Meinung: Boerse.to weiter auf Sendung?

Im Zusammenhang mit dem gestrigen Informationen aus dem Solmecke-Blog habe ich vor mir selbst eingestehen müssen, dass ich so langsam den Überblick verliere. Darum bin ich die einzelnen Szenarien gestern mit einem Techniker aus der Praxis eines Rechenzentrums durchgegangen.

Zuerst einmal und gleich vorab: Die Boerse.bz (= BBZ) und die Boerse.to haben die IPs ihrer Nutzer geloggt. Das steht fest!

Ich habe den Techniker nach dem Analyse-Werkzeug Piwik gefragt, das bei Boerse.to läuft und für viel Aufsehen gesorgt hat. Selbstverständlich sei Piwik ein Spähtool, das IPs aufzeichne, sagt er. Aber das Loggen der Nutzer-IPs setze nicht Piwik voraus. Jeder Server logge standardmäßig Zugriff und Fehler. Diese Einstellung lasse sich nur nachträglich deaktivieren.

Ich habe ihn nach einem möglichen Hack gefragt. Er meinte, dass ein Hack und eine SQL-Injektion möglich seien. Ein solcher Angriff würde aber auffallen, da Hackversuche Fehlermeldungen in den Server-Errorlogs verursachen. Es müsste sich also um eine einmalige Aktion gehandelt haben.

Auch das Rechenzentrum selbst könne Zugriff auf den Server gehabt haben. Das Rechenzentrum (RZ) mag unter Druck geraten sein und sich die Daten vom Server geholt und sie weitergegeben haben. Dies gilt genauso für einzelne Mitarbeiter im RZ und auch für auswärtigen Support. Selbstverständlich hätte auch ein Einzelner aus der Board-Hierarchie mit Zugriffsrecht auf die Datenbank die GVU füttern können (und sie ihn).

Alles ist möglich, aber es gibt eine Merkwürdigkeit:

Was einem Professionellen sofort ins Auge springe: Beim Umzug sei etwas komisch. Der Ablauf stimme einfach nicht mit der Praxis überein. Wenn ein Techniker einen Umzug mache, bei dem die Nutzerdaten übertragen würden, dann würden immer die Passwörter (PWs) mitgenommen. Es mache praktisch keinen Sinn, nur die Beiträge, den Nick, die Mailadresse etc. mitzunehmen, aber die PWs nicht zu transferieren.

Die PWs nämlich sind sicher gehasht. Wenn also etwas ohne Bedenken transferiert werden könne, dann die PWs! (Ich erklär es euch mal: Hashes sind so eine Art Fingerabdrücke. Wenn ihr euer Passwort eingebt, dann erzeugt ihr einen Hash. Dieser Hash wird mit dem Hash in eurem Datensatz verglichen.) Das Weglassen der PWs mache nur Sinn, wenn die Nutzer genötigt werden sollen, ein neues Passwort anzulegen und zu verifizieren (in ihrem von der BBZ zur Boerse.to umgezogenen Account, vorzugsweise mit deutschem E-Mail-Provider).

Das Aufstellen dieser IP-Falle aber war ein Inside-Job! Damit scheidet ein Hack und ein Zugriff des Rechenzentrums aus. Genauso wie ein Singvogel. Denn diese IP-Falle war eine von oben abgesprochene Aktion beider Boards! Solmecke: “Der Rückgriff auf die E-Mail Adresse erfolgte nur, wenn die IP Adresse nicht mehr zurückverfolgt werden konnte.” Im Prinzip bildete die Boerse.to eine Art IP-Auffangnetz der BBZ. Der Plan muss in der Chefetage entstanden sein!

downloading enter hereWir können also schlüssig und übersichtlich herleiten, dass die Staatsanwaltschaft ihre Daten von beiden Boards bekommen hat. In jedem Fall ist mit der Boerse.to ein aktives Board quasi überführt.

Und die Vermutung liegt nahe, dass Boerse.to weiter auf Sendung und die Staatsanwaltschaft somit weiter auf Empfang ist.

Bildquelle: Shutterstock & David Weekly (CC BY 2.0) thx!

Mehr zu diesem Thema:

Vielleicht gefällt dir auch

70 Kommentare

  1. Vorsicht BOERSE.to ZENSIERT Massiv sagt:

    Auf Boerse.to werden gerne unliebsame Meinungen und Kommentare einfach unter dem Deckmantel SPAM willkürlich wie bei facebook seit geraumer Zeit zensiert. Nutzer die hier anderer Meinung sind werden einfach durch Zensur mundtot gemacht. Soviel mal dazu!

    Auch wenn man hier Sachkundige Hinweisse nennt werden diese aus dem Forum gelöscht, oder die User gebannt. Soviel man zur Meinungsfreiheit und keiner vernüftigen Gegendarstellung.

    Wenn man hier ein Thema wie BND oder die Vermutung äußert das hier ein beworbener VPN Dienst hier Daten zieht, wird dieses Thema gerne in den Müll geschoben obwohl Screenshots Nachweisslich vorliegen und diese gepostet wurden.

    Und die Staatsanwaltschaft kann gegen unerfahrenen User weiter ermitteln.

    Also kann man nur davon ausgehen das auch in Zukunft unliebsame Beiträge gelöscht werden, und die Gemeinde Künstlich bei Laune gehalten wird.

    Die Boerse die es mal gab ist länsgt Geschichte.

  2. Bernd Stelter sagt:

    können se von mir aus wieder dicht machen! is genauso ein sauhaufen wie assie.bz! geld wollen se ooch schon wieder haben.

  3. 404 sagt:

    ein hack scheidet also aus? aha interessant. falls du dir mal meine detailierten postings auf den foren: unique-crew, toolbase und szenebin angeguckt hast, ist diese aussage auszuschließen. der zugriff war ziemlich leicht, gerne kann ich die genutzte lücke nachreichen (wurde fixed), im anschluss erfolgte sogar ein gespräch mit dem inhaber von boerse(to) welches alle von mir geposteten inhalte beglaubigt.

    falls leute die sich mit der materie “hacking” besser auskennen, als der autor dieses beitrages, interessiert sind. kann ich auf szenebin gerne weitere details veröffentlichen (auch wenn das ganze meiner meinung nach schon viel zu alt ist).

    aber anstatt mal was aktuelles zu verfassen, wird 12 x im boerse.to/bz kochtopf herumgerüht und die gerüchteküche weiterhin angefeuert. ich kann und möchte diese pseudobotschaften nicht mehr lesen und muss gestehen: tarnkappe bewegt sich immer weiter auf das BILD niveau zu.

    (btw sollte sich lars mal seine installierten plugins angucken und ob diese dem sicherheitsstandart entsprechen).

    grüße 404 /boerse.to hack
    was den rest angeht: hat mein vorposter in den genannten dingen recht.

    • Spiegelbest sagt:

      Ein Hack scheidet nicht aus. Das habe ich nicht geschrieben. Aber die IP-Falle kommt nicht von einem Hack. Das war eine Aktion der Betreiber. Es mag einen Hack gegeben haben, nur war er nicht ursächlich für die Hausdurchsuchungen und für alles, was da noch folgen wird.

      • tarnkappe sagt:

        Das wären aber sehr merkwürdige Beweise für jegliche Maßnahmen. Zuzutrauen wäre es ihnen, keine Frage. Ist schon merkwürdig, dass nirgendwo auf den Beschlüssen vermerkt wird, woher sie die IP-Adresse haben. Das zumindest ist kein Zufall.

    • Anonymous sagt:

      “falls du dir mal meine detailierten postings auf den foren: unique-crew, toolbase und szenebin angeguckt hast, ist diese aussage auszuschließen. der zugriff war ziemlich leicht, gerne kann ich die genutzte lücke nachreichen (wurde fixed), im anschluss erfolgte sogar ein gespräch mit dem inhaber von boerse(to) welches alle von mir geposteten inhalte beglaubigt.

      Worin bestand die Lücke und wer ist der Inhaber von boerse.to?

  4. Samuel & Kimble sagt:

    Schon mal dran gedacht, dass ein Mod sich einfach die Daten gezogen und weitergereicht hat? :)

    • pixelloop sagt:

      BTO war lange sql injection anfällig, was mein Link unten darlegt. Es gibt nach wie vor viele Möglichkeiten wie die an die IPs und die DB hätten kommen können. Ein normaler MOD hätte über das Backend jedoch wahrscheinlich nicht die Zugangberichtigungen um einen DB Extrakt durchzuführen.

      • Samuel & Kimble sagt:

        Für Geschwätz von einem unwissenden Noob mal wieder…

        1) BTO war lange anfällig? BTO ist ja schon sooo lange online :)
        2) Anfällig != anzapfbar.
        3) Ein Mod kann im untersten Level schon die IPs der User sehen.

        • pixelloop sagt:

          Ich korriegiere meine Formulierung von lange zu “seit Begin an”. Ob anfllig, oder anzapfbar ist wohl Haarspalterei und Modrechte sind in der Regel einstellbar und meist dann nur im Frontend beim jeweiligen Thread sichtbar. Wer bitte würde denn wochenlang nicht anderes im Kopf haben,als von jedem möglichen Upload einen Screenshot zu machen, denn nur so könnte er es dann in diesem Fall festhaten.

        • MoMo sagt:

          Er mag die IPs sehen können, aber selbst ein SMod kann keine Datebank aus dem Backend saugen! Sie können nicht mal eine Datei ändern oder gar Addons installieren.

        • webdev247 sagt:

          Ich hab nen Dump über die API Schnittstelle gezogen, welcher Kategorien, Threads und Posts aller User mit Namen enthält.
          Auch IP-Logs waren darin zu sehen, aber aus Zeiten vor BBZ und BoerseTO (das alte Gully).
          Die Schnittstelle is mittlerweile gefixt worden.

    • Anonymous sagt:

      Volker Schäfer aka plauzi aka ZX80?

    • Samuel & Kimble sagt:

      Lol, der Hack den es nie gegeben hat. Da hat lediglich ein Scriptkiddie rumgespielt und bringt irgendwelche DB-Strukturen als Beweis für den angeblichen “Hack” :-)

      • pixelloop sagt:

        Wenn Du meinst, würde ich aber nicht ausschließen, da direkt zu Begin des Threads von einem Leak des HowTo’s innerhalb der Szene die Rede ist. Hätte also zwischenzeitlich auch von wem anderes ausgenutzt werden können.

    • Anonymous sagt:

      Wenn boerse.to gehackt wurde, wo ist der Dump?

  5. const sagt:

    Hi,

    mal ne Idee wie ich an die Uploader IP komme würde, ich baue mir einen Imagehoster, suche mir Angebote eines Uploaders raus und poste selber Angebote mit einem passenden Angebotsbild von meinem Imagehoster. (“Gleiche Releases sind unbedingt zusammenzufassen.”)

    Da nur Bots und Uploader häufig die gleichen Angebote aufrufen, muss ich nur gucken, welche IP häufig meine platzierten Bilder aufgerufen hat. Angebote sind ja auch ab und an down…

    Den Forenumzug hätte ich genauso gemacht, 99% kennen die Seite ja noch nicht also erstmal ne Mail raus schicken, um ein paar User zu aktivieren ;)

  6. mario sagt:

    boerse.bz oder .to loggen IP’s. das war doch schon immer klar! die haben auch schon (wissentlich und gewollt) geloggt, wo noch alles cool war. die frage ist nur, WIESO?

    • Samuel & Kimble sagt:

      Wieso? Damit sie Spammer und Trolle besser rauswerfen können. Auf IP-Logging ist man halt angewiesen, wenn man als Basis nur ein drittklassiges Fertigforum betreibt.

  7. The Best sagt:

    Und wieder Fiktion!!!

    “webdev247” hat da vollkommen Recht. Man könne da noch weiter ausschweifen, aber dies wäre zuviel des Guten.

    Zitat:
    Darum bin ich die einzelnen Szenarien gestern mit einem Techniker aus der Praxis eines Rechenzentrums durchgegangen.

    Diesem Techniker müßte dies wissen!

    • mario sagt:

      zitat von spiegelbest aus einem anderen bord: “Meine Beiträge werden dort im Titel als ‘(Meinung)’ gekennzeichnet, weil
      ich mich als Naturkind weiterhin dem ‘gelebten’ Journalismus zugehörig
      fühle. Für Fakten kann ich mich einfach nicht begeistern. Und ‘Fakten,
      Fakten, Fakten’ sind für mich vorsätzlicher Spielabbruch.”

      das kann man sich mal auf der zunge zergehen lassen :P

      • tarnkappe sagt:

        Ja, gut, das ist den Artikeln ja auch auf 100 Metern anzusehen, dass es sich dabei um keine Tatsachenberichte handelt, oder?

        • mario sagt:

          ne das weiß ich ja. das sollte ja auch kein vorwurf sein. ich finde es nur irgendwie zweischienig, wenn sich jemand journalist nennt, aber gleichzeitig sagt, dass er sich nicht für fakten interessiert. was jetzt wiederum auch nicht böse gemeint ist. nur was soll man dazu sagen?

          • tarnkappe sagt:

            SB ein Journalist? Er war früher Sprecher einer illegalen E-Book-Seite und hat nie behauptet, Journalist zu sein. Ich sehe ihn als Blogger an. Er liebt Meinungsartikel und hat schon so manche Theorie gebracht. Manche waren Quatsch, manche haben aber ins Schwarze getroffen.

            • mario sagt:

              gut, das muss ich zurück nehmen. er fühlt sich dem journalismus zugehörig. trotzdem komisch, ein blogger der kein wert auf fakten legt. wie ich schon oft hier gelesen habe, kommt das nicht immer gut an ;)

              • Spiegelbest sagt:

                Wie Lars schon sagt: Ich war der Pressesprecher eines semi-legalen Ebook-Boards. Wenn du von dieser Richtung aus kommst, siehst du die Dinge anders. Dort startest du ein Projekt erst, wenn du alle Fakten verdreht und alles verschleiert hast. Das ist auch der Grund, warum ich gelegentlich ins Schwarze treffe, wo Journalisten nicht mal die Zielscheibe sehen ;)

                Und dann nimm ein paar langjährige Kontakte dazu, die sich auch so ihre Gedanken machen. Ich sag euch: Aus dem Ding kommt die Boerse.to nicht mehr raus! Da wurden ALLE Regeln gebrochen!!

            • Anonymous sagt:

              Kennst du die Identität von Spiegelbest aka Watchdog?

  8. Hartmut sagt:

    Also soweit ich mich noch erinnern kann, hat man auf .bz den “Umzugsbutton” drücken müssen, sein PW eingegeben/oder ggf. auch ein Neues und war damit bei .to angemeldet.
    Und die meisten Leute haben das wohl auch so gemacht.
    Bedeutet ja, dass wenn eine komplette .bz-Datenbank, bei den Behörden vorliegt, kann man sich jetzt munter mit Nicks+PW, bei .to durchprobieren und erhält direkten Zugang, bei einzelnen Usern!
    (Dann kann man ja noch viel Einfacher nachweisen, wer geladen und wer hochgeladen hat)

    Die Wenigsten nehmen doch eine neue Mailadresse+PW!
    Von daher sind kritische Fragen dort, auch sehr unerwünscht!

    Ich kenne Boards, wo man sich einfach komplett einer Neuanmeldung unterziehen musste, wenn man umzog oder sich die Boardsoftware geändert hat, und fertig!
    Die .to Geschichte stinkt einfach bis zum Himmel und da wird es den nächsten großen Knall geben.
    Dann, wenn man auch den “Leechern” so richtig an die Karre pissen kann. Da legt man mal so richtig los und lässt die Abmahndrucker abklühen, versetzt jedem Nutzer einen richtigen Denkzettel und schon kehrt dann richtig Ruhe ein. Das hat eine viel größere Wirkung, als die ganze Zeit dem Uploader auf die Schliche zu kommen. (Uploader gibt es ja bekanntlich weniger aber bei einem Board, mit 2,7 Millionen Usern, wo doch die Masse zu den Leechern zählt, da kann man ja mal ein richtiges Zeichen setzen!)

    Dann heißt es nicht mehr auf dem Schulhof.”Hol ich mir bei BZ.to kostenlos!” sondern “Alter, meine letzte Rechnung habe ich BZ.to zu verdanken und was ich jetzt bezahlen muss, hätte gereicht, den halben Mediamarkt zu kaufen!”

  9. Long sagt:

    Ne das haben die gemacht wegen dem CMS du kannst das nicht für jeden User übernehmen und schon garnicht mit einem Tool da löscht man lieber das Password von jedem Acc aus der DB und per Password vergessen wird ein neues erstellt

  10. Sepp sagt:

    Ergo: Finger weg! Und das sollte einem gesunden Userverstand einleuchten nach der BBZ Geschichte.

  11. webdev247 sagt:

    Einige Dinge die der deines Sachkundigen widerspricht ist folgendes:

    Boerse.bz benutzte vBulletin, Börse.to nutzt XenForo, das sind 2 verschiedene Forensysteme die beide zwar Hashen, jedoch gehört dazu auch der sogenannte Salt, der benutzt wird um die gehashten Passwörter sicherer zu machen.
    XenForo: sha1(username) . sh512(password)
    vBulletin: md5(md5(password)salt)

    Das macht es schwer möglich die Passwörter zu übernehmen und da SHA nunmal sicherer ist als MD5, hat man sich entschieden das Passwort Hashing nicht umzubauen. (Meine Theorie)

    Die Forensoftware selbst hat nicht geloggt, das kann ich daraus schließen, dass ich einen Teil-Dump über eine API Schnittstelle bekommen habe, die etwas verbuggt war.

    Das soll keinesfalls eine Rechtfertigung sein, jedoch sind das Fakten die so belegbar sind und die nunmal mit einem Netzwerktechniker schlecht beweisbar sind ;)

    • tarnkappe sagt:

      Hätte es kein Tool gegeben um die Übernahme der Passwörter einfacher zu gestalten? Dann gäbe es auch keinen Grund für solche Spekulationen.

    • Anonymous sagt:

      “Die Forensoftware selbst hat nicht geloggt, das kann ich daraus schließen, dass ich einen Teil-Dump über eine API Schnittstelle bekommen habe, die etwas verbuggt war.”

      Arbeitest du für die boersen oder warum hast du einen Dump bekommen?

    • anotherwebdev sagt:

      Dem kann ich nur beipflichten. Beruflich stehen wir momentan vor einen ähnlichen Umzug, einer Userdatenbank. Verschiedene Systeme verwenden nun mal verschiedene Hashes um die Passwörter zu sichern. Sicherlich kann man die einen oder anderen Moifikationen vornehmen um diese hashes dennoch nutzbar zu machen, aber dann verliert man unter anderem die Updatefähigkeit. Und warum sollte man bei älteren relativ unsicheren Systemen verbleiben?

      Und ja, Standardmäßig ist logging auf Servern aktiviert, aber es ist auch relativ einfach deaktivierbar, wenn man weiß was man tut. Was mich an dieser Stelle auch an eurer Quelle zweifeln lässt…

      Das ist insgesa mt eine schöne Theorie, aber eben nur eine Theorie!

      Bin schon gespannt auf die nächsten Artikel, unterhaltsam sind sie alle mal:)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.