Black Market Reloaded снова доступен после ошибки публикации исходного кода

Black Market Reloaded, сайт черного рынка, набиравший силу после упадка Silk Road, закрылся и снова открылся на этой неделе после уязвимости безопасности, из-за которой части его исходного кода были опубликованы в сети. Эта утечка T была результатом контрразведки ФБР, хакеров преступного мира или мошеннических хостинговых фирм. Когда кто-то посещал сайт, он, по-видимому, просто передавал исходный код.

Основатель сайта, которого на форуме Black Market Reloaded (BMR) прозвали Backopy, изначально удалил сайт после того, как обнаружил его исходный код, размещенный на форуме. Они пообещали вернуть людям их биткоины и заявили, что сайт придется переделывать после утечки. Днем позже Backopy изменил свое решение и восстановил сайт по другому адресу.

Backopy изначально опубликовал сообщение на форуме, информирующее общественность о том, что сайт был скомпрометирован. Они объяснили, что для размещения сайта использовался виртуальный частный сервер (VPS), и обвинили администратора этого сервера в краже исходного кода сайта. Это оказалось неправдой после дальнейших сообщений от людей, которые выложили код в сеть.

VPS — это виртуализированная операционная система, работающая на большем физическом сервере, который LOOKS и ощущается клиентом как выделенный компьютерный сервер. Backopy обнаружил файл index.php веб-сайта BMR (код, который доставляет содержимое веб-сайта в браузеры), опубликованный кем-то на онлайн-форуме.

«В эти дни я готов был совершить [sic] худший из грехов, чтобы вывести сайт в онлайн; использовать VPS! Администратор VPS украл код и слил его»,сказал Backopy в посте(доступно только через сеть Tor). Сообщение указывало на исходный кодразмещено на интернет-форуме, размещенный как часть сайта, предлагающего информацию о скрытых услугах в рамках даркнета.

Но человек, разместивший код на форуме, на который ссылается Backopy, отрицал, что фирма, предоставляющая услуги хостинга виртуальных частных серверов, украла код. Скорее, глюк, по-видимому, сделал код сайта, написанный на языке PHP, неисполнимым на короткое время, согласно сообщению. Это позволило загрузить файл .php, а не запустить его и отобразить веб-сайт на странице, как это и должно было произойти.

Человек, разместивший исходный код на форуме, сказал:

«Мы не ставили себе целью остановить BMR, мы просто опубликовали утечку, потому что если бы она была у нас, то она могла бы быть и у правоохранительных органов, и у частных хакеров, могли бы возникнуть проблемы, если бы утечка была использована без ведома людей. У нас нет контактов ни с одной из вовлеченных сторон [sic], ни с backopy, ни с администратором VPS».

Backopy позже, похоже, отказался от своего предыдущего заявления. «Я считаю, что это правда, вероятно, нагрузка на сервер была настолько высокой, что Apache, неспособный ничего обработать, решил просто обработать PHP-код», — говорилось в последующем посте. «Я должен поблагодарить вас за то, что вы предупредили меня об этом, и это то, что я KEEP для будущих проектов».

Затем, в пятницу утром, Backopy снова появился на форуме.

«Проверив свой код снова и снова, я понял, что все еще могу его восстановить. Я знаю, что теперь мне придется столкнуться с прямыми попаданиями во вторичные файлы, но они все хорошо защищены, и даже если злоумышленник получит исходный код, он T сможет сделать ничего, кроме как просмотреть его», — сказали они. «К сожалению, поскольку я T знаю, был ли скомпрометирован старый сертификат, мне придется изменить URL BMR».

T , мог ли Backopy сделать что-то с файлом конфигурации .htaccess или какой-то другой частью сервера Apache, чтобы остановить его от простой передачи исходного кода сайта в первую очередь. Независимо от этого, ничто из этого не сулит ничего хорошего для репутации сайтов черного рынка. BMR был ONE из самых старых и популярных сайтов черного рынка после Шелковый путь. С двумя крупными сайтами, которые потерпели крах из-за элементарных ошибок оператора, доверие к этим системам будет подорвано. ONE из оставшихся сайтов — Sheep Market, хотя он также подвергся критике после того, как кто-то заявил, что нашел настоящий IP оператора.

[после цитаты]

Многое было сказано

о распространении сайтов черного рынка после смерти Silk Road. Аргумент заключается в том, что там, где ONE падает, появляется еще десять. Но если все они управляются любителями, спотыкающимися о собственные шнурки, какое это имеет значение?

«Я искренне считаю, что онлайн-черный рынок может превратиться во что-то гораздо более локальное, чем Silk Road, международный гигант», — сказал Томас Керин, разработчик анонимного онлайн-рынка BitWasp. «Проблема текущей модели в том, что она требует почтовой системы. Если бы люди использовали биткойны для покупки вещей и им сообщали пункт выдачи, то более локальная система бы развивалась».

BitWasp — ONE из нескольких движков черного рынка, которые, по-видимому, либо предлагаются, либо находятся в стадии активной разработки. BitWasp, разработанный для того, чтобы пользователи могли загрузить его и управлять им самостоятельно, может быть настроен для доступа через сеть Tor, если пользователи решат управлять им таким образом, объясняет основатель Кэмерон Рагглз, хотя экземпляры clearweb, безусловно, возможны.

Команда разработчиков осознает необходимость анонимности, хотя она больше фокусируется на том, чтобы затруднить получение информации с рынка в случае ее изъятия. «Мы не прикладываем много усилий, чтобы скрыть это прямо сейчас», — сказал Керин.

Керин объясняет, что информация на торговой площадке BitWasp может быть настроена на очистку после достижения определенного возраста. BitWasp будет использовать шифрование RSA для защиты своих сообщений на основе пользовательского PIN-кода исоль, хэшируется для получения 2048- BIT ключа RSA. Он также включает шифрование Javascript на стороне клиента. Это затрудняет чтение сообщений с помощью атаки типа SQL-инъекции (см. наше упоминание об этом здесь), если только не произойдет что-то более серьезное, например, активная атака, когда пользователь находится в системе.

Программное обеспечение будет включать в себя элементарный функционал эскроу, в котором пользователи пополняют счет. Средства будут висеть «в подвешенном состоянии» до тех пор, пока покупка не будет завершена (и администратор вмешается для арбитража, если это необходимо). Керин сказал:

«В конечном итоге я хотел бы изменить это на использование транзакции с двумя из трех подписей, что сделало бы ее по-настоящему непроницаемой, но на данный момент придется обойтись и этим».

В настоящее время доступны такие функции, как система пополнения/вывода Bitcoin и работающие транзакции. Разработчик работает над системой обзора и завершает код для разрешения споров, а также внедряет больше способов резервного копирования кошельков. Команда надеется выпустить альфа-версию в декабре.

В любом случае, сообщество BMR оказывало большую поддержку во время всего инцидента. «Я очень доволен тем, насколько вы были консервативны и осторожны», — сказал ONE из комментаторов. «Вы хорошо общаетесь, и я предполагаю, что вы находитесь в Facebook и LinkedIn гораздо меньше, чем мой предыдущий бесстрашный лидер ;-)», имея в виду, предположительно, Росса Ульбрихта, основателя Silk Road, который был предъявлено обвинение в начале этого месяца.

«KEEP в том же духе, Backopy, мы ценим ваш упорный труд и услуги, и даже если ничего T получится, мы все равно будем благодарны за BMR, когда он у нас был», — написал другой.

Возобновлено нормальное обслуживание после однодневного периода, когда Backopy в качестве меры безопасности запретил любые депозиты в Bitcoin .

Что вы думаете о BMR? Вы доверяете ему?