Napisane przez scribe_TS NOT ME
.....1.1 Kim jestem?
.....1.2 Definicja bezpieczeństwa operacyjnego
2 - Wojna dezinformacyjna (cyfrowa)
.....2.1 Starożytna dezinformacja
.....2.2 Jak jesteś śledzony?
.....2.3 Jak wykorzystać dezinformację na swoją korzyść?
.....2.4 Podział na grupy
.....2.5 Bezpieczeństwo nie jest wygodne
3 - D.U.M.B (fizyczny)
.....3.1 Najlepsze przykłady niepowodzeń OPSEC
.....3.2 Nieuniknione wpadki, następstwa i sprzątanie
1.1 - Kim jestem?
"Jestem tylko kolejnym echem w pustce".
1.2 - Definicja bezpieczeństwa operacyjnego
Z definicji bezpieczeństwo operacyjne wywodzi się z wojskowego terminu bezpieczeństwo proceduralne, powstałego jako termin opisujący strategie mające na celu uniemożliwienie potencjalnym przeciwnikom odkrycia krytycznych danych związanych z operacjami. Jest to proces analityczny, który klasyfikuje zasoby informacyjne i określa kontrolę wymaganą do zapewnienia tych zasobów.
Być może zastanawiasz się, dlaczego zdecydowałem się pisać zarówno o fizycznym, jak i cyfrowym bezpieczeństwie operacyjnym? Najprostszą odpowiedzią jest to, że są one ze sobą powiązane i moim zdaniem nie można ich rozdzielić. Jeśli masz jedno, ale nie masz drugiego, to tak jakbyś nie miał żadnego.
2 - Wojna dezinformacyjna
2.1 - Starożytna dezinformacja
Od zarania ludzkości dezinformacja była wykorzystywana jako broń i to najbardziej skuteczna. Jeśli jesteś takim molem książkowym jak ja, proponuję przeczytać Sztukę wojny Sun Tzu, która nawet po tysiącach lat od jej napisania zawiera teorie i praktyki, które można zastosować we współczesnym świecie. Dlaczego o tym mówię? Ponieważ zaczniemy od jednego z jego cytatów.
Cytat: Sun Tzu
"Wszystkie działania wojenne opierają się na oszustwie. Dlatego, kiedy jesteśmy w stanie zaatakować, musimy wydawać się niezdolni; kiedy używamy naszych sił, musimy wydawać się nieaktywni; kiedy jesteśmy blisko, musimy sprawić, by wróg uwierzył, że jesteśmy daleko; kiedy jesteśmy daleko, musimy sprawić, by uwierzył, że jesteśmy blisko ".
Jeden z najbardziej rażących tego przykładów przenosi nas z powrotem do starożytnego Rzymu i do samego końca Republiki, kiedy prawie sto lat wojny domowej, chaosu i zabójstw politycznych doprowadziło rząd rzymski na skraj upadku. Był to czas tak zwanego Drugiego Triumwiratu. Około 2000 lat temu Republika Rzymska stanęła w obliczu wojny domowej między Oktawianem, adoptowanym synem wielkiego generała Juliusza Cezara, a Markiem Antoniuszem, jednym z najbardziej zaufanych dowódców Cezara. Aby wygrać wojnę, Oktawian wiedział, że musi mieć społeczeństwo po swojej stronie, wygrywając ważne bitwy, ale jeśli ludzie go nie lubili, nie byłby skutecznym władcą. Aby uzyskać poparcie społeczeństwa, Oktawian rozpoczął fałszywą wojnę przeciwko Markowi Antoniuszowi. Twierdził, że Antoni, który miał romans z Kleopatrą, egipską królową, nie szanował tradycyjnych rzymskich wartości, takich jak wierność i szacunek. Oktawian powiedział również, że nie nadaje się on do sprawowania urzędu, ponieważ zawsze był pijany. Oktawian przekazał swoje przesłanie społeczeństwu poprzez poezję i krótkie, zwięzłe slogany drukowane na monetach. Oktawian ostatecznie wygrał wojnę i został pierwszym cesarzem Rzymu, rządząc przez ponad 50 lat. Ale dygresja, więc wróćmy do tego, po co tu przyszedłeś. Dziś o wiele łatwiej jest prowadzić wojnę dezinformacyjną niż 2000 lat temu. Teraz, aby pominąć lekcje historii i przenieść się do czasów współczesnych, oto przykład dezinformacji. Rynki, które chcą przeprowadzić exit-scam, zwykle wyłączają wypłaty z powodu problemów technicznych po swojej stronie, podczas gdy depozyty działają, a oni przesyłają środki do jakiegoś portfela poza siedzibą. 2.2 - Jak jesteś śledzony W dystopijnym społeczeństwie, w którym obecnie żyjemy, inwigilacja jest główną częścią sposobu, w jaki rządy utrzymują zwykłych ludzi w ryzach. Aby zrozumieć, w jaki sposób możemy wykorzystać dezinformację przeciwko nim, musimy najpierw zrozumieć, w jaki sposób jesteśmy śledzeni. Podmioty, które nas śledzą (agencje rządowe, konglomeraty technologiczne i firmy zajmujące się eksploracją danych) polegają na tym, że ujawniasz małe fragmenty danych, których używają do profilowania cię online i dopasowywania nazwy użytkownika do rzeczywistego użytkownika. Dopasowanie treści w bazach danych jest proste, jeśli istnieje jakiś rodzaj indeksu do treści. Najczęstsze fragmenty danych używane do śledzenia użytkownika w jasnej i ciemnej sieci to: Nazwy (zarówno prawdziwe, jak i nazwy użytkowników)
Adresy IP
Odcisk palca przeglądarki
Adres e-mail
Lokalizacja (dokładna lub przybliżona)
Numery telefonów
Data urodzenia (lub inne informacje osobiste)
Stylometria
Rozpoznawanie twarzy
Ważne jest, aby zrozumieć, że wystarczy użyć dwóch elementów z tych wszystkich, aby mogli cię śledzić. Twoim zadaniem jest więc uniemożliwienie im uzyskania dwóch prawdziwych danych, jeśli chcesz pozostać anonimowy. 2.3 - Jak wykorzystać dezinformację na swoją korzyść Dobrze, wiemy już jak jesteśmy śledzeni. Porozmawiajmy krótko o tym, jak możemy wykorzystać dezinformację, aby znacznie utrudnić tym podmiotom śledzenie nas. Imiona i nazwiska: Nie używaj swojego prawdziwego imienia nigdzie w Internecie i unikaj stron, które tego wymagają. Polegaj na pseudonimach, pseudoanonimowość jest lepsza niż bycie przyłapanym z opuszczonymi spodniami. Adres IP: Zamaskuj swój adres IP za pomocą Tor, VPN, VPS, RDP lub serwerów proxy. W zależności od tego, co faktycznie robisz, możesz chcieć połączyć niektóre z nich. Chodzi o to, aby wykorzystać to, co masz do dyspozycji, aby utrudnić im życie. Odcisk palca przeglądarki: Ten jest prawdopodobnie najtrudniejszy do ukrycia, jeśli nie jesteś technicznym czarodziejem. Ale zawsze możesz użyć kilku przeglądarek z różnymi wtyczkami, aby wyglądało na to, że jesteś kilkoma osobami. Numery telefonów: Przestań łączyć swój osobisty numer telefonu z usługami takimi jak komunikatory internetowe, aplikacje społecznościowe i uwierzytelnianie dwuskładnikowe w usługach. Albo kup numer VOIP za pomocą Crypto, albo użyj takich rzeczy jak Yubi Key do uwierzytelniania dwuskładnikowego. Adresy e-mail: Prawdopodobnie najłatwiejszy, używaj kilku e-maili pod różnymi nazwami do różnych celów. Rozdziel wszystko! Stylometria: Jest to zastosowanie badania stylu językowego. Na przykład mogę powiedzieć 10% lub 10% lub dziesięć procent. Każdy z nich jest inny i może być użyty do zamaskowania swojej prawdziwej tożsamości. Ponadto, kiedy pisałem ten post, mogłem z łatwością udać się do jakiegoś serwisu tłumaczeniowego i zrobić to. Przetłumaczyć z angielskiego na rosyjski, z rosyjskiego na hiszpański, z hiszpańskiego na fiński i z fińskiego na angielski. To zmieni tekst i sprawi, że będzie on bardzo różny (pod względem stylometrii) od tego, co napisałeś pierwotnie, musisz tylko sprawdzić pisownię. Oszustwa i kłamstwa: Nie takie, jakich się spodziewasz. Powiedzmy, że jesteś użytkownikiem Dread i chcesz wspomnieć o zwierzaku, którego masz, aby zrobić jakiś punkt w dyskusji. Teraz za złe OPSEC uważa się powiedzenie Hej, mam czarnego kota!, Zamiast tego powiedz, że masz białego psa. W ten sposób nadal możesz powiedzieć, że mój zwierzak zrobił X, Y lub Z. Ale bez ujawniania faktycznych informacji o tobie. Dokonywanie tak subtelnych zmian w szczegółach jest kluczowe, jeśli chcesz pozostać w ukryciu. Cytat: Sun Tzu "Zaangażuj ludzi w to, czego oczekują; to jest to, co są w stanie dostrzec i potwierdza ich przewidywania. Osadza ich w przewidywalnych wzorcach reakcji, zajmując ich umysły, podczas gdy ty czekasz na niezwykły moment, którego nie mogą przewidzieć".
Wszystko, co tutaj powiedziałem, jest rodzajem dezinformacji w taki czy inny sposób. Korzystanie z tych technik sprawia, że wyglądasz jak kilka osób zamiast jednej. Ale to wszystko nie pomoże ci, jeśli nie będziesz właściwie korzystać z podziału na przedziały. 2. 4 Podział na grupy Dlaczego Qubes OS jest uważany za jeden z najbezpieczniejszych dostępnych obecnie systemów operacyjnych? Ponieważ wykorzystuje on podział na partycje. Trzymanie rzeczy oddzielnie jest prawdopodobnie najlepszym sposobem na uniknięcie śledzenia użytkownika. Co mam przez to na myśli? Załóżmy, że kupiłeś telefon z palnikiem i kartą SIM, za gotówkę, w miejscu bez kamer bezpieczeństwa i planujesz używać go jako telefonu-pułapki. Możesz bezpiecznie założyć, że telefon jest anonimowy, jeśli chodzi o Ciebie. Ale jeśli zadzwonisz z tego telefonu do matki, małżonka lub dziecka, zostanie on natychmiast spalony. Gdzieś tam znajduje się dziennik tego połączenia i możesz być pewien, że zostanie on znaleziony przez organy ścigania. Nie ma znaczenia, czy jesteś hakerem, administratorem rynku, administratorem forum, zwykłym użytkownikiem, czy po prostu osobą dbającą o prywatność, ponieważ dotyczy to wszystkich. W ten sam sposób, w jaki nie mówisz rodzinie, że sprzedajesz kokainę online, zastosuj to do każdego aspektu swojego cyfrowego życia. Cytat: Sun Tzu "Jeśli twój wróg jest bezpieczny we wszystkich punktach, bądź na niego przygotowany. Jeśli ma przewagę liczebną, unikaj go. Jeśli twój przeciwnik jest temperamentny, staraj się go zirytować. Udawaj słabego, aby stał się arogancki. Jeśli odpoczywa, nie daj mu odpocząć. Jeśli jego siły są zjednoczone, rozdziel je. Jeśli władca i poddany są zgodni, wprowadź między nich podział. Zaatakuj go tam, gdzie jest nieprzygotowany, pojaw się tam, gdzie cię nie oczekują".
Innym przykładem podziału jest to. Wszyscy znamy różnego rodzaju ludzi, od ćpunów po facetów z doktoratem, a nawet wszystko pomiędzy. Każdy ma przyjaciela, z którym pali trawkę, przyjaciela, z którym wychodzi na drinka, przyjaciół, których może przyprowadzić do domu, aby poznać twoich rodziców itp. Tak to się robi. Niektórych rzeczy w życiu po prostu się nie miesza. Nie mieszaj więc swoich tożsamości online, ponieważ jeśli to zrobisz, prędzej czy później zostaną one powiązane i wrócą do ciebie.
2.5 Bezpieczeństwo nie jest wygodne
Jak można wywnioskować ze wszystkiego, co napisałem, bezpieczeństwo nie jest wygodne i nie można mieć go w obie strony. Ale zastosowanie tych lub podobnych wzorców w życiu cyfrowym wykładniczo poprawi bezpieczeństwo operacyjne.
Pamiętaj, że nawet nie zarysowałem powierzchni, ale powiedziałem wystarczająco dużo, abyś mógł pomyśleć o własnym OPSEC. Unikaj pojedynczych punktów awarii, egzekwuj korzystanie z PGP podczas przesyłania ważnych informacji, używaj szyfrowania pełnodyskowego, regularnie zmieniaj hasła, nie mieszaj przestępczości z życiem osobistym, używaj oprogramowania open source w przeciwieństwie do oprogramowania zamkniętego, a co najważniejsze, trzymaj kurwa gębę na kłódkę!
Nikt nie musi wiedzieć, co zrobiłeś, co zamierzasz zrobić, gdzie jest twoja skrytka, ile masz pieniędzy lub narkotyków i tak dalej. Mądry człowiek powiedział kiedyś, że ryba z zamkniętymi ustami nigdy nie zostanie złowiona.
3 D .U.M.B.
Ta część dotyczy fizycznego bezpieczeństwa operacyjnego i możesz się zastanawiać, co oznacza skrót D.U.M.B.? To całkiem proste, Deep Underground Military Bases. Użyłem go jako odniesienia do nieprzeniknionego budynku, jakim powinien być twój OPSEC. Ponieważ nie ma znaczenia, jak dobry jest twój cyfrowy OPSEC, jeśli twój fizyczny jest horrendalny i odwrotnie.
Zanim zagłębię się w tę sekcję, każdy, kto tak jak ja uwielbia łamanie sejfów i otwieranie zamków, powinien zdecydowanie zapoznać się z książkami napisanymi przez Jaysona Streeta zatytułowanymi Dissecting the Hack: F0rb1dd3n Network i Dissecting the Hack: STARS (Security Threats Are Real), w których całkiem nieźle wyjaśnia on znaczenie zarówno bezpieczeństwa cyfrowego, jak i fizycznego oraz konsekwencje lekceważenia któregokolwiek z nich. Ponadto, The Complete Book of Locks and Locksmithing, Seventh Edition i Master Locksmithing: An Experts Guide to zabawne lektury wypełnione mnóstwem informacji.
Czym jest fizyczny OPSEC (powszechnie określany jako analouge) i dlaczego jest tak ważny? Cóż, analouge OPSEC jest jak używanie rynków do zamawiania narkotyków, nie zostawiasz tego urządzenia zalogowanego i bez nadzoru, nie zostawiasz otwartych drzwi, gdy wychodzisz z domu, wszystko to jest analouge OPSEC. Ludzie zwykle lekceważą go jako mniej ważny, ale nie popełnij błędu, jest tak samo ważny jak cyfrowy.
Podobnie jak w przypadku technologii cyfrowej, mogę jedynie dać ci sugestie i skłonić do myślenia, ponieważ każda sytuacja i model zagrożenia są inne.
Załóżmy, że jesteś dealerem, nie zajmujesz się rynkami, wolisz staromodny sposób. Wymienię kilka rad, które mogą okazać się przydatne:
Nie mów za dużo, gdzie jest twoja kryjówka, ile ważysz, czy jesteś uzbrojony, czy nie itp. Wszystkie te rzeczy mogą być powodem, dla którego zostaniesz uprowadzony, torturowany lub zabity.
Nie sraj tam, gdzie jesz, nie srajtam, gdzie ćpasz. To ogólnie zła praktyka, przenieś swój biznes na drugi koniec miasta.
Nie przyjaźnij się zklientami, z którymi nie możesz się przyjaźnić. Mogą być jednym lub drugim, ale nie obydwoma. Ponieważ uzależnieni przewrócą się i będą śpiewać, jeśli zostaną złapani. Posiadanie uzależnionego jako przyjaciela to świetny sposób na zapewnienie sobie długich wakacji w dowolnym zakładzie karnym na całym świecie.
Wiedzieć, kiedy się poddać - to chyba najważniejsze, jeśli coś jest nie tak, to dlatego, że prawdopodobnie tak jest. Zaufaj swojemu przeczuciu i wiedz, że wycofanie się nie zawsze jest złe. Jak powiedział Frank Lucas swojemu dostawcy: Poddanie się i poddanie się, gdy jesteś do przodu, to nie to samo Frank.
Nie pracuj z przyjacielem przyjaciela przyjaciela, oni prawdopodobnie są tajnymi gliniarzami.
Myśl z wyprzedzeniem Zawsze, i mam na myśli zawsze, miej plan wyjścia. Niezależnie od tego, czy jest to podrobiony paszport, 50 tysięcy w gotówce i bilet na jakąś południowoafrykańską wyspę, która nie ma z nikim umowy o ekstradycji. Albo zaliczka w wysokości kilkuset tysięcy dla najdroższego prawnika w mieście. Po prostu upewnij się, że masz plan.
To tylko kilka rzeczy, na które należy zwracać uwagę. Istnieje dosłownie mnóstwo innych porad dla różnych zawodów, ale jeśli będę to kontynuował, nie zdążę ich opublikować na czas. Należy pamiętać, że do wszystkiego można się włamać, zhakować, zablokować lub wykorzystać.
3.1 Najlepsze przykłady niepowodzeń OPSEC
Porozmawiajmy o niektórych porażkach OPSEC. Ponieważ mądrzy ludzie uczą się na cudzych błędach, a nie na własnych. Ze względu na fakt, że w pracy w ciemnej sieci może to być twój pierwszy i ostatni.
DreadPirateRoberts (Ross Ulbricht) był rewolucjonistą, niezwykle inteligentnym, ale niekoniecznie mądrym. Wśród wielu głupich rzeczy, które zrobił, są: używanie źle skonfigurowanego serwera CAPTCHA przez długi czas, wysyłanie kontrabandy na swój adres domowy, reklamowanie Silk Road na Shroomery przy użyciu własnego adresu gmail, zaprzyjaźnienie się z byłym tajnym (skorumpowanym) agentem DEA (który później wyłudził od niego pieniądze), prowadzenie dzienników wszystkich swoich rozmów i szczegółowy dziennik przygód Silk Road. Ale najbardziej zgubne było to, że nie był świadomy swojego otoczenia. Przez większość czasu operował Silk Road w zaciszu Biblioteki Publicznej San Forensics, gdzie popełnił błąd, siedząc przy stole odwrócony plecami do pokoju. Podczas gdy dwóch agentów FBI zainscenizowało bójkę, ich koledzy zaszli go od tyłu i chwycili laptopa, zanim zdążył go wyłączyć i uruchomić proces szyfrowania. Zasadniczo udokumentował wszystkie swoje przestępstwa, więc nie bądź DPR.
Shiny Flakes (niemiecki sprzedawca) 20-latek, który stworzył jedną z największych operacji przemytu kokainy w Niemczech w tamtym czasie. Policja skonfiskowała ponad pół miliona w różnych walutach i niewiarygodną ilość narkotyków, wszystkie przechowywane w jego sypialni. Jego największą porażką w zakresie OPSEC było to, że wszystkie przesyłki wysyłał z tej samej placówki DHL. Przechowywał również wszystko w postaci zwykłego tekstu (zamówienia, klienci, dane finansowe, dane logowania itp.) na niezaszyfrowanym dysku.
Sabu (Hector Xavier Monsegur) LulzSEC zapomniał użyć TOR, aby połączyć się z serwerem IRC monitorowanym przez FBI. Zdobyli jego adres IP od dostawcy usług internetowych, a po jednym ataku korelacyjnym został aresztowany i wydał swoich przyjaciół w zamian za ugodę. Nie bądź kapusiem, przyznaj się do swoich wpadek.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) wśród wielu głupich rzeczy, które zrobił, było wynajęcie serwerów z adresem e-mail, którego użył do otwarcia konta PayPal, a następnie użył tego PayPal do zapłacenia za kwiaty swojej żony. Ale to nie wszystko. Podróżował ze swoim służbowym laptopem, który zawierał setki tysięcy kart kredytowych, ale to nie jest złe, ponieważ miał szyfrowanie. Niestety, jego hasło Ochko123 zostało odgadnięte przez organy ścigania, ponieważ było takie samo na jego e-mailu, jak sądzę. Tak więc, nie noś swojej pracy podczas podróży, nie mieszaj przestępczości z życiem miłosnym, nie używaj, kurwa, ponownie haseł. Nie bądź BulbaCC.
Willy Clock (Ryan Gustefson, ugandyjski fałszerz) wykorzystał osobisty adres e-mail, którego użył do ubiegania się o obywatelstwo USA, do konta na Facebooku, z którego sprzedawał fałszywe banknoty. Ponadto dodał do tego konta własne zdjęcie. Nie mam nawet nic do powiedzenia na ten temat.
FrecnhMaid aka nob (agent DEA ze sprawy DRP) użył swojego służbowego laptopa do wymuszenia na Rossie Ulbrichcie, możesz się domyślić, jak to się skończyło. Między innymi przeniósł te pieniądze na konta bankowe pod własnym nazwiskiem, w krajach, w których nie obowiązują surowe przepisy dotyczące tajemnicy bankowej. Dostał to, co mu się należało.
Alexandre Cazes (administrator AlphaBay) używał osobistego adresu e-mail do wysyłania e-maili resetujących hasło do AlphaBay, przechowywał wszystkie dane w niezaszyfrowanym formacie na swoim urządzeniu, hostował serwery Alphabay w Quebecu w Kanadzie pod własnym nazwiskiem.
3.2 - Nieuniknione spieprzenie, następstwa i sprzątanie
Jest to ostatni rozdział tego wpisu, który dotyczy nieuniknionego spieprzenia i tego, co należy zrobić po nim. Wszyscy jesteśmy ludźmi, co oznacza, że prędzej czy później popełnisz błąd. Czy to będzie twój koniec? To zależy, ale najważniejsze jest, aby wiedzieć, jak posprzątać swój własny bałagan.
Oto powtarzający się przykład fuck up i jak możesz postępować po nim, ale pamiętaj, że jest to sytuacja spekulowana i musisz wiedzieć, że nie mogę przewidzieć każdego możliwego wyniku.
Kontrolowana dostawa - to sytuacja, w której organy ścigania przejmują twoje zamówienie, ale pozwalają poczcie na dostarczenie przesyłki, aby złapać cię na gorącym uczynku. Zazwyczaj jest to próba zmuszenia użytkownika do odwrócenia się. Zazwyczaj są dwa wyjścia z takiej sytuacji, jeśli masz na swoim koncie kilka zamówień, dostarczenie paczki trwa podejrzanie długo i stacjonowała ona przez kilka dni w tym samym miejscu.
Możesz albo nie wiedzieć, podpisać paczkę i zostać przyłapanym w ciągu kilku sekund. Możesz też zaprzeczyć otrzymaniu paczki, w którym to przypadku nie mają nic. Teraz, jeśli uważasz, że jest to kontrolowana dostawa, najlepszym sposobem działania jest usunięcie wszelkich dowodów takiej aktywności z urządzeń i domu. Ponieważ możesz być pewien, że adres jest spalony i ty też.
Co mam na myśli mówiąc o usuwaniu dowodów? Stare dobre niszczarki danych są zawsze dobrym rozwiązaniem, ale jeśli masz jakieś krytyczne informacje, które nigdy nie mogą wpaść w ręce wroga, najlepszym sposobem działania jest zawsze pozbycie się danego dysku SSD / HDD. Najpierw zniszcz dane (zalecane jest co najmniej 7 przebiegów), a następnie zniszcz dysk. Zazwyczaj spalenie go na chrupko załatwia sprawę. Zawsze najlepiej jest zniszczyć urządzenie, aby nikt nie mógł przeprowadzić kryminalistyki i odkopać danych. Ponieważ żadne nowe błyszczące urządzenie (laptop, komputer, dysk twardy, dysk ssd itp.) nie jest warte więcej niż twoja wolność.
Chodzi o to, że jeśli coś jest nie tak, to prawdopodobnie tak jest! Bądź czujny, nie zamawiaj na swój adres domowy, graj w grę, nie pozwól grze grać w ciebie.
.....1.1 Kim jestem?
.....1.2 Definicja bezpieczeństwa operacyjnego
2 - Wojna dezinformacyjna (cyfrowa)
.....2.1 Starożytna dezinformacja
.....2.2 Jak jesteś śledzony?
.....2.3 Jak wykorzystać dezinformację na swoją korzyść?
.....2.4 Podział na grupy
.....2.5 Bezpieczeństwo nie jest wygodne
3 - D.U.M.B (fizyczny)
.....3.1 Najlepsze przykłady niepowodzeń OPSEC
.....3.2 Nieuniknione wpadki, następstwa i sprzątanie
1.1 - Kim jestem?
"Jestem tylko kolejnym echem w pustce".
1.2 - Definicja bezpieczeństwa operacyjnego
Z definicji bezpieczeństwo operacyjne wywodzi się z wojskowego terminu bezpieczeństwo proceduralne, powstałego jako termin opisujący strategie mające na celu uniemożliwienie potencjalnym przeciwnikom odkrycia krytycznych danych związanych z operacjami. Jest to proces analityczny, który klasyfikuje zasoby informacyjne i określa kontrolę wymaganą do zapewnienia tych zasobów.
Być może zastanawiasz się, dlaczego zdecydowałem się pisać zarówno o fizycznym, jak i cyfrowym bezpieczeństwie operacyjnym? Najprostszą odpowiedzią jest to, że są one ze sobą powiązane i moim zdaniem nie można ich rozdzielić. Jeśli masz jedno, ale nie masz drugiego, to tak jakbyś nie miał żadnego.
2 - Wojna dezinformacyjna
2.1 - Starożytna dezinformacja
Od zarania ludzkości dezinformacja była wykorzystywana jako broń i to najbardziej skuteczna. Jeśli jesteś takim molem książkowym jak ja, proponuję przeczytać Sztukę wojny Sun Tzu, która nawet po tysiącach lat od jej napisania zawiera teorie i praktyki, które można zastosować we współczesnym świecie. Dlaczego o tym mówię? Ponieważ zaczniemy od jednego z jego cytatów.
Cytat: Sun Tzu
"Wszystkie działania wojenne opierają się na oszustwie. Dlatego, kiedy jesteśmy w stanie zaatakować, musimy wydawać się niezdolni; kiedy używamy naszych sił, musimy wydawać się nieaktywni; kiedy jesteśmy blisko, musimy sprawić, by wróg uwierzył, że jesteśmy daleko; kiedy jesteśmy daleko, musimy sprawić, by uwierzył, że jesteśmy blisko ".
Jeden z najbardziej rażących tego przykładów przenosi nas z powrotem do starożytnego Rzymu i do samego końca Republiki, kiedy prawie sto lat wojny domowej, chaosu i zabójstw politycznych doprowadziło rząd rzymski na skraj upadku. Był to czas tak zwanego Drugiego Triumwiratu. Około 2000 lat temu Republika Rzymska stanęła w obliczu wojny domowej między Oktawianem, adoptowanym synem wielkiego generała Juliusza Cezara, a Markiem Antoniuszem, jednym z najbardziej zaufanych dowódców Cezara. Aby wygrać wojnę, Oktawian wiedział, że musi mieć społeczeństwo po swojej stronie, wygrywając ważne bitwy, ale jeśli ludzie go nie lubili, nie byłby skutecznym władcą. Aby uzyskać poparcie społeczeństwa, Oktawian rozpoczął fałszywą wojnę przeciwko Markowi Antoniuszowi. Twierdził, że Antoni, który miał romans z Kleopatrą, egipską królową, nie szanował tradycyjnych rzymskich wartości, takich jak wierność i szacunek. Oktawian powiedział również, że nie nadaje się on do sprawowania urzędu, ponieważ zawsze był pijany. Oktawian przekazał swoje przesłanie społeczeństwu poprzez poezję i krótkie, zwięzłe slogany drukowane na monetach. Oktawian ostatecznie wygrał wojnę i został pierwszym cesarzem Rzymu, rządząc przez ponad 50 lat. Ale dygresja, więc wróćmy do tego, po co tu przyszedłeś. Dziś o wiele łatwiej jest prowadzić wojnę dezinformacyjną niż 2000 lat temu. Teraz, aby pominąć lekcje historii i przenieść się do czasów współczesnych, oto przykład dezinformacji. Rynki, które chcą przeprowadzić exit-scam, zwykle wyłączają wypłaty z powodu problemów technicznych po swojej stronie, podczas gdy depozyty działają, a oni przesyłają środki do jakiegoś portfela poza siedzibą. 2.2 - Jak jesteś śledzony W dystopijnym społeczeństwie, w którym obecnie żyjemy, inwigilacja jest główną częścią sposobu, w jaki rządy utrzymują zwykłych ludzi w ryzach. Aby zrozumieć, w jaki sposób możemy wykorzystać dezinformację przeciwko nim, musimy najpierw zrozumieć, w jaki sposób jesteśmy śledzeni. Podmioty, które nas śledzą (agencje rządowe, konglomeraty technologiczne i firmy zajmujące się eksploracją danych) polegają na tym, że ujawniasz małe fragmenty danych, których używają do profilowania cię online i dopasowywania nazwy użytkownika do rzeczywistego użytkownika. Dopasowanie treści w bazach danych jest proste, jeśli istnieje jakiś rodzaj indeksu do treści. Najczęstsze fragmenty danych używane do śledzenia użytkownika w jasnej i ciemnej sieci to: Nazwy (zarówno prawdziwe, jak i nazwy użytkowników)
Adresy IP
Odcisk palca przeglądarki
Adres e-mail
Lokalizacja (dokładna lub przybliżona)
Numery telefonów
Data urodzenia (lub inne informacje osobiste)
Stylometria
Rozpoznawanie twarzy
Ważne jest, aby zrozumieć, że wystarczy użyć dwóch elementów z tych wszystkich, aby mogli cię śledzić. Twoim zadaniem jest więc uniemożliwienie im uzyskania dwóch prawdziwych danych, jeśli chcesz pozostać anonimowy. 2.3 - Jak wykorzystać dezinformację na swoją korzyść Dobrze, wiemy już jak jesteśmy śledzeni. Porozmawiajmy krótko o tym, jak możemy wykorzystać dezinformację, aby znacznie utrudnić tym podmiotom śledzenie nas. Imiona i nazwiska: Nie używaj swojego prawdziwego imienia nigdzie w Internecie i unikaj stron, które tego wymagają. Polegaj na pseudonimach, pseudoanonimowość jest lepsza niż bycie przyłapanym z opuszczonymi spodniami. Adres IP: Zamaskuj swój adres IP za pomocą Tor, VPN, VPS, RDP lub serwerów proxy. W zależności od tego, co faktycznie robisz, możesz chcieć połączyć niektóre z nich. Chodzi o to, aby wykorzystać to, co masz do dyspozycji, aby utrudnić im życie. Odcisk palca przeglądarki: Ten jest prawdopodobnie najtrudniejszy do ukrycia, jeśli nie jesteś technicznym czarodziejem. Ale zawsze możesz użyć kilku przeglądarek z różnymi wtyczkami, aby wyglądało na to, że jesteś kilkoma osobami. Numery telefonów: Przestań łączyć swój osobisty numer telefonu z usługami takimi jak komunikatory internetowe, aplikacje społecznościowe i uwierzytelnianie dwuskładnikowe w usługach. Albo kup numer VOIP za pomocą Crypto, albo użyj takich rzeczy jak Yubi Key do uwierzytelniania dwuskładnikowego. Adresy e-mail: Prawdopodobnie najłatwiejszy, używaj kilku e-maili pod różnymi nazwami do różnych celów. Rozdziel wszystko! Stylometria: Jest to zastosowanie badania stylu językowego. Na przykład mogę powiedzieć 10% lub 10% lub dziesięć procent. Każdy z nich jest inny i może być użyty do zamaskowania swojej prawdziwej tożsamości. Ponadto, kiedy pisałem ten post, mogłem z łatwością udać się do jakiegoś serwisu tłumaczeniowego i zrobić to. Przetłumaczyć z angielskiego na rosyjski, z rosyjskiego na hiszpański, z hiszpańskiego na fiński i z fińskiego na angielski. To zmieni tekst i sprawi, że będzie on bardzo różny (pod względem stylometrii) od tego, co napisałeś pierwotnie, musisz tylko sprawdzić pisownię. Oszustwa i kłamstwa: Nie takie, jakich się spodziewasz. Powiedzmy, że jesteś użytkownikiem Dread i chcesz wspomnieć o zwierzaku, którego masz, aby zrobić jakiś punkt w dyskusji. Teraz za złe OPSEC uważa się powiedzenie Hej, mam czarnego kota!, Zamiast tego powiedz, że masz białego psa. W ten sposób nadal możesz powiedzieć, że mój zwierzak zrobił X, Y lub Z. Ale bez ujawniania faktycznych informacji o tobie. Dokonywanie tak subtelnych zmian w szczegółach jest kluczowe, jeśli chcesz pozostać w ukryciu. Cytat: Sun Tzu "Zaangażuj ludzi w to, czego oczekują; to jest to, co są w stanie dostrzec i potwierdza ich przewidywania. Osadza ich w przewidywalnych wzorcach reakcji, zajmując ich umysły, podczas gdy ty czekasz na niezwykły moment, którego nie mogą przewidzieć".
Wszystko, co tutaj powiedziałem, jest rodzajem dezinformacji w taki czy inny sposób. Korzystanie z tych technik sprawia, że wyglądasz jak kilka osób zamiast jednej. Ale to wszystko nie pomoże ci, jeśli nie będziesz właściwie korzystać z podziału na przedziały. 2. 4 Podział na grupy Dlaczego Qubes OS jest uważany za jeden z najbezpieczniejszych dostępnych obecnie systemów operacyjnych? Ponieważ wykorzystuje on podział na partycje. Trzymanie rzeczy oddzielnie jest prawdopodobnie najlepszym sposobem na uniknięcie śledzenia użytkownika. Co mam przez to na myśli? Załóżmy, że kupiłeś telefon z palnikiem i kartą SIM, za gotówkę, w miejscu bez kamer bezpieczeństwa i planujesz używać go jako telefonu-pułapki. Możesz bezpiecznie założyć, że telefon jest anonimowy, jeśli chodzi o Ciebie. Ale jeśli zadzwonisz z tego telefonu do matki, małżonka lub dziecka, zostanie on natychmiast spalony. Gdzieś tam znajduje się dziennik tego połączenia i możesz być pewien, że zostanie on znaleziony przez organy ścigania. Nie ma znaczenia, czy jesteś hakerem, administratorem rynku, administratorem forum, zwykłym użytkownikiem, czy po prostu osobą dbającą o prywatność, ponieważ dotyczy to wszystkich. W ten sam sposób, w jaki nie mówisz rodzinie, że sprzedajesz kokainę online, zastosuj to do każdego aspektu swojego cyfrowego życia. Cytat: Sun Tzu "Jeśli twój wróg jest bezpieczny we wszystkich punktach, bądź na niego przygotowany. Jeśli ma przewagę liczebną, unikaj go. Jeśli twój przeciwnik jest temperamentny, staraj się go zirytować. Udawaj słabego, aby stał się arogancki. Jeśli odpoczywa, nie daj mu odpocząć. Jeśli jego siły są zjednoczone, rozdziel je. Jeśli władca i poddany są zgodni, wprowadź między nich podział. Zaatakuj go tam, gdzie jest nieprzygotowany, pojaw się tam, gdzie cię nie oczekują".
Innym przykładem podziału jest to. Wszyscy znamy różnego rodzaju ludzi, od ćpunów po facetów z doktoratem, a nawet wszystko pomiędzy. Każdy ma przyjaciela, z którym pali trawkę, przyjaciela, z którym wychodzi na drinka, przyjaciół, których może przyprowadzić do domu, aby poznać twoich rodziców itp. Tak to się robi. Niektórych rzeczy w życiu po prostu się nie miesza. Nie mieszaj więc swoich tożsamości online, ponieważ jeśli to zrobisz, prędzej czy później zostaną one powiązane i wrócą do ciebie.
2.5 Bezpieczeństwo nie jest wygodne
Jak można wywnioskować ze wszystkiego, co napisałem, bezpieczeństwo nie jest wygodne i nie można mieć go w obie strony. Ale zastosowanie tych lub podobnych wzorców w życiu cyfrowym wykładniczo poprawi bezpieczeństwo operacyjne.
Pamiętaj, że nawet nie zarysowałem powierzchni, ale powiedziałem wystarczająco dużo, abyś mógł pomyśleć o własnym OPSEC. Unikaj pojedynczych punktów awarii, egzekwuj korzystanie z PGP podczas przesyłania ważnych informacji, używaj szyfrowania pełnodyskowego, regularnie zmieniaj hasła, nie mieszaj przestępczości z życiem osobistym, używaj oprogramowania open source w przeciwieństwie do oprogramowania zamkniętego, a co najważniejsze, trzymaj kurwa gębę na kłódkę!
Nikt nie musi wiedzieć, co zrobiłeś, co zamierzasz zrobić, gdzie jest twoja skrytka, ile masz pieniędzy lub narkotyków i tak dalej. Mądry człowiek powiedział kiedyś, że ryba z zamkniętymi ustami nigdy nie zostanie złowiona.
3 D .U.M.B.
Ta część dotyczy fizycznego bezpieczeństwa operacyjnego i możesz się zastanawiać, co oznacza skrót D.U.M.B.? To całkiem proste, Deep Underground Military Bases. Użyłem go jako odniesienia do nieprzeniknionego budynku, jakim powinien być twój OPSEC. Ponieważ nie ma znaczenia, jak dobry jest twój cyfrowy OPSEC, jeśli twój fizyczny jest horrendalny i odwrotnie.
Zanim zagłębię się w tę sekcję, każdy, kto tak jak ja uwielbia łamanie sejfów i otwieranie zamków, powinien zdecydowanie zapoznać się z książkami napisanymi przez Jaysona Streeta zatytułowanymi Dissecting the Hack: F0rb1dd3n Network i Dissecting the Hack: STARS (Security Threats Are Real), w których całkiem nieźle wyjaśnia on znaczenie zarówno bezpieczeństwa cyfrowego, jak i fizycznego oraz konsekwencje lekceważenia któregokolwiek z nich. Ponadto, The Complete Book of Locks and Locksmithing, Seventh Edition i Master Locksmithing: An Experts Guide to zabawne lektury wypełnione mnóstwem informacji.
Czym jest fizyczny OPSEC (powszechnie określany jako analouge) i dlaczego jest tak ważny? Cóż, analouge OPSEC jest jak używanie rynków do zamawiania narkotyków, nie zostawiasz tego urządzenia zalogowanego i bez nadzoru, nie zostawiasz otwartych drzwi, gdy wychodzisz z domu, wszystko to jest analouge OPSEC. Ludzie zwykle lekceważą go jako mniej ważny, ale nie popełnij błędu, jest tak samo ważny jak cyfrowy.
Podobnie jak w przypadku technologii cyfrowej, mogę jedynie dać ci sugestie i skłonić do myślenia, ponieważ każda sytuacja i model zagrożenia są inne.
Załóżmy, że jesteś dealerem, nie zajmujesz się rynkami, wolisz staromodny sposób. Wymienię kilka rad, które mogą okazać się przydatne:
Nie mów za dużo, gdzie jest twoja kryjówka, ile ważysz, czy jesteś uzbrojony, czy nie itp. Wszystkie te rzeczy mogą być powodem, dla którego zostaniesz uprowadzony, torturowany lub zabity.
Nie sraj tam, gdzie jesz, nie srajtam, gdzie ćpasz. To ogólnie zła praktyka, przenieś swój biznes na drugi koniec miasta.
Nie przyjaźnij się zklientami, z którymi nie możesz się przyjaźnić. Mogą być jednym lub drugim, ale nie obydwoma. Ponieważ uzależnieni przewrócą się i będą śpiewać, jeśli zostaną złapani. Posiadanie uzależnionego jako przyjaciela to świetny sposób na zapewnienie sobie długich wakacji w dowolnym zakładzie karnym na całym świecie.
Wiedzieć, kiedy się poddać - to chyba najważniejsze, jeśli coś jest nie tak, to dlatego, że prawdopodobnie tak jest. Zaufaj swojemu przeczuciu i wiedz, że wycofanie się nie zawsze jest złe. Jak powiedział Frank Lucas swojemu dostawcy: Poddanie się i poddanie się, gdy jesteś do przodu, to nie to samo Frank.
Nie pracuj z przyjacielem przyjaciela przyjaciela, oni prawdopodobnie są tajnymi gliniarzami.
Myśl z wyprzedzeniem Zawsze, i mam na myśli zawsze, miej plan wyjścia. Niezależnie od tego, czy jest to podrobiony paszport, 50 tysięcy w gotówce i bilet na jakąś południowoafrykańską wyspę, która nie ma z nikim umowy o ekstradycji. Albo zaliczka w wysokości kilkuset tysięcy dla najdroższego prawnika w mieście. Po prostu upewnij się, że masz plan.
To tylko kilka rzeczy, na które należy zwracać uwagę. Istnieje dosłownie mnóstwo innych porad dla różnych zawodów, ale jeśli będę to kontynuował, nie zdążę ich opublikować na czas. Należy pamiętać, że do wszystkiego można się włamać, zhakować, zablokować lub wykorzystać.
3.1 Najlepsze przykłady niepowodzeń OPSEC
Porozmawiajmy o niektórych porażkach OPSEC. Ponieważ mądrzy ludzie uczą się na cudzych błędach, a nie na własnych. Ze względu na fakt, że w pracy w ciemnej sieci może to być twój pierwszy i ostatni.
DreadPirateRoberts (Ross Ulbricht) był rewolucjonistą, niezwykle inteligentnym, ale niekoniecznie mądrym. Wśród wielu głupich rzeczy, które zrobił, są: używanie źle skonfigurowanego serwera CAPTCHA przez długi czas, wysyłanie kontrabandy na swój adres domowy, reklamowanie Silk Road na Shroomery przy użyciu własnego adresu gmail, zaprzyjaźnienie się z byłym tajnym (skorumpowanym) agentem DEA (który później wyłudził od niego pieniądze), prowadzenie dzienników wszystkich swoich rozmów i szczegółowy dziennik przygód Silk Road. Ale najbardziej zgubne było to, że nie był świadomy swojego otoczenia. Przez większość czasu operował Silk Road w zaciszu Biblioteki Publicznej San Forensics, gdzie popełnił błąd, siedząc przy stole odwrócony plecami do pokoju. Podczas gdy dwóch agentów FBI zainscenizowało bójkę, ich koledzy zaszli go od tyłu i chwycili laptopa, zanim zdążył go wyłączyć i uruchomić proces szyfrowania. Zasadniczo udokumentował wszystkie swoje przestępstwa, więc nie bądź DPR.
Shiny Flakes (niemiecki sprzedawca) 20-latek, który stworzył jedną z największych operacji przemytu kokainy w Niemczech w tamtym czasie. Policja skonfiskowała ponad pół miliona w różnych walutach i niewiarygodną ilość narkotyków, wszystkie przechowywane w jego sypialni. Jego największą porażką w zakresie OPSEC było to, że wszystkie przesyłki wysyłał z tej samej placówki DHL. Przechowywał również wszystko w postaci zwykłego tekstu (zamówienia, klienci, dane finansowe, dane logowania itp.) na niezaszyfrowanym dysku.
Sabu (Hector Xavier Monsegur) LulzSEC zapomniał użyć TOR, aby połączyć się z serwerem IRC monitorowanym przez FBI. Zdobyli jego adres IP od dostawcy usług internetowych, a po jednym ataku korelacyjnym został aresztowany i wydał swoich przyjaciół w zamian za ugodę. Nie bądź kapusiem, przyznaj się do swoich wpadek.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) wśród wielu głupich rzeczy, które zrobił, było wynajęcie serwerów z adresem e-mail, którego użył do otwarcia konta PayPal, a następnie użył tego PayPal do zapłacenia za kwiaty swojej żony. Ale to nie wszystko. Podróżował ze swoim służbowym laptopem, który zawierał setki tysięcy kart kredytowych, ale to nie jest złe, ponieważ miał szyfrowanie. Niestety, jego hasło Ochko123 zostało odgadnięte przez organy ścigania, ponieważ było takie samo na jego e-mailu, jak sądzę. Tak więc, nie noś swojej pracy podczas podróży, nie mieszaj przestępczości z życiem miłosnym, nie używaj, kurwa, ponownie haseł. Nie bądź BulbaCC.
Willy Clock (Ryan Gustefson, ugandyjski fałszerz) wykorzystał osobisty adres e-mail, którego użył do ubiegania się o obywatelstwo USA, do konta na Facebooku, z którego sprzedawał fałszywe banknoty. Ponadto dodał do tego konta własne zdjęcie. Nie mam nawet nic do powiedzenia na ten temat.
FrecnhMaid aka nob (agent DEA ze sprawy DRP) użył swojego służbowego laptopa do wymuszenia na Rossie Ulbrichcie, możesz się domyślić, jak to się skończyło. Między innymi przeniósł te pieniądze na konta bankowe pod własnym nazwiskiem, w krajach, w których nie obowiązują surowe przepisy dotyczące tajemnicy bankowej. Dostał to, co mu się należało.
Alexandre Cazes (administrator AlphaBay) używał osobistego adresu e-mail do wysyłania e-maili resetujących hasło do AlphaBay, przechowywał wszystkie dane w niezaszyfrowanym formacie na swoim urządzeniu, hostował serwery Alphabay w Quebecu w Kanadzie pod własnym nazwiskiem.
3.2 - Nieuniknione spieprzenie, następstwa i sprzątanie
Jest to ostatni rozdział tego wpisu, który dotyczy nieuniknionego spieprzenia i tego, co należy zrobić po nim. Wszyscy jesteśmy ludźmi, co oznacza, że prędzej czy później popełnisz błąd. Czy to będzie twój koniec? To zależy, ale najważniejsze jest, aby wiedzieć, jak posprzątać swój własny bałagan.
Oto powtarzający się przykład fuck up i jak możesz postępować po nim, ale pamiętaj, że jest to sytuacja spekulowana i musisz wiedzieć, że nie mogę przewidzieć każdego możliwego wyniku.
Kontrolowana dostawa - to sytuacja, w której organy ścigania przejmują twoje zamówienie, ale pozwalają poczcie na dostarczenie przesyłki, aby złapać cię na gorącym uczynku. Zazwyczaj jest to próba zmuszenia użytkownika do odwrócenia się. Zazwyczaj są dwa wyjścia z takiej sytuacji, jeśli masz na swoim koncie kilka zamówień, dostarczenie paczki trwa podejrzanie długo i stacjonowała ona przez kilka dni w tym samym miejscu.
Możesz albo nie wiedzieć, podpisać paczkę i zostać przyłapanym w ciągu kilku sekund. Możesz też zaprzeczyć otrzymaniu paczki, w którym to przypadku nie mają nic. Teraz, jeśli uważasz, że jest to kontrolowana dostawa, najlepszym sposobem działania jest usunięcie wszelkich dowodów takiej aktywności z urządzeń i domu. Ponieważ możesz być pewien, że adres jest spalony i ty też.
Co mam na myśli mówiąc o usuwaniu dowodów? Stare dobre niszczarki danych są zawsze dobrym rozwiązaniem, ale jeśli masz jakieś krytyczne informacje, które nigdy nie mogą wpaść w ręce wroga, najlepszym sposobem działania jest zawsze pozbycie się danego dysku SSD / HDD. Najpierw zniszcz dane (zalecane jest co najmniej 7 przebiegów), a następnie zniszcz dysk. Zazwyczaj spalenie go na chrupko załatwia sprawę. Zawsze najlepiej jest zniszczyć urządzenie, aby nikt nie mógł przeprowadzić kryminalistyki i odkopać danych. Ponieważ żadne nowe błyszczące urządzenie (laptop, komputer, dysk twardy, dysk ssd itp.) nie jest warte więcej niż twoja wolność.
Chodzi o to, że jeśli coś jest nie tak, to prawdopodobnie tak jest! Bądź czujny, nie zamawiaj na swój adres domowy, graj w grę, nie pozwól grze grać w ciebie.
