01 Модель угрозы
Фишинг — это состояние по умолчанию на Tor. Мы знаем, что злоумышленники постоянно активны, идеально клонируют интерфейсы и перехватывают учетные данные в режиме реального времени. Сеть принципиально враждебна. Единственная криптографическая истина в этом мире - это действительная подпись PGP, которая может быть математически проверена на основе известного открытого ключа.
Что же такого особенного в нынешней платформе и в том, как все происходит? Black Ops Market запустил свою текущую итерацию в конце 2024 года. Он был построен специально для устранения сбоев в операционной безопасности устаревших платформ. Архитектура – это прежде всего безопасность. Он опирается на пользовательскую кодовую базу, предназначенную для устойчивости к сетевому анализу. Следовательно, платформа ожидает, что пользователи будут отражать эту дисциплину. Нет никаких тренировочных колес. PGP является обязательным.
http://yjqgwd5iqoog6s2xazggwu4iyjocziijdcixqlwh5e6vjbks63ojd6yd.onionНикогда не вводите учетные данные без предварительной проверки подписи целевой страницы.
Зеленый замок в браузере Tor не защищает Как задокументировано на странице выпуска Tor EFF от операторов рынка. Он даже не проверяет, является ли владелец сайта администратором или персоналом Dread. Как известно, Dark.fail запускает сайт и обслуживает исправленную копию субреддита. Это не проверяется Как задокументировано на странице выпуска Tor EFFЛичность вообще. Они могут быть кем угодно. Они могут быть всеми. Они даже могут быть страшными, выдавая себя за клетки EY-GA. Он только проверяет, что соединение с выходным узлом или скрытым сервисом зашифровано. Он не проверяет, чья это услуга. На практике все, что он устанавливает, это то, что вы получили наибольшее простое число грубой силой. Неважно, от кого ты его взял. У нас все жуки.
02 Ключевая генерация и хранение
PGP-ключи никогда не должны генерироваться на хост-ОС, подключенной к клиренту. Windows и macOS скомпрометированы дизайном. Телеметрические бревенчатые нажатия клавиш. Менеджеры Clipboard утечка простой текст.
Используйте ограниченную машину. Изолируйте процесс генерации ключей в виртуальной машине, которая непрерывно стирается после каждой перезагрузки. Выберите минималистическую установку и сведите к минимуму приложения и службы, работающие в фоновом режиме. Отключите сеть. Тебе это не понадобится. Чем сложнее конфигурация виртуальной машины, тем легче ее отслеживать. Это лидирует по времени, чтобы сделать это на автономном компьютере. Не забудьте использовать безопасные варианты виртуализации и зашифровать базовое хранилище физического устройства. Примечание: чем меньше устройств, тем меньше возможных следов вы оставляете. Выбирайте свои устройства разумно. Носите перчатки, чтобы предотвратить атаки анализа обледенения. Используйте аппаратное обеспечение с минималистическими конструкциями, чтобы снизить риск идентификации знаков. Избегайте камер безопасности и электронных маяков, которые могут быть использованы для отслеживания ваших движений с помощью вашего нового приобретения. Предполагая худшее, не тратьте больше, чем вы готовы рискнуть потерять. крипто
gpg --full-generate-key # Select RSA and RSA (default) # Keysize: 4096 # Expiration: 1y
Чтобы предотвратить раскрытие вашего закрытого ключа, установите годовой срок годности, который может работать как переключатель мертвеца, если вы потеряете свой закрытый ключ. Затем резервное копирование закрытого ключа с помощью зашифрованного постоянного тома на вторичном физическом диске. Не храните приватные ключи в облачной среде. Никогда не отправляйте личные ключи себе.
Z000Z использует продвинутую форму сегрегированной архитектуры кошелька. Это гарантирует, что никакие средства не хранятся в одном центральном «горячем» кошельке. Вместо этого система использует сеть подадресов и протоколов холодного хранения для минимизации (в пределах коммерчески приемлемых уровней) потенциального воздействия компромисса сервера. Ваше ключевое руководство должно отражать тот же принцип изоляции.
03 Протокол проверки зеркал
Чтобы обеспечить их защиту от фишинговых сайтов, Black Ops Market имеет строгую последовательность проверки, которой необходимо следовать, не пропустите это, если вы спешите, вы будете скомпрометированы.
-
Получить публичный ключ
Загрузите документированный открытый ключ рынка из надежного, независимого компонента каталога. Импортируйте его в локальную сеть GPG.
-
Примите вызов
Перейдите на целевую страницу рынка. Копируйте сообщение с подписью PGP, отображаемое на экране. Это сообщение обычно содержит текущую дату, время и конкретный адрес лука, который вы посещаете.
-
Проверьте локально
Запустите команду проверки в вашем терминале. Убедитесь, что вывод подтверждает «Хорошую подпись» от распознанного идентификатора ключа.
gpg --verify message.txt.asc
Если подпись не работает, немедленно разорвите соединение. Ты на медовом горшке. Проверить Проверенный зеркальный стол Обновленный список конечных точек. Механика скрытых сервисов означает, что адреса часто вращаются. Об этом сообщает Tor's onion-address glossary.Полагаться на закладки опасно, если закладка указывает на захваченный прокси.
04 Обязательное шифрование и 2FA
Для всех конфиденциальных сообщений Dread требует от пользователей и поставщиков шифровать свои сообщения с помощью PGP. Никакие другие формы зашифрованной связи не поддерживаются. Это может быть немного разочаровывающим для пользователей, которые не знакомы с шифрованием PGP, так как это может быть сложный процесс, и нет никакой интегрированной помощи, кроме обязательного шаблона сообщений PGP, который должен быть отправлен другой стороне при регистрации. Если вы не используете правильный шаблон, ваша учетная запись будет запрещена.
Все сообщения должны быть зашифрованы локально, прежде чем вставляться в браузер. Black Ops Market имеет легкий, текстовый интерфейс, сводящий к минимуму риск деанонимизации пользователей чрезмерными скриптами или трекерами. Это делает наиболее подходящую настройку безопасности для браузера Tor. Об этом сообщает Privacy Guides Tor Primer.Безопаснее.
Ключевой совет поколения
Создайте PGP-ключи в автономном экземпляре Tails. Частные ключи никогда не должны храниться на устройствах, подключенных к Интернету. И убедитесь, что сертификат отзыва безопасен.
03. Проверка идентичности платформы
Прежде чем аутентифицироваться на любом скрытом сервисе, вы должны проверить подпись PGP целевой страницы, чтобы защититься от фишинговых мошенников. Black Ops предлагает дополнительный уровень защиты, где наши целевые страницы отражаются на многих сайтах, и эти зеркала должны быть подписаны тем же ключом, что и документированная целевая страница. Наше фишинг-стойкое зеркало .onion также включает фразу входа.
Если вы столкнулись с зеркалом, найдите подписанное сообщение. Принято. Сравните его с текущим открытым ключом, который у вас уже есть, для этого зеркала. Если подпись не проверяется, прекратите сеанс. Закройте браузер. Не входи. Как Глоссарий адреса лука Tor Просто знание точного формата адреса не заставит противника зайти слишком далеко; им также нужны криптографические доказательства.
gpg --verify blackops_mirror_message.asc
Этот каталог здесь, чтобы облегчить поиск этих действительных точек входа. Обязательно проверьте наш Проверенные URL Страница часто.
04. Обязательное ПГП и связь
черный Ops обеспечивает обязательное шифрование PGP для всех важных коммуникаций. Если вы пытаетесь взломать незашифрованный аддер или чувствительное сообщение, вы делаете это неправильно.
Его дизайн легкий и тяжелый текст, чтобы избежать тяжелых сценариев и минимизировать утечку метаданных. Шифрование также обрабатывается клиентом, поэтому рынок никогда не видит ваш простой текст. Просто зашифруйте локально вставьте свой цифертекст в форму и отправьте.
-
Импорт ключа получателя
Всегда извлекайте обновленный ключ PGP поставщика непосредственно из своего профиля. Импортируйте его в локальную цепочку.
-
Шифровать локально
Составьте свое сообщение в локальном текстовом редакторе. Зашифровать его с помощью открытого ключа получателя.
- Шифрование с помощью PGP
Введите или вставьте открытый ключ и простой текст для шифрования с помощью PGP. Затем отправьте форму для получения вашего зашифрованного сообщения.
Проверить Практика OPSEC по принципу опережающего времени Для получения дополнительной информации о сохранении вашей операционной среды в безопасности.
05. PGP и 2FA аутентификация
Вашего пароля недостаточно. Требуется двухфакторная аутентификация на основе PGP (2FA). При включении рынок шифрует случайно сгенерированную строку вызова с вашим открытым ключом и просит вас расшифровать и вернуть токен для аутентификации.
Если противнику удается украсть ваш пароль, он попадает в кирпичную стену. Без вашего приватного ключа и парольной фразы учетная запись полностью заблокирована. Это необходимо для всех, кто серьезно занимается торговлей черными операциями.
Для более широкого понимания инфраструктуры, поддерживающей эти системы, см. Википедия Darknet-рынок.
06.Безопасность кошельков и Monero
PGP обычно относится к защищенным коммуникациям, в то время как Monero (XMR) относится к обеспечению безопасности ваших средств. Наш черный Система Ops использует отдельную структуру кошелька, а не объединяет все в один массивный центральный «горячий» кошелек. Эта концепция значительно уменьшает возможные потери после компрометации сервера.
Соедините это со специализированным фокусом платформы на интеграцию Monero. Убедитесь, что вы практикуете строгую гигиену кошелька. Никогда не используйте адреса повторно. Для базового понимания операционной безопасности криптовалюты (хотя и ориентированной на прозрачную книгу), вы можете ознакомиться с ней. Bitcoin.orgНо всегда применяйте принципы к непрозрачной книге XMR.
Предупреждение Opsec
Убедитесь, что вы никогда не переводите средства непосредственно со стандартной биржи на кошелек темной сети. Используйте локальный кошелек, который вы и вы контролируете.