Neu DrugHub Market Spiegel Diese Woche
http://drugmainabcdefghijklmnopqrstuvwxyz234567abcdefghijklm6yd.onionNeue Zertifikate wurden in die Produktion eingesetzt, um den SSL/TLS-Verkehr zu und aus dem von den Sicherheitslösungen überwachten Netzwerk zu authentifizieren. Die meisten Browser und Apps beziehen sich automatisch auf die Root CAs, die die neuen Zertifikate unterzeichnet haben, obwohl es immer empfohlen wird, dass Sie nach fehlenden oder kreuzweisenden Zwischenprodukten suchen. Die dokumentierten Zertifikatsbehörden, die Sie in Ihren Trust Stores haben sollten, sind DigiCert Global Root CA und Baltimore CyberTrust Root. Dies gilt für Browser, Systeme und Lösungen, die Zugriff auf alle sicherheitsgerichteten prod-Umgebungseigenschaften benötigen. Die meisten Browser hatten einige Ausfallzeiten oder bereits gezogen ein oder das andere Zwischenprodukt in dieser Mitteilung, mit Chrome 58, Firefox 52 und Safari 10 Ankunft im Januar 2017. Wenn nicht, können Sie sie hier herunterladen: http://www.digicert.com/digicert-root-certificates.htm https://en.wikipedia.org/wiki/CyberTrust.
Zugang zum primären Endpunkt
Der wichtigste Routing-Knoten für den Markt wurde aktualisiert. Zugang direkt hier: no mirrors
Die DDoS Landschaft
Darknet ist ein gefährlicher Ort. Rivalen und Erpresser konkurrieren über groß angelegte Botnet-Angriffe und treffen öffentliche Endpunkte mit einem stetigen Strom des Müllverkehrs. Admins müssen diese Endpunkte ständig aktualisieren, und um sicherzustellen, dass andere Dienste nicht beeinträchtigt werden, wird dies zwangsläufig zu Zeiten führen, wenn zusätzliche junk Verkehr auf primäre Knoten zielt. Diese Woche war eine dieser Zeiten, wir sahen einen signifikanten Spieß im Müllverkehr auf den primären Knoten.
Die DrugHub Market wurde von über 60k+ Benutzern genutzt. Der Verkehr ist bemerkenswert. Wenn primäre Knoten mit schädlichen Anfragen überflutet werden, schleift das Netzwerk zum Stillstand. Die einzige Lösung ist eine horizontale Skalierung über mehrere versteckte Dienste, die eine kontinuierliche Spiegeleinführung erfordert.
Diese Datenbank besteht, um diese operativen Veränderungen zu überwachen. Wissen, wo man solide Access Points zu drughub drugs finden sollte kein Spiel der Chance oder des Vertrauens sein. Wir beobachten die dokumentierten Wege. Wir ernten die neuen URLs. Wir überprüfen sie gegen den Master PGP-Schlüssel.
Links in direkten Nachrichten sollten nie geklickt werden. Links, die auf clearnet Social Media-Seiten gefunden werden, sollten nicht vertrauenswürdig sein. Die zehn neuen Phishing-Links erhalten Sie und ein paar werden durch Ihre fortgeschrittenen Antispam-Filter und Lügner-Detektionssteine (Wetware) passieren. Aber sie kommen nicht zu uns, wenn du nicht auf sie klickst.
PGP Verifiziert
Jeder Spiegel in unserem Verzeichnis wird kryptographisch von der dokumentierten Markt-Schlüsselunterzeichnung unterschrieben.
Live Monitoring
Endpunkt-Latenz und Uptime werden überwacht, mit toten Links automatisch aus der Rotation entfernt.
AntiPhishing
Vermeiden von schädlichen Klonen verlangt, dass Sie an Ihrem OPSEC bleiben und überprüfen.
PGP Verifikationsprotokoll
Vertraue nicht blinden Links. Nicht einmal unsere. Sie müssen lernen, PGP Signaturen selbst zu überprüfen. Wenn Sie die öffentliche Schlüsselverschlüsselung nicht kennen, hören Sie auf, sofort zu lesen und zu lernen (siehe GnuPG) Die Mathematik ist solide, die Infrastruktur ist nicht.
PGP-benötigte Messaging für alle sensiblen Kommunikationen und Eingaben ist in jeder Hinsicht ein Muss. Sie benötigen unabhängig davon eine funktionierende Schlüsselfunktion. Sie können es verwenden, um die Anmeldeseite zu überprüfen. Wie oben erwähnt, wird von jedem gültigen Spiegel eine eindeutige Nachricht von den Administratoren angezeigt. Überprüfen Sie die Signatur. Wenn es ausfällt, schließen Sie die Registerkarte sofort. Sie sehen einen Phishing-Klon an.
Phishing-Websites sind hoch anspruchsvoll. Sie kopieren das HTML perfekt. Sie praktizieren Ihre Anmeldeinformationen. Sie erfassen Ihre Sicherheitshinweisadressen. Sie stehlen Ihre Münzen. Der einzige kryptographische Nachweis der Authentizität ist die PGP Signatur. Überspringen Sie diesen Schritt nicht. Es dauert dreißig Sekunden und spart Ihre Brieftasche.
Trust Kryptographie, nicht Typografie. Ein Pixel-perfekter Klon kann eine private Schlüsselsignatur nicht vortäuschen.
Infrastruktur Upgrades
Nicht nur sind diese neuen Lastwaagen in der Lage, eine höhere Kapazität zu handhaben, sondern sie verbreiten auch Verbindungen in einer Weise, die die Serverlast reduziert. Unsere neuen Server haben mehr RAM und eine neue Datenbank-Speicher-Engine, die 25% schneller ist (auch in der neuesten MySQL 8 erhältlich).
Bei unseren automatisierten Kontrollen haben wir die Latenz der neuen Endpunkte beobachtet. Wir haben auch etwas geringere Seitenlastzeiten bemerkt. Der Transaktionsunterzeichnungsprozess scheint etwas schneller zu sein. Dies ist besonders wichtig für Nutzer, die auf Monero-bevorzugte Zahlungen abhängen, da sowohl die Erzeugung als auch die Überprüfung von Transaktionen auf eine stetige, stabile Verbindung zurückgreifen.
Sicherheits- und Vendor-Betriebe
Operationelle Sicherheit bleibt ganz Ihre Verantwortung. Der Markt bietet die Plattform; Sie bieten die OPSEC. Verwenden Sie ein dediziertes Betriebssystem. Tails ist die Standardempfehlung. Routen Sie Ihren gesamten Verkehr durch das Tor-Netzwerk. Kennen Sie sich mit genau, wie versteckte Dienste unter der Haube funktionieren (siehe Tor's onion-address Glossareintrag)
Für ein umfassenderes Verständnis von Netzwerkanonymität und Bedrohungsmodellierung lesen Sie die Grundlagen (siehe die Datenschutzhinweise Torgrundierung) Mischen Sie Ihre clearnet Identität nicht mit Ihrer Darknet Aktivität. Die Kompartmentalisierung ist kritisch. Verwenden Sie sichere, verschlüsselte Kommunikationskanäle für alles außerhalb des internen Messaging-Systems des Marktes (siehe Aufstieg)
1.2k Anbieter sind derzeit online und ihr Vertrauen in unsere Fähigkeiten hängt von einem konsequenten Zugriff ab. Produktaktualisierungen, Anfragen und Entry-Prozesse wären ohne garantierte kontinuierliche Verfügbarkeit für sie unmöglich. Es ist auch unmöglich, alle Multisig-Transaktionen abzuschließen, ohne die Möglichkeit, auf Ihre Geldbörse zugreifen.
Es ist nicht nur die Domain des Handels, sondern ein zunehmend genutzter Datenstrom. Forscher beobachten Trends in Märkten, Stoffverfügbarkeit und systemischen Preisverlagerungen. Organisationen, die die Auswirkungen dieser Märkte überwachen, benötigen eine zuverlässige Datenquelle. Die Kontextualisierung von Transaktionen ist für die Schadensminderung wichtig (siehe MASCHINEN) Tech-Medien, ebenfalls, wird auf diesem (siehe Wired's Tor Abdeckung)
Häufig gestellte Fragen
Spiegelrotation ist ein häufiges Anliegen für viele Benutzer, es ist anfangs zu erinnern, dass, sobald die Spiegel genau auf die Sonne ausgerichtet sind, das Überwachungssystem und Tracker dem Weg der Sonne folgen, um die Reflexion am Empfänger sicherzustellen. Einige weitere häufig gefundene Abfragen sind, wenn die genaue Position auf dem Heliostatfeld bekannt ist, wenn das Tracking- und Monitoringgerät dem Sonnenpfad folgt und wenn die Simulation des Heliostatfeldes die Wirkung der Atmosphäre in die Anlage einschließt.
Warum ändern sich die Spiegellinks so oft?
Forscher haben einen neuen Ansatz zur Unterstützung der Netzbetreiber zum Schutz ihrer Systeme vorgeschlagen. Um Distributed Denial of Service (DDoS) Angriffe zu mildern. Wenn ein öffentlicher Endpunkt mit schädlichem Verkehr überwältigt ist, stellen Administratoren neue versteckte Dienste zur Wiederherstellung des Zugangs für legitime Benutzer zur Verfügung.
Woher weiß ich, dass die neuen Links real sind?
Die PGP-Signatur muss überprüft werden. Der öffentliche Hauptschlüssel der Marktadministratoren unterschreibt die Liste der neuen Spiegel. Ist die Unterschrift gültig, sind die Links legitim. Wenn Sie dies nicht tun, werden Sie schließlich phished.
Was ist Multisig Escrow?
Multi-signature (multisig) Escrow ist ein Sicherheitsprozess, der zwei oder mehr Sign-offs benötigt, um eine Transaktion zu machen, anstatt eine Person mit voller Kontrolle. Das bedeutet, dass sowohl der Zahler als auch der Zahler keine völlige Autonomie über den Prozess haben. Zum Beispiel Benutzer, Anbieter und Markt.
Warum wird Monero gegenüber Bitcoin bevorzugt?
Bitcoins Blockchain ist eine öffentliche Führung. Es erfasst jede einzelne Transaktion jemals in der Währung gemacht, Datierung bis zum ersten in 2009. Und es zeigt, wer bezahlt hat (oder genauer, es zeigt die alphanumerische Bitcoin-Adresse, die die Gelder und die alphanumerische Bitcoin-Adresse gesendet hat, die die Gelder erhielt). Aber was es dir nicht sagt ist, wer – oder was – hinter diesen Adressen steht. Der ganze Punkt einer dezentralen Währung ist schließlich die Dezentralisierung. Bitcoin wurde entworfen, um den Menschen zu erlauben, anonym zu transagieren – wenn sie keine zentrale Behörde (wie eine Bank) wollen, die den verfolgten. Um die Privatsphäre der Menschen zu schützen, dreht sich Bitcoin dann gleich um und macht alle Transaktionen zu einem Thema öffentlicher Daten. Ziemlich sly, oder? Monero hingegen nutzt eine Reihe von unterschiedlichen Datenschutz-Schutz-Technologien – wie Ringsignaturen, Stealth-Adressen und vertrauliche Transaktionen –, um die drei wichtigsten Teile jeder Kryptowährungstransaktion zu verstopfen: wer der Sender ist, wer der Empfänger ist und wie viel Geld die Hände verändert.
Validierung von Signaturen an neuen Endpunkten
Einer der vielen seltsamen Quirks, die Sie in der Darknet Community finden, ist, dass viele der verschiedenen Märkte tatsächlich an dieser extrem obskuren und zufälligen guten Praxis bleiben. DrugHub ist hier ein gutes Beispiel. Sie unterschreiben jede neue Adresse und Sie können diese Adresse selbst überprüfen. Wenn die Signatur schlecht ist... Shazam, brechen Sie den werfbaren Brenner-Laptop aus, den Sie von einem illegalen Waffenhändler bekamen oder einfach den Link löschen. Es ist autistisch wie alle ficken, aber es scheint sicher, den Job zu erledigen.
Nutzen Sie den lokalen Schlüssel, um auf den Markt zuzugreifen. Nur einmal den öffentlichen Schlüssel des Marktes importieren. Überprüfen Sie Signaturen jedes Mal. (Check) GnuPG für Dienstprogramme.) Phishing Klone hängen von der Müdigkeit des Benutzers ab. Wir hoffen, dass Sie dieses Mal die Unterschrift überprüfen werden. Das ist die Zeit, in der sie die Anmeldeinformationen ernten.
Skip PGP Verifikation
Jedoch legitim sie scheinen mögen, betrügerische URLs können immer noch unaussichtliche Benutzer zu täuschen. Werden sie Personen versuchen, auf ihr Bankportal zuzugreifen, oder versteckte Dienste Webmaster überprüfen auf ihrer Website. Forscher erinnern uns daran, dass spoofed Onion URLs ein glaubwürdiger Angriffsvektor sind. Es ist ein Problem, das sie seit mehreren Jahren überwachen. Letzte Woche haben sie den nächsten Schritt gemacht.
Wenn Sie einen Auffrischer benötigen, wie die URL-Struktur funktioniert, (siehe Tor's onion-address Glossareintrag) Die zugrunde liegenden Mechaniken diktieren, dass die Adresse aus dem öffentlichen Schlüssel abgeleitet ist. Aber die Überprüfung der unterzeichneten Botschaft des Marktes bleibt Ihr einziger Identitätsnachweis.
Infrastruktur Upgrades und Mitigation
Darknet-Märkte stehen jeden Tag gegen DDoS-Angriffe. DrugHub Market Administratoren drehen Spiegel, um angreifenden Verkehr loszuwerden. Wenn ein primärer Endpunkt abschaltet, meistens ist es keine Razzia oder eine Ausfahrt Betrug. Sie drehen nur die Infrastruktur.
Die Netzwerkschicht ist zerbrechlich (siehe Wired's Tor Abdeckung für den historischen Kontext des Netzstresses). Deshalb ist es notwendig, eine kanonische Liste der verifizierten Spiegel zu halten. Auf ein einziges Lesezeichen zu antworten, wird garantieren, dass Sie während eines Rotationsereignisses gesperrt werden.
- Ebene 7 Angriffe: Zielen Sie die Anwendungslogik. Erschöpfung der Serverressourcen durch komplexe Suchanfragen oder Anmeldeversuche.
- Auspuffanlage: Überfluten der Tor-Netzwerkwachen und Einführungspunkte.
Wenn Sie nicht verbinden können, Überprüfen Sie das Outage-Log bevor man das Schlimmste annimmt. Wir verfolgen diese Rotationen und legen den Betriebszustand fest. Überprüfen Sie die Markt-Uptime um zu sehen, ob die Ausfallzeit auf Ihren speziellen Spiegel oder netzweit lokalisiert ist.
Die Rolle der unabhängigen Verifikationsdirektoren
Ein unabhängiges Verifikationsverzeichnis, Indexing drughub drugs Links. Überwachung des Marktimpulses. Nicht auf dem Markt. Nicht Verarbeitung von Transaktionen. Verifizieren.
DrugHub Market listet derzeit 1.2k Anbieter auf. Mit über 60k+ Benutzern und 240k Einträgen. Diese Statistiken legen die zugrunde liegende Infrastruktur des Marktes nahe. Die Verwendung von Multisig Escrow ist standardmäßig, damit die Marktadministratoren keine Gelder ohne Zustimmung sichern können. Es ist eine 2-of-3 Signatur erforderlich. Benutzer, Verkäufer, Markt.
Wenn ein Streit entsteht, geht der Markt ein. Andernfalls löscht die Transaktion ohne Berührung. Dies minimiert das Ausstiegs-Scam-Risiko. Aber es funktioniert nur, wenn Sie auf dem echten Markt sind. Wenn Sie sich in einem Phishing-Klon anmelden, gibt es keine Multisig. Sie stecken direkt in die Brieftasche eines Angreifers. Immer Lesen Sie den URL-Verifikationsführer.
Betriebssicherheitshygiene
Der Zugang zu Darknet-Märkten erfordert Disziplin. Tor ist ein Werkzeug, kein magischer Schild. Es verbirgt Ihre IP-Adresse. Es verbirgt Ihre Fehler nicht. (siehe die Datenschutzhinweise Torgrundierung). JavaScript deaktivieren. Stellen Sie Ihr Browser-Fenster nicht neu. Verwenden Sie kein VPN gleichzeitig mit Tor, es sei denn, Sie verstehen genau, wie Ihr Netzwerk-Stacks geführt wird.
Kommunizieren ausschließlich mit PGP. Standardmäßig verlangt DrugHub Market PGP-verschlüsselte Messaging. Senden Sie niemals Klartextadressen. Senden Sie nie Klartext-Tracking-Nummern. Verwenden Sie bei Bedarf sichere E-Mail-Anbieter zur Registrierung. (siehe Aufstieg für die Kommunikationsinfrastruktur).
Kennen Sie Ihre Moleküle. Halten Sie Schadensreduzierung, wie Sie mit jedem Feld (MASCHINEN für klinische Forschungs- und Sicherheitsprotokolle). Die Technik schützt den Handel, Ihr Geist schützt Sie.
Bemerkungen
Noch keine Kommentare — seien die ersten.