Skrevet af scribe_TS NOT ME
001.1 Hvem er jeg?
001.2 Definition af operationel sikkerhed
2 - Krigsførelse med misinformation (digital)
002.1 Gammel misinformation
002.2 Hvordan bliver du sporet?
002.3 Sådan bruger du misinformation til din fordel
.....2.4 Opdeling i båse
002.5 Sikkerhed er ikke praktisk
3 - D.U.M.B (fysisk)
003.1 Primære eksempler på mislykket OPSEC
003.2 Uundgåelige fejl, eftervirkninger og oprydning
1.1 - Hvem er jeg?
"Jeg er bare endnu et ekko i tomrummet."
1.2 - Definition af operationel sikkerhed
Pr. definition er driftssikkerhed afledt af det militære begreb proceduremæssig sikkerhed, der opstod som et begreb, der beskrev strategier for at forhindre potentielle modstandere i at opdage kritiske driftsrelaterede data. Hvilket er en analytisk proces, der klassificerer informationsaktiver og bestemmer den kontrol, der kræves for at tilvejebringe disse aktiver.
Du undrer dig måske over, hvorfor jeg vælger at skrive om både fysisk og digital driftssikkerhed? Det enkleste svar er, at de er sammenflettede og efter min mening ikke kan adskilles. Hvis du har den ene, men ikke den anden, er det, som om du ikke har nogen.
2 - Misinformationskrigsførelse
2.1 - Gammel misinformation
Siden tidernes morgen er misinformation blevet brugt som våben, og det er det mest effektive våben. Hvis du er en bogorm som mig, foreslår jeg, at du læser The Art of War af Sun Tzu, den bog har selv efter tusinder af år, siden den blev skrevet, teorier og praksis, der kan anvendes i den moderne verden. Hvorfor fortæller jeg dig dette? Fordi vi vil starte med et af hans citater.
Citat: Sun Tzu
"Al krigsførelse er baseret på bedrag. Når vi er i stand til at angribe, skal vi derfor virke ude af stand til det; når vi bruger vores styrker, skal vi virke inaktive; når vi er tæt på, skal vi få fjenden til at tro, at vi er langt væk; når vi er langt væk, skal vi få ham til at tro, at vi er tæt på."
Et af de mest grelle eksempler på dette tager os tilbage til det gamle Rom og til slutningen af republikken, hvor næsten et århundrede med borgerkrig, kaos og politiske mord havde ført den romerske regering til randen af sammenbrud. Det var tiden for det såkaldte andet triumvirat. For omkring 2000 år siden stod den romerske republik over for en borgerkrig mellem Octavian, adoptivsøn af den store general Julius Cæsar, og Marcus Antonius, en af Cæsars mest betroede hærførere. For at vinde krigen vidste Octavian, at han var nødt til at have befolkningen på sin side. Det hjalp at vinde vigtige slag, men hvis befolkningen ikke kunne lide ham, ville han ikke blive en succesfuld hersker. For at få offentlighedens opbakning lancerede Octavian en krig med falske nyheder mod Marcus Antonius. Han hævdede, at Antonius, som havde en affære med Kleopatra, den egyptiske dronning, ikke respekterede traditionelle romerske værdier som trofasthed og respekt. Octavian sagde også, at han var uegnet til at bestride et embede, fordi han altid var fuld. Octavian fik sit budskab ud til offentligheden gennem poesi og korte, rappe slogans trykt på mønter. Octavian vandt til sidst krigen og blev Roms første kejser, som regerede i over 50 år. Men jeg kommer ind på noget andet, så lad os vende tilbage til det, du kom her for. I dag er det naturligvis meget lettere at føre krig med misinformation end for 2000 år siden. For nu at springe historietimerne over og bevæge os ind i den moderne æra er her et eksempel på misinformation. Markeder, der ønsker at udføre exit-scam, vil normalt deaktivere udbetalinger på grund af nogle tekniske problemer i deres ende, mens de holder indskud i gang, mens de siver midler til en ekstern tegnebog. 2.2 - Hvordan bliver du sporet I det dystopiske samfund, vi lever i i dag, er overvågning en vigtig del af, hvordan regeringer holder styr på almindelige mennesker. For at forstå, hvordan vi kan bruge misinformation mod dem, må vi først forstå, hvordan vi bliver sporet. De enheder, der sporer os (regeringsorganer, teknologikonglomerater og dataminingvirksomheder), er afhængige af, at du lækker små stykker data, som de bruger til at profilere dig online og matche brugernavnet med den faktiske bruger. Det er en simpel sag at matche indhold i databaser, hvis der er en form for indeks til indholdet. De mest almindelige data, der bruges til at spore dig på clear-net og dark-net, er: Navne (både rigtige navne og brugernavne)
IP-adresser
Browserens fingeraftryk
E-mail-adresse
Placering (præcis eller omtrentlig)
Telefonnumre
Fødselsdato (eller enhver anden PII)
Stylometri
Ansigtsgenkendelse
Det er vigtigt at forstå, at bare ved at bruge to elementer ud af alle disse er nok til, at de kan spore dig. Så dit job er at nægte dem at få to stykker reelle data, hvis du ønsker at være anonym. 2.3 - Sådan bruger du misinformation til din fordel Okay, vi ved, hvordan vi bliver sporet. Lad os kort tale om, hvordan vi kan bruge misinformation til at gøre det meget sværere for disse enheder at spore dig. Navne: Brug ikke dit rigtige navn nogen steder på internettet, og undgå hjemmesider, der kræver det. Brug aliasser, pseudoanonymitet er bedre end at blive taget med bukserne nede. IP-adresse: Masker din IP-adresse ved at bruge Tor, VPN, VPS, RDP eller proxyer. Afhængigt af hvad du rent faktisk laver, kan det være en god idé at kombinere nogle af disse. Pointen er, at du skal bruge det, du har til rådighed, til at gøre deres liv sværere. Browser-fingeraftryk: Denne er nok sværest at skjule, hvis du ikke er en teknisk troldmand. Men du kan altid bruge flere browsere med forskellige plug-ins for at få det til at se ud, som om du er flere personer. Telefonnumre: Hold op med at linke dit personlige telefonnummer til tjenester som instant messengers, applikationer til sociale medier og to-faktor-autentificering på tjenester. Gå enten videre og køb VOIP-nummer med Crypto, eller brug ting som Yubi Key til to-faktor-autentificering. E-mail-adresser: Det er nok det nemmeste: Brug flere e-mails under forskellige navne til forskellige formål. Hold tingene adskilt! Stilometri: Er anvendelsen af studiet af sproglig stil. Jeg kan f.eks. sige 10% eller 10 procent eller ti procent. Hver af disse er forskellige og kan bruges til at skjule din sande identitet. Og da jeg skrev dette indlæg, kunne jeg nemt være gået til en oversættelsestjeneste og have gjort dette. Oversæt fra engelsk til russisk, fra russisk til spansk, fra spansk til finsk og fra finsk til engelsk. Det vil ændre teksten og gøre den meget anderledes (stilmæssigt) end det, du oprindeligt skrev, du skal bare stavekontrollere den. Bedrag og løgne: Ikke den slags, du forventer. Lad os sige, at du er Dread-bruger, og at du vil nævne et kæledyr, du har, for at komme med en pointe i en diskussion. Det betragtes som dårlig OPSEC at sige "Hey, jeg har en sort kat!", men sig i stedet, at du har en hvid hund. På den måde kan du stadig sige, at mit kæledyr har gjort X, Y eller Z. Men uden at afsløre faktiske oplysninger om dig. At foretage sådanne subtile ændringer af detaljer er afgørende, hvis du vil holde dig skjult. Citat: Sun Tzu "Engager folk med det, de forventer; det er det, de er i stand til at skelne og bekræfter deres projektioner. Det får dem til at falde til ro i forudsigelige reaktionsmønstre og optager deres tanker, mens du venter på det ekstraordinære øjeblik, som de ikke kan forudse."
Alt, hvad jeg har sagt her, er en form for misinformation på den ene eller anden måde. Ved at bruge disse teknikker kommer du til at fremstå som flere personer i stedet for kun én. Men alt dette vil ikke hjælpe dig, hvis du ikke gør ordentlig brug af kompartmentalisering. 2.4 Kompartmentalisering Hvorfor anses Qubes OS for at være et af de mest sikre operativsystemer, der findes i dag? Fordi det gør brug af kompartmentalisering. At holde tingene adskilt er nok den bedste måde at undgå, at nogen sporer dig. Hvad mener jeg med det? Lad os sige, at du har købt en engangstelefon og et SIM-kort med kontanter på et sted uden sikkerhedskameraer, og at du planlægger at bruge den som en fældetelefon. Du kan roligt gå ud fra, at telefonen er anonym, hvad dig angår. Men hvis du ringer til din mor, din ægtefælle eller dit barn med den telefon, bliver den brændt med det samme. Der er en log et eller andet sted derude om det opkald, og du kan være sikker på, at den vil blive fundet af politiet. Det er ligegyldigt, om du er hacker, markedsadministrator, forumadministrator, almindelig bruger eller bare et privatlivsbevidst individ, for det gælder for alle. På samme måde som du ikke fortæller din familie, at du sælger kokain online, skal du anvende det på alle aspekter af dit digitale liv. Citat: Sun Tzu "Hvis din fjende er sikker på alle punkter, skal du være forberedt på ham. Hvis han er overlegen i styrke, så undvig ham. Hvis din modstander er temperamentsfuld, så forsøg at irritere ham. Lad som om du er svag, så han kan blive arrogant. Hvis han tager det roligt, så giv ham ingen hvile. Hvis hans styrker er forenede, så skil dem ad. Hvis hersker og undersåt er enige, så skab splid mellem dem. Angrib ham, hvor han er uforberedt, og vis dig, hvor du ikke er ventet."
Et andet eksempel på opdeling er dette. Vi kender alle sammen alle slags mennesker, fra junkier til fyre med en ph.d. og endda alt derimellem. Alle har en ven, som de ryger hash med, en ven, som de går ud og drikker med, en ven, som de kan tage med hjem for at møde dine forældre osv. Det er sådan, det foregår. Nogle ting i livet kan simpelthen ikke blandes. Så lad være med at blande dine online-identiteter, for hvis du gør det, vil de før eller siden blive bundet sammen og føre tilbage til dig.
2.5 Sikkerhed er ikke praktisk
Som du måske kan udlede af alt det, jeg har skrevet, er sikkerhed ikke praktisk, og du kan ikke få begge dele. Men hvis du anvender disse eller lignende mønstre i dit digitale liv, vil det forbedre din driftssikkerhed eksponentielt.
Husk på, at jeg ikke engang har kradset i overfladen, men jeg har sagt nok til at få dig til at tænke på din egen OPSEC. Undgå single point of failure, håndhæv brugen af PGP, når du sender vigtige oplysninger, brug fuld diskkryptering, skift dine adgangskoder regelmæssigt, bland ikke kriminalitet og privatliv, brug open source-software i stedet for closed source, og vigtigst af alt, hold din forbandede kæft!
Ingen har brug for at vide, hvad du har gjort, hvad du har tænkt dig at gøre, hvor dit lager er, hvor mange penge eller stoffer du har og så videre. En klog mand sagde engang: En fisk med lukket mund bliver aldrig fanget.
3 D. U.M.B.
Denne del handler om fysisk operationel sikkerhed, og du undrer dig måske over, hvad D.U.M.B. står for? Det er ganske enkelt Deep Underground Military Bases. Jeg brugte det som en reference til en uigennemtrængelig bygning, som din OPSEC bør være. For det er ligegyldigt, hvor god din digitale OPSEC er, hvis din fysiske er forfærdelig og vice versa.
Før jeg dykker ned i dette afsnit, bør alle, der ligesom jeg elsker at bryde pengeskabe og låse op, helt sikkert tjekke bøger skrevet af Jayson Street kaldet Dissecting the Hack: F0rb1dd3n Network og Dissecting the Hack: STARS (Security Threats Are Real). Han gør et godt stykke arbejde med at forklare vigtigheden af både digital og fysisk sikkerhed og konsekvenserne af at se bort fra nogen af delene. Også The Complete Book of Locks and Locksmithing, Seventh Edition og Master Locksmithing: An Experts Guide er sjov læsning fyldt med information.
Hvad er fysisk OPSEC (almindeligvis kaldet analouge), og hvorfor er det så vigtigt? Tja, analouge OPSEC er som når du bruger markeder til at bestille nogle stoffer, du lader ikke den enhed være logget ind og uden opsyn, du lader ikke dine døre være ulåste, når du forlader huset, alt det er analouge OPSEC. Folk har normalt en tendens til at se bort fra det som mindre vigtigt, men tag ikke fejl, det er lige så vigtigt som digitalt.
Ligesom med digital sikkerhed kan jeg kun give dig forslag og få dig til at tænke, da alle situationer og trusselsmodeller er forskellige.
Lad os antage, at du er forhandler, at du ikke arbejder med markeder, men foretrækker den gammeldags måde. Jeg vil liste nogle råd, som du måske kan bruge:
Tal ikke for meget om, hvor dit skjulested er, hvor meget vægt du har, om du er bevæbnet eller ej osv. Alle disse ting kan være en grund til, at du bliver bortført, tortureret eller dræbt.
Skid ikke,hvor du spiser, slang ikke dope i dit eget hood. Det er bare dårlig praksis generelt, flyt din virksomhed til den anden side af byen.
Lad være med at være venner medklienter, du ikke kan være venner med misbrugere. De kan være det ene eller det andet, ikke begge dele. For misbrugere lægger sig ned og synger, hvis de bliver taget. At have en misbruger som ven er en god måde at sikre sig en lang ferie i et hvilket som helst fængsel verden over.
Vid,hvornår du skal give op - det er nok det vigtigste. Hvis noget føles forkert, er det nok fordi, det er det. Stol på din mavefornemmelse, og vid, at det ikke altid er en dårlig ting at træde tilbage. Som Frank Lucas fik at vide af sin leverandør: At give op og at give op, mens du er foran, er ikke det samme, Frank.
Arbejd ikke med en vens ven af en ven, de er sandsynligvis undercover-betjente.
Tænk fremad Altid, og jeg mener altid, hav en exitplan. Uanset om det er et forfalsket pas, 50.000 i kontanter og en billet til en sydafrikansk ø, der ikke har en udleveringsaftale med nogen. Eller en udbetaling på et par hundrede tusinde til den dyreste advokat i byen. Bare sørg for at have en plan.
Dette er blot nogle af de ting, du skal holde øje med. Der er bogstaveligt talt tonsvis af flere råd til forskellige erhverv, men hvis jeg bliver ved, når jeg ikke at lægge dem ud i tide. Bare husk, at alt kan brydes ind i, hackes, låses eller udnyttes.
3.1 Gode eksempler på OPSEC-fejl
Lad os tale om nogle OPSEC-fiaskoer. For kloge mennesker lærer af andres fejl, ikke af deres egne. På grund af det faktum, at i arbejdsområder på dark-net kan det være din første og sidste.
DreadPirateRoberts (Ross Ulbricht) var en revolutionær, ekstremt intelligent, men slet ikke nødvendigvis klog. Blandt de mange dumme ting, han gjorde, var at bruge en forkert konfigureret CAPTCHA-server i en lang periode, sende smuglergods til sin hjemmeadresse, reklamere for Silk Road på Shroomery ved hjælp af sin egen gmail-adresse, blive venner med en tidligere undercover (korrupt) DEA-agent (som senere afpressede ham for penge), føre logbog over alle sine samtaler og en detaljeret dagbog over sine Silk Road-eventyr. Men det mest fatale var, at han ikke var opmærksom på sine omgivelser. For det meste drev han Silk Road fra det komfortable San Forensics Public Library, og der, hvor det gik galt, sad han ved et bord med ryggen til lokalet. Mens to FBI-agenter iscenesatte et skænderi mellem et par, kom deres kolleger bagfra og tog hans lap top, før han kunne nå at slukke den og starte krypteringsprocessen. Han dokumenterede stort set alle sine forbrydelser, så lad være med at være DPR.
Shiny Flakes (tysk sælger) 20-årig, som skabte en af de største kokainhandelsoperationer i Tyskland på det tidspunkt. Politiet konfiskerede mere end en halv million i forskellige valutaer og en ufattelig mængde stoffer, alt sammen opbevaret i hans soveværelse. Og hans største OPSEC-fejl var, at han sendte alle sine forsendelser fra den samme DHL-forpost. Han gemte også alt i klartekst (ordrer, kunder, økonomi, loginoplysninger osv.) på et ukrypteret drev.
Sabu (Hector Xavier Monsegur) LulzSEC glemte at bruge TOR til at oprette forbindelse til en IRC-server, der blev overvåget af FBI. De fik hans IP-adresse fra hans internetudbyder, og et korrelationsangreb senere blev han lagt i håndjern og opgav sine venner til gengæld for en tilståelsesaftale. Vær ikke en stikker, stå ved dine fejl.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) lejede blandt mange andre dumme ting servere med en e-mailadresse, som han brugte til at åbne en PayPal-konto, som han så brugte til at betale for sin kones blomster. Men det er ikke alt. Han rejste med sin arbejdslaptop, som indeholdt hundredtusindvis af kreditkort, men det er ikke så slemt, da han havde kryptering. Desværre blev hans password Ochko123 gættet af politiet, da det var det samme på hans e-mail, tror jeg. Så lad være med at have dit arbejde med, når du rejser, bland ikke kriminalitet og kærlighedsliv, og genbrug for helvede ikke adgangskoder. Lad være med at være BulbaCC.
Willy Clock (Ryan Gustefson, ugandisk falskmøntner ) genbrugte sin personlige e-mail, som han brugte til at ansøge om amerikansk statsborgerskab, til en Face-book-konto, som han brugte til at sælge falske sedler fra. Han uploadede også sit eget billede til den konto. Jeg har ikke engang noget at sige til den her.
FrecnhMaid aka nob (DEA-agent fra DRP-sagen) brugte sin arbejdslaptop til at afpresse Ross Ulbricht, og du kan nok gætte, hvordan det gik. Han flyttede bl.a. pengene til bankkonti i sit eget navn i lande, der ikke har strenge love om bankhemmelighed. Han fik, hvad han fortjente.
Alexandre Cazes (AlphaBay-administrator) brugte en personlig e-mailadresse til e-mails om nulstilling af AlphaBay-adgangskoder, opbevarede alle data i ukrypteret format på sin enhed og hostede Alphabay-servere i Quebec, Canada, i sit eget navn.
3.2 - Uundgåelig fiasko, efterspil og oprydning
Dette er det sidste kapitel i dette indlæg, der handler om den uundgåelige fiasko, og hvad man skal gøre bagefter. Vi er alle mennesker, hvilket betyder, at du før eller siden vil begå en fejl. Vil det være enden på dig? Det kommer an på, men det vigtigste er at vide, hvordan man rydder op efter sig selv.
Her er et tilbagevendende eksempel på at kvaje sig, og hvordan du kan komme videre bagefter, men husk, at dette er en spekulativ situation, og du skal vide, at jeg ikke kan forudsige alle mulige udfald.
Kontrolleret levering - er den situation, hvor politiet beslaglægger din ordre, men lader postvæsenet fortsætte med at levere din pakke for at tage dig på fersk gerning. Normalt for at forsøge at tvinge dig til at vende om. Der er normalt to udfald af en sådan situation, hvis du har et par ordrer under bæltet, det tager mistænkeligt lang tid for pakken at blive leveret, og den var stationeret i dagevis på samme sted.
Du kan enten ikke vide det, kvittere for pakken og blive afsløret inden for få sekunder. Eller du kan nægte at modtage pakken, og i så fald har de ingenting. Hvis du tror, at der er tale om en kontrolleret levering, er det bedste, du kan gøre, at fjerne alle beviser på en sådan aktivitet fra dine enheder og dit hjem. For du kan være sikker på, at adressen er brændt, og det er du også.
Hvad mener jeg med at fjerne beviser? Gode gamle datamakuleringsmaskiner er altid vejen frem, men hvis du havde nogle kritiske oplysninger, som aldrig må falde i fjendens hænder, er det bedste altid at skaffe sig af med den pågældende SSD/HDD. Først skal du makulere dataene (det anbefales at gøre det mindst 7 gange), og derefter skal du makulere disken. Normalt vil det være nok at brænde den. Det er altid bedst at ødelægge enheden, så ingen kan foretage retsmedicinske undersøgelser og grave dataene frem. For ingen ny, skinnende enhed (laptop, computer, hdd, ssd osv.) er mere værd end din frihed.
Pointen er, at hvis noget føles forkert, er det fordi, det sandsynligvis er det! Vær på vagt, bestil ikke til din hjemmeadresse, spil spillet og lad ikke spillet spille dig.
001.1 Hvem er jeg?
001.2 Definition af operationel sikkerhed
2 - Krigsførelse med misinformation (digital)
002.1 Gammel misinformation
002.2 Hvordan bliver du sporet?
002.3 Sådan bruger du misinformation til din fordel
.....2.4 Opdeling i båse
002.5 Sikkerhed er ikke praktisk
3 - D.U.M.B (fysisk)
003.1 Primære eksempler på mislykket OPSEC
003.2 Uundgåelige fejl, eftervirkninger og oprydning
1.1 - Hvem er jeg?
"Jeg er bare endnu et ekko i tomrummet."
1.2 - Definition af operationel sikkerhed
Pr. definition er driftssikkerhed afledt af det militære begreb proceduremæssig sikkerhed, der opstod som et begreb, der beskrev strategier for at forhindre potentielle modstandere i at opdage kritiske driftsrelaterede data. Hvilket er en analytisk proces, der klassificerer informationsaktiver og bestemmer den kontrol, der kræves for at tilvejebringe disse aktiver.
Du undrer dig måske over, hvorfor jeg vælger at skrive om både fysisk og digital driftssikkerhed? Det enkleste svar er, at de er sammenflettede og efter min mening ikke kan adskilles. Hvis du har den ene, men ikke den anden, er det, som om du ikke har nogen.
2 - Misinformationskrigsførelse
2.1 - Gammel misinformation
Siden tidernes morgen er misinformation blevet brugt som våben, og det er det mest effektive våben. Hvis du er en bogorm som mig, foreslår jeg, at du læser The Art of War af Sun Tzu, den bog har selv efter tusinder af år, siden den blev skrevet, teorier og praksis, der kan anvendes i den moderne verden. Hvorfor fortæller jeg dig dette? Fordi vi vil starte med et af hans citater.
Citat: Sun Tzu
"Al krigsførelse er baseret på bedrag. Når vi er i stand til at angribe, skal vi derfor virke ude af stand til det; når vi bruger vores styrker, skal vi virke inaktive; når vi er tæt på, skal vi få fjenden til at tro, at vi er langt væk; når vi er langt væk, skal vi få ham til at tro, at vi er tæt på."
Et af de mest grelle eksempler på dette tager os tilbage til det gamle Rom og til slutningen af republikken, hvor næsten et århundrede med borgerkrig, kaos og politiske mord havde ført den romerske regering til randen af sammenbrud. Det var tiden for det såkaldte andet triumvirat. For omkring 2000 år siden stod den romerske republik over for en borgerkrig mellem Octavian, adoptivsøn af den store general Julius Cæsar, og Marcus Antonius, en af Cæsars mest betroede hærførere. For at vinde krigen vidste Octavian, at han var nødt til at have befolkningen på sin side. Det hjalp at vinde vigtige slag, men hvis befolkningen ikke kunne lide ham, ville han ikke blive en succesfuld hersker. For at få offentlighedens opbakning lancerede Octavian en krig med falske nyheder mod Marcus Antonius. Han hævdede, at Antonius, som havde en affære med Kleopatra, den egyptiske dronning, ikke respekterede traditionelle romerske værdier som trofasthed og respekt. Octavian sagde også, at han var uegnet til at bestride et embede, fordi han altid var fuld. Octavian fik sit budskab ud til offentligheden gennem poesi og korte, rappe slogans trykt på mønter. Octavian vandt til sidst krigen og blev Roms første kejser, som regerede i over 50 år. Men jeg kommer ind på noget andet, så lad os vende tilbage til det, du kom her for. I dag er det naturligvis meget lettere at føre krig med misinformation end for 2000 år siden. For nu at springe historietimerne over og bevæge os ind i den moderne æra er her et eksempel på misinformation. Markeder, der ønsker at udføre exit-scam, vil normalt deaktivere udbetalinger på grund af nogle tekniske problemer i deres ende, mens de holder indskud i gang, mens de siver midler til en ekstern tegnebog. 2.2 - Hvordan bliver du sporet I det dystopiske samfund, vi lever i i dag, er overvågning en vigtig del af, hvordan regeringer holder styr på almindelige mennesker. For at forstå, hvordan vi kan bruge misinformation mod dem, må vi først forstå, hvordan vi bliver sporet. De enheder, der sporer os (regeringsorganer, teknologikonglomerater og dataminingvirksomheder), er afhængige af, at du lækker små stykker data, som de bruger til at profilere dig online og matche brugernavnet med den faktiske bruger. Det er en simpel sag at matche indhold i databaser, hvis der er en form for indeks til indholdet. De mest almindelige data, der bruges til at spore dig på clear-net og dark-net, er: Navne (både rigtige navne og brugernavne)
IP-adresser
Browserens fingeraftryk
E-mail-adresse
Placering (præcis eller omtrentlig)
Telefonnumre
Fødselsdato (eller enhver anden PII)
Stylometri
Ansigtsgenkendelse
Det er vigtigt at forstå, at bare ved at bruge to elementer ud af alle disse er nok til, at de kan spore dig. Så dit job er at nægte dem at få to stykker reelle data, hvis du ønsker at være anonym. 2.3 - Sådan bruger du misinformation til din fordel Okay, vi ved, hvordan vi bliver sporet. Lad os kort tale om, hvordan vi kan bruge misinformation til at gøre det meget sværere for disse enheder at spore dig. Navne: Brug ikke dit rigtige navn nogen steder på internettet, og undgå hjemmesider, der kræver det. Brug aliasser, pseudoanonymitet er bedre end at blive taget med bukserne nede. IP-adresse: Masker din IP-adresse ved at bruge Tor, VPN, VPS, RDP eller proxyer. Afhængigt af hvad du rent faktisk laver, kan det være en god idé at kombinere nogle af disse. Pointen er, at du skal bruge det, du har til rådighed, til at gøre deres liv sværere. Browser-fingeraftryk: Denne er nok sværest at skjule, hvis du ikke er en teknisk troldmand. Men du kan altid bruge flere browsere med forskellige plug-ins for at få det til at se ud, som om du er flere personer. Telefonnumre: Hold op med at linke dit personlige telefonnummer til tjenester som instant messengers, applikationer til sociale medier og to-faktor-autentificering på tjenester. Gå enten videre og køb VOIP-nummer med Crypto, eller brug ting som Yubi Key til to-faktor-autentificering. E-mail-adresser: Det er nok det nemmeste: Brug flere e-mails under forskellige navne til forskellige formål. Hold tingene adskilt! Stilometri: Er anvendelsen af studiet af sproglig stil. Jeg kan f.eks. sige 10% eller 10 procent eller ti procent. Hver af disse er forskellige og kan bruges til at skjule din sande identitet. Og da jeg skrev dette indlæg, kunne jeg nemt være gået til en oversættelsestjeneste og have gjort dette. Oversæt fra engelsk til russisk, fra russisk til spansk, fra spansk til finsk og fra finsk til engelsk. Det vil ændre teksten og gøre den meget anderledes (stilmæssigt) end det, du oprindeligt skrev, du skal bare stavekontrollere den. Bedrag og løgne: Ikke den slags, du forventer. Lad os sige, at du er Dread-bruger, og at du vil nævne et kæledyr, du har, for at komme med en pointe i en diskussion. Det betragtes som dårlig OPSEC at sige "Hey, jeg har en sort kat!", men sig i stedet, at du har en hvid hund. På den måde kan du stadig sige, at mit kæledyr har gjort X, Y eller Z. Men uden at afsløre faktiske oplysninger om dig. At foretage sådanne subtile ændringer af detaljer er afgørende, hvis du vil holde dig skjult. Citat: Sun Tzu "Engager folk med det, de forventer; det er det, de er i stand til at skelne og bekræfter deres projektioner. Det får dem til at falde til ro i forudsigelige reaktionsmønstre og optager deres tanker, mens du venter på det ekstraordinære øjeblik, som de ikke kan forudse."
Alt, hvad jeg har sagt her, er en form for misinformation på den ene eller anden måde. Ved at bruge disse teknikker kommer du til at fremstå som flere personer i stedet for kun én. Men alt dette vil ikke hjælpe dig, hvis du ikke gør ordentlig brug af kompartmentalisering. 2.4 Kompartmentalisering Hvorfor anses Qubes OS for at være et af de mest sikre operativsystemer, der findes i dag? Fordi det gør brug af kompartmentalisering. At holde tingene adskilt er nok den bedste måde at undgå, at nogen sporer dig. Hvad mener jeg med det? Lad os sige, at du har købt en engangstelefon og et SIM-kort med kontanter på et sted uden sikkerhedskameraer, og at du planlægger at bruge den som en fældetelefon. Du kan roligt gå ud fra, at telefonen er anonym, hvad dig angår. Men hvis du ringer til din mor, din ægtefælle eller dit barn med den telefon, bliver den brændt med det samme. Der er en log et eller andet sted derude om det opkald, og du kan være sikker på, at den vil blive fundet af politiet. Det er ligegyldigt, om du er hacker, markedsadministrator, forumadministrator, almindelig bruger eller bare et privatlivsbevidst individ, for det gælder for alle. På samme måde som du ikke fortæller din familie, at du sælger kokain online, skal du anvende det på alle aspekter af dit digitale liv. Citat: Sun Tzu "Hvis din fjende er sikker på alle punkter, skal du være forberedt på ham. Hvis han er overlegen i styrke, så undvig ham. Hvis din modstander er temperamentsfuld, så forsøg at irritere ham. Lad som om du er svag, så han kan blive arrogant. Hvis han tager det roligt, så giv ham ingen hvile. Hvis hans styrker er forenede, så skil dem ad. Hvis hersker og undersåt er enige, så skab splid mellem dem. Angrib ham, hvor han er uforberedt, og vis dig, hvor du ikke er ventet."
Et andet eksempel på opdeling er dette. Vi kender alle sammen alle slags mennesker, fra junkier til fyre med en ph.d. og endda alt derimellem. Alle har en ven, som de ryger hash med, en ven, som de går ud og drikker med, en ven, som de kan tage med hjem for at møde dine forældre osv. Det er sådan, det foregår. Nogle ting i livet kan simpelthen ikke blandes. Så lad være med at blande dine online-identiteter, for hvis du gør det, vil de før eller siden blive bundet sammen og føre tilbage til dig.
2.5 Sikkerhed er ikke praktisk
Som du måske kan udlede af alt det, jeg har skrevet, er sikkerhed ikke praktisk, og du kan ikke få begge dele. Men hvis du anvender disse eller lignende mønstre i dit digitale liv, vil det forbedre din driftssikkerhed eksponentielt.
Husk på, at jeg ikke engang har kradset i overfladen, men jeg har sagt nok til at få dig til at tænke på din egen OPSEC. Undgå single point of failure, håndhæv brugen af PGP, når du sender vigtige oplysninger, brug fuld diskkryptering, skift dine adgangskoder regelmæssigt, bland ikke kriminalitet og privatliv, brug open source-software i stedet for closed source, og vigtigst af alt, hold din forbandede kæft!
Ingen har brug for at vide, hvad du har gjort, hvad du har tænkt dig at gøre, hvor dit lager er, hvor mange penge eller stoffer du har og så videre. En klog mand sagde engang: En fisk med lukket mund bliver aldrig fanget.
3 D. U.M.B.
Denne del handler om fysisk operationel sikkerhed, og du undrer dig måske over, hvad D.U.M.B. står for? Det er ganske enkelt Deep Underground Military Bases. Jeg brugte det som en reference til en uigennemtrængelig bygning, som din OPSEC bør være. For det er ligegyldigt, hvor god din digitale OPSEC er, hvis din fysiske er forfærdelig og vice versa.
Før jeg dykker ned i dette afsnit, bør alle, der ligesom jeg elsker at bryde pengeskabe og låse op, helt sikkert tjekke bøger skrevet af Jayson Street kaldet Dissecting the Hack: F0rb1dd3n Network og Dissecting the Hack: STARS (Security Threats Are Real). Han gør et godt stykke arbejde med at forklare vigtigheden af både digital og fysisk sikkerhed og konsekvenserne af at se bort fra nogen af delene. Også The Complete Book of Locks and Locksmithing, Seventh Edition og Master Locksmithing: An Experts Guide er sjov læsning fyldt med information.
Hvad er fysisk OPSEC (almindeligvis kaldet analouge), og hvorfor er det så vigtigt? Tja, analouge OPSEC er som når du bruger markeder til at bestille nogle stoffer, du lader ikke den enhed være logget ind og uden opsyn, du lader ikke dine døre være ulåste, når du forlader huset, alt det er analouge OPSEC. Folk har normalt en tendens til at se bort fra det som mindre vigtigt, men tag ikke fejl, det er lige så vigtigt som digitalt.
Ligesom med digital sikkerhed kan jeg kun give dig forslag og få dig til at tænke, da alle situationer og trusselsmodeller er forskellige.
Lad os antage, at du er forhandler, at du ikke arbejder med markeder, men foretrækker den gammeldags måde. Jeg vil liste nogle råd, som du måske kan bruge:
Tal ikke for meget om, hvor dit skjulested er, hvor meget vægt du har, om du er bevæbnet eller ej osv. Alle disse ting kan være en grund til, at du bliver bortført, tortureret eller dræbt.
Skid ikke,hvor du spiser, slang ikke dope i dit eget hood. Det er bare dårlig praksis generelt, flyt din virksomhed til den anden side af byen.
Lad være med at være venner medklienter, du ikke kan være venner med misbrugere. De kan være det ene eller det andet, ikke begge dele. For misbrugere lægger sig ned og synger, hvis de bliver taget. At have en misbruger som ven er en god måde at sikre sig en lang ferie i et hvilket som helst fængsel verden over.
Vid,hvornår du skal give op - det er nok det vigtigste. Hvis noget føles forkert, er det nok fordi, det er det. Stol på din mavefornemmelse, og vid, at det ikke altid er en dårlig ting at træde tilbage. Som Frank Lucas fik at vide af sin leverandør: At give op og at give op, mens du er foran, er ikke det samme, Frank.
Arbejd ikke med en vens ven af en ven, de er sandsynligvis undercover-betjente.
Tænk fremad Altid, og jeg mener altid, hav en exitplan. Uanset om det er et forfalsket pas, 50.000 i kontanter og en billet til en sydafrikansk ø, der ikke har en udleveringsaftale med nogen. Eller en udbetaling på et par hundrede tusinde til den dyreste advokat i byen. Bare sørg for at have en plan.
Dette er blot nogle af de ting, du skal holde øje med. Der er bogstaveligt talt tonsvis af flere råd til forskellige erhverv, men hvis jeg bliver ved, når jeg ikke at lægge dem ud i tide. Bare husk, at alt kan brydes ind i, hackes, låses eller udnyttes.
3.1 Gode eksempler på OPSEC-fejl
Lad os tale om nogle OPSEC-fiaskoer. For kloge mennesker lærer af andres fejl, ikke af deres egne. På grund af det faktum, at i arbejdsområder på dark-net kan det være din første og sidste.
DreadPirateRoberts (Ross Ulbricht) var en revolutionær, ekstremt intelligent, men slet ikke nødvendigvis klog. Blandt de mange dumme ting, han gjorde, var at bruge en forkert konfigureret CAPTCHA-server i en lang periode, sende smuglergods til sin hjemmeadresse, reklamere for Silk Road på Shroomery ved hjælp af sin egen gmail-adresse, blive venner med en tidligere undercover (korrupt) DEA-agent (som senere afpressede ham for penge), føre logbog over alle sine samtaler og en detaljeret dagbog over sine Silk Road-eventyr. Men det mest fatale var, at han ikke var opmærksom på sine omgivelser. For det meste drev han Silk Road fra det komfortable San Forensics Public Library, og der, hvor det gik galt, sad han ved et bord med ryggen til lokalet. Mens to FBI-agenter iscenesatte et skænderi mellem et par, kom deres kolleger bagfra og tog hans lap top, før han kunne nå at slukke den og starte krypteringsprocessen. Han dokumenterede stort set alle sine forbrydelser, så lad være med at være DPR.
Shiny Flakes (tysk sælger) 20-årig, som skabte en af de største kokainhandelsoperationer i Tyskland på det tidspunkt. Politiet konfiskerede mere end en halv million i forskellige valutaer og en ufattelig mængde stoffer, alt sammen opbevaret i hans soveværelse. Og hans største OPSEC-fejl var, at han sendte alle sine forsendelser fra den samme DHL-forpost. Han gemte også alt i klartekst (ordrer, kunder, økonomi, loginoplysninger osv.) på et ukrypteret drev.
Sabu (Hector Xavier Monsegur) LulzSEC glemte at bruge TOR til at oprette forbindelse til en IRC-server, der blev overvåget af FBI. De fik hans IP-adresse fra hans internetudbyder, og et korrelationsangreb senere blev han lagt i håndjern og opgav sine venner til gengæld for en tilståelsesaftale. Vær ikke en stikker, stå ved dine fejl.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) lejede blandt mange andre dumme ting servere med en e-mailadresse, som han brugte til at åbne en PayPal-konto, som han så brugte til at betale for sin kones blomster. Men det er ikke alt. Han rejste med sin arbejdslaptop, som indeholdt hundredtusindvis af kreditkort, men det er ikke så slemt, da han havde kryptering. Desværre blev hans password Ochko123 gættet af politiet, da det var det samme på hans e-mail, tror jeg. Så lad være med at have dit arbejde med, når du rejser, bland ikke kriminalitet og kærlighedsliv, og genbrug for helvede ikke adgangskoder. Lad være med at være BulbaCC.
Willy Clock (Ryan Gustefson, ugandisk falskmøntner ) genbrugte sin personlige e-mail, som han brugte til at ansøge om amerikansk statsborgerskab, til en Face-book-konto, som han brugte til at sælge falske sedler fra. Han uploadede også sit eget billede til den konto. Jeg har ikke engang noget at sige til den her.
FrecnhMaid aka nob (DEA-agent fra DRP-sagen) brugte sin arbejdslaptop til at afpresse Ross Ulbricht, og du kan nok gætte, hvordan det gik. Han flyttede bl.a. pengene til bankkonti i sit eget navn i lande, der ikke har strenge love om bankhemmelighed. Han fik, hvad han fortjente.
Alexandre Cazes (AlphaBay-administrator) brugte en personlig e-mailadresse til e-mails om nulstilling af AlphaBay-adgangskoder, opbevarede alle data i ukrypteret format på sin enhed og hostede Alphabay-servere i Quebec, Canada, i sit eget navn.
3.2 - Uundgåelig fiasko, efterspil og oprydning
Dette er det sidste kapitel i dette indlæg, der handler om den uundgåelige fiasko, og hvad man skal gøre bagefter. Vi er alle mennesker, hvilket betyder, at du før eller siden vil begå en fejl. Vil det være enden på dig? Det kommer an på, men det vigtigste er at vide, hvordan man rydder op efter sig selv.
Her er et tilbagevendende eksempel på at kvaje sig, og hvordan du kan komme videre bagefter, men husk, at dette er en spekulativ situation, og du skal vide, at jeg ikke kan forudsige alle mulige udfald.
Kontrolleret levering - er den situation, hvor politiet beslaglægger din ordre, men lader postvæsenet fortsætte med at levere din pakke for at tage dig på fersk gerning. Normalt for at forsøge at tvinge dig til at vende om. Der er normalt to udfald af en sådan situation, hvis du har et par ordrer under bæltet, det tager mistænkeligt lang tid for pakken at blive leveret, og den var stationeret i dagevis på samme sted.
Du kan enten ikke vide det, kvittere for pakken og blive afsløret inden for få sekunder. Eller du kan nægte at modtage pakken, og i så fald har de ingenting. Hvis du tror, at der er tale om en kontrolleret levering, er det bedste, du kan gøre, at fjerne alle beviser på en sådan aktivitet fra dine enheder og dit hjem. For du kan være sikker på, at adressen er brændt, og det er du også.
Hvad mener jeg med at fjerne beviser? Gode gamle datamakuleringsmaskiner er altid vejen frem, men hvis du havde nogle kritiske oplysninger, som aldrig må falde i fjendens hænder, er det bedste altid at skaffe sig af med den pågældende SSD/HDD. Først skal du makulere dataene (det anbefales at gøre det mindst 7 gange), og derefter skal du makulere disken. Normalt vil det være nok at brænde den. Det er altid bedst at ødelægge enheden, så ingen kan foretage retsmedicinske undersøgelser og grave dataene frem. For ingen ny, skinnende enhed (laptop, computer, hdd, ssd osv.) er mere værd end din frihed.
Pointen er, at hvis noget føles forkert, er det fordi, det sandsynligvis er det! Vær på vagt, bestil ikke til din hjemmeadresse, spil spillet og lad ikke spillet spille dig.
