Black Market Reloaded est de retour en ligne suite à une erreur de publication du code source

Black Market Reloaded, un site de marché noir qui avait pris de l'ampleur après la disparition de Silk Road, a fermé puis rouvert cette semaine suite à une faille de sécurité qui a vu des parties de son code source publiées en ligne. Cette fuite n'était T le résultat d'une opération de contre-espionnage du FBI, de hackers du milieu ou de sociétés d'hébergement malhonnêtes. Lorsque quelqu'un visitait le site, il lui transmettait apparemment simplement le code source.

Le fondateur du site, surnommé Backopy sur le forum Black Market Reloaded (BMR), avait initialement retiré le site après avoir découvert son code source publié sur un forum. Ils avaient promis de rendre aux gens leurs bitcoins et avaient déclaré que le site devrait être redéveloppé après la fuite. Un jour plus tard, Backopy a changé d'avis et a réinstallé le site à une adresse différente.

Backopy a initialement publié un message sur le forum informant le public que le site avait été compromis. Ils ont expliqué qu'un serveur privé virtuel (VPS) avait été utilisé pour héberger le site et ont accusé l'administrateur de ce serveur d'avoir volé le code source du site. Cela s'est avéré faux, après d'autres messages des personnes qui ont mis le code en ligne.

Un VPS est un système d'exploitation virtualisé fonctionnant sur un serveur physique plus grand, qui LOOKS à un serveur informatique dédié pour un client. Backopy a trouvé le fichier index.php du site Web BMR (le code qui fournit le contenu du site Web sur les navigateurs) publié par quelqu'un sur un forum en ligne.

« Pendant ces quelques jours, j'ai dû commettre le pire des péchés pour mettre le site en ligne : utiliser un VPS ! L'administrateur du VPS avait volé le code et l'avait divulgué. »a déclaré Backopy dans un post(accessible uniquement via le réseau Tor). Le message pointait vers le code sourcepublié dans un forum en ligne, hébergé dans le cadre d'un site proposant des informations sur des services cachés dans le cadre du dark web.

Mais la personne qui a posté le code sur le forum auquel Backopy a fait référence a nié que l'hébergeur de serveur privé virtuel ait volé le code. Au contraire, un bug aurait rendu le code du site, écrit en langage PHP, inexécutable pendant une courte période, selon un message. Cela a permis de télécharger le fichier .php au lieu de le faire fonctionner et d'afficher un site Web sur la page, ce qui est censé se produire.

La personne qui a posté le code source sur le forum a déclaré :

« Notre objectif n’était pas de faire tomber BMR, nous avons simplement publié la fuite car si nous l’avions, les forces de l’ordre et les pirates informatiques privés auraient pu l’avoir également, des problèmes auraient pu survenir si la fuite avait été exploitée à l’insu des gens. Nous n’avons aucun contact avec les parties impliquées, ni avec Backopy ni avec l’administrateur du VPS. »

Backopy a par la suite semblé revenir sur sa déclaration précédente. « Je pense que c'est vrai, la charge du serveur est probablement devenue si importante qu'Apache, incapable de traiter quoi que ce soit, a décidé de simplement gérer le code PHP », a déclaré un post ultérieur. « Je dois vous remercier de m'avoir prévenu de cela et c'est quelque chose que je KEEP à l'esprit pour les projets futurs. »

Puis, tôt vendredi, Backopy est réapparu sur le forum.

« Après avoir examiné mon code à maintes reprises, je me suis rendu compte que je pouvais toujours le remettre en ligne. Je sais que je vais maintenant être confronté à des attaques directes sur des fichiers secondaires, mais ils sont tous bien protégés et même si l'attaquant obtient la source, il ne pourra T faire grand-chose d'autre que de la consulter », ont-ils déclaré. « Malheureusement, comme je ne sais T si l'ancien certificat a été compromis, je dois changer l'URL de BMR. »

Ce qui n'est T clair, c'est si Backopy aurait pu faire quelque chose au fichier de configuration .htaccess ou à une autre partie du serveur Apache pour l'empêcher de simplement transmettre le code source du site en premier lieu. Quoi qu'il en soit, rien de tout cela n'est de bon augure pour la réputation des sites du marché noir. BMR était ONEun des sites du marché noir les plus anciens et les plus populaires après Route de la soie. Avec deux sites majeurs qui ont mordu la poussière en raison d'erreurs d'opérateur de base, la confiance dans ces systèmes va être ébranlée. ONEun des sites restants est Sheep Market, bien qu'il ait également fait l'objet de critiques après que quelqu'un prétend avoir trouvé la véritable adresse IP de l'opérateur.

[post-citation]

On a beaucoup parlé

de la prolifération des sites de marché noir après la disparition de Silk Road. L'argument est que là où ONEun tombe, dix autres surgiront. Mais si tous ces sites sont gérés par des amateurs qui trébuchent sur leurs propres lacets, quelle importance ?

« Je pense sincèrement que le marché noir en ligne pourrait évoluer vers quelque chose de beaucoup plus local que Silk Road, le géant international », a déclaré Thomas Kerin, développeur du moteur de marché anonyme en ligne BitWasp. « Le problème du modèle actuel est qu’il nécessite le système postal. Si les gens utilisaient des bitcoins pour acheter des choses et qu’on leur indiquait un point de dépôt, alors le système plus local évoluerait. »

BitWasp est ONEun des nombreux moteurs de marché noir qui semblent être proposés ou en cours de développement. Conçu pour que les utilisateurs puissent le télécharger et l'utiliser eux-mêmes, BitWasp peut être configuré pour être accessible via le réseau Tor si les utilisateurs choisissent de l'utiliser de cette façon, explique le fondateur Cameron Ruggles, bien que des instanciations clearweb soient certainement possibles.

L'équipe de développement est consciente de la nécessité de l'anonymat, même si elle s'efforce surtout de rendre difficile l'obtention d'informations sur une place de marché en cas de saisie. « Nous ne faisons pas beaucoup d'efforts pour les garder cachées pour le moment », a déclaré Kerin.

Les informations sur une place de marché basée sur BitWasp peuvent être configurées pour être purgées après avoir atteint un certain âge, explique Kerin. BitWasp utilisera le cryptage RSA pour protéger ses messages, basé sur un code PIN utilisateur et unsel, haché pour produire une clé RSA de 2048 BIT . Il inclut également le cryptage Javascript côté client. Cela rend difficile la lecture des messages par une attaque comme l'injection SQL (voir notre mention de cette ici), à moins qu'il n'y ait quelque chose de plus grave comme une attaque active pendant que l'utilisateur est connecté.

Le logiciel comprendra une fonction de dépôt fiduciaire rudimentaire, dans laquelle les utilisateurs rechargeront un compte. Les fonds resteront « en suspens » jusqu'à ce qu'un achat soit finalisé (et un administrateur interviendra pour arbitrer si nécessaire). Kerin a déclaré :

« À terme, j'aimerais changer cela pour utiliser une transaction à deux signatures sur trois, ce qui la rendrait vraiment imperméable, mais pour l'instant, cela devra faire l'affaire. »

Les fonctionnalités actuellement disponibles incluent un système de rechargement/retrait de Bitcoin et des transactions opérationnelles. Le développeur travaille sur un système de révision et finalise le code de résolution des litiges, ainsi que sur la mise en œuvre de nouvelles méthodes de sauvegarde des portefeuilles. L'équipe espère sortir une version alpha en décembre.

Quoi qu'il en soit, la communauté BMR a été très solidaire tout au long de l'incident. « Je suis très satisfait de votre conservatisme et de votre prudence », a déclaré un commentateur. « Vous communiquez bien et je suppose que vous êtes beaucoup moins sur Facebook et LinkedIn que mon précédent chef courageux ;-) », faisant sans doute référence à Ross Ulbricht, le fondateur de Silk Road, qui était inculpé plus tôt ce mois-ci.

«KEEP comme ça Backopy, nous apprécions votre travail acharné et vos services, et même si cela ne fonctionne T , nous sommes toujours reconnaissants envers BMR quand nous l'avions », a déclaré un autre.

Le service normal a repris, après une période d'un jour pendant laquelle Backopy a empêché tout dépôt de Bitcoin par mesure de sécurité.

Que pensez-vous de BMR ? Lui faites-vous confiance ?