DATATERMINAL

DEFENSIV INFRASTRUKTUR™

Proaktiv Paranoia | OPSEC - del 2

Published January 5, 2023

Detta är en ganska kort genomgång och introduktion till OPSEC (Operationssäkerhet) och PERSEC (Personlig Säkerhet). Dataterminal stödjer på inget sätt olagliga förehavanden och aktiviteter, utan denna text är ur rent utbildningssyfte. Vidare kan det är säkerhetssynpunkt vara av värde att du som individ skyddar dig mot otillbörlig underrättelseverksamhet från antingen främmande makt eller kriminella element. Devisen "know thy enemy" kan också tillämpas, för om du känner till motståndarens eventuella tillvägagångssätt blir det lättare att skydda sig.

OPSEC - eller Operational Security - kan i allra högsta grad kokas ner till:

OPSEC steg 1: shut the fuck up

INTRODUKTION

Beroende på vem eller vad det är du skyddar dig emot kommer detta vara mer eller mindre enkelt. Anledningen till varför OPSEC kan vara viktigt är enkelt att greppa; förhindra eller försvåra för din motståndare att inhämta information om din egen eller ditt företag/organisation/enhets verksamhet.

Detta handlar alltså om att skydda operationen, inte specifikt dig som person, då hamnar vi inom området PERSEC - Personal Sercurity.

Det finns dock såklart beröringspunkter mellan de två och benämningarna används ibland felaktigt; man kallar PERSEC för OPSEC och vice versa. Detta spelar väl kanske inte jättestor roll alla gånger, men det är värt att känna till skillnaderna.

De flesta känner till uttryck såsom “loose lips sink ships”, eller “en svensk tiger”. Innebörden är lätt att greppa i och med dess kontext.

På grund av detta, och uppmaningen “Shut the fuck up” ovan, kommer denna artikel från och med nu fokusera på området PERSEC.

Top Secret - confidential
Need-to-know basis

PERSEC

GRUNDLÄGGANDE REGELVERK

  • VAR PARANOID
    • Retroaktiv paranoia funkar inte, ett visst mått av nykter proaktiv paranoia är således sunt.
  • VAR STÄDAD
    • Lämna inga kontraband liggande. Kryptera och avskilj; använd inte jobbdatorn. Minimera saker som ligger och dräller som folk kan sno och kopiera.
  • TALA ALDRIG I KLARTEXT
    • Utgå ifrån att du alltid är övervakad, överallt. Om en hotaktör redan målangett dig är detta ett faktum och eftersom du inte vet om så är fallet; utgå ifrån det.
  • TALA ALDRIG I KOD
    • “Kaninen har lämnat boet” drar onödig uppmärksamhet till dig. Dessutom kommer din - enligt dig - smarta kod att knäckas.
  • ANVÄND KODORD
    • Det kan vara rimligt att använda kodord, eller s.k. kryptonymer. Det ger ett ytterligare lager av säkerhet och när din kommunikation blir övervakad och loggad kan det ändå ge s.k. plausable deniability.
  • GÖR DET SVÅRARE FÖR MOTSTÅNDAREN ATT KOMMA ÅT DIG
    • Knarka inte, sup inte, betala dina räkningar. Var en god medborgare. kamouflage är bra.

ℹ️ KONTRABAND ÄR ALLT SOM KAN KNYTA DIG TILL NÅGOT, DVS. DATORER, USB-STICKOR, ANTECKNINGSBÖCKER ETC.

Att aldrig tala i klartext samtidigt som man inte ska tala i kod, men använda kodord kan tyckas orimligt, vilket det är, men det belyser problematiken kring PERSEC och OPSEC - ett komplext ämne.

UNDERARBETE

Innan du ens kan påbörja någon form av operation där din personliga säkerhet är av vikt måste några åtgärder vidtas. Du kan exempelvis inte agera som ditt riktiga jag.

  • TÄCKMANTEL
    • Skapa täckmantel åt din nya persona. Det innebär en fejkad Twitter, e-post, Facebook. Bli personen! Se till att det finns historik på sociala medier för relativt lång tid tillbaka, tänk ett (1) halvår - Det ska då vara trolig och rimlig onlineaktivitet. Undvik att kontaminera mellan ditt riktiga jag och din nya persona. Det gäller både för hur du loggar in på sociala medier och vilken metadata du lämnar efter dig, samt hur du skriver; använd inte uttryck etc. som du normalt använder.
  • CV
    • Jobba på the legend - ditt CV; historia, bakgrund, stödjande bevis för din persona etc.
  • SUB-ALIAS
    • skapa sub-alias, gärna flera stycken. Alltså:
  1. Skapa en alias.
  2. Använd din nya alias för att skapa ännu en alias.
  3. Använd din andra alias, som du skapade med din första alias, för att skapa din slutgiltiga operationsalias.

Detta kan givetvis utökas så många gånger du önskar. Var dock beredd på att det tar tid! Att skapa en helt ny persona, med trovärdig bakgrund är nånting som tar många månader.

  • KONTAMINERA ALDRIG
    • Undvik som pesten att kontaminera mellan dina alias och ditt riktiga jag. Det går inte att understryka detta tillräckligt. Som vi var inne på ovan; använd inte dina riktiga uttryck och manerismer. Och om det regnar där du befinner dig, nämn inte det! Efterhand du avslöjat vilket väder det faktiskt är där du befinner dig tillräckligt många gånger, går det att knyta dig till ett visst geografiskt område. Om än inte alltför precist, så kan cirkeln kring dig onekligen minskas. Det vill du inte!

När du nu skapat och känner dig säker med att ditt alias är vattentätt kan operationen påbörjas. Det är nu ditt alias och eventuella sub-alias blir måltavla för fientlig underrättelseverksamhet.

En hängiven aktör kommer med all sannolikhet syna detta och till slut avslöja dig för den du är, men det kan sätta en mindre aktör ur spel, eller få någon att besluta att det inte är värt att sätta extra resurser på just dig.

⚠️ FÖRHINDRA ALL KONTAMINERING MELLAN DITT RIKTIGA JAG OCH DINA ALIAS.

TOR OCH VPN

Några ord om anonymitet och onlineaktivitet. Grundregeln är att du inte kan vara anonym online. Om så var fallet skulle vi inte behöva lägga ner det mödosamma arbetet med täckmantel och multipla alias.

En VPN fungerar bara om du tror att VPN-leverantören kommer ta DITT fängelsestraff - det kommer inte att ske. Om tjänsteleverantören påstår att de aldrig lämnar ut loggar, litar du på det?

Det bästa sättet att surfa på nätet är troligen via Tor och The Onion Browser. Problemet är att du inte vet vem som äger utgångsnoderna (exit nodes), så även här är du sårbar. Och återigen; KONTAMINERA INTE, se till att du inte loggar in på dina privata konton via samma Tor du använder för din operation.

Best practices när det gäller Tor och VPN är

  1. Först Tor
  2. Därefter VPN.

Tor ger dig anonymitet - det skyddar dig. VPN ger dig integritet - det skyddar din data.

⚠️ OM DU BETALAR FÖR DIN VPN, VILKEN VALUTA ANVÄNDER DU OCH ÄR TRANSAKTIONEN SPÅRBAR?. BITCOIN ÄR ANONYMT, INTE PRIVAT.

HÅRDVARA

Datorn du använder bör vara air gapped, dvs. montera ur Wifi- och Bluetooth-antenner. Montera även ur webbkamera, mikrofon och online-batteri. Det sistnämnda syftar till att säkra datorn vid akut hot - när du drar ur sladden stängs datorn av och hotaktören måste således knäcka din kryptering. Det behöver inte nämnas att datorn ska ha full diskkryptering.

Ett alternativ att nyttja är också att lägga ett dedikerat operativsystem likt TailsOS på en USB-sticka och utföra dina aktiviteter därifrån.

RESURSER

För vidare förkovring:

Youtube - DEF CON 22 - Adrian Crenshaw- Dropping Docs on Darknets: How People Got Caught

Youtube - When Cybercriminals with Good OpSec Attack

Youtube - OpSec for InfoSec - Justin Nordine

https://vato.cc/the-ultimate-opsec-guide-for-hackers/

Detta inlägg bygger på The Grugqs föredrag på HITB 2012 (Youtube).