Συντάχθηκε από τον/την scribe_TS NOT ME
.....1.1 Ποιος είμαι εγώ
.....1.2 Ορισμός της επιχειρησιακής ασφάλειας
2 - Πόλεμος παραπληροφόρησης (ψηφιακός)
.....2.1 Αρχαία παραπληροφόρηση
.....2.2 Πώς σας παρακολουθούν
.....2.3 Πώς να χρησιμοποιήσετε την παραπληροφόρηση προς όφελός σας
.....2.4 Διαμερισματοποίηση
.....2.5 Η ασφάλεια δεν είναι βολική
3 - D.U.M.B. (Φυσική)
.....3.1 Πρωταρχικά παραδείγματα αποτυχίας της OPSEC
.....3.2 Αναπόφευκτες αποτυχίες, επακόλουθα και καθαρισμός
1.1 - Ποιος είμαι εγώ
"Είμαι απλά μια ακόμη ηχώ στο κενό".
1.2 - Ορισμός της επιχειρησιακής ασφάλειας
Σύμφωνα με τον ορισμό η επιχειρησιακή ασφάλεια προέρχεται από τον στρατιωτικό όρο procedural security, προέκυψε ως όρος που περιέγραφε στρατηγικές για την αποτροπή πιθανών αντιπάλων από το να ανακαλύψουν κρίσιμα δεδομένα που σχετίζονται με τις επιχειρήσεις. Η οποία είναι μια αναλυτική διαδικασία που ταξινομεί τα περιουσιακά στοιχεία πληροφοριών και καθορίζει τον έλεγχο που απαιτείται για την παροχή αυτών των περιουσιακών στοιχείων.
Ίσως αναρωτηθείτε γιατί επιλέγω να γράψω τόσο για τη φυσική όσο και για την ψηφιακή επιχειρησιακή ασφάλεια; Η απλούστερη απάντηση είναι ότι είναι αλληλένδετες και δεν μπορούν να διαχωριστούν κατά τη γνώμη μου. Εάν έχετε τη μία αλλά όχι την άλλη, είναι σαν να μην έχετε καμία.
2 - Πόλεμος παραπληροφόρησης
2.1 - Αρχαία παραπληροφόρηση
Από την αυγή των ανθρώπων, η παραπληροφόρηση χρησιμοποιήθηκε ως όπλο και μάλιστα το πιο αποτελεσματικό. Αν είστε βιβλιοφάγος όπως εγώ, σας προτείνω να διαβάσετε την Τέχνη του Πολέμου του Sun Tzu, το βιβλίο αυτό ακόμα και μετά από χιλιάδες χρόνια από τότε που γράφτηκε έχει θεωρίες και πρακτικές που μπορούν να εφαρμοστούν στον σύγχρονο κόσμο. Γιατί σας το λέω αυτό; Επειδή θα ξεκινήσουμε το θέμα με ένα από τα αποφθέγματά του.
Απόσπασμα: Σουν Τζου
"Όλες οι πολεμικές επιχειρήσεις βασίζονται στην εξαπάτηση. Ως εκ τούτου, όταν είμαστε σε θέση να επιτεθούμε, πρέπει να φαινόμαστε ανίκανοι- όταν χρησιμοποιούμε τις δυνάμεις μας, πρέπει να φαινόμαστε ανενεργοί- όταν είμαστε κοντά, πρέπει να κάνουμε τον εχθρό να πιστέψει ότι είμαστε μακριά- όταν είμαστε μακριά, πρέπει να τον κάνουμε να πιστέψει ότι είμαστε κοντά".
Ένα από τα πιο κραυγαλέα παραδείγματα αυτού μας οδηγεί πίσω στην αρχαία Ρώμη και στο τέλος της Δημοκρατίας, όταν σχεδόν ένας αιώνας εμφυλίου πολέμου, χάους και πολιτικών δολοφονιών είχε οδηγήσει τη ρωμαϊκή κυβέρνηση στο χείλος της κατάρρευσης. Ήταν η εποχή της λεγόμενης Δεύτερης Τριανδρίας. Πριν από περίπου 2000 χρόνια, η Ρωμαϊκή Δημοκρατία βρισκόταν αντιμέτωπη με έναν εμφύλιο πόλεμο μεταξύ του Οκταβιανού, υιοθετημένου γιου του μεγάλου στρατηγού Ιουλίου Καίσαρα, και του Μάρκου Αντωνίου, ενός από τους πιο έμπιστους διοικητές του Καίσαρα. Για να κερδίσει τον πόλεμο, ο Οκταβιανός ήξερε ότι έπρεπε να έχει το κοινό με το μέρος του, η νίκη σε σημαντικές μάχες βοηθούσε, αλλά αν ο λαός δεν τον συμπαθούσε, δεν θα ήταν επιτυχημένος κυβερνήτης. Για να κερδίσει την υποστήριξη του κοινού, ο Οκταβιανός εξαπέλυσε πόλεμο με ψεύτικες ειδήσεις εναντίον του Μάρκου Αντωνίου. Ισχυρίστηκε ότι ο Αντώνιος, ο οποίος διατηρούσε δεσμό με την Κλεοπάτρα, την Αιγύπτια βασίλισσα, δεν σεβόταν τις παραδοσιακές ρωμαϊκές αξίες, όπως η πίστη και ο σεβασμός. Ο Οκταβιανός είπε επίσης ότι ήταν ακατάλληλος για να κατέχει το αξίωμα επειδή ήταν πάντα μεθυσμένος. Ο Οκταβιανός μετέφερε το μήνυμά του στο κοινό μέσω της ποίησης και των σύντομων, εύστοχων συνθημάτων που τυπώθηκαν σε νομίσματα. Ο Οκταβιανός κέρδισε τελικά τον πόλεμο και έγινε ο πρώτος αυτοκράτορας της Ρώμης, κυβερνώντας για πάνω από 50 χρόνια. Αλλά, παρακάμπτω, οπότε ας επιστρέψουμε σε αυτό για το οποίο ήρθατε εδώ. Σήμερα είναι πολύ πιο εύκολο να διεξάγεις πόλεμο παραπληροφόρησης από ό,τι πριν από 2000 χρόνια, προφανώς. Τώρα, για να παραλείψουμε τα μαθήματα ιστορίας και να πάμε στη σύγχρονη εποχή, εδώ είναι ένα παράδειγμα παραπληροφόρησης. Οι αγορές που θέλουν να διεξάγουν exit-scam συνήθως απενεργοποιούν τις αναλήψεις λόγω κάποιων τεχνικών προβλημάτων από την πλευρά τους, διατηρώντας εν τω μεταξύ τις καταθέσεις σε λειτουργία, ενώ διοχετεύουν τα κεφάλαια σε κάποιο πορτοφόλι εκτός τοποθεσίας. 2.2 - Πώς σας παρακολουθούν Στη δυστοπική κοινωνία που ζούμε σήμερα, η επιτήρηση αποτελεί σημαντικό μέρος του τρόπου με τον οποίο οι κυβερνήσεις κρατούν τον απλό λαό σε τάξη. Για να καταλάβουμε πώς μπορούμε να χρησιμοποιήσουμε την παραπληροφόρηση εναντίον τους, πρέπει πρώτα να καταλάβουμε πώς μας παρακολουθούν. Οι οντότητες που μας παρακολουθούν (κυβερνητικές υπηρεσίες, τεχνολογικοί όμιλοι και εταιρείες εξόρυξης δεδομένων) βασίζονται στο ότι διαρρέετε μικρά κομμάτια δεδομένων τα οποία χρησιμοποιούν για να σας σκιαγραφήσουν στο διαδίκτυο και να αντιστοιχίσουν το όνομα χρήστη με τον πραγματικό χρήστη. Η αντιστοίχιση του περιεχομένου σε βάσεις δεδομένων είναι απλή υπόθεση αν υπάρχει κάποιο είδος ευρετηρίου για το περιεχόμενο. Τα πιο συνηθισμένα κομμάτια δεδομένων που χρησιμοποιούνται για να σας εντοπίσουν στο καθαρό και στο σκοτεινό δίκτυο είναι τα εξής: Ονόματα (τόσο πραγματικά όσο και ονόματα χρηστών)
διευθύνσεις IP
Αποτύπωμα προγράμματος περιήγησης
Διεύθυνση ηλεκτρονικού ταχυδρομείου
Τοποθεσία (ακριβής ή κατά προσέγγιση)
Αριθμοί τηλεφώνου
Ημερομηνία γέννησης (ή οποιοδήποτε άλλο PII)
Stylometry
Αναγνώριση προσώπου
Είναι σημαντικό να καταλάβετε ότι μόνο η χρήση δύο στοιχείων από όλα αυτά αρκεί για να σας εντοπίσουν. Επομένως, η δουλειά σας είναι να τους αρνηθείτε να πάρουν δύο πραγματικά στοιχεία, αν θέλετε να παραμείνετε ανώνυμοι. 2.3 - Πώς να χρησιμοποιήσετε την παραπληροφόρηση προς όφελός σας Εντάξει, γνωρίζουμε πώς μας παρακολουθούν. Ας μιλήσουμε εν συντομία για το πώς μπορούμε να χρησιμοποιήσουμε την παραπληροφόρηση για να καταστήσουμε πολύ πιο δύσκολο για αυτές τις οντότητες να σας εντοπίσουν. Ονόματα: Μην χρησιμοποιείτε το πραγματικό σας όνομα οπουδήποτε στο διαδίκτυο και αποφύγετε τους ιστότοπους που απαιτούν ένα τέτοιο όνομα. Βασιστείτε σε ψευδώνυμα, το ψευδοανώνυμο είναι καλύτερο από το να σας πιάσουν με κατεβασμένα τα παντελόνια. Διεύθυνση IP: Καλύψτε τη διεύθυνση IP σας χρησιμοποιώντας Tor, VPN, VPS, RDP ή proxy. Ανάλογα με το τι πραγματικά κάνετε, ίσως να θέλετε να συνδυάσετε κάποια από αυτά. Το θέμα είναι να χρησιμοποιείτε ό,τι έχετε στη διάθεσή σας για να κάνετε τη ζωή τους πιο δύσκολη. Δακτυλικό αποτύπωμα προγράμματος περιήγησης: Αυτό είναι ίσως το πιο δύσκολο να το αποκρύψετε αν δεν είστε τεχνικός μάγος. Αλλά, μπορείτε πάντα να χρησιμοποιείτε διάφορα προγράμματα περιήγησης με διαφορετικά plug-ins για να φαίνεται σαν να είστε πολλά άτομα. Αριθμοί τηλεφώνου: Σταματήστε να συνδέετε τον προσωπικό σας αριθμό τηλεφώνου με υπηρεσίες όπως οι instant messengers, οι εφαρμογές κοινωνικής δικτύωσης και ο έλεγχος ταυτότητας δύο παραγόντων σε υπηρεσίες. Είτε προχωρήστε στην αγορά αριθμού VOIP με Crypto είτε χρησιμοποιήστε πράγματα όπως το Yubi Key για έλεγχο ταυτότητας δύο παραγόντων. Διευθύνσεις ηλεκτρονικού ταχυδρομείου: Πιθανότατα το πιο εύκολο, χρησιμοποιήστε πολλά e-mail με διαφορετικά ονόματα για διαφορετικούς σκοπούς. Κρατήστε τα πράγματα χωριστά! Στυλομετρία: Είναι η εφαρμογή της μελέτης του γλωσσικού ύφους. Για παράδειγμα, μπορώ να πω 10% ή 10% ή δέκα τοις εκατό ή δέκα τοις εκατό. Κάθε ένα από αυτά είναι διαφορετικό και μπορεί να χρησιμοποιηθεί για να αποκρύψει την πραγματική σας ταυτότητα. Επίσης, όταν έγραψα αυτή τη θέση, θα μπορούσα εύκολα να πάω σε κάποια μεταφραστική υπηρεσία και να το κάνω αυτό. Να μεταφράσω από τα αγγλικά στα ρωσικά, από τα ρωσικά στα ισπανικά, από τα ισπανικά στα φινλανδικά, από τα φινλανδικά στα αγγλικά. Αυτό θα γκρεμίσει το κείμενο και θα το κάνει πολύ διαφορετικό(στυλομετρικά) από αυτό που έγραψες αρχικά, απλά πρέπει να κάνεις ορθογραφικό έλεγχο. Εξαπάτηση και ψέματα: Δεν είναι το είδος που περιμένετε. Ας πούμε λοιπόν ότι είστε χρήστης του Dread και θέλετε να αναφέρετε ένα κατοικίδιο που έχετε για να κάνετε κάποιο σχόλιο σε μια συζήτηση. Τώρα, θεωρείται κακό OPSEC να πείτε "Έι, έχω μια μαύρη γάτα!", αντί να πείτε ότι έχετε έναν λευκό σκύλο. Με αυτόν τον τρόπο μπορείτε ακόμα να πείτε ότι το κατοικίδιό μου έχει κάνει το Χ, το Υ ή το Ζ. Αλλά χωρίς να αποκαλύψετε πραγματικές πληροφορίες για εσάς. Το να κάνετε τέτοιες λεπτές αλλαγές στις λεπτομέρειες είναι ζωτικής σημασίας αν θέλετε να παραμείνετε κρυμμένοι. Απόσπασμα: Είναι αυτό που είναι σε θέση να διακρίνουν και επιβεβαιώνει τις προβλέψεις τους. Τους εγκαθιστά σε προβλέψιμα μοτίβα αντίδρασης, απασχολώντας το μυαλό τους, ενώ εσείς περιμένετε την εξαιρετική στιγμή εκείνο που δεν μπορούν να προβλέψουν".
Όλα όσα είπα εδώ είναι ένα είδος παραπληροφόρησης με τον ένα ή τον άλλο τρόπο. Η χρήση αυτών των τεχνικών σας κάνει να εμφανίζεστε ως πολλά άτομα αντί για ένα μόνο. Αλλά όλα αυτά δεν θα σας βοηθήσουν αν δεν κάνετε σωστή χρήση της διαμερισματοποίησης. 2.4 Διαμερισματοποίηση Γιατί το Qubes OS θεωρείται ένα από τα πιο ασφαλή λειτουργικά συστήματα που υπάρχουν σήμερα; Επειδή κάνει χρήση της διαμερισματοποίησης. Το να κρατάτε τα πράγματα χωριστά είναι ίσως ο καλύτερος τρόπος για να αποφύγετε να σας παρακολουθεί κάποιος. Τι εννοώ με αυτό; Ας υποθέσουμε ότι αγοράσατε ένα τηλέφωνο καυστήρα και μια κάρτα SIM, με μετρητά, σε τοποθεσία χωρίς κάμερες ασφαλείας και σκοπεύετε να το χρησιμοποιήσετε ως τηλέφωνο-παγίδα. Μπορείτε με ασφάλεια να υποθέσετε ότι το τηλέφωνο αυτό είναι ανώνυμο όσον αφορά εσάς. Αλλά, αν καλέσετε τη μητέρα σας, τη σύζυγο ή το παιδί σας με αυτό το τηλέφωνο, θα καεί αμέσως. Υπάρχει κάπου εκεί έξω ένα αρχείο καταγραφής αυτής της κλήσης και μπορείτε να είστε σίγουροι ότι θα βρεθεί από τις διωκτικές αρχές. Δεν έχει σημασία αν είστε χάκερ, διαχειριστής της αγοράς, διαχειριστής του φόρουμ, απλός χρήστης ή απλά άτομο που έχει συνείδηση της ιδιωτικής ζωής, γιατί αυτό ισχύει για όλους. Με τον ίδιο τρόπο που δεν λέτε στην οικογένειά σας ότι πουλάτε κοκαΐνη στο διαδίκτυο, εφαρμόστε το σε κάθε πτυχή της ψηφιακής σας ζωής. Απόσπασμα: Sun Tzu "Αν ο εχθρός σου είναι ασφαλής σε όλα τα σημεία, να είσαι προετοιμασμένος γι' αυτόν. Αν είναι σε ανώτερη δύναμη, αποφύγετε τον. Αν ο αντίπαλός σας είναι οξύθυμος, επιδιώξτε να τον ερεθίσετε. Προσποιήσου ότι είσαι αδύναμος, ώστε να γίνει αλαζόνας. Αν αναπαύεται, μην τον αφήσετε να ξεκουραστεί. Αν οι δυνάμεις του είναι ενωμένες, χωρίστε τις. Αν ο ηγεμόνας και ο υπήκοος είναι σύμφωνοι, βάλτε διαίρεση ανάμεσά τους. Επιτεθείτε του εκεί που είναι απροετοίμαστος, εμφανιστείτε εκεί που δεν σας περιμένουν".
Ένα άλλο παράδειγμα διαμερισματοποίησης είναι το εξής. Όλοι γνωρίζουμε όλων των ειδών τους ανθρώπους, από πρεζόνια μέχρι τύπους με διδακτορικό και ακόμη και όλα τα ενδιάμεσα. Όλοι έχουν έναν φίλο με τον οποίο καπνίζουν χόρτο, έναν φίλο με τον οποίο βγαίνουν για ποτό, φίλους που μπορούν να φέρουν στο σπίτι για να γνωρίσουν τους γονείς σας κ.λπ. Έτσι γίνεται αυτό. Μερικά πράγματα στη ζωή απλά δεν συνδυάζονται. Γι' αυτό μην αναμειγνύετε τις διαδικτυακές σας ταυτότητες, γιατί αν το κάνετε, αργά ή γρήγορα θα συνδεθούν μεταξύ τους και θα επιστρέψουν σε εσάς.
2.5 Η ασφάλεια δεν είναι βολική
Όπως θα μπορούσατε να έχετε συμπεράνει από όλα όσα έγραψα, η ασφάλεια δεν είναι βολική και δεν μπορείτε να τα έχετε και τα δύο. Αλλά η εφαρμογή αυτών ή παρόμοιων μοτίβων στην ψηφιακή σας ζωή θα βελτιώσει εκθετικά την επιχειρησιακή σας ασφάλεια.
Λάβετε υπόψη ότι δεν έχω καν ξύσει την επιφάνεια, αλλά είπα αρκετά για να σας βάλω σε σκέψεις σχετικά με τη δική σας OPSEC. Αποφύγετε το ενιαίο σημείο αποτυχίας, επιβάλλετε τη χρήση PGP κατά τη μετάδοση σημαντικών πληροφοριών, χρησιμοποιήστε κρυπτογράφηση πλήρους δίσκου, αλλάξτε τους κωδικούς σας σε τακτική βάση, μην αναμειγνύετε το έγκλημα με την προσωπική ζωή, χρησιμοποιήστε λογισμικό ανοικτού κώδικα σε αντίθεση με το κλειστό και το πιο σημαντικό πράγμα κρατήστε το γαμημένο στόμα σας κλειστό!
Κανείς δεν χρειάζεται να ξέρει τι έχετε κάνει, τι πρόκειται να κάνετε, πού βρίσκεται η κρυψώνα σας, πόσα χρήματα ή ναρκωτικά έχετε και ούτω καθεξής. Ένας σοφός άνθρωπος είπε κάποτε: Ένα ψάρι με κλειστό στόμα δεν πιάνεται ποτέ.
3 D .U.M.B.
Αυτό το μέρος αφορά τη φυσική επιχειρησιακή ασφάλεια και ίσως αναρωτηθείτε τι σημαίνει D.U.M.B.; Είναι πολύ απλό, βαθιές υπόγειες στρατιωτικές βάσεις. Το χρησιμοποίησα ως αναφορά για το αδιαπέραστο κτίριο που θα πρέπει να είναι το OPSEC σας. Επειδή, δεν έχει σημασία πόσο καλή είναι η ψηφιακή σας OPSEC αν η φυσική σας είναι φρικτή και το αντίστροφο.
Πριν βουτήξω σε αυτή την ενότητα, όποιος έχει αγάπη για το σπάσιμο χρηματοκιβωτίων και την παραβίαση κλειδαριών όπως εγώ, θα πρέπει οπωσδήποτε να ελέγξει τα βιβλία που έγραψε ο Jayson Street με τίτλο Dissecting the Hack: F0rb1dd3n Network και Dissecting the Hack: STARS (Security Threats Are Real) κάνει αρκετά καλή δουλειά εξηγώντας τη σημασία τόσο της ψηφιακής όσο και της φυσικής ασφάλειας και των συνεπειών αγνοώντας οποιαδήποτε από τις μεταφορές. Επίσης, το The Complete Book of Locks and Locksmithing, Seventh Edition και το Master Locksmithing: An Experts Guide είναι διασκεδαστικά αναγνώσματα γεμάτα με πλούτο πληροφοριών.
Τι είναι η φυσική OPSEC (που συνήθως αναφέρεται ως analouge) και γιατί είναι τόσο σημαντική; Λοιπόν, το analouge OPSEC είναι όπως όταν χρησιμοποιείτε τις αγορές για να παραγγείλετε κάποια ναρκωτικά, δεν αφήνετε αυτή τη συσκευή συνδεδεμένη και χωρίς επιτήρηση, δεν αφήνετε τις πόρτες σας ξεκλείδωτες όταν βγαίνετε από το σπίτι, όλα αυτά είναι analouge OPSEC. Οι άνθρωποι τείνουν συνήθως να το αγνοούν ως λιγότερο σημαντικό, αλλά μην κάνετε κανένα λάθος το ίδιο σημαντικό με το ψηφιακό.
Ακριβώς όπως και στην ψηφιακή, μπορώ μόνο να σας δώσω προτάσεις και να σας βάλω σε σκέψεις, καθώς κάθε κατάσταση και κάθε μοντέλο απειλής είναι διαφορετικό.
Ας υποθέσουμε ότι είστε έμπορος, δεν κάνετε αγορές, προτιμάτε τον παραδοσιακό τρόπο. Θα σας παραθέσω μερικές συμβουλές που ίσως βρείτε χρήσιμες:
Μην μιλάτε πολύ για το πού βρίσκεται το καταφύγιό σας, πόσο βάρος έχετε, είστε οπλισμένοι ή όχι, κ.λπ. Όλα αυτά τα πράγματα μπορεί να είναι ένας λόγος για τον οποίο θα σας απαγάγουν, θα σας βασανίσουν ή θα σας σκοτώσουν.
Μην χέζετε εκεί που τρώτε, μην χέζετε ναρκωτικά στην ίδια σας τη γειτονιά. Αυτό είναι απλά κακή πρακτική γενικά, μετακινήστε την επιχείρησή σας στην άλλη άκρη της πόλης.
Μην είσαι φίλος με πελάτες που δεν μπορείς να είσαι φίλος με τοξικομανείς. Μπορούν να είναι το ένα ή το άλλο, όχι και τα δύο. Επειδή οι τοξικομανείς θα γυρίσουν και θα τραγουδήσουν αν τους πιάσουν. Το να έχετε έναν εθισμένο ως φίλο είναι ένας πολύ καλός τρόπος για να εξασφαλίσετε μακροχρόνιες διακοπές σε οποιοδήποτε σωφρονιστικό ίδρυμα παγκοσμίως.
Να ξέρετε πότε να τα παρα τήσετε αυτό είναι ίσως το πιο σημαντικό, αν κάτι σας φαίνεται λάθος, αυτό συμβαίνει επειδή μάλλον είναι. Εμπιστευτείτε το ένστικτό σας, να ξέρετε ότι το να κάνετε πίσω δεν είναι πάντα κάτι κακό. Όπως είπε ο προμηθευτής του στον Frank Lucas: Το να τα παρατάς και να τα παρατάς ενώ είσαι μπροστά δεν είναι το ίδιο Frank.
Μη δουλεύετε με φίλους φίλων φίλων φίλων, πιθανόν να είναι μυστικοί αστυνομικοί.
Σκεφτείτε μπροστά Πάντα, και εννοώ πάντα, να έχετε ένα σχέδιο εξόδου. Είτε πρόκειται για ένα πλαστό διαβατήριο, 50 χιλιάρικα σε μετρητά και ένα εισιτήριο για κάποιο νησί της Νότιας Αφρικής που δεν έχει συνθήκη έκδοσης με κανέναν. Ή προκαταβολή μερικών εκατοντάδων χιλιάδων στον πιο ακριβό δικηγόρο της πόλης. Απλά βεβαιωθείτε ότι έχετε ένα σχέδιο.
Αυτά είναι απλώς διάφορα πράγματα, για τα οποία πρέπει να έχετε το νου σας. Υπάρχουν κυριολεκτικά τόνοι περισσότερων συμβουλών για διάφορα επαγγέλματα, αλλά αν συνεχίσω έτσι, δεν θα προλάβω να τις δημοσιεύσω εγκαίρως. Απλά να έχετε κατά νου ότι οτιδήποτε μπορεί να παραβιαστεί, να χακαριστεί, να παραβιαστεί ή να γίνει αντικείμενο εκμετάλλευσης.
3.1 Πρωταρχικά παραδείγματα αποτυχίας του OPSEC
Ας μιλήσουμε για ορισμένες αποτυχίες του OPSEC. Επειδή, οι έξυπνοι άνθρωποι μαθαίνουν από τα λάθη των άλλων και όχι από τα δικά τους. Λόγω του γεγονότος ότι στις γραμμές εργασίας στο dark-net αυτό μπορεί να είναι το πρώτο και το τελευταίο σας.
Ο DreadPirateRoberts (Ross Ulbricht) ήταν ένας επαναστάτης, εξαιρετικά έξυπνος αλλά όχι απαραίτητα έξυπνος. Μεταξύ των πολλών ηλίθιων πραγμάτων που έκανε είναι: χρήση ενός λανθασμένα ρυθμισμένου διακομιστή CAPTCHA για μεγάλο χρονικό διάστημα, αποστολή λαθραίων εμπορευμάτων στη διεύθυνση του σπιτιού του, διαφήμιση του Silk Road στο Shroomery χρησιμοποιώντας τη δική του διεύθυνση gmail, φιλία με πρώην μυστικό (διεφθαρμένο) πράκτορα της DEA (ο οποίος αργότερα τον εκβίαζε για χρήματα), τήρηση αρχείων καταγραφής όλων των συνομιλιών του και λεπτομερές ημερολόγιο των περιπετειών του Silk Road. Αλλά, το πιο μοιραίο ήταν ότι δεν είχε επίγνωση του περιβάλλοντός του. Ως επί το πλείστον λειτουργούσε το Silk Road από την άνεση της Δημόσιας Βιβλιοθήκης του Σαν Φορνίκς, όπου έκανε λάθος καθόταν σε ένα τραπέζι με την πλάτη γυρισμένη στην αίθουσα. Ενώ δύο πράκτορες του FBI σκηνοθετούσαν ένα ζευγάρι που τσακωνόταν, οι συνάδελφοί τους όρμησαν από πίσω και άρπαξαν το lap top πριν προλάβει να το κλείσει και να ενεργοποιήσει τη διαδικασία κρυπτογράφησης. Ουσιαστικά κατέγραψε όλα τα εγκλήματά του μεταξύ άλλων, οπότε μην είστε DPR.
Shiny Flakes (Γερμανός πωλητής) 20χρονος που δημιούργησε μια από τις μεγαλύτερες επιχειρήσεις διακίνησης κοκαΐνης στη Γερμανία εκείνη την εποχή. Η αστυνομία κατέσχεσε πάνω από μισό εκατομμύριο σε διάφορα νομίσματα και μια αφάνταστη ποσότητα ναρκωτικών, όλα αποθηκευμένα στην κρεβατοκάμαρά του. Και η μεγαλύτερη αποτυχία του OPSEC ήταν ότι έστελνε όλες τις αποστολές του από το ίδιο φυλάκιο της DHL. Επίσης, αποθήκευε τα πάντα σε απλό κείμενο (παραγγελίες, πελάτες, οικονομικά στοιχεία, διαπιστευτήρια σύνδεσης κ.λπ.) σε μη κρυπτογραφημένο δίσκο.
ΟSabu (Hector Xavier Monsegur) LulzSEC ξέχασε να χρησιμοποιήσει το TOR για να συνδεθεί με τον διακομιστή IRC που παρακολουθείται από το FBI. Πήραν τη διεύθυνση IP του από τον ISP του, μια επίθεση συσχέτισης αργότερα του πέρασαν χειροπέδες και παρέδωσε τους φίλους του με αντάλλαγμα μια συμφωνία απολογίας. Μην γίνεσαι χαφιές, παραδέξου τις μαλακίες σου.
ΟnCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) ανάμεσα σε πολλές βλακείες που έκανε, νοίκιαζε διακομιστές με διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποίησε για να ανοίξει λογαριασμό PayPal, και στη συνέχεια χρησιμοποίησε αυτό το PayPal για να πληρώσει για τα λουλούδια της συζύγου του. Αλλά δεν είναι μόνο αυτό. Ταξίδευε με το φορητό υπολογιστή της δουλειάς του που περιείχε εκατοντάδες χιλιάδες πιστωτικές κάρτες, αλλά αυτό δεν είναι κακό αφού είχε κρυπτογράφηση. Δυστυχώς, ο κωδικός πρόσβασης Ochko123 μαντεύτηκε από τις διωκτικές αρχές, καθώς ήταν ο ίδιος στο e-mail του, πιστεύω. Έτσι, μην κουβαλάτε τη δουλειά σας όταν ταξιδεύετε, μην αναμειγνύετε το έγκλημα και την ερωτική ζωή, μην επαναχρησιμοποιείτε κωδικούς πρόσβασης. Μην γίνεστε BulbaCC.
ΟWilly Clock (Ryan Gustefson, πλαστογράφος από την Ουγκάντα) χρησιμοποίησε ξανά το προσωπικό e-mail που χρησιμοποίησε για να κάνει αίτηση για την υπηκοότητα των ΗΠΑ για ένα λογαριασμό στο Face-book από τον οποίο πουλούσε πλαστά χαρτονομίσματα. Επίσης, ανέβασε τη δική του φωτογραφία σε αυτόν τον λογαριασμό. Δεν έχω καν να πω κάτι γι' αυτόν.
Ο FrecnhMaid γνωστός και ως nob (πράκτορας της DEA από την υπόθεση DRP) χρησιμοποίησε το φορητό υπολογιστή της δουλειάς του για να εκβιάσει τον Ross Ulbricht, μπορείτε να μαντέψετε πώς πήγε αυτό. Μεταξύ άλλων μετέφερε τα χρήματα αυτά σε τραπεζικούς λογαριασμούς με το όνομά του, σε χώρες με μη αυστηρούς νόμους περί τραπεζικού απορρήτου. Πήρε αυτό που του άξιζε.
ΟAlexandre Cazes (διαχειριστής του AlphaBay) χρησιμοποίησε προσωπική διεύθυνση ηλεκτρονικού ταχυδρομείου για τα μηνύματα επαναφοράς κωδικού πρόσβασης του AlphaBay, διατηρούσε όλα τα δεδομένα αποθηκευμένα σε μη κρυπτογραφημένη μορφή στη συσκευή του, φιλοξενούσε διακομιστές του Alphabay στο Κεμπέκ του Καναδά με το δικό του όνομα.
3.2 - Αναπόφευκτη κωλοτούμπα, επακόλουθα και καθαρισμός
Αυτό είναι το τελευταίο κεφάλαιο αυτής της ανάρτησης που αγγίζει το αναπόφευκτο fuck up και το τι πρέπει να κάνετε μετά. Όλοι είμαστε άνθρωποι, πράγμα που σημαίνει ότι αργά ή γρήγορα θα κάνετε ένα λάθος. Θα είναι το τέλος σας; Εξαρτάται, αλλά το κυριότερο είναι να ξέρετε πώς να καθαρίζετε τα δικά σας χάλια.
Ακολουθεί ένα επαναλαμβανόμενο παράδειγμα σκατά και πώς μπορείτε να προχωρήσετε μετά, αλλά να έχετε κατά νου ότι πρόκειται για μια υποθετική κατάσταση και πρέπει να ξέρετε ότι δεν μπορώ να προβλέψω κάθε πιθανό αποτέλεσμα.
Ελεγχόμενη παράδοση - είναι η κατάσταση κατά την οποία η επιβολή του νόμου κατάσχει την παραγγελία σας, αλλά επιτρέπει στο ταχυδρομείο να προχωρήσει στην παράδοση του δέματός σας προκειμένου να σας πιάσει επ' αυτοφώρω. Συνήθως, για να προσπαθήσουν να σας αναγκάσουν να κάνετε στροφή. Συνήθως υπάρχουν δύο αποτελέσματα σε μια τέτοια κατάσταση, εάν έχετε μερικές παραγγελίες στο ενεργητικό σας, η παράδοση του δέματος διαρκεί ύποπτα πολύ και το δέμα βρισκόταν για μέρες στο ίδιο σημείο.
Μπορείτε είτε να μην ξέρετε, είτε να υπογράψετε για το πακέτο και να σας πιάσουν μέσα σε δευτερόλεπτα. Ή μπορείτε να αρνηθείτε την παραλαβή του πακέτου, οπότε δεν έχουν τίποτα. Τώρα, αν πιστεύετε ότι πρόκειται για ελεγχόμενη παράδοση, η καλύτερη ενέργεια είναι να απομακρύνετε κάθε στοιχείο τέτοιας δραστηριότητας από τις συσκευές σας και το σπίτι σας. Διότι, μπορείτε να είστε σίγουροι ότι η διεύθυνση έχει καεί και το ίδιο και εσείς.
Τι εννοώ με την εξάλειψη των αποδεικτικών στοιχείων; Οι καλοί παλιοί καταστροφείς δεδομένων είναι πάντα ο σωστός τρόπος, αλλά αν είχατε κάποιες κρίσιμες πληροφορίες που δεν πρέπει ποτέ να πέσουν σε εχθρικά χέρια, η καλύτερη πορεία δράσης είναι πάντα η απαλλαγή από τον εν λόγω SSD/HDD. Πρώτα, τεμαχίστε τα δεδομένα (συνιστάται τουλάχιστον 7 περάσματα) και, στη συνέχεια, τεμαχίστε το δίσκο. Συνήθως, η καύση του δίσκου σε τραγανή μορφή θα κάνει τη δουλειά. Είναι πάντα καλύτερο να καταστρέφετε τη συσκευή, ώστε κανείς να μην μπορεί να κάνει εγκληματολογική έρευνα και να ξεθάψει τα δεδομένα. Επειδή καμία καινούργια γυαλιστερή συσκευή (φορητός υπολογιστής, υπολογιστής, hdd, ssd κ.λπ.) δεν αξίζει περισσότερο από την ελευθερία σας.
Το θέμα είναι ότι, αν κάτι αισθάνεστε ότι δεν πάει καλά, είναι επειδή μάλλον είναι! Να είστε σε επαγρύπνηση, μην παραγγείλετε στη διεύθυνση του σπιτιού σας, παίξτε το παιχνίδι μην αφήσετε το παιχνίδι να σας παίξει.
.....1.1 Ποιος είμαι εγώ
.....1.2 Ορισμός της επιχειρησιακής ασφάλειας
2 - Πόλεμος παραπληροφόρησης (ψηφιακός)
.....2.1 Αρχαία παραπληροφόρηση
.....2.2 Πώς σας παρακολουθούν
.....2.3 Πώς να χρησιμοποιήσετε την παραπληροφόρηση προς όφελός σας
.....2.4 Διαμερισματοποίηση
.....2.5 Η ασφάλεια δεν είναι βολική
3 - D.U.M.B. (Φυσική)
.....3.1 Πρωταρχικά παραδείγματα αποτυχίας της OPSEC
.....3.2 Αναπόφευκτες αποτυχίες, επακόλουθα και καθαρισμός
1.1 - Ποιος είμαι εγώ
"Είμαι απλά μια ακόμη ηχώ στο κενό".
1.2 - Ορισμός της επιχειρησιακής ασφάλειας
Σύμφωνα με τον ορισμό η επιχειρησιακή ασφάλεια προέρχεται από τον στρατιωτικό όρο procedural security, προέκυψε ως όρος που περιέγραφε στρατηγικές για την αποτροπή πιθανών αντιπάλων από το να ανακαλύψουν κρίσιμα δεδομένα που σχετίζονται με τις επιχειρήσεις. Η οποία είναι μια αναλυτική διαδικασία που ταξινομεί τα περιουσιακά στοιχεία πληροφοριών και καθορίζει τον έλεγχο που απαιτείται για την παροχή αυτών των περιουσιακών στοιχείων.
Ίσως αναρωτηθείτε γιατί επιλέγω να γράψω τόσο για τη φυσική όσο και για την ψηφιακή επιχειρησιακή ασφάλεια; Η απλούστερη απάντηση είναι ότι είναι αλληλένδετες και δεν μπορούν να διαχωριστούν κατά τη γνώμη μου. Εάν έχετε τη μία αλλά όχι την άλλη, είναι σαν να μην έχετε καμία.
2 - Πόλεμος παραπληροφόρησης
2.1 - Αρχαία παραπληροφόρηση
Από την αυγή των ανθρώπων, η παραπληροφόρηση χρησιμοποιήθηκε ως όπλο και μάλιστα το πιο αποτελεσματικό. Αν είστε βιβλιοφάγος όπως εγώ, σας προτείνω να διαβάσετε την Τέχνη του Πολέμου του Sun Tzu, το βιβλίο αυτό ακόμα και μετά από χιλιάδες χρόνια από τότε που γράφτηκε έχει θεωρίες και πρακτικές που μπορούν να εφαρμοστούν στον σύγχρονο κόσμο. Γιατί σας το λέω αυτό; Επειδή θα ξεκινήσουμε το θέμα με ένα από τα αποφθέγματά του.
Απόσπασμα: Σουν Τζου
"Όλες οι πολεμικές επιχειρήσεις βασίζονται στην εξαπάτηση. Ως εκ τούτου, όταν είμαστε σε θέση να επιτεθούμε, πρέπει να φαινόμαστε ανίκανοι- όταν χρησιμοποιούμε τις δυνάμεις μας, πρέπει να φαινόμαστε ανενεργοί- όταν είμαστε κοντά, πρέπει να κάνουμε τον εχθρό να πιστέψει ότι είμαστε μακριά- όταν είμαστε μακριά, πρέπει να τον κάνουμε να πιστέψει ότι είμαστε κοντά".
Ένα από τα πιο κραυγαλέα παραδείγματα αυτού μας οδηγεί πίσω στην αρχαία Ρώμη και στο τέλος της Δημοκρατίας, όταν σχεδόν ένας αιώνας εμφυλίου πολέμου, χάους και πολιτικών δολοφονιών είχε οδηγήσει τη ρωμαϊκή κυβέρνηση στο χείλος της κατάρρευσης. Ήταν η εποχή της λεγόμενης Δεύτερης Τριανδρίας. Πριν από περίπου 2000 χρόνια, η Ρωμαϊκή Δημοκρατία βρισκόταν αντιμέτωπη με έναν εμφύλιο πόλεμο μεταξύ του Οκταβιανού, υιοθετημένου γιου του μεγάλου στρατηγού Ιουλίου Καίσαρα, και του Μάρκου Αντωνίου, ενός από τους πιο έμπιστους διοικητές του Καίσαρα. Για να κερδίσει τον πόλεμο, ο Οκταβιανός ήξερε ότι έπρεπε να έχει το κοινό με το μέρος του, η νίκη σε σημαντικές μάχες βοηθούσε, αλλά αν ο λαός δεν τον συμπαθούσε, δεν θα ήταν επιτυχημένος κυβερνήτης. Για να κερδίσει την υποστήριξη του κοινού, ο Οκταβιανός εξαπέλυσε πόλεμο με ψεύτικες ειδήσεις εναντίον του Μάρκου Αντωνίου. Ισχυρίστηκε ότι ο Αντώνιος, ο οποίος διατηρούσε δεσμό με την Κλεοπάτρα, την Αιγύπτια βασίλισσα, δεν σεβόταν τις παραδοσιακές ρωμαϊκές αξίες, όπως η πίστη και ο σεβασμός. Ο Οκταβιανός είπε επίσης ότι ήταν ακατάλληλος για να κατέχει το αξίωμα επειδή ήταν πάντα μεθυσμένος. Ο Οκταβιανός μετέφερε το μήνυμά του στο κοινό μέσω της ποίησης και των σύντομων, εύστοχων συνθημάτων που τυπώθηκαν σε νομίσματα. Ο Οκταβιανός κέρδισε τελικά τον πόλεμο και έγινε ο πρώτος αυτοκράτορας της Ρώμης, κυβερνώντας για πάνω από 50 χρόνια. Αλλά, παρακάμπτω, οπότε ας επιστρέψουμε σε αυτό για το οποίο ήρθατε εδώ. Σήμερα είναι πολύ πιο εύκολο να διεξάγεις πόλεμο παραπληροφόρησης από ό,τι πριν από 2000 χρόνια, προφανώς. Τώρα, για να παραλείψουμε τα μαθήματα ιστορίας και να πάμε στη σύγχρονη εποχή, εδώ είναι ένα παράδειγμα παραπληροφόρησης. Οι αγορές που θέλουν να διεξάγουν exit-scam συνήθως απενεργοποιούν τις αναλήψεις λόγω κάποιων τεχνικών προβλημάτων από την πλευρά τους, διατηρώντας εν τω μεταξύ τις καταθέσεις σε λειτουργία, ενώ διοχετεύουν τα κεφάλαια σε κάποιο πορτοφόλι εκτός τοποθεσίας. 2.2 - Πώς σας παρακολουθούν Στη δυστοπική κοινωνία που ζούμε σήμερα, η επιτήρηση αποτελεί σημαντικό μέρος του τρόπου με τον οποίο οι κυβερνήσεις κρατούν τον απλό λαό σε τάξη. Για να καταλάβουμε πώς μπορούμε να χρησιμοποιήσουμε την παραπληροφόρηση εναντίον τους, πρέπει πρώτα να καταλάβουμε πώς μας παρακολουθούν. Οι οντότητες που μας παρακολουθούν (κυβερνητικές υπηρεσίες, τεχνολογικοί όμιλοι και εταιρείες εξόρυξης δεδομένων) βασίζονται στο ότι διαρρέετε μικρά κομμάτια δεδομένων τα οποία χρησιμοποιούν για να σας σκιαγραφήσουν στο διαδίκτυο και να αντιστοιχίσουν το όνομα χρήστη με τον πραγματικό χρήστη. Η αντιστοίχιση του περιεχομένου σε βάσεις δεδομένων είναι απλή υπόθεση αν υπάρχει κάποιο είδος ευρετηρίου για το περιεχόμενο. Τα πιο συνηθισμένα κομμάτια δεδομένων που χρησιμοποιούνται για να σας εντοπίσουν στο καθαρό και στο σκοτεινό δίκτυο είναι τα εξής: Ονόματα (τόσο πραγματικά όσο και ονόματα χρηστών)
διευθύνσεις IP
Αποτύπωμα προγράμματος περιήγησης
Διεύθυνση ηλεκτρονικού ταχυδρομείου
Τοποθεσία (ακριβής ή κατά προσέγγιση)
Αριθμοί τηλεφώνου
Ημερομηνία γέννησης (ή οποιοδήποτε άλλο PII)
Stylometry
Αναγνώριση προσώπου
Είναι σημαντικό να καταλάβετε ότι μόνο η χρήση δύο στοιχείων από όλα αυτά αρκεί για να σας εντοπίσουν. Επομένως, η δουλειά σας είναι να τους αρνηθείτε να πάρουν δύο πραγματικά στοιχεία, αν θέλετε να παραμείνετε ανώνυμοι. 2.3 - Πώς να χρησιμοποιήσετε την παραπληροφόρηση προς όφελός σας Εντάξει, γνωρίζουμε πώς μας παρακολουθούν. Ας μιλήσουμε εν συντομία για το πώς μπορούμε να χρησιμοποιήσουμε την παραπληροφόρηση για να καταστήσουμε πολύ πιο δύσκολο για αυτές τις οντότητες να σας εντοπίσουν. Ονόματα: Μην χρησιμοποιείτε το πραγματικό σας όνομα οπουδήποτε στο διαδίκτυο και αποφύγετε τους ιστότοπους που απαιτούν ένα τέτοιο όνομα. Βασιστείτε σε ψευδώνυμα, το ψευδοανώνυμο είναι καλύτερο από το να σας πιάσουν με κατεβασμένα τα παντελόνια. Διεύθυνση IP: Καλύψτε τη διεύθυνση IP σας χρησιμοποιώντας Tor, VPN, VPS, RDP ή proxy. Ανάλογα με το τι πραγματικά κάνετε, ίσως να θέλετε να συνδυάσετε κάποια από αυτά. Το θέμα είναι να χρησιμοποιείτε ό,τι έχετε στη διάθεσή σας για να κάνετε τη ζωή τους πιο δύσκολη. Δακτυλικό αποτύπωμα προγράμματος περιήγησης: Αυτό είναι ίσως το πιο δύσκολο να το αποκρύψετε αν δεν είστε τεχνικός μάγος. Αλλά, μπορείτε πάντα να χρησιμοποιείτε διάφορα προγράμματα περιήγησης με διαφορετικά plug-ins για να φαίνεται σαν να είστε πολλά άτομα. Αριθμοί τηλεφώνου: Σταματήστε να συνδέετε τον προσωπικό σας αριθμό τηλεφώνου με υπηρεσίες όπως οι instant messengers, οι εφαρμογές κοινωνικής δικτύωσης και ο έλεγχος ταυτότητας δύο παραγόντων σε υπηρεσίες. Είτε προχωρήστε στην αγορά αριθμού VOIP με Crypto είτε χρησιμοποιήστε πράγματα όπως το Yubi Key για έλεγχο ταυτότητας δύο παραγόντων. Διευθύνσεις ηλεκτρονικού ταχυδρομείου: Πιθανότατα το πιο εύκολο, χρησιμοποιήστε πολλά e-mail με διαφορετικά ονόματα για διαφορετικούς σκοπούς. Κρατήστε τα πράγματα χωριστά! Στυλομετρία: Είναι η εφαρμογή της μελέτης του γλωσσικού ύφους. Για παράδειγμα, μπορώ να πω 10% ή 10% ή δέκα τοις εκατό ή δέκα τοις εκατό. Κάθε ένα από αυτά είναι διαφορετικό και μπορεί να χρησιμοποιηθεί για να αποκρύψει την πραγματική σας ταυτότητα. Επίσης, όταν έγραψα αυτή τη θέση, θα μπορούσα εύκολα να πάω σε κάποια μεταφραστική υπηρεσία και να το κάνω αυτό. Να μεταφράσω από τα αγγλικά στα ρωσικά, από τα ρωσικά στα ισπανικά, από τα ισπανικά στα φινλανδικά, από τα φινλανδικά στα αγγλικά. Αυτό θα γκρεμίσει το κείμενο και θα το κάνει πολύ διαφορετικό(στυλομετρικά) από αυτό που έγραψες αρχικά, απλά πρέπει να κάνεις ορθογραφικό έλεγχο. Εξαπάτηση και ψέματα: Δεν είναι το είδος που περιμένετε. Ας πούμε λοιπόν ότι είστε χρήστης του Dread και θέλετε να αναφέρετε ένα κατοικίδιο που έχετε για να κάνετε κάποιο σχόλιο σε μια συζήτηση. Τώρα, θεωρείται κακό OPSEC να πείτε "Έι, έχω μια μαύρη γάτα!", αντί να πείτε ότι έχετε έναν λευκό σκύλο. Με αυτόν τον τρόπο μπορείτε ακόμα να πείτε ότι το κατοικίδιό μου έχει κάνει το Χ, το Υ ή το Ζ. Αλλά χωρίς να αποκαλύψετε πραγματικές πληροφορίες για εσάς. Το να κάνετε τέτοιες λεπτές αλλαγές στις λεπτομέρειες είναι ζωτικής σημασίας αν θέλετε να παραμείνετε κρυμμένοι. Απόσπασμα: Είναι αυτό που είναι σε θέση να διακρίνουν και επιβεβαιώνει τις προβλέψεις τους. Τους εγκαθιστά σε προβλέψιμα μοτίβα αντίδρασης, απασχολώντας το μυαλό τους, ενώ εσείς περιμένετε την εξαιρετική στιγμή εκείνο που δεν μπορούν να προβλέψουν".
Όλα όσα είπα εδώ είναι ένα είδος παραπληροφόρησης με τον ένα ή τον άλλο τρόπο. Η χρήση αυτών των τεχνικών σας κάνει να εμφανίζεστε ως πολλά άτομα αντί για ένα μόνο. Αλλά όλα αυτά δεν θα σας βοηθήσουν αν δεν κάνετε σωστή χρήση της διαμερισματοποίησης. 2.4 Διαμερισματοποίηση Γιατί το Qubes OS θεωρείται ένα από τα πιο ασφαλή λειτουργικά συστήματα που υπάρχουν σήμερα; Επειδή κάνει χρήση της διαμερισματοποίησης. Το να κρατάτε τα πράγματα χωριστά είναι ίσως ο καλύτερος τρόπος για να αποφύγετε να σας παρακολουθεί κάποιος. Τι εννοώ με αυτό; Ας υποθέσουμε ότι αγοράσατε ένα τηλέφωνο καυστήρα και μια κάρτα SIM, με μετρητά, σε τοποθεσία χωρίς κάμερες ασφαλείας και σκοπεύετε να το χρησιμοποιήσετε ως τηλέφωνο-παγίδα. Μπορείτε με ασφάλεια να υποθέσετε ότι το τηλέφωνο αυτό είναι ανώνυμο όσον αφορά εσάς. Αλλά, αν καλέσετε τη μητέρα σας, τη σύζυγο ή το παιδί σας με αυτό το τηλέφωνο, θα καεί αμέσως. Υπάρχει κάπου εκεί έξω ένα αρχείο καταγραφής αυτής της κλήσης και μπορείτε να είστε σίγουροι ότι θα βρεθεί από τις διωκτικές αρχές. Δεν έχει σημασία αν είστε χάκερ, διαχειριστής της αγοράς, διαχειριστής του φόρουμ, απλός χρήστης ή απλά άτομο που έχει συνείδηση της ιδιωτικής ζωής, γιατί αυτό ισχύει για όλους. Με τον ίδιο τρόπο που δεν λέτε στην οικογένειά σας ότι πουλάτε κοκαΐνη στο διαδίκτυο, εφαρμόστε το σε κάθε πτυχή της ψηφιακής σας ζωής. Απόσπασμα: Sun Tzu "Αν ο εχθρός σου είναι ασφαλής σε όλα τα σημεία, να είσαι προετοιμασμένος γι' αυτόν. Αν είναι σε ανώτερη δύναμη, αποφύγετε τον. Αν ο αντίπαλός σας είναι οξύθυμος, επιδιώξτε να τον ερεθίσετε. Προσποιήσου ότι είσαι αδύναμος, ώστε να γίνει αλαζόνας. Αν αναπαύεται, μην τον αφήσετε να ξεκουραστεί. Αν οι δυνάμεις του είναι ενωμένες, χωρίστε τις. Αν ο ηγεμόνας και ο υπήκοος είναι σύμφωνοι, βάλτε διαίρεση ανάμεσά τους. Επιτεθείτε του εκεί που είναι απροετοίμαστος, εμφανιστείτε εκεί που δεν σας περιμένουν".
Ένα άλλο παράδειγμα διαμερισματοποίησης είναι το εξής. Όλοι γνωρίζουμε όλων των ειδών τους ανθρώπους, από πρεζόνια μέχρι τύπους με διδακτορικό και ακόμη και όλα τα ενδιάμεσα. Όλοι έχουν έναν φίλο με τον οποίο καπνίζουν χόρτο, έναν φίλο με τον οποίο βγαίνουν για ποτό, φίλους που μπορούν να φέρουν στο σπίτι για να γνωρίσουν τους γονείς σας κ.λπ. Έτσι γίνεται αυτό. Μερικά πράγματα στη ζωή απλά δεν συνδυάζονται. Γι' αυτό μην αναμειγνύετε τις διαδικτυακές σας ταυτότητες, γιατί αν το κάνετε, αργά ή γρήγορα θα συνδεθούν μεταξύ τους και θα επιστρέψουν σε εσάς.
2.5 Η ασφάλεια δεν είναι βολική
Όπως θα μπορούσατε να έχετε συμπεράνει από όλα όσα έγραψα, η ασφάλεια δεν είναι βολική και δεν μπορείτε να τα έχετε και τα δύο. Αλλά η εφαρμογή αυτών ή παρόμοιων μοτίβων στην ψηφιακή σας ζωή θα βελτιώσει εκθετικά την επιχειρησιακή σας ασφάλεια.
Λάβετε υπόψη ότι δεν έχω καν ξύσει την επιφάνεια, αλλά είπα αρκετά για να σας βάλω σε σκέψεις σχετικά με τη δική σας OPSEC. Αποφύγετε το ενιαίο σημείο αποτυχίας, επιβάλλετε τη χρήση PGP κατά τη μετάδοση σημαντικών πληροφοριών, χρησιμοποιήστε κρυπτογράφηση πλήρους δίσκου, αλλάξτε τους κωδικούς σας σε τακτική βάση, μην αναμειγνύετε το έγκλημα με την προσωπική ζωή, χρησιμοποιήστε λογισμικό ανοικτού κώδικα σε αντίθεση με το κλειστό και το πιο σημαντικό πράγμα κρατήστε το γαμημένο στόμα σας κλειστό!
Κανείς δεν χρειάζεται να ξέρει τι έχετε κάνει, τι πρόκειται να κάνετε, πού βρίσκεται η κρυψώνα σας, πόσα χρήματα ή ναρκωτικά έχετε και ούτω καθεξής. Ένας σοφός άνθρωπος είπε κάποτε: Ένα ψάρι με κλειστό στόμα δεν πιάνεται ποτέ.
3 D .U.M.B.
Αυτό το μέρος αφορά τη φυσική επιχειρησιακή ασφάλεια και ίσως αναρωτηθείτε τι σημαίνει D.U.M.B.; Είναι πολύ απλό, βαθιές υπόγειες στρατιωτικές βάσεις. Το χρησιμοποίησα ως αναφορά για το αδιαπέραστο κτίριο που θα πρέπει να είναι το OPSEC σας. Επειδή, δεν έχει σημασία πόσο καλή είναι η ψηφιακή σας OPSEC αν η φυσική σας είναι φρικτή και το αντίστροφο.
Πριν βουτήξω σε αυτή την ενότητα, όποιος έχει αγάπη για το σπάσιμο χρηματοκιβωτίων και την παραβίαση κλειδαριών όπως εγώ, θα πρέπει οπωσδήποτε να ελέγξει τα βιβλία που έγραψε ο Jayson Street με τίτλο Dissecting the Hack: F0rb1dd3n Network και Dissecting the Hack: STARS (Security Threats Are Real) κάνει αρκετά καλή δουλειά εξηγώντας τη σημασία τόσο της ψηφιακής όσο και της φυσικής ασφάλειας και των συνεπειών αγνοώντας οποιαδήποτε από τις μεταφορές. Επίσης, το The Complete Book of Locks and Locksmithing, Seventh Edition και το Master Locksmithing: An Experts Guide είναι διασκεδαστικά αναγνώσματα γεμάτα με πλούτο πληροφοριών.
Τι είναι η φυσική OPSEC (που συνήθως αναφέρεται ως analouge) και γιατί είναι τόσο σημαντική; Λοιπόν, το analouge OPSEC είναι όπως όταν χρησιμοποιείτε τις αγορές για να παραγγείλετε κάποια ναρκωτικά, δεν αφήνετε αυτή τη συσκευή συνδεδεμένη και χωρίς επιτήρηση, δεν αφήνετε τις πόρτες σας ξεκλείδωτες όταν βγαίνετε από το σπίτι, όλα αυτά είναι analouge OPSEC. Οι άνθρωποι τείνουν συνήθως να το αγνοούν ως λιγότερο σημαντικό, αλλά μην κάνετε κανένα λάθος το ίδιο σημαντικό με το ψηφιακό.
Ακριβώς όπως και στην ψηφιακή, μπορώ μόνο να σας δώσω προτάσεις και να σας βάλω σε σκέψεις, καθώς κάθε κατάσταση και κάθε μοντέλο απειλής είναι διαφορετικό.
Ας υποθέσουμε ότι είστε έμπορος, δεν κάνετε αγορές, προτιμάτε τον παραδοσιακό τρόπο. Θα σας παραθέσω μερικές συμβουλές που ίσως βρείτε χρήσιμες:
Μην μιλάτε πολύ για το πού βρίσκεται το καταφύγιό σας, πόσο βάρος έχετε, είστε οπλισμένοι ή όχι, κ.λπ. Όλα αυτά τα πράγματα μπορεί να είναι ένας λόγος για τον οποίο θα σας απαγάγουν, θα σας βασανίσουν ή θα σας σκοτώσουν.
Μην χέζετε εκεί που τρώτε, μην χέζετε ναρκωτικά στην ίδια σας τη γειτονιά. Αυτό είναι απλά κακή πρακτική γενικά, μετακινήστε την επιχείρησή σας στην άλλη άκρη της πόλης.
Μην είσαι φίλος με πελάτες που δεν μπορείς να είσαι φίλος με τοξικομανείς. Μπορούν να είναι το ένα ή το άλλο, όχι και τα δύο. Επειδή οι τοξικομανείς θα γυρίσουν και θα τραγουδήσουν αν τους πιάσουν. Το να έχετε έναν εθισμένο ως φίλο είναι ένας πολύ καλός τρόπος για να εξασφαλίσετε μακροχρόνιες διακοπές σε οποιοδήποτε σωφρονιστικό ίδρυμα παγκοσμίως.
Να ξέρετε πότε να τα παρα τήσετε αυτό είναι ίσως το πιο σημαντικό, αν κάτι σας φαίνεται λάθος, αυτό συμβαίνει επειδή μάλλον είναι. Εμπιστευτείτε το ένστικτό σας, να ξέρετε ότι το να κάνετε πίσω δεν είναι πάντα κάτι κακό. Όπως είπε ο προμηθευτής του στον Frank Lucas: Το να τα παρατάς και να τα παρατάς ενώ είσαι μπροστά δεν είναι το ίδιο Frank.
Μη δουλεύετε με φίλους φίλων φίλων φίλων, πιθανόν να είναι μυστικοί αστυνομικοί.
Σκεφτείτε μπροστά Πάντα, και εννοώ πάντα, να έχετε ένα σχέδιο εξόδου. Είτε πρόκειται για ένα πλαστό διαβατήριο, 50 χιλιάρικα σε μετρητά και ένα εισιτήριο για κάποιο νησί της Νότιας Αφρικής που δεν έχει συνθήκη έκδοσης με κανέναν. Ή προκαταβολή μερικών εκατοντάδων χιλιάδων στον πιο ακριβό δικηγόρο της πόλης. Απλά βεβαιωθείτε ότι έχετε ένα σχέδιο.
Αυτά είναι απλώς διάφορα πράγματα, για τα οποία πρέπει να έχετε το νου σας. Υπάρχουν κυριολεκτικά τόνοι περισσότερων συμβουλών για διάφορα επαγγέλματα, αλλά αν συνεχίσω έτσι, δεν θα προλάβω να τις δημοσιεύσω εγκαίρως. Απλά να έχετε κατά νου ότι οτιδήποτε μπορεί να παραβιαστεί, να χακαριστεί, να παραβιαστεί ή να γίνει αντικείμενο εκμετάλλευσης.
3.1 Πρωταρχικά παραδείγματα αποτυχίας του OPSEC
Ας μιλήσουμε για ορισμένες αποτυχίες του OPSEC. Επειδή, οι έξυπνοι άνθρωποι μαθαίνουν από τα λάθη των άλλων και όχι από τα δικά τους. Λόγω του γεγονότος ότι στις γραμμές εργασίας στο dark-net αυτό μπορεί να είναι το πρώτο και το τελευταίο σας.
Ο DreadPirateRoberts (Ross Ulbricht) ήταν ένας επαναστάτης, εξαιρετικά έξυπνος αλλά όχι απαραίτητα έξυπνος. Μεταξύ των πολλών ηλίθιων πραγμάτων που έκανε είναι: χρήση ενός λανθασμένα ρυθμισμένου διακομιστή CAPTCHA για μεγάλο χρονικό διάστημα, αποστολή λαθραίων εμπορευμάτων στη διεύθυνση του σπιτιού του, διαφήμιση του Silk Road στο Shroomery χρησιμοποιώντας τη δική του διεύθυνση gmail, φιλία με πρώην μυστικό (διεφθαρμένο) πράκτορα της DEA (ο οποίος αργότερα τον εκβίαζε για χρήματα), τήρηση αρχείων καταγραφής όλων των συνομιλιών του και λεπτομερές ημερολόγιο των περιπετειών του Silk Road. Αλλά, το πιο μοιραίο ήταν ότι δεν είχε επίγνωση του περιβάλλοντός του. Ως επί το πλείστον λειτουργούσε το Silk Road από την άνεση της Δημόσιας Βιβλιοθήκης του Σαν Φορνίκς, όπου έκανε λάθος καθόταν σε ένα τραπέζι με την πλάτη γυρισμένη στην αίθουσα. Ενώ δύο πράκτορες του FBI σκηνοθετούσαν ένα ζευγάρι που τσακωνόταν, οι συνάδελφοί τους όρμησαν από πίσω και άρπαξαν το lap top πριν προλάβει να το κλείσει και να ενεργοποιήσει τη διαδικασία κρυπτογράφησης. Ουσιαστικά κατέγραψε όλα τα εγκλήματά του μεταξύ άλλων, οπότε μην είστε DPR.
Shiny Flakes (Γερμανός πωλητής) 20χρονος που δημιούργησε μια από τις μεγαλύτερες επιχειρήσεις διακίνησης κοκαΐνης στη Γερμανία εκείνη την εποχή. Η αστυνομία κατέσχεσε πάνω από μισό εκατομμύριο σε διάφορα νομίσματα και μια αφάνταστη ποσότητα ναρκωτικών, όλα αποθηκευμένα στην κρεβατοκάμαρά του. Και η μεγαλύτερη αποτυχία του OPSEC ήταν ότι έστελνε όλες τις αποστολές του από το ίδιο φυλάκιο της DHL. Επίσης, αποθήκευε τα πάντα σε απλό κείμενο (παραγγελίες, πελάτες, οικονομικά στοιχεία, διαπιστευτήρια σύνδεσης κ.λπ.) σε μη κρυπτογραφημένο δίσκο.
ΟSabu (Hector Xavier Monsegur) LulzSEC ξέχασε να χρησιμοποιήσει το TOR για να συνδεθεί με τον διακομιστή IRC που παρακολουθείται από το FBI. Πήραν τη διεύθυνση IP του από τον ISP του, μια επίθεση συσχέτισης αργότερα του πέρασαν χειροπέδες και παρέδωσε τους φίλους του με αντάλλαγμα μια συμφωνία απολογίας. Μην γίνεσαι χαφιές, παραδέξου τις μαλακίες σου.
ΟnCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) ανάμεσα σε πολλές βλακείες που έκανε, νοίκιαζε διακομιστές με διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποίησε για να ανοίξει λογαριασμό PayPal, και στη συνέχεια χρησιμοποίησε αυτό το PayPal για να πληρώσει για τα λουλούδια της συζύγου του. Αλλά δεν είναι μόνο αυτό. Ταξίδευε με το φορητό υπολογιστή της δουλειάς του που περιείχε εκατοντάδες χιλιάδες πιστωτικές κάρτες, αλλά αυτό δεν είναι κακό αφού είχε κρυπτογράφηση. Δυστυχώς, ο κωδικός πρόσβασης Ochko123 μαντεύτηκε από τις διωκτικές αρχές, καθώς ήταν ο ίδιος στο e-mail του, πιστεύω. Έτσι, μην κουβαλάτε τη δουλειά σας όταν ταξιδεύετε, μην αναμειγνύετε το έγκλημα και την ερωτική ζωή, μην επαναχρησιμοποιείτε κωδικούς πρόσβασης. Μην γίνεστε BulbaCC.
ΟWilly Clock (Ryan Gustefson, πλαστογράφος από την Ουγκάντα) χρησιμοποίησε ξανά το προσωπικό e-mail που χρησιμοποίησε για να κάνει αίτηση για την υπηκοότητα των ΗΠΑ για ένα λογαριασμό στο Face-book από τον οποίο πουλούσε πλαστά χαρτονομίσματα. Επίσης, ανέβασε τη δική του φωτογραφία σε αυτόν τον λογαριασμό. Δεν έχω καν να πω κάτι γι' αυτόν.
Ο FrecnhMaid γνωστός και ως nob (πράκτορας της DEA από την υπόθεση DRP) χρησιμοποίησε το φορητό υπολογιστή της δουλειάς του για να εκβιάσει τον Ross Ulbricht, μπορείτε να μαντέψετε πώς πήγε αυτό. Μεταξύ άλλων μετέφερε τα χρήματα αυτά σε τραπεζικούς λογαριασμούς με το όνομά του, σε χώρες με μη αυστηρούς νόμους περί τραπεζικού απορρήτου. Πήρε αυτό που του άξιζε.
ΟAlexandre Cazes (διαχειριστής του AlphaBay) χρησιμοποίησε προσωπική διεύθυνση ηλεκτρονικού ταχυδρομείου για τα μηνύματα επαναφοράς κωδικού πρόσβασης του AlphaBay, διατηρούσε όλα τα δεδομένα αποθηκευμένα σε μη κρυπτογραφημένη μορφή στη συσκευή του, φιλοξενούσε διακομιστές του Alphabay στο Κεμπέκ του Καναδά με το δικό του όνομα.
3.2 - Αναπόφευκτη κωλοτούμπα, επακόλουθα και καθαρισμός
Αυτό είναι το τελευταίο κεφάλαιο αυτής της ανάρτησης που αγγίζει το αναπόφευκτο fuck up και το τι πρέπει να κάνετε μετά. Όλοι είμαστε άνθρωποι, πράγμα που σημαίνει ότι αργά ή γρήγορα θα κάνετε ένα λάθος. Θα είναι το τέλος σας; Εξαρτάται, αλλά το κυριότερο είναι να ξέρετε πώς να καθαρίζετε τα δικά σας χάλια.
Ακολουθεί ένα επαναλαμβανόμενο παράδειγμα σκατά και πώς μπορείτε να προχωρήσετε μετά, αλλά να έχετε κατά νου ότι πρόκειται για μια υποθετική κατάσταση και πρέπει να ξέρετε ότι δεν μπορώ να προβλέψω κάθε πιθανό αποτέλεσμα.
Ελεγχόμενη παράδοση - είναι η κατάσταση κατά την οποία η επιβολή του νόμου κατάσχει την παραγγελία σας, αλλά επιτρέπει στο ταχυδρομείο να προχωρήσει στην παράδοση του δέματός σας προκειμένου να σας πιάσει επ' αυτοφώρω. Συνήθως, για να προσπαθήσουν να σας αναγκάσουν να κάνετε στροφή. Συνήθως υπάρχουν δύο αποτελέσματα σε μια τέτοια κατάσταση, εάν έχετε μερικές παραγγελίες στο ενεργητικό σας, η παράδοση του δέματος διαρκεί ύποπτα πολύ και το δέμα βρισκόταν για μέρες στο ίδιο σημείο.
Μπορείτε είτε να μην ξέρετε, είτε να υπογράψετε για το πακέτο και να σας πιάσουν μέσα σε δευτερόλεπτα. Ή μπορείτε να αρνηθείτε την παραλαβή του πακέτου, οπότε δεν έχουν τίποτα. Τώρα, αν πιστεύετε ότι πρόκειται για ελεγχόμενη παράδοση, η καλύτερη ενέργεια είναι να απομακρύνετε κάθε στοιχείο τέτοιας δραστηριότητας από τις συσκευές σας και το σπίτι σας. Διότι, μπορείτε να είστε σίγουροι ότι η διεύθυνση έχει καεί και το ίδιο και εσείς.
Τι εννοώ με την εξάλειψη των αποδεικτικών στοιχείων; Οι καλοί παλιοί καταστροφείς δεδομένων είναι πάντα ο σωστός τρόπος, αλλά αν είχατε κάποιες κρίσιμες πληροφορίες που δεν πρέπει ποτέ να πέσουν σε εχθρικά χέρια, η καλύτερη πορεία δράσης είναι πάντα η απαλλαγή από τον εν λόγω SSD/HDD. Πρώτα, τεμαχίστε τα δεδομένα (συνιστάται τουλάχιστον 7 περάσματα) και, στη συνέχεια, τεμαχίστε το δίσκο. Συνήθως, η καύση του δίσκου σε τραγανή μορφή θα κάνει τη δουλειά. Είναι πάντα καλύτερο να καταστρέφετε τη συσκευή, ώστε κανείς να μην μπορεί να κάνει εγκληματολογική έρευνα και να ξεθάψει τα δεδομένα. Επειδή καμία καινούργια γυαλιστερή συσκευή (φορητός υπολογιστής, υπολογιστής, hdd, ssd κ.λπ.) δεν αξίζει περισσότερο από την ελευθερία σας.
Το θέμα είναι ότι, αν κάτι αισθάνεστε ότι δεν πάει καλά, είναι επειδή μάλλον είναι! Να είστε σε επαγρύπνηση, μην παραγγείλετε στη διεύθυνση του σπιτιού σας, παίξτε το παιχνίδι μην αφήσετε το παιχνίδι να σας παίξει.
