Les Onion Links - DrugHub Market Canary expliqué
Accès vérifié
Vous cherchez simplement le point d'entrée actif ? Le miroir actuel vérifié est no mirrors. Assurez-vous de toujours recouper la signature PGP avant de procéder.
Si vous suivez activement Darknet Onion Links, vous savez déjà que les contrôles de surface ne suffisent pas. Trouver fiable Darknet Onion Links c'est creuser dans la preuve cryptographique dans les coulisses. Nous surveillons quotidiennement ces miroirs vérifiés, et le canari PGP est le socle absolu de ce processus. Disons comment cela fonctionne et pourquoi il reste le signal de confiance le plus critique pour toute adresse v3.
La notion de canari n'est pas un roman. Elle tire son nom de l'ancienne pratique minière consistant à prendre un canari dans les tunnels de charbon. Si l'oiseau a cessé de chanter, le danger était imminent. Pour un service caché, le canari est un fichier texte signé numériquement. Tant qu'il continue à signaler les dates actuelles et les nouvelles récentes, vous savez que les opérateurs détiennent toujours leurs clés privées.
Anatomie d'une preuve cryptographique
Lorsque vous chargez le navigateur Tor et naviguez vers un miroir, la poignée de main TLS et le circuit de routage prouvent seulement que vous avez atteint un serveur. Ils ne prouvent pas qui contrôle ce serveur. Pour comprendre l'écosystème plus large, vous pouvez consulter l'entrée de Wikipedia sur le marché du darknet, qui décrit comment les infrastructures sont fréquemment ciblées et saisies.
Un canari signé PGP résout ce problème d'identité. Les opérateurs du marché génèrent une paire de clés master PGP. La clé publique est largement diffusée dans les annuaires comme la nôtre. La clé privée est tenue hors ligne, bien sécurisée. Tous les quelques jours, l'opérateur crée un document texte simple indiquant "Nous sommes en contrôle de l'infrastructure", ajoute un hash de bloc Bitcoin récent pour prouver qu'il n'a pas été pré-généré il y a des semaines, et le signe avec cette clé privée hors ligne.
- Le message: Une déclaration de contrôle en texte clair.
- Le Timestamp : Habituellement un récent hash de bloc BTC ou XMR, prouvant la signature est arrivé après Ce bloc a été miné.
- Le bloc de signature : Le hachage cryptographique qui ne peut être généré que par le détenteur de la clé privée.
Lire la signature PGP sur les miroirs vérifiés
Ensuite, vous devriez trouver un message signé pour la version de Darknet Onion Links vous avez téléchargé que nous avons posté à PGP Canaries. Si vous utilisez notre clé, des messages signés peuvent être trouvés ici. Enfin, vérifiez si le message est bien signé par nous. Cela garantit que la source du fichier est légitime.
Ensuite, localisez le fichier canari sur le miroir lui-même. Copier la totalité du bloc de texte, y compris -----BEGIN PGP SIGNED MESSAGE----- et -----END PGP SIGNATURE----- des étiquettes. Exécutez ceci à travers votre logiciel de vérification. Si le logiciel signale une "bonne signature" de la clé du marché, le miroir est mathématiquement prouvé être autorisé par les opérateurs.
Si la signature a échoué, ou si l'empreinte de la clé ne correspond pas à celle que vous avez importée, vous avez un clone devant vous. Fermez l'onglet immédiatement. Pour lire des histoires encore plus sécurisées, consulter les guides de confidentialité.
Quand un Canary s'absente de mettre à jour
Lorsque le canari est dans l'impasse, il existe différentes explications possibles : l'opérateur n'a pas été en mesure de le mettre à jour pour des raisons techniques ou logistiques, il est en train de le mettre à jour, mais il est retardé pour une raison quelconque, ou la pratique du canari mandat a été complètement abandonnée. Si le canari est en panne pendant une période inhabituellement longue, la communauté demandera des réponses. Si la mise à jour intervient après cette période prolongée, les préoccupations de la communauté touchée peuvent également être mises en question.
Un canari inexistant ne signifie pas automatiquement que les serveurs ont été compromis. Parfois, les opérateurs sont simplement hors ligne, ou il y a un retard technique dans le déplacement du fichier signé de la machine hors ligne vers le serveur en direct. Cependant, d'un point de vue de l'agrégateur d'examen des fournisseurs, un canaire inexistant signifie que nous réduisons immédiatement le score de confiance de ceux-ci Darknet Onion Links. Nous arrêtons nos "dernier contrôle" horloges et émettons des avertissements.
Si la police met la main sur les serveurs du site Internet de l'accusé, elle est (généralement) en mesure de maintenir le site Web en état d'exécution pour identifier et suivre les utilisateurs. Comme ils ne possèdent pas la clé hors ligne qui signe l'information de l'entreprise, ils ne peuvent forger une clé pour une période ultérieure. Ils ne peuvent que limiter la période pendant laquelle la clé a été générée. Si vous n'avez pas vu de nouvelle clé, vous devriez vous méfier. Vous voulez une explication sur la façon dont des cas semblables à ce canari ont diminué? consulter la couverture Tor de Wired.
Intégration des signaux communautaires
Le canari seul ne peut pas protéger contre toute menace. C'est un instantané. Prouvable dans ce moment, mais il peut être dépassé dès que la preuve devient sombre. Et, décevantement, c'est un jeu peu coûteux pour un acteur de la menace avec des ancrages dans de nombreuses organisations puissantes et protectrices de la vie privée. Par exemple, alors que Hush utilise la preuve continue de son honnêteté, la plupart des organisations ne le font pas. Comment savez-vous qu'ils ont raté leur dernière occasion pour affirmer qu'ils n'étaient pas compromis ?
D'autre part, si le canari est un jour ou deux en retard et que vous avez observé des tendances de connexion 2FA correspondantes sur votre rapport de vendeur supérieur, il est un signe que vous êtes devant et centre avec la communauté des vendeurs. Ou vous pouvez vérifier l'état actuel des meilleurs vendeurs sur notre Fournisseurs fiables liste.
Mode de sécurité et sécurité opérationnelle
Un message valide signé pourrait être compromis si l'appareil de l'auteur est infecté. Un point de contrôle pourrait être forcé de produire un faux négatif. Un gouvernement pourrait emprisonner les opérateurs d'un poste de contrôle si un canari de mandat approprié est découvert. Le réseau PGP de confiance pourrait être utilisé pour contourner une telle attaque, au prix de beaucoup moins de commodité. Si vous étiez extra paranoïaque (pas que la personne à risque général ne devrait pas être) vous pourriez enlever la source signée pour chaque signature de point de contrôle et faire une nouvelle source signée pour cette source, etc, créant une chaîne. Les cascades de paranoïa sont agaçantes puisque plusieurs de ces processus sont à peine plus sûrs qu'un. Une contre-mesure beaucoup plus efficace combine les approches smartphone et voilier - être une cible difficile pour réduire le risque d'infection et utiliser un milieu de variance élevée pour limiter l'impact si infecté.
Nous vous recommandons vivement de revoir régulièrement votre configuration locale. Mais comment pouvez-vous le rendre moins probable que votre utilisation de Tor sera remarquée quand un adversaire examine le fruit à faible hauteur? Il s'agit du premier poste d'une série sur l'amélioration de la sécurité en profondeur pour les situations de haute sécurité. La construction d'un site Tor sécurisé avec des services d'oignon v3 donne des conseils sur la configuration du service d'oignon. Il sera plus facile pour vous de commencer avec une image VM que nous fournissons, puis de durcir à partir de là, en utilisant les recommandations dans ce post pour guider ce que vous changez. Ce post se concentre sur une configuration à domicile où quelqu'un vous cible et est prêt à y consacrer du temps et des efforts. Le futur poste v3 sera axé sur une situation de sécurité plus élevée. Pour obtenir des conseils de base sur la gestion des cryptomonnaies dans ces environnements familiaux, voir consulter le guide de confidentialité de Bitcoin.org. 1 Qu'est-ce qu'un adversaire de base-état voit Rappelez-vous ce modèle de menace où Alice et Bob sont amoureux, Alice a une omniscience fonctionnelle sur Bob, regardant absolument tout ce qui entre dans ou hors de son réseau, et Bob n'est pas particulièrement intéressant pour les attaquants? Pensez aux voleurs locaux qui ont le sens d'embaucher un hacker (appelez-la Eve) pour faire tout le dur travail informatique. Il peut être étonnamment facile pour les donateurs ou les lecteurs de sites Web de se rendre compte que vous avez un intérêt pour Tor parce que votre blog (lecture: tous les utilisateurs de Tor plus les donateurs?) fonctionne sur une boîte qui n'est pas assez verrouillée. Ok, nous ne concevons rien de si bas sur la hiérarchie des menaces de l'État-nation. Pourtant, au lieu de se moquer d'un adversaire de gant en caoutchouc – un avec autant d'accès qu'un agent de sécurité à la frontière dans la machine aérienne, mais qui peut vous regarder et vous regarder aussi longtemps qu'ils veulent – peut-être Bob a fait autre chose. Bob a peut-être oublié de vérifier les sauvegardes et de laisser un harceleur se déplacer à côté ! Consultez le pare-feu de votre hôte Actuellement, lorsque Tor Browser fonctionne dans Whonix-Workstation, la Guard contre les écoutes hostiles, Tor Button spoofs local timezone empreintes digitales du navigateur, Tor Button fixup bookmark favicon tracking, NoScript n'autorise pas JavaScript activé + empreintes digitales, Tor Browser prohibition slider of JavaScript + HTML5 Media Element URI fuite, et les 80 autres options Tor Browser slider prohibition slider pour se défendre contre la liabilité du curseur, JS danger souris événement linkability, Masquer les liens visités URL bar linkability, bloquer les MemPOPs, auto destruction du BountyCluster, protéger contre le suivi des noms de fenêtre, défendre contre les violations W^X, protéger contre les armes à feu, garde contre les incendies de série, PORTALS ARE A LIE, Beat the koumori, défendre contre l'intrusion de pseudilesses; et récemment Prendre votre justice dans la nuit par Garth Marenghi et Radio Mystium. 2 Eh bien, il suffit de dire que la navigation n'est nulle part près de la seule surface d'attaque, celle avec la plus grande chance d'exploitation à distance rencontrant les suranis et les dziugas avant de passer aux cultes et aux journalistes banals. Supposons que vous ne regardez pas par-dessus leur épaule et commencez par désactiver chaque service et protocole dont vous n'avez pas besoin. Porte le reste. Ce renforcement ne s'applique qu'à des choses qui ne sont pas dirigées vers une porte de toute façon, comme un port fermé ou un activiste oignon Grater. 1.1 http://blogricostruzione.casa.it/2014/07/22/infissi-in-alluminio-legno-vs-pvc-vs-legno/ Voir aussi https://22chan.org/tech/res/117 Vérifiez votre configuration DNS DNS a annoncé votre carte Ethernet même si le câble n'est pas branché ? Définissez les interfaces $inter facet $facet send-gateway et ne pas alloes. Arrêtez la pêche à la découverte dynamique (pour ipv6) ! Et, bien que vous devriez déjà être abonné au rapport six or minusf, tous les jours vous undo-isoler (ou au moins les interfaces Bob). Atténuer les risques secondaires Vous avez déjà couvert toutes les images satellitaires et aériennes internes comme le Hums Conundrum, non ? Nous ne sommes pas sûrs de ce que vous pouvez raisonnablement faire pour un ventilateur d'ordinateur bruyant.