OPSEC
- Um repositório de conselhos e guias para compartilhar com amigos e familiares que estão preocupados com sua segurança durante atividades online e com a segurança de seus dispositivos.
- Este repositĂłrio ĂŠ baseado em um blog que escrevi em 2020, mas eu queria uma maneira de atualizar os conselhos, preservando o original.
Ă difĂcil evitar mĂdias sociais hoje em dia. Embora muitos guias recomendem excluir suas contas e desinstalar seus aplicativos, isso nĂŁo ĂŠ prĂĄtico para usuĂĄrios nĂŁo tĂŠcnicos que tentam viver suas vidas.
- Defina contas de mĂdia social como Twitter, Facebook, Instagram, Threads, TikTok, SnapChat como privadas (e recomendo que sua famĂlia faça isso tambĂŠm)
- Evite usar seu nome real ao criar contas para dificultar que as pessoas o encontrem. Ă possĂvel atĂŠ ter uma conta com apenas um nome
- Evite usar fotos pessoais identificĂĄveis ââcom seu rosto em suas fotos de perfil e/ou fotos de capa.
- Deixe tambÊm em branco os detalhes da biografia das contas de redes sociais e evite compartilhar informaçþes identificåveis, como a placa do seu carro ou a porta da frente da sua casa com o número.
- Por mais tentador que seja, evite fazer check-in em locais ou marcar o local especĂfico das suas fotos em postagens nas redes sociais.
- Evite aceitar solicitaçþes de amizade ou seguir pessoas aleatórias. Faça com que apenas uma lista de seus familiares, amigos ou colegas reais tenham permissão para visualizar seu conteúdo nas redes sociais.
- Por fim, converse sobre os riscos das mĂdias sociais com seus amigos e familiares e peça para que eles nĂŁo compartilhem fotos suas e evitem que marquem vocĂŞ.
- Por mais demorado que seja, volte na sua linha do tempo das redes sociais e na linha do tempo dos seus amigos e familiares para ter certeza de que nenhuma imagem ou publicação comprometedora foi compartilhada historicamente.
Os tipos de coisas que a maioria das pessoas tem medo online sĂŁo se suas mĂdias sociais, e-mail, compras online ou contas bancĂĄrias forem hackeadas. Em muitos casos, esses tipos de riscos de segurança vĂŞm de ataques automatizados por criminosos cibernĂŠticos. Se as pessoas implementassem higiene cibernĂŠtica bĂĄsica, elas seriam imunes a 99% desses golpes genĂŠricos, bem como a alguns ataques mais direcionados tambĂŠm, devido a golpistas pouco qualificados nĂŁo serem capazes de contornar controles bĂĄsicos.
- Evite reutilizar suas senhas e evite usar as senhas mais comuns! Siga a regra de 'Três Palavras Aleatórias' e adicione alguns números e caracteres especiais. Essa Ê a orientação oficial do UK NCSC.
- Use mais de uma conta de e-mail! O ideal ĂŠ que vocĂŞ mantenha um endereço de e-mail para serviços confidenciais de alto valor, como finanças ou assuntos administrativos relacionados a negĂłcios ou governo, e outro mais voltado para a internet para atividades como compras on-line, ingressos, recibos ou mĂdia social, e potencialmente atĂŠ mesmo um terceiro e-mail de backup para conversas e outras comunicaçþes confidenciais.
- Para coisas como paywalls de marketing e outros sites que exigem um e-mail (e você sabe que eles só querem enviar spam), use um serviço de e-mail temporårio apenas para obter o link que eles enviaram para você.
- Para o mĂĄximo de contas possĂvel, use cĂłdigos de autenticação multifator para proteger o acesso Ă sua conta. Isso inclui senhas Ăşnicas (OTPs) geradas por um aplicativo mĂłvel autenticador. NĂŁo hĂĄ problema em usar autenticação de dois fatores (2FA) baseada em SMS, mas perceba que isso ĂŠ menos seguro do que o aplicativo mĂłvel MFA, pois as mensagens SMS podem ser falsificadas.
- Have I been Pwned Ê um serviço MUITO útil para verificar se seu endereço de e-mail apareceu em alguma violação/vazamento de dados. Se seu e-mail aparecer em uma violação, você deve atualizar suas senhas imediatamente. Have I Been Pwned tambÊm notificarå você se seu endereço de e-mail estiver presente em uma nova violação!
- Os gerenciadores de senhas sĂŁo um dos programas mais Ăşteis para organizar contas em um banco de dados criptografado. Eles sĂł podem ser acessados ââlocalmente com uma senha mestra e acesso fĂsico ao seu sistema com o software gerenciador de senhas.
- Sempre faça backup dos seus dados! Proteja-se de drives corrompidos, dispositivos quebrados ou ransomware fazendo backup dos seus arquivos. Isso pode ser feito de vĂĄrias maneiras, como mĂdia removĂvel (USBs e drives externos) e serviços de nuvem, como Google Drive, OneDrive, iCloud, Dropbox ou Proton Drive.
O objetivo dessas dicas ĂŠ proteger seus dispositivos para que vocĂŞ se torne um alvo mais difĂcil para os cibercriminosos. As etapas a seguir ajudarĂŁo vocĂŞ a evitar ser vĂtima de 99% das ameaças automatizadas e, para ataques direcionados, quanto mais tempo, esforço, habilidades ou recursos um cibercriminoso levar para comprometĂŞ-lo, mais provĂĄvel e rĂĄpido serĂĄ que ele desista e siga em frente.
- Mantenha seu sistema atualizado com os patches de segurança mais recentes, aplique-os o mais rĂĄpido possĂvel e configure os sistemas para atualizar automaticamente!
- NĂŁo desative as configuraçþes de segurança padrĂŁo, especialmente o software antivĂrus integrado, como o Windows Defender!
- Verifique as permissþes habilitadas dos aplicativos móveis para que você não compartilhe involuntariamente seus detalhes de contato, registro de SMS, notificaçþes e outras informaçþes confidenciais com empresas de marketing, adware e malware.
- Muitos aplicativos desagradĂĄveis ââvĂŞm de sites de terceiros nĂŁo verificados/nĂŁo moderados. Baixe aplicativos somente de fontes oficiais, como a Google Play Store para Android, a AppStore para Apple ou a Microsoft Store para Windows.
- Em geral, recomendo evitar completamente sites piratas e usar software crackeado devido Ă enorme quantidade de malware que pode fazer coisas muito desagradĂĄveis, como roubar as credenciais de suas contas de e-mail e outras que estĂŁo armazenadas em seus navegadores ou iniciar ransomware em seu sistema, alĂŠm de seu IP vazar para o mundo quando vocĂŞ faz torrents!
- Se você vir algum URL ou site suspeito, você pode usar esses dois serviços - Browserling e URLscan - para visitar o site e verificå-lo antes de entrar.
- Se vocĂŞ vir algum arquivo suspeito no seu computador, vocĂŞ pode usar o VirusTotal para escanear o arquivo e verificar se hĂĄ malware ou atĂŠ mesmo adware.
Junto com o acima, aqueles que sĂŁo public-facing personalities
podem nĂŁo ter o luxo de esconder seus nomes reais do mundo. Para esse grupo de pessoas, eles sĂŁo forçados a melhorar seu jogo OPSEC devido ao aumento do nĂvel de ameaça e ao maior nĂşmero de ataques. As recomendaçþes abaixo sĂŁo para tipos de usuĂĄrios que levam sua segurança a sĂŠrio, como pesquisadores ou executivos de segurança.
- Se você acha que precisa de uma revisão de segurança adequada, valerå a pena pedir a um profissional para verificar seu OPSEC usando tÊcnicas de inteligência de código aberto (OSINT) para auditar sua pegada digital.
- VocĂŞ pode configurar alertas para verificar se vocĂŞ ĂŠ mencionado em artigos de notĂcias on-line. Isso pode ser feito por meio do Alertas do Google.
- Serviços de e-mail seguros como o ProtonMail podem ser usados ââpara enviar e-mails criptografados para outras pessoas que tambĂŠm tenham contas no ProtonMail.
- Quaisquer aplicativos, softwares ou serviços devem ser revisados ââantes do uso, verificando quais dados eles coletam de seus usuĂĄrios em suas polĂticas de privacidade.
- Antes de interagir com alguÊm online, quer você os conheça ou não, você deve realizar uma pesquisa simples, como se a conta foi criada recentemente, pois pode ser uma farsa. Procure outras contas relacionadas com credibilidade estabelecida.
- O software de Rede Privada Virtual (VPN) ĂŠ frequentemente recomendado para uso diĂĄrio ao navegar na web, mas, na realidade, ele sĂł ĂŠ aplicĂĄvel para uso em WiFi pĂşblico para criptografar seu trĂĄfego.
- Se você precisar visitar um determinado site e não quiser revelar seu endereço IP, Ê recomendåvel usar o navegador Tor para ocultar seu endereço IP público.
- Para segregar quaisquer ameaças de chegarem ao seu sistema host, você pode usar uma Måquina Virtual (VM) para executar um sistema operacional (SO) convidado dentro do seu sistema host. Muitos profissionais de infosec gostam de executar VMs Linux em seus hosts Windows.
- Aplicativos de bate-papo criptografados de ponta a ponta (E2EE) para dispositivos móveis e desktops são recomendados para comunicação pessoal, como Signal ou Keybase, que tambÊm oferecem suporte ao compartilhamento de arquivos.
- CanaryTokens tambÊm são uma ferramenta interessante que pode ser colocada como armadilhas que disparam um alerta se um intruso as acionar. Elas aparecem como arquivos ou pastas normais, mas quando alguÊm abre o arquivo, você receberå um e-mail com a hora, local, tipo de dispositivo e endereço IP de onde ele foi aberto.
- Se você estiver tentando manter seu nome de usuårio pseudônimo de sua identidade do mundo real (RWI), evite reutilizar seu nome de usuårio/identificador que esteja vinculado a suas outras contas. Realize uma auditoria de conta e faça um inventårio de quais contas você usa e quais são seus detalhes. Adversårios que visam você pessoalmente podem usar ferramentas OSINT (como Whatsmyname.app) e Breached Data (como DeHashed) para procurå-lo.
- Mantenha-se atualizado com as Ăşltimas notĂcias de segurança cibernĂŠtica! Siga sites de notĂcias de Infosec confiĂĄveis ââcomo BleepingComputer, TheRecord by Recorded Future ou BBC News Technology
Uma lista de sites e serviços mencionados ao longo do guia acima:
- Aplicativo mĂłvel Multi-Factor Authenticator (MFA): https://www.microsoft.com/en-us/account/authenticator
- Visite um site a partir do navegador de um computador virtual: https://www.browserling.com
- Verifique se qualquer URL ĂŠ malicioso: https://urlscan.io
- Verifique qualquer arquivo para ver se ele ĂŠ malicioso: https://www.virustotal.com
- Verifique se seu e-mail e/ou senha foram expostos em uma violação de dados: https://haveibeenpwned.com
- Serviço de e-mail temporårio: https://10minutemail.com
- Gerenciador de senhas gratuito e seguro: https://keepass.info/download.html
- Configure alertas para monitorar suas mençþes em artigos encontrados pelo Google: https://www.google.co.uk/alerts
- Contas de e-mail focadas em privacidade: https://protonmail.com
- Software VPN confiĂĄvel: https://protonvpn.com
- Software de mĂĄquina virtual gratuito: https://www.virtualbox.org
- Aplicativos de bate-papo E2EE gratuitos: https://keybase.io | https://signal.org
- Coloque rastreadores em arquivos no seu desktop/laptop ou dispositivos de mĂdia removĂveis: http://canarytokens.org/generate
- Navegador Tor: https://www.torproject.org/download
- Serviço gratuito para encontrar contas com o mesmo nome de usuårio: https://whatsmyname.app
- Serviço pago para analisar dados de violação: https://www.dehashed.com
- Sites de notĂcias de Infosec: https://www.bleepingcomputer.com | https://therecord.media | https://www.bbc.co.uk/news/technology
- Lista de verificação OPSEC: https://digital-defense.io/
- Treinamento gratuito do US DoD OPSEC: https://securityawareness.usalearning.gov/opsec/index.htm
- Saiba mais sobre o ecossistema de dados pessoais multibilionĂĄrio: https://www.documentcloud.org/documents/6983419-Digital-Exhaust-Opt-Out-Guide-for-Law-Enforcement
ComentĂĄrios
Postar um comentĂĄrio