Passer au contenu
Drughub DrugsLe DrugHub Market Canary expliqué
SIGNAUX DE FIDUCIE

Le DrugHub Market Canary expliqué

Critère principalhttp://drugmainabcdefghijklmnopqrstuvwxyz234567abcdefghijklm6yd.onion

Un canaire de mandat cryptographique est un message autodélateur continuellement réédité par un site darknet – s'il cesse d'apparaître, c'est la preuve que l'infrastructure a été saisie. Nous appliquons des techniques statistiques à des signaux de censure non observables spécifiques au site pour estimer le moment où le site est saisi, puis utiliser des horodatages de blockchain public comme une protection supplémentaire contre la fraude. Nous estimons que la drogue a été saisie au printemps 2021. Un canari de mandat de marché noir est non seulement la preuve de premier plan par-up-time accessible au public que le site n'a pas été saisi, il est la seule preuve. Nous surveillons ces canaires de mandat pour les darknets servant des médicaments; dans ce document, nous nous concentrons sur le canaire de mandat de médicament.

Dernière vérification : · ÉTAT: EN LIGNE
Voir les miroirs vérifiés Vérifier le temps de disponibilité du marché
Publié:
Source: Drughub Drugs Recherche
Point de départ principal

La route de connexion vérifiée est la seule route que nous pouvons vous recommander d'utiliser, le critère principal est

no mirrors
. Ce que nous utilisons pour vérifier est généralement le même que ce que nous utilisons pour nous connecter.

La mécanique d'un Canaries

Un canaire de mandat est une déclaration qui est autorisée par les lois actuelles à être faite si elle est fausse, mais peut ne pas être faite si elle est vraie. D'habitude, c'est quelque chose comme "Nous n'avons reçu aucune lettre de sécurité nationale" et l'idée est que bien que l'entité ne puisse pas légalement déclarer que ou rester silencieux s'ils l'ont fait, probablement ils ne peuvent pas être obligés de faire une déclaration publique qui devrait être prouvée faux. C'est comme le concept d'un canari dans une mine de charbon. Si l'instruction change l'hypothèse est que quelque chose qui n'était pas censé arriver a fait, et l'utilisateur devrait agir en conséquence.

Le marché ne fait pas "entretien". Pensez-vous que eBay va hors ligne de 3 AM - 8 AM pour la maintenance? Non, les marchés de la drogue ne font pas non plus l'entretien. C'est une sécurité pure, émergente et opérationnelle. Le marché envoie $X0000 rend un acteur beaucoup plus paranoïaque que le marché est responsable de sa part des saisies. C'est un canari. Pour corriger deux autres erreurs de réflexion : 1. Le canari marche. Nous avons des statistiques en temps réel sur ce canari et son interface post-login est pleinement fonctionnelle. 2. Une panne qui semble durer de nombreuses heures n'est pas nécessairement un signe d'avertissement. C'est juste la durée moyenne entre quand nous créons le ticket et un volontaire de soutien le remarque. Ils ont plus d'importance à faire que de garder le canari - mais si une réponse était vitale à un problème critique du marché, comme le temps laissé aux utilisateurs pour libérer leurs fonds, les utilisateurs ont d'autres canaux de rapport d'une panne: le canal de support dans le cas de la maintenance Kat, le sujet directement dans le cas du Forum, ou le fil de maintenance laissé dans un marché qui ne coordonne pas publiquement et reconnaît leur existence.)

Un canari fonctionne en renversant la relation entre le détenteur de la ressource et l'auditeur. Plutôt que l'auditeur directement et passivement en lisant les données jusqu'à la minute signées par le serveur, le serveur publie signat...

Échelle d'infrastructure et risques

La lutte contre la drogue est une priorité absolue à l'échelle mondiale. En 2019, plus de 40 % des décès par surdose aux États-Unis concernaient des opioïdes synthétiques. 35 millions de personnes dans le monde souffrent de troubles liés à la consommation de drogues. De plus, l'abus de drogues est lié aux crimes commis et aux familles fracturées. Il est essentiel de poursuivre la lutte, mais peut-être sans coût humain.

Protocoles stricts, messageries requises par le PGP, système de paiement préférentiel multisig, système de paiement Monero, protection de l'analyse en chaîne -- tout cela n'a aucun sens lorsque le serveur est cloné et hébergé dans un laboratoire médico-légal.

Le canari est mort 3 fois. Le canari actuel avait une durée de vie de plus de 200 jours. Chaque fois que le serveur a été compromis, les administrateurs ont été verrouillés, et l'affichage du message suivant a été manqué: Nous avons des canaris de mandat. Nous n'avons jamais reçu de lettre de sécurité nationale. Nous n'avons jamais fait l'objet de bâillonnement par un tribunal de la FISA. Nous n'avons jamais reçu de demande de non-divulgation concernant une entreprise. Le Troll annonce quand un canari expire, et les fans les preuves incriminantes pour obtenir les administrateurs cassés. Mais même le Troll ne peut arrêter un serveur inexistant. Merci pour la publicité, Troll.

Preuve cryptographique par rapport au texte clair

Bien que le trafic des courriels soit chiffré, les métadonnées sont en texte clair. Il révèle des identités. Ça relie les gens. Le serveur sait qui envoie à qui. Il sait qui parle avec qui, et quand. Les métadonnées par courriel pourraient même être plus sensibles que le contenu. Pour la surveillance de masse ou même simplement la curation des données pour une attaque de spearphishing c'est inestimable.

Si vous avez une clé hors ligne, vous pouvez utiliser un type de transfert de données unidirectionnel sécurisé pour envoyer le texte du Canary à un serveur potentiellement compromis pour publication dans le monde. Ensuite, vous pouvez signer le texte du Canary sur la machine hors ligne. Aucune information de la machine hors ligne n'est jamais envoyée au serveur potentiellement compromis.

Si le système est programmé pour coupler une liaison avec une nouvelle clé et que personne ne se présente pour coupler avec, il n'y a aucun mal fait. L'ancienne clé, qui est une clé de session, n'est d'aucune utilité pour personne. L'agresseur doit prendre la nouvelle clé. Le canaire fournit le mécanisme qui permet de supprimer l'ancienne paire de clés si et seulement si la nouvelle clé est montrée pour être compromise. Cependant, les suppressions ne sont jamais notifiées, donc à moins que la nouvelle clé ne soit mystérieusement manquante et que l'attaquant essaie de passer en douce par une signature qui fait référence à l'ancienne clé, mais prétend que l'ancienne clé a également signé la nouvelle clé, le jeu exige également l'attaquant pour obtenir la nouvelle clé sans raccourcir la nouvelle infrastructure clé. Si l'ancienne paire a été compromise et que l'interrupteur n'a pas été installé, il n'y a aucun mal réel fait. La nouvelle paire compte. Cas: mentalité d'assimilation. Le but de l'attaquant est d'obtenir des manuels signés, à la fois les futurs manuels – les plus récents – et le manuel actuel. Si un attaquant obtient la main d'une clé de piège de manuel, cette clé est toast; la marée ne peut plus être empêchée, mais jusqu'à ce qu'une signature soit exécutée par la clé, la clé est tout aussi bonne qu'un livre de saleté. La propagation résultante du livre de texte contient des atomes radioactifs qui vieillissent de façon assez visible parce que la signature est collée dans un bloc de lien immeuble. Les manuels de stockage pour les futurs couteaux mathématiques manuels ne sont pas non plus une option attrayante car ils sont pratiquement inertes. Chaque partie du dessin fonctionne comme il se doit, tant que la demi-vie radiométrique d'un livre est concernée. Tu peux pas faire des calculs idiots.

Ne faites pas confiance aux outils Web

Ne collez jamais un canari ou une signature PGP dans un site de vérification en ligne. Si le site a été compromis, le canari que vous collez ou la signature que vous présentez peut être l'une des entrées que les opérateurs peuvent changer sans être détectés et le site vous dira volontiers que la signature est valide. Toujours vérifier localement.

Comment vérifier le DrugHub Canary

La vérification a lieu localement. La clé publique du marché doit être dans votre porte-clés local. Le message canari signé doit être dans votre répertoire local. Un terminal doit être ouvert. Si vous vous souciez de la sécurité et que vous souhaitez accéder en toute sécurité à drughub drugs, vous devez prendre des mesures pour vous connecter.

  • Importer la clé publique

    Obtenez la clé publique du marché auprès d'une source indépendante et fiable. Vérifier que les empreintes digitales correspondent aux enregistrements historiques. Exécuter gpg --import drughub.asc dans votre terminal.

  • Télécharger les Canaries

    Sauvez le message canari actuel du marché et sa signature à votre machine locale. Ne le lisez pas simplement dans le navigateur. Enregistrer le fichier texte brut.

  • Inspecter les fichiers

    Regardez les fichiers que vous avez téléchargés. 

    gpg --verify canary.txt.sig canary.txt
  • Vérifiez le Timestamp

    Une bonne signature sur un ancien fichier est inutile. Lisez le contenu du canari. Il devrait contenir un hash bloc récent ou une manchette des dernières 72 heures. S'il est plus vieux, le canari est mort.

Modes d'échec et réponse à l'incident

Si vous ne voyez pas le canari, vous supposez tout depuis la dernière fois que vous avez vu le canari a été compromis. Vos mots de passe, vos clés privées, tout.

La non-conformité est un drapeau rouge nécessitant un suivi rapide. Cela peut avoir un sens dans de rares cas : par exemple, un canari de mandat en cours de rétablissement, ou un canari de mandat qui vient d'être signé après la fenêtre de signature annuelle. Quoi qu'il en soit, nous nous enquêtons rapidement puisque l'expiration d'un mandat canari valide pour la société n'est pas rare ou aléatoire. C'est généralement un événement prévisible et régulier. Par contre, un canaire de spam-suppression n'est probable qu'en réaction à une baisse substantielle des ventes de vacances.

Attendez la communication hors bande. Regardez les répertoires de vérification indépendants. Vérifiez le journal des pannes sur notre flotte. Si les opérateurs ont perdu la clé de signature, ils devront établir une nouvelle chaîne de confiance. Ça prend du temps. Ne vous précipitez pas juste parce que le site se charge.

Nous vivons dans un monde où la sécurité opérationnelle est une préoccupation quotidienne, plutôt que quelque chose que vous pourriez vous inquiéter seulement pendant un week-end libertaire dans un resort en Arizona. Prétendre que vous n'êtes pas affecté par cela est absurde. Donc, vous avez adopté un stockage sécurisé à long terme, configuré un coffre fort, bien gardé, bien surveillé avec des sauvegardes redondantes, et vous êtes prudent en sirotant votre thé. Mais ce n'est que la moitié de l'histoire. La sécurité opérationnelle est une question de discipline. Le canari est un outil. Cela ne fonctionne que si vous le vérifiez et respectez réellement ses avertissements. Le filet noir ne pardonne pas la négligence. Vérifiez les maths, vérifiez les horodatages et mettez à jour votre porte-clés local.

XRedditTélégrammeFacebookMastodonBleu cielHNLinkedInWhatsApp

Commentaires

Pas encore de commentaires — soyez le premier.

Laisser un commentaire

Les commentaires sont modérés. La rétroaction chiffrée PGP est préférée via /contact/.