Escrito por scribe_TS NOT ME
.....1.1 Quem sou eu
.....1.2 Definição de segurança operacional
2 - Guerra de desinformação (digital)
.....2.1 Desinformação antiga
.....2.2 Como você está sendo rastreado?
.....2.3 Como usar a desinformação a seu favor
.....2.4 Compartimentalização
.....2.5 A segurança não é conveniente
3 - D.U.M.B (físico)
.....3.1 Principais exemplos de falhas de OPSEC
.....3.2 Fracassos inevitáveis, consequências e limpeza
1.1 - Quem sou eu
"Sou apenas mais um eco no vazio."
1.2 - Definição de segurança operacional
Por definição, a segurança operacional foi derivada do termo militar segurança processual, originado como um termo que descrevia estratégias para evitar que adversários em potencial descobrissem dados críticos relacionados a operações. Que é um processo analítico que classifica os ativos de informação e determina o controle necessário para fornecer esses ativos.
Talvez você se pergunte por que decidi escrever sobre segurança operacional física e digital. A resposta mais simples é que, na minha opinião, elas estão interligadas e não podem ser separadas. Se você tem uma, mas não tem a outra, é como se não tivesse nenhuma.
2 - Guerra de desinformação
2.1 - Desinformação antiga
Desde os primórdios da humanidade, a desinformação tem sido usada como arma e a mais eficaz delas. Se você gosta de ler livros como eu, sugiro que leia A arte da guerra, de Sun Tzu. Esse livro, mesmo depois de milhares de anos desde que foi escrito, tem teorias e práticas que podem ser aplicadas no mundo moderno. Por que estou lhe dizendo isso? Porque vamos começar com uma de suas citações.
Citação: Sun Tzu
"Toda guerra é baseada no engano. Portanto, quando somos capazes de atacar, devemos parecer incapazes; quando usamos nossas forças, devemos parecer inativos; quando estamos perto, devemos fazer o inimigo acreditar que estamos longe; quando estamos longe, devemos fazê-lo acreditar que estamos perto."
Um dos exemplos mais flagrantes disso nos leva de volta à Roma antiga e ao final da República, quando quase um século de guerra civil, caos e assassinatos políticos levaram o governo romano à beira do colapso. Era a época do chamado Segundo Triunvirato. Há cerca de 2000 anos, a República Romana estava enfrentando uma guerra civil entre Otávio, filho adotivo do grande general Júlio César, e Marco Antônio, um dos comandantes de maior confiança de César. Para vencer a guerra, Otávio sabia que precisava ter o público ao seu lado. Vencer batalhas importantes ajudava, mas se o povo não gostasse dele, ele não seria um governante bem-sucedido. Para obter o apoio do público, Otávio lançou uma guerra de notícias falsas contra Marco Antônio. Ele alegou que Antônio, que estava tendo um caso com Cleópatra, a rainha egípcia, não respeitava os valores romanos tradicionais, como fidelidade e respeito. Otávio também disse que ele não era apto a ocupar o cargo porque estava sempre bêbado. Otávio levou sua mensagem ao público por meio de poesia e slogans curtos e rápidos impressos em moedas. Por fim, Otávio venceu a guerra e se tornou o primeiro imperador de Roma, governando por mais de 50 anos. Mas, como estou divagando, vamos voltar ao assunto que o trouxe até aqui. Hoje é muito mais fácil conduzir uma guerra de desinformação do que há 2.000 anos, obviamente. Agora, para pular as lições de história e passar para a era moderna, aqui está um exemplo de desinformação. Os mercados que desejam realizar exit-scam geralmente desativam os saques devido a alguns problemas técnicos, mas mantêm os depósitos funcionando enquanto desviam os fundos para alguma carteira externa. 2.2 - Como você está sendo rastreado Na sociedade distópica em que vivemos hoje, a vigilância é parte importante da forma como os governos mantêm as pessoas comuns na linha. Para entender como podemos usar a desinformação contra eles, primeiro precisamos entender como estamos sendo rastreados. As entidades que nos rastreiam (agências governamentais, conglomerados de tecnologia e empresas de mineração de dados) dependem de você para vazar pequenos pedaços de dados que elas usam para traçar o seu perfil on-line e associar o nome do usuário ao usuário real. É simples fazer a correspondência de conteúdo em bancos de dados se houver algum tipo de índice para o conteúdo. Os dados mais comuns usados para rastrear você na clear-net e na dark-net são Nomes (reais e de usuário)
Endereços IP
Impressão digital do navegador
Endereço de e-mail
Localização (exata ou aproximada)
Números de telefone
Data de nascimento (ou qualquer outra PII)
Estilometria
Reconhecimento facial
É importante entender que o simples uso de dois elementos dentre todos esses é suficiente para que eles o rastreiem. Portanto, seu trabalho é impedir que eles obtenham dois dados reais se você quiser permanecer anônimo. 2.3 - Como usar a desinformação a seu favor Ok, sabemos como estamos sendo rastreados. Vamos falar brevemente sobre como podemos usar a desinformação para tornar muito mais difícil para essas entidades rastrearem você. Nomes: Não use seu nome verdadeiro em nenhum lugar da Internet e evite sites que exijam um. Confie em pseudônimos, o pseudoanônimo é melhor do que ser pego com as calças na mão. Endereço IP: Mascare seu endereço IP usando Tor, VPN, VPS, RDP ou proxies. Dependendo do que estiver realmente fazendo, talvez seja necessário combinar alguns desses métodos. O objetivo é usar o que estiver à sua disposição para dificultar a vida deles. Impressão digital do navegador: Esta é provavelmente a mais difícil de ocultar se você não for um especialista em tecnologia. Mas você sempre pode usar vários navegadores com plug-ins diferentes para dar a impressão de que são várias pessoas. Números de telefone: Pare de vincular seu número de telefone pessoal a serviços como mensageiros instantâneos, aplicativos de mídia social e autenticação de dois fatores em serviços. Adquira um número VOIP com criptografia ou use itens como Yubi Key para autenticação de dois fatores. Endereços de e-mail: Provavelmente o mais fácil, use vários e-mails com nomes diferentes para finalidades diferentes. Mantenha tudo separado! Estilometria: É a aplicação do estudo do estilo linguístico. Por exemplo, posso dizer 10% ou 10% ou dez por cento. Cada um deles é diferente e pode ser usado para mascarar sua verdadeira identidade. Além disso, quando escrevi esta postagem, eu poderia facilmente ter ido a algum serviço de tradução e feito isso. Traduzir do inglês para o russo, do russo para o espanhol, do espanhol para o finlandês e do finlandês para o inglês. Isso vai alterar o texto e torná-lo muito diferente (em termos de estilometria) do que você escreveu originalmente, basta fazer a verificação ortográfica. Decepção e mentiras: Não do tipo que você está esperando. Digamos que você seja um usuário Dread e queira mencionar um animal de estimação que você tem para defender algum ponto em uma discussão. Agora, é considerado OPSEC ruim dizer "Ei, eu tenho um gato preto!", em vez disso, diga que você tem um cachorro branco. Dessa forma, você ainda pode dizer que meu animal de estimação fez X, Y ou Z. Mas sem divulgar informações reais sobre você. Fazer essas alterações sutis nos detalhes é fundamental se você quiser ficar oculto. Citação: Sun Tzu "Envolva as pessoas com o que elas esperam; é o que elas são capazes de discernir e confirma suas projeções. Isso as coloca em padrões previsíveis de resposta, ocupando suas mentes enquanto você espera pelo momento extraordinário que elas não podem prever."
Tudo o que eu disse aqui é um tipo de desinformação de uma forma ou de outra. O uso dessas técnicas faz com que você pareça ser várias pessoas em vez de apenas uma. Mas tudo isso não o ajudará se você não fizer uso adequado da compartimentalização. 2.4 Compartimentalização Por que o Qubes OS é considerado um dos sistemas operacionais mais seguros disponíveis atualmente? Porque ele faz uso da compartimentalização. Manter as coisas separadas é provavelmente a melhor maneira de evitar que alguém o rastreie. O que quero dizer com isso? Digamos que você tenha comprado um telefone de gravação e um cartão SIM, com dinheiro, em um local sem câmeras de segurança e planeja usá-lo como um telefone-armadilha. Você pode presumir com segurança que esse telefone é anônimo no que lhe diz respeito. Mas, se você ligar para sua mãe, cônjuge ou filho com esse telefone, ele será imediatamente queimado. Há um registro em algum lugar sobre essa chamada e você pode ter certeza de que ele será encontrado pela polícia. Não importa se você é um hacker, administrador de mercado, administrador de fórum, usuário comum ou apenas um indivíduo preocupado com a privacidade, pois isso vale para todos. Da mesma forma que você não diz à sua família que está vendendo cocaína on-line, aplique isso a todos os aspectos de sua vida digital. Citação: Sun Tzu "Se seu inimigo estiver seguro em todos os pontos, esteja preparado para ele. Se ele tiver força superior, fuja dele. Se seu oponente for temperamental, procure irritá-lo. Finja ser fraco, para que ele se sinta mais forte. Finja ser fraco, para que ele se torne arrogante. Se ele estiver descansando, não lhe dê descanso. Se suas forças estiverem unidas, separe-as. Se o soberano e o súdito estiverem de acordo, coloque divisões entre eles. Ataque-o onde ele não estiver preparado, apareça onde você não é esperado."
Outro exemplo de compartimentalização é o seguinte. Todos nós conhecemos todos os tipos de pessoas, de drogados a caras com doutorado e até mesmo tudo o que está no meio disso. Todo mundo tem um amigo com quem fuma maconha, um amigo com quem sai para beber, um amigo que pode levar para casa para conhecer seus pais etc. É assim que se faz. Algumas coisas na vida simplesmente não se misturam. Portanto, não misture suas identidades on-line, pois, se o fizer, mais cedo ou mais tarde elas serão vinculadas e voltarão para você.
2.5 A segurança não é conveniente
Como você pode ter deduzido de tudo o que escrevi, a segurança não é conveniente e não se pode ter as duas coisas. Mas a aplicação desses padrões ou de padrões semelhantes em sua vida digital melhorará exponencialmente sua segurança operacional.
Lembre-se de que nem sequer arranhei a superfície, mas disse o suficiente para que você pense em sua própria OPSEC. Evite o ponto único de falha, imponha o uso de PGP ao transmitir informações importantes, use criptografia de disco completo, altere suas senhas regularmente, não misture crime e vida pessoal, use software de código aberto em vez de código fechado e, o mais importante, mantenha sua boca fechada!
Ninguém precisa saber o que você fez, o que vai fazer, onde está seu esconderijo, quanto dinheiro ou drogas você tem e assim por diante. Um homem sábio disse uma vez: "Um peixe com a boca fechada nunca é pescado".
3 D .U.M.B.
Esta parte é sobre segurança operacional física e você pode se perguntar o que significa D.U.M.B.? É bem simples: Bases Militares Subterrâneas Profundas. Eu a usei como referência de um edifício impenetrável que sua OPSEC deveria ter. Porque não importa quão boa seja sua OPSEC digital se a física for horrível e vice-versa.
Antes de me aprofundar nesta seção, quem gosta de arrombar cofres e fechaduras, como eu, deve dar uma olhada no livro escrito por Jayson Street chamado Dissecting the Hack: F0rb1dd3n Network e Dissecting the Hack: STARS (Security Threats Are Real), ele faz um ótimo trabalho ao explicar a importância da segurança digital e física e as consequências de desconsiderar qualquer uma delas. Além disso, The Complete Book of Locks and Locksmithing, Seventh Edition e Master Locksmithing: An Experts Guide são leituras divertidas e repletas de informações.
O que é OPSEC física (comumente chamada de analouge) e por que ela é tão importante? Bem, a OPSEC de analouge é como quando você está usando os mercados para pedir algumas drogas, não deixa o dispositivo conectado e sem supervisão, não deixa as portas destrancadas quando sai de casa, tudo isso é OPSEC de analouge. As pessoas geralmente tendem a desconsiderá-la como menos importante, mas não se engane, ela é tão importante quanto a digital.
Assim como no digital, só posso dar sugestões e fazer você pensar, pois cada situação e modelo de ameaça é diferente.
Vamos supor que você seja um revendedor, que não trabalhe com mercados e que prefira a maneira antiga. Vou listar alguns conselhos que você pode achar úteis:
Não fale muito sobre onde fica seu esconderijo, quanto peso você tem, se está armado ou não, etc. Todas essas coisas podem ser um motivo pelo qual você será sequestrado, torturado ou morto.
Não faça merda onde você come, não use drogas em seu próprio bairro. Essa é uma prática ruim em geral, mude seus negócios para o outro lado da cidade.
Não seja amigo de clientes que não podem ser amigos de viciados. Eles podem ser um ou outro, não ambos. Porque os viciados vão se enrolar e cantar se forem pegos. Ter um viciado como amigo é uma ótima maneira de garantir longas férias em qualquer instituição correcional do mundo.
Se algo parecer errado, é porque provavelmente está. Confie em seu instinto e saiba que recuar nem sempre é uma coisa ruim. Como Frank Lucas foi informado por seu fornecedor: "Desistir e desistir enquanto você está à frente não é a mesma coisa, Frank.
Não trabalhe com o amigo de um amigo de um amigo, pois eles provavelmente são policiais disfarçados.
Pense no futuro Sempre, e quero dizer sempre, tenha um plano de saída. Seja um passaporte falso, 50 mil em dinheiro e uma passagem para alguma ilha sul-africana que não tenha um tratado de extradição com ninguém. Ou um adiantamento de algumas centenas de milhares de dólares para o advogado mais caro da cidade. Apenas certifique-se de ter um plano.
Essas são apenas algumas coisas para ficar de olho. Há literalmente toneladas de outros conselhos para várias profissões, mas se eu continuar assim, não conseguirei publicá-los a tempo. Apenas tenha em mente que tudo pode ser invadido, hackeado, trancado ou explorado.
3.1 Principais exemplos de falhas de OPSEC
Vamos falar sobre algumas falhas de OPSEC. Porque as pessoas inteligentes aprendem com os erros dos outros, não com os seus próprios. Devido ao fato de que, em linhas de trabalho na dark-net, esse pode ser seu primeiro e último erro.
DreadPirateRoberts (Ross Ulbricht) era um revolucionário, extremamente inteligente, mas não necessariamente esperto. Entre as muitas coisas estúpidas que ele fez estão: usar um servidor CAPTCHA mal configurado por um longo período de tempo, enviar contrabando para seu endereço residencial, anunciar o Silk Road no Shroomery usando seu próprio endereço do Gmail, fazer amizade com um ex-agente secreto (corrupto) da DEA (que mais tarde o extorquiu por dinheiro), manter registros de todas as suas conversas e um diário detalhado das aventuras no Silk Road. Porém, o mais fatal foi o fato de ele não estar ciente do que estava ao seu redor. Na maior parte do tempo, ele operava o Silk Road no conforto da Biblioteca Pública de San Forensics, onde errou ao sentar-se em uma mesa de costas para a sala. Enquanto dois agentes do FBI encenavam uma briga de casal, seus colegas se aproximaram por trás e pegaram o laptop antes que ele pudesse desligá-lo e acionar o processo de criptografia. Ele basicamente documentou todos os seus crimes, entre outros, portanto, não seja DPR.
Shiny Flakes (Vendedor alemão) Jovem de 20 anos que criou uma das maiores operações de tráfico de cocaína na Alemanha na época. A polícia confiscou mais de meio milhão em várias moedas e uma quantidade absurda de drogas, tudo armazenado em seu quarto. E sua maior falha de OPSEC foi enviar todas as remessas do mesmo posto avançado da DHL. Ele também armazenava tudo em texto simples (pedidos, clientes, finanças, credenciais de login, etc.) em uma unidade não criptografada.
Sabu (Hector Xavier Monsegur) O LulzSEC esqueceu de usar o TOR para se conectar ao servidor IRC monitorado pelo FBI. Eles obtiveram seu endereço IP de seu ISP, um ataque de correlação depois ele foi algemado e entregou seus amigos em troca de um acordo judicial. Não seja um delator, assuma seus erros.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) , entre muitas coisas estúpidas que fez, alugou servidores com um endereço de e-mail que usou para abrir uma conta no PayPal e depois usou esse PayPal para pagar as flores de sua esposa. Mas isso não é tudo. Ele viajou com seu laptop de trabalho que continha centenas de milhares de cartões de crédito, mas isso não é ruim, pois ele tinha criptografia. Infelizmente, sua senha Ochko123 foi adivinhada pela polícia, pois era a mesma em seu e-mail, creio eu. Portanto, não leve seu trabalho quando viajar, não misture crime e vida amorosa, não reutilize senhas. Não seja BulbaCC.
Willy Clock (Ryan Gustefson, falsificador de Uganda) reutilizou o e-mail pessoal que usou para solicitar a cidadania norte-americana em uma conta do Face-book que usava para vender notas falsas. Além disso, carregou sua própria foto nessa conta. Não tenho nem o que dizer sobre esse caso.
FrecnhMaid, também conhecido como nob (agente da DEA do caso DRP), usou seu laptop de trabalho para extorquir Ross Ulbricht, e você pode imaginar como foi. Entre outras coisas, ele transferiu o dinheiro para contas bancárias em seu próprio nome, em países com leis de sigilo bancário não rígidas. Ele recebeu o que estava lhe esperando.
Alexandre Cazes (administrador do AlphaBay) usou um endereço de e-mail pessoal para e-mails de redefinição de senha do AlphaBay, manteve todos os dados armazenados em formato não criptografado em seu dispositivo, hospedou servidores do Alphabay em Quebec, Canadá, em seu próprio nome.
3.2 - Fracasso inevitável, consequências e limpeza
Este é o último capítulo desta postagem, que trata da inevitável falha e do que fazer depois. Somos todos humanos, o que significa que, mais cedo ou mais tarde, você cometerá um erro. Isso será o seu fim? Depende, mas o principal é saber como limpar sua própria bagunça.
Aqui está um exemplo recorrente de erro e como você pode proceder depois, mas lembre-se de que esta é uma situação especulada e você deve saber que não posso prever todos os resultados possíveis.
Entrega controlada - é a situação em que a polícia apreende a sua encomenda, mas permite que o correio continue entregando o pacote para pegá-lo em flagrante. Normalmente, para tentar forçá-lo a mudar de ideia. Normalmente, há dois resultados para essa situação: se você tiver algumas encomendas, se a encomenda estiver demorando muito para ser entregue e se ela estiver parada há dias no mesmo local.
Você pode não saber, assinar para receber o pacote e ser preso em segundos. Ou você pode negar o recebimento do pacote e, nesse caso, eles não têm nada. Agora, se você acha que se trata de uma entrega controlada, o melhor a fazer é remover qualquer evidência de tal atividade de seus dispositivos e de sua casa. Porque você pode ter certeza de que o endereço foi queimado e você também.
O que quero dizer com a eliminação de evidências? Os bons e velhos trituradores de dados são sempre o caminho a seguir, mas se você tiver alguma informação crítica que nunca deve cair em mãos inimigas, o melhor curso de ação é sempre se livrar do SSD/HDD em questão. Primeiro, destrua os dados (recomenda-se pelo menos 7 passagens) e, em seguida, destrua o disco. Geralmente, queimá-lo em pedaços é o suficiente. É sempre melhor destruir o dispositivo para que ninguém possa fazer perícia e descobrir os dados. Porque nenhum dispositivo novo e brilhante (laptop, computador, disco rígido, ssd etc.) vale mais do que sua liberdade.
A questão é que, se algo parecer errado, é porque provavelmente está errado! Fique atento, não faça pedidos para seu endereço residencial, jogue o jogo e não deixe que o jogo jogue contra você.
.....1.1 Quem sou eu
.....1.2 Definição de segurança operacional
2 - Guerra de desinformação (digital)
.....2.1 Desinformação antiga
.....2.2 Como você está sendo rastreado?
.....2.3 Como usar a desinformação a seu favor
.....2.4 Compartimentalização
.....2.5 A segurança não é conveniente
3 - D.U.M.B (físico)
.....3.1 Principais exemplos de falhas de OPSEC
.....3.2 Fracassos inevitáveis, consequências e limpeza
1.1 - Quem sou eu
"Sou apenas mais um eco no vazio."
1.2 - Definição de segurança operacional
Por definição, a segurança operacional foi derivada do termo militar segurança processual, originado como um termo que descrevia estratégias para evitar que adversários em potencial descobrissem dados críticos relacionados a operações. Que é um processo analítico que classifica os ativos de informação e determina o controle necessário para fornecer esses ativos.
Talvez você se pergunte por que decidi escrever sobre segurança operacional física e digital. A resposta mais simples é que, na minha opinião, elas estão interligadas e não podem ser separadas. Se você tem uma, mas não tem a outra, é como se não tivesse nenhuma.
2 - Guerra de desinformação
2.1 - Desinformação antiga
Desde os primórdios da humanidade, a desinformação tem sido usada como arma e a mais eficaz delas. Se você gosta de ler livros como eu, sugiro que leia A arte da guerra, de Sun Tzu. Esse livro, mesmo depois de milhares de anos desde que foi escrito, tem teorias e práticas que podem ser aplicadas no mundo moderno. Por que estou lhe dizendo isso? Porque vamos começar com uma de suas citações.
Citação: Sun Tzu
"Toda guerra é baseada no engano. Portanto, quando somos capazes de atacar, devemos parecer incapazes; quando usamos nossas forças, devemos parecer inativos; quando estamos perto, devemos fazer o inimigo acreditar que estamos longe; quando estamos longe, devemos fazê-lo acreditar que estamos perto."
Um dos exemplos mais flagrantes disso nos leva de volta à Roma antiga e ao final da República, quando quase um século de guerra civil, caos e assassinatos políticos levaram o governo romano à beira do colapso. Era a época do chamado Segundo Triunvirato. Há cerca de 2000 anos, a República Romana estava enfrentando uma guerra civil entre Otávio, filho adotivo do grande general Júlio César, e Marco Antônio, um dos comandantes de maior confiança de César. Para vencer a guerra, Otávio sabia que precisava ter o público ao seu lado. Vencer batalhas importantes ajudava, mas se o povo não gostasse dele, ele não seria um governante bem-sucedido. Para obter o apoio do público, Otávio lançou uma guerra de notícias falsas contra Marco Antônio. Ele alegou que Antônio, que estava tendo um caso com Cleópatra, a rainha egípcia, não respeitava os valores romanos tradicionais, como fidelidade e respeito. Otávio também disse que ele não era apto a ocupar o cargo porque estava sempre bêbado. Otávio levou sua mensagem ao público por meio de poesia e slogans curtos e rápidos impressos em moedas. Por fim, Otávio venceu a guerra e se tornou o primeiro imperador de Roma, governando por mais de 50 anos. Mas, como estou divagando, vamos voltar ao assunto que o trouxe até aqui. Hoje é muito mais fácil conduzir uma guerra de desinformação do que há 2.000 anos, obviamente. Agora, para pular as lições de história e passar para a era moderna, aqui está um exemplo de desinformação. Os mercados que desejam realizar exit-scam geralmente desativam os saques devido a alguns problemas técnicos, mas mantêm os depósitos funcionando enquanto desviam os fundos para alguma carteira externa. 2.2 - Como você está sendo rastreado Na sociedade distópica em que vivemos hoje, a vigilância é parte importante da forma como os governos mantêm as pessoas comuns na linha. Para entender como podemos usar a desinformação contra eles, primeiro precisamos entender como estamos sendo rastreados. As entidades que nos rastreiam (agências governamentais, conglomerados de tecnologia e empresas de mineração de dados) dependem de você para vazar pequenos pedaços de dados que elas usam para traçar o seu perfil on-line e associar o nome do usuário ao usuário real. É simples fazer a correspondência de conteúdo em bancos de dados se houver algum tipo de índice para o conteúdo. Os dados mais comuns usados para rastrear você na clear-net e na dark-net são Nomes (reais e de usuário)
Endereços IP
Impressão digital do navegador
Endereço de e-mail
Localização (exata ou aproximada)
Números de telefone
Data de nascimento (ou qualquer outra PII)
Estilometria
Reconhecimento facial
É importante entender que o simples uso de dois elementos dentre todos esses é suficiente para que eles o rastreiem. Portanto, seu trabalho é impedir que eles obtenham dois dados reais se você quiser permanecer anônimo. 2.3 - Como usar a desinformação a seu favor Ok, sabemos como estamos sendo rastreados. Vamos falar brevemente sobre como podemos usar a desinformação para tornar muito mais difícil para essas entidades rastrearem você. Nomes: Não use seu nome verdadeiro em nenhum lugar da Internet e evite sites que exijam um. Confie em pseudônimos, o pseudoanônimo é melhor do que ser pego com as calças na mão. Endereço IP: Mascare seu endereço IP usando Tor, VPN, VPS, RDP ou proxies. Dependendo do que estiver realmente fazendo, talvez seja necessário combinar alguns desses métodos. O objetivo é usar o que estiver à sua disposição para dificultar a vida deles. Impressão digital do navegador: Esta é provavelmente a mais difícil de ocultar se você não for um especialista em tecnologia. Mas você sempre pode usar vários navegadores com plug-ins diferentes para dar a impressão de que são várias pessoas. Números de telefone: Pare de vincular seu número de telefone pessoal a serviços como mensageiros instantâneos, aplicativos de mídia social e autenticação de dois fatores em serviços. Adquira um número VOIP com criptografia ou use itens como Yubi Key para autenticação de dois fatores. Endereços de e-mail: Provavelmente o mais fácil, use vários e-mails com nomes diferentes para finalidades diferentes. Mantenha tudo separado! Estilometria: É a aplicação do estudo do estilo linguístico. Por exemplo, posso dizer 10% ou 10% ou dez por cento. Cada um deles é diferente e pode ser usado para mascarar sua verdadeira identidade. Além disso, quando escrevi esta postagem, eu poderia facilmente ter ido a algum serviço de tradução e feito isso. Traduzir do inglês para o russo, do russo para o espanhol, do espanhol para o finlandês e do finlandês para o inglês. Isso vai alterar o texto e torná-lo muito diferente (em termos de estilometria) do que você escreveu originalmente, basta fazer a verificação ortográfica. Decepção e mentiras: Não do tipo que você está esperando. Digamos que você seja um usuário Dread e queira mencionar um animal de estimação que você tem para defender algum ponto em uma discussão. Agora, é considerado OPSEC ruim dizer "Ei, eu tenho um gato preto!", em vez disso, diga que você tem um cachorro branco. Dessa forma, você ainda pode dizer que meu animal de estimação fez X, Y ou Z. Mas sem divulgar informações reais sobre você. Fazer essas alterações sutis nos detalhes é fundamental se você quiser ficar oculto. Citação: Sun Tzu "Envolva as pessoas com o que elas esperam; é o que elas são capazes de discernir e confirma suas projeções. Isso as coloca em padrões previsíveis de resposta, ocupando suas mentes enquanto você espera pelo momento extraordinário que elas não podem prever."
Tudo o que eu disse aqui é um tipo de desinformação de uma forma ou de outra. O uso dessas técnicas faz com que você pareça ser várias pessoas em vez de apenas uma. Mas tudo isso não o ajudará se você não fizer uso adequado da compartimentalização. 2.4 Compartimentalização Por que o Qubes OS é considerado um dos sistemas operacionais mais seguros disponíveis atualmente? Porque ele faz uso da compartimentalização. Manter as coisas separadas é provavelmente a melhor maneira de evitar que alguém o rastreie. O que quero dizer com isso? Digamos que você tenha comprado um telefone de gravação e um cartão SIM, com dinheiro, em um local sem câmeras de segurança e planeja usá-lo como um telefone-armadilha. Você pode presumir com segurança que esse telefone é anônimo no que lhe diz respeito. Mas, se você ligar para sua mãe, cônjuge ou filho com esse telefone, ele será imediatamente queimado. Há um registro em algum lugar sobre essa chamada e você pode ter certeza de que ele será encontrado pela polícia. Não importa se você é um hacker, administrador de mercado, administrador de fórum, usuário comum ou apenas um indivíduo preocupado com a privacidade, pois isso vale para todos. Da mesma forma que você não diz à sua família que está vendendo cocaína on-line, aplique isso a todos os aspectos de sua vida digital. Citação: Sun Tzu "Se seu inimigo estiver seguro em todos os pontos, esteja preparado para ele. Se ele tiver força superior, fuja dele. Se seu oponente for temperamental, procure irritá-lo. Finja ser fraco, para que ele se sinta mais forte. Finja ser fraco, para que ele se torne arrogante. Se ele estiver descansando, não lhe dê descanso. Se suas forças estiverem unidas, separe-as. Se o soberano e o súdito estiverem de acordo, coloque divisões entre eles. Ataque-o onde ele não estiver preparado, apareça onde você não é esperado."
Outro exemplo de compartimentalização é o seguinte. Todos nós conhecemos todos os tipos de pessoas, de drogados a caras com doutorado e até mesmo tudo o que está no meio disso. Todo mundo tem um amigo com quem fuma maconha, um amigo com quem sai para beber, um amigo que pode levar para casa para conhecer seus pais etc. É assim que se faz. Algumas coisas na vida simplesmente não se misturam. Portanto, não misture suas identidades on-line, pois, se o fizer, mais cedo ou mais tarde elas serão vinculadas e voltarão para você.
2.5 A segurança não é conveniente
Como você pode ter deduzido de tudo o que escrevi, a segurança não é conveniente e não se pode ter as duas coisas. Mas a aplicação desses padrões ou de padrões semelhantes em sua vida digital melhorará exponencialmente sua segurança operacional.
Lembre-se de que nem sequer arranhei a superfície, mas disse o suficiente para que você pense em sua própria OPSEC. Evite o ponto único de falha, imponha o uso de PGP ao transmitir informações importantes, use criptografia de disco completo, altere suas senhas regularmente, não misture crime e vida pessoal, use software de código aberto em vez de código fechado e, o mais importante, mantenha sua boca fechada!
Ninguém precisa saber o que você fez, o que vai fazer, onde está seu esconderijo, quanto dinheiro ou drogas você tem e assim por diante. Um homem sábio disse uma vez: "Um peixe com a boca fechada nunca é pescado".
3 D .U.M.B.
Esta parte é sobre segurança operacional física e você pode se perguntar o que significa D.U.M.B.? É bem simples: Bases Militares Subterrâneas Profundas. Eu a usei como referência de um edifício impenetrável que sua OPSEC deveria ter. Porque não importa quão boa seja sua OPSEC digital se a física for horrível e vice-versa.
Antes de me aprofundar nesta seção, quem gosta de arrombar cofres e fechaduras, como eu, deve dar uma olhada no livro escrito por Jayson Street chamado Dissecting the Hack: F0rb1dd3n Network e Dissecting the Hack: STARS (Security Threats Are Real), ele faz um ótimo trabalho ao explicar a importância da segurança digital e física e as consequências de desconsiderar qualquer uma delas. Além disso, The Complete Book of Locks and Locksmithing, Seventh Edition e Master Locksmithing: An Experts Guide são leituras divertidas e repletas de informações.
O que é OPSEC física (comumente chamada de analouge) e por que ela é tão importante? Bem, a OPSEC de analouge é como quando você está usando os mercados para pedir algumas drogas, não deixa o dispositivo conectado e sem supervisão, não deixa as portas destrancadas quando sai de casa, tudo isso é OPSEC de analouge. As pessoas geralmente tendem a desconsiderá-la como menos importante, mas não se engane, ela é tão importante quanto a digital.
Assim como no digital, só posso dar sugestões e fazer você pensar, pois cada situação e modelo de ameaça é diferente.
Vamos supor que você seja um revendedor, que não trabalhe com mercados e que prefira a maneira antiga. Vou listar alguns conselhos que você pode achar úteis:
Não fale muito sobre onde fica seu esconderijo, quanto peso você tem, se está armado ou não, etc. Todas essas coisas podem ser um motivo pelo qual você será sequestrado, torturado ou morto.
Não faça merda onde você come, não use drogas em seu próprio bairro. Essa é uma prática ruim em geral, mude seus negócios para o outro lado da cidade.
Não seja amigo de clientes que não podem ser amigos de viciados. Eles podem ser um ou outro, não ambos. Porque os viciados vão se enrolar e cantar se forem pegos. Ter um viciado como amigo é uma ótima maneira de garantir longas férias em qualquer instituição correcional do mundo.
Se algo parecer errado, é porque provavelmente está. Confie em seu instinto e saiba que recuar nem sempre é uma coisa ruim. Como Frank Lucas foi informado por seu fornecedor: "Desistir e desistir enquanto você está à frente não é a mesma coisa, Frank.
Não trabalhe com o amigo de um amigo de um amigo, pois eles provavelmente são policiais disfarçados.
Pense no futuro Sempre, e quero dizer sempre, tenha um plano de saída. Seja um passaporte falso, 50 mil em dinheiro e uma passagem para alguma ilha sul-africana que não tenha um tratado de extradição com ninguém. Ou um adiantamento de algumas centenas de milhares de dólares para o advogado mais caro da cidade. Apenas certifique-se de ter um plano.
Essas são apenas algumas coisas para ficar de olho. Há literalmente toneladas de outros conselhos para várias profissões, mas se eu continuar assim, não conseguirei publicá-los a tempo. Apenas tenha em mente que tudo pode ser invadido, hackeado, trancado ou explorado.
3.1 Principais exemplos de falhas de OPSEC
Vamos falar sobre algumas falhas de OPSEC. Porque as pessoas inteligentes aprendem com os erros dos outros, não com os seus próprios. Devido ao fato de que, em linhas de trabalho na dark-net, esse pode ser seu primeiro e último erro.
DreadPirateRoberts (Ross Ulbricht) era um revolucionário, extremamente inteligente, mas não necessariamente esperto. Entre as muitas coisas estúpidas que ele fez estão: usar um servidor CAPTCHA mal configurado por um longo período de tempo, enviar contrabando para seu endereço residencial, anunciar o Silk Road no Shroomery usando seu próprio endereço do Gmail, fazer amizade com um ex-agente secreto (corrupto) da DEA (que mais tarde o extorquiu por dinheiro), manter registros de todas as suas conversas e um diário detalhado das aventuras no Silk Road. Porém, o mais fatal foi o fato de ele não estar ciente do que estava ao seu redor. Na maior parte do tempo, ele operava o Silk Road no conforto da Biblioteca Pública de San Forensics, onde errou ao sentar-se em uma mesa de costas para a sala. Enquanto dois agentes do FBI encenavam uma briga de casal, seus colegas se aproximaram por trás e pegaram o laptop antes que ele pudesse desligá-lo e acionar o processo de criptografia. Ele basicamente documentou todos os seus crimes, entre outros, portanto, não seja DPR.
Shiny Flakes (Vendedor alemão) Jovem de 20 anos que criou uma das maiores operações de tráfico de cocaína na Alemanha na época. A polícia confiscou mais de meio milhão em várias moedas e uma quantidade absurda de drogas, tudo armazenado em seu quarto. E sua maior falha de OPSEC foi enviar todas as remessas do mesmo posto avançado da DHL. Ele também armazenava tudo em texto simples (pedidos, clientes, finanças, credenciais de login, etc.) em uma unidade não criptografada.
Sabu (Hector Xavier Monsegur) O LulzSEC esqueceu de usar o TOR para se conectar ao servidor IRC monitorado pelo FBI. Eles obtiveram seu endereço IP de seu ISP, um ataque de correlação depois ele foi algemado e entregou seus amigos em troca de um acordo judicial. Não seja um delator, assuma seus erros.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) , entre muitas coisas estúpidas que fez, alugou servidores com um endereço de e-mail que usou para abrir uma conta no PayPal e depois usou esse PayPal para pagar as flores de sua esposa. Mas isso não é tudo. Ele viajou com seu laptop de trabalho que continha centenas de milhares de cartões de crédito, mas isso não é ruim, pois ele tinha criptografia. Infelizmente, sua senha Ochko123 foi adivinhada pela polícia, pois era a mesma em seu e-mail, creio eu. Portanto, não leve seu trabalho quando viajar, não misture crime e vida amorosa, não reutilize senhas. Não seja BulbaCC.
Willy Clock (Ryan Gustefson, falsificador de Uganda) reutilizou o e-mail pessoal que usou para solicitar a cidadania norte-americana em uma conta do Face-book que usava para vender notas falsas. Além disso, carregou sua própria foto nessa conta. Não tenho nem o que dizer sobre esse caso.
FrecnhMaid, também conhecido como nob (agente da DEA do caso DRP), usou seu laptop de trabalho para extorquir Ross Ulbricht, e você pode imaginar como foi. Entre outras coisas, ele transferiu o dinheiro para contas bancárias em seu próprio nome, em países com leis de sigilo bancário não rígidas. Ele recebeu o que estava lhe esperando.
Alexandre Cazes (administrador do AlphaBay) usou um endereço de e-mail pessoal para e-mails de redefinição de senha do AlphaBay, manteve todos os dados armazenados em formato não criptografado em seu dispositivo, hospedou servidores do Alphabay em Quebec, Canadá, em seu próprio nome.
3.2 - Fracasso inevitável, consequências e limpeza
Este é o último capítulo desta postagem, que trata da inevitável falha e do que fazer depois. Somos todos humanos, o que significa que, mais cedo ou mais tarde, você cometerá um erro. Isso será o seu fim? Depende, mas o principal é saber como limpar sua própria bagunça.
Aqui está um exemplo recorrente de erro e como você pode proceder depois, mas lembre-se de que esta é uma situação especulada e você deve saber que não posso prever todos os resultados possíveis.
Entrega controlada - é a situação em que a polícia apreende a sua encomenda, mas permite que o correio continue entregando o pacote para pegá-lo em flagrante. Normalmente, para tentar forçá-lo a mudar de ideia. Normalmente, há dois resultados para essa situação: se você tiver algumas encomendas, se a encomenda estiver demorando muito para ser entregue e se ela estiver parada há dias no mesmo local.
Você pode não saber, assinar para receber o pacote e ser preso em segundos. Ou você pode negar o recebimento do pacote e, nesse caso, eles não têm nada. Agora, se você acha que se trata de uma entrega controlada, o melhor a fazer é remover qualquer evidência de tal atividade de seus dispositivos e de sua casa. Porque você pode ter certeza de que o endereço foi queimado e você também.
O que quero dizer com a eliminação de evidências? Os bons e velhos trituradores de dados são sempre o caminho a seguir, mas se você tiver alguma informação crítica que nunca deve cair em mãos inimigas, o melhor curso de ação é sempre se livrar do SSD/HDD em questão. Primeiro, destrua os dados (recomenda-se pelo menos 7 passagens) e, em seguida, destrua o disco. Geralmente, queimá-lo em pedaços é o suficiente. É sempre melhor destruir o dispositivo para que ninguém possa fazer perícia e descobrir os dados. Porque nenhum dispositivo novo e brilhante (laptop, computador, disco rígido, ssd etc.) vale mais do que sua liberdade.
A questão é que, se algo parecer errado, é porque provavelmente está errado! Fique atento, não faça pedidos para seu endereço residencial, jogue o jogo e não deixe que o jogo jogue contra você.
