Na-reload muli ang Black Market online kasunod ng error sa paglalathala ng source code

Ang Black Market Reloaded, isang black market site na lumalakas pagkatapos ng pagkamatay ng Silk Road, ay nagsara at pagkatapos ay muling binuksan ngayong linggo kasunod ng isang depekto sa seguridad na nakakita ng mga bahagi ng source code nito na nai-post online. Ang pagtagas na iyon ay T resulta ng FBI counter-intellience, underworld hackers, o mapanlinlang na hosting firm. Kapag may bumisita sa site, tila ipinasa lang nito ang source code.

Ang tagapagtatag ng site, na may palayaw na Backopy sa Black Market Reloaded (BMR) forum, ay orihinal na hinila ang site matapos mahanap ang source code nito na naka-post sa isang forum. Nangako sila na ibabalik sa mga tao ang kanilang mga bitcoin, at sinabi na ang site ay kailangang muling i-develop kasunod ng pagtagas. Makalipas ang isang araw, nagkaroon ng pagbabago ng puso ang Backopy, na ibinalik ang site sa ibang address.

Ang Backopy ay orihinal na nag-post ng isang mensahe sa forum na nagpapaalam sa publiko na ang site ay nakompromiso. Ipinaliwanag nila na ang isang virtual private server (VPS) ay ginamit upang i-host ang site, at sinisi ang administrator ng server na iyon para sa pagnanakaw ng source code ng site. Iyon ay naging mali, kasunod ng mga karagdagang post mula sa mga taong naglalagay ng code online.

Ang VPS ay isang virtualized na operating system na tumatakbo sa isang mas malaking pisikal na server, na LOOKS isang nakatalagang computer server sa isang customer. Natagpuan ng Backopy ang index.php file ng BMR website (ang code na naghahatid ng mga nilalaman ng website sa mga browser) na na-post ng isang tao sa isang online na forum.

“Sa mga araw na ito, gagawin ko [sic] ang mas masahol pa sa mga kasalanan para mai-online ang site; gumamit ng VPS! Ninakaw ng admin ng VPS ang code at ni-leak ito,” sabi ni Backopy sa isang post (maa-access lamang sa pamamagitan ng Tor network). Itinuro ng mensahe ang source code nai-post sa isang online forum, na naka-host bilang bahagi ng isang site na nag-aalok ng impormasyon tungkol sa mga nakatagong serbisyo bilang bahagi ng dark web.

Ngunit itinanggi ng taong nag-post ng code sa forum na naka-link sa pamamagitan ng Backopy na ninakaw ng virtual private server hosting firm ang code. Sa halip, lumilitaw ang isang glitch na nag-render ng code para sa site, na nakasulat sa wikang PHP, na hindi maipapatupad sa maikling panahon, ayon sa isang post. Na-enable ang .php file na ma-download sa halip na patakbuhin ito at ipakita ang isang website sa pahina, na kung ano ang ibig sabihin na mangyari.

Ang taong nag-post ng source code sa forum ay nagsabi:

“It was not our aim to bring BMR down, we just published the leak because if we have it, enforcement and private hackers could have it as well, may gulo kung sasamantalahin ang leakage nang hindi alam ng mga tao. Wala kaming contact sa sinuman sa mga kasangkot na partido [sic], ni backopy o VPS admin.”

Lumilitaw ang backopy sa kalaunan upang i-backtrack ang naunang pahayag. "Naniniwala ako na ito ay totoo, marahil ang pag-load ng server ay naging napakataas na ang apache, na hindi makapagproseso ng anuman, ay nagpasya na hawakan lamang ang PHP code," sabi ng isang kasunod na post. "Kailangan kong magpasalamat sa iyo upang bigyan ako ng babala tungkol dito at ito ay isang bagay KEEP ko sa aking isipan para sa mga proyekto sa hinaharap."

Pagkatapos, unang bahagi ng Biyernes, muling nag-pop up ang Backopy sa forum.

"Pagkatapos ng paulit-ulit na pagsusuri sa aking code, napagtanto ko na maaari ko pa rin itong ibalik. Alam kong haharapin ko ngayon ang mga direktang hit sa mga pangalawang file, ngunit lahat sila ay mahusay na protektado at kahit na makuha ng umaatake ang pinagmulan. T kang magagawa kung hindi tingnan ito," sabi nila. "Sa kasamaang palad dahil T ko alam kung nakompromiso ang lumang certificate, kailangan kong baguhin ang URL ng BMR."

Ang T malinaw ay kung may nagawa ba ang Backopy sa .htaccess configuration file o sa iba pang bahagi ng Apache server upang ihinto ito sa simpleng pagbigay ng source code ng site sa unang lugar. Anuman, wala sa mga ito ang mabuti para sa reputasyon ng mga site ng black market. Ang BMR ay ONE sa pinakamatagal at sikat na black market site pagkatapos Daang Silk. Sa dalawang heavy-hitter na site na nakagat ng alikabok dahil sa mga pangunahing error sa operator, mayayanig ang kumpiyansa sa mga system na ito. Ang ONE sa mga natitirang site ay ang Sheep Market, bagama't napunta rin ito sa ilalim ng kritisismo pagkatapos ng isang tao inaangkin na natagpuan ang totoong IP ng operator.

[post-quote]

Marami na ang nasabi

ng paglaganap ng mga black market sites matapos ang pagkamatay ng Silk Road. Ang argumento ay napupunta na kung saan ang ONE bumagsak, isa pang sampu ay sisibol. Ngunit kung lahat sila ay pinapatakbo ng mga baguhan na natisod sa kanilang sariling mga sintas ng sapatos, ano ang mahalaga?

"Sa totoo lang, iniisip ko na ang online black market ay maaaring magbago sa isang bagay na mas lokal kaysa sa Silk Road, ang internasyonal na higante," sabi ni Thomas Kerin, developer ng online na anonymous marketplace engine na BitWasp. "Ang pitfall sa kasalukuyang modelo ay nangangailangan ito ng postal system. Kung ang mga tao ay gumamit ng mga bitcoin upang bumili ng mga bagay, at sinabihan ng drop point, kung gayon ang mas maraming lokal na sistema ay mag-evolve."

Ang BitWasp ay ONE sa ilang mga black market engine na lumilitaw na alinman sa iminungkahi, o nasa ilalim ng aktibong pag-unlad. Idinisenyo para sa mga user na mag-download at magpatakbo ng kanilang mga sarili, ang BitWasp ay maaaring i-set up upang ma-access sa pamamagitan ng Tor network kung pipiliin ng mga user na patakbuhin ito sa ganoong paraan, paliwanag ng founder na si Cameron Ruggles, bagama't tiyak na posible ang mga instantiation ng clearweb.

Alam ng development team ang pangangailangan para sa anonymity, bagama't mas nakatuon ito sa pagpapahirap sa pagkuha ng impormasyon mula sa isang marketplace kung kinukuha. "Hindi kami naglalagay ng maraming pagsisikap na panatilihin itong nakatago sa ngayon," sabi ni Kerin.

Ang impormasyon sa isang marketplace na nakabatay sa BitWasp ay maaaring i-configure upang ma-purged pagkatapos na umabot ito sa isang tiyak na edad, paliwanag ni Kerin. Gagamitin ng BitWasp ang RSA encryption para protektahan ang mga mensahe nito, batay sa isang user PIN at a asin, na-hash para makagawa ng 2048- BIT na RSA key. Kasama rin dito ang pag-encrypt ng Javascript sa panig ng kliyente. Ginagawa nitong mahirap para sa mga mensahe na mabasa ng isang pag-atake tulad ng SQL injection (tingnan ang aming pagbanggit tungkol doon dito), maliban kung may mas seryoso tulad ng aktibong pag-atake habang naka-log in ang user.

Ang software ay magsasama ng isang paunang tampok na escrow, kung saan ang mga gumagamit ay nag-top up ng isang account. Ang mga pondo ay mananatiling "in limbo" hanggang sa ma-finalize ang isang pagbili (at ang isang admin ay papasok upang mag-arbitrate kung kinakailangan). Sabi ni Kerin

"Sa kalaunan gusto kong baguhin iyon sa paggamit ng dalawa sa tatlong signature na transaksyon, na ginagawa itong tunay na hindi tinatablan, ngunit sa ngayon ay kailangan itong gawin."

Kasama sa kasalukuyang magagamit na mga tampok ang isang Bitcoin topup/cashout system, at gumaganang mga transaksyon. Gumagawa ang developer sa isang sistema ng pagsusuri, at tinatapos ang code para sa paglutas ng hindi pagkakaunawaan, kasama ang pagpapatupad ng higit pang mga paraan upang mag-back up ng mga wallet. Inaasahan ng team na maglabas ng alpha version sa Disyembre.

Sa anumang kaso, ang komunidad ng BMR ay lubos na sumusuporta sa buong insidente. "I'm very satisfied with how conservative and cautious you have been," sabi ng ONE commenter. "Mahusay kang nakikipag-usap at sa palagay ko ikaw ay nasa facebook at LinkedIn na mas mababa kaysa sa aking dating walang takot na pinuno ;-)," tinutukoy, marahil ay kay Ross Ulbricht, ang tagapagtatag ng Silk Road, na inakusahan noong unang bahagi ng buwang ito.

"KEEP it up Backopy, we appreciate your hard work and services, at kahit T natuloy nagpapasalamat pa rin kami sa BMR noong nagkaroon kami nito," sabi ng isa pa.

Ipinagpatuloy ang normal na serbisyo, kasunod ng isang araw na panahon kung saan pinigilan ng Backopy ang anumang mga deposito ng Bitcoin bilang isang hakbang sa kaligtasan.

Ano ang tingin mo sa BMR? Pinagkakatiwalaan mo ba ito?