Black Market Reloaded è tornato online dopo un errore nella pubblicazione del codice sorgente

Black Market Reloaded, un sito di mercato nero che stava prendendo forza dopo la fine di Silk Road, ha chiuso e poi riaperto questa settimana a seguito di una falla di sicurezza che ha visto parti del suo codice sorgente pubblicate online. Quella fuga di notizie T è stata il risultato del controspionaggio dell'FBI, di hacker della malavita o di società di hosting subdole. Quando qualcuno ha visitato il sito, apparentemente ha semplicemente consegnato il codice sorgente.

Il fondatore del sito, soprannominato Backopy sul forum Black Market Reloaded (BMR), ha inizialmente ritirato il sito dopo aver trovato il suo codice sorgente pubblicato su un forum. Avevano promesso di restituire i bitcoin alle persone e avevano detto che il sito avrebbe dovuto essere riqualificato in seguito alla fuga di notizie. Un giorno dopo, Backopy ha cambiato idea, ripristinando il sito a un indirizzo diverso.

Backopy ha pubblicato originariamente un messaggio sul forum informando il pubblico che il sito era stato compromesso. Hanno spiegato che era stato utilizzato un server virtuale privato (VPS) per ospitare il sito e hanno incolpato l'amministratore di quel server per aver rubato il codice sorgente del sito. Ciò si è rivelato sbagliato, in seguito ad altri post delle persone che hanno messo online il codice.

Un VPS è un sistema operativo virtualizzato in esecuzione su un server fisico più grande, che LOOKS e si percepisce come un server dedicato per un cliente. Backopy ha trovato il file index.php del sito web BMR (il codice che distribuisce i contenuti del sito web sui browser) pubblicato da qualcuno su un forum online.

"In questi giorni ho dovuto commettere il peggiore dei peccati per mettere online il sito; usare un VPS! L'amministratore del VPS aveva rubato il codice e lo aveva fatto trapelare",ha detto Backopy in un post(accessibile solo tramite la rete Tor). Il messaggio puntava al codice sorgentepostato in un forum online, ospitato come parte di un sito che offre informazioni sui servizi nascosti nel dark web.

Ma la persona che ha pubblicato il codice nel forum linkato da Backopy ha negato che la società di hosting di server privati virtuali abbia rubato il codice. Piuttosto, un glitch sembra aver reso il codice per il sito, scritto nel linguaggio PHP, ineseguibile per un breve periodo, secondo un post. Ciò ha consentito di scaricare il file .php anziché farlo funzionare e visualizzare un sito Web sulla pagina, che è ciò che dovrebbe accadere.

La persona che ha pubblicato il codice sorgente nel forum ha detto:

"Non era nostro obiettivo far crollare BMR, abbiamo solo pubblicato la fuga di notizie perché se l'avessimo avuta noi, anche le forze dell'ordine e gli hacker privati avrebbero potuto averla, e sarebbero potuti sorgere problemi se la fuga di notizie fosse stata sfruttata senza che nessuno lo sapesse. Non abbiamo contatti con nessuna delle parti coinvolte [sic], né con Backopy né con l'amministratore VPS."

In seguito Backopy sembrò ritrattare la precedente affermazione. "Credo che sia vero, probabilmente il carico del server è diventato così alto che Apache, non riuscendo a elaborare nulla, ha deciso di gestire semplicemente il codice PHP", ha affermato un post successivo. "Devo ringraziarti per avermi avvisato di questo ed è qualcosa che KEEP a mente per progetti futuri".

Poi, venerdì mattina, Backopy è ricomparso sul forum.

"Dopo aver rivisto il mio codice più e più volte, ho capito che posso ancora rimetterlo in funzione. So che ora dovrò affrontare attacchi diretti ai file secondari, ma sono tutti ben protetti e anche se l'attaccante ottiene la fonte T potrà fare molto altro che guardarla", hanno detto. "Purtroppo, poiché T so se il vecchio certificato è stato compromesso, devo cambiare l'URL di BMR".

Ciò che T è chiaro è se Backopy avrebbe potuto fare qualcosa al file di configurazione .htaccess o a qualche altra parte del server Apache per impedirgli di consegnare semplicemente il codice sorgente del sito in primo luogo. In ogni caso, niente di tutto ciò promette bene per la reputazione dei siti del mercato nero. BMR è stato ONE dei siti del mercato nero più longevi e popolari dopo Via della seta. Con due siti di grande impatto che hanno morso la polvere a causa di errori basilari dell'operatore, la fiducia in questi sistemi verrà scossa. ONE dei siti rimanenti è Sheep Market, sebbene anche questo sia stato criticato dopo che qualcuno ha affermato di aver trovato il vero IP dell'operatore.

[post-citazione]

Molto è stato detto

della proliferazione dei siti del mercato nero dopo la morte di Silk Road. L'argomentazione è che dove ne cade ONE , ne spuntano altri dieci. Ma se sono tutti gestiti da dilettanti che inciampano nei propri lacci delle scarpe, cosa importa?

"Onestamente, penso che il mercato nero online potrebbe trasformarsi in qualcosa di molto più locale di Silk Road, il gigante internazionale", ha affermato Thomas Kerin, sviluppatore del motore di mercato anonimo online BitWasp. "L'insidia del modello attuale è che richiede il sistema postale. Se le persone usassero i bitcoin per acquistare cose e venisse loro comunicato un punto di consegna, allora si evolverebbe un sistema più locale".

BitWasp è ONE dei vari motori del mercato nero che sembrano essere proposti o in fase di sviluppo attivo. Progettato per essere scaricato e gestito dagli utenti stessi, BitWasp può essere configurato per essere accessibile tramite la rete Tor se gli utenti scelgono di gestirlo in quel modo, spiega il fondatore Cameron Ruggles, sebbene le istanziazioni clearweb siano certamente possibili.

Il team di sviluppo è consapevole della necessità di anonimato, anche se si concentra di più sul rendere difficile ottenere informazioni da un marketplace se sequestrate. "Non ci stiamo impegnando molto per tenerle nascoste in questo momento", ha affermato Kerin.

Le informazioni su un marketplace basato su BitWasp possono essere configurate per essere eliminate dopo aver raggiunto una certa età, spiega Kerin. BitWasp utilizzerà la crittografia RSA per proteggere i suoi messaggi, in base a un PIN utente e a unsale, hash per produrre una chiave RSA a 2048 BIT . Include anche la crittografia Javascript sul lato client. Ciò rende difficile la lettura dei messaggi da parte di un attacco come l'iniezione SQL (vedi la nostra menzione di ciò Qui), a meno che non si verifichi qualcosa di più serio, come un attacco attivo mentre l'utente è connesso.

Il software includerà una funzionalità di escrow rudimentale, in cui gli utenti ricaricano un account. I fondi rimarranno "in sospeso" finché un acquisto non sarà finalizzato (e un amministratore interverrà per arbitrare, se necessario). Kerin ha detto:

"Alla fine vorrei cambiare questa impostazione e usare una transazione con due firme su tre, rendendola davvero inattaccabile, ma per ora dovremo accontentarci di questo."

Le funzionalità attualmente disponibili includono un sistema di ricarica/incasso Bitcoin e transazioni funzionanti. Lo sviluppatore sta lavorando a un sistema di revisione e sta ultimando il codice per la risoluzione delle controversie, oltre a implementare altri modi per eseguire il backup dei wallet. Il team spera di rilasciare una versione alpha a dicembre.

In ogni caso, la comunità BMR è stata molto solidale durante l'intero incidente. "Sono molto soddisfatto di quanto tu sia stato prudente e cauto", ha detto ONE commentatore. "Comunichi bene e immagino che tu sia su Facebook e LinkedIn molto meno del mio precedente leader impavido ;-)," riferendosi, presumibilmente, a Ross Ulbricht, il fondatore di Silk Road, che era incriminato all'inizio di questo mese.

"KEEP così Backopy, apprezziamo il tuo duro lavoro e i tuoi servizi, e anche se T funzionare saremo comunque grati a BMR quando ce l'avevamo", ha detto un altro.

Il servizio è ripreso normalmente, dopo un periodo di un giorno in cui Backopy ha impedito qualsiasi deposito Bitcoin come misura di sicurezza.

Cosa pensi di BMR? Ti fidi?