Black Market Reloaded vuelve a estar en línea tras un error en la publicación del código fuente

Black Market Reloaded, un sitio de mercado negro que estaba cobrando fuerza tras la desaparición de Silk Road, cerró y volvió a abrir esta semana tras una falla de seguridad que hizo que partes de su código fuente se publicaran en línea. Esa filtración no fue el resultado de la contrainteligencia del FBI, piratas informáticos del submundo o empresas de alojamiento maliciosas. Cuando alguien visitó el sitio, aparentemente solo entregó el código fuente.

El fundador del sitio, apodado Backopy en el foro Black Market Reloaded (BMR), originalmente retiró el sitio después de encontrar su código fuente publicado en un foro. Prometió devolverle a la gente sus bitcoins y dijo que el sitio tendría que ser rediseñado después de la filtración. Un día después, Backopy cambió de opinión y restableció el sitio en una dirección diferente.

Backopy originalmente publicó un mensaje en un foro informando al público que el sitio había sido comprometido. Explicaron que se había utilizado un servidor privado virtual (VPS) para alojar el sitio y culparon al administrador de ese servidor por robar el código fuente del sitio. Esto resultó ser incorrecto, después de que otras personas publicaran el código en línea.

Un VPS es un sistema operativo virtualizado que se ejecuta en un servidor físico más grande, que LOOKS y se siente como un servidor informático dedicado para un cliente. Backopy encontró el archivo index.php del sitio web de BMR (el código que entrega los contenidos del sitio web a los navegadores) publicado por alguien en un foro en línea.

“En estos días tuve que cometer el peor de los pecados para poner el sitio en línea: ¡utilizar un VPS! El administrador del VPS había robado el código y lo había filtrado”.dijo Backopy en una publicación(accesible sólo a través de la red Tor). El mensaje apuntaba al código fuente.publicado en un foro en línea, alojado como parte de un sitio que ofrece información sobre servicios ocultos como parte de la web oscura.

Pero la persona que publicó el código en el foro al que se hace referencia en Backopy negó que la empresa de alojamiento de servidores privados virtuales hubiera robado el código. Más bien, un error técnico aparentemente hizo que el código del sitio, escrito en lenguaje PHP, no se pudiera ejecutar durante un breve período, según una publicación. Eso permitió que se descargara el archivo .php en lugar de ejecutarlo y mostrar un sitio web en la página, que es lo que se supone que debe suceder.

La persona que publicó el código fuente en el foro dijo:

“No era nuestro objetivo derribar BMR, simplemente publicamos la filtración porque si la teníamos, las autoridades y los piratas informáticos privados también podrían tenerla, y podrían surgir problemas si la filtración se hubiera explotado sin que la gente lo supiera. No tenemos contacto con ninguna de las partes involucradas, ni con backopy ni con el administrador de VPS”.

Backopy pareció retractarse más tarde de su declaración anterior. “Creo que es verdad, probablemente la carga del servidor aumentó tanto que Apache, incapaz de procesar nada, decidió simplemente manejar el código PHP”, decía en una publicación posterior. “Tengo que agradecerles que me avisaran sobre esto y es algo que KEEP en cuenta para proyectos futuros”.

Luego, temprano el viernes, Backopy apareció nuevamente en el foro.

"Después de revisar mi código una y otra vez, me di cuenta de que todavía puedo volver a publicarlo. Sé que ahora me enfrentaré a ataques directos a archivos secundarios, pero todos están bien protegidos e incluso si el atacante obtiene la fuente, no podrá hacer mucho más que mirarla", dijeron. "Desafortunadamente, como no sé si el certificado antiguo se vio comprometido, tengo que cambiar la URL de BMR".

Lo que no está claro es si Backopy podría haber hecho algo con el archivo de configuración .htaccess o con alguna otra parte del servidor Apache para evitar que simplemente entregara el código fuente del sitio en primer lugar. De todas formas, nada de esto es un buen augurio para la reputación de los sitios del mercado negro. BMR fue ONE de los sitios del mercado negro más antiguos y populares después de Ruta de la Seda. Con dos sitios importantes que han desaparecido debido a errores básicos del operador, la confianza en estos sistemas se verá sacudida. ONE de los sitios restantes es Sheep Market, aunque también ha sido objeto de críticas después de que alguien Afirmó haber encontrado la IP real del operador.

[cita posterior]

Mucho se ha dicho

La proliferación de sitios del mercado negro tras la muerte de Silk Road. El argumento es que donde ONE cae, otros diez aparecen. Pero si todos están dirigidos por aficionados que se tropiezan con sus propios cordones, ¿qué importa?

“Sinceramente, creo que el mercado negro en línea podría convertirse en algo mucho más local que Silk Road, el gigante internacional”, dijo Thomas Kerin, desarrollador del motor de mercado anónimo en línea BitWasp. “El problema del modelo actual es que requiere el sistema postal. Si la gente usara bitcoins para comprar cosas y se les indicara un punto de entrega, entonces se desarrollaría un sistema más local”.

BitWasp es ONE de los varios motores del mercado negro que parecen estar en fase de desarrollo o en fase de propuesta. Diseñado para que los usuarios lo descarguen y lo utilicen por sí mismos, BitWasp puede configurarse para que sea accesible a través de la red Tor si los usuarios deciden utilizarlo de esa manera, explica el fundador Cameron Ruggles, aunque es posible crear instancias en la web transparente.

El equipo de desarrollo es consciente de la necesidad de mantener el anonimato, aunque se centra más en dificultar la obtención de información de un mercado en caso de que sea confiscada. "No estamos haciendo mucho esfuerzo por mantenerla oculta en este momento", dijo Kerin.

La información de un mercado basado en BitWasp se puede configurar para que se elimine cuando alcance cierta antigüedad, explica Kerin. BitWasp utilizará el cifrado RSA para proteger sus mensajes, basándose en un PIN de usuario y unsal, codificado para producir una clave RSA de 2048 BIT . También incluye cifrado de Javascript en el lado del cliente. Esto dificulta que los mensajes sean leídos por un ataque como la inyección SQL (consulte nuestra mención de eso). aquí), a menos que haya algo más serio como un ataque activo mientras el usuario está conectado.

El software incluirá una función de depósito en garantía rudimentaria, en la que los usuarios recargan una cuenta. Los fondos quedarán "en el limbo" hasta que se finalice una compra (y un administrador intervendrá para arbitrar cuando sea necesario). Kerin dijo:

“Con el tiempo me gustaría cambiar eso y utilizar una transacción con dos o tres firmas, lo que lo haría verdaderamente impermeable, pero por ahora esto tendrá que bastar”.

Las funciones disponibles actualmente incluyen un sistema de recarga y retiro de Bitcoin y transacciones en funcionamiento. El desarrollador está trabajando en un sistema de revisión y terminando el código para la resolución de disputas, además de implementar más formas de realizar copias de seguridad de las billeteras. El equipo espera lanzar una versión alfa en diciembre.

En cualquier caso, la comunidad BMR fue muy solidaria durante todo el incidente. "Estoy muy satisfecho con lo conservador y cauteloso que ha sido", dijo un comentarista. "Se comunica bien y supongo que está en Facebook y LinkedIn mucho menos que mi anterior líder intrépido ;-)", refiriéndose, presumiblemente, a Ross Ulbricht, el fundador de Silk Road, que fue acusado a principios de este mes.

"KEEP así Backopy, apreciamos tu arduo trabajo y tus servicios, e incluso si no funciona, seguimos estando agradecidos con BMR cuando lo tuvimos", dijo otro.

El servicio normal se ha reanudado, luego de un período de un día en el que Backopy impidió cualquier depósito de Bitcoin como medida de seguridad.

¿Qué opinas sobre el BMR? ¿Confías en él?