Black Market Reloaded повертається до звичайного режиму роботи
Black Market Reloaded – портал від чорного ринку, який набирав обертів після закриття Silk Road, було закрито, відновивши роботу цього тижня. Щойно відкрившись, ресурс зіштовхнувся із серйозною проблемою безпеки – у мережі з'явилася частина вихідного коду сайту. До цього витоку немає стосунку ні ФБР, ні хакери, ні хостингові компанії. У той момент, коли хтось перебував на сайті, частина вихідного коду раптово випливла назовні.
Спочатку Backopy розмістив повідомлення на форумі з інформацією про те, що сайт BMR скомпрометували, пояснивши витік тим, що до сервера VPS, на якому зберігався ресурс, був доступ у адміністратора, за заявами, що вкрав вихідники. Звинувачення виявилося безпідставним, оскільки люди, які причетні до витоку, пізніше залишили повідомлення на форумі.
VPS є віртуальною операційною системою, що працює на великому фізичному сервері, і виглядає як виділений комп'ютер під сервер для замовника. На форумі Backopy знайшов файл index.php сайту Black Market Reloaded (код, який забезпечує відображення контенту веб-сайту у браузерах).
Проте людина, яка, на думку засновника сайту, вкрала код, спростувала факт причастя хостингової компанії до цієї справи. Швидше за все це глюк, через який протягом короткого часу відобразився код сайту (написаного мовою PHP). Це посприяло тому, що .php файл захитався замість того, щоб його запуститися і відобразитися на сторінці, що, власне, і мало статися.
Користувач, який розмістив вихідний код на форумі, заявив:
«Виведення з ладу сайту BMR не входило в наші плани – ми просто дали знати про витік, оскільки представники силових структур чи хакери могли оволодіти даними. Ми побоювалися, що витік можуть використовувати в особистихцілях. Ми не виходили на зв'язок з жодної зі сторін: ні з Backopy, ні з адміністратором сервера».
Рано-вранці в п'ятницю Backopy знову з'явився на форумі.
Чи зробив Backopy якісь дії щодо конфігурації файлу .htaccess або якогось компонента Apache, щоб запобігти видачу вихідних даних, залишиться загадкою.
На тему поширення чорних сайтів після падіння Silk Road йшлося багато. Відомо, що сумний досвід враховується новими першопрохідниками. Але якщо справами заправлятимуть любителі, що спотикаються на кожній купині, то який від цього сенс?
"На мій погляд, онлайн ринку варто розосередитися локально, враховуючи сумний досвід Silk Road", - зазначив Томас Керін, розробник двигуна анонімного торгового майданчика. «Пастка поточної моделі полягає в тому, що у справі беруть участь поштові служби. Якби люди використовували біткоін монети, щоб купувати речі, і їм повідомляли про місце закладки, то розвивалася б локальніша система».
BitWasp є одним з декількох движків чорних торгових майданчиків. Передбачається, що користувач повинен завантажити та працювати з двигуном самостійно. "BitWasp можна налаштувати для використання через мережу Tor, якщо користувач того бажає", - пояснює засновник системи Кемерон Рагглз.
Команда розробників усвідомлює необхідність анонімності, хоча розробники приділяють більше уваги утрудненню отримання інформації про ринок у разі злому. "Ми не прикладаємо безліч зусиль, щоб приховувати двигун на даний момент", - зазначив Керін.
За словами Керіна, інформація з торгового майданчика на основі BitWasp стане загальнодоступною, як тільки проект дозріє до певної стадії. BitWasp буде використовувати RSA шифрування, щоб захистити повідомлення. Технологія заснованана PIN користувача і рядках випадкових даних, що генерують 2048-бітний RSA ключ. Також використовуватиметься Javascript шифрування на стороні клієнта. Це ускладнить доступ до повідомлень шляхом SQL атак (докладніше тут), принаймні якщо це не пряма атака на зареєстрованого користувача.
У систему буде вбудована функція умовного депонування, завдяки якій користувачі поповнюватимуть рахунок. Кошти будуть «у підвішеному стані», доки покупка не буде завершена (і доти, доки не втрутиться адміністратор для арбітражу, якщо це необхідно).
У будь-якому випадку, спільнота BMR не відвернулася від сайту протягом усього цього часу. «Я радий тому, яку консервативність та обережність ви виявили», – зазначив один із учасників форуму. «Ви залишалися на зв'язку, що добре; припускаю, що ви навряд чи з'являєтеся у Facebook або LinkedIn, подібно до інших безстрашних лідерів», – було відзначено форумчанином, ймовірно, з посиланням на Росса Ульбріхт, засновника Silk Road, засудженого на початку цього місяця.
А ось і ще одна цитата: «Так тримати Backopy, ми цінуємо вашу важку працю і ваш сервіс, і навіть якщо вона не запрацює, ми, як і раніше, вдячні за щасливий час з BMR».
Сервіс знову функціонує в нормальному режимі, призупинивши ухвалення валюти на один день з метою безпеки.