Escrito por scribe_TS NOT ME
.....1.1 Quem sou eu
.....1.2 Definição de segurança operacional
2 - Guerra de Desinformação (Digital)
.....2.1 Desinformação antiga
.....2.2 Como é que está a ser seguido
.....2.3 Como utilizar a desinformação a seu favor
.....2.4 Compartimentação
.....2.5 A segurança não é conveniente
3 - D.U.M.B (Físico)
.....3.1 Principais exemplos de falhas de OPSEC
.....3.2 Fracassos inevitáveis, consequências e limpeza
1.1 - Quem sou eu
"Sou apenas mais um eco no vazio."
1.2 - Definição de Segurança Operacional
Por definição, a segurança operacional foi derivada do termo militar segurança processual, originado como um termo que descrevia estratégias para evitar que potenciais adversários descobrissem dados críticos relacionados com as operações. Que é um processo analítico que classifica os activos de informação e determina o controlo necessário para fornecer esses activos.
Poderá perguntar-se por que razão optei por escrever sobre segurança operacional física e digital? A resposta mais simples é que, na minha opinião, elas estão interligadas e não podem ser separadas. Se tivermos uma e não tivermos a outra, é como se não tivéssemos nenhuma.
2 - Guerra de Desinformação
2.1 - Desinformação Antiga
Desde os primórdios da humanidade que a desinformação tem sido utilizada como arma e a mais eficaz de todas. Se és um verme de livros como eu, sugiro que leias A Arte da Guerra de Sun Tzu, esse livro, mesmo depois de milhares de anos desde que foi escrito, tem teorias e práticas que podem ser aplicadas no mundo moderno. Porque é que vos estou a dizer isto? Porque vamos começar com uma das suas citações.
Citação: Sun Tzu
"Toda a guerra se baseia no engano. Assim, quando somos capazes de atacar, devemos parecer incapazes; quando usamos as nossas forças, devemos parecer inactivos; quando estamos perto, devemos fazer o inimigo acreditar que estamos longe; quando estamos longe, devemos fazê-lo acreditar que estamos perto."
Um dos exemplos mais flagrantes desta situação remete-nos para a Roma antiga e para o final da República, quando quase um século de guerra civil, caos e assassinatos políticos tinham levado o governo romano à beira do colapso. Era o tempo do chamado Segundo Triunvirato. Há cerca de 2000 anos, a República Romana enfrentava uma guerra civil entre Octávio, filho adotivo do grande general Júlio César, e Marco António, um dos comandantes de maior confiança de César. Para vencer a guerra, Octávio sabia que tinha de ter o público do seu lado. Vencer batalhas importantes ajudava, mas se o povo não gostasse dele, não seria um governante bem sucedido. Para obter o apoio do público, Octávio lançou uma guerra de notícias falsas contra Marco António. Afirmou que António, que tinha um caso com Cleópatra, a rainha egípcia, não respeitava os valores tradicionais romanos, como a fidelidade e o respeito. Octaviano também afirmou que ele era incapaz de exercer o cargo porque estava sempre bêbedo. Octaviano fez chegar a sua mensagem ao público através da poesia e de slogans curtos e rápidos impressos em moedas. Octávio acabou por ganhar a guerra e tornou-se o primeiro imperador de Roma, governando durante mais de 50 anos. Mas estou a divagar e vamos voltar ao assunto que vos trouxe aqui. Hoje em dia é muito mais fácil conduzir uma guerra de desinformação do que há 2000 anos, obviamente. Agora, para saltar as lições de história e passar à era moderna, eis um exemplo de desinformação. Os mercados que querem conduzir exit-scam normalmente desactivam os levantamentos devido a alguns problemas técnicos, mas mantêm os depósitos a funcionar enquanto desviam os fundos para uma carteira externa. 2.2 - Como é que está a ser seguido Na sociedade distópica em que vivemos hoje, a vigilância é uma parte importante da forma como os governos mantêm as pessoas comuns na linha. Para compreender como podemos utilizar a desinformação contra eles, temos primeiro de compreender como estamos a ser seguidos. As entidades que nos seguem (agências governamentais, conglomerados tecnológicos e empresas de extração de dados) dependem da fuga de pequenos pedaços de dados que utilizam para traçar o seu perfil em linha e fazer corresponder o nome de utilizador ao utilizador real. É muito simples fazer corresponder conteúdos em bases de dados se houver algum tipo de índice para os conteúdos. Os dados mais comuns utilizados para o localizar na clear-net e na dark-net são Nomes (tanto reais como de utilizador)
Endereços IP
Impressão digital do navegador
Endereço de correio eletrónico
Localização (exacta ou aproximada)
Números de telefone
Data de nascimento (ou quaisquer outras informações pessoais)
Estilometria
Reconhecimento facial
É importante compreender que basta utilizar dois elementos de entre todos estes para que o localizem. Por isso, a sua função é impedir que obtenham dois dados reais se quiser manter o anonimato. 2.3 - Como utilizar a desinformação a seu favor Muito bem, já sabemos como estamos a ser seguidos. Vamos falar brevemente sobre como podemos usar a desinformação para tornar muito mais difícil o seu rastreio por parte destas entidades. Nomes: Não utilize o seu nome verdadeiro em qualquer parte da Internet e evite sítios Web que o exijam. Recorra a pseudónimos, o pseudoanónimo é melhor do que ser apanhado com as calças na mão. Endereço IP: Mascare o seu endereço IP utilizando Tor, VPN, VPS, RDP ou proxies. Dependendo do que está realmente a fazer, pode querer combinar algumas destas opções. O objetivo é utilizar o que está à sua disposição para lhes dificultar a vida. Impressão digital do navegador: Esta é provavelmente a mais difícil de esconder se não for um especialista em tecnologia. Mas pode sempre utilizar vários browsers com plug-ins diferentes para dar a impressão de que são várias pessoas. Números de telefone: Deixe de associar o seu número de telefone pessoal a serviços como mensageiros instantâneos, aplicações de redes sociais e autenticação de dois factores em serviços. Adquira um número VOIP com criptografia ou utilize coisas como a Yubi Key para autenticação de dois factores. Endereços de correio eletrónico: Provavelmente o mais fácil, utilizar vários e-mails com nomes diferentes para fins diferentes. Mantenha as coisas separadas! Estilometria: É a aplicação do estudo do estilo linguístico. Por exemplo, posso dizer 10% ou 10% ou dez por cento. Cada um deles é diferente e pode ser utilizado para ocultar a sua verdadeira identidade. Além disso, quando escrevi este post, podia facilmente ter ido a um serviço de tradução e ter feito isto. Traduzir de inglês para russo, russo para espanhol, espanhol para finlandês, finlandês para inglês. Isto irá alterar o texto e torná-lo muito diferente (em termos de estilometria) do que escreveu originalmente, só tem de o verificar ortograficamente. Engano e mentiras: Não do tipo que estás à espera. Digamos que é um utilizador Dread e quer mencionar um animal de estimação que tem para marcar uma posição numa discussão. É considerado mau para a OPSEC dizer "tenho um gato preto", mas em vez disso diz que tem um cão branco. Assim, pode continuar a dizer que o meu animal de estimação fez X, Y ou Z. Mas sem divulgar informações reais sobre si. Fazer alterações tão subtis aos detalhes é crucial se se quiser ficar escondido. Citação: Sun Tzu "Envolver as pessoas com o que elas esperam; é o que elas são capazes de discernir e confirma as suas projecções. Coloca-as em padrões previsíveis de resposta, ocupando as suas mentes enquanto se espera pelo momento extraordinário que elas não podem antecipar."
Tudo o que eu disse aqui é um tipo de desinformação de uma forma ou de outra. A utilização destas técnicas faz com que pareça vários indivíduos em vez de apenas um. Mas tudo isto não o ajudará se não utilizar corretamente a compartimentação. 2.4 Compartimentação Por que o Qubes OS é considerado um dos sistemas operacionais mais seguros disponíveis atualmente? Porque ele faz uso da compartimentalização. Manter as coisas separadas é provavelmente a melhor maneira de evitar que alguém o siga. O que é que eu quero dizer com isso? Digamos que comprou um telemóvel descartável e um cartão SIM, em dinheiro, num local sem câmaras de segurança e que tenciona utilizá-lo como telefone armadilha. Pode assumir com segurança que esse telefone é anónimo, no que lhe diz respeito. Mas se telefonar à sua mãe, ao seu cônjuge ou ao seu filho com esse telemóvel, fica imediatamente queimado. Há um registo algures sobre essa chamada e pode ter a certeza de que vai ser encontrado pelas autoridades policiais. Não importa se é um hacker, um administrador de mercado, um administrador de fórum, um utilizador regular ou apenas um indivíduo preocupado com a privacidade, porque isto é válido para todos. Da mesma forma que não se diz à família que se está a vender cocaína online, aplica-se o mesmo a todos os aspectos da nossa vida digital. Citação: Sun Tzu "Se o teu inimigo estiver seguro em todos os pontos, prepara-te para ele. Se ele tiver uma força superior, esquiva-te. Se o teu adversário for temperamental, procura irritá-lo. Finge que és fraco, para que ele se torne arrogante. Se ele estiver a descansar, não lhe dês descanso. Se as suas forças estiverem unidas, separa-as. Se o soberano e o súbdito estiverem de acordo, divide-os. Ataca-o onde ele não está preparado, aparece onde não és esperado."
Outro exemplo de compartimentação é este. Todos nós conhecemos todo o tipo de pessoas, desde drogados a tipos com doutoramento e até tudo o que está pelo meio. Toda a gente tem um amigo com quem fuma erva, um amigo com quem sai para beber, um amigo que pode levar a casa para conhecer os pais, etc. É assim que se faz. Algumas coisas na vida simplesmente não se misturam. Por isso, não misture as suas identidades em linha, porque, se o fizer, mais cedo ou mais tarde, elas estarão ligadas e voltarão para si.
2.5 A segurança não é conveniente
Como pode ter deduzido de tudo o que escrevi, a segurança não é conveniente e não se pode ter as duas coisas. Mas a aplicação destes padrões ou de padrões semelhantes à sua vida digital melhorará exponencialmente a sua segurança operacional.
Não se esqueça que ainda nem sequer arranhei a superfície, mas disse o suficiente para o pôr a pensar na sua própria OPSEC. Evite o ponto único de falha, imponha a utilização de PGP quando transmitir informações importantes, utilize encriptação total do disco, mude as suas palavras-passe regularmente, não misture o crime com a vida pessoal, utilize software de código aberto em vez de código fechado e, o mais importante, mantenha a boca fechada!
Ninguém precisa de saber o que fizeste, o que vais fazer, onde está o teu esconderijo, quanto dinheiro ou droga tens e assim por diante. Um homem sábio disse uma vez: "Um peixe com a boca fechada nunca é apanhado".
3 D .U.M.B.
Esta parte diz respeito à segurança operacional física e pode perguntar-se o que significa D.U.M.B.? É muito simples: Bases Militares Subterrâneas Profundas. Utilizei-a como referência de um edifício impenetrável que deve ser a sua OPSEC. Porque, não importa o quão bom é o seu OPSEC digital se o físico é horrível e vice-versa.
Antes de me debruçar sobre esta secção, quem gostar de arrombar cofres e arrombar fechaduras, como eu, deve definitivamente consultar o livro escrito por Jayson Street chamado Dissecting the Hack: F0rb1dd3n Network e Dissecting the Hack: STARS (Security Threats Are Real), que explicam muito bem a importância da segurança digital e física e as consequências de ignorar qualquer uma delas. Além disso, The Complete Book of Locks and Locksmithing, Seventh Edition e Master Locksmithing: An Experts Guide são leituras divertidas e repletas de informações.
O que é a OPSEC física (normalmente designada por analouge) e porque é que é tão importante? Bem, o analouge OPSEC é como quando se está a usar os mercados para encomendar algumas drogas, não se deixa esse dispositivo ligado e sem vigilância, não se deixa as portas destrancadas quando se sai de casa, tudo isso é analouge OPSEC. Normalmente, as pessoas tendem a considerá-la menos importante, mas não se enganem, é tão importante como a digital.
Tal como no digital, só posso dar sugestões e fazer pensar, uma vez que cada situação e modelo de ameaça são diferentes.
Vamos partir do princípio de que é um revendedor, que não faz mercados e que prefere o método antigo. Vou enumerar alguns conselhos que podem ser úteis:
Não fales muito sobre onde é o teu esconderijo, quanto peso tens, se estás armado ou não, etc. Todas estas coisas podem ser uma razão para seres raptado, torturado ou morto.
Não cagues onde comes, não digas asneiras no teu próprio bairro. Isso é uma má prática geral, muda o teu negócio para o outro lado da cidade.
Não sejas amigo de clientes que não podem ser amigos de toxicodependentes. Eles podem ser um ou outro, não ambos. Porque os toxicodependentes vão rebolar e cantar se forem apanhados. Ter um toxicodependente como amigo é uma excelente forma de garantir umas longas férias em qualquer estabelecimento prisional do mundo.
Saber quando desistir é provavelmente o mais importante, se algo parece errado, é porque provavelmente é. Confie no seu instinto, saiba que recuar nem sempre é uma coisa má. Como Frank Lucas foi informado pelo seu fornecedor: "Desistir e desistir enquanto se está à frente não é a mesma coisa, Frank.
Não trabalhes com o amigo de um amigo de um amigo, provavelmente são polícias à paisana.
Pense no futuro Tenha sempre, e quero dizer sempre, um plano de saída. Quer seja um passaporte falso, 50 mil dólares em dinheiro e um bilhete para uma ilha sul-africana que não tenha um tratado de extradição com ninguém. Ou um adiantamento de algumas centenas de milhares de euros ao advogado mais caro da cidade. Certifica-te apenas de que tens um plano.
Estas são apenas algumas das coisas a que deve estar atento. Há literalmente toneladas de mais conselhos para várias profissões, mas se eu continuar assim, não vou conseguir publicá-los a tempo. Mas não te esqueças de que tudo pode ser invadido, pirateado, bloqueado ou explorado.
3.1 Principais exemplos de falhas OPSEC
Vamos falar de algumas falhas de OPSEC. Porque as pessoas inteligentes aprendem com os erros dos outros e não com os seus próprios erros. Devido ao facto de, em linhas de trabalho na dark-net, esse poder ser o primeiro e o último.
DreadPirateRoberts (Ross Ulbricht) era um revolucionário, extremamente inteligente, mas não necessariamente esperto. Entre as muitas coisas estúpidas que fez estão: usar um servidor CAPTCHA mal configurado durante um longo período de tempo, enviar contrabando para a sua morada, publicitar a Silk Road no Shroomery usando o seu próprio endereço de gmail, fazer amizade com um ex-agente infiltrado (corrupto) da DEA (que mais tarde o extorquiu por dinheiro), manter registos de todas as suas conversas e um diário detalhado das suas aventuras na Silk Road. Mas o mais fatal foi o facto de não ter consciência do que o rodeava. Na maior parte do tempo, ele operava a Silk Road no conforto da Biblioteca Pública de San Forensics, onde errou ao sentar-se a uma mesa de costas para a sala. Enquanto dois agentes do FBI encenavam uma luta de casal, os seus colegas apareceram por trás e agarraram o computador portátil antes que ele o pudesse desligar e desencadear o processo de encriptação. Basicamente, ele documentou todos os seus crimes, entre outros, por isso não sejam DPR.
Shiny Flakes (vendedor alemão) Jovem de 20 anos que criou uma das maiores operações de tráfico de cocaína da Alemanha na altura. A polícia confiscou mais de meio milhão de euros em várias moedas e uma quantidade ímpia de droga, tudo guardado no seu quarto. E a sua maior falha de OPSEC foi o facto de enviar todos os carregamentos a partir do mesmo posto avançado da DHL. Também guardava tudo em texto simples (encomendas, clientes, dados financeiros, credenciais de acesso, etc.) numa drive não encriptada.
Sabu (Hector Xavier Monsegur) O LulzSEC esqueceu-se de usar o TOR para se ligar ao servidor IRC monitorizado pelo FBI. Obtiveram o seu endereço IP a partir do seu ISP, um ataque de correlação depois foi algemado e entregou os seus amigos em troca de um acordo judicial. Não sejam bufos, assumam os vossos erros.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder), entre muitas coisas estúpidas que fez, alugou servidores com um endereço de correio eletrónico que usou para abrir uma conta PayPal e depois usou esse PayPal para pagar as flores da mulher. Mas isso não é tudo. Ele viajou com o seu portátil de trabalho que continha centenas de milhares de cartões de crédito, mas isso não é mau, uma vez que ele tinha encriptação. Infelizmente, a sua palavra-passe Ochko123 foi adivinhada pelas forças da ordem, pois era a mesma que constava do seu e-mail, creio eu. Por isso, não levem o vosso trabalho quando viajam, não misturem crime e vida amorosa, não reutilizem palavras-passe. Não sejas BulbaCC.
Willy Clock (Ryan Gustefson, falsificador ugandês) reutilizou o correio eletrónico pessoal que utilizou para requerer a cidadania americana para uma conta do Face-book que utilizava para vender notas falsas. Além disso, carregou a sua própria fotografia nessa conta. Nem sequer tenho nada a dizer sobre este caso.
FrecnhMaid aka nob (agente da DEA do caso DRP) utilizou o seu portátil de trabalho para extorquir Ross Ulbricht, como podem imaginar. Entre outras coisas, transferiu o dinheiro para contas bancárias em seu próprio nome, em países com leis de sigilo bancário não rigorosas. Ele teve o que merecia.
Alexandre Cazes (administrador do AlphaBay) utilizou um endereço de correio eletrónico pessoal para enviar mensagens de redefinição de palavra-passe do AlphaBay, manteve todos os dados armazenados em formato não encriptado no seu dispositivo e alojou os servidores do Alphabay no Quebeque, Canadá, em seu próprio nome.
3.2 - Fracasso inevitável, consequências e limpeza
Este é o último capítulo deste post, que aborda a inevitável falha e o que fazer depois. Somos todos humanos, o que significa que, mais cedo ou mais tarde, cometeremos um erro. Será o seu fim? Depende, mas o mais importante é saber como limpar a sua própria porcaria.
Aqui está um exemplo recorrente de uma situação de merda e de como pode proceder depois, mas tenha em mente que esta é uma situação especulada e deve saber que não posso prever todos os resultados possíveis.
Entrega controlada - é a situação em que as forças da ordem apreendem a sua encomenda, mas permitem que os correios avancem com a entrega da mesma para o apanhar em flagrante. Normalmente, para tentar forçá-lo a entregar a encomenda. Normalmente, esta situação pode ter dois resultados: se já tiver algumas encomendas, se a encomenda estiver a demorar muito tempo a ser entregue e se estiver parada há dias no mesmo sítio.
Pode não saber, assinar a encomenda e ser apanhado em segundos. Ou pode negar a receção da encomenda e, nesse caso, eles não têm nada. Agora, se acha que se trata de uma entrega controlada, a melhor forma de agir é remover qualquer prova de tal atividade dos seus dispositivos e da sua casa. Porque, pode ter a certeza de que o endereço está queimado e você também.
O que quero dizer com eliminar provas? Os bons e velhos trituradores de dados são sempre o caminho a seguir, mas se tiver alguma informação crítica que nunca deve cair em mãos inimigas, a melhor forma de agir é sempre livrar-se do SSD/HDD em questão. Primeiro, destrua os dados (recomenda-se pelo menos 7 passagens) e, em seguida, destrua o disco. Normalmente, queimá-lo até ficar estaladiço é suficiente. É sempre melhor destruir o dispositivo para que ninguém possa fazer análises forenses e descobrir os dados. Porque nenhum dispositivo novo e brilhante (portátil, computador, disco rígido, ssd, etc.) vale mais do que a sua liberdade.
A questão é que, se algo parece errado, é porque provavelmente é! Estejam atentos, não façam encomendas para a vossa morada, joguem o jogo, não deixem que o jogo vos jogue.
.....1.1 Quem sou eu
.....1.2 Definição de segurança operacional
2 - Guerra de Desinformação (Digital)
.....2.1 Desinformação antiga
.....2.2 Como é que está a ser seguido
.....2.3 Como utilizar a desinformação a seu favor
.....2.4 Compartimentação
.....2.5 A segurança não é conveniente
3 - D.U.M.B (Físico)
.....3.1 Principais exemplos de falhas de OPSEC
.....3.2 Fracassos inevitáveis, consequências e limpeza
1.1 - Quem sou eu
"Sou apenas mais um eco no vazio."
1.2 - Definição de Segurança Operacional
Por definição, a segurança operacional foi derivada do termo militar segurança processual, originado como um termo que descrevia estratégias para evitar que potenciais adversários descobrissem dados críticos relacionados com as operações. Que é um processo analítico que classifica os activos de informação e determina o controlo necessário para fornecer esses activos.
Poderá perguntar-se por que razão optei por escrever sobre segurança operacional física e digital? A resposta mais simples é que, na minha opinião, elas estão interligadas e não podem ser separadas. Se tivermos uma e não tivermos a outra, é como se não tivéssemos nenhuma.
2 - Guerra de Desinformação
2.1 - Desinformação Antiga
Desde os primórdios da humanidade que a desinformação tem sido utilizada como arma e a mais eficaz de todas. Se és um verme de livros como eu, sugiro que leias A Arte da Guerra de Sun Tzu, esse livro, mesmo depois de milhares de anos desde que foi escrito, tem teorias e práticas que podem ser aplicadas no mundo moderno. Porque é que vos estou a dizer isto? Porque vamos começar com uma das suas citações.
Citação: Sun Tzu
"Toda a guerra se baseia no engano. Assim, quando somos capazes de atacar, devemos parecer incapazes; quando usamos as nossas forças, devemos parecer inactivos; quando estamos perto, devemos fazer o inimigo acreditar que estamos longe; quando estamos longe, devemos fazê-lo acreditar que estamos perto."
Um dos exemplos mais flagrantes desta situação remete-nos para a Roma antiga e para o final da República, quando quase um século de guerra civil, caos e assassinatos políticos tinham levado o governo romano à beira do colapso. Era o tempo do chamado Segundo Triunvirato. Há cerca de 2000 anos, a República Romana enfrentava uma guerra civil entre Octávio, filho adotivo do grande general Júlio César, e Marco António, um dos comandantes de maior confiança de César. Para vencer a guerra, Octávio sabia que tinha de ter o público do seu lado. Vencer batalhas importantes ajudava, mas se o povo não gostasse dele, não seria um governante bem sucedido. Para obter o apoio do público, Octávio lançou uma guerra de notícias falsas contra Marco António. Afirmou que António, que tinha um caso com Cleópatra, a rainha egípcia, não respeitava os valores tradicionais romanos, como a fidelidade e o respeito. Octaviano também afirmou que ele era incapaz de exercer o cargo porque estava sempre bêbedo. Octaviano fez chegar a sua mensagem ao público através da poesia e de slogans curtos e rápidos impressos em moedas. Octávio acabou por ganhar a guerra e tornou-se o primeiro imperador de Roma, governando durante mais de 50 anos. Mas estou a divagar e vamos voltar ao assunto que vos trouxe aqui. Hoje em dia é muito mais fácil conduzir uma guerra de desinformação do que há 2000 anos, obviamente. Agora, para saltar as lições de história e passar à era moderna, eis um exemplo de desinformação. Os mercados que querem conduzir exit-scam normalmente desactivam os levantamentos devido a alguns problemas técnicos, mas mantêm os depósitos a funcionar enquanto desviam os fundos para uma carteira externa. 2.2 - Como é que está a ser seguido Na sociedade distópica em que vivemos hoje, a vigilância é uma parte importante da forma como os governos mantêm as pessoas comuns na linha. Para compreender como podemos utilizar a desinformação contra eles, temos primeiro de compreender como estamos a ser seguidos. As entidades que nos seguem (agências governamentais, conglomerados tecnológicos e empresas de extração de dados) dependem da fuga de pequenos pedaços de dados que utilizam para traçar o seu perfil em linha e fazer corresponder o nome de utilizador ao utilizador real. É muito simples fazer corresponder conteúdos em bases de dados se houver algum tipo de índice para os conteúdos. Os dados mais comuns utilizados para o localizar na clear-net e na dark-net são Nomes (tanto reais como de utilizador)
Endereços IP
Impressão digital do navegador
Endereço de correio eletrónico
Localização (exacta ou aproximada)
Números de telefone
Data de nascimento (ou quaisquer outras informações pessoais)
Estilometria
Reconhecimento facial
É importante compreender que basta utilizar dois elementos de entre todos estes para que o localizem. Por isso, a sua função é impedir que obtenham dois dados reais se quiser manter o anonimato. 2.3 - Como utilizar a desinformação a seu favor Muito bem, já sabemos como estamos a ser seguidos. Vamos falar brevemente sobre como podemos usar a desinformação para tornar muito mais difícil o seu rastreio por parte destas entidades. Nomes: Não utilize o seu nome verdadeiro em qualquer parte da Internet e evite sítios Web que o exijam. Recorra a pseudónimos, o pseudoanónimo é melhor do que ser apanhado com as calças na mão. Endereço IP: Mascare o seu endereço IP utilizando Tor, VPN, VPS, RDP ou proxies. Dependendo do que está realmente a fazer, pode querer combinar algumas destas opções. O objetivo é utilizar o que está à sua disposição para lhes dificultar a vida. Impressão digital do navegador: Esta é provavelmente a mais difícil de esconder se não for um especialista em tecnologia. Mas pode sempre utilizar vários browsers com plug-ins diferentes para dar a impressão de que são várias pessoas. Números de telefone: Deixe de associar o seu número de telefone pessoal a serviços como mensageiros instantâneos, aplicações de redes sociais e autenticação de dois factores em serviços. Adquira um número VOIP com criptografia ou utilize coisas como a Yubi Key para autenticação de dois factores. Endereços de correio eletrónico: Provavelmente o mais fácil, utilizar vários e-mails com nomes diferentes para fins diferentes. Mantenha as coisas separadas! Estilometria: É a aplicação do estudo do estilo linguístico. Por exemplo, posso dizer 10% ou 10% ou dez por cento. Cada um deles é diferente e pode ser utilizado para ocultar a sua verdadeira identidade. Além disso, quando escrevi este post, podia facilmente ter ido a um serviço de tradução e ter feito isto. Traduzir de inglês para russo, russo para espanhol, espanhol para finlandês, finlandês para inglês. Isto irá alterar o texto e torná-lo muito diferente (em termos de estilometria) do que escreveu originalmente, só tem de o verificar ortograficamente. Engano e mentiras: Não do tipo que estás à espera. Digamos que é um utilizador Dread e quer mencionar um animal de estimação que tem para marcar uma posição numa discussão. É considerado mau para a OPSEC dizer "tenho um gato preto", mas em vez disso diz que tem um cão branco. Assim, pode continuar a dizer que o meu animal de estimação fez X, Y ou Z. Mas sem divulgar informações reais sobre si. Fazer alterações tão subtis aos detalhes é crucial se se quiser ficar escondido. Citação: Sun Tzu "Envolver as pessoas com o que elas esperam; é o que elas são capazes de discernir e confirma as suas projecções. Coloca-as em padrões previsíveis de resposta, ocupando as suas mentes enquanto se espera pelo momento extraordinário que elas não podem antecipar."
Tudo o que eu disse aqui é um tipo de desinformação de uma forma ou de outra. A utilização destas técnicas faz com que pareça vários indivíduos em vez de apenas um. Mas tudo isto não o ajudará se não utilizar corretamente a compartimentação. 2.4 Compartimentação Por que o Qubes OS é considerado um dos sistemas operacionais mais seguros disponíveis atualmente? Porque ele faz uso da compartimentalização. Manter as coisas separadas é provavelmente a melhor maneira de evitar que alguém o siga. O que é que eu quero dizer com isso? Digamos que comprou um telemóvel descartável e um cartão SIM, em dinheiro, num local sem câmaras de segurança e que tenciona utilizá-lo como telefone armadilha. Pode assumir com segurança que esse telefone é anónimo, no que lhe diz respeito. Mas se telefonar à sua mãe, ao seu cônjuge ou ao seu filho com esse telemóvel, fica imediatamente queimado. Há um registo algures sobre essa chamada e pode ter a certeza de que vai ser encontrado pelas autoridades policiais. Não importa se é um hacker, um administrador de mercado, um administrador de fórum, um utilizador regular ou apenas um indivíduo preocupado com a privacidade, porque isto é válido para todos. Da mesma forma que não se diz à família que se está a vender cocaína online, aplica-se o mesmo a todos os aspectos da nossa vida digital. Citação: Sun Tzu "Se o teu inimigo estiver seguro em todos os pontos, prepara-te para ele. Se ele tiver uma força superior, esquiva-te. Se o teu adversário for temperamental, procura irritá-lo. Finge que és fraco, para que ele se torne arrogante. Se ele estiver a descansar, não lhe dês descanso. Se as suas forças estiverem unidas, separa-as. Se o soberano e o súbdito estiverem de acordo, divide-os. Ataca-o onde ele não está preparado, aparece onde não és esperado."
Outro exemplo de compartimentação é este. Todos nós conhecemos todo o tipo de pessoas, desde drogados a tipos com doutoramento e até tudo o que está pelo meio. Toda a gente tem um amigo com quem fuma erva, um amigo com quem sai para beber, um amigo que pode levar a casa para conhecer os pais, etc. É assim que se faz. Algumas coisas na vida simplesmente não se misturam. Por isso, não misture as suas identidades em linha, porque, se o fizer, mais cedo ou mais tarde, elas estarão ligadas e voltarão para si.
2.5 A segurança não é conveniente
Como pode ter deduzido de tudo o que escrevi, a segurança não é conveniente e não se pode ter as duas coisas. Mas a aplicação destes padrões ou de padrões semelhantes à sua vida digital melhorará exponencialmente a sua segurança operacional.
Não se esqueça que ainda nem sequer arranhei a superfície, mas disse o suficiente para o pôr a pensar na sua própria OPSEC. Evite o ponto único de falha, imponha a utilização de PGP quando transmitir informações importantes, utilize encriptação total do disco, mude as suas palavras-passe regularmente, não misture o crime com a vida pessoal, utilize software de código aberto em vez de código fechado e, o mais importante, mantenha a boca fechada!
Ninguém precisa de saber o que fizeste, o que vais fazer, onde está o teu esconderijo, quanto dinheiro ou droga tens e assim por diante. Um homem sábio disse uma vez: "Um peixe com a boca fechada nunca é apanhado".
3 D .U.M.B.
Esta parte diz respeito à segurança operacional física e pode perguntar-se o que significa D.U.M.B.? É muito simples: Bases Militares Subterrâneas Profundas. Utilizei-a como referência de um edifício impenetrável que deve ser a sua OPSEC. Porque, não importa o quão bom é o seu OPSEC digital se o físico é horrível e vice-versa.
Antes de me debruçar sobre esta secção, quem gostar de arrombar cofres e arrombar fechaduras, como eu, deve definitivamente consultar o livro escrito por Jayson Street chamado Dissecting the Hack: F0rb1dd3n Network e Dissecting the Hack: STARS (Security Threats Are Real), que explicam muito bem a importância da segurança digital e física e as consequências de ignorar qualquer uma delas. Além disso, The Complete Book of Locks and Locksmithing, Seventh Edition e Master Locksmithing: An Experts Guide são leituras divertidas e repletas de informações.
O que é a OPSEC física (normalmente designada por analouge) e porque é que é tão importante? Bem, o analouge OPSEC é como quando se está a usar os mercados para encomendar algumas drogas, não se deixa esse dispositivo ligado e sem vigilância, não se deixa as portas destrancadas quando se sai de casa, tudo isso é analouge OPSEC. Normalmente, as pessoas tendem a considerá-la menos importante, mas não se enganem, é tão importante como a digital.
Tal como no digital, só posso dar sugestões e fazer pensar, uma vez que cada situação e modelo de ameaça são diferentes.
Vamos partir do princípio de que é um revendedor, que não faz mercados e que prefere o método antigo. Vou enumerar alguns conselhos que podem ser úteis:
Não fales muito sobre onde é o teu esconderijo, quanto peso tens, se estás armado ou não, etc. Todas estas coisas podem ser uma razão para seres raptado, torturado ou morto.
Não cagues onde comes, não digas asneiras no teu próprio bairro. Isso é uma má prática geral, muda o teu negócio para o outro lado da cidade.
Não sejas amigo de clientes que não podem ser amigos de toxicodependentes. Eles podem ser um ou outro, não ambos. Porque os toxicodependentes vão rebolar e cantar se forem apanhados. Ter um toxicodependente como amigo é uma excelente forma de garantir umas longas férias em qualquer estabelecimento prisional do mundo.
Saber quando desistir é provavelmente o mais importante, se algo parece errado, é porque provavelmente é. Confie no seu instinto, saiba que recuar nem sempre é uma coisa má. Como Frank Lucas foi informado pelo seu fornecedor: "Desistir e desistir enquanto se está à frente não é a mesma coisa, Frank.
Não trabalhes com o amigo de um amigo de um amigo, provavelmente são polícias à paisana.
Pense no futuro Tenha sempre, e quero dizer sempre, um plano de saída. Quer seja um passaporte falso, 50 mil dólares em dinheiro e um bilhete para uma ilha sul-africana que não tenha um tratado de extradição com ninguém. Ou um adiantamento de algumas centenas de milhares de euros ao advogado mais caro da cidade. Certifica-te apenas de que tens um plano.
Estas são apenas algumas das coisas a que deve estar atento. Há literalmente toneladas de mais conselhos para várias profissões, mas se eu continuar assim, não vou conseguir publicá-los a tempo. Mas não te esqueças de que tudo pode ser invadido, pirateado, bloqueado ou explorado.
3.1 Principais exemplos de falhas OPSEC
Vamos falar de algumas falhas de OPSEC. Porque as pessoas inteligentes aprendem com os erros dos outros e não com os seus próprios erros. Devido ao facto de, em linhas de trabalho na dark-net, esse poder ser o primeiro e o último.
DreadPirateRoberts (Ross Ulbricht) era um revolucionário, extremamente inteligente, mas não necessariamente esperto. Entre as muitas coisas estúpidas que fez estão: usar um servidor CAPTCHA mal configurado durante um longo período de tempo, enviar contrabando para a sua morada, publicitar a Silk Road no Shroomery usando o seu próprio endereço de gmail, fazer amizade com um ex-agente infiltrado (corrupto) da DEA (que mais tarde o extorquiu por dinheiro), manter registos de todas as suas conversas e um diário detalhado das suas aventuras na Silk Road. Mas o mais fatal foi o facto de não ter consciência do que o rodeava. Na maior parte do tempo, ele operava a Silk Road no conforto da Biblioteca Pública de San Forensics, onde errou ao sentar-se a uma mesa de costas para a sala. Enquanto dois agentes do FBI encenavam uma luta de casal, os seus colegas apareceram por trás e agarraram o computador portátil antes que ele o pudesse desligar e desencadear o processo de encriptação. Basicamente, ele documentou todos os seus crimes, entre outros, por isso não sejam DPR.
Shiny Flakes (vendedor alemão) Jovem de 20 anos que criou uma das maiores operações de tráfico de cocaína da Alemanha na altura. A polícia confiscou mais de meio milhão de euros em várias moedas e uma quantidade ímpia de droga, tudo guardado no seu quarto. E a sua maior falha de OPSEC foi o facto de enviar todos os carregamentos a partir do mesmo posto avançado da DHL. Também guardava tudo em texto simples (encomendas, clientes, dados financeiros, credenciais de acesso, etc.) numa drive não encriptada.
Sabu (Hector Xavier Monsegur) O LulzSEC esqueceu-se de usar o TOR para se ligar ao servidor IRC monitorizado pelo FBI. Obtiveram o seu endereço IP a partir do seu ISP, um ataque de correlação depois foi algemado e entregou os seus amigos em troca de um acordo judicial. Não sejam bufos, assumam os vossos erros.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder), entre muitas coisas estúpidas que fez, alugou servidores com um endereço de correio eletrónico que usou para abrir uma conta PayPal e depois usou esse PayPal para pagar as flores da mulher. Mas isso não é tudo. Ele viajou com o seu portátil de trabalho que continha centenas de milhares de cartões de crédito, mas isso não é mau, uma vez que ele tinha encriptação. Infelizmente, a sua palavra-passe Ochko123 foi adivinhada pelas forças da ordem, pois era a mesma que constava do seu e-mail, creio eu. Por isso, não levem o vosso trabalho quando viajam, não misturem crime e vida amorosa, não reutilizem palavras-passe. Não sejas BulbaCC.
Willy Clock (Ryan Gustefson, falsificador ugandês) reutilizou o correio eletrónico pessoal que utilizou para requerer a cidadania americana para uma conta do Face-book que utilizava para vender notas falsas. Além disso, carregou a sua própria fotografia nessa conta. Nem sequer tenho nada a dizer sobre este caso.
FrecnhMaid aka nob (agente da DEA do caso DRP) utilizou o seu portátil de trabalho para extorquir Ross Ulbricht, como podem imaginar. Entre outras coisas, transferiu o dinheiro para contas bancárias em seu próprio nome, em países com leis de sigilo bancário não rigorosas. Ele teve o que merecia.
Alexandre Cazes (administrador do AlphaBay) utilizou um endereço de correio eletrónico pessoal para enviar mensagens de redefinição de palavra-passe do AlphaBay, manteve todos os dados armazenados em formato não encriptado no seu dispositivo e alojou os servidores do Alphabay no Quebeque, Canadá, em seu próprio nome.
3.2 - Fracasso inevitável, consequências e limpeza
Este é o último capítulo deste post, que aborda a inevitável falha e o que fazer depois. Somos todos humanos, o que significa que, mais cedo ou mais tarde, cometeremos um erro. Será o seu fim? Depende, mas o mais importante é saber como limpar a sua própria porcaria.
Aqui está um exemplo recorrente de uma situação de merda e de como pode proceder depois, mas tenha em mente que esta é uma situação especulada e deve saber que não posso prever todos os resultados possíveis.
Entrega controlada - é a situação em que as forças da ordem apreendem a sua encomenda, mas permitem que os correios avancem com a entrega da mesma para o apanhar em flagrante. Normalmente, para tentar forçá-lo a entregar a encomenda. Normalmente, esta situação pode ter dois resultados: se já tiver algumas encomendas, se a encomenda estiver a demorar muito tempo a ser entregue e se estiver parada há dias no mesmo sítio.
Pode não saber, assinar a encomenda e ser apanhado em segundos. Ou pode negar a receção da encomenda e, nesse caso, eles não têm nada. Agora, se acha que se trata de uma entrega controlada, a melhor forma de agir é remover qualquer prova de tal atividade dos seus dispositivos e da sua casa. Porque, pode ter a certeza de que o endereço está queimado e você também.
O que quero dizer com eliminar provas? Os bons e velhos trituradores de dados são sempre o caminho a seguir, mas se tiver alguma informação crítica que nunca deve cair em mãos inimigas, a melhor forma de agir é sempre livrar-se do SSD/HDD em questão. Primeiro, destrua os dados (recomenda-se pelo menos 7 passagens) e, em seguida, destrua o disco. Normalmente, queimá-lo até ficar estaladiço é suficiente. É sempre melhor destruir o dispositivo para que ninguém possa fazer análises forenses e descobrir os dados. Porque nenhum dispositivo novo e brilhante (portátil, computador, disco rígido, ssd, etc.) vale mais do que a sua liberdade.
A questão é que, se algo parece errado, é porque provavelmente é! Estejam atentos, não façam encomendas para a vossa morada, joguem o jogo, não deixem que o jogo vos jogue.
