Écrit par scribe_TS NOT ME
.....1.1 Qui suis-je ?
.....1.2 Définition de la sécurité opérationnelle
2 - Guerre de désinformation (numérique)
.....2.1 La désinformation ancienne
.....2.2 Comment êtes-vous suivi ?
.....2.3 Comment utiliser la désinformation en votre faveur
.....2.4 Compartimentage
.....2.5 La sécurité n'est pas pratique
3 - D.U.M.B (physique)
003.1 Exemples d'échecs de l'OPSEC
003.2 Foutaises inévitables, conséquences et nettoyage
1.1 - Qui suis-je ?
"Je ne suis qu'un autre écho dans le vide.
1.2 - Définition de la sécurité opérationnelle
Par définition, la sécurité opérationnelle est dérivée du terme militaire "sécurité procédurale", qui décrit des stratégies visant à empêcher des adversaires potentiels de découvrir des données critiques liées aux opérations. Il s'agit d'un processus analytique qui classifie les actifs informationnels et détermine le contrôle nécessaire pour fournir ces actifs.
Vous vous demandez peut-être pourquoi j'ai choisi d'écrire sur la sécurité opérationnelle physique et numérique ? La réponse la plus simple est qu'elles sont étroitement liées et qu'elles ne peuvent pas être séparées à mon avis. Si vous avez l'une mais pas l'autre, c'est comme si vous n'en aviez aucune.
2 - La guerre de la désinformation
2.1 - La désinformation ancienne
Depuis l'aube de l'humanité, la désinformation a été utilisée comme une arme, et la plus efficace qui soit. Si vous êtes un mordu de lecture comme moi, je vous suggère de lire L'art de la guerre de Sun Tzu. Ce livre, même s'il a été écrit il y a des milliers d'années, contient des théories et des pratiques qui peuvent être appliquées dans le monde moderne. Pourquoi est-ce que je vous dis cela ? Parce que nous allons commencer par une de ses citations.
Citation : Sun Tzu
"Toute guerre repose sur la tromperie. Ainsi, lorsque nous sommes en mesure d'attaquer, nous devons paraître incapables ; lorsque nous utilisons nos forces, nous devons paraître inactifs ; lorsque nous sommes proches, nous devons faire croire à l'ennemi que nous sommes loin ; lorsque nous sommes loin, nous devons lui faire croire que nous sommes proches".
L'un des exemples les plus flagrants nous ramène à la Rome antique et à la toute fin de la République, alors que près d'un siècle de guerre civile, de chaos et d'assassinats politiques avait conduit le gouvernement romain au bord de l'effondrement. C'est l'époque de ce que l'on appelle le deuxième triumvirat. Il y a environ 2000 ans, la République romaine était confrontée à une guerre civile entre Octave, le fils adoptif du grand général Jules César, et Marc Antoine, l'un des commandants les plus fidèles de César. Pour gagner la guerre, Octave savait qu'il devait avoir le public de son côté. Gagner des batailles importantes l'aidait, mais si le peuple ne l'aimait pas, il ne serait pas un dirigeant efficace. Pour obtenir le soutien du public, Octave a lancé une guerre de fausses nouvelles contre Marc Antoine. Il a prétendu qu'Antoine, qui avait une liaison avec Cléopâtre, la reine d'Égypte, ne respectait pas les valeurs romaines traditionnelles telles que la fidélité et le respect. Octavien affirme également qu'il est inapte à exercer ses fonctions parce qu'il est toujours ivre. Octave a fait passer son message au public par le biais de la poésie et de slogans courts et percutants imprimés sur des pièces de monnaie. Octave finit par gagner la guerre et devint le premier empereur de Rome, régnant pendant plus de 50 ans. Mais je m'écarte du sujet, alors revenons à ce que vous êtes venus chercher ici. Aujourd'hui, il est beaucoup plus facile de mener une guerre de désinformation qu'il y a 2000 ans, c'est évident. Pour sauter les leçons d'histoire et passer à l'ère moderne, voici un exemple de désinformation. Les marchés qui veulent pratiquer l'escroquerie à la sortie désactiveront généralement les retraits en raison de problèmes techniques, tout en maintenant les dépôts pendant qu'ils siphonnent les fonds vers un porte-monnaie hors site. 2.2 - Comment êtes-vous suivi? Dans la société dystopique dans laquelle nous vivons aujourd'hui, la surveillance est l'un des principaux moyens utilisés par les gouvernements pour maintenir le peuple dans le droit chemin. Pour comprendre comment nous pouvons utiliser la désinformation contre eux, nous devons d'abord comprendre comment nous sommes suivis. Les entités qui nous suivent (agences gouvernementales, conglomérats technologiques et sociétés d'extraction de données) comptent sur vous pour divulguer de petits morceaux de données qu'elles utilisent pour établir votre profil en ligne et faire correspondre le nom d'utilisateur à l'utilisateur réel. Il est facile de faire correspondre des contenus dans des bases de données s'il existe une sorte d'index du contenu. Les éléments d'information les plus courants utilisés pour vous suivre sur le clear-net et le dark-net sont les suivants : les noms (noms réels et noms d'utilisateur)
les adresses IP
Empreinte digitale du navigateur
l'adresse électronique
Localisation (exacte ou approximative)
numéros de téléphone
Date de naissance (ou toute autre IPI)
Stylométrie
Reconnaissance faciale
Il est important de comprendre qu'il suffit d'utiliser deux éléments parmi tous ces éléments pour qu'ils puissent vous suivre à la trace. Votre tâche consiste donc à les empêcher d'obtenir deux éléments de données réelles si vous souhaitez rester anonyme. 2.3 - Comment utiliser la désinformation en votre faveur Bon, nous savons comment nous sommes suivis. Voyons brièvement comment nous pouvons utiliser la désinformation pour compliquer la tâche de ces entités. Noms : N'utilisez pas votre vrai nom sur l'internet et évitez les sites web qui en exigent un. Utilisez des pseudonymes, un pseudo-anonymat vaut mieux que d'être pris en flagrant délit de désobéissance. Adresse IP : Masquez votre adresse IP en utilisant Tor, VPN, VPS, RDP ou des proxys. En fonction de ce que vous faites réellement, vous pouvez combiner certaines de ces méthodes. L'essentiel est d'utiliser ce qui est à votre disposition pour leur rendre la vie plus difficile. Empreinte du navigateur : Cette empreinte est probablement la plus difficile à dissimuler si vous n'êtes pas un as de la technologie. Mais vous pouvez toujours utiliser plusieurs navigateurs avec différents plug-ins pour donner l'impression que vous êtes plusieurs personnes. Numéros de téléphone : Arrêtez de lier votre numéro de téléphone personnel à des services tels que les messageries instantanées, les applications de médias sociaux et l'authentification à deux facteurs sur les services. Achetez un numéro VOIP avec Crypto ou utilisez des outils tels que Yubi Key pour l'authentification à deux facteurs. Adresses électroniques : Probablement le plus simple, utiliser plusieurs courriels sous des noms différents pour des objectifs différents. Gardez les choses séparées ! Stylométrie : Il s'agit de l'application de l'étude du style linguistique. Par exemple, je peux dire 10 % ou 10 % ou dix pour cent. Chacune de ces expressions est différente et peut être utilisée pour masquer votre véritable identité. De plus, lorsque j'ai écrit ce billet, j'aurais pu facilement me rendre dans un service de traduction et faire ceci. Traduire de l'anglais au russe, du russe à l'espagnol, de l'espagnol au finnois, du finnois à l'anglais. Cela rendra le texte très différent (du point de vue de la stylistique) de ce que vous avez écrit à l'origine, vous n'aurez plus qu'à vérifier l'orthographe. Tromperie et mensonges : Pas le genre auquel vous vous attendez. Disons que vous êtes un utilisateur de Dread et que vous voulez mentionner un animal de compagnie que vous avez pour faire valoir un point dans une discussion. Il est mal vu de dire Hey, I have a black cat, mais plutôt de dire que vous avez un chien blanc. De cette façon, vous pouvez toujours dire que mon animal de compagnie a fait X, Y ou Z. Mais sans divulguer d'informations réelles sur vous. Il est essentiel de modifier les détails de manière aussi subtile si l'on veut rester caché. Citation : Sun Tzu "Engagez les gens avec ce qu'ils attendent ; c'est ce qu'ils sont capables de discerner et qui confirme leurs projections. Cela les installe dans des schémas de réponse prévisibles, occupant leur esprit pendant que vous attendez le moment extraordinaire qu'ils ne peuvent pas anticiper."
Tout ce que j'ai dit ici est une forme de désinformation d'une manière ou d'une autre. L'utilisation de ces techniques vous fait apparaître comme plusieurs individus au lieu d'un seul. Mais toutes ces techniques ne vous aideront pas si vous n'utilisez pas correctement la compartimentation. 2.4 Compartimentation Pourquoi Qubes OS est-il considéré comme l'un des systèmes d'exploitation les plus sûrs disponibles aujourd'hui ? Parce qu'il utilise la compartimentation. Garder les choses séparées est probablement la meilleure façon d'éviter que quelqu'un ne vous suive à la trace. Qu'est-ce que je veux dire par là ? Supposons que vous ayez acheté un téléphone jetable et une carte SIM, en liquide, dans un endroit dépourvu de caméras de sécurité, et que vous prévoyiez de l'utiliser comme téléphone-piège. Vous pouvez supposer sans risque que ce téléphone est anonyme en ce qui vous concerne. Mais si vous appelez votre mère, votre conjoint ou votre enfant avec ce téléphone, il sera immédiatement brûlé. Il existe quelque part un registre de cet appel et vous pouvez être certain qu'il sera retrouvé par les forces de l'ordre. Peu importe que vous soyez un hacker, un administrateur de marché, un administrateur de forum, un utilisateur régulier ou simplement une personne soucieuse de sa vie privée, car cela s'applique à tout le monde. De la même manière que vous ne dites pas à votre famille que vous vendez de la cocaïne en ligne, appliquez cela à tous les aspects de votre vie numérique. Citation : Sun Tzu "Si votre ennemi est en sécurité sur tous les points, préparez-vous à l'affronter. S'il est plus fort que vous, évitez-le. Si votre adversaire est capricieux, cherchez à l'irriter. Faites semblant d'être faible, afin qu'il devienne arrogant. S'il prend ses aises, ne lui laissez pas de répit. Si ses forces sont unies, séparez-les. Si le souverain et le sujet sont d'accord, mettez la division entre eux. Attaquez-le là où il n'est pas préparé, apparaissez là où l'on ne vous attend pas".
Voici un autre exemple de cloisonnement. Nous connaissons tous toutes sortes de personnes, des drogués aux titulaires d'un doctorat, et même tout ce qui se trouve entre les deux. Tout le monde a un ami avec qui il fume de l'herbe, un ami avec qui il sort boire, un ami qu'il peut amener à la maison pour rencontrer ses parents, etc. C'est comme ça que ça se passe. Certaines choses dans la vie ne se mélangent tout simplement pas. Ne mélangez donc pas vos identités en ligne, car si vous le faites, tôt ou tard, elles seront reliées entre elles et vous reviendront.
2.5 La sécurité n'est pas pratique
Comme vous avez pu le déduire de tout ce que j'ai écrit, la sécurité n'est pas pratique et vous ne pouvez pas avoir le beurre et l'argent du beurre. Mais l'application de ces schémas ou de schémas similaires à votre vie numérique améliorera de manière exponentielle votre sécurité opérationnelle.
Gardez à l'esprit que je n'ai même pas effleuré la surface, mais que j'en ai dit assez pour vous faire réfléchir à votre propre OPSEC. Évitez les points de défaillance uniques, imposez l'utilisation de PGP lors de la transmission d'informations importantes, utilisez le cryptage intégral des disques, changez régulièrement vos mots de passe, ne mélangez pas le crime et la vie personnelle, utilisez des logiciels à code source ouvert plutôt qu'à code source fermé et, surtout, fermez votre putain de gueule !
Personne n'a besoin de savoir ce que vous avez fait, ce que vous allez faire, où se trouve votre cachette, combien d'argent ou de drogues vous possédez, etc. Un sage a dit un jour : "Un poisson qui a la bouche fermée ne se fait jamais prendre".
3 D. U.M.B.
Cette partie concerne la sécurité opérationnelle physique et vous vous demandez peut-être ce que signifie D.U.M.B. ? C'est très simple : Deep Underground Military Bases (bases militaires souterraines). Je l'ai utilisé comme une référence à un bâtiment impénétrable que votre OPSEC devrait être. En effet, peu importe la qualité de votre OPSEC numérique si votre OPSEC physique est épouvantable et vice versa.
Avant de plonger dans cette section, tous ceux qui, comme moi, sont passionnés par le piratage de coffres-forts et le crochetage de serrures devraient absolument consulter le livre de Jayson Street intitulé Dissecting the Hack (Disséquer le piratage) : F0rb1dd3n Network et Dissecting the Hack : STARS (Security Threats Are Real). Il explique très bien l'importance de la sécurité numérique et physique et les conséquences du non-respect de l'un ou l'autre de ces éléments. Le livre complet des serrures et de la serrurerie, septième édition, et Master Locksmithing : An Experts Guide sont également des ouvrages agréables à lire et riches en informations.
Qu'est-ce que l'OPSEC physique (communément appelé "analouge") et pourquoi est-il si important ? Eh bien, l'OPSEC analouge, c'est comme lorsque vous utilisez les marchés pour commander de la drogue, vous ne laissez pas cet appareil connecté et sans surveillance, vous ne laissez pas vos portes déverrouillées lorsque vous quittez la maison, tout cela fait partie de l'OPSEC analouge. Les gens ont généralement tendance à la considérer comme moins importante, mais ne vous y trompez pas, elle est aussi importante que l'OPSEC numérique.
Comme pour le numérique, je ne peux que vous donner des suggestions et vous faire réfléchir, car chaque situation et chaque modèle de menace sont différents.
Supposons que vous soyez un revendeur, que vous ne fassiez pas de marché et que vous préfériez la bonne vieille méthode. Je vais vous donner quelques conseils qui pourraient vous être utiles :
Ne parlez pas trop de l'endroit où se trouve votre refuge, du poids que vous avez, du fait que vous êtes armé ou non, etc. Toutes ces choses peuvent être une raison pour laquelle vous serez enlevé, torturé ou tué.
Ne chie pas où tu manges, ne te drogue pas dans ton quartier. C'est tout simplement une mauvaise pratique, déplacez votre entreprise à l'autre bout de la ville.
Ne soyez pas ami avec les clients, vous ne pouvez pas être ami avec les toxicomanes. Ils peuvent être l'un ou l'autre, pas les deux. Parce que les toxicomanes s'effondreront et chanteront s'ils sont pris en flagrant délit. Avoir un toxicomane comme ami est un excellent moyen de s'assurer de longues vacances dans n'importe quel établissement pénitentiaire du monde.
Savoir quand abandonner - c'est probablement le plus important, si quelque chose ne va pas, c'est que c'est probablement le cas. Faites confiance à votre instinct et sachez que prendre du recul n'est pas toujours une mauvaise chose. Comme l'a dit son fournisseur à Frank Lucas : "Abandonner et abandonner pendant que vous êtes en tête, ce n'est pas la même chose".
Ne travaillez pas avec l' ami d'un ami d'un ami, ils sont probablement des flics sous couverture.
Pensez à l'avenir Ayez toujours, et je dis bien toujours, un plan de sortie. Qu'il s'agisse d'un faux passeport, de 50 000 euros en liquide et d'un billet pour une île sud-africaine qui n'a pas de traité d'extradition avec qui que ce soit. Ou un acompte de quelques centaines de milliers d'euros à verser à l'avocat le plus cher de la ville. Assurez-vous d'avoir un plan.
Ce ne sont là que quelques exemples de ce qu'il faut surveiller. Il y a littéralement des tonnes d'autres conseils pour diverses professions, mais si je continue comme ça, je ne pourrai pas les publier à temps. Gardez simplement à l'esprit que tout peut être pénétré, piraté, verrouillé ou exploité.
3.1 Principaux exemples d'échecs de l'OPSEC
Parlons de quelques échecs OPSEC. En effet, les personnes intelligentes apprennent des erreurs des autres et non des leurs. En raison du fait que dans les lignes de travail sur le dark-net, cela pourrait être votre première et dernière erreur.
DreadPirateRoberts (Ross Ulbricht) était un révolutionnaire, extrêmement intelligent mais pas forcément malin. Parmi les nombreuses choses stupides qu'il a faites, citons l'utilisation pendant une longue période d'un serveur CAPTCHA mal configuré, l'envoi de produits de contrebande à son domicile, la publicité pour Silk Road sur Shroomery en utilisant sa propre adresse gmail, l'amitié avec un ancien agent de la DEA sous couverture (corrompu) (qui lui a ensuite extorqué de l'argent), la tenue de registres de toutes ses conversations et d'un journal détaillé de ses aventures sur Silk Road. Mais le plus grave, c'est qu'il n'était pas conscient de ce qui l'entourait. La plupart du temps, il exploitait Silk Road dans le confort de la bibliothèque publique de San Forensics, et c'est en s'asseyant à une table, le dos tourné à la salle, qu'il s'est trompé. Alors que deux agents du FBI mettaient en scène un couple en train de se battre, leurs collègues sont arrivés par derrière et ont saisi l'ordinateur portable avant qu'il ne puisse l'éteindre et déclencher le processus de cryptage. Il a documenté tous ses crimes, entre autres, alors ne vous laissez pas intimider.
Shiny Flakes (vendeur allemand) Jeune homme de 20 ans qui a mis sur pied l'un des plus gros trafics de cocaïne en Allemagne à l'époque. La police a confisqué plus d'un demi-million en différentes devises et une quantité incroyable de drogue, le tout stocké dans sa chambre. Son plus grand échec en matière d'OPSEC était qu'il envoyait toutes ses cargaisons à partir du même poste DHL. Il stockait également tout en texte clair (commandes, clients, données financières, identifiants de connexion, etc.) sur un disque dur non crypté.
Sabu (Hector Xavier Monsegur) LulzSEC a oublié d'utiliser TOR pour se connecter au serveur IRC surveillé par le FBI. Ils ont obtenu son adresse IP de son fournisseur d'accès, et une attaque par corrélation plus tard, il a été arrêté et a donné ses amis en échange d'un accord de plaidoyer. Ne soyez pas un mouchard, assumez vos erreurs.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder), parmi les nombreuses choses stupides qu'il a faites, a loué des serveurs avec l'adresse e-mail qu'il a utilisée pour ouvrir un compte PayPal, puis a utilisé ce compte PayPal pour payer les fleurs de sa femme. Mais ce n'est pas tout. Il a voyagé avec son ordinateur portable professionnel qui contenait des centaines de milliers de cartes de crédit, mais ce n'est pas grave puisqu'il avait un système de cryptage. Malheureusement, son mot de passe Ochko123 a été deviné par les forces de l'ordre car il était le même sur son e-mail, je crois. Alors, ne transportez pas votre travail lorsque vous voyagez, ne mélangez pas crime et vie amoureuse, ne réutilisez pas vos mots de passe. Ne soyez pas BulbaCC.
Willy Clock (Ryan Gustefson, faussaire ougandais) a réutilisé l'e-mail personnel qu'il avait utilisé pour demander la nationalité américaine pour un compte Face-book à partir duquel il vendait de faux billets. Il a également téléchargé sa propre photo sur ce compte. Je n'ai rien à dire sur cette affaire.
FrecnhMaid alias nob (agent de la DEA dans l'affaire DRP) a utilisé son ordinateur portable professionnel pour extorquer Ross Ulbricht, vous pouvez deviner comment cela s'est passé. Il a notamment transféré l'argent sur des comptes bancaires à son nom, dans des pays où les lois sur le secret bancaire ne sont pas strictes. Il a eu ce qu'il méritait.
Alexandre Cazes (administrateur d'AlphaBay) a utilisé son adresse électronique personnelle pour envoyer des courriels de réinitialisation de mot de passe AlphaBay, a conservé toutes les données stockées dans un format non crypté sur son appareil et a hébergé les serveurs Alphabay au Québec (Canada) sous son propre nom.
3.2 - Foutaise inévitable, conséquences et nettoyage
Il s'agit du dernier chapitre de ce billet, qui traite de l'inévitable bavure et de ce qu'il faut faire après. Nous sommes tous humains, ce qui signifie que tôt ou tard, vous ferez une erreur. Est-ce que ce sera votre fin ? Cela dépend, mais l'essentiel est de savoir comment réparer ses erreurs.
Voici un exemple récurrent d'erreur et de la manière dont vous pouvez procéder par la suite, mais gardez à l'esprit qu'il s'agit d'une situation spéculative et que vous devez savoir que je ne peux pas prédire tous les résultats possibles.
Livraison contrôlée - il s'agit d'une situation où les forces de l'ordre saisissent votre commande, mais autorisent la poste à livrer votre colis afin de vous prendre en flagrant délit. Il s'agit généralement d'essayer de vous forcer à retourner votre colis. Il y a généralement deux issues à cette situation : si vous avez plusieurs commandes à votre actif, que le colis met un temps suspect à être livré et qu'il est resté plusieurs jours au même endroit, vous pouvez soit ne pas savoir, soit signer le bon de livraison, soit le retourner à la poste.
Vous pouvez soit ne pas savoir, signer pour le colis et vous faire arrêter en quelques secondes. Ou bien vous pouvez nier avoir reçu le colis, auquel cas ils n'ont rien. Si vous pensez qu'il s'agit d'une livraison contrôlée, la meilleure chose à faire est de supprimer toute preuve de cette activité de vos appareils et de votre domicile. En effet, vous pouvez être certain que l'adresse est brûlée et que vous l'êtes aussi.
Qu'est-ce que j'entends par "supprimer les preuves" ? Les bons vieux destructeurs de données sont toujours la solution, mais si vous avez des informations critiques qui ne doivent jamais tomber entre les mains de l'ennemi, la meilleure solution est toujours de se débarrasser du SSD/HDD en question. Commencez par détruire les données (il est recommandé d'effectuer au moins 7 passages), puis détruisez le disque. En général, le brûler suffit. Il est toujours préférable de détruire l'appareil afin que personne ne puisse procéder à des analyses médico-légales et déterrer les données. En effet, aucun appareil neuf (portable, ordinateur, disque dur, disque de stockage, etc.) ne vaut plus que votre liberté.
Le fait est que si quelque chose ne va pas, c'est que c'est probablement le cas ! Soyez vigilant, ne commandez pas à votre adresse personnelle, jouez le jeu et ne laissez pas le jeu vous jouer.
.....1.1 Qui suis-je ?
.....1.2 Définition de la sécurité opérationnelle
2 - Guerre de désinformation (numérique)
.....2.1 La désinformation ancienne
.....2.2 Comment êtes-vous suivi ?
.....2.3 Comment utiliser la désinformation en votre faveur
.....2.4 Compartimentage
.....2.5 La sécurité n'est pas pratique
3 - D.U.M.B (physique)
003.1 Exemples d'échecs de l'OPSEC
003.2 Foutaises inévitables, conséquences et nettoyage
1.1 - Qui suis-je ?
"Je ne suis qu'un autre écho dans le vide.
1.2 - Définition de la sécurité opérationnelle
Par définition, la sécurité opérationnelle est dérivée du terme militaire "sécurité procédurale", qui décrit des stratégies visant à empêcher des adversaires potentiels de découvrir des données critiques liées aux opérations. Il s'agit d'un processus analytique qui classifie les actifs informationnels et détermine le contrôle nécessaire pour fournir ces actifs.
Vous vous demandez peut-être pourquoi j'ai choisi d'écrire sur la sécurité opérationnelle physique et numérique ? La réponse la plus simple est qu'elles sont étroitement liées et qu'elles ne peuvent pas être séparées à mon avis. Si vous avez l'une mais pas l'autre, c'est comme si vous n'en aviez aucune.
2 - La guerre de la désinformation
2.1 - La désinformation ancienne
Depuis l'aube de l'humanité, la désinformation a été utilisée comme une arme, et la plus efficace qui soit. Si vous êtes un mordu de lecture comme moi, je vous suggère de lire L'art de la guerre de Sun Tzu. Ce livre, même s'il a été écrit il y a des milliers d'années, contient des théories et des pratiques qui peuvent être appliquées dans le monde moderne. Pourquoi est-ce que je vous dis cela ? Parce que nous allons commencer par une de ses citations.
Citation : Sun Tzu
"Toute guerre repose sur la tromperie. Ainsi, lorsque nous sommes en mesure d'attaquer, nous devons paraître incapables ; lorsque nous utilisons nos forces, nous devons paraître inactifs ; lorsque nous sommes proches, nous devons faire croire à l'ennemi que nous sommes loin ; lorsque nous sommes loin, nous devons lui faire croire que nous sommes proches".
L'un des exemples les plus flagrants nous ramène à la Rome antique et à la toute fin de la République, alors que près d'un siècle de guerre civile, de chaos et d'assassinats politiques avait conduit le gouvernement romain au bord de l'effondrement. C'est l'époque de ce que l'on appelle le deuxième triumvirat. Il y a environ 2000 ans, la République romaine était confrontée à une guerre civile entre Octave, le fils adoptif du grand général Jules César, et Marc Antoine, l'un des commandants les plus fidèles de César. Pour gagner la guerre, Octave savait qu'il devait avoir le public de son côté. Gagner des batailles importantes l'aidait, mais si le peuple ne l'aimait pas, il ne serait pas un dirigeant efficace. Pour obtenir le soutien du public, Octave a lancé une guerre de fausses nouvelles contre Marc Antoine. Il a prétendu qu'Antoine, qui avait une liaison avec Cléopâtre, la reine d'Égypte, ne respectait pas les valeurs romaines traditionnelles telles que la fidélité et le respect. Octavien affirme également qu'il est inapte à exercer ses fonctions parce qu'il est toujours ivre. Octave a fait passer son message au public par le biais de la poésie et de slogans courts et percutants imprimés sur des pièces de monnaie. Octave finit par gagner la guerre et devint le premier empereur de Rome, régnant pendant plus de 50 ans. Mais je m'écarte du sujet, alors revenons à ce que vous êtes venus chercher ici. Aujourd'hui, il est beaucoup plus facile de mener une guerre de désinformation qu'il y a 2000 ans, c'est évident. Pour sauter les leçons d'histoire et passer à l'ère moderne, voici un exemple de désinformation. Les marchés qui veulent pratiquer l'escroquerie à la sortie désactiveront généralement les retraits en raison de problèmes techniques, tout en maintenant les dépôts pendant qu'ils siphonnent les fonds vers un porte-monnaie hors site. 2.2 - Comment êtes-vous suivi? Dans la société dystopique dans laquelle nous vivons aujourd'hui, la surveillance est l'un des principaux moyens utilisés par les gouvernements pour maintenir le peuple dans le droit chemin. Pour comprendre comment nous pouvons utiliser la désinformation contre eux, nous devons d'abord comprendre comment nous sommes suivis. Les entités qui nous suivent (agences gouvernementales, conglomérats technologiques et sociétés d'extraction de données) comptent sur vous pour divulguer de petits morceaux de données qu'elles utilisent pour établir votre profil en ligne et faire correspondre le nom d'utilisateur à l'utilisateur réel. Il est facile de faire correspondre des contenus dans des bases de données s'il existe une sorte d'index du contenu. Les éléments d'information les plus courants utilisés pour vous suivre sur le clear-net et le dark-net sont les suivants : les noms (noms réels et noms d'utilisateur)
les adresses IP
Empreinte digitale du navigateur
l'adresse électronique
Localisation (exacte ou approximative)
numéros de téléphone
Date de naissance (ou toute autre IPI)
Stylométrie
Reconnaissance faciale
Il est important de comprendre qu'il suffit d'utiliser deux éléments parmi tous ces éléments pour qu'ils puissent vous suivre à la trace. Votre tâche consiste donc à les empêcher d'obtenir deux éléments de données réelles si vous souhaitez rester anonyme. 2.3 - Comment utiliser la désinformation en votre faveur Bon, nous savons comment nous sommes suivis. Voyons brièvement comment nous pouvons utiliser la désinformation pour compliquer la tâche de ces entités. Noms : N'utilisez pas votre vrai nom sur l'internet et évitez les sites web qui en exigent un. Utilisez des pseudonymes, un pseudo-anonymat vaut mieux que d'être pris en flagrant délit de désobéissance. Adresse IP : Masquez votre adresse IP en utilisant Tor, VPN, VPS, RDP ou des proxys. En fonction de ce que vous faites réellement, vous pouvez combiner certaines de ces méthodes. L'essentiel est d'utiliser ce qui est à votre disposition pour leur rendre la vie plus difficile. Empreinte du navigateur : Cette empreinte est probablement la plus difficile à dissimuler si vous n'êtes pas un as de la technologie. Mais vous pouvez toujours utiliser plusieurs navigateurs avec différents plug-ins pour donner l'impression que vous êtes plusieurs personnes. Numéros de téléphone : Arrêtez de lier votre numéro de téléphone personnel à des services tels que les messageries instantanées, les applications de médias sociaux et l'authentification à deux facteurs sur les services. Achetez un numéro VOIP avec Crypto ou utilisez des outils tels que Yubi Key pour l'authentification à deux facteurs. Adresses électroniques : Probablement le plus simple, utiliser plusieurs courriels sous des noms différents pour des objectifs différents. Gardez les choses séparées ! Stylométrie : Il s'agit de l'application de l'étude du style linguistique. Par exemple, je peux dire 10 % ou 10 % ou dix pour cent. Chacune de ces expressions est différente et peut être utilisée pour masquer votre véritable identité. De plus, lorsque j'ai écrit ce billet, j'aurais pu facilement me rendre dans un service de traduction et faire ceci. Traduire de l'anglais au russe, du russe à l'espagnol, de l'espagnol au finnois, du finnois à l'anglais. Cela rendra le texte très différent (du point de vue de la stylistique) de ce que vous avez écrit à l'origine, vous n'aurez plus qu'à vérifier l'orthographe. Tromperie et mensonges : Pas le genre auquel vous vous attendez. Disons que vous êtes un utilisateur de Dread et que vous voulez mentionner un animal de compagnie que vous avez pour faire valoir un point dans une discussion. Il est mal vu de dire Hey, I have a black cat, mais plutôt de dire que vous avez un chien blanc. De cette façon, vous pouvez toujours dire que mon animal de compagnie a fait X, Y ou Z. Mais sans divulguer d'informations réelles sur vous. Il est essentiel de modifier les détails de manière aussi subtile si l'on veut rester caché. Citation : Sun Tzu "Engagez les gens avec ce qu'ils attendent ; c'est ce qu'ils sont capables de discerner et qui confirme leurs projections. Cela les installe dans des schémas de réponse prévisibles, occupant leur esprit pendant que vous attendez le moment extraordinaire qu'ils ne peuvent pas anticiper."
Tout ce que j'ai dit ici est une forme de désinformation d'une manière ou d'une autre. L'utilisation de ces techniques vous fait apparaître comme plusieurs individus au lieu d'un seul. Mais toutes ces techniques ne vous aideront pas si vous n'utilisez pas correctement la compartimentation. 2.4 Compartimentation Pourquoi Qubes OS est-il considéré comme l'un des systèmes d'exploitation les plus sûrs disponibles aujourd'hui ? Parce qu'il utilise la compartimentation. Garder les choses séparées est probablement la meilleure façon d'éviter que quelqu'un ne vous suive à la trace. Qu'est-ce que je veux dire par là ? Supposons que vous ayez acheté un téléphone jetable et une carte SIM, en liquide, dans un endroit dépourvu de caméras de sécurité, et que vous prévoyiez de l'utiliser comme téléphone-piège. Vous pouvez supposer sans risque que ce téléphone est anonyme en ce qui vous concerne. Mais si vous appelez votre mère, votre conjoint ou votre enfant avec ce téléphone, il sera immédiatement brûlé. Il existe quelque part un registre de cet appel et vous pouvez être certain qu'il sera retrouvé par les forces de l'ordre. Peu importe que vous soyez un hacker, un administrateur de marché, un administrateur de forum, un utilisateur régulier ou simplement une personne soucieuse de sa vie privée, car cela s'applique à tout le monde. De la même manière que vous ne dites pas à votre famille que vous vendez de la cocaïne en ligne, appliquez cela à tous les aspects de votre vie numérique. Citation : Sun Tzu "Si votre ennemi est en sécurité sur tous les points, préparez-vous à l'affronter. S'il est plus fort que vous, évitez-le. Si votre adversaire est capricieux, cherchez à l'irriter. Faites semblant d'être faible, afin qu'il devienne arrogant. S'il prend ses aises, ne lui laissez pas de répit. Si ses forces sont unies, séparez-les. Si le souverain et le sujet sont d'accord, mettez la division entre eux. Attaquez-le là où il n'est pas préparé, apparaissez là où l'on ne vous attend pas".
Voici un autre exemple de cloisonnement. Nous connaissons tous toutes sortes de personnes, des drogués aux titulaires d'un doctorat, et même tout ce qui se trouve entre les deux. Tout le monde a un ami avec qui il fume de l'herbe, un ami avec qui il sort boire, un ami qu'il peut amener à la maison pour rencontrer ses parents, etc. C'est comme ça que ça se passe. Certaines choses dans la vie ne se mélangent tout simplement pas. Ne mélangez donc pas vos identités en ligne, car si vous le faites, tôt ou tard, elles seront reliées entre elles et vous reviendront.
2.5 La sécurité n'est pas pratique
Comme vous avez pu le déduire de tout ce que j'ai écrit, la sécurité n'est pas pratique et vous ne pouvez pas avoir le beurre et l'argent du beurre. Mais l'application de ces schémas ou de schémas similaires à votre vie numérique améliorera de manière exponentielle votre sécurité opérationnelle.
Gardez à l'esprit que je n'ai même pas effleuré la surface, mais que j'en ai dit assez pour vous faire réfléchir à votre propre OPSEC. Évitez les points de défaillance uniques, imposez l'utilisation de PGP lors de la transmission d'informations importantes, utilisez le cryptage intégral des disques, changez régulièrement vos mots de passe, ne mélangez pas le crime et la vie personnelle, utilisez des logiciels à code source ouvert plutôt qu'à code source fermé et, surtout, fermez votre putain de gueule !
Personne n'a besoin de savoir ce que vous avez fait, ce que vous allez faire, où se trouve votre cachette, combien d'argent ou de drogues vous possédez, etc. Un sage a dit un jour : "Un poisson qui a la bouche fermée ne se fait jamais prendre".
3 D. U.M.B.
Cette partie concerne la sécurité opérationnelle physique et vous vous demandez peut-être ce que signifie D.U.M.B. ? C'est très simple : Deep Underground Military Bases (bases militaires souterraines). Je l'ai utilisé comme une référence à un bâtiment impénétrable que votre OPSEC devrait être. En effet, peu importe la qualité de votre OPSEC numérique si votre OPSEC physique est épouvantable et vice versa.
Avant de plonger dans cette section, tous ceux qui, comme moi, sont passionnés par le piratage de coffres-forts et le crochetage de serrures devraient absolument consulter le livre de Jayson Street intitulé Dissecting the Hack (Disséquer le piratage) : F0rb1dd3n Network et Dissecting the Hack : STARS (Security Threats Are Real). Il explique très bien l'importance de la sécurité numérique et physique et les conséquences du non-respect de l'un ou l'autre de ces éléments. Le livre complet des serrures et de la serrurerie, septième édition, et Master Locksmithing : An Experts Guide sont également des ouvrages agréables à lire et riches en informations.
Qu'est-ce que l'OPSEC physique (communément appelé "analouge") et pourquoi est-il si important ? Eh bien, l'OPSEC analouge, c'est comme lorsque vous utilisez les marchés pour commander de la drogue, vous ne laissez pas cet appareil connecté et sans surveillance, vous ne laissez pas vos portes déverrouillées lorsque vous quittez la maison, tout cela fait partie de l'OPSEC analouge. Les gens ont généralement tendance à la considérer comme moins importante, mais ne vous y trompez pas, elle est aussi importante que l'OPSEC numérique.
Comme pour le numérique, je ne peux que vous donner des suggestions et vous faire réfléchir, car chaque situation et chaque modèle de menace sont différents.
Supposons que vous soyez un revendeur, que vous ne fassiez pas de marché et que vous préfériez la bonne vieille méthode. Je vais vous donner quelques conseils qui pourraient vous être utiles :
Ne parlez pas trop de l'endroit où se trouve votre refuge, du poids que vous avez, du fait que vous êtes armé ou non, etc. Toutes ces choses peuvent être une raison pour laquelle vous serez enlevé, torturé ou tué.
Ne chie pas où tu manges, ne te drogue pas dans ton quartier. C'est tout simplement une mauvaise pratique, déplacez votre entreprise à l'autre bout de la ville.
Ne soyez pas ami avec les clients, vous ne pouvez pas être ami avec les toxicomanes. Ils peuvent être l'un ou l'autre, pas les deux. Parce que les toxicomanes s'effondreront et chanteront s'ils sont pris en flagrant délit. Avoir un toxicomane comme ami est un excellent moyen de s'assurer de longues vacances dans n'importe quel établissement pénitentiaire du monde.
Savoir quand abandonner - c'est probablement le plus important, si quelque chose ne va pas, c'est que c'est probablement le cas. Faites confiance à votre instinct et sachez que prendre du recul n'est pas toujours une mauvaise chose. Comme l'a dit son fournisseur à Frank Lucas : "Abandonner et abandonner pendant que vous êtes en tête, ce n'est pas la même chose".
Ne travaillez pas avec l' ami d'un ami d'un ami, ils sont probablement des flics sous couverture.
Pensez à l'avenir Ayez toujours, et je dis bien toujours, un plan de sortie. Qu'il s'agisse d'un faux passeport, de 50 000 euros en liquide et d'un billet pour une île sud-africaine qui n'a pas de traité d'extradition avec qui que ce soit. Ou un acompte de quelques centaines de milliers d'euros à verser à l'avocat le plus cher de la ville. Assurez-vous d'avoir un plan.
Ce ne sont là que quelques exemples de ce qu'il faut surveiller. Il y a littéralement des tonnes d'autres conseils pour diverses professions, mais si je continue comme ça, je ne pourrai pas les publier à temps. Gardez simplement à l'esprit que tout peut être pénétré, piraté, verrouillé ou exploité.
3.1 Principaux exemples d'échecs de l'OPSEC
Parlons de quelques échecs OPSEC. En effet, les personnes intelligentes apprennent des erreurs des autres et non des leurs. En raison du fait que dans les lignes de travail sur le dark-net, cela pourrait être votre première et dernière erreur.
DreadPirateRoberts (Ross Ulbricht) était un révolutionnaire, extrêmement intelligent mais pas forcément malin. Parmi les nombreuses choses stupides qu'il a faites, citons l'utilisation pendant une longue période d'un serveur CAPTCHA mal configuré, l'envoi de produits de contrebande à son domicile, la publicité pour Silk Road sur Shroomery en utilisant sa propre adresse gmail, l'amitié avec un ancien agent de la DEA sous couverture (corrompu) (qui lui a ensuite extorqué de l'argent), la tenue de registres de toutes ses conversations et d'un journal détaillé de ses aventures sur Silk Road. Mais le plus grave, c'est qu'il n'était pas conscient de ce qui l'entourait. La plupart du temps, il exploitait Silk Road dans le confort de la bibliothèque publique de San Forensics, et c'est en s'asseyant à une table, le dos tourné à la salle, qu'il s'est trompé. Alors que deux agents du FBI mettaient en scène un couple en train de se battre, leurs collègues sont arrivés par derrière et ont saisi l'ordinateur portable avant qu'il ne puisse l'éteindre et déclencher le processus de cryptage. Il a documenté tous ses crimes, entre autres, alors ne vous laissez pas intimider.
Shiny Flakes (vendeur allemand) Jeune homme de 20 ans qui a mis sur pied l'un des plus gros trafics de cocaïne en Allemagne à l'époque. La police a confisqué plus d'un demi-million en différentes devises et une quantité incroyable de drogue, le tout stocké dans sa chambre. Son plus grand échec en matière d'OPSEC était qu'il envoyait toutes ses cargaisons à partir du même poste DHL. Il stockait également tout en texte clair (commandes, clients, données financières, identifiants de connexion, etc.) sur un disque dur non crypté.
Sabu (Hector Xavier Monsegur) LulzSEC a oublié d'utiliser TOR pour se connecter au serveur IRC surveillé par le FBI. Ils ont obtenu son adresse IP de son fournisseur d'accès, et une attaque par corrélation plus tard, il a été arrêté et a donné ses amis en échange d'un accord de plaidoyer. Ne soyez pas un mouchard, assumez vos erreurs.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder), parmi les nombreuses choses stupides qu'il a faites, a loué des serveurs avec l'adresse e-mail qu'il a utilisée pour ouvrir un compte PayPal, puis a utilisé ce compte PayPal pour payer les fleurs de sa femme. Mais ce n'est pas tout. Il a voyagé avec son ordinateur portable professionnel qui contenait des centaines de milliers de cartes de crédit, mais ce n'est pas grave puisqu'il avait un système de cryptage. Malheureusement, son mot de passe Ochko123 a été deviné par les forces de l'ordre car il était le même sur son e-mail, je crois. Alors, ne transportez pas votre travail lorsque vous voyagez, ne mélangez pas crime et vie amoureuse, ne réutilisez pas vos mots de passe. Ne soyez pas BulbaCC.
Willy Clock (Ryan Gustefson, faussaire ougandais) a réutilisé l'e-mail personnel qu'il avait utilisé pour demander la nationalité américaine pour un compte Face-book à partir duquel il vendait de faux billets. Il a également téléchargé sa propre photo sur ce compte. Je n'ai rien à dire sur cette affaire.
FrecnhMaid alias nob (agent de la DEA dans l'affaire DRP) a utilisé son ordinateur portable professionnel pour extorquer Ross Ulbricht, vous pouvez deviner comment cela s'est passé. Il a notamment transféré l'argent sur des comptes bancaires à son nom, dans des pays où les lois sur le secret bancaire ne sont pas strictes. Il a eu ce qu'il méritait.
Alexandre Cazes (administrateur d'AlphaBay) a utilisé son adresse électronique personnelle pour envoyer des courriels de réinitialisation de mot de passe AlphaBay, a conservé toutes les données stockées dans un format non crypté sur son appareil et a hébergé les serveurs Alphabay au Québec (Canada) sous son propre nom.
3.2 - Foutaise inévitable, conséquences et nettoyage
Il s'agit du dernier chapitre de ce billet, qui traite de l'inévitable bavure et de ce qu'il faut faire après. Nous sommes tous humains, ce qui signifie que tôt ou tard, vous ferez une erreur. Est-ce que ce sera votre fin ? Cela dépend, mais l'essentiel est de savoir comment réparer ses erreurs.
Voici un exemple récurrent d'erreur et de la manière dont vous pouvez procéder par la suite, mais gardez à l'esprit qu'il s'agit d'une situation spéculative et que vous devez savoir que je ne peux pas prédire tous les résultats possibles.
Livraison contrôlée - il s'agit d'une situation où les forces de l'ordre saisissent votre commande, mais autorisent la poste à livrer votre colis afin de vous prendre en flagrant délit. Il s'agit généralement d'essayer de vous forcer à retourner votre colis. Il y a généralement deux issues à cette situation : si vous avez plusieurs commandes à votre actif, que le colis met un temps suspect à être livré et qu'il est resté plusieurs jours au même endroit, vous pouvez soit ne pas savoir, soit signer le bon de livraison, soit le retourner à la poste.
Vous pouvez soit ne pas savoir, signer pour le colis et vous faire arrêter en quelques secondes. Ou bien vous pouvez nier avoir reçu le colis, auquel cas ils n'ont rien. Si vous pensez qu'il s'agit d'une livraison contrôlée, la meilleure chose à faire est de supprimer toute preuve de cette activité de vos appareils et de votre domicile. En effet, vous pouvez être certain que l'adresse est brûlée et que vous l'êtes aussi.
Qu'est-ce que j'entends par "supprimer les preuves" ? Les bons vieux destructeurs de données sont toujours la solution, mais si vous avez des informations critiques qui ne doivent jamais tomber entre les mains de l'ennemi, la meilleure solution est toujours de se débarrasser du SSD/HDD en question. Commencez par détruire les données (il est recommandé d'effectuer au moins 7 passages), puis détruisez le disque. En général, le brûler suffit. Il est toujours préférable de détruire l'appareil afin que personne ne puisse procéder à des analyses médico-légales et déterrer les données. En effet, aucun appareil neuf (portable, ordinateur, disque dur, disque de stockage, etc.) ne vaut plus que votre liberté.
Le fait est que si quelque chose ne va pas, c'est que c'est probablement le cas ! Soyez vigilant, ne commandez pas à votre adresse personnelle, jouez le jeu et ne laissez pas le jeu vous jouer.
