Через помилку публікації вихідного коду Black Market Reloaded повернувся в Інтернет

Black Market Reloaded, сайт чорного ринку, який набирав сили після припинення Silk Road, закрився, а потім знову відкрився цього тижня через помилку в безпеці, через яку частини його вихідного коду були розміщені в мережі. Цей витік T був результатом контррозвідки ФБР, злочинних хакерів або підступних хостингових компаній. Коли хтось відвідав сайт, він, очевидно, просто передав вихідний код.

Засновник сайту під псевдонімом Backopy на форумі Black Market Reloaded (BMR) спочатку закрив сайт після того, як знайшов його вихідний код, опублікований на форумі. Вони пообіцяли повернути людям їхні біткойни та сказали, що сайт доведеться переробити після витоку. Через день Backopy змінила думку, відновивши сайт за іншою адресою.

Backopy спочатку опублікував повідомлення на форумі, в якому інформував громадськість про те, що сайт було зламано. Вони пояснили, що для розміщення сайту використовувався віртуальний приватний сервер (VPS), і звинуватили адміністратора цього сервера у крадіжці вихідного коду сайту. Це виявилося неправильним після подальших публікацій від людей, які розмістили код в мережі.

VPS — це віртуалізована операційна система, що працює на більшому фізичному сервері, який клієнту LOOKS як виділений комп’ютерний сервер. Backopy знайшов файл index.php веб-сайту BMR (код, який передає вміст веб-сайту в браузери), опублікований кимось на онлайн-форумі.

«У ці дні я б вчинив [sic] найгірший із гріхів, щоб отримати сайт онлайн; використовуйте VPS! Адміністратор VPS викрав код і злив його», сказав Backopy у дописі (доступна лише через мережу Tor). Повідомлення вказувало на вихідний код опубліковано на онлайн-форумі, розміщений як частина сайту, що пропонує інформацію про приховані служби в темній мережі.

Але особа, яка опублікувала код на форумі, на який посилається Backopy, заперечила, що фірма, яка надає хостинг віртуальних приватних серверів, вкрала код. Швидше за все, згідно з дописом, збій зробив код для сайту, написаний мовою PHP, невиконуваним на короткий час. Це дозволило завантажити файл .php, а не запустити його та відобразити веб-сайт на сторінці, що й мало статися.

Людина, яка опублікувала вихідний код на форумі, сказала:

«Нашою метою не було знищити BMR, ми просто опублікували витік, тому що якби він був у нас, правоохоронні органи та приватні хакери також могли б мати його, можуть виникнути проблеми, якщо витік буде використаний без відома людей. У нас немає контактів ні з ким із залучених сторін [sic], ні з резервним копіюванням, ні з адміністратором VPS».

Згодом Backopy, здається, відмовився від попередньої заяви. «Я вважаю, що це правда, ймовірно, навантаження на сервер було настільки високим, що apache, не в змозі нічого обробити, вирішив просто обробити код PHP», — йдеться в наступному дописі. «Я маю подяку, що ви попередили мене про це, і це те, про що я KEEP пам’ятати для майбутніх проектів».

Потім, рано в п’ятницю, Backopy знову з’явився на форумі.

«Переглядаючи свій код знову і знову, я зрозумів, що все ще можу його відновити. Я знаю, що тепер я зіткнуся з прямим попаданням вторинних файлів, але всі вони добре захищені, і навіть якщо зловмисник отримає джерело T зможе нічого зробити, окрім як подивитися на це", - сказали вони. «На жаль, оскільки я T знаю, чи був скомпрометований старий сертифікат, мені потрібно змінити URL-адресу BMR».

T , чи міг Backopy щось зробити з файлом конфігурації .htaccess або іншою частиною сервера Apache, щоб зупинити його просто передачу вихідного коду сайту. Незважаючи на це, все це не віщує нічого доброго для репутації сайтів чорного ринку. Після цього BMR був ONE із найдавніших і популярних сайтів чорного ринку Шовковий шлях. У зв’язку з тим, що два сайти, які перебувають у важких ситуаціях, зазнали негативного впливу через основні помилки оператора, довіра до цих систем буде похитнута. ONE із сайтів, що залишилися, є Овечий ринок, хоча його також хтось піддав критиці стверджував, що знайшов справжню IP-адресу оператора.

[пост-цитата]

Багато сказано

поширення сайтів чорного ринку після смерті Silk Road. Аргумент полягає в тому, що там, де впаде ONE , випливе ще десять. Але якщо ними керують аматори, які спотикаються об власні шнурки, яке це має значення?

«Я чесно думаю, що чорний онлайн-ринок може перетворитися на щось набагато більш локальне, ніж Silk Road, міжнародний гігант», — сказав Томас Керін, розробник механізму анонімного онлайн-ринку BitWasp. «Пастка нинішньої моделі полягає в тому, що для неї потрібна поштова система. Якби люди використовували біткойни, щоб купувати речі, і їм повідомляли точку викупу, тоді більш локальна система розвивалася б».

BitWasp — це ONE із кількох механізмів чорного ринку, які, здається, пропонуються або активно розробляються. Розроблений для того, щоб користувачі самі завантажували та керували ним, BitWasp можна налаштувати так, щоб він був доступним через мережу Tor, якщо користувачі вирішать працювати з ним таким чином, пояснює засновник Кемерон Рагглс, хоча екземпляри clearweb, безумовно, можливі.

Команда розробників усвідомлює необхідність анонімності, хоча вона більше зосереджується на тому, щоб ускладнити отримання інформації з ринку в разі її конфіскації. «Зараз ми не докладаємо великих зусиль, щоб це приховати», — сказав Керін.

Керін пояснює, що інформацію на торговому майданчику на основі BitWasp можна налаштувати так, щоб її видаляли після досягнення певного віку. BitWasp використовуватиме шифрування RSA для захисту своїх повідомлень на основі PIN-коду користувача та a сіль, хешований для створення 2048- BIT ключа RSA. Він також включає шифрування Javascript на стороні клієнта. Це ускладнює читання повідомлень за допомогою атаки, як-от впровадження SQL (див. нашу згадку про це тут), якщо немає чогось більш серйозного, наприклад активної атаки, коли користувач увійшов у систему.

Програмне забезпечення включатиме елементарну функцію умовного депонування, за допомогою якої користувачі поповнюють рахунок. Кошти залишатимуться «у підвішеному стані», доки не буде завершено покупку (і адміністратор втрутиться для розгляду, якщо необхідно). Керін сказав:

«Врешті-решт я хотів би змінити це на використання транзакції підпису два з трьох, що зробить його справді непроникним, але наразі це доведеться зробити».

Наразі доступні функції включають систему поповнення/виведення Bitcoin і робочі транзакції. Розробник працює над системою перегляду та завершує код для вирішення суперечок, а також реалізує більше способів резервного копіювання гаманців. Команда сподівається випустити альфа-версію в грудні.

У будь-якому випадку, спільнота BMR дуже підтримувала протягом усього інциденту. «Я дуже задоволений тим, наскільки ви були консервативними та обережними», — сказав ONE із коментаторів. «Ви добре спілкуєтеся, і я припускаю, що ви на Facebook і LinkedIn набагато менше, ніж мій попередній безстрашний лідер ;-)», мабуть, маючи на увазі Росса Ульбріхта, засновника Silk Road, який був обвинувачений на початку цього місяця.

«Так KEEP , Backopy, ми цінуємо вашу важку роботу та послуги, і навіть якщо це T спрацює, ми все одно вдячні за BMR, коли він у нас був», — сказав інший.

Звичайне обслуговування відновилося після одноденного періоду, коли Backopy запобігав будь-яким депозитам у Bitcoin як захід безпеки.

Що ви думаєте про BMR? Ви довіряєте цьому?