Scritto da scribe_TS NON DA ME
.....1.1 Chi sono
.....1.2 Definizione di sicurezza operativa
2 - Guerra di disinformazione (digitale)
.....2.1 La disinformazione antica
.....2.2 Come si viene rintracciati
.....2.3 Come usare la disinformazione a proprio favore
.....2.4 La compartimentazione
.....2.5 La sicurezza non è conveniente
3 - D.U.M.B (fisico)
.....3.1 Esempi principali di fallimenti dell'OPSEC
.....3.2 Inevitabili casini, conseguenze e pulizia
1.1 - Chi sono
"Sono solo un'altra eco nel vuoto".
1.2 - Definizione di sicurezza operativa
La definizione di sicurezza operativa deriva dal termine militare di sicurezza procedurale, nato come termine che descriveva le strategie per impedire a potenziali avversari di scoprire dati critici relativi alle operazioni. Si tratta di un processo analitico che classifica le risorse informative e determina il controllo necessario per fornirle.
Vi chiederete perché ho scelto di scrivere di sicurezza operativa sia fisica che digitale? La risposta più semplice è che, a mio avviso, sono interconnesse e non possono essere separate. Se avete una ma non l'altra, è come se non ne aveste nessuna.
2 - La guerra di disinformazione
2.1 - La disinformazione antica
Fin dagli albori dell'uomo, la disinformazione è stata usata come arma e per di più la più efficace. Se siete appassionati di libri come me, vi consiglio di leggere L'arte della guerra di Sun Tzu: anche dopo migliaia di anni dalla sua stesura, questo libro contiene teorie e pratiche che possono essere applicate al mondo moderno. Perché vi dico questo? Perché inizieremo con una delle sue citazioni.
Citazione: Sun Tzu
"Tutta la guerra si basa sull'inganno. Perciò, quando siamo in grado di attaccare, dobbiamo sembrare incapaci; quando usiamo le nostre forze, dobbiamo sembrare inattivi; quando siamo vicini, dobbiamo far credere al nemico che siamo lontani; quando siamo lontani, dobbiamo fargli credere che siamo vicini".
Uno degli esempi più eclatanti ci riporta all'antica Roma e alla fine della Repubblica, quando quasi un secolo di guerre civili, caos e omicidi politici avevano portato il governo romano sull'orlo del collasso. Era l'epoca del cosiddetto Secondo Triumvirato. Circa 2000 anni fa, la Repubblica romana stava affrontando una guerra civile tra Ottaviano, figlio adottivo del grande generale Giulio Cesare, e Marco Antonio, uno dei comandanti più fidati di Cesare. Per vincere la guerra, Ottaviano sapeva di dover avere l'opinione pubblica dalla sua parte: vincere battaglie importanti era utile, ma se non fosse piaciuto al popolo, non sarebbe stato un sovrano di successo. Per ottenere il sostegno dell'opinione pubblica, Ottaviano lanciò una guerra di notizie false contro Marco Antonio. Sosteneva che Antonio, che aveva una relazione con Cleopatra, la regina egiziana, non rispettava i valori tradizionali romani come la fedeltà e il rispetto. Ottaviano disse anche che non era adatto a ricoprire una carica perché era sempre ubriaco. Ottaviano fece arrivare il suo messaggio al pubblico attraverso poesie e slogan brevi e veloci stampati sulle monete. Alla fine Ottaviano vinse la guerra e divenne il primo imperatore di Roma, governando per oltre 50 anni. Ma sto divagando, quindi torniamo al motivo per cui siete venuti qui. Oggi è molto più facile condurre una guerra di disinformazione rispetto a 2000 anni fa, ovviamente. Ora, per saltare le lezioni di storia e passare all'era moderna, ecco un esempio di disinformazione. I mercati che vogliono condurre una truffa di uscita di solito disabilitano i prelievi a causa di alcuni problemi tecnici da parte loro, mentre mantengono i depositi funzionanti mentre travasano i fondi in qualche portafoglio fuori sede. 2.2 - Come siete tracciati Nella società distopica in cui viviamo oggi, la sorveglianza è una parte importante del modo in cui i governi tengono in riga la gente comune. Per capire come possiamo usare la disinformazione contro di loro, dobbiamo innanzitutto capire come veniamo tracciati. Le entità che ci tracciano (agenzie governative, conglomerati tecnologici e società di data mining) contano sul fatto che voi facciate trapelare piccoli pezzi di dati che utilizzano per tracciare il vostro profilo online e abbinare il nome dell'utente all'utente reale. È semplice abbinare i contenuti nei database se c'è una sorta di indice per i contenuti. I dati più comuni utilizzati per tracciare l'utente su clear-net e dark-net sono: Nomi (sia quelli reali che quelli degli utenti)
Indirizzi IP
Impronta del browser
Indirizzo e-mail
Posizione (esatta o approssimativa)
Numeri di telefono
Data di nascita (o qualsiasi altra PII)
Stilometria
Riconoscimento facciale
È importante capire che basta utilizzare due elementi tra tutti questi per essere rintracciati. Il vostro compito è quindi quello di impedire loro di ottenere due dati reali se volete rimanere anonimi. 2.3 - Come usare la disinformazione a vostro favore Ok, sappiamo come veniamo tracciati. Parliamo brevemente di come usare la disinformazione per rendere molto più difficile a queste entità rintracciarvi. Nomi: Non utilizzate il vostro vero nome su Internet ed evitate i siti web che ne richiedono uno. Affidatevi a pseudo-anonimi, meglio che essere presi con i pantaloni abbassati. Indirizzo IP: Mascherate il vostro indirizzo IP utilizzando Tor, VPN, VPS, RDP o proxy. A seconda di ciò che state facendo, potreste voler combinare alcuni di questi metodi. Il punto è che bisogna usare ciò che si ha a disposizione per rendere più difficile la loro vita. Impronta del browser: Questa è probabilmente la più difficile da nascondere se non siete dei maghi della tecnologia. Ma potete sempre usare diversi browser con diversi plug-in per far sembrare che siate più persone. Numeri di telefono: Smettete di collegare il vostro numero di telefono personale a servizi come gli instant messenger, le applicazioni dei social media e l'autenticazione a due fattori sui servizi. Acquistate un numero VOIP con Crypto o utilizzate Yubi Key per l'autenticazione a due fattori. Indirizzi e-mail: Probabilmente il più semplice, utilizzare più e-mail con nomi diversi per scopi diversi. Tenete le cose separate! Stilometria: È l'applicazione dello studio dello stile linguistico. Ad esempio, posso dire 10% o 10% o dieci per cento. Ognuno di questi è diverso e può essere usato per mascherare la vostra vera identità. Inoltre, quando ho scritto questo post, avrei potuto facilmente rivolgermi a qualche servizio di traduzione e fare questo. Tradurre dall'inglese al russo, dal russo allo spagnolo, dallo spagnolo al finlandese, dal finlandese all'inglese. Questo renderà il testo molto diverso (dal punto di vista stilistico) da quello che avete scritto originariamente, basta fare il controllo ortografico. Inganni e bugie: Non del tipo che vi aspettate. Supponiamo che tu sia un utente di Dread e che tu voglia menzionare un animale domestico che possiedi per fare un punto in una discussione. Ora, è considerato una cattiva OPSEC dire Ehi, ho un gatto nero!, invece dite che avete un cane bianco. In questo modo potete ancora dire che il mio animale domestico ha fatto X, Y o Z, ma senza divulgare informazioni reali su di voi. Modificare in modo così sottile i dettagli è fondamentale se si vuole rimanere nascosti. Citazione: Sun Tzu "Coinvolgete le persone con ciò che si aspettano; è ciò che sono in grado di discernere e conferma le loro proiezioni. Li fa entrare in schemi di risposta prevedibili, occupando le loro menti mentre aspettate il momento straordinario che non possono anticipare".
Tutto ciò che ho detto qui è un tipo di disinformazione in un modo o nell'altro. L'uso di queste tecniche vi fa apparire come diversi individui invece che come uno solo. Ma tutte queste tecniche non vi aiuteranno se non farete un uso corretto della compartimentazione. 2.4 Compartimentazione Perché Qubes OS è considerato uno dei sistemi operativi più sicuri oggi disponibili? Perché fa uso della compartimentazione. Tenere le cose separate è probabilmente il modo migliore per evitare che qualcuno vi rintracci. Cosa intendo dire? Supponiamo che abbiate acquistato un telefono usa e getta e una scheda SIM, in contanti, in un luogo privo di telecamere di sicurezza e che intendiate utilizzarlo come telefono-trappola. Potete tranquillamente pensare che quel telefono sia anonimo per quanto vi riguarda. Ma se con quel telefono chiamaste vostra madre, il vostro coniuge o vostro figlio, verrebbe immediatamente bruciato. Da qualche parte c'è un registro di quella chiamata e potete stare certi che verrà trovato dalle forze dell'ordine. Non importa se siete un hacker, un amministratore di mercato, un amministratore di forum, un utente normale o semplicemente un individuo attento alla privacy, perché questo vale per tutti. Allo stesso modo in cui non dici alla tua famiglia che stai vendendo cocaina online, applica questo principio a ogni aspetto della tua vita digitale. Citazione: Sun Tzu "Se il vostro nemico è sicuro in tutti i punti, siate pronti ad affrontarlo. Se è più forte, evitalo. Se il vostro avversario è irascibile, cercate di irritarlo. Fingete di essere deboli, in modo che possa diventare arrogante. Se si sta riposando, non dategli tregua. Se le sue forze sono unite, separatele. Se sovrano e suddito sono d'accordo, divideteli. Attaccatelo dove è impreparato, apparite dove non siete attesi".
Un altro esempio di compartimentazione è questo. Tutti conosciamo persone di ogni tipo, dai drogati ai dottori di ricerca, e anche tutto ciò che sta in mezzo. Tutti hanno un amico con cui fumano erba, un amico con cui escono a bere, un amico da portare a casa per conoscere i tuoi genitori, ecc. È così che si fa. Alcune cose nella vita semplicemente non si mescolano. Quindi non mescolate le vostre identità online, perché se lo fate, prima o poi saranno legate insieme e torneranno a voi.
2.5 La sicurezza non è conveniente
Come si può dedurre da tutto ciò che ho scritto, la sicurezza non è conveniente e non si può avere entrambe le cose. Ma l'applicazione di questi schemi o di schemi simili alla vostra vita digitale migliorerà esponenzialmente la vostra sicurezza operativa.
Tenete presente che non ho nemmeno scalfito la superficie, ma ho detto abbastanza per farvi pensare alla vostra OPSEC. Evitate i single point of failure, imponete l'uso di PGP quando trasmettete informazioni importanti, usate la crittografia di tutti i dischi, cambiate regolarmente le password, non mischiate crimine e vita privata, usate software open-source piuttosto che closed-source e soprattutto tenete la bocca chiusa!
Nessuno deve sapere cosa avete fatto, cosa avete intenzione di fare, dove si trova il vostro nascondiglio, quanti soldi o droga avete e così via. Un uomo saggio una volta disse: "Un pesce con la bocca chiusa non viene mai preso".
3 D. U.M.B.
Questa parte riguarda la sicurezza fisica operativa e vi chiederete cosa significa D.U.M.B.? È molto semplice: Deep Underground Military Bases. L'ho usato come riferimento all'edificio impenetrabile che dovrebbe essere la vostra OPSEC. Perché non importa quanto sia buona la vostra OPSEC digitale se quella fisica è orrenda e viceversa.
Prima di immergermi in questa sezione, chiunque sia appassionato di scassinamento di casseforti e di scassinamento di serrature come me dovrebbe assolutamente dare un'occhiata al libro di Jayson Street intitolato Dissecting the Hack: F0rb1dd3n Network e Dissecting the Hack: STARS (Security Threats Are Real), in cui spiega molto bene l'importanza della sicurezza sia digitale che fisica e le conseguenze che comporta il non tenerne conto. Inoltre, The Complete Book of Locks and Locksmithing, Seventh Edition e Master Locksmithing: An Experts Guide sono letture divertenti e ricche di informazioni.
Che cos'è l'OPSEC fisica (comunemente chiamata analouge) e perché è così importante? L'analouge OPSEC è come quando si usano i mercati per ordinare della droga, non si lascia il dispositivo collegato e incustodito, non si lasciano le porte aperte quando si esce di casa, tutto questo è analouge OPSEC. Di solito le persone tendono a non considerarla meno importante, ma non bisogna sbagliare: è importante quanto quella digitale.
Proprio come nel digitale, posso solo darvi dei suggerimenti e farvi riflettere, poiché ogni situazione e modello di minaccia è diverso.
Supponiamo che tu sia un commerciante, che non ti occupi di mercati e che preferisca la vecchia maniera. Ti elencherò alcuni consigli che potresti trovare utili:
Non parlare troppo di dove si trova il tuo rifugio, di quanto peso hai, se sei armato o meno, ecc. Tutte queste cose possono essere un motivo per cui verrete rapiti, torturati o uccisi.
Non cagare dove mangi, non spacciare nel tuo stesso quartiere. Questa è solo una cattiva pratica in generale, spostate la vostra attività dall'altra parte della città.
Non essere amico dei clienti che non possono essere amici dei tossicodipendenti. Possono essere uno o l'altro, non entrambi. Perché i tossicodipendenti si girano e cantano se vengono scoperti. Avere un tossicodipendente come amico è un ottimo modo per assicurarsi una lunga vacanza in qualsiasi istituto di correzione del mondo.
Sapere quando rinunciare Questa è probabilmente la cosa più importante: se qualcosa sembra sbagliato, è perché probabilmente lo è. Fidatevi del vostro istinto e sappiate che fare un passo indietro non è sempre una cosa negativa. Come disse Frank Lucas al suo fornitore: "Rinunciare e rinunciare finché si è in vantaggio non è la stessa cosa".
Non lavorate con l 'amico di un amico di un amico, probabilmente sono poliziotti sotto copertura.
Pensate al futuro Avete sempre, e dico sempre, un piano di fuga. Che si tratti di un passaporto falso, 50.000 dollari in contanti e un biglietto per qualche isola sudafricana che non ha un trattato di estradizione con nessuno. O un anticipo di qualche centinaio di migliaia di euro all'avvocato più costoso della città. Assicuratevi di avere un piano.
Queste sono solo alcune cose da tenere d'occhio. Ci sono letteralmente tonnellate di altri consigli per varie professioni, ma se continuo così non farò in tempo a pubblicarli. Tenete presente che tutto può essere scassinato, violato, scassinato o sfruttato.
3.1 Esempi principali di fallimenti OPSEC
Parliamo di alcuni errori OPSEC. Perché le persone intelligenti imparano dagli errori degli altri, non dai propri. Perché nelle linee di lavoro su dark-net questo potrebbe essere il primo e l'ultimo.
DreadPirateRoberts (Ross Ulbricht) era un rivoluzionario, estremamente intelligente ma non necessariamente furbo. Tra le tante cose stupide che ha fatto ci sono: l'uso di un server CAPTCHA configurato male per un lungo periodo di tempo, la spedizione di contrabbando al suo indirizzo di casa, la pubblicità di Silk Road su Shroomery usando il suo stesso indirizzo gmail, l'amicizia con un ex agente della DEA (corrotto) sotto copertura (che in seguito gli ha estorto del denaro), la tenuta di registri di tutte le sue conversazioni e di un diario dettagliato delle sue avventure su Silk Road. Ma la cosa più fatale è che non era consapevole di ciò che lo circondava. Per la maggior parte del tempo ha gestito Silk Road comodamente dalla biblioteca pubblica di San Forensics, ma quando ha sbagliato era seduto a un tavolo con le spalle rivolte alla stanza. Mentre due agenti dell'FBI inscenavano una coppia che litigava, i loro colleghi sono piombati da dietro e hanno afferrato il laptop prima che potesse spegnerlo e attivare il processo di crittografia. In pratica ha documentato tutti i suoi crimini, tra gli altri, quindi non siate DPR.
Shiny Flakes (venditore tedesco) 20enne che ha creato una delle più grandi operazioni di traffico di cocaina in Germania all'epoca. La polizia ha confiscato più di mezzo milione di euro in varie valute e una quantità incredibile di droga, il tutto conservato nella sua camera da letto. Il suo più grande fallimento OPSEC è stato quello di spedire tutte le spedizioni dallo stesso avamposto DHL. Inoltre, conservava tutto in chiaro (ordini, clienti, dati finanziari, credenziali di accesso, ecc.) su un disco non criptato.
Sabu (Hector Xavier Monsegur) LulzSEC ha dimenticato di usare TOR per connettersi al server IRC monitorato dall'FBI. Hanno ottenuto il suo indirizzo IP dal suo ISP, un attacco di correlazione più tardi è stato ammanettato e ha consegnato i suoi amici in cambio di un patteggiamento. Non fare la spia, ma ammetti le tue cazzate.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) tra le tante cose stupide che ha fatto, ha affittato server con l'indirizzo e-mail che ha usato per aprire un conto PayPal, poi ha usato quel PayPal per pagare i fiori della moglie. Ma non è tutto. Ha viaggiato con il suo portatile di lavoro che conteneva centinaia di migliaia di carte di credito, ma non è un male visto che aveva la crittografia. Sfortunatamente, la sua password Ochko123 è stata indovinata dalle forze dell'ordine perché era la stessa della sua e-mail, credo. Quindi, non portate con voi il lavoro quando viaggiate, non mescolate crimine e vita sentimentale, non riutilizzate le password. Non siate BulbaCC.
Willy Clock (Ryan Gustefson, falsario ugandese) ha riutilizzato l'e-mail personale che aveva usato per richiedere la cittadinanza statunitense per un account Face-book da cui vendeva banconote false. Inoltre, ha caricato la propria foto su quell'account. Non ho nemmeno nulla da dire su questo.
FrecnhMaid alias nob (agente della DEA del caso DRP) ha usato il suo laptop di lavoro per estorcere denaro a Ross Ulbricht, potete immaginare come sia andata. Tra le altre cose, ha spostato il denaro su conti bancari a suo nome, in paesi con leggi non rigide sul segreto bancario. Ha avuto quello che si meritava.
Alexandre Cazes (amministratore di AlphaBay) ha usato l'indirizzo e-mail personale per le e-mail di reset della password di AlphaBay, ha conservato tutti i dati in formato non criptato sul suo dispositivo, ha ospitato i server di Alphabay in Quebec, Canada, a suo nome.
3.2 - Inevitabile cazzata, conseguenze e pulizia
Questo è l'ultimo capitolo di questo post che tocca l'inevitabile casino e cosa fare dopo. Siamo tutti umani, il che significa che prima o poi commetterete un errore. Sarà la vostra fine? Dipende, ma l'importante è saper rimediare ai propri errori.
Ecco un esempio ricorrente di errore e di come si può procedere in seguito, ma tenete presente che si tratta di una situazione speculativa e dovete sapere che non posso prevedere tutti i possibili risultati.
Consegna controllata - è la situazione in cui le forze dell'ordine sequestrano il vostro ordine, ma permettono alle poste di procedere alla consegna del pacco per cogliervi in flagrante. Di solito, per cercare di costringervi a cambiare idea. In genere, le conseguenze di questa situazione sono due: se avete un paio di ordini in corso, se il pacco impiega un tempo sospetto per essere consegnato e se è rimasto fermo per giorni nello stesso posto.
Potete non saperlo, firmare per il pacco ed essere scoperti in pochi secondi. Oppure si può negare di aver ricevuto il pacco, nel qual caso non hanno nulla. Se pensate che si tratti di una consegna controllata, la cosa migliore da fare è rimuovere qualsiasi prova di tale attività dai vostri dispositivi e dalla vostra casa. Perché potete essere certi che l'indirizzo è bruciato e lo siete anche voi.
Cosa intendo per eliminare le prove? I buoni vecchi distruggidocumenti sono sempre la soluzione migliore, ma se avete informazioni critiche che non devono mai finire in mani nemiche, la cosa migliore da fare è sempre sbarazzarsi dell'SSD/HDD in questione. Prima di tutto, distruggete i dati (si consigliano almeno 7 passaggi), poi distruggete il disco. Di solito, la masterizzazione è sufficiente. È sempre meglio distruggere il dispositivo in modo che nessuno possa fare indagini forensi e recuperare i dati. Perché nessun dispositivo nuovo e scintillante (laptop, computer, hdd, ssd, ecc.) vale più della vostra libertà.
Il punto è che se qualcosa sembra sbagliato è perché probabilmente lo è! Siate vigili, non ordinate al vostro indirizzo di casa, giocate e non lasciate che il gioco giochi con voi.
.....1.1 Chi sono
.....1.2 Definizione di sicurezza operativa
2 - Guerra di disinformazione (digitale)
.....2.1 La disinformazione antica
.....2.2 Come si viene rintracciati
.....2.3 Come usare la disinformazione a proprio favore
.....2.4 La compartimentazione
.....2.5 La sicurezza non è conveniente
3 - D.U.M.B (fisico)
.....3.1 Esempi principali di fallimenti dell'OPSEC
.....3.2 Inevitabili casini, conseguenze e pulizia
1.1 - Chi sono
"Sono solo un'altra eco nel vuoto".
1.2 - Definizione di sicurezza operativa
La definizione di sicurezza operativa deriva dal termine militare di sicurezza procedurale, nato come termine che descriveva le strategie per impedire a potenziali avversari di scoprire dati critici relativi alle operazioni. Si tratta di un processo analitico che classifica le risorse informative e determina il controllo necessario per fornirle.
Vi chiederete perché ho scelto di scrivere di sicurezza operativa sia fisica che digitale? La risposta più semplice è che, a mio avviso, sono interconnesse e non possono essere separate. Se avete una ma non l'altra, è come se non ne aveste nessuna.
2 - La guerra di disinformazione
2.1 - La disinformazione antica
Fin dagli albori dell'uomo, la disinformazione è stata usata come arma e per di più la più efficace. Se siete appassionati di libri come me, vi consiglio di leggere L'arte della guerra di Sun Tzu: anche dopo migliaia di anni dalla sua stesura, questo libro contiene teorie e pratiche che possono essere applicate al mondo moderno. Perché vi dico questo? Perché inizieremo con una delle sue citazioni.
Citazione: Sun Tzu
"Tutta la guerra si basa sull'inganno. Perciò, quando siamo in grado di attaccare, dobbiamo sembrare incapaci; quando usiamo le nostre forze, dobbiamo sembrare inattivi; quando siamo vicini, dobbiamo far credere al nemico che siamo lontani; quando siamo lontani, dobbiamo fargli credere che siamo vicini".
Uno degli esempi più eclatanti ci riporta all'antica Roma e alla fine della Repubblica, quando quasi un secolo di guerre civili, caos e omicidi politici avevano portato il governo romano sull'orlo del collasso. Era l'epoca del cosiddetto Secondo Triumvirato. Circa 2000 anni fa, la Repubblica romana stava affrontando una guerra civile tra Ottaviano, figlio adottivo del grande generale Giulio Cesare, e Marco Antonio, uno dei comandanti più fidati di Cesare. Per vincere la guerra, Ottaviano sapeva di dover avere l'opinione pubblica dalla sua parte: vincere battaglie importanti era utile, ma se non fosse piaciuto al popolo, non sarebbe stato un sovrano di successo. Per ottenere il sostegno dell'opinione pubblica, Ottaviano lanciò una guerra di notizie false contro Marco Antonio. Sosteneva che Antonio, che aveva una relazione con Cleopatra, la regina egiziana, non rispettava i valori tradizionali romani come la fedeltà e il rispetto. Ottaviano disse anche che non era adatto a ricoprire una carica perché era sempre ubriaco. Ottaviano fece arrivare il suo messaggio al pubblico attraverso poesie e slogan brevi e veloci stampati sulle monete. Alla fine Ottaviano vinse la guerra e divenne il primo imperatore di Roma, governando per oltre 50 anni. Ma sto divagando, quindi torniamo al motivo per cui siete venuti qui. Oggi è molto più facile condurre una guerra di disinformazione rispetto a 2000 anni fa, ovviamente. Ora, per saltare le lezioni di storia e passare all'era moderna, ecco un esempio di disinformazione. I mercati che vogliono condurre una truffa di uscita di solito disabilitano i prelievi a causa di alcuni problemi tecnici da parte loro, mentre mantengono i depositi funzionanti mentre travasano i fondi in qualche portafoglio fuori sede. 2.2 - Come siete tracciati Nella società distopica in cui viviamo oggi, la sorveglianza è una parte importante del modo in cui i governi tengono in riga la gente comune. Per capire come possiamo usare la disinformazione contro di loro, dobbiamo innanzitutto capire come veniamo tracciati. Le entità che ci tracciano (agenzie governative, conglomerati tecnologici e società di data mining) contano sul fatto che voi facciate trapelare piccoli pezzi di dati che utilizzano per tracciare il vostro profilo online e abbinare il nome dell'utente all'utente reale. È semplice abbinare i contenuti nei database se c'è una sorta di indice per i contenuti. I dati più comuni utilizzati per tracciare l'utente su clear-net e dark-net sono: Nomi (sia quelli reali che quelli degli utenti)
Indirizzi IP
Impronta del browser
Indirizzo e-mail
Posizione (esatta o approssimativa)
Numeri di telefono
Data di nascita (o qualsiasi altra PII)
Stilometria
Riconoscimento facciale
È importante capire che basta utilizzare due elementi tra tutti questi per essere rintracciati. Il vostro compito è quindi quello di impedire loro di ottenere due dati reali se volete rimanere anonimi. 2.3 - Come usare la disinformazione a vostro favore Ok, sappiamo come veniamo tracciati. Parliamo brevemente di come usare la disinformazione per rendere molto più difficile a queste entità rintracciarvi. Nomi: Non utilizzate il vostro vero nome su Internet ed evitate i siti web che ne richiedono uno. Affidatevi a pseudo-anonimi, meglio che essere presi con i pantaloni abbassati. Indirizzo IP: Mascherate il vostro indirizzo IP utilizzando Tor, VPN, VPS, RDP o proxy. A seconda di ciò che state facendo, potreste voler combinare alcuni di questi metodi. Il punto è che bisogna usare ciò che si ha a disposizione per rendere più difficile la loro vita. Impronta del browser: Questa è probabilmente la più difficile da nascondere se non siete dei maghi della tecnologia. Ma potete sempre usare diversi browser con diversi plug-in per far sembrare che siate più persone. Numeri di telefono: Smettete di collegare il vostro numero di telefono personale a servizi come gli instant messenger, le applicazioni dei social media e l'autenticazione a due fattori sui servizi. Acquistate un numero VOIP con Crypto o utilizzate Yubi Key per l'autenticazione a due fattori. Indirizzi e-mail: Probabilmente il più semplice, utilizzare più e-mail con nomi diversi per scopi diversi. Tenete le cose separate! Stilometria: È l'applicazione dello studio dello stile linguistico. Ad esempio, posso dire 10% o 10% o dieci per cento. Ognuno di questi è diverso e può essere usato per mascherare la vostra vera identità. Inoltre, quando ho scritto questo post, avrei potuto facilmente rivolgermi a qualche servizio di traduzione e fare questo. Tradurre dall'inglese al russo, dal russo allo spagnolo, dallo spagnolo al finlandese, dal finlandese all'inglese. Questo renderà il testo molto diverso (dal punto di vista stilistico) da quello che avete scritto originariamente, basta fare il controllo ortografico. Inganni e bugie: Non del tipo che vi aspettate. Supponiamo che tu sia un utente di Dread e che tu voglia menzionare un animale domestico che possiedi per fare un punto in una discussione. Ora, è considerato una cattiva OPSEC dire Ehi, ho un gatto nero!, invece dite che avete un cane bianco. In questo modo potete ancora dire che il mio animale domestico ha fatto X, Y o Z, ma senza divulgare informazioni reali su di voi. Modificare in modo così sottile i dettagli è fondamentale se si vuole rimanere nascosti. Citazione: Sun Tzu "Coinvolgete le persone con ciò che si aspettano; è ciò che sono in grado di discernere e conferma le loro proiezioni. Li fa entrare in schemi di risposta prevedibili, occupando le loro menti mentre aspettate il momento straordinario che non possono anticipare".
Tutto ciò che ho detto qui è un tipo di disinformazione in un modo o nell'altro. L'uso di queste tecniche vi fa apparire come diversi individui invece che come uno solo. Ma tutte queste tecniche non vi aiuteranno se non farete un uso corretto della compartimentazione. 2.4 Compartimentazione Perché Qubes OS è considerato uno dei sistemi operativi più sicuri oggi disponibili? Perché fa uso della compartimentazione. Tenere le cose separate è probabilmente il modo migliore per evitare che qualcuno vi rintracci. Cosa intendo dire? Supponiamo che abbiate acquistato un telefono usa e getta e una scheda SIM, in contanti, in un luogo privo di telecamere di sicurezza e che intendiate utilizzarlo come telefono-trappola. Potete tranquillamente pensare che quel telefono sia anonimo per quanto vi riguarda. Ma se con quel telefono chiamaste vostra madre, il vostro coniuge o vostro figlio, verrebbe immediatamente bruciato. Da qualche parte c'è un registro di quella chiamata e potete stare certi che verrà trovato dalle forze dell'ordine. Non importa se siete un hacker, un amministratore di mercato, un amministratore di forum, un utente normale o semplicemente un individuo attento alla privacy, perché questo vale per tutti. Allo stesso modo in cui non dici alla tua famiglia che stai vendendo cocaina online, applica questo principio a ogni aspetto della tua vita digitale. Citazione: Sun Tzu "Se il vostro nemico è sicuro in tutti i punti, siate pronti ad affrontarlo. Se è più forte, evitalo. Se il vostro avversario è irascibile, cercate di irritarlo. Fingete di essere deboli, in modo che possa diventare arrogante. Se si sta riposando, non dategli tregua. Se le sue forze sono unite, separatele. Se sovrano e suddito sono d'accordo, divideteli. Attaccatelo dove è impreparato, apparite dove non siete attesi".
Un altro esempio di compartimentazione è questo. Tutti conosciamo persone di ogni tipo, dai drogati ai dottori di ricerca, e anche tutto ciò che sta in mezzo. Tutti hanno un amico con cui fumano erba, un amico con cui escono a bere, un amico da portare a casa per conoscere i tuoi genitori, ecc. È così che si fa. Alcune cose nella vita semplicemente non si mescolano. Quindi non mescolate le vostre identità online, perché se lo fate, prima o poi saranno legate insieme e torneranno a voi.
2.5 La sicurezza non è conveniente
Come si può dedurre da tutto ciò che ho scritto, la sicurezza non è conveniente e non si può avere entrambe le cose. Ma l'applicazione di questi schemi o di schemi simili alla vostra vita digitale migliorerà esponenzialmente la vostra sicurezza operativa.
Tenete presente che non ho nemmeno scalfito la superficie, ma ho detto abbastanza per farvi pensare alla vostra OPSEC. Evitate i single point of failure, imponete l'uso di PGP quando trasmettete informazioni importanti, usate la crittografia di tutti i dischi, cambiate regolarmente le password, non mischiate crimine e vita privata, usate software open-source piuttosto che closed-source e soprattutto tenete la bocca chiusa!
Nessuno deve sapere cosa avete fatto, cosa avete intenzione di fare, dove si trova il vostro nascondiglio, quanti soldi o droga avete e così via. Un uomo saggio una volta disse: "Un pesce con la bocca chiusa non viene mai preso".
3 D. U.M.B.
Questa parte riguarda la sicurezza fisica operativa e vi chiederete cosa significa D.U.M.B.? È molto semplice: Deep Underground Military Bases. L'ho usato come riferimento all'edificio impenetrabile che dovrebbe essere la vostra OPSEC. Perché non importa quanto sia buona la vostra OPSEC digitale se quella fisica è orrenda e viceversa.
Prima di immergermi in questa sezione, chiunque sia appassionato di scassinamento di casseforti e di scassinamento di serrature come me dovrebbe assolutamente dare un'occhiata al libro di Jayson Street intitolato Dissecting the Hack: F0rb1dd3n Network e Dissecting the Hack: STARS (Security Threats Are Real), in cui spiega molto bene l'importanza della sicurezza sia digitale che fisica e le conseguenze che comporta il non tenerne conto. Inoltre, The Complete Book of Locks and Locksmithing, Seventh Edition e Master Locksmithing: An Experts Guide sono letture divertenti e ricche di informazioni.
Che cos'è l'OPSEC fisica (comunemente chiamata analouge) e perché è così importante? L'analouge OPSEC è come quando si usano i mercati per ordinare della droga, non si lascia il dispositivo collegato e incustodito, non si lasciano le porte aperte quando si esce di casa, tutto questo è analouge OPSEC. Di solito le persone tendono a non considerarla meno importante, ma non bisogna sbagliare: è importante quanto quella digitale.
Proprio come nel digitale, posso solo darvi dei suggerimenti e farvi riflettere, poiché ogni situazione e modello di minaccia è diverso.
Supponiamo che tu sia un commerciante, che non ti occupi di mercati e che preferisca la vecchia maniera. Ti elencherò alcuni consigli che potresti trovare utili:
Non parlare troppo di dove si trova il tuo rifugio, di quanto peso hai, se sei armato o meno, ecc. Tutte queste cose possono essere un motivo per cui verrete rapiti, torturati o uccisi.
Non cagare dove mangi, non spacciare nel tuo stesso quartiere. Questa è solo una cattiva pratica in generale, spostate la vostra attività dall'altra parte della città.
Non essere amico dei clienti che non possono essere amici dei tossicodipendenti. Possono essere uno o l'altro, non entrambi. Perché i tossicodipendenti si girano e cantano se vengono scoperti. Avere un tossicodipendente come amico è un ottimo modo per assicurarsi una lunga vacanza in qualsiasi istituto di correzione del mondo.
Sapere quando rinunciare Questa è probabilmente la cosa più importante: se qualcosa sembra sbagliato, è perché probabilmente lo è. Fidatevi del vostro istinto e sappiate che fare un passo indietro non è sempre una cosa negativa. Come disse Frank Lucas al suo fornitore: "Rinunciare e rinunciare finché si è in vantaggio non è la stessa cosa".
Non lavorate con l 'amico di un amico di un amico, probabilmente sono poliziotti sotto copertura.
Pensate al futuro Avete sempre, e dico sempre, un piano di fuga. Che si tratti di un passaporto falso, 50.000 dollari in contanti e un biglietto per qualche isola sudafricana che non ha un trattato di estradizione con nessuno. O un anticipo di qualche centinaio di migliaia di euro all'avvocato più costoso della città. Assicuratevi di avere un piano.
Queste sono solo alcune cose da tenere d'occhio. Ci sono letteralmente tonnellate di altri consigli per varie professioni, ma se continuo così non farò in tempo a pubblicarli. Tenete presente che tutto può essere scassinato, violato, scassinato o sfruttato.
3.1 Esempi principali di fallimenti OPSEC
Parliamo di alcuni errori OPSEC. Perché le persone intelligenti imparano dagli errori degli altri, non dai propri. Perché nelle linee di lavoro su dark-net questo potrebbe essere il primo e l'ultimo.
DreadPirateRoberts (Ross Ulbricht) era un rivoluzionario, estremamente intelligente ma non necessariamente furbo. Tra le tante cose stupide che ha fatto ci sono: l'uso di un server CAPTCHA configurato male per un lungo periodo di tempo, la spedizione di contrabbando al suo indirizzo di casa, la pubblicità di Silk Road su Shroomery usando il suo stesso indirizzo gmail, l'amicizia con un ex agente della DEA (corrotto) sotto copertura (che in seguito gli ha estorto del denaro), la tenuta di registri di tutte le sue conversazioni e di un diario dettagliato delle sue avventure su Silk Road. Ma la cosa più fatale è che non era consapevole di ciò che lo circondava. Per la maggior parte del tempo ha gestito Silk Road comodamente dalla biblioteca pubblica di San Forensics, ma quando ha sbagliato era seduto a un tavolo con le spalle rivolte alla stanza. Mentre due agenti dell'FBI inscenavano una coppia che litigava, i loro colleghi sono piombati da dietro e hanno afferrato il laptop prima che potesse spegnerlo e attivare il processo di crittografia. In pratica ha documentato tutti i suoi crimini, tra gli altri, quindi non siate DPR.
Shiny Flakes (venditore tedesco) 20enne che ha creato una delle più grandi operazioni di traffico di cocaina in Germania all'epoca. La polizia ha confiscato più di mezzo milione di euro in varie valute e una quantità incredibile di droga, il tutto conservato nella sua camera da letto. Il suo più grande fallimento OPSEC è stato quello di spedire tutte le spedizioni dallo stesso avamposto DHL. Inoltre, conservava tutto in chiaro (ordini, clienti, dati finanziari, credenziali di accesso, ecc.) su un disco non criptato.
Sabu (Hector Xavier Monsegur) LulzSEC ha dimenticato di usare TOR per connettersi al server IRC monitorato dall'FBI. Hanno ottenuto il suo indirizzo IP dal suo ISP, un attacco di correlazione più tardi è stato ammanettato e ha consegnato i suoi amici in cambio di un patteggiamento. Non fare la spia, ma ammetti le tue cazzate.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) tra le tante cose stupide che ha fatto, ha affittato server con l'indirizzo e-mail che ha usato per aprire un conto PayPal, poi ha usato quel PayPal per pagare i fiori della moglie. Ma non è tutto. Ha viaggiato con il suo portatile di lavoro che conteneva centinaia di migliaia di carte di credito, ma non è un male visto che aveva la crittografia. Sfortunatamente, la sua password Ochko123 è stata indovinata dalle forze dell'ordine perché era la stessa della sua e-mail, credo. Quindi, non portate con voi il lavoro quando viaggiate, non mescolate crimine e vita sentimentale, non riutilizzate le password. Non siate BulbaCC.
Willy Clock (Ryan Gustefson, falsario ugandese) ha riutilizzato l'e-mail personale che aveva usato per richiedere la cittadinanza statunitense per un account Face-book da cui vendeva banconote false. Inoltre, ha caricato la propria foto su quell'account. Non ho nemmeno nulla da dire su questo.
FrecnhMaid alias nob (agente della DEA del caso DRP) ha usato il suo laptop di lavoro per estorcere denaro a Ross Ulbricht, potete immaginare come sia andata. Tra le altre cose, ha spostato il denaro su conti bancari a suo nome, in paesi con leggi non rigide sul segreto bancario. Ha avuto quello che si meritava.
Alexandre Cazes (amministratore di AlphaBay) ha usato l'indirizzo e-mail personale per le e-mail di reset della password di AlphaBay, ha conservato tutti i dati in formato non criptato sul suo dispositivo, ha ospitato i server di Alphabay in Quebec, Canada, a suo nome.
3.2 - Inevitabile cazzata, conseguenze e pulizia
Questo è l'ultimo capitolo di questo post che tocca l'inevitabile casino e cosa fare dopo. Siamo tutti umani, il che significa che prima o poi commetterete un errore. Sarà la vostra fine? Dipende, ma l'importante è saper rimediare ai propri errori.
Ecco un esempio ricorrente di errore e di come si può procedere in seguito, ma tenete presente che si tratta di una situazione speculativa e dovete sapere che non posso prevedere tutti i possibili risultati.
Consegna controllata - è la situazione in cui le forze dell'ordine sequestrano il vostro ordine, ma permettono alle poste di procedere alla consegna del pacco per cogliervi in flagrante. Di solito, per cercare di costringervi a cambiare idea. In genere, le conseguenze di questa situazione sono due: se avete un paio di ordini in corso, se il pacco impiega un tempo sospetto per essere consegnato e se è rimasto fermo per giorni nello stesso posto.
Potete non saperlo, firmare per il pacco ed essere scoperti in pochi secondi. Oppure si può negare di aver ricevuto il pacco, nel qual caso non hanno nulla. Se pensate che si tratti di una consegna controllata, la cosa migliore da fare è rimuovere qualsiasi prova di tale attività dai vostri dispositivi e dalla vostra casa. Perché potete essere certi che l'indirizzo è bruciato e lo siete anche voi.
Cosa intendo per eliminare le prove? I buoni vecchi distruggidocumenti sono sempre la soluzione migliore, ma se avete informazioni critiche che non devono mai finire in mani nemiche, la cosa migliore da fare è sempre sbarazzarsi dell'SSD/HDD in questione. Prima di tutto, distruggete i dati (si consigliano almeno 7 passaggi), poi distruggete il disco. Di solito, la masterizzazione è sufficiente. È sempre meglio distruggere il dispositivo in modo che nessuno possa fare indagini forensi e recuperare i dati. Perché nessun dispositivo nuovo e scintillante (laptop, computer, hdd, ssd, ecc.) vale più della vostra libertà.
Il punto è che se qualcosa sembra sbagliato è perché probabilmente lo è! Siate vigili, non ordinate al vostro indirizzo di casa, giocate e non lasciate che il gioco giochi con voi.
