DOE AGORA Qualquer valor

OPSEC



Segurança Operacional (OPSEC) 101

  • Um repositório de conselhos e guias para compartilhar com amigos e familiares que estão preocupados com sua segurança durante atividades online e com a segurança de seus dispositivos.
  • Este repositório é baseado em um blog que escrevi em 2020, mas eu queria uma maneira de atualizar os conselhos, preservando o original.

OPSEC de mídia social:

É difícil evitar mídias sociais hoje em dia. Embora muitos guias recomendem excluir suas contas e desinstalar seus aplicativos, isso não é prático para usuários não técnicos que tentam viver suas vidas.

  • Defina contas de mídia social como Twitter, Facebook, Instagram, Threads, TikTok, SnapChat como privadas (e recomendo que sua família faça isso também)
  • Evite usar seu nome real ao criar contas para dificultar que as pessoas o encontrem. É possível até ter uma conta com apenas um nome
  • Evite usar fotos pessoais identificáveis ​​com seu rosto em suas fotos de perfil e/ou fotos de capa.
  • Deixe também em branco os detalhes da biografia das contas de redes sociais e evite compartilhar informações identificáveis, como a placa do seu carro ou a porta da frente da sua casa com o número.
  • Por mais tentador que seja, evite fazer check-in em locais ou marcar o local específico das suas fotos em postagens nas redes sociais.
  • Evite aceitar solicitações de amizade ou seguir pessoas aleatórias. Faça com que apenas uma lista de seus familiares, amigos ou colegas reais tenham permissão para visualizar seu conteúdo nas redes sociais.
  • Por fim, converse sobre os riscos das mídias sociais com seus amigos e familiares e peça para que eles não compartilhem fotos suas e evitem que marquem você.
  • Por mais demorado que seja, volte na sua linha do tempo das redes sociais e na linha do tempo dos seus amigos e familiares para ter certeza de que nenhuma imagem ou publicação comprometedora foi compartilhada historicamente.

OPSEC para suas contas:

Os tipos de coisas que a maioria das pessoas tem medo online são se suas mídias sociais, e-mail, compras online ou contas bancárias forem hackeadas. Em muitos casos, esses tipos de riscos de segurança vêm de ataques automatizados por criminosos cibernéticos. Se as pessoas implementassem higiene cibernética básica, elas seriam imunes a 99% desses golpes genéricos, bem como a alguns ataques mais direcionados também, devido a golpistas pouco qualificados não serem capazes de contornar controles básicos.

  • Evite reutilizar suas senhas e evite usar as senhas mais comuns! Siga a regra de 'Três Palavras Aleatórias' e adicione alguns números e caracteres especiais. Essa é a orientação oficial do UK NCSC.
  • Use mais de uma conta de e-mail! O ideal é que você mantenha um endereço de e-mail para serviços confidenciais de alto valor, como finanças ou assuntos administrativos relacionados a negócios ou governo, e outro mais voltado para a internet para atividades como compras on-line, ingressos, recibos ou mídia social, e potencialmente até mesmo um terceiro e-mail de backup para conversas e outras comunicações confidenciais.
  • Para coisas como paywalls de marketing e outros sites que exigem um e-mail (e você sabe que eles só querem enviar spam), use um serviço de e-mail temporário apenas para obter o link que eles enviaram para você.
  • Para o máximo de contas possível, use códigos de autenticação multifator para proteger o acesso à sua conta. Isso inclui senhas únicas (OTPs) geradas por um aplicativo móvel autenticador. Não há problema em usar autenticação de dois fatores (2FA) baseada em SMS, mas perceba que isso é menos seguro do que o aplicativo móvel MFA, pois as mensagens SMS podem ser falsificadas.
  • Have I been Pwned é um serviço MUITO útil para verificar se seu endereço de e-mail apareceu em alguma violação/vazamento de dados. Se seu e-mail aparecer em uma violação, você deve atualizar suas senhas imediatamente. Have I Been Pwned também notificará você se seu endereço de e-mail estiver presente em uma nova violação!
  • Os gerenciadores de senhas são um dos programas mais úteis para organizar contas em um banco de dados criptografado. Eles só podem ser acessados ​​localmente com uma senha mestra e acesso físico ao seu sistema com o software gerenciador de senhas.
  • Sempre faça backup dos seus dados! Proteja-se de drives corrompidos, dispositivos quebrados ou ransomware fazendo backup dos seus arquivos. Isso pode ser feito de várias maneiras, como mídia removível (USBs e drives externos) e serviços de nuvem, como Google Drive, OneDrive, iCloud, Dropbox ou Proton Drive.

OPSEC para seus dispositivos:

O objetivo dessas dicas é proteger seus dispositivos para que você se torne um alvo mais difícil para os cibercriminosos. As etapas a seguir ajudarão você a evitar ser vítima de 99% das ameaças automatizadas e, para ataques direcionados, quanto mais tempo, esforço, habilidades ou recursos um cibercriminoso levar para comprometê-lo, mais provável e rápido será que ele desista e siga em frente.

  • Mantenha seu sistema atualizado com os patches de segurança mais recentes, aplique-os o mais rápido possível e configure os sistemas para atualizar automaticamente!
  • Não desative as configurações de segurança padrão, especialmente o software antivírus integrado, como o Windows Defender!
  • Verifique as permissões habilitadas dos aplicativos móveis para que você não compartilhe involuntariamente seus detalhes de contato, registro de SMS, notificações e outras informações confidenciais com empresas de marketing, adware e malware.
  • Muitos aplicativos desagradáveis ​​vêm de sites de terceiros não verificados/não moderados. Baixe aplicativos somente de fontes oficiais, como a Google Play Store para Android, a AppStore para Apple ou a Microsoft Store para Windows.
  • Em geral, recomendo evitar completamente sites piratas e usar software crackeado devido à enorme quantidade de malware que pode fazer coisas muito desagradáveis, como roubar as credenciais de suas contas de e-mail e outras que estão armazenadas em seus navegadores ou iniciar ransomware em seu sistema, além de seu IP vazar para o mundo quando você faz torrents!
  • Se você vir algum URL ou site suspeito, você pode usar esses dois serviços - Browserling e URLscan - para visitar o site e verificá-lo antes de entrar.
  • Se você vir algum arquivo suspeito no seu computador, você pode usar o VirusTotal para escanear o arquivo e verificar se há malware ou até mesmo adware.

Dicas mais avançadas de OPSEC:

Junto com o acima, aqueles que são public-facing personalitiespodem não ter o luxo de esconder seus nomes reais do mundo. Para esse grupo de pessoas, eles são forçados a melhorar seu jogo OPSEC devido ao aumento do nível de ameaça e ao maior número de ataques. As recomendações abaixo são para tipos de usuários que levam sua segurança a sério, como pesquisadores ou executivos de segurança.

  • Se você acha que precisa de uma revisão de segurança adequada, valerá a pena pedir a um profissional para verificar seu OPSEC usando técnicas de inteligência de código aberto (OSINT) para auditar sua pegada digital.
  • Você pode configurar alertas para verificar se você é mencionado em artigos de notícias on-line. Isso pode ser feito por meio do Alertas do Google.
  • Serviços de e-mail seguros como o ProtonMail podem ser usados ​​para enviar e-mails criptografados para outras pessoas que também tenham contas no ProtonMail.
  • Quaisquer aplicativos, softwares ou serviços devem ser revisados ​​antes do uso, verificando quais dados eles coletam de seus usuários em suas políticas de privacidade.
  • Antes de interagir com alguém online, quer você os conheça ou não, você deve realizar uma pesquisa simples, como se a conta foi criada recentemente, pois pode ser uma farsa. Procure outras contas relacionadas com credibilidade estabelecida.
  • O software de Rede Privada Virtual (VPN) é frequentemente recomendado para uso diário ao navegar na web, mas, na realidade, ele só é aplicável para uso em WiFi público para criptografar seu tráfego.
  • Se você precisar visitar um determinado site e não quiser revelar seu endereço IP, é recomendável usar o navegador Tor para ocultar seu endereço IP público.
  • Para segregar quaisquer ameaças de chegarem ao seu sistema host, você pode usar uma Máquina Virtual (VM) para executar um sistema operacional (SO) convidado dentro do seu sistema host. Muitos profissionais de infosec gostam de executar VMs Linux em seus hosts Windows.
  • Aplicativos de bate-papo criptografados de ponta a ponta (E2EE) para dispositivos móveis e desktops são recomendados para comunicação pessoal, como Signal ou Keybase, que também oferecem suporte ao compartilhamento de arquivos.
  • CanaryTokens também são uma ferramenta interessante que pode ser colocada como armadilhas que disparam um alerta se um intruso as acionar. Elas aparecem como arquivos ou pastas normais, mas quando alguém abre o arquivo, você receberá um e-mail com a hora, local, tipo de dispositivo e endereço IP de onde ele foi aberto.
  • Se você estiver tentando manter seu nome de usuário pseudônimo de sua identidade do mundo real (RWI), evite reutilizar seu nome de usuário/identificador que esteja vinculado a suas outras contas. Realize uma auditoria de conta e faça um inventário de quais contas você usa e quais são seus detalhes. Adversários que visam você pessoalmente podem usar ferramentas OSINT (como Whatsmyname.app) e Breached Data (como DeHashed) para procurá-lo.
  • Mantenha-se atualizado com as últimas notícias de segurança cibernética! Siga sites de notícias de Infosec confiáveis ​​como BleepingComputer, TheRecord by Recorded Future ou BBC News Technology

Recursos

Uma lista de sites e serviços mencionados ao longo do guia acima:

  1. Aplicativo móvel Multi-Factor Authenticator (MFA): https://www.microsoft.com/en-us/account/authenticator
  2. Visite um site a partir do navegador de um computador virtual: https://www.browserling.com
  3. Verifique se qualquer URL é malicioso: https://urlscan.io
  4. Verifique qualquer arquivo para ver se ele é malicioso: https://www.virustotal.com
  5. Verifique se seu e-mail e/ou senha foram expostos em uma violação de dados: https://haveibeenpwned.com
  6. Serviço de e-mail temporário: https://10minutemail.com
  7. Gerenciador de senhas gratuito e seguro: https://keepass.info/download.html
  8. Configure alertas para monitorar suas menções em artigos encontrados pelo Google: https://www.google.co.uk/alerts
  9. Contas de e-mail focadas em privacidade: https://protonmail.com
  10. Software VPN confiável: https://protonvpn.com
  11. Software de máquina virtual gratuito: https://www.virtualbox.org
  12. Aplicativos de bate-papo E2EE gratuitos: https://keybase.io | https://signal.org
  13. Coloque rastreadores em arquivos no seu desktop/laptop ou dispositivos de mídia removíveis: http://canarytokens.org/generate
  14. Navegador Tor: https://www.torproject.org/download
  15. Serviço gratuito para encontrar contas com o mesmo nome de usuário: https://whatsmyname.app
  16. Serviço pago para analisar dados de violação: https://www.dehashed.com
  17. Sites de notícias de Infosec: https://www.bleepingcomputer.com | https://therecord.media | https://www.bbc.co.uk/news/technology
  18. Lista de verificação OPSEC: https://digital-defense.io/
  19. Treinamento gratuito do US DoD OPSEC: https://securityawareness.usalearning.gov/opsec/index.htm
  20. Saiba mais sobre o ecossistema de dados pessoais multibilionário: https://www.documentcloud.org/documents/6983419-Digital-Exhaust-Opt-Out-Guide-for-Law-Enforcement


Comentários

Ebook

Postagens mais visitadas