AlphaBay et Hansa : Les erreurs à ne plus reproduire / PsychoACTIF

AlphaBay et Hansa : Les erreurs à ne plus reproduire

Publié par ,
5666 vues, 5 réponses
Yog-Sothoth
Hackeur Vaillant
1700
Inscrit le 18 Apr 2016
1029 messages
Blogs
Bonjour.

Si vous avez suivi l'actualité de ces dernières semaines, vous ne pouvez pas ne pas avoir entendu parler de la fermeture d'AlphaBay et de Hansa. Ces deux services cachés ont été saisis par les autorités après quasiment un an d'enquête de la part d'Europol si je me souviens bien. Globalement, il s'est passé que le serveur d'Hansa a été saisi par les autorités, lesquelles ont continué à le faire tourner en modifiant son code source afin de récupérer les identifiants et les mots de passe en clair lors de chaque inscription/connexion, ainsi que tous les messages et toutes les commandes.

J'ai mené ma petite enquête sur ce qui s'est passé. C'est clairement à cause de négligences de la part de tout le monde (y compris des acheteurs) que les informations de millier d'acheteurs sont tombés au mains de la police. J'ai donc fait le tour des principales erreurs humaines qui ont conduit à cette véritable boucherie, dans l'espoir que qu'un tel massacre ne se renouvelle pas et que les acheteurs intègrent une bonne fois pour toute que Tor ne les protègera pas d'eux même, que la sécurité est un processus et pas un produit, et que l'informatique, ce n'est effectivement pas toujours simple mais qu'il faut s'y mettre quand on commande sur le deep web (mais pas que), sinon, vous êtes juste mort !


Apprenez à utiliser GPG et chiffrez vos messages.

C'est probablement le point le plus critique de cette histoire. Voici une citation extraite de cet article :

Though customers on dark web sites are advised to encrypt their addresses so that only the seller of the purchased contraband can read it, many don't, creating a short trail of breadcrumbs to their homes for law enforcement when they seize the sites' servers.

La saisie des informations des acheteurs n'a été rendue possible que parce que la majorité ont eu l'inconscience d'envoyer leurs adresses en clair sur le serveur de Hansa, qui, comme vous le savez, récupérait toutes les informations pour le compte des flics. Cet évènement est la preuve qu'il est critique de savoir chiffrer quand on va sur le deep web. Il est également important de prendre en compte la robustesse de la clé publique du vendeur auquel vous prévoyez d'acheter. En effet, j'ai montré sur le tutoriel sur GPG que beaucoup de vendeurs ne savaient pas utiliser GPG correctement et j'ai également montré un moyen de tester la robustesse d'une clé publique.


Utilisez des Identifiants/Mot de Passe/Clé Publique UNIQUES

La plupart de utilisateurs d'internet ont la fâcheuse manie de tout le temps utiliser le même mot de passe partout. Le problème quand on utilise tout le temps le même mot de passe, c'est que dès qu'il est compromis, c'est l'ensemble des sites que l'utilisateur utilise qui sont compromis. Si je suis flic et que je récupère un couple d'identifiant et de mot de passe, il me suffit de l'essayer sur d'autres markets du deep web pour savoir sur quels markets est cet utilisateur et récupérer encore plus d'informations.

Il est donc important d'utiliser des triplets Identifiant/Mot de passe/clé publique qui soient uniques et forts. Pour la clé publique, GPG s'en charge pour vous. Pour le couple Identifiant/Mot de Passe, je vous recommande plus que très fortement de vous tourner vers un gestionnaire de mot de passe. Personnellement, j'utilise KeePassX. L'idée, c'est que ça va vous créer une base de donnée chiffrée que vous pourrez déverrouiller par un mot de passe maître (Que là par contre, il vous faudra retenir). KeyPassX retient vos identifiants et vos mots de passe pour vous. Vous n'avez même pas à vous en soucier, vous n'avez même plus besoin de les connaître. Il vous suffit ensuite de copier/coller vos ID et vos mots de passe. KeyPassX a même une fonctionnalité de génération de mots de passe aléatoire.


Désactivez le Javascript quand vous allez sur le deep web

Pour plus de détail, je vous invite à consulter le psychowiki sur Tor, Chapitre "Vulnérabilités", rubrique "Javascript".


Tournez vous vers des petits market

AlphaBay était le plus gros market du Deep web, DM est le deuxième et Hansa était le troisième. C'est la raison pour lesquelles les autorités les ont pris pour cibles, et il est évident que DM est le suivant sur la liste. Et qui sait ? Si ça se trouve, DM est déjà tombé aux mains des flics.

Un gros banc de poisson attire plus les prédateurs qu'un petit banc, et plus qu'un poisson isolé. Moralité : Décentralisez ! Utilisez des petits market. Plus vous serez dispersé, plus vous serez en sécurité.

Reputation de ce post
 
merci pour ces informations. coluche
 
Vraiment très intéressant ! ;)

Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.

ECC: C94BCD0576D57A0CA3794151ED410079F18D2ED8
RSA: 0A0279F87BDD585E90653DE8B6E90802FF520AFE

Hors ligne

 

Heautontimoroumenos 
Nouveau membre
France
000
Inscrit le 21 Jun 2017
17 messages
Blogs
Bon à savoir ! plus-un


Héautontimorouménos fume_une_joint

Toda la Vida ! Héautontimorouménos

Hors ligne

 

coluche 
Psycho sénior
France
100
Inscrit le 19 Jun 2016
948 messages
perso si pgp n'était pas aussi chiant et difficilement compréhensible,  car j'ai beau mis être pencher dessus à mainte reprise j'ai rien piger big_smile ba je l'utiliserai depuis lontemps mais trop compliqué  .... est ce que privnote peut faire l'affaire .?

Dernière modification par coluche (29 juillet 2017 à  16:29)


Les psychiatres, c’est très efficace. Moi, avant, je pissais au lit, j’avais honte. Je suis allé voir un psychiatre, je suis guéri. Maintenant, je pisse au lit, mais j’en suis fier.”

Hors ligne

 

SickWilliamBoy 
Hyper space
Scotland
000
Inscrit le 03 Jan 2017
287 messages
Blogs
Salut,

Merci pour cette petite mise au point

Mais j'ai une question : lorsqu'un market comme DM propose de crypter son adresse depuis une fenêtre directement sur le market et non via un logiciel de cryptage de données, croyez vous que cela soit efficace ? J'ai toujours pensé que cela devait receller des failles qui ne sont pas présentes si l'on utilise un logiciel de cryptage mais je ne saurais justifier ma méfiance, qu'en pensez vous ?

Et aussi, si les acheteurs qui n'ont pas pris assez de précautions lors de leur commande et qui voient leur adresse postale entre les mains des policiers, en théorie ils risquent les peines prévues par la loir de leur pays d'origine pour acquisition, détention et importation du produit en question si ce dernier est illicite, mais qu'en est il en pratique ?

J'imagine que des milliers et des milliers de commandes sont passés sur ces markets tous les jours, il me semble donc impensable que chaque acheteur se voit interpelé et plus si affinités ? Non ? Qu'en est il des acheteurs de Hansa, certains se sont ils vus inquiéter ?

Merci à ceux qui m'auront lu, bonne journée

SWB punk1

Dernière modification par SickWilliamBoy (29 juillet 2017 à  16:34)


« Mon avocat n’aurait jamais pu soutenir la notion selon laquelle, on s’éclate plus sans les drogues qu’avec. Et moi non plus d’ailleurs. »

Le problème avec la drogue c’est ceux qui n’en prennent pas

Hors ligne

 

Yog-Sothoth
Hackeur Vaillant
1700
Inscrit le 18 Apr 2016
1029 messages
Blogs

coluche a écrit

est ce que privnote peut faire l'affaire .?

Privnote ne fait pas l'affaire. Tous les MP de Hansa ont été capté. Si les autorités captent le lien, ils peuvent cliquer dessus et voir ce qu'il y a dedans, pour ensuite recréer une privnote avec ton adresse à destination du vendeur.

SickWilliamBoy a écrit

Mais j'ai une question : lorsqu'un market comme DM propose de crypter son adresse depuis une fenêtre directement sur le market et non via un logiciel de cryptage de données, croyez vous que cela soit efficace ? J'ai toujours pensé que cela devait receller des failles qui ne sont pas présentes si l'on utilise un logiciel de cryptage mais je ne saurais justifier ma méfiance, qu'en pensez vous ?

C'est inefficace. Si le code source a été modifié par les flics, il est parfaitement possible que le market récupère une copie du message avant qu'il ne soit chiffré. C'est pour cette raison que le processus de chiffrement ainsi que le stockage des clés privées doit se faire par des moyens que vous contôlez.

SickWilliamBoy a écrit

Et aussi, si les acheteurs qui n'ont pas pris assez de précautions lors de leur commande et qui voient leur adresse postale entre les mains des policiers, en théorie ils risquent les peines prévues par la loir de leur pays d'origine pour acquisition, détention et importation du produit en question si ce dernier est illicite, mais qu'en est il en pratique ?

Je ne sais pas. C'est une question de droit. Il faudrait demander à un avocat ou un spécialiste du droit. Mais en pratique, j'ai entendu dire que les informations des contrevenants étrangers ont été transmises à la police du pays en question.

Je suis en train de réfléchir à séparer les chiffrofêtes des réunions psychoactif, et faire des réunions psycho dédiées. Le chiffrement des données est quelque chose de trop sensible pour n'être abordé qu'épisodiquement.


Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.

ECC: C94BCD0576D57A0CA3794151ED410079F18D2ED8
RSA: 0A0279F87BDD585E90653DE8B6E90802FF520AFE

Hors ligne

 

lendorphine
Psycho junior
Jamaica
000
Inscrit le 12 Jun 2017
218 messages
Super topic avec des infos pointues, comme d'hab :p

Intéressant l'idée d'utiliser privnote. Je connaissais déjà le concept mais ne l'avais jamais utilisé (je viens de le tester là pour voir ce que ca donne).

Il semble évident qu'utiliser uniquement privnote ne résoud pas le problème sans clé PGP. Mais couplé à un cryptage PGP, ca ne peut que renforcer la sécurité je suppose non ?
Bon après va trouver un vendeur qui accepte de recevoir des privnotes, si le mec vendeur est du genre à relire ses MP plusieurs fois il risque de vite avoir les boules de devoir C/C chaque message que tu lui envoies ou de le traiter immédiatement avant qu'il ne disparaisse x)

Par contre, est-ce que l'utilisation de privnote est VRAIMENT secure ? Si on prend le pb inverse en s'attaquantdirectement au site privnote (hackeurs, flics, NSA...), aucun risque de remonter à l'identité du vendeur ? Parce que si les messages privnotes s'autodétruisent aussi """efficacement""" que les photos/messages que l'on envoie sur snapchat... x) On sait tous que les données échangées sur snapchat sont stockées quelque part donc pourquoi pas privnote ?

Hors ligne

 


Répondre Remonter


Pour répondre à cette discussion, vous devez vous inscrire




    Psychoactif en Images
    Plus d'images psychoactives
    En ce moment sur PsychoACTIF  
     Appel à témoignage 
    Prod (seul) pendant le confinement ?
    Il y a 5jCommentaire de Akaion (80 réponses)
     Appel à témoignage 
    Etude Psychoactif/Psychonaut/Université de Paris sur l'expérience...
    Il y a 4jCommentaire de pierre (16 réponses)
     Appel à témoignage 
    Appel à témoignages : amende forfaitaire
    Il y a 15hCommentaire de Mister No (20 réponses)
     Forum UP ! 
    Consommation zopiclone en pleine journée
    Il y a 18hDiscussion sans réponse depuis 12h
     Forum UP ! 
    Interaction & Mélange - Truffes magiques : Vanir + 200 µg 1CP-LSD
    Il y a 16hDiscussion sans réponse depuis 12h
     Forum 
    La pire des drogues...
    Il y a 25mn
    1
    Commentaire de Onlymoi dans [Alcool...]
    (8 réponses)
     Forum 
    Culture - Tache rose
    Il y a 28mnCommentaire de Bady83390 dans [Psilocybe - Champigno...]
    (7 réponses)
     Forum 
    Injecter - Terimo 2.5 utilisation du piston difficile > Je suis prenant de vo...
    Il y a 46mnCommentaire de SoulEater dans [Morphine (Skenan, Mos...]
    (2 réponses)
     Forum 
    Présentation, 25 ans d'alcool
    Il y a 47mnCommentaire de Onlymoi dans [Alcool...]
    (3 réponses)
     Forum 
    Lettre ouverte et rescotché 1plsd
    Il y a 1hCommentaire de MrMouleBeat dans [RC Psychédéliques...]
    (1 réponse)
     Forum 
    Neurchi de Psychoactif
    Il y a 2h
    180
    Commentaire de Spacebiscuit dans [Au coin du comptoir.....]
    (243 réponses)
     Forum 
    Arrêt & Sevrage - Sevrage valium
    Il y a 2hCommentaire de Mauddamier dans [Benzodiazépines...]
    (7 réponses)
     Forum 
    Market - Besoin d'aide PGP Versus Market
    Il y a 2hCommentaire de SoulEater dans [Anonymat et sécurité...]
    (1 réponse)
     Blog 
    À toi ma mère.
    Il y a 15mnCommentaire de Onlymoi dans le blog de Sixteensix
    (1 commentaires)
     Blog 
    Round 2 (DMT)
    Il y a 12hCommentaire de Fungilover dans le blog de Bon Vivant
    (1 commentaires)
     Blog 
    Tous meurs et moi je reste
    Il y a 20hCommentaire de Psilosophia dans le blog de Thelma
    (10 commentaires)
     
      QuizzZ 
    Auto-évaluer votre consommation d'alcool
    Dernier quizzZ à 11:34
     PsychoWIKI 
    Fentanyl, effets, risques, témoignages
     Topic epinglé 
    Neurchi de Psychoactif
     Nouveaux membres 
    SilverX, G.Mista, wazab, kairos, _e-cybergirl14_, Petra, Tsukimoon, Dragonflyy, Shin Obi nous ont rejoint et se sont présentés les trois derniers jours.
    S'identifier

    Mot de passe oublié

    Morceaux choisis 

     TripReport - Un premier voyage galactique sous Salvia
    par Globuleis, le 13 Nov 2020
    La Salvia est là, coincée et serrée dans la douille du bang. J’ai déjà la tête tournoyante de mes deux précédentes prises d’essai. Du haut de mes 18 ans, et de mon expérience encore fines des psychédéliques, la sauge divinatoire me préoccupait depuis déjà quelques temps, et me ques...[Lire la suite]
     Recuisiner sa 2fdck
    par JellyFish's Dream, le 04 Nov 2020
    Petit suivi de consommation pour ceux que ça peux intéresser. En bas, les cristaux d'origine. En haut, la neige recuisinée. La différence visuelle est vraiment flagrante une fois la trace travaillée. Après une bonne semaine de cons' quotidienne, sur le même batch de pas cuisiné/recuisin...[Lire la suite]
     TR : « Un voyage à s’en perdre dans la forêt »
    par unknown29, le 09 Nov 2020
    « Un voyage à s’en perdre dans la forêt » Substance : 100ug LSD25 + 20mg 2C-B Lieu : Grande forêt en automne Fraichement décidé à faire notre petite balade en forêt, en couple, après une bonne nuit de sommeil, bon petit déjeuné, de quoi manger et boire le midi. Il faisait bon pour u...[Lire la suite]
    Tous les morceaux choisis
    Actualités

    Help pour mon growkit svp (25 novembre 2020)
    Site utile (22 novembre 2020)
    Le tourisme chamanique (22 novembre 2020)
    Les derniers champis

    J'aurais point dit mieux, GG /MT dans [forum] Combien de Bromazepam (6mg) pour être defoncée
    (Il y a 12h)
    Texte mis dans les morceaux choisis de Psychoactif. (pierre) dans [forum] TripReport - Un premier voyage galactique sous Salvia
    (Il y a 17h)
    La vie est dure.. dans [forum] Besoin d’un numéro pour les bitcoins
    (Il y a 18h)
    Oui malheureusement c'est devenue un exit scam ! Avant c'était bien . Bkk2012 dans [forum] Feedbacks - RC shops
    (Il y a 19h)
    Bien résumé, j'aurais pas dit mieux. Psilo dans [forum] Interaction ou juste une mauvaise descente ?
    (Il y a 19h)

    Pied de page des forums