Black Market Reloaded voltou a ficar online após erro de publicação do código-fonte

Black Market Reloaded, um site de mercado negro que estava ganhando força após o fim do Silk Road, fechou e reabriu esta semana após uma falha de segurança que viu partes de seu código-fonte postadas online. Esse vazamento T foi resultado de contrainteligência do FBI, hackers do submundo ou empresas de hospedagem desonestas. Quando alguém visitava o site, ele aparentemente apenas entregava o código-fonte.

O fundador do site, apelidado de Backopy no fórum Black Market Reloaded (BMR), originalmente retirou o site do ar após encontrar seu código-fonte postado em um fórum. Eles prometeram devolver os bitcoins das pessoas e disseram que o site teria que ser reconstruído após o vazamento. Um dia depois, o Backopy mudou de ideia, restabelecendo o site em um endereço diferente.

O Backopy postou originalmente uma mensagem no fórum informando ao público que o site havia sido comprometido. Eles explicaram que um servidor virtual privado (VPS) havia sido usado para hospedar o site e culparam o administrador daquele servidor por roubar o código-fonte do site. Isso acabou se revelando errado, após outras postagens das pessoas que colocaram o código online.

Um VPS é um sistema operacional virtualizado rodando em um servidor físico maior, que LOOKS e se comporta como um servidor de computador dedicado para um cliente. O Backopy encontrou o arquivo index.php do site da BMR (o código que entrega o conteúdo do site em navegadores) postado por alguém em um fórum online.

“Durante esses dias eu cometi o pior dos pecados para colocar o site online; usar um VPS! O administrador do VPS roubou o código e o vazou,”disse Backopy em um post(acessível somente pela rede Tor). A mensagem apontava para o código fontepostado em um fórum online, hospedado como parte de um site que oferece informações sobre serviços ocultos na dark web.

Mas a pessoa que postou o código no fórum vinculado pelo Backopy negou que a empresa de hospedagem de servidor privado virtual tenha roubado o código. Em vez disso, uma falha pareceu ter tornado o código do site, escrito na linguagem PHP, inexecutável por um curto período, de acordo com uma postagem. Isso permitiu que o arquivo .php fosse baixado em vez de fazê-lo rodar e exibir um site na página, que é o que deveria acontecer.

A pessoa que postou o código-fonte no fórum disse:

“Não era nosso objetivo derrubar o BMR, apenas publicamos o vazamento porque, se o tivéssemos, a fiscalização e os hackers privados também poderiam tê-lo, e problemas poderiam surgir se o vazamento tivesse sido explorado sem que as pessoas soubessem. Não temos contato com nenhuma das partes envolvidas, nem com o backopy nem com o administrador do VPS.”

Mais tarde, o Backopy pareceu voltar atrás na declaração anterior. “Acredito que seja verdade, provavelmente a carga do servidor ficou tão alta que o apache, incapaz de processar qualquer coisa, decidiu simplesmente manipular o código PHP”, disse uma postagem subsequente. “Tenho que agradecer por me avisar sobre isso e é algo que KEEP em mente para projetos futuros.”

Então, na sexta-feira cedo, o Backopy apareceu novamente no fórum.

"Depois de revisar meu código várias vezes, percebi que ainda posso colocá-lo de volta. Sei que agora enfrentarei ataques diretos a arquivos secundários, mas eles estão todos bem protegidos e, mesmo que o invasor obtenha a fonte, T poderá fazer muito além de dar uma olhada", disseram. "Infelizmente, como T sei se o certificado antigo foi comprometido, tenho que alterar a URL do BMR."

O que T está claro é se o Backopy poderia ter feito algo no arquivo de configuração .htaccess ou em alguma outra parte do servidor Apache para impedi-lo de simplesmente entregar o código-fonte do site em primeiro lugar. Independentemente disso, nada disso é um bom presságio para a reputação dos sites do mercado negro. O BMR foi um dos sites de mercado negro mais antigos e populares depois Rota da Seda. Com dois sites de peso tendo mordido a poeira devido a erros básicos do operador, a confiança nesses sistemas será abalada. Um dos sites restantes é o Sheep Market, embora este também tenha sido criticado depois que alguém alegou ter encontrado o IP real da operadora.

[post-citação]

Muito tem sido dito

da proliferação de sites de mercado negro após a morte da Silk Road. O argumento é que onde um cai, outros dez surgirão. Mas se todos eles são administrados por amadores tropeçando em seus próprios cadarços, o que isso importa?

“Sinceramente, acho que o mercado negro online poderia se transformar em algo muito mais local do que a Silk Road, a gigante internacional”, disse Thomas Kerin, desenvolvedor do mecanismo de mercado anônimo online BitWasp. “A armadilha do modelo atual é que ele requer o sistema postal. Se as pessoas usassem bitcoins para comprar coisas e fossem informadas sobre um ponto de entrega, então o sistema mais local evoluiria.”

BitWasp é um dos vários mecanismos de mercado negro que parecem ser propostos ou estar em desenvolvimento ativo. Projetado para que os usuários baixem e operem eles mesmos, o BitWasp pode ser configurado para ser acessível pela rede Tor se os usuários escolherem operá-lo dessa forma, explica o fundador Cameron Ruggles, embora instanciações clearweb sejam certamente possíveis.

A equipe de desenvolvimento está ciente da necessidade de anonimato, embora se concentre mais em dificultar a obtenção de informações de um mercado se apreendidas. “Não estamos nos esforçando muito para mantê-las ocultas agora”, disse Kerin.

As informações em um mercado baseado em BitWasp podem ser configuradas para serem eliminadas após atingir uma certa idade, explica Kerin. O BitWasp usará criptografia RSA para proteger suas mensagens, com base em um PIN de usuário e umsal, hash para produzir uma chave RSA de 2048 BIT . Ele também inclui criptografia Javascript no lado do cliente. Isso dificulta que as mensagens sejam lidas por um ataque como injeção de SQL (veja nossa menção a isso aqui), a menos que haja algo mais sério, como um ataque ativo enquanto o usuário estiver conectado.

O software incluirá um recurso rudimentar de custódia, no qual os usuários recarregam uma conta. Os fundos ficarão “no limbo” até que uma compra seja finalizada (e um administrador intervirá para arbitrar quando necessário). Kerin disse:

“Eventualmente, gostaria de mudar isso para usar uma transação de duas ou três assinaturas, tornando-a realmente impenetrável, mas por enquanto isso terá que servir.”

Os recursos disponíveis atualmente incluem um sistema de recarga/saque de Bitcoin e transações funcionais. O desenvolvedor está trabalhando em um sistema de revisão e finalizando o código para resolução de disputas, além de implementar mais maneiras de fazer backup de carteiras. A equipe espera lançar uma versão alfa em dezembro.

Em todo caso, a comunidade BMR foi altamente solidária durante todo o incidente. "Estou muito satisfeito com o quão conservador e cauteloso você tem sido", disse um comentarista. "Você se comunica bem e imagino que você esteja no Facebook e no LinkedIn muito menos do que meu líder destemido anterior ;-)", referindo-se, presumivelmente, a Ross Ulbricht, o fundador da Silk Road, que foi indiciado no início deste mês.

"KEEP assim, Backopy, apreciamos seu trabalho duro e seus serviços, e mesmo que T dê certo, ainda somos gratos pela BMR quando a tivemos", disse outro.

O serviço normal foi retomado, após um período de um dia em que o Backopy impediu qualquer depósito de Bitcoin como medida de segurança.

O que você acha do BMR? Você confia nele?