Skrivet av scribe_TS NOT ME
001.1 Vem är jag?
001.2 Definition av operativ säkerhet
2 - Krigföring med felaktig information (digital)
002.1 Antikens desinformation
002.2 Hur spåras du?
002.3 Hur man använder felaktig information till sin fördel
......4 Uppdelning i fack
002.5 Säkerhet är inte bekvämt
3 - D.U.M.B (fysisk)
......1 Typexempel på misslyckad OPSEC
......2 Oundvikliga misslyckanden, efterspel och upprensning
1.1 - Vem är jag?
"Jag är bara ytterligare ett eko i tomrummet."
1.2 - Definition av operationell säkerhet
Definitionen av operativ säkerhet härstammar från den militära termen procedursäkerhet, som ursprungligen beskrev strategier för att förhindra potentiella motståndare från att upptäcka kritiska verksamhetsrelaterade data. Vilket är en analytisk process som klassificerar informationstillgångar och bestämmer den kontroll som krävs för att tillhandahålla dessa tillgångar.
Du kanske undrar varför jag väljer att skriva om både fysisk och digital verksamhetssäkerhet? Det enklaste svaret är att de är sammanflätade och inte kan separeras enligt min mening. Om du har en men inte den andra är det precis som om du inte har någon.
2 - Krigföring med felaktig information
2.1 - Gammal felaktig information
Sedan människornas gryning har felinformation använts som vapen och den mest effektiva på det. Om du är en bokmask som jag föreslår jag att du läser The Art of War av Sun Tzu, den boken även efter tusentals år sedan den skrevs har teorier och metoder som kan tillämpas i den moderna världen. Varför berättar jag detta för dig? Eftersom vi kommer att sparka igång detta med ett av hans citat.
Citat: Sun Tzu
"All krigföring är baserad på bedrägeri. När vi kan anfalla måste vi därför verka oförmögna; när vi använder våra styrkor måste vi verka inaktiva; när vi är nära måste vi få fienden att tro att vi är långt borta; när vi är långt borta måste vi få honom att tro att vi är nära."
Ett av de mest flagranta exemplen på detta tar oss tillbaka till antikens Rom och till slutet av republiken, när nästan ett århundrade av inbördeskrig, kaos och politiska mord hade lett den romerska regeringen till randen av kollaps. Det var tiden för det så kallade andra triumviratet. För omkring 2000 år sedan stod den romerska republiken inför ett inbördeskrig mellan Octavianus, adoptivson till den store generalen Julius Caesar, och Marcus Antonius, en av Caesars mest betrodda befälhavare. För att vinna kriget visste Octavianus att han var tvungen att ha allmänheten på sin sida. Att vinna viktiga slag hjälpte, men om folket inte gillade honom skulle han inte bli en framgångsrik härskare. För att få allmänhetens stöd inledde Octavianus ett krig med falska nyheter mot Marcus Antonius. Han hävdade att Antonius, som hade en affär med Kleopatra, den egyptiska drottningen, inte respekterade traditionella romerska värderingar som trohet och respekt. Octavianus sa också att han var olämplig att inneha ett ämbete eftersom han alltid var berusad. Octavianus förde ut sitt budskap till allmänheten genom poesi och korta, slagkraftiga slogans som trycktes på mynt. Octavianus vann så småningom kriget och blev Roms förste kejsare, som regerade i över 50 år. Men, jag avviker så låt oss komma tillbaka till vad du kom hit för. Idag är det mycket lättare att bedriva felinformationskrigföring än för 2000 år sedan, uppenbarligen. Nu, för att hoppa över historielektioner och flytta till modern tid här är exempel på felaktig information. Marknader som vill genomföra exit-scam kommer vanligtvis att inaktivera uttag på grund av vissa tekniska problem i deras slut samtidigt som insättningar fungerar medan de sifonar medel till någon plånbok utanför webbplatsen. 2.2 - Hur spåras du I det dystopiska samhälle vi lever idag är övervakning en viktig del av hur regeringar håller vanligt folk i linje. För att förstå hur vi kan använda felaktig information mot dem måste vi först förstå hur vi spåras. Enheter som spårar oss (myndigheter, teknikkonglomerat och datautvinningsföretag) förlitar sig på att du läcker små bitar av data som de använder för att profilera dig online och matcha användarnamnet med den faktiska användaren. Det är en enkel sak att matcha innehåll i databaser om det finns något slags index till innehållet. De vanligaste uppgifterna som används för att spåra dig på clear-net och dark-net är Namn (både riktiga namn och användarnamn)
IP-adresser
Fingeravtryck från webbläsare
E-postadress
Plats (exakt eller ungefärlig)
Telefonnummer
Födelsedatum (eller någon annan PII)
Stylometri
Ansiktsigenkänning
Det är viktigt att förstå att bara genom att använda två element av alla dessa räcker för att de ska kunna spåra dig. Så ditt jobb är att neka dem att få två delar av verklig data om du vill vara anonym. 2.3 - Hur du kan använda felaktig information till din fördel Okej, vi vet hur vi spåras. Låt oss kortfattat tala om hur vi kan använda felaktig information för att göra det mycket svårare för dessa enheter att spåra dig. Namn: Använd inte ditt riktiga namn någonstans på internet och undvik webbplatser som kräver ett. Förlita dig på alias, pseudoanonym är bättre än att bli fångad med byxorna nere. IP-adress: Maskera din IP-adress genom att använda Tor, VPN, VPS, RDP eller proxyer. Beroende på vad du faktiskt gör kanske du vill kombinera några av dessa. Poängen är att använda vad du har till ditt förfogande för att göra deras liv svårare. Webbläsarens fingeravtryck: Den här är förmodligen svårast att dölja om du inte är en teknisk trollkarl. Men du kan alltid använda flera webbläsare med olika plug-ins för att få det att se ut som om du är flera personer. Telefonnummer: Sluta länka ditt personliga telefonnummer till tjänster som snabbmeddelanden, applikationer för sociala medier och tvåfaktorsautentisering på tjänster. Gå antingen vidare och köp VOIP-nummer med Crypto eller använd saker som Yubi Key för tvåfaktorsautentisering. E-postadresser: Förmodligen det enklaste, använd flera e-postmeddelanden under olika namn för olika ändamål. Håll saker och ting åtskilda! Stylometri: Är tillämpningen av studien av språklig stil. Jag kan till exempel säga 10% eller 10 procent eller tio procent. Var och en av dessa är olika och kan användas för att maskera din sanna identitet. När jag skrev det här inlägget kunde jag också enkelt ha gått till någon översättningstjänst och gjort det här. Översätt från engelska till ryska, ryska till spanska, spanska till finska, finska till engelska. Detta kommer att tumla texten och göra den väldigt annorlunda (stilometriskt) från vad du ursprungligen skrev, du behöver bara stavningskontrollera den. Bedrägeri och lögner: Inte den typ du förväntar dig. Så låt oss säga att du är Dread-användare och att du vill nämna ett husdjur du har för att göra någon punkt i en diskussion. Nu anses det vara dålig OPSEC att säga Hej, jag har en svart katt!, Säg istället att du har en vit hund. På så sätt kan du fortfarande säga att mitt husdjur har gjort X, Y eller Z. Men utan att avslöja faktisk information om dig. Att göra sådana subtila förändringar av detaljer är avgörande om du vill hålla dig dold. Citat: Sun Tzu "Engagera människor med vad de förväntar sig; det är vad de kan urskilja och bekräftar deras projektioner. Det får dem att anpassa sig till förutsägbara svarsmönster och upptar deras tankar medan du väntar på det extraordinära ögonblick som de inte kan förutse."
Allt jag sa här är en typ av felaktig information på ett eller annat sätt. Genom att använda dessa tekniker får du dig att framstå som flera individer istället för bara en. Men allt detta kommer inte att hjälpa dig om du inte använder dig av kompartmentalisering på rätt sätt. 2.4 Compartmentalization Varför anses Qubes OS vara ett av de säkraste operativsystemen som finns tillgängliga idag? Därför att det använder sig av compartmentalization. Att hålla saker åtskilda är förmodligen det bästa sättet att undvika att någon spårar dig. Vad menar jag med det? Låt oss säga att du köpte en kontanttelefon och ett SIM-kort, med kontanter, på en plats utan säkerhetskameror och att du planerar att använda den som en fälla-telefon. Du kan säkert anta att telefonen är anonym så långt som du är bekymrad. Men om du ringde din mamma, make eller barn med den telefonen bränns den omedelbart. Det finns en logg någonstans där ute om det samtalet och du kan vara säker på att det kommer att hittas av brottsbekämpning. Det spelar ingen roll om du är en hacker, marknadsadministratör, forumadministratör, vanlig användare eller bara en integritetsmedveten individ, för det här gäller alla. På samma sätt som du inte berättar för din familj att du säljer kokain online, tillämpa det på alla aspekter av ditt digitala liv. Citat: Sun Tzu "Om din fiende är säker på alla punkter ska du vara beredd på honom. Om han är överlägsen i styrka, undvik honom. Om din motståndare är temperamentsfull, försök att irritera honom. Låtsas vara svag, så att han kan bli arrogant. Om han tar det lugnt, ge honom ingen vila. Om hans styrkor är förenade, separera dem. Om härskare och undersåte är överens, sätt skiljelinje mellan dem. Anfall honom där han är oförberedd, dyk upp där du inte är väntad."
Ett annat exempel på uppdelning i fack är detta. Vi känner alla olika typer av människor, från knarkare till killar med doktorsexamen och till och med allt däremellan. Alla har en vän som de röker gräs med, en vän som de går ut och dricker med, en vän som de kan ta med hem för att träffa dina föräldrar osv. Det är så här det går till. Vissa saker i livet går helt enkelt inte att blanda. Så blanda inte dina onlineidentiteter, för om du gör det kommer de förr eller senare att knytas ihop och tillbaka till dig.
2.5 Säkerhet är inte bekvämt
Som du kunde ha dragit av allt jag skrev är säkerhet inte bekvämt och du kan inte ha det på båda sätten. Men om du tillämpar dessa eller liknande mönster i ditt digitala liv kommer du att förbättra din operativa säkerhet exponentiellt.
Tänk på att jag inte ens har skrapat på ytan, men sagt tillräckligt för att få dig att tänka på din egen OPSEC. Undvik single point of failure, tvinga fram användning av PGP vid överföring av viktig information, använd fulldiskkryptering, byt lösenord regelbundet, blanda inte ihop brott och privatliv, använd programvara med öppen källkod i stället för sluten källkod och viktigast av allt, håll käften!
Ingen behöver veta vad du har gjort, vad du kommer att göra, var du har din gömma, hur mycket pengar eller droger du har och så vidare. En vis man sa en gång: "En fisk med stängd mun blir aldrig fångad.
3 D. U.M.B.
Den här delen handlar om fysisk operativ säkerhet och du kanske undrar vad D.U.M.B. står för? Det är ganska enkelt, djupa underjordiska militära baser. Jag använde den som en referens för ogenomtränglig byggnad som din OPSEC borde vara. För det spelar ingen roll hur bra din digitala OPSEC är om du är fysisk är fruktansvärd och vice versa.
Innan jag dyker in i det här avsnittet bör alla som har kärlek till säker knäckning och låsplockning som jag definitivt kolla in böcker skrivna av Jayson Street som heter Dissecting the Hack: F0rb1dd3n Network och Dissecting the Hack: STARS (Security Threats Are Real) han gör ett ganska bra jobb med att förklara vikten av både digital och fysisk säkerhet och konsekvenser som ignorerar någon av bärarna. Även The Complete Book of Locks and Locksmithing, sjunde upplagan och Master Locksmithing: An Experts Guide är roliga läsningar fyllda med trove av information.
Vad är fysisk OPSEC (vanligen kallat analouge) och varför är det så viktigt? Tja, analouge OPSEC är som när du använder marknader för att beställa några droger, du lämnar inte den enheten inloggad och obevakad, du lämnar inte dina dörrar olåsta när du lämnar huset, allt detta är analouge OPSEC. Människor tenderar vanligtvis att bortse från det som mindre viktigt, men gör inget misstag, det är lika viktigt som digitalt.
Precis som i digital kan jag bara ge dig förslag och få dig att tänka, eftersom varje situation och hotmodell är annorlunda.
Låt oss göra ett antagande att du är en återförsäljare, du gör inte marknader, föredrar det gammaldags sättet. Jag ska lista några råd som du kanske tycker är användbara:
Prata inte för mycket om var ditt säkra hus är, hur mycket vikt du har, om du är beväpnad eller inte osv. Alla dessa saker kan vara en anledning till att du kommer att bli bortförd, torterad eller dödad.
Skit inte där du äter, slang inte dope i din egen huva. Det är bara dålig praxis överlag, flytta ditt företag över hela staden.
Varinte vän med klienter som du inte kan vara vän med missbrukare. De kan vara en eller annan, inte båda. Eftersom missbrukare kommer att rulla över och sjunga om de fångas. Att ha en missbrukare som vän är ett bra sätt att säkerställa lång semester på alla kriminalvårdsanläggningar över hela världen.
Vet när du ska ge upp detta är förmodligen det viktigaste, om något känns fel, det beror på att det förmodligen är det. Lita på din magkänsla, vet att det inte alltid är en dålig sak att ta ett steg tillbaka. Som Frank Lucas fick höra av sin leverantör: Att ge upp och att ge upp medan du är på väg framåt är inte samma sak Frank.
Arbeta inte med vän till en vän till en vän, de är förmodligen undercover-poliser.
Tänk framåt Alltid, och jag menar alltid ha en exitplan. Oavsett om det är ett förfalskat pass, 50k i kontanter och en biljett till någon sydafrikansk ö som inte har ett utlämningsavtal med någon. Eller förskottsbetalning på ett par hundra tusen till den dyraste advokaten i staden. Se bara till att du har en plan.
Det här är bara några saker att hålla utkik efter. Det finns bokstavligen massor av fler råd för olika yrken, men om jag fortsätter så här kommer jag inte att hinna lägga upp dem i tid. Tänk bara på att allt kan brytas in i, hackas, låsplockas eller utnyttjas.
3.1 De bästa exemplen på OPSEC-misslyckanden
Låt oss prata om några OPSEC-misslyckanden. För smarta människor lär sig av andras misstag, inte sina egna. På grund av det faktum att det i arbetslinjer på dark-net kan vara din första och sista.
DreadPirateRoberts (Ross Ulbricht) var en revolutionär, extremt intelligent men inte nödvändigtvis smart alls. Bland de många dumma saker han gjorde kan nämnas att han använde en felkonfigurerad CAPTCHA-server under en lång tid, skickade smuggelgods till sin hemadress, annonserade Silk Road på Shroomery med hjälp av sin egen gmail-adress, blev vän med en före detta infiltrerad (korrupt) DEA-agent (som senare pressade honom på pengar), förde loggar över alla sina konversationer och en detaljerad dagbok över Silk Road-äventyren. Men det mest ödesdigra var att han inte var medveten om sin omgivning. För det mesta skötte han Silk Road från det bekväma San Forensics Public Library, där han gick fel satt han vid ett bord med ryggen vänd mot rummet. Medan två FBI-agenter iscensatte ett par som bråkade, dök deras kollegor in bakifrån och tog hans lap top innan han hann stänga av den och starta krypteringsprocessen. Han dokumenterade i princip alla sina brott bland andra så var inte DPR.
Shiny Flakes (tysk försäljare) 20-åring som skapade en av de största kokainsmugglingsverksamheterna i Tyskland vid den tiden. Polisen konfiskerade mer än en halv miljon i olika valutor och en ofattbar mängd droger, allt förvarat i hans sovrum. Och hans största OPSEC-misslyckande var att han skickade alla sina försändelser från samma DHL-utpost. Han lagrade också allt i klartext (order, kunder, ekonomi, inloggningsuppgifter etc.) på en okrypterad hårddisk.
Sabu (Hector Xavier Monsegur) LulzSEC glömde att använda TOR för att ansluta till IRC-servern som övervakades av FBI. De fick hans IP-adress från hans internetleverantör, en korrelationsattack senare satt han i handbojor och gav upp sina vänner i utbyte mot en uppgörelse. Var inte en tjallare, stå för dina misstag.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) bland många dumma saker han gjorde, hyrde servrar med e-postadress som han använde för att öppna PayPal-konto, sedan använde han PayPal för att betala för sina fruar blommor. Men det är inte allt. Han reste med sin arbetsbärbara dator som innehöll hundratusentals kreditkort, men det är inte illa eftersom han hade kryptering. Tyvärr gissades hans lösenord Ochko123 av brottsbekämpande myndigheter eftersom det var detsamma på hans e-post tror jag. Så, ta inte med dig ditt arbete när du reser, blanda inte ihop brott och kärleksliv, återanvänd för fan inte lösenord. Var inte BulbaCC.
Willy Clock (Ryan Gustefson, ugandisk falskmyntare ) återanvände sin personliga e-post som han använt för att ansöka om amerikanskt medborgarskap till ett Face-book-konto som han använde för att sälja falska sedlar. Han laddade också upp sin egen bild till det kontot. Jag har inte ens något att säga om den här.
FrecnhMaid aka nob (DEA-agent från DRP-fallet) använde sin arbetsdator för att utpressa Ross Ulbricht, du kan gissa hur det gick. Bland annat flyttade han pengarna till bankkonton i sitt eget namn, i länder med icke-strikta lagar om banksekretess. Han fick vad han förtjänade.
Alexandre Cazes (AlphaBay Admin) använde personlig e-postadress för e-postmeddelanden om återställning av AlphaBay-lösenord, höll all data lagrad i okrypterat format på sin enhet, var värd för Alphabay-servrar i Quebec, Kanada under eget namn.
3.2 - Oundviklig fuck up, efterdyningar och upprensning
Detta är det sista kapitlet i detta inlägg som berör det oundvikliga misslyckandet och vad man ska göra efteråt. Vi är alla människor, vilket innebär att du förr eller senare kommer att göra ett misstag. Kommer det att bli slutet för dig? Det beror på, men det viktigaste är att veta hur man städar upp sin egen röra.
Här är ett återkommande exempel på fuck up och hur du kan gå vidare efteråt, men kom ihåg att detta är en spekulerad situation och du måste veta att jag inte kan förutsäga alla möjliga resultat.
Kontrollerad leverans - är situationen när brottsbekämpning beslagtar din beställning, men tillåter posten att fortsätta med att leverera ditt paket för att fånga dig i handlingen. Vanligtvis för att försöka tvinga dig att vända. Det finns vanligtvis två resultat av en sådan situation, om du har ett par beställningar under ditt bälte, tar det misstänkt lång tid för paketet att levereras och det var stationerat i flera dagar på samma plats.
Du kan antingen inte veta, signera för paketet och bli busted inom några sekunder. Eller så kan du neka till att ta emot paketet i vilket fall de inte har någonting. Nu, om du tror att det är en kontrollerad leverans är det bästa sättet att ta bort alla bevis på sådan aktivitet från dina enheter och ditt hem. Eftersom du kan vara säker på att adressen är bränd och så är du också.
Vad menar jag med att rensa bort bevis? Gamla hederliga dataförstörare är alltid rätt väg att gå, men om du hade kritisk information som aldrig får hamna i fiendens händer är det bästa sättet att göra sig av med SSD/HDD-enheten i fråga. Först strimla data (rekommenderas är minst 7 pass), sedan strimla disken. Vanligtvis kommer det att göra jobbet att bränna det skarpt. Det är alltid bäst att förstöra enheten så att ingen kan göra kriminalteknik och gräva upp data. Eftersom ingen ny glänsande enhet (bärbar dator, dator, hdd, ssd, etc.) är värd mer än din frihet.
Poängen är, om något känns fel är det för att det förmodligen är det! Var vaksam, beställ inte till din hemadress, spela spelet låt inte spelet spela dig.
001.1 Vem är jag?
001.2 Definition av operativ säkerhet
2 - Krigföring med felaktig information (digital)
002.1 Antikens desinformation
002.2 Hur spåras du?
002.3 Hur man använder felaktig information till sin fördel
......4 Uppdelning i fack
002.5 Säkerhet är inte bekvämt
3 - D.U.M.B (fysisk)
......1 Typexempel på misslyckad OPSEC
......2 Oundvikliga misslyckanden, efterspel och upprensning
1.1 - Vem är jag?
"Jag är bara ytterligare ett eko i tomrummet."
1.2 - Definition av operationell säkerhet
Definitionen av operativ säkerhet härstammar från den militära termen procedursäkerhet, som ursprungligen beskrev strategier för att förhindra potentiella motståndare från att upptäcka kritiska verksamhetsrelaterade data. Vilket är en analytisk process som klassificerar informationstillgångar och bestämmer den kontroll som krävs för att tillhandahålla dessa tillgångar.
Du kanske undrar varför jag väljer att skriva om både fysisk och digital verksamhetssäkerhet? Det enklaste svaret är att de är sammanflätade och inte kan separeras enligt min mening. Om du har en men inte den andra är det precis som om du inte har någon.
2 - Krigföring med felaktig information
2.1 - Gammal felaktig information
Sedan människornas gryning har felinformation använts som vapen och den mest effektiva på det. Om du är en bokmask som jag föreslår jag att du läser The Art of War av Sun Tzu, den boken även efter tusentals år sedan den skrevs har teorier och metoder som kan tillämpas i den moderna världen. Varför berättar jag detta för dig? Eftersom vi kommer att sparka igång detta med ett av hans citat.
Citat: Sun Tzu
"All krigföring är baserad på bedrägeri. När vi kan anfalla måste vi därför verka oförmögna; när vi använder våra styrkor måste vi verka inaktiva; när vi är nära måste vi få fienden att tro att vi är långt borta; när vi är långt borta måste vi få honom att tro att vi är nära."
Ett av de mest flagranta exemplen på detta tar oss tillbaka till antikens Rom och till slutet av republiken, när nästan ett århundrade av inbördeskrig, kaos och politiska mord hade lett den romerska regeringen till randen av kollaps. Det var tiden för det så kallade andra triumviratet. För omkring 2000 år sedan stod den romerska republiken inför ett inbördeskrig mellan Octavianus, adoptivson till den store generalen Julius Caesar, och Marcus Antonius, en av Caesars mest betrodda befälhavare. För att vinna kriget visste Octavianus att han var tvungen att ha allmänheten på sin sida. Att vinna viktiga slag hjälpte, men om folket inte gillade honom skulle han inte bli en framgångsrik härskare. För att få allmänhetens stöd inledde Octavianus ett krig med falska nyheter mot Marcus Antonius. Han hävdade att Antonius, som hade en affär med Kleopatra, den egyptiska drottningen, inte respekterade traditionella romerska värderingar som trohet och respekt. Octavianus sa också att han var olämplig att inneha ett ämbete eftersom han alltid var berusad. Octavianus förde ut sitt budskap till allmänheten genom poesi och korta, slagkraftiga slogans som trycktes på mynt. Octavianus vann så småningom kriget och blev Roms förste kejsare, som regerade i över 50 år. Men, jag avviker så låt oss komma tillbaka till vad du kom hit för. Idag är det mycket lättare att bedriva felinformationskrigföring än för 2000 år sedan, uppenbarligen. Nu, för att hoppa över historielektioner och flytta till modern tid här är exempel på felaktig information. Marknader som vill genomföra exit-scam kommer vanligtvis att inaktivera uttag på grund av vissa tekniska problem i deras slut samtidigt som insättningar fungerar medan de sifonar medel till någon plånbok utanför webbplatsen. 2.2 - Hur spåras du I det dystopiska samhälle vi lever idag är övervakning en viktig del av hur regeringar håller vanligt folk i linje. För att förstå hur vi kan använda felaktig information mot dem måste vi först förstå hur vi spåras. Enheter som spårar oss (myndigheter, teknikkonglomerat och datautvinningsföretag) förlitar sig på att du läcker små bitar av data som de använder för att profilera dig online och matcha användarnamnet med den faktiska användaren. Det är en enkel sak att matcha innehåll i databaser om det finns något slags index till innehållet. De vanligaste uppgifterna som används för att spåra dig på clear-net och dark-net är Namn (både riktiga namn och användarnamn)
IP-adresser
Fingeravtryck från webbläsare
E-postadress
Plats (exakt eller ungefärlig)
Telefonnummer
Födelsedatum (eller någon annan PII)
Stylometri
Ansiktsigenkänning
Det är viktigt att förstå att bara genom att använda två element av alla dessa räcker för att de ska kunna spåra dig. Så ditt jobb är att neka dem att få två delar av verklig data om du vill vara anonym. 2.3 - Hur du kan använda felaktig information till din fördel Okej, vi vet hur vi spåras. Låt oss kortfattat tala om hur vi kan använda felaktig information för att göra det mycket svårare för dessa enheter att spåra dig. Namn: Använd inte ditt riktiga namn någonstans på internet och undvik webbplatser som kräver ett. Förlita dig på alias, pseudoanonym är bättre än att bli fångad med byxorna nere. IP-adress: Maskera din IP-adress genom att använda Tor, VPN, VPS, RDP eller proxyer. Beroende på vad du faktiskt gör kanske du vill kombinera några av dessa. Poängen är att använda vad du har till ditt förfogande för att göra deras liv svårare. Webbläsarens fingeravtryck: Den här är förmodligen svårast att dölja om du inte är en teknisk trollkarl. Men du kan alltid använda flera webbläsare med olika plug-ins för att få det att se ut som om du är flera personer. Telefonnummer: Sluta länka ditt personliga telefonnummer till tjänster som snabbmeddelanden, applikationer för sociala medier och tvåfaktorsautentisering på tjänster. Gå antingen vidare och köp VOIP-nummer med Crypto eller använd saker som Yubi Key för tvåfaktorsautentisering. E-postadresser: Förmodligen det enklaste, använd flera e-postmeddelanden under olika namn för olika ändamål. Håll saker och ting åtskilda! Stylometri: Är tillämpningen av studien av språklig stil. Jag kan till exempel säga 10% eller 10 procent eller tio procent. Var och en av dessa är olika och kan användas för att maskera din sanna identitet. När jag skrev det här inlägget kunde jag också enkelt ha gått till någon översättningstjänst och gjort det här. Översätt från engelska till ryska, ryska till spanska, spanska till finska, finska till engelska. Detta kommer att tumla texten och göra den väldigt annorlunda (stilometriskt) från vad du ursprungligen skrev, du behöver bara stavningskontrollera den. Bedrägeri och lögner: Inte den typ du förväntar dig. Så låt oss säga att du är Dread-användare och att du vill nämna ett husdjur du har för att göra någon punkt i en diskussion. Nu anses det vara dålig OPSEC att säga Hej, jag har en svart katt!, Säg istället att du har en vit hund. På så sätt kan du fortfarande säga att mitt husdjur har gjort X, Y eller Z. Men utan att avslöja faktisk information om dig. Att göra sådana subtila förändringar av detaljer är avgörande om du vill hålla dig dold. Citat: Sun Tzu "Engagera människor med vad de förväntar sig; det är vad de kan urskilja och bekräftar deras projektioner. Det får dem att anpassa sig till förutsägbara svarsmönster och upptar deras tankar medan du väntar på det extraordinära ögonblick som de inte kan förutse."
Allt jag sa här är en typ av felaktig information på ett eller annat sätt. Genom att använda dessa tekniker får du dig att framstå som flera individer istället för bara en. Men allt detta kommer inte att hjälpa dig om du inte använder dig av kompartmentalisering på rätt sätt. 2.4 Compartmentalization Varför anses Qubes OS vara ett av de säkraste operativsystemen som finns tillgängliga idag? Därför att det använder sig av compartmentalization. Att hålla saker åtskilda är förmodligen det bästa sättet att undvika att någon spårar dig. Vad menar jag med det? Låt oss säga att du köpte en kontanttelefon och ett SIM-kort, med kontanter, på en plats utan säkerhetskameror och att du planerar att använda den som en fälla-telefon. Du kan säkert anta att telefonen är anonym så långt som du är bekymrad. Men om du ringde din mamma, make eller barn med den telefonen bränns den omedelbart. Det finns en logg någonstans där ute om det samtalet och du kan vara säker på att det kommer att hittas av brottsbekämpning. Det spelar ingen roll om du är en hacker, marknadsadministratör, forumadministratör, vanlig användare eller bara en integritetsmedveten individ, för det här gäller alla. På samma sätt som du inte berättar för din familj att du säljer kokain online, tillämpa det på alla aspekter av ditt digitala liv. Citat: Sun Tzu "Om din fiende är säker på alla punkter ska du vara beredd på honom. Om han är överlägsen i styrka, undvik honom. Om din motståndare är temperamentsfull, försök att irritera honom. Låtsas vara svag, så att han kan bli arrogant. Om han tar det lugnt, ge honom ingen vila. Om hans styrkor är förenade, separera dem. Om härskare och undersåte är överens, sätt skiljelinje mellan dem. Anfall honom där han är oförberedd, dyk upp där du inte är väntad."
Ett annat exempel på uppdelning i fack är detta. Vi känner alla olika typer av människor, från knarkare till killar med doktorsexamen och till och med allt däremellan. Alla har en vän som de röker gräs med, en vän som de går ut och dricker med, en vän som de kan ta med hem för att träffa dina föräldrar osv. Det är så här det går till. Vissa saker i livet går helt enkelt inte att blanda. Så blanda inte dina onlineidentiteter, för om du gör det kommer de förr eller senare att knytas ihop och tillbaka till dig.
2.5 Säkerhet är inte bekvämt
Som du kunde ha dragit av allt jag skrev är säkerhet inte bekvämt och du kan inte ha det på båda sätten. Men om du tillämpar dessa eller liknande mönster i ditt digitala liv kommer du att förbättra din operativa säkerhet exponentiellt.
Tänk på att jag inte ens har skrapat på ytan, men sagt tillräckligt för att få dig att tänka på din egen OPSEC. Undvik single point of failure, tvinga fram användning av PGP vid överföring av viktig information, använd fulldiskkryptering, byt lösenord regelbundet, blanda inte ihop brott och privatliv, använd programvara med öppen källkod i stället för sluten källkod och viktigast av allt, håll käften!
Ingen behöver veta vad du har gjort, vad du kommer att göra, var du har din gömma, hur mycket pengar eller droger du har och så vidare. En vis man sa en gång: "En fisk med stängd mun blir aldrig fångad.
3 D. U.M.B.
Den här delen handlar om fysisk operativ säkerhet och du kanske undrar vad D.U.M.B. står för? Det är ganska enkelt, djupa underjordiska militära baser. Jag använde den som en referens för ogenomtränglig byggnad som din OPSEC borde vara. För det spelar ingen roll hur bra din digitala OPSEC är om du är fysisk är fruktansvärd och vice versa.
Innan jag dyker in i det här avsnittet bör alla som har kärlek till säker knäckning och låsplockning som jag definitivt kolla in böcker skrivna av Jayson Street som heter Dissecting the Hack: F0rb1dd3n Network och Dissecting the Hack: STARS (Security Threats Are Real) han gör ett ganska bra jobb med att förklara vikten av både digital och fysisk säkerhet och konsekvenser som ignorerar någon av bärarna. Även The Complete Book of Locks and Locksmithing, sjunde upplagan och Master Locksmithing: An Experts Guide är roliga läsningar fyllda med trove av information.
Vad är fysisk OPSEC (vanligen kallat analouge) och varför är det så viktigt? Tja, analouge OPSEC är som när du använder marknader för att beställa några droger, du lämnar inte den enheten inloggad och obevakad, du lämnar inte dina dörrar olåsta när du lämnar huset, allt detta är analouge OPSEC. Människor tenderar vanligtvis att bortse från det som mindre viktigt, men gör inget misstag, det är lika viktigt som digitalt.
Precis som i digital kan jag bara ge dig förslag och få dig att tänka, eftersom varje situation och hotmodell är annorlunda.
Låt oss göra ett antagande att du är en återförsäljare, du gör inte marknader, föredrar det gammaldags sättet. Jag ska lista några råd som du kanske tycker är användbara:
Prata inte för mycket om var ditt säkra hus är, hur mycket vikt du har, om du är beväpnad eller inte osv. Alla dessa saker kan vara en anledning till att du kommer att bli bortförd, torterad eller dödad.
Skit inte där du äter, slang inte dope i din egen huva. Det är bara dålig praxis överlag, flytta ditt företag över hela staden.
Varinte vän med klienter som du inte kan vara vän med missbrukare. De kan vara en eller annan, inte båda. Eftersom missbrukare kommer att rulla över och sjunga om de fångas. Att ha en missbrukare som vän är ett bra sätt att säkerställa lång semester på alla kriminalvårdsanläggningar över hela världen.
Vet när du ska ge upp detta är förmodligen det viktigaste, om något känns fel, det beror på att det förmodligen är det. Lita på din magkänsla, vet att det inte alltid är en dålig sak att ta ett steg tillbaka. Som Frank Lucas fick höra av sin leverantör: Att ge upp och att ge upp medan du är på väg framåt är inte samma sak Frank.
Arbeta inte med vän till en vän till en vän, de är förmodligen undercover-poliser.
Tänk framåt Alltid, och jag menar alltid ha en exitplan. Oavsett om det är ett förfalskat pass, 50k i kontanter och en biljett till någon sydafrikansk ö som inte har ett utlämningsavtal med någon. Eller förskottsbetalning på ett par hundra tusen till den dyraste advokaten i staden. Se bara till att du har en plan.
Det här är bara några saker att hålla utkik efter. Det finns bokstavligen massor av fler råd för olika yrken, men om jag fortsätter så här kommer jag inte att hinna lägga upp dem i tid. Tänk bara på att allt kan brytas in i, hackas, låsplockas eller utnyttjas.
3.1 De bästa exemplen på OPSEC-misslyckanden
Låt oss prata om några OPSEC-misslyckanden. För smarta människor lär sig av andras misstag, inte sina egna. På grund av det faktum att det i arbetslinjer på dark-net kan vara din första och sista.
DreadPirateRoberts (Ross Ulbricht) var en revolutionär, extremt intelligent men inte nödvändigtvis smart alls. Bland de många dumma saker han gjorde kan nämnas att han använde en felkonfigurerad CAPTCHA-server under en lång tid, skickade smuggelgods till sin hemadress, annonserade Silk Road på Shroomery med hjälp av sin egen gmail-adress, blev vän med en före detta infiltrerad (korrupt) DEA-agent (som senare pressade honom på pengar), förde loggar över alla sina konversationer och en detaljerad dagbok över Silk Road-äventyren. Men det mest ödesdigra var att han inte var medveten om sin omgivning. För det mesta skötte han Silk Road från det bekväma San Forensics Public Library, där han gick fel satt han vid ett bord med ryggen vänd mot rummet. Medan två FBI-agenter iscensatte ett par som bråkade, dök deras kollegor in bakifrån och tog hans lap top innan han hann stänga av den och starta krypteringsprocessen. Han dokumenterade i princip alla sina brott bland andra så var inte DPR.
Shiny Flakes (tysk försäljare) 20-åring som skapade en av de största kokainsmugglingsverksamheterna i Tyskland vid den tiden. Polisen konfiskerade mer än en halv miljon i olika valutor och en ofattbar mängd droger, allt förvarat i hans sovrum. Och hans största OPSEC-misslyckande var att han skickade alla sina försändelser från samma DHL-utpost. Han lagrade också allt i klartext (order, kunder, ekonomi, inloggningsuppgifter etc.) på en okrypterad hårddisk.
Sabu (Hector Xavier Monsegur) LulzSEC glömde att använda TOR för att ansluta till IRC-servern som övervakades av FBI. De fick hans IP-adress från hans internetleverantör, en korrelationsattack senare satt han i handbojor och gav upp sina vänner i utbyte mot en uppgörelse. Var inte en tjallare, stå för dina misstag.
nCux / BulbaCC / Track2 (Roman Seleznev, Russain Carder) bland många dumma saker han gjorde, hyrde servrar med e-postadress som han använde för att öppna PayPal-konto, sedan använde han PayPal för att betala för sina fruar blommor. Men det är inte allt. Han reste med sin arbetsbärbara dator som innehöll hundratusentals kreditkort, men det är inte illa eftersom han hade kryptering. Tyvärr gissades hans lösenord Ochko123 av brottsbekämpande myndigheter eftersom det var detsamma på hans e-post tror jag. Så, ta inte med dig ditt arbete när du reser, blanda inte ihop brott och kärleksliv, återanvänd för fan inte lösenord. Var inte BulbaCC.
Willy Clock (Ryan Gustefson, ugandisk falskmyntare ) återanvände sin personliga e-post som han använt för att ansöka om amerikanskt medborgarskap till ett Face-book-konto som han använde för att sälja falska sedlar. Han laddade också upp sin egen bild till det kontot. Jag har inte ens något att säga om den här.
FrecnhMaid aka nob (DEA-agent från DRP-fallet) använde sin arbetsdator för att utpressa Ross Ulbricht, du kan gissa hur det gick. Bland annat flyttade han pengarna till bankkonton i sitt eget namn, i länder med icke-strikta lagar om banksekretess. Han fick vad han förtjänade.
Alexandre Cazes (AlphaBay Admin) använde personlig e-postadress för e-postmeddelanden om återställning av AlphaBay-lösenord, höll all data lagrad i okrypterat format på sin enhet, var värd för Alphabay-servrar i Quebec, Kanada under eget namn.
3.2 - Oundviklig fuck up, efterdyningar och upprensning
Detta är det sista kapitlet i detta inlägg som berör det oundvikliga misslyckandet och vad man ska göra efteråt. Vi är alla människor, vilket innebär att du förr eller senare kommer att göra ett misstag. Kommer det att bli slutet för dig? Det beror på, men det viktigaste är att veta hur man städar upp sin egen röra.
Här är ett återkommande exempel på fuck up och hur du kan gå vidare efteråt, men kom ihåg att detta är en spekulerad situation och du måste veta att jag inte kan förutsäga alla möjliga resultat.
Kontrollerad leverans - är situationen när brottsbekämpning beslagtar din beställning, men tillåter posten att fortsätta med att leverera ditt paket för att fånga dig i handlingen. Vanligtvis för att försöka tvinga dig att vända. Det finns vanligtvis två resultat av en sådan situation, om du har ett par beställningar under ditt bälte, tar det misstänkt lång tid för paketet att levereras och det var stationerat i flera dagar på samma plats.
Du kan antingen inte veta, signera för paketet och bli busted inom några sekunder. Eller så kan du neka till att ta emot paketet i vilket fall de inte har någonting. Nu, om du tror att det är en kontrollerad leverans är det bästa sättet att ta bort alla bevis på sådan aktivitet från dina enheter och ditt hem. Eftersom du kan vara säker på att adressen är bränd och så är du också.
Vad menar jag med att rensa bort bevis? Gamla hederliga dataförstörare är alltid rätt väg att gå, men om du hade kritisk information som aldrig får hamna i fiendens händer är det bästa sättet att göra sig av med SSD/HDD-enheten i fråga. Först strimla data (rekommenderas är minst 7 pass), sedan strimla disken. Vanligtvis kommer det att göra jobbet att bränna det skarpt. Det är alltid bäst att förstöra enheten så att ingen kan göra kriminalteknik och gräva upp data. Eftersom ingen ny glänsande enhet (bärbar dator, dator, hdd, ssd, etc.) är värd mer än din frihet.
Poängen är, om något känns fel är det för att det förmodligen är det! Var vaksam, beställ inte till din hemadress, spela spelet låt inte spelet spela dig.
