC

    Tracker: TSC
    Source: schwer zu sagen, ich würde auf eine veränderte NV-Source tippen

    Vom Unterhaltungswert kann ich versprechen, dass dieses Security-Review das bislang Amüsanteste werden wird. Für gewöhnlich halte ich mich ja ziemlich dezent zurück, aber diese Aktion, die sich da TSC geleistet hat, werde ich gnadenlos ausschlachten. Aber fangen wir erst mal wie mit jedem Security-Review an. Großer Dank geht wie immer an Instab, der mich auch hier tatkräftig unterstützt hat. Los geht’s!

    Serversicherheit

    OS: Linux, Debian 8
    DB: MySQL, 5.5.44-0+deb8u1
    SMTP: Postfix
    Webserver: Apache/2.4.12
    SSH: OpenSSH_6.7p1
    SHOUTcast: 1.9.8

    Die MySQL Version ist auf dem Stand vom Juli und somit sehr aktuell im Vergleich zu den anderen getesteten Trackern. Weniger gut ist allerdings, dass sie von außen erreichbar ist und das ohne Hostfilter und auf dem Standardport!
    Auch ein Mailserver antwortet brav am Standardport, was für sich gesehen kein Problem ist. Da eine Torrentseite aber weder e-Mails empfangen muss, noch sollte, stellt dies ein unnötiges Risiko dar.
    Wenn man also das Gesamtbild betrachtet, zeigt sich wie so oft eine schlecht konfigurierte Standardinstallation, die in diesem Fall immerhin nicht auch noch durch stark veraltete Versionen glänzt. Soll heißen: Es gab schon schlimmere Fälle, aber von einem Meisterstück ist auch dieser Server sicherheitstechnisch gesehen weit entfernt.

    Trackersicherheit

    Wie auch bei vielen anderen deutschen Trackern konnte ich hier einige der häufigsten Lücken ausfindig machen, welche mir problemlosen Zugriff auf die Datenbank ermöglicht haben. Damit ist es auch hier möglich, sämtliche Userdaten, Torrents, Private Nachrichten etc. auszulesen. Wie immer habe ich exemplarisch die Datenbanken aufgelistet und einen kleinen Auszug aus der Benutzertabelle. Anschließend folgen ein paar Erklärungen.

    Datenbanken

    • information_schema
    • mysql
    • performance_schema
    • phpmyadmin
    • programmagic
    • tsctracker



    ID Added Class Email Username Passhash
    1 2008-07-17 02:42:37 102 cen***@web.de Force 2903396cfb4fa5a4adec4448909ea1a8
    21749 2013-02-16 00:14:25 1 cen***@web.de Scubadevil 41065ff29e29c6a4bde4136a81b8dc96
    21761 2013-02-16 23:4 7:02 1 cen***@web.de Test d81115a0662cba7b2e5e3da1b58f45d1
    21781 2013-02-18 00:04:17 1 cen***@web.de Cazzper 3d66c299d8df5a921770bc1c7af5568e
    21792 2013-02-18 15:29:37 1 cen***@web.de bvb 8a4f7466349c56dd0b4bf3431c7fe4d8

    Auch wenn eine Sache im Auszug der Benutzertabelle direkt auffallen sollte, habe ich die entsprechenden Stellen mal rot markiert. Obwohl ich die E-Mail-Adressen zensiert habe, so kann man doch eine verblüffende Ähnlichkeit feststellen, obwohl es sich bei jeder Zeile um einen anderen Benutzer handelt. Doch wie kann das sein? Die Antwort ist ziemlich einfach und zugleich schockierend: Ich habe versehentlich beim rumspielen mit der Datenbank alle E-Mail Adressen in der Benutzertabelle mit meiner Eigenen überschrieben.
    Ich dachte erst an einen Fehler meinerseits, aber es stellte sich schnell heraus, dass ich tatsächlich von allen Usern die Mail-Adresse geändert habe.
    Aber richtig amüsant wird diese Aktion eigentlich erst mit der letzten Newsmeldung, die TSC herausgebracht hat:
    Durch einen Systemfehler wurden leider alle Profile auf Anfang gestellt
    und eure E-Mail Adresse wurde leider auch geändert!
    Der Fehler wurde gefunden und beseitigt!
    Allerdings bitten wir euch, eure Profile wieder selbst einzustellen, dickes SORRY dafür !
    Als kleine Entschädigung für eure Mühen stellen wir alle Torrents auf OU !
    Vielen Dank für das Verständnis und weiterhin viel Spass!
    „Systemfehler“. So nennt man einen Hack jetzt neuerdings also. Ich weiß nicht, was ich schlimmer finde. Die vorhandenen Sicherheitslücken oder die dreiste Lüge, mit der die Community für dumm verkauft werden soll. Solche „Systemfehler“ gibt es nicht. Entweder wurden als Panikreaktion direkt alle Mailadressen mit einem Platzhalter ersetzt, wodurch auch ein Teil der Profileinstellungen verloren gegangen ist oder, was wesentlich erschreckender wäre, es existierte kein Backup! Damit hätte man die E-Mail-Adressen ziemlich einfach wieder zurücksetzen können. Dies verleitet mich zu der Annahme, dass es keine regelmäßige Backup-Routine gibt, was bei jedem Web-Projekt grob fahrlässig ist. Auch wenn ich es noch nicht erneut getestet habe, so bin ich mir sicher, dass die eigentliche Sicherheitslücke noch nicht mal geschlossen wurde.

    Fazit

    Wie mein Review ausfällt, kann man sich wohl denken. Setzen sechs!



    Thanks

  2. Who Said Thanks:

    Nemesis (04.04.19) , Flux (26.03.19) , tesastreifen (26.03.19) , tr0y (22.03.19) , Turnschuh (10.01.19) , anthony-joal (20.08.17) , Russelowner (03.12.15) , blood (18.09.15) , MonsterLag (18.09.15) , TorrentJunky (17.09.15) , zappkönig12345 (16.09.15) , Snitlev (16.09.15) , Instab (16.09.15)

  3. #2

    Join Date
    07.06.15
    P2P Client
    Utorren
    Posts
    95
    Activity Longevity
    1/20 11/20
    Today Posts
    0/5 sssssss95
    so was ist echt hart, habe die reagiert auf die Sicherheitlücke?
    Thanks

  4. #3

    Join Date
    18.12.14
    Location
    Isla de Muerte
    P2P Client
    Transmission 2.82
    Posts
    15
    Activity Longevity
    0/20 12/20
    Today Posts
    0/5 sssssss15
    Oha hab ich mir fast gedacht, dass da was nich stimmen kann. Hab dich (Rebound) ja noch angeschrieben wegen dem Security Check auf TSC, hattest ihn ja in diesem Fall schon erledigt gehabt ;-)
    Wenn ich mir so drüber Gedanken mach weiß ich nich was besser is, Hose runter und gleich zugeben dass sie gehackt wurden, was ja schon ne scheiß Ansage is, oder uns in Unwissenheit zu wiegen um nich unnötig Panic zu verbreiten.
    Aber stimmt schon, warum haben die nich einfach nen Backup drauf gespielt? Dann hätte es keiner gemerkt dass was mit seinem Profil nich stimmt. Hmmm, denk mal da wird bald was kommen vom Staff. Ich finde da besteht ganz klar Erklärungsbedarf!!
    Thanks

  5. #4
    VIP
    Snitlev's Avatar
    Join Date
    30.09.08
    Location
    WWW
    P2P Client
    legal, illegal, scheißegal
    Posts
    10,437
    Activity Longevity
    1/20 19/20
    Today Posts
    0/5 ssss10437
    Klar ist es für einen ALT nicht leicht auf Fehler seitens eines "Cheaterforums" einzugehen, aber wie @Rebound schon mehrfach auch bei anderen Alt es mitgeteilt hat, geht es nicht darum die Tracker zu missbrauchen sondern lediglich darum sie auf ihre Fehler/Sicherheitslücken hinzuweisen.

    Es geht schließlich um die Sicherheit der dort ansässigen User!

    @Rebound ist für jeden Trackerbetreiber ansprechbar (Annonym PM) um ihnen bei der Fehlerbeseitigung der Sicherheitslücken behilflich zu sein, einige Tracker haben dieses auch schon in Anspruch genommen und das ist doch sehr begrüßenswert.

    Wie gesagt man will keinen Alt niedermachen, sondern sie lediglich auf ihre Fehler/Sicherheitslücken aufmerksam machen, nicht mehr und nicht weniger...


    regards

    Wer versucht zu rennen, bevor er laufen kann, kommt meistens zu Fall



    stop animal experiments, take child molesters - they like pain!


    Besser man bereut was man getan hat, anstatt zu bereuen das man es unterlassen hat
    Thanks

  6. Who Said Thanks:

    Instab (17.09.15) , TorrentJunky (17.09.15) , w00t (17.09.15) , Flux (17.09.15) , Rebound (17.09.15)

  7. #5

    Join Date
    11.09.15
    Posts
    8
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 ssssssss8
    Danke für diesen test.
    Sehr aufschlussreiche aussagen über ein leider unfähiges team.
    Thanks

  8. Who Said Thanks:

    Rebound (18.09.15)

  9. #6

    Join Date
    18.12.14
    Location
    Isla de Muerte
    P2P Client
    Transmission 2.82
    Posts
    15
    Activity Longevity
    0/20 12/20
    Today Posts
    0/5 sssssss15
    hmmm finde das Team selbst, also die leute die aufm Tracker arbeiten eigentlich ganz kompetent. Es ist eher der jenige, der den Server installiert hat dem die sicherheitslücken zuzusprechen sind oder nich? Also was ich bis jetzt so mitbekommen hab von allen Trackern auf denen ich bis jetzt war, können glaub die wenigsten Teamler den Tracker auch installieren geschweige denn was coden, dafür haben die doch die coder oder verpeil ich das jetzt ? hab auch schon oft gesehn dass der owner nicht der coder sit und so zeug...
    Thanks

  10. Who Said Thanks:

    Snitlev (18.09.15)

  11. #7
    VIP
    Snitlev's Avatar
    Join Date
    30.09.08
    Location
    WWW
    P2P Client
    legal, illegal, scheißegal
    Posts
    10,437
    Activity Longevity
    1/20 19/20
    Today Posts
    0/5 ssss10437
    Quote Originally Posted by TorrentJunky View Post
    hmmm finde das Team selbst, also die leute die aufm Tracker arbeiten eigentlich ganz kompetent. Es ist eher der jenige, der den Server installiert hat dem die sicherheitslücken zuzusprechen sind oder nich? Also was ich bis jetzt so mitbekommen hab von allen Trackern auf denen ich bis jetzt war, können glaub die wenigsten Teamler den Tracker auch installieren geschweige denn was coden, dafür haben die doch die coder oder verpeil ich das jetzt ? hab auch schon oft gesehn dass der owner nicht der coder sit und so zeug...
    Da hast du sicherlich Recht, es liegt im meisten Fall am SysOp (System-Operator) der verantwortlich für den Server sein sollte und somit auch der Trackersicherheit dient.

    Die Staff (evtl. ausgenommen noch die Coder die die Source gestalten) im allgemeinen sind da eher sekundär für die Sicherheit verantwortlich, sie verlassen sich halt auf den SysOp, aber trotzdem sollte die Staff diese aufgedeckten Sicherheitslücken ruhig mal intern ansprechen...

    regards

    Wer versucht zu rennen, bevor er laufen kann, kommt meistens zu Fall



    stop animal experiments, take child molesters - they like pain!


    Besser man bereut was man getan hat, anstatt zu bereuen das man es unterlassen hat
    Thanks

  12. #8
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    95% der Lücken die ich ausgenutzt habe, liegen direkt im Tracker und haben nichts mit dem Server zu tun. Dafür ist der Tracker Staff verantwortlich bzw. die Person die für's Coding am Tracker zuständig ist. Das Problem ist einfach, das viele Tracker Betreiber eine fertige Source verwenden ohne selbst Ahnung vom Programmieren zu haben. Und wenn von vorne rein schon Lücken vorhanden sind, sind die natürlich nicht in der Lage diese zu erkennen, geschweige denn zu schließen. Das Problem habe ich schon ziemlich häufig festgestellt.


    Thanks

  13. #9

    Join Date
    18.12.14
    Location
    Isla de Muerte
    P2P Client
    Transmission 2.82
    Posts
    15
    Activity Longevity
    0/20 12/20
    Today Posts
    0/5 sssssss15
    Dieser Beitrag kam gestern auf TSC im Forum an, es wurde auch gereits dazu Stellung genommen von dem Verantwortlichen so wie sich das ließt:

    Hallo Leute,

    diesem Test wurden wir tatsächlich letzten Sonntag (13.09.15) unterzogen.
    Es war gegen 15.00 Uhr als ich plötzlich merkte, dass das Stylesheet sich geändert hat. Als ich ins Profil schaute, musste ich feststellen, dass die komplette Profileinstellung auf Anfang gesetzt wurde und die eingetragene E-Mail-Adresse nicht mehr die Meine war.
    Ein kurzer Blick in die Logs brachte einen Reset hervor, warum dieser Reset stattfand, konnte ich im ersten Moment nicht genau definieren, also war für mich zunächst der Sachverhalt eines Softwarefehlers am plausibelsten, und da auch schon die ersten Fragen im Forum auftauchten muss ich zu meiner Schande gestehn, dass ich erstmal den Weg mit dem geringsten Widerstand gegangen bin und es als Systemfehler abgetan habe.
    Als dann der erste Staub verflogen war, setzte ich mich nochmals daran, die genaue Ursache dieses Fehlers zu finden um ihn fixen lassen zu können.
    Bei genauerer Betrachtung fielen mir dann diverse Zugriffe auf und mir wurde der wirkliche Grund dieses zunächst vermuteten Systemfehlers klar: Da wollte uns einer was Böses!

    * IP geperrt
    * Den Coder kontaktiert damit er sich gleich dran macht, etwaige Lücken zu finden und zu schließen.
    * Komplette Logs durchleutet um festzustellen, ob solche "Angriffe" in der Vergangenheit schonmal vorkamen.
    * Letztes Backup vom 13.09.15 3.00h sowie das vom 13.08.15 3.00h gezogen, um etwaige Änderungen durch diesen Hacker ausfindig zu machen.

    Momentan wird immernoch sehr intensiv an der Ansicherung des Servers sowie die komplette Kontrolle der Source gearbeitet,
    wenn diese Arbeit nach unserer Meinung abgeschlossen ist werden wir uns mit Rebound kurzschließen und ihm einen Account zur Verfügung
    stellen, um die Sicherheit von TSC erneut unter die Luppe nehmen zu lassen damit aus diesem hässlichen
    (BILD VOM UNSAFE)
    ein wunderschönes
    (BILD VOM SAFE)
    wird!

    An dieser Stelle entschuldige ich mich bei euch für meine Falschaussage am Sonntag, dies war ganz klar eine unüberlegte Aktion meinerseits und ich hoffe, ihr könnt mir meinen Fehlverhalten verzeihen!

    Und vor diesem Hintergrund danke ich auch Rebound für den Wink mit der Baggerschaufel, dieser Test hat uns gezeigt dass unser System bei weitem noch nicht perfekt ist, es aber sein sollte wenn man sich die Ewigkeit als Ziel gesetzt hat.

    Wir werden euch selbstverständlich auf dem Laufenden halten.

    Vielen Dank für die Aufmerksamkeit!


    Sorry ich weiß nich genau wie ich die Bilder aus dem Beitrag mit nehmen kann
    Aber find ich gut dass die die Prüfung nochmal machen lassen wollen! Nur ist die Ewigkeit nicht etwas hoch angesetzt löl ^^
    Last edited by Rebound; 19.09.15 at 13:10. Reason: quote added
    Thanks

  14. Who Said Thanks:

    saronata (19.09.15) , Snitlev (19.09.15) , blood (19.09.15)

  15. #10

    Join Date
    07.06.15
    P2P Client
    Utorren
    Posts
    95
    Activity Longevity
    1/20 11/20
    Today Posts
    0/5 sssssss95
    Da kann Mann sehen die Arbeit das sich Rebound und Instab machen lohnt sich Dank noch mal an Euch.
    Thanks

  16. #11
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Ist immer noch nicht ganz schlüssig alles, aber das ist doch mal ein Anfang. Und was "böses" wollten wir ja nicht, sonst hätte es auch "böse" geendet.


    Thanks

  17. #12
    VIP
    Snitlev's Avatar
    Join Date
    30.09.08
    Location
    WWW
    P2P Client
    legal, illegal, scheißegal
    Posts
    10,437
    Activity Longevity
    1/20 19/20
    Today Posts
    0/5 ssss10437
    Erstmal finde ich die Einsicht der TSC-Verantwortlichen gut und wichtig dieses den Usern auch mitzuteilen, aber im Forum gibt es wohl auch einige Zweifler die Angst um Ihre Daten haben, die ja nun zum Teil @Rebound vorliegen aber ich kann jedem User aus meiner langjährigen Erfahrungen mit SB-I (@Rebound und @Instab) versichern, dass diese Daten nicht missbraucht werden!

    Man ist selbst am Erhalt der ALT-Szene interessiert und ist auf deren Sicherheit bedacht.
    Es gibt viele User von SB-I die sich selbst auf div. Trackern aufhalten und daher kann ich wirklich versichern dass man nicht vorhat irgendwelche Daten zu missbrauchen.

    Das läge SB-I fern und kann und wird nicht im Intresse des Teams sein.

    In diesem Sinne hoffe ich auf ein baldiges "Safe" für TSC und gleichwertigen Trackern...


    regards

    Wer versucht zu rennen, bevor er laufen kann, kommt meistens zu Fall



    stop animal experiments, take child molesters - they like pain!


    Besser man bereut was man getan hat, anstatt zu bereuen das man es unterlassen hat
    Thanks

  18. Who Said Thanks:

    Russelowner (15.11.15) , w00t (23.09.15) , saronata (19.09.15) , Flux (19.09.15)

  19. #13

    Join Date
    18.07.15
    Location
    Outer Space
    Posts
    23
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss23
    Ich danke euch auch für den Security Check. Gibt es seitdem eigentlich Neuigkeiten zur Trackersicherheit auf dem TSC?
    Es sind ja relativ viele von BF zu TSC gewechselt, daher dürfte das Interesse an einem Re-Review groß sein. ;-)
    Thanks

  20. #14

    Join Date
    24.08.16
    Posts
    28
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 sssssss28
    soweit ich weis wurde was gemacht!
    das hier stand mal mit nem F da und nun isses nen A!

    Der Rebound wird aber denke ich schon noch mal was versuchen!

    LG
    horde
    Thanks

  21. #15

    Join Date
    07.06.15
    Posts
    141
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 ssssss141
    ..was ich bisl komisch find, der BF bekam damals ein "SAFE" - und der TSC bekam ein "UNSAFE" - was sollte jmd. jetzt also bewegen dorthin zu wechseln?
    Thanks

  22. Who Said Thanks:

    (18.01.22)

Closed Thread
Page 1 of 4 123 ... LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •