DOE AGORA Qualquer valor

Dicas e truques básicos de OPSEC para pesquisadores OSINT

Dicas e truques básicos de OPSEC para pesquisadores OSINT

Frequentemente me perguntam se tenho algumas dicas e ferramentas para OPSEC durante investigações online.

Minha resposta principal seria a primeira: não posso dar nenhuma dica ou indicação de tradecraft até saber quais perguntas de pesquisa você está tentando responder. Resumindo, qual é o seu modelo de ameaça?

Em primeiro lugar, deve-se saber de onde se origina o termo OPSEC. OPSEC significa Segurança Operacional e é um termo derivado das forças armadas dos EUA. O objetivo de uma boa OPSEC é negar ao adversário informações que possam comprometer o sigilo e/ou a segurança operacional de uma missão.

E é aí que sempre deve começar, você me pergunta. Definir seu modelo de ameaça em relação às questões de pesquisa para as quais você está tentando encontrar respostas.

Por exemplo, não faria sentido se você protegesse sua máquina ou navegador quando tudo o que você vai fazer é procurar informações geográficas através do Google Earth. Faria sentido se você fosse mergulhar fundo em um site e fórum cheio de pessoas que estão criando Trojans de acesso remoto.

Você pode achar útil fazer o layout de alguns cenários que se encaixem no seu modelo de ameaça com base nessa pesquisa específica. Pode-se fazer isso fazendo um mapa mental ou fluxograma e usá-lo como uma espécie de projeto.

Você poderia pensar assim:

  1. Quais ferramentas são necessárias
  2. Quais fontes eu vou usar
  3. Que máquina de pesquisa vou usar
  4. Quem é meu adversário?
  • Quais ferramentas são necessárias

Ao pensar nas ferramentas que você precisa para esta questão de pesquisa específica, tente pensar no risco que aquela ferramenta pode trazer para prejudicar sua Segurança Operacional. Alguns raspadores automatizados são muito “barulhentos” e certamente não são discretos quando em ação. Isso pode ser um problema quando seu adversário procura ativamente certas impressões digitais, por exemplo. Quando se trata de Segurança Operacional e deixar rastros, deve-se sempre tentar parecer o mais natural possível, tentar se misturar e se mover pela Internet como a grande maioria faz.

Isso é o que você quer que suas ferramentas façam, você não quer que elas se destaquem. Mas também posso imaginar que você queira que eles se destaquem e sejam “barulhentos” como uma tática para deixar o adversário saber: “ estamos ativamente observando você”.

Quando se trata de ferramentas, você também deseja examinar o código-fonte, se possível. A ferramenta está vazando informações confidenciais sobre sua máquina? Ele está se comunicando e se reportando a algum lugar ou alguém com quem você não deseja que ele se comunique?

Escolha as ferramentas mais confiáveis ​​e testadas. Mantenha-os sempre atualizados para evitar ser vítima de vulnerabilidades. Crie uma caixa de ferramentas confiável e escolha as ferramentas dessa caixa de ferramentas com base em uma escala de “silenciosa” a “barulhenta” .

  • 2. Que fontes vou usar?

A escolha de fontes é semelhante a escolher as ferramentas de sua caixa de ferramentas. Você deseja escolhê-los do mais “silencioso” possível para o “barulhento” . Há uma grande diferença neste método, as fontes online podem ser ferramentas, mas também podem ser as fontes onde seu adversário está ativo. Por exemplo, pode ser um banco de dados de veículos onde há menos risco de ser conhecido pelo adversário em comparação com um site de propriedade do seu adversário.

Quando você escolhe uma fonte, não vá imediatamente para lá. Pense antes de agir. Qual é o risco, o que você pode fazer para manter a discrição e se misturar. Existe uma barreira de idioma? Você pode querer alterar as configurações do teclado e as configurações gerais de idioma para evitar que se destaquem. Existe uma diferença de fuso horário? Em seguida, você pode querer alterar a configuração do fuso horário para corresponder ao fuso horário do adversário. Mas também, você pode querer estar online apenas nos horários em que faria sentido estar online devido ao fuso horário. Definir um despertador à noite é uma possibilidade real para manter a segurança de suas operações o melhor possível.

Muitos erros de segurança operacional são cometidos com base no viés. Suposições feitas pelo que você acha que sabe, mas na verdade não sabe. Para evitar esses tipos de erros baseados em preconceito, você pode pedir a colegas, amigos ou especialistas amigáveis ​​para serem seus advogados do diabo.

  • 3. Que máquina de pesquisa vou usar?

Esse picking de máquina é um assunto delicado porque sempre tem a ver com orçamento.

Seria incrível se você tivesse um orçamento infinito e comprasse máquinas novas e limpas e conexão com a Internet para cada caso de pesquisa. Na realidade, isso raramente é o caso. Mesmo com um orçamento baixo ou zero, ainda existem algumas boas etapas a serem seguidas para fortalecer sua máquina ou ofuscar as impressões digitais do dispositivo.

Você pode proteger fisicamente sua máquina gravando seu microfone e webcam embutidos ou até removê-los de seu dispositivo.

Mas você também pode instalar software adicional que bloqueia o uso do microfone e da câmera.

Você pode considerar o uso de proxies ou vpn para mascarar o endereço IP da sua máquina ou o país de onde você está usando a Internet.

Talvez você queira bloquear algumas ou todas as formas de cookies de rastreamento por motivos de segurança operacional.

Uma coisa que você sempre quer fazer é atualizar e corrigir sua máquina imediatamente para evitar riscos de segurança.

Se você não tiver tanto orçamento, poderá usar máquinas virtuais para imitar outras máquinas em sua máquina existente. Como exemplo, é possível executar um Smartphone ou Tablet virtualmente em seu laptop ou executar outros sistemas operacionais além do sistema operacional da máquina que você está usando atualmente. Mas tudo depende da questão de pesquisa que você está tentando responder.

Por exemplo, quando você está fazendo pesquisas sobre “hackers” como pessoas, você pode querer tentar imitar as máquinas e sistemas operacionais que eles usam. Mas se você quiser pesquisar no Snapchat, talvez queira instalar um smartphone virtual e fazer um boneco de meia confiável.

conheça seu adversário
  • Quem é meu adversário?

Quando se trata de Segurança de Operações, conhecer seu adversário é fundamental para definir suas contramedidas. Antes de escolher sua máquina, fontes e ferramentas, você deve investir em conhecer seu adversário. Quando você conhece apenas esses detalhes, pode determinar a quantidade de “volume” que pode usar em sua pesquisa. Por exemplo, olhar para um APT tem um nível totalmente diferente de OPSEC em comparação com olhar para um garoto de 16 anos vendendo produtos ilícitos online. Não me interpretem mal, ambos são um risco e uma ameaça para sua Segurança Operacional, um garoto de 16 anos pode ter mais honeypots e armadilhas por aí em comparação com um APT. Mas quando você faz uma avaliação de risco com base em sua pergunta de pesquisa, você aprenderá e determinará qual é o risco se comprometido.

Com tudo o que foi dito acima, gostaria de dar algumas dicas e ferramentas que podem ajudá-lo a aprimorar seu jogo OPSEC:

Existem dois lados da OPSEC, os adversários OPSEC e o seu OPSEC. Você precisa manter ambos em mente o tempo todo.

Estes próximos pontos contam para ambos os lados:

  • Identifique em que formato (e onde) as informações valiosas devem ser encontradas
  • Quão bem essas informações são protegidas?
  • Quando comprometido, qual seria o impacto pessoal/profissional?
  • Conheça seu adversário

O próximo passo é procurar pontos fracos na OPSEC. Você pode fazer isso fazendo reconhecimento online.

Este reconhecimento é baseado nas questões de pesquisa que você está tentando responder. Por exemplo, quando você está tentando traçar o perfil de uma pessoa, você pode procurar por:

  • Nome completo
  • Local onde mora/trabalha
  • Número SSN
  • DOB
  • Conta(s) de e-mail E Senhas
  • Pegada digital on-line
  • informação do empregado
  • Informação financeira
  • Números de telefone celular/trabalho
  • Informações de mídia social: aplicativos/postagens/foto/vídeo
  • Família/amigos/colegas

Outro exemplo é mais específico para algo que chamo de OSINT mais técnico:

  • endereços IP
  • informações de DNS
  • Pedaços de código (re)utilizado (impressão digital)
  • Indicadores de compromisso
  • Métodos conhecidos ou técnicas usadas
  • Escaneamento de portas
  • Bancos de dados ou servidores abertos.
  • Pedaços de malware ou ratos sendo vendidos online.

Todos os itens acima podem ser pontos de pivô que podem ser explorados para explorar pontos fracos em sua segurança operacional ou na segurança operacional do adversário.

A seguir, algumas dicas de OPSEC a serem consideradas ao conduzir pesquisas OSINT.

Tente evitar impressões digitais com base na correlação. Isso pode acontecer com base em:

  •  Impressão digital do navegador
  •  impressão digital IP
  •  Hora online ou configurações de fuso horário
  •  Escolha de palavras……etc.
  •  Comportamento (hábitos/padrões de navegação)

Esteja atento em todos os momentos:

  • Ajuste suas atividades ao nível de ameaça.
  • Conexão de internet residencial (ethernet) ou 4G/5G?
  • Proxy / VPN / TOR
  • Referenciador ativado/desativado
  • Agente de usuário
  • Bloqueadores de rastreamento
  • Não faça login com uma conta (falsa) no Google, Yahoo, Microsoft, Apple etc.
  • Qual é o risco se uma conta for comprometida (está conectada a outras contas?)

Pense antes de agir:

  • Sem vinculação (de qualquer forma possível) à sua identidade pessoal. Trabalho e privado 100% separados.
  • Fique longe do seu ambiente privado
  • Nenhum escritório Wi-Fi / Ethernet
  • Nenhum terminal de escritório para pesquisa online
  • Sem conexão ou link para seus dispositivos ou dispositivos privados
se misturar

Perfil baixo / Mistura em:

  • Estude como você deve se manifestar em uma determinada plataforma
  • Qual é a sua história (álibi)?
  • Olhe vivo!
  • Quando online? (evite obter a impressão digital das 9-5 horas de expediente)
  • Configurações de linguagem
  • Fuso horário
  • Escolha de palavras (gíria, l33t, profissional)

Seu dispositivo conta uma história. Você pode consultar fontes como https://www.whoer.net – & – https://www.deviceinfo.me/ para determinar a impressão digital do seu dispositivo. Com base na pergunta da pesquisa, você pode executar ações para desfocar a impressão digital do dispositivo ou proteger o navegador.

Alguns complementos ou extensões úteis para os navegadores Firefox e Chrome que você pode querer usar são:

  • HTTPS em todos os lugares
  • Criptografa suas conexões em alguns lugares onde, de outra forma, elas seriam descriptografadas. Porque ainda existem conexões http não seguras por aí
  • Impede a leitura de informações confidenciais em trânsito
  • Evita ataques de homem no meio. Exemplo: Inserir um script nos pacotes que vem do site para sua máquina e que pode roubar seus dados
  • texugo de privacidade
  • Bloqueia rastreadores
  • Este complemento pode tornar alguns sites inutilizáveis ​​(rastreadores/cookies/às vezes XSS, por exemplo, páginas de login). Se isso acontecer, você pode clicar na extensão e escolher “Desativar texugo de privacidade para este site” < RISCO DE OPSEC !
  • Origem do uBlock
  • Bloqueia rastreadores
  • Bloqueia alguns rastreadores com vulnerabilidades inseparáveis ​​para fazer o anúncio funcionar
  • Evita vazamento de IP WebRTC (ativar através do menu de configurações)
  • User-Agent-Switcher
  • Atua como um sistema operacional e navegador de sua escolha
  • Também pode ser útil para visualizar uma página no modo de exibição de celular ou tablet
  • Defensor de lona
  • Ajuda a evitar a impressão digital do navegador
  • Observe que esse tipo de rastreamento pode ser feito mesmo no modo anônimo, por meio de uma VPN, mas não usando o navegador Tor
  • A maioria dos navegadores (Chrome, Firefox, etc.) possui impressões digitais exclusivas para cada dispositivo
  • Esta extensão adiciona ruído aleatório à sua tela para evitar o rastreamento
  • ScriptSafe (não para os fracos de coração)
  • Você vai querer mantê-lo desligado na maior parte do tempo porque o bloqueio do JavaScript quebra muitas coisas
  • Gerencie você mesmo esta extensão para manter a usabilidade e a segurança com base no seu modelo de ameaça
  • Bloquear scripts pode fornecer segurança operacional extra. Por exemplo, um adversário pode injetar um script em uma página de login que sobrepõe uma caixa de login idêntica, mas retransmite suas informações de login (ou chaves privadas) para seus servidores
  • O ScriptSafe possui um grande número de recursos anti-impressão digital
  • Guarda de Localização / Localização Manual
  • Falsificação de geolocalização HTML5
  • Faça seu dispositivo aparecer como se estivesse naquela localização geográfica

Algumas dicas extras:

  • Use 2FA (autenticação de dois fatores) onde puder!
  • Armazene senhas em um gerenciador de senhas como LastPass ou KeePass. A vantagem é que você só precisa controlar uma senha mestra. (FAÇA UM BACK-UP e lembre-se da senha mestra!)
  • NÃO REUTILIZE senhas!

Comentários

Ebook

Postagens mais visitadas