Geschreven door scribe_TS NIET MIJ
.....1.1 Wie ben ik?
.....1.2 Definitie van operationele veiligheid
2 - Misinformatie oorlogvoering (Digitaal)
.....2.1 Misinformatie van de oudheid
.....2.2 Hoe word je gevolgd?
.....2.3 Hoe kun je desinformatie in je voordeel gebruiken?
.....2.4 Compartimentering
.....2.5 Veiligheid is niet handig
3 - D.U.M.B (Fysiek)
.....3.1 De beste voorbeelden van falende OPSEC
.....3.2 Onvermijdelijke fouten, nasleep en opruiming
1.1 - Wie ben ik
"Ik ben gewoon een echo in de leegte."
1.2 - Definitie van operationele veiligheid
Operationele beveiliging is per definitie afgeleid van de militaire term procedurele beveiliging en is ontstaan als een term die strategieën beschreef om te voorkomen dat potentiële tegenstanders kritieke gegevens over operaties ontdekken. Wat een analytisch proces is dat informatiemiddelen classificeert en bepaalt welke controle nodig is om deze middelen te leveren.
Je vraagt je misschien af waarom ik ervoor heb gekozen om over zowel fysieke als digitale operationele beveiliging te schrijven? Het eenvoudigste antwoord is dat ze met elkaar verweven zijn en naar mijn mening niet los van elkaar kunnen worden gezien. Als je het ene hebt maar het andere niet, dan is het net alsof je er geen hebt.
2 - Misinformatie oorlogsvoering
2.1 - Misinformatie van de oudheid
Sinds het begin van de mensheid is desinformatie gebruikt als wapen en het meest effectieve wapen. Als je net zo'n boekenwurm bent als ik, raad ik je aan om De kunst van het oorlogvoeren van Sun Tzu te lezen. Zelfs duizenden jaren nadat het boek werd geschreven, bevat het theorieën en praktijken die in de moderne wereld kunnen worden toegepast. Waarom vertel ik je dit? Omdat we beginnen met een van zijn citaten.
Citaat: Sun Tzu
"Alle oorlogsvoering is gebaseerd op misleiding. Daarom moeten we, als we kunnen aanvallen, doen alsof we dat niet kunnen; als we onze krachten gebruiken, moeten we inactief lijken; als we dichtbij zijn, moeten we de vijand laten geloven dat we ver weg zijn; als we ver weg zijn, moeten we hem laten geloven dat we dichtbij zijn."
Een van de meest flagrante voorbeelden hiervan voert ons terug naar het oude Rome en naar het einde van de Republiek, toen bijna een eeuw van burgeroorlog, chaos en politieke moorden de Romeinse regering op de rand van de afgrond hadden gebracht. Het was de tijd van het zogenaamde Tweede Triumviraat. Ongeveer 2000 jaar geleden werd de Romeinse Republiek geconfronteerd met een burgeroorlog tussen Octavianus, de geadopteerde zoon van de grote generaal Julius Caesar, en Marcus Antonius, een van Caesars meest vertrouwde commandanten. Om de oorlog te winnen, wist Octavianus dat hij het publiek aan zijn kant moest hebben om belangrijke veldslagen te winnen, maar als het volk hem niet mocht, zou hij geen succesvol heerser zijn. Om de steun van het publiek te krijgen, begon Octavianus een nepnieuwsoorlog tegen Marcus Antonius. Hij beweerde dat Antonius, die een affaire had met Cleopatra, de Egyptische koningin, traditionele Romeinse waarden zoals trouw en respect niet respecteerde. Octavianus zei ook dat hij ongeschikt was voor het ambt omdat hij altijd dronken was. Octavianus bracht zijn boodschap over aan het publiek door middel van poëzie en korte, pittige slogans op munten. Octavianus won uiteindelijk de oorlog en werd de eerste keizer van Rome, die meer dan 50 jaar regeerde. Maar, ik dwaal af, dus laten we teruggaan naar waar je hier voor kwam. Vandaag de dag is het veel gemakkelijker om oorlog te voeren met verkeerde informatie dan 2000 jaar geleden, dat is duidelijk. Om de geschiedenislessen over te slaan en naar het moderne tijdperk te gaan, volgt hier een voorbeeld van desinformatie. Markten die aan exit-scam willen doen, zullen meestal opnames uitschakelen vanwege technische problemen aan hun kant, terwijl stortingen blijven werken terwijl ze geld overhevelen naar een off-site portemonnee. 2.2 - Hoe wordt je gevolgd In de dystopische maatschappij waarin we nu leven, is surveillance een belangrijk onderdeel van de manier waarop overheden het gewone volk in het gareel houden. Om te begrijpen hoe we verkeerde informatie tegen hen kunnen gebruiken, moeten we eerst begrijpen hoe we worden gevolgd. Entiteiten die ons volgen (overheidsinstanties, technologieconcerns en dataminingbedrijven) vertrouwen erop dat je kleine stukjes gegevens lekt die ze gebruiken om je online te profileren en de gebruikersnaam te koppelen aan de daadwerkelijke gebruiker. Het is eenvoudig om inhoud in databases te matchen als er een soort index is voor de inhoud. De meest voorkomende gegevens die worden gebruikt om je te volgen op clear-net en dark-net zijn: Namen (zowel echte als gebruikersnamen)
IP-adressen
Browser vingerafdruk
E-mailadres
Locatie (exact of bij benadering)
Telefoonnummers
Geboortedatum (of andere PII)
Stylometrie
Gezichtsherkenning
Het is belangrijk om te begrijpen dat het gebruik van slechts twee van deze elementen al genoeg is om je te kunnen traceren. Het is dus jouw taak om te voorkomen dat ze twee echte gegevens krijgen als je anoniem wilt blijven. 2.3 - Hoe je desinformatie in je voordeel kunt gebruiken Oké, we weten hoe we worden gevolgd. Laten we het kort hebben over hoe we verkeerde informatie kunnen gebruiken om het deze entiteiten veel moeilijker te maken je te volgen. Namen: Gebruik je echte naam nergens op het internet en vermijd websites die een echte naam vereisen. Vertrouw op aliassen, pseudo anoniem is beter dan betrapt worden met je broek naar beneden. IP-adres: Maskeer je IP-adres door Tor, VPN, VPS, RDP of proxies te gebruiken. Afhankelijk van wat je eigenlijk doet, wil je misschien een aantal van deze combineren. Het punt is dat je moet gebruiken wat je tot je beschikking hebt om hun leven moeilijker te maken. Browser vingerafdruk: Deze is waarschijnlijk het moeilijkst te verbergen als je geen tech-wizard bent. Maar je kunt altijd meerdere browsers met verschillende plug-ins gebruiken om het te laten lijken alsof je met meerdere personen bent. Telefoonnummers: Stop met het koppelen van je persoonlijke telefoonnummer aan diensten zoals instant messengers, social media applicaties en twee-factor authenticatie op diensten. Ga je gang en koop een VOIP-nummer met Crypto of gebruik dingen zoals Yubi Key voor tweefactorauthenticatie. E-mailadressen: Waarschijnlijk het makkelijkst, gebruik meerdere e-mails onder verschillende namen voor verschillende doeleinden. Houd dingen gescheiden! Stylometrie: Is de toepassing van de studie van linguïstische stijl. Ik kan bijvoorbeeld zeggen 10% of 10% of tien procent. Ze zijn allemaal verschillend en kunnen gebruikt worden om je ware identiteit te verhullen. Toen ik deze post schreef, had ik ook gemakkelijk naar een vertaaldienst kunnen gaan en dit kunnen doen. Vertaal van Engels naar Russisch, Russisch naar Spaans, Spaans naar Fins, Fins naar Engels. Dit zal de tekst doen tuimelen en heel anders maken (qua stijl) dan wat je oorspronkelijk schreef, je hoeft het alleen maar op spelling te controleren. Bedrog en leugens: Niet het soort dat je verwacht. Laten we zeggen dat je een Dread-gebruiker bent en je wilt een huisdier noemen dat je hebt om een punt te maken in een discussie. Het is dan niet goed om te zeggen dat je een zwarte kat hebt, maar dat je een witte hond hebt. Op die manier kun je nog steeds zeggen dat mijn huisdier X, Y of Z heeft gedaan. Het aanbrengen van zulke subtiele veranderingen in details is cruciaal als je verborgen wilt blijven. Citaat: Sun Tzu "Betrek mensen bij wat ze verwachten; het is wat ze kunnen onderscheiden en bevestigt hun projecties. Het zet ze vast in voorspelbare reactiepatronen, houdt hun gedachten bezig terwijl jij wacht op het buitengewone moment dat wat ze niet kunnen voorzien."
Alles wat ik hier gezegd heb is op de een of andere manier een vorm van verkeerde informatie. Door deze technieken te gebruiken lijk je meerdere individuen in plaats van slechts één. Maar dit alles zal je niet helpen als je niet op de juiste manier gebruik maakt van compartimentering. 2.4 Compartimentering Waarom wordt Qubes OS beschouwd als één van de veiligste besturingssystemen die vandaag beschikbaar zijn? Omdat het gebruik maakt van compartimentering. Dingen gescheiden houden is waarschijnlijk de beste manier om te voorkomen dat iemand je kan volgen. Wat bedoel ik daarmee? Laten we zeggen dat je een brandertelefoon en een SIM-kaart hebt gekocht, met contant geld, op een locatie zonder beveiligingscamera's en je bent van plan om het te gebruiken als een valstrik-telefoon. Je kunt ervan uitgaan dat die telefoon anoniem is wat jou betreft. Maar als je je moeder, echtgenoot of kind met die telefoon zou bellen, zou hij direct verbrand zijn. Er bestaat ergens een logboek over dat telefoontje en je kunt er zeker van zijn dat de politie het zal vinden. Het maakt niet uit of je een hacker, marktbeheerder, forumbeheerder, gewone gebruiker of gewoon een privacy-bewuste persoon bent, want dit geldt voor iedereen. Net zoals je je familie niet vertelt dat je online cocaïne verkoopt, moet je dat ook toepassen op elk aspect van je digitale leven. Citaat: Sun Tzu "Als je vijand op alle punten veilig is, wees dan op hem voorbereid. Als hij sterker is, ontwijk hem dan. Als je tegenstander temperamentvol is, probeer hem dan te irriteren. Doe alsof je zwak bent, zodat hij arrogant wordt. Als hij op zijn gemak is, geef hem dan geen rust. Als zijn krachten verenigd zijn, scheid ze dan. Als soeverein en onderdaan overeenstemmen, breng dan verdeeldheid tussen hen. Val hem aan waar hij onvoorbereid is, verschijn waar je niet verwacht wordt."
Een ander voorbeeld van compartimentering is het volgende. We kennen allemaal allerlei soorten mensen, van junkies tot jongens met een PhD en zelfs alles daar tussenin. Iedereen heeft wel een vriend met wie ze wiet roken, een vriend met wie ze gaan drinken, vrienden die ze mee naar huis kunnen nemen om je ouders te ontmoeten, enz. Zo gaat dat. Sommige dingen in het leven gaan gewoon niet samen. Dus vermeng je online identiteiten niet, want als je dat wel doet, worden ze vroeg of laat aan elkaar gekoppeld en naar jou teruggeleid.
2.5 Veiligheid is niet handig
Zoals je hebt kunnen opmaken uit alles wat ik heb geschreven, is veiligheid niet handig en kun je niet van twee walletjes eten. Maar door deze of soortgelijke patronen toe te passen op je digitale leven, zal je operationele veiligheid exponentieel verbeteren.
Onthoud dat ik nog niet eens aan de oppervlakte ben geweest, maar ik heb genoeg gezegd om je aan het denken te zetten over je eigen OPSEC. Omzeil single point of failure, dwing het gebruik van PGP af bij het verzenden van belangrijke informatie, gebruik volledige schijfversleuteling, verander je wachtwoorden regelmatig, vermeng misdaad en privé niet, gebruik open-source software in plaats van closed-source en het allerbelangrijkste: hou verdomme je mond dicht!
Niemand hoeft te weten wat je hebt gedaan, wat je gaat doen, waar je schuilplaats is, hoeveel geld of drugs je hebt enzovoort. Een wijs man zei ooit: Een vis met zijn bek dicht wordt nooit gevangen.
3 D .U.M.B.
Dit onderdeel gaat over fysieke operationele beveiliging en je vraagt je misschien af waar D.U.M.B. voor staat? Het is heel eenvoudig, Deep Underground Military Bases. Ik heb het gebruikt als referentie voor een ondoordringbaar gebouw dat je OPSEC zou moeten zijn. Want het maakt niet uit hoe goed je digitale OPSEC is als je fysieke OPSEC verschrikkelijk is en vice versa.
Voordat ik in dit gedeelte duik, moet iedereen die net als ik dol is op kluiskraken en sloten openbreken zeker het boek van Jayson Street lezen, genaamd Dissecting the Hack: F0rb1dd3n Network en Dissecting the Hack: STARS (Security Threats Are Real), waarin hij goed uitlegt wat het belang is van zowel digitale als fysieke beveiliging en wat de gevolgen zijn als je een van beide negeert. Ook The Complete Book of Locks and Locksmithing, Seventh Edition en Master Locksmithing: An Experts Guide zijn leuke boeken vol informatie.
Wat is fysieke OPSEC (meestal analouge genoemd) en waarom is het zo belangrijk? Nou, analouge OPSEC is net zoiets als wanneer je een markt gebruikt om drugs te bestellen, je dat apparaat niet ingelogd en onbeheerd achterlaat, je deuren niet onafgesloten laat wanneer je het huis verlaat, dat is allemaal analouge OPSEC. Mensen hebben meestal de neiging om het als minder belangrijk te beschouwen, maar vergis je niet: het is net zo belangrijk als digitaal.
Net als bij digitaal kan ik je alleen suggesties geven en je aan het denken zetten, omdat elke situatie en elk dreigingsmodel anders is.
Laten we ervan uitgaan dat je een dealer bent, niet aan markten doet en de voorkeur geeft aan de ouderwetse manier. Ik zal wat adviezen geven die je misschien kunt gebruiken:
Praat niet te veel over waar je schuilplaats is, hoeveel gewicht je hebt, of je gewapend bent of niet, enz. Al deze dingen kunnen een reden zijn waarom je wordt ontvoerd, gemarteld of gedood.
Schijt niet waar je eet, slang geen drugs in je eigen buurt. Dat is gewoon een slechte gewoonte, verplaats je bedrijf naar de andere kant van de stad.
Wees niet bevriend met klanten, je kunt niet bevriend zijn met verslaafden. Ze kunnen het een of het ander zijn, niet allebei. Omdat verslaafden zich omdraaien en zingen als ze betrapt worden. Een verslaafde als vriend hebben is een geweldige manier om te zorgen voor een lange vakantie in elke penitentiaire inrichting ter wereld.
Weet wanneer je moet opgeven Dit is waarschijnlijk het belangrijkste, als iets verkeerd aanvoelt, dan is dat waarschijnlijk ook zo. Vertrouw op je gevoel en weet dat een stap terug niet altijd slecht is. Zoals Frank Lucas te horen kreeg van zijn leverancier: opgeven en opgeven terwijl je voor ligt is niet hetzelfde Frank.
Werk niet met een vriend van een vriend van een vriend, het zijn waarschijnlijk undercoveragenten.
Denk altijd vooruit, en ik bedoel altijd, heb een exit plan. Of het nu een vervalst paspoort is, 50.000 in contanten en een ticket naar een Zuid-Afrikaans eiland dat met niemand een uitleveringsverdrag heeft. Of een aanbetaling van een paar honderdduizend aan de duurste advocaat van de stad. Zorg ervoor dat je een plan hebt.
Dit zijn maar een paar dingen waar je op moet letten. Er is letterlijk nog veel meer advies voor verschillende beroepen, maar als ik zo doorga, zal ik het niet op tijd kunnen posten. Bedenk dat alles kan worden opengebroken, gehackt, opengebroken of misbruikt.
3.1 Belangrijkste voorbeelden van falende OPSEC
Laten we het hebben over enkele mislukte OPSEC-acties. Want slimme mensen leren van de fouten van anderen, niet van hun eigen fouten. Omdat dit in het werk op dark-net misschien wel je eerste en laatste is.
DreadPirateRoberts (Ross Ulbricht) was een revolutionair, extreem intelligent maar helemaal niet zo slim. Hij heeft onder andere de volgende domme dingen gedaan: een verkeerd geconfigureerde CAPTCHA-server langdurig gebruiken, smokkelwaar naar zijn huisadres sturen, reclame maken voor Silk Road op Shroomery met zijn eigen gmail-adres, bevriend raken met een voormalige undercover (corrupte) DEA-agent (die hem later afperste voor geld), logboeken bijhouden van al zijn gesprekken en een tot in detail dagboek bijhouden van zijn Silk Road-avonturen. Maar het meest fatale was dat hij zich niet bewust was van zijn omgeving. Voor het grootste deel opereerde hij Silk Road vanuit de comfortabele openbare bibliotheek van San Forensics, waar het misging toen hij aan een tafel zat met zijn rug naar de kamer gekeerd. Terwijl twee FBI-agenten een gevecht in scène zetten, doken hun collega's van achteren op en grepen de laptop voordat hij hem kon afsluiten en het versleutelingsproces in gang kon zetten. Hij documenteerde in principe al zijn misdaden onder andere, dus wees niet DPR.
Shiny Flakes (Duitse verkoper) 20-jarige die een van de grootste cocaïnesmokkeloperaties in Duitsland op touw zette. De politie nam meer dan een half miljoen in beslag in verschillende valuta en een ongelofelijke hoeveelheid drugs, allemaal opgeslagen in zijn slaapkamer. En zijn grootste OPSEC-fout was dat hij al zijn zendingen vanuit dezelfde DHL-vestiging verstuurde. Hij bewaarde ook alles in platte tekst (bestellingen, klanten, financiële gegevens, inloggegevens, etc.) op een onversleutelde schijf.
Sabu (Hector Xavier Monsegur) LulzSEC vergat TOR te gebruiken om verbinding te maken met IRC server die door FBI in de gaten werd gehouden. Ze kregen zijn IP-adres van zijn ISP, één correlatie-aanval later werd hij geboeid en gaf hij zijn vrienden op in ruil voor een pleidooi. Wees geen verklikker, geef je eigen fouten toe.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) deed onder andere veel domme dingen, hij huurde servers met een e-mailadres dat hij gebruikte om een PayPal-rekening te openen en gebruikte die PayPal vervolgens om de bloemen van zijn vrouw te betalen. Maar dat is nog niet alles. Hij reisde met zijn werklaptop waarop honderdduizenden creditcards stonden, maar dat is niet erg omdat hij encryptie had. Helaas werd zijn wachtwoord Ochko123 geraden door de politie omdat het hetzelfde was als op zijn e-mail geloof ik. Dus, neem je werk niet mee op reis, vermeng misdaad en liefdesleven niet, en gebruik wachtwoorden verdomme niet opnieuw. Wees geen BulbaCC.
Willy Clock (Ryan Gustefson, Oegandese valsemunter) hergebruikte zijn persoonlijke e-mail die hij gebruikte om het Amerikaanse staatsburgerschap aan te vragen voor een Face-book account waarmee hij valse biljetten verkocht. Hij uploadde ook zijn eigen foto naar dat account. Ik heb hier niet eens iets over te zeggen.
FrecnhMaid aka nob (DEA Agent uit de DRP zaak) gebruikte zijn werklaptop om Ross Ulbricht af te persen, je kunt wel raden hoe dat ging. Hij verplaatste dat geld onder andere naar bankrekeningen onder zijn eigen naam, in landen met niet-strenge wetten op het bankgeheim. Hij kreeg wat hem toekwam.
Alexandre Cazes (AlphaBay Admin) gebruikte zijn persoonlijke e-mailadres voor e-mails om het wachtwoord van AlphaBay te resetten, hield alle gegevens onversleuteld opgeslagen op zijn apparaat en hostte de Alphabay servers in Quebec, Canada onder zijn eigen naam.
3.2 - Onvermijdelijke fuck up, nasleep en opruimen
Dit is het laatste hoofdstuk van deze post over de onvermijdelijke fout en wat je daarna moet doen. We zijn allemaal mensen, wat betekent dat je vroeg of laat een fout maakt. Is dat het einde van je leven? Dat hangt ervan af, maar het belangrijkste is dat je weet hoe je je eigen rotzooi moet opruimen.
Hier is een terugkerend voorbeeld van een fout en hoe je daarna verder kunt gaan, maar houd er rekening mee dat dit een gespeculeerde situatie is en je moet weten dat ik niet elke mogelijke uitkomst kan voorspellen.
Gecontroleerde aflevering - is de situatie waarin de politie je bestelling in beslag neemt, maar de post toestaat om door te gaan met het afleveren van je pakket om je op heterdaad te betrappen. Meestal om je te dwingen te flippen. Er zijn meestal twee uitkomsten in zo'n situatie: als je een paar bestellingen hebt gedaan, het verdacht lang duurt voordat het pakket wordt afgeleverd en het dagenlang op dezelfde plaats heeft gelegen.
Je kunt het niet weten, tekenen voor het pakket en binnen een paar seconden betrapt worden. Of je kunt ontkennen dat je het pakket hebt ontvangen en dan hebben ze niets. Als je denkt dat het om een gecontroleerde levering gaat, kun je het beste elk bewijs van een dergelijke activiteit van je apparaten en je huis verwijderen. Want je kunt er zeker van zijn dat het adres verbrand is en jij ook.
Wat bedoel ik met bewijs verwijderen? Goede oude datavernietigers zijn altijd de manier om te gaan, maar als je kritieke informatie had die nooit in vijandelijke handen mag vallen, is de beste manier altijd om je te ontdoen van de SSD/HDD in kwestie. Versnipper eerst de gegevens (aanbevolen is ten minste 7 passes), versnipper dan de schijf. Gewoonlijk is het verbranden van de schijf voldoende. Het is altijd het beste om het apparaat te vernietigen zodat niemand forensisch onderzoek kan doen en de gegevens kan opgraven. Want geen enkel nieuw glimmend apparaat (laptop, computer, hdd, ssd, etc.) is meer waard dan je vrijheid.
Het punt is, als iets verkeerd aanvoelt, is dat waarschijnlijk ook zo! Wees waakzaam, bestel niet op je thuisadres, speel het spel en laat het spel jou niet bespelen.
.....1.1 Wie ben ik?
.....1.2 Definitie van operationele veiligheid
2 - Misinformatie oorlogvoering (Digitaal)
.....2.1 Misinformatie van de oudheid
.....2.2 Hoe word je gevolgd?
.....2.3 Hoe kun je desinformatie in je voordeel gebruiken?
.....2.4 Compartimentering
.....2.5 Veiligheid is niet handig
3 - D.U.M.B (Fysiek)
.....3.1 De beste voorbeelden van falende OPSEC
.....3.2 Onvermijdelijke fouten, nasleep en opruiming
1.1 - Wie ben ik
"Ik ben gewoon een echo in de leegte."
1.2 - Definitie van operationele veiligheid
Operationele beveiliging is per definitie afgeleid van de militaire term procedurele beveiliging en is ontstaan als een term die strategieën beschreef om te voorkomen dat potentiële tegenstanders kritieke gegevens over operaties ontdekken. Wat een analytisch proces is dat informatiemiddelen classificeert en bepaalt welke controle nodig is om deze middelen te leveren.
Je vraagt je misschien af waarom ik ervoor heb gekozen om over zowel fysieke als digitale operationele beveiliging te schrijven? Het eenvoudigste antwoord is dat ze met elkaar verweven zijn en naar mijn mening niet los van elkaar kunnen worden gezien. Als je het ene hebt maar het andere niet, dan is het net alsof je er geen hebt.
2 - Misinformatie oorlogsvoering
2.1 - Misinformatie van de oudheid
Sinds het begin van de mensheid is desinformatie gebruikt als wapen en het meest effectieve wapen. Als je net zo'n boekenwurm bent als ik, raad ik je aan om De kunst van het oorlogvoeren van Sun Tzu te lezen. Zelfs duizenden jaren nadat het boek werd geschreven, bevat het theorieën en praktijken die in de moderne wereld kunnen worden toegepast. Waarom vertel ik je dit? Omdat we beginnen met een van zijn citaten.
Citaat: Sun Tzu
"Alle oorlogsvoering is gebaseerd op misleiding. Daarom moeten we, als we kunnen aanvallen, doen alsof we dat niet kunnen; als we onze krachten gebruiken, moeten we inactief lijken; als we dichtbij zijn, moeten we de vijand laten geloven dat we ver weg zijn; als we ver weg zijn, moeten we hem laten geloven dat we dichtbij zijn."
Een van de meest flagrante voorbeelden hiervan voert ons terug naar het oude Rome en naar het einde van de Republiek, toen bijna een eeuw van burgeroorlog, chaos en politieke moorden de Romeinse regering op de rand van de afgrond hadden gebracht. Het was de tijd van het zogenaamde Tweede Triumviraat. Ongeveer 2000 jaar geleden werd de Romeinse Republiek geconfronteerd met een burgeroorlog tussen Octavianus, de geadopteerde zoon van de grote generaal Julius Caesar, en Marcus Antonius, een van Caesars meest vertrouwde commandanten. Om de oorlog te winnen, wist Octavianus dat hij het publiek aan zijn kant moest hebben om belangrijke veldslagen te winnen, maar als het volk hem niet mocht, zou hij geen succesvol heerser zijn. Om de steun van het publiek te krijgen, begon Octavianus een nepnieuwsoorlog tegen Marcus Antonius. Hij beweerde dat Antonius, die een affaire had met Cleopatra, de Egyptische koningin, traditionele Romeinse waarden zoals trouw en respect niet respecteerde. Octavianus zei ook dat hij ongeschikt was voor het ambt omdat hij altijd dronken was. Octavianus bracht zijn boodschap over aan het publiek door middel van poëzie en korte, pittige slogans op munten. Octavianus won uiteindelijk de oorlog en werd de eerste keizer van Rome, die meer dan 50 jaar regeerde. Maar, ik dwaal af, dus laten we teruggaan naar waar je hier voor kwam. Vandaag de dag is het veel gemakkelijker om oorlog te voeren met verkeerde informatie dan 2000 jaar geleden, dat is duidelijk. Om de geschiedenislessen over te slaan en naar het moderne tijdperk te gaan, volgt hier een voorbeeld van desinformatie. Markten die aan exit-scam willen doen, zullen meestal opnames uitschakelen vanwege technische problemen aan hun kant, terwijl stortingen blijven werken terwijl ze geld overhevelen naar een off-site portemonnee. 2.2 - Hoe wordt je gevolgd In de dystopische maatschappij waarin we nu leven, is surveillance een belangrijk onderdeel van de manier waarop overheden het gewone volk in het gareel houden. Om te begrijpen hoe we verkeerde informatie tegen hen kunnen gebruiken, moeten we eerst begrijpen hoe we worden gevolgd. Entiteiten die ons volgen (overheidsinstanties, technologieconcerns en dataminingbedrijven) vertrouwen erop dat je kleine stukjes gegevens lekt die ze gebruiken om je online te profileren en de gebruikersnaam te koppelen aan de daadwerkelijke gebruiker. Het is eenvoudig om inhoud in databases te matchen als er een soort index is voor de inhoud. De meest voorkomende gegevens die worden gebruikt om je te volgen op clear-net en dark-net zijn: Namen (zowel echte als gebruikersnamen)
IP-adressen
Browser vingerafdruk
E-mailadres
Locatie (exact of bij benadering)
Telefoonnummers
Geboortedatum (of andere PII)
Stylometrie
Gezichtsherkenning
Het is belangrijk om te begrijpen dat het gebruik van slechts twee van deze elementen al genoeg is om je te kunnen traceren. Het is dus jouw taak om te voorkomen dat ze twee echte gegevens krijgen als je anoniem wilt blijven. 2.3 - Hoe je desinformatie in je voordeel kunt gebruiken Oké, we weten hoe we worden gevolgd. Laten we het kort hebben over hoe we verkeerde informatie kunnen gebruiken om het deze entiteiten veel moeilijker te maken je te volgen. Namen: Gebruik je echte naam nergens op het internet en vermijd websites die een echte naam vereisen. Vertrouw op aliassen, pseudo anoniem is beter dan betrapt worden met je broek naar beneden. IP-adres: Maskeer je IP-adres door Tor, VPN, VPS, RDP of proxies te gebruiken. Afhankelijk van wat je eigenlijk doet, wil je misschien een aantal van deze combineren. Het punt is dat je moet gebruiken wat je tot je beschikking hebt om hun leven moeilijker te maken. Browser vingerafdruk: Deze is waarschijnlijk het moeilijkst te verbergen als je geen tech-wizard bent. Maar je kunt altijd meerdere browsers met verschillende plug-ins gebruiken om het te laten lijken alsof je met meerdere personen bent. Telefoonnummers: Stop met het koppelen van je persoonlijke telefoonnummer aan diensten zoals instant messengers, social media applicaties en twee-factor authenticatie op diensten. Ga je gang en koop een VOIP-nummer met Crypto of gebruik dingen zoals Yubi Key voor tweefactorauthenticatie. E-mailadressen: Waarschijnlijk het makkelijkst, gebruik meerdere e-mails onder verschillende namen voor verschillende doeleinden. Houd dingen gescheiden! Stylometrie: Is de toepassing van de studie van linguïstische stijl. Ik kan bijvoorbeeld zeggen 10% of 10% of tien procent. Ze zijn allemaal verschillend en kunnen gebruikt worden om je ware identiteit te verhullen. Toen ik deze post schreef, had ik ook gemakkelijk naar een vertaaldienst kunnen gaan en dit kunnen doen. Vertaal van Engels naar Russisch, Russisch naar Spaans, Spaans naar Fins, Fins naar Engels. Dit zal de tekst doen tuimelen en heel anders maken (qua stijl) dan wat je oorspronkelijk schreef, je hoeft het alleen maar op spelling te controleren. Bedrog en leugens: Niet het soort dat je verwacht. Laten we zeggen dat je een Dread-gebruiker bent en je wilt een huisdier noemen dat je hebt om een punt te maken in een discussie. Het is dan niet goed om te zeggen dat je een zwarte kat hebt, maar dat je een witte hond hebt. Op die manier kun je nog steeds zeggen dat mijn huisdier X, Y of Z heeft gedaan. Het aanbrengen van zulke subtiele veranderingen in details is cruciaal als je verborgen wilt blijven. Citaat: Sun Tzu "Betrek mensen bij wat ze verwachten; het is wat ze kunnen onderscheiden en bevestigt hun projecties. Het zet ze vast in voorspelbare reactiepatronen, houdt hun gedachten bezig terwijl jij wacht op het buitengewone moment dat wat ze niet kunnen voorzien."
Alles wat ik hier gezegd heb is op de een of andere manier een vorm van verkeerde informatie. Door deze technieken te gebruiken lijk je meerdere individuen in plaats van slechts één. Maar dit alles zal je niet helpen als je niet op de juiste manier gebruik maakt van compartimentering. 2.4 Compartimentering Waarom wordt Qubes OS beschouwd als één van de veiligste besturingssystemen die vandaag beschikbaar zijn? Omdat het gebruik maakt van compartimentering. Dingen gescheiden houden is waarschijnlijk de beste manier om te voorkomen dat iemand je kan volgen. Wat bedoel ik daarmee? Laten we zeggen dat je een brandertelefoon en een SIM-kaart hebt gekocht, met contant geld, op een locatie zonder beveiligingscamera's en je bent van plan om het te gebruiken als een valstrik-telefoon. Je kunt ervan uitgaan dat die telefoon anoniem is wat jou betreft. Maar als je je moeder, echtgenoot of kind met die telefoon zou bellen, zou hij direct verbrand zijn. Er bestaat ergens een logboek over dat telefoontje en je kunt er zeker van zijn dat de politie het zal vinden. Het maakt niet uit of je een hacker, marktbeheerder, forumbeheerder, gewone gebruiker of gewoon een privacy-bewuste persoon bent, want dit geldt voor iedereen. Net zoals je je familie niet vertelt dat je online cocaïne verkoopt, moet je dat ook toepassen op elk aspect van je digitale leven. Citaat: Sun Tzu "Als je vijand op alle punten veilig is, wees dan op hem voorbereid. Als hij sterker is, ontwijk hem dan. Als je tegenstander temperamentvol is, probeer hem dan te irriteren. Doe alsof je zwak bent, zodat hij arrogant wordt. Als hij op zijn gemak is, geef hem dan geen rust. Als zijn krachten verenigd zijn, scheid ze dan. Als soeverein en onderdaan overeenstemmen, breng dan verdeeldheid tussen hen. Val hem aan waar hij onvoorbereid is, verschijn waar je niet verwacht wordt."
Een ander voorbeeld van compartimentering is het volgende. We kennen allemaal allerlei soorten mensen, van junkies tot jongens met een PhD en zelfs alles daar tussenin. Iedereen heeft wel een vriend met wie ze wiet roken, een vriend met wie ze gaan drinken, vrienden die ze mee naar huis kunnen nemen om je ouders te ontmoeten, enz. Zo gaat dat. Sommige dingen in het leven gaan gewoon niet samen. Dus vermeng je online identiteiten niet, want als je dat wel doet, worden ze vroeg of laat aan elkaar gekoppeld en naar jou teruggeleid.
2.5 Veiligheid is niet handig
Zoals je hebt kunnen opmaken uit alles wat ik heb geschreven, is veiligheid niet handig en kun je niet van twee walletjes eten. Maar door deze of soortgelijke patronen toe te passen op je digitale leven, zal je operationele veiligheid exponentieel verbeteren.
Onthoud dat ik nog niet eens aan de oppervlakte ben geweest, maar ik heb genoeg gezegd om je aan het denken te zetten over je eigen OPSEC. Omzeil single point of failure, dwing het gebruik van PGP af bij het verzenden van belangrijke informatie, gebruik volledige schijfversleuteling, verander je wachtwoorden regelmatig, vermeng misdaad en privé niet, gebruik open-source software in plaats van closed-source en het allerbelangrijkste: hou verdomme je mond dicht!
Niemand hoeft te weten wat je hebt gedaan, wat je gaat doen, waar je schuilplaats is, hoeveel geld of drugs je hebt enzovoort. Een wijs man zei ooit: Een vis met zijn bek dicht wordt nooit gevangen.
3 D .U.M.B.
Dit onderdeel gaat over fysieke operationele beveiliging en je vraagt je misschien af waar D.U.M.B. voor staat? Het is heel eenvoudig, Deep Underground Military Bases. Ik heb het gebruikt als referentie voor een ondoordringbaar gebouw dat je OPSEC zou moeten zijn. Want het maakt niet uit hoe goed je digitale OPSEC is als je fysieke OPSEC verschrikkelijk is en vice versa.
Voordat ik in dit gedeelte duik, moet iedereen die net als ik dol is op kluiskraken en sloten openbreken zeker het boek van Jayson Street lezen, genaamd Dissecting the Hack: F0rb1dd3n Network en Dissecting the Hack: STARS (Security Threats Are Real), waarin hij goed uitlegt wat het belang is van zowel digitale als fysieke beveiliging en wat de gevolgen zijn als je een van beide negeert. Ook The Complete Book of Locks and Locksmithing, Seventh Edition en Master Locksmithing: An Experts Guide zijn leuke boeken vol informatie.
Wat is fysieke OPSEC (meestal analouge genoemd) en waarom is het zo belangrijk? Nou, analouge OPSEC is net zoiets als wanneer je een markt gebruikt om drugs te bestellen, je dat apparaat niet ingelogd en onbeheerd achterlaat, je deuren niet onafgesloten laat wanneer je het huis verlaat, dat is allemaal analouge OPSEC. Mensen hebben meestal de neiging om het als minder belangrijk te beschouwen, maar vergis je niet: het is net zo belangrijk als digitaal.
Net als bij digitaal kan ik je alleen suggesties geven en je aan het denken zetten, omdat elke situatie en elk dreigingsmodel anders is.
Laten we ervan uitgaan dat je een dealer bent, niet aan markten doet en de voorkeur geeft aan de ouderwetse manier. Ik zal wat adviezen geven die je misschien kunt gebruiken:
Praat niet te veel over waar je schuilplaats is, hoeveel gewicht je hebt, of je gewapend bent of niet, enz. Al deze dingen kunnen een reden zijn waarom je wordt ontvoerd, gemarteld of gedood.
Schijt niet waar je eet, slang geen drugs in je eigen buurt. Dat is gewoon een slechte gewoonte, verplaats je bedrijf naar de andere kant van de stad.
Wees niet bevriend met klanten, je kunt niet bevriend zijn met verslaafden. Ze kunnen het een of het ander zijn, niet allebei. Omdat verslaafden zich omdraaien en zingen als ze betrapt worden. Een verslaafde als vriend hebben is een geweldige manier om te zorgen voor een lange vakantie in elke penitentiaire inrichting ter wereld.
Weet wanneer je moet opgeven Dit is waarschijnlijk het belangrijkste, als iets verkeerd aanvoelt, dan is dat waarschijnlijk ook zo. Vertrouw op je gevoel en weet dat een stap terug niet altijd slecht is. Zoals Frank Lucas te horen kreeg van zijn leverancier: opgeven en opgeven terwijl je voor ligt is niet hetzelfde Frank.
Werk niet met een vriend van een vriend van een vriend, het zijn waarschijnlijk undercoveragenten.
Denk altijd vooruit, en ik bedoel altijd, heb een exit plan. Of het nu een vervalst paspoort is, 50.000 in contanten en een ticket naar een Zuid-Afrikaans eiland dat met niemand een uitleveringsverdrag heeft. Of een aanbetaling van een paar honderdduizend aan de duurste advocaat van de stad. Zorg ervoor dat je een plan hebt.
Dit zijn maar een paar dingen waar je op moet letten. Er is letterlijk nog veel meer advies voor verschillende beroepen, maar als ik zo doorga, zal ik het niet op tijd kunnen posten. Bedenk dat alles kan worden opengebroken, gehackt, opengebroken of misbruikt.
3.1 Belangrijkste voorbeelden van falende OPSEC
Laten we het hebben over enkele mislukte OPSEC-acties. Want slimme mensen leren van de fouten van anderen, niet van hun eigen fouten. Omdat dit in het werk op dark-net misschien wel je eerste en laatste is.
DreadPirateRoberts (Ross Ulbricht) was een revolutionair, extreem intelligent maar helemaal niet zo slim. Hij heeft onder andere de volgende domme dingen gedaan: een verkeerd geconfigureerde CAPTCHA-server langdurig gebruiken, smokkelwaar naar zijn huisadres sturen, reclame maken voor Silk Road op Shroomery met zijn eigen gmail-adres, bevriend raken met een voormalige undercover (corrupte) DEA-agent (die hem later afperste voor geld), logboeken bijhouden van al zijn gesprekken en een tot in detail dagboek bijhouden van zijn Silk Road-avonturen. Maar het meest fatale was dat hij zich niet bewust was van zijn omgeving. Voor het grootste deel opereerde hij Silk Road vanuit de comfortabele openbare bibliotheek van San Forensics, waar het misging toen hij aan een tafel zat met zijn rug naar de kamer gekeerd. Terwijl twee FBI-agenten een gevecht in scène zetten, doken hun collega's van achteren op en grepen de laptop voordat hij hem kon afsluiten en het versleutelingsproces in gang kon zetten. Hij documenteerde in principe al zijn misdaden onder andere, dus wees niet DPR.
Shiny Flakes (Duitse verkoper) 20-jarige die een van de grootste cocaïnesmokkeloperaties in Duitsland op touw zette. De politie nam meer dan een half miljoen in beslag in verschillende valuta en een ongelofelijke hoeveelheid drugs, allemaal opgeslagen in zijn slaapkamer. En zijn grootste OPSEC-fout was dat hij al zijn zendingen vanuit dezelfde DHL-vestiging verstuurde. Hij bewaarde ook alles in platte tekst (bestellingen, klanten, financiële gegevens, inloggegevens, etc.) op een onversleutelde schijf.
Sabu (Hector Xavier Monsegur) LulzSEC vergat TOR te gebruiken om verbinding te maken met IRC server die door FBI in de gaten werd gehouden. Ze kregen zijn IP-adres van zijn ISP, één correlatie-aanval later werd hij geboeid en gaf hij zijn vrienden op in ruil voor een pleidooi. Wees geen verklikker, geef je eigen fouten toe.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) deed onder andere veel domme dingen, hij huurde servers met een e-mailadres dat hij gebruikte om een PayPal-rekening te openen en gebruikte die PayPal vervolgens om de bloemen van zijn vrouw te betalen. Maar dat is nog niet alles. Hij reisde met zijn werklaptop waarop honderdduizenden creditcards stonden, maar dat is niet erg omdat hij encryptie had. Helaas werd zijn wachtwoord Ochko123 geraden door de politie omdat het hetzelfde was als op zijn e-mail geloof ik. Dus, neem je werk niet mee op reis, vermeng misdaad en liefdesleven niet, en gebruik wachtwoorden verdomme niet opnieuw. Wees geen BulbaCC.
Willy Clock (Ryan Gustefson, Oegandese valsemunter) hergebruikte zijn persoonlijke e-mail die hij gebruikte om het Amerikaanse staatsburgerschap aan te vragen voor een Face-book account waarmee hij valse biljetten verkocht. Hij uploadde ook zijn eigen foto naar dat account. Ik heb hier niet eens iets over te zeggen.
FrecnhMaid aka nob (DEA Agent uit de DRP zaak) gebruikte zijn werklaptop om Ross Ulbricht af te persen, je kunt wel raden hoe dat ging. Hij verplaatste dat geld onder andere naar bankrekeningen onder zijn eigen naam, in landen met niet-strenge wetten op het bankgeheim. Hij kreeg wat hem toekwam.
Alexandre Cazes (AlphaBay Admin) gebruikte zijn persoonlijke e-mailadres voor e-mails om het wachtwoord van AlphaBay te resetten, hield alle gegevens onversleuteld opgeslagen op zijn apparaat en hostte de Alphabay servers in Quebec, Canada onder zijn eigen naam.
3.2 - Onvermijdelijke fuck up, nasleep en opruimen
Dit is het laatste hoofdstuk van deze post over de onvermijdelijke fout en wat je daarna moet doen. We zijn allemaal mensen, wat betekent dat je vroeg of laat een fout maakt. Is dat het einde van je leven? Dat hangt ervan af, maar het belangrijkste is dat je weet hoe je je eigen rotzooi moet opruimen.
Hier is een terugkerend voorbeeld van een fout en hoe je daarna verder kunt gaan, maar houd er rekening mee dat dit een gespeculeerde situatie is en je moet weten dat ik niet elke mogelijke uitkomst kan voorspellen.
Gecontroleerde aflevering - is de situatie waarin de politie je bestelling in beslag neemt, maar de post toestaat om door te gaan met het afleveren van je pakket om je op heterdaad te betrappen. Meestal om je te dwingen te flippen. Er zijn meestal twee uitkomsten in zo'n situatie: als je een paar bestellingen hebt gedaan, het verdacht lang duurt voordat het pakket wordt afgeleverd en het dagenlang op dezelfde plaats heeft gelegen.
Je kunt het niet weten, tekenen voor het pakket en binnen een paar seconden betrapt worden. Of je kunt ontkennen dat je het pakket hebt ontvangen en dan hebben ze niets. Als je denkt dat het om een gecontroleerde levering gaat, kun je het beste elk bewijs van een dergelijke activiteit van je apparaten en je huis verwijderen. Want je kunt er zeker van zijn dat het adres verbrand is en jij ook.
Wat bedoel ik met bewijs verwijderen? Goede oude datavernietigers zijn altijd de manier om te gaan, maar als je kritieke informatie had die nooit in vijandelijke handen mag vallen, is de beste manier altijd om je te ontdoen van de SSD/HDD in kwestie. Versnipper eerst de gegevens (aanbevolen is ten minste 7 passes), versnipper dan de schijf. Gewoonlijk is het verbranden van de schijf voldoende. Het is altijd het beste om het apparaat te vernietigen zodat niemand forensisch onderzoek kan doen en de gegevens kan opgraven. Want geen enkel nieuw glimmend apparaat (laptop, computer, hdd, ssd, etc.) is meer waard dan je vrijheid.
Het punt is, als iets verkeerd aanvoelt, is dat waarschijnlijk ook zo! Wees waakzaam, bestel niet op je thuisadres, speel het spel en laat het spel jou niet bespelen.
