[Owned] Anonstream.com - Angebliche Anonymität
Posted by bursali | Posted in Owned, Scene | Posted on 26.02.2012 @ 18:41:48
54
Schönen Sonntagabend.
Ich weiß nicht, aber ich habe etwas gegen Lügner.
Ich denke, einigen da draußen geht es auch so. 
Kennt ihr dieses Gefühl, wenn ihr auf einer Seite 'anonym' lest & dann überlegen müsst, ob es wirklich anonym ist?
Hier haben wir so ein Beispiel.
Auf Gulli wird von einem Streaming-/Filesharinganbieter geredet.
Im zweiten Abschnitt steht folgendes:
Die Webseite „Anonstream.com“, die offenbar unter deutscher Führung steht, ist aktuell eines der prominentesten Beispiele. Auf der recht simpel gehaltenen Webpräsenz wirbt man mit „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“ und einer Vergütung für populäre Uploads. Auf welchem Wege diese Anonymisierung des Datenverkehrs allerdings erfolgen soll, wird nicht beschrieben.
Jetzt ratet mal. Genau, es findet keine Anonymisierung statt - ok, mom. Eines muss man sagen, die Apachelogs werden anscheinend auf /dev/null geschoben.
Wenigstens etwas.
Aber wenn ich schon Zugang auf den Server habe, kann ich mir doch auch gleich mal die Datenbank anschauen, oder nicht?
Nun gut. Das Erste, was mir in Interface von PhpMyAdmin auffällt ist folgendes: root@localhost
Aua?! Nungut, für mich war diese Fehleinstellung ein 'Segen'.
Gut, diesen Schock haben wir schonmal überstanden und können mit einem miesen Gefühl, das schlimmer wird, weiterschauen.
Schauen wir uns die Tabelle mit dem Namen 'dk_server' mal genauer an.
In dieser Tabelle sehen wir Plaindaten zu den zwei Fileservern. Schande!
85.131.244.251 - server1 - user - pass //natürlich zensiert.
85.131.244.252 - server2 - user - pass //natürlich zensiert.
Puh. Schock Nummer 2! *Kaffee hol*
Weitergehts.
Da ich ehrlich gesagt an einem Sonntag zu faul bin, jede Tabelle einzeln durchzuschauen, lasse ich in PMA schnell eine Suche nach dem Begriff 'ip' laufen.
Jetzt sollte ich normalerweise - jedenfalls laut Aussage der Betreiber dieser Seite - kein Ergebnis bekommen.
Hmh..
Fangen wir mal 'harmlos' an.
Tabelle: dk_payments
Diese Tabelle ist zum Glück noch leer.
Deshalb hier nur eine Liste der Spalten:
- active
- createdtime
- id
- ip <- dafuq?
- itemid
- payment
- _amount
- payment_status
- txnid
Ok, das kann man vielleicht mit der Ausrede erklären, dass man sich selber vor Betrug schützen will und deshalb die IP's mitloggt.
Aber moment mal - was war nochmal mit „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“?
Da sollte Bezahlung inbegriffen sein - eigentlich.
Puh. Schock Nummer 3! *Koffeintablette hol*
Weitergehts.
Jetzt wird es interessanter. 
Tabelle: dk_checkstatus
- requested_id
- timestamp
- user_ip <- are you fucking kidding us!?
Okay. Diese Tabelle logt anscheinend die Funktion, wenn ein Benutzer einen Statuscheck durchführt.
Ähm, jah. In dieser Tabelle sind momentan 'nur' fünf Einträge vorhanden - harmlos - vielleicht.
Aber -> „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“!?
Puh. Schock Nummer 4! *Wo ist mein Defibrillator*
Arrgh. Weitergehts.
So, nun zum Höhepunkt dieser *hust* Seite.
Tabelle: dk_getdownloads
- hash
- id
- stream
- timestamp
- user_id
- user_ip <- Ready to fuck 'em up..
*Gaaanz ruhig, durchatmen. Huh.*
Also. Wenn jemand einen Download aufruft, dann wird die IP geloggt.
Hah, wie schön.
Da geht einem das Herz auf. Das nennen die Betreiber Anonymität!
Applaus meine Freunde, bitte alle klatschen! - Danke.
Nun gut. Mein Herz und meine Nerven sind irgendwie an der Decke - wieso auch immer, ne?
Aber gut, ich habe es mir natürlich nicht verkneifen können, die Passwortstärke der Administratoren zu testen.
Es gibt laut der Tabelle 'dk_admins' drei Administratoren.
136 | bonkers | dfcc53d9a2*********7d3581deebdb
135 | root | d1502252e*************391855
183 | darkside022 | 819b7**************7ecbda
Zwei von drei Passwörtern wurden mit der GPU Bruteforce Methode innerhalb von 10 Minuten geknackt.
Ein kleiner Beweis für die, die immer Beweise wollen.
 anonstream.com - Admin - Proofscreen - 1 |
 anonstream.com - Admin - Proofscreen - 2 |
Und zum Abschluss noch eine Kleinigkeit.
Impressum / Anschrift wird morgen aktualisiert <- 
Mehr habe ich nicht zu sagen.
Update:
Da hier einige der Meinung sind, es würden keine Logs exisitieren, gibt es hier einen Proofscreen vom Inhalt der Tabelle 'dk_getdownloads':
IP Log Proof
Schönen Abend noch.
Deniz.
[...] Angeblich soll der Upload und Download des Filehosters komplett ohne IP Log funktionieren. Dies hat Bursali aber in seinem Blog wiederlegt. [...]
Nö, um ehrlich zu sein wiederlegt hat er nix. Er hat nur aufgezeigt, dass es Tabs für Ips gibt, aber nicht ob diese auch tatsächlich gefüllt werden… Oder hab ich die Stelle überlesen??
Extra für dich habe ich einen Proofscreen reingestellt.
Mit freundlichen Grüßen,
~bursali
Bernd ist sehr bestürzt zu sehen, wie viele Leute sich doch tatsächlich auf die Behauptungen der Betreiber blind verlassen und direkt erstmal uppen. Gerade bei Warez sollte man erstmal den Verstand einschalten und sich vergewissern, dass z.b. propagandierte “Anonymität” auch tatsächlich vorhanden ist, bzw. versiertere Leute das ganze austesten lassen, bevor man sich selbt einen Acc. erstellt und hochlädt, bis die Leitung glüht. Ansonsten ist nachher dann wieder das Geschreie groß, wenn der Hoster überraschend hops genommen wurde, bzw. die höchst dubiosen Betreiber samt Premium/Werbeeinnahmen über alle Berge sind und im Zwischennetz oder beim BKA die dicken Logfiles kursieren.
Interessanter Beitrag. Aber haben wir anderes nach dem ersten Blick erwartet?
Achja: Entweder steht Anonstream grad unter Beschuss oder die Seite existiert schon nicht mehr.
Im Übrigen ist auf der Seite ganz einfache SQL-Injection möglich, z.B. beim Login der Industrie-Api *hust*
Werden wirklich die Ips geloggt oder nur Hashs? Also sha1 + Salt oder so?
Wie Du dem Update von gerade eben entnehmen kannst, waren die IP’s unverschlüsselt.
Mit freundlichen Grüßen,
~bursali
Ok das ist echt doof :/
Wäre die Methode sha1 + Salt denn ne Alternative die akzeptable wäre?
Hi Kai. Hashing und Salting ist bei einer so überschaubaren Eingabe wie dem IPV4 Addressraum eher uninteressant für die meisten Szenarien. Denn sobald Salt und Hashing Methode bekannt werden (z.B. durch den freundlichen White-Hat von nebenan oder wegen einem Gerichtsbeschluss), kann man ja mit den bekannten Werten innerhalb kürzester Zeit alle Hashes (ca. 2^32 Kombinationen) erneut generieren und dann mit den bereits gespeicherten Werten vergleichen. Je nach Art des Saltings dürfte dies selbst für Programmierlaien nur ein Aufwand von wenigen Stunden bedürfen. Aber auch wenn unter keinen Umständen jemals jemand an das Salt kommen sollte, würden “gleiche” Hashes immer noch das Bilden von sehr genauen Benutzerprofilen/ Vorlieben zulassen. Mit Anonymität hätte so etwas natürlich recht wenig zu tun.
Wichtig an dieser Stelle finde ich persönlich jedoch nicht die Frage nach der Art und Weise der Speicherung der IP Adresse, sondern um das Versprechen und das stümperhafte Auftreten der Firma im Speziellen und die Frage ob man als Benutzer überhaupt jemals einer Firma vertrauen kann im Allgemeinen. Eine Firma ist rechtlich der Gewinnmaximierung verpflichtet und nicht dem Einhalten von irgendwelchen Werbeslogans.
Auch wenn das Vorgehen moralisch fragwürdig ist, bin ich sehr dankbar für diese Offenlegung.
Ich denke mal wirklich anonym ist gar nicht möglich oder?
Man könnte aber sicherlich einen Filehoster launchen der anonymer ist als die anderen. Die Frage ist ob man damit die breite Masse erreicht …
- Einzahlungen nur per Bitcoin (eventuell auch PSC)
- Intern läuft alles über Punkte (Coins)
- Diese Coins können an andere User überwiesen werden
- Coins können in Premium Laufzeit umgewandelt werden
- Extern findet ein Coin Handel statt, sprich Uploader a verkauft 1000 Points an Downloader a für 5 Euro (weil 1000 Points aktuell diesen Wert haben), bekommt das Geld und überweist die Punkte an den Downloader
Problem ist hier halt wie man den Traffic möglichst “anonym” vermarktet …
Ich denke mal sowas wäre schon in Ordnung oder?
Oder bringt das nen Dreck?
Wegen der IP Sache, ging mir ja nur darum die IP nicht Plain zu speichern. Und Daus dürften damit denke ich schon ein Problem haben, sonst könnte man die IP ja wirklich gleich Plain speichern oder?
em bitcoins ?? O.o
<>
Quelle: http://de.wikipedia.org/wiki/Bitcoin
Wenn dann eher PSC
Klasse Artikel, bursali XD Da musste ich doch gleich mal gucken wie der Betreiber sonst so drauf ist… Hmmm… ein Projekt von ihm ist down wegen ner Unterlassungserklärung, ein anderes ist total verwanzt und verlaust und auch ansonsten scheint er nicht “helle” zu sein. Ich meine wer sucht denn sowas – Zitat:
“Hallo,
Wir benötigen preisgünstige .to-Domains mit einem Whois-Guard. Bietet jemand hier sowas an? Oder kann vermitteln, ich würde mich über Angebote freuen.”
Jaja…. aber immerhin erwartet er wohl nach eigenen Aussagen einen Umsatz von 10-20k pro Monat
……
Bitte nicht Firecooler oder Samer bitte, wird das nie ein Ende haben? Ich meine, die haben uns ja schon gedroht das die Datenklo wieder starten wollen @ RR (nur blöde das im Impressum einer weiteren Seite der Name Fakhro stand)
Hat sich bereits erledigt … darkside022 sagt schon alles … Würg …
[...] wurde mittlerweile von der Hacker-Szene genauer unter die Lupe genommen. Das Ergebnis, zu dem der Blog „Bursali“ kommt, scheint fatal. Dem IT-Spezialisten „Deniz“ gelang es, die komplette Datenbank von [...]
War ja klar das die Loggen schon allein deswegen weil die Server in Germany stehen bei Link11 GmbH
Gut gemacht Bursali
Wenn hinter der ganzen Seite mal nicht ein angekaufter wirtschafter ist der für die Bullen arbeitet um die daten dann weiter zu geben ?
Ich finde sowas eine schweinerei aber war mir von vorne rein schon klar das die seite nichts taugt.
Unsere Freunde von Och- und Speedload sind wieder da
also ich kann euch aus sicher Quelle berichten, dass sind unsre alt bekannten Freunde
LG
Saubere Arbeit. Du solltest aber von Deinem hohen Ross runter kommen und ganz sachlich bleiben. Also, spar’ Dir solche wie “Kaffe holen”, “Koffeintablette holen”, “Defibrillator”…. und der ganze andere Kram. Werde seriös. Nur dann nimmt man Dich ernst.
Danke für deinen Kommentar.
Es ist kein hohes Ross, es ist eine mit Ironie gemischte Art und Weise der Textformulierung.
Mit freundlichen Grüßen,
~bursali
Wieso? Meiner Meinung nach wertet das den Text und das Lesevergnügen sehr auf
Och & Speedload sicher? War das nicht jemand mit dem Namen Jan? (Zumindest stehen Och & Speedload bei diesem Jan @ Xing Profil)
Und das hier ist definitiv Samer (er steckt da irgendwie mit drin)
wie sieht die injection denn in etwa aus? würde sowas gern mal sehn
Die komplette Injection werde ich nicht veröffentlichen.
Eine kurze Erklärung liegt aber heute noch in deinem Postfach.
Mit freundlichen Grüßen,
~bursali
hey, kannst die erklärung dann auch noch an diese mail adresse in dem post hier weiterleiten? wär cool
schonmal danke!
Werde ich tun.
Mit freundlichen Grüßen,
~bursali
Hätte die Info auch gerne
Kopie wird auch an dich gehen.
Mit freundlichen Grüßen,
~bursali
Und an mich auch?
Hab auch heute den kompletten Blog gelesen ^^
Danke!
Hätte ich auch gerne wenn möglich
Aller besten Dank
Auch bitte an mich ne Kopie.
Gut gemacht. Lieber die Kerle jetzt von ihrem hohen Ross holen, bevor 1000e Kunden drauf reinfallen
Hey,
wäre nett von dir wenn du auch mir die injection (oder die grundidee dabei) mailen könntest
Guter Beitrag!
Würde mir die injection auch gerne mal ansehen. Könntest du es mir auch schicken bitte?
Gruss
Snake
netter Post!
würd mich auch intressieren.
Gruss
@bursali wenn du schon sowas veroeffentlichst dann solltest du auch mit angeben das die ip tabelle wohl nicht in nutzung war.
Und ich denke mal die haben die Lücke gefixt.
Die Tabellen, die ich hatte, waren mit Daten gefüllt.
Ergo, Sie waren in Benutzung.
Mit freundlichen Grüßen,
~bursali
An mich bitte auch einmal Weiterleiten mich würde das auch interessieren
http://www.tallinn.diplo.de/Vertretung/tallinn/de/S-Deutsche-Institutionen-in-Estland.html
Adressvergleich?
Auf der Hauptseite sind 2GB geschrieben, im FAQ 1GB…
Gott sei Dank gibt es Leute wie Bursali, die die Unfähigkeit hinter solchen schnellstarter Projekten aufdecken und so größeren Schaden vermeiden. Danke!
Jetzt gibt es eine News-Seite auf anonstream, in der alles was hier gepostet wurde abgestritten wird:
http://www.anonstream.com/news
Ich sage mal: Das Buffet is eröffnet!
Toller Post!
Kannst du die Injection auch an mich senden?
Würde mich auch sehr interessieren
Danke schonmal!
Hey Bursali,
schön geschrieben liest sich wie ein Krimi
ja einfach gei vor allem das se bahaupten die sicherheitslücken seien gifixt ich mag es bezweifeln der größter kracher jedach find ich das se erst sagen ips wurden nicht geloggt und sie se jetzt doch loggen und verschlüsseln und dann nach einer stunde löschen is doch vollkommener humbug warum nehmen die nicht einfach den ip log raus das was die betreiben is doch lug und betrug
@brusali
könntest du mir die injection auchmal scicken bitte würde mich sehr interessieren
Heya,
ich würde mich wenn möglich auch über die SQL injection freuen.
Aber danke und gute Arbeit.
Immer besser wenn man sich alles erstmal genau anschaut
Scheinen aber zurzeit ganz down zu sein
mfg
Guestwithoutname
netload GmbH = Anonstream.com
netload := Abmahnwahnsinn.
Jens P. J. scheint ja wirklich die Szene abzocken zu wollen.
@SuperAnon Woher weißt du das denn?
atm anonstream.com tango down
Auch interessant, aktuell sieht man nur die phpinfo()
http://www.anonstream.com/
[...] Quelle: blog.bursali.eu [...]
Ich finds super, dass du nach 5 (?) Jahren im Milieu immer und immer wieder die gleichen Sachen machst!
wenigstens warnt er user und hackt nicht sinnlos drauf los lol
tolle ironie hast du da xDD
Ich finds super das Leute die keine Ahnung haben einen der sehr wenigen Leute die noch korrekte Sachen publik machen versuchen zu denunzieren…
Geh und spiel weiter an Deiner Scheide…