OPSEC



Segurança Operacional (OPSEC) 101

  • Um repositĂłrio de conselhos e guias para compartilhar com amigos e familiares que estĂŁo preocupados com sua segurança durante atividades online e com a segurança de seus dispositivos.
  • Este repositĂłrio ĂŠ baseado em um blog que escrevi em 2020, mas eu queria uma maneira de atualizar os conselhos, preservando o original.

OPSEC de mĂ­dia social:

É difícil evitar mídias sociais hoje em dia. Embora muitos guias recomendem excluir suas contas e desinstalar seus aplicativos, isso não é prático para usuários não técnicos que tentam viver suas vidas.

  • Defina contas de mĂ­dia social como Twitter, Facebook, Instagram, Threads, TikTok, SnapChat como privadas (e recomendo que sua famĂ­lia faça isso tambĂŠm)
  • Evite usar seu nome real ao criar contas para dificultar que as pessoas o encontrem. É possĂ­vel atĂŠ ter uma conta com apenas um nome
  • Evite usar fotos pessoais identificĂĄveis ​​com seu rosto em suas fotos de perfil e/ou fotos de capa.
  • Deixe tambĂŠm em branco os detalhes da biografia das contas de redes sociais e evite compartilhar informaçþes identificĂĄveis, como a placa do seu carro ou a porta da frente da sua casa com o nĂşmero.
  • Por mais tentador que seja, evite fazer check-in em locais ou marcar o local especĂ­fico das suas fotos em postagens nas redes sociais.
  • Evite aceitar solicitaçþes de amizade ou seguir pessoas aleatĂłrias. Faça com que apenas uma lista de seus familiares, amigos ou colegas reais tenham permissĂŁo para visualizar seu conteĂşdo nas redes sociais.
  • Por fim, converse sobre os riscos das mĂ­dias sociais com seus amigos e familiares e peça para que eles nĂŁo compartilhem fotos suas e evitem que marquem vocĂŞ.
  • Por mais demorado que seja, volte na sua linha do tempo das redes sociais e na linha do tempo dos seus amigos e familiares para ter certeza de que nenhuma imagem ou publicação comprometedora foi compartilhada historicamente.

OPSEC para suas contas:

Os tipos de coisas que a maioria das pessoas tem medo online são se suas mídias sociais, e-mail, compras online ou contas bancårias forem hackeadas. Em muitos casos, esses tipos de riscos de segurança vêm de ataques automatizados por criminosos cibernÊticos. Se as pessoas implementassem higiene cibernÊtica båsica, elas seriam imunes a 99% desses golpes genÊricos, bem como a alguns ataques mais direcionados tambÊm, devido a golpistas pouco qualificados não serem capazes de contornar controles båsicos.

  • Evite reutilizar suas senhas e evite usar as senhas mais comuns! Siga a regra de 'TrĂŞs Palavras AleatĂłrias' e adicione alguns nĂşmeros e caracteres especiais. Essa ĂŠ a orientação oficial do UK NCSC.
  • Use mais de uma conta de e-mail! O ideal ĂŠ que vocĂŞ mantenha um endereço de e-mail para serviços confidenciais de alto valor, como finanças ou assuntos administrativos relacionados a negĂłcios ou governo, e outro mais voltado para a internet para atividades como compras on-line, ingressos, recibos ou mĂ­dia social, e potencialmente atĂŠ mesmo um terceiro e-mail de backup para conversas e outras comunicaçþes confidenciais.
  • Para coisas como paywalls de marketing e outros sites que exigem um e-mail (e vocĂŞ sabe que eles sĂł querem enviar spam), use um serviço de e-mail temporĂĄrio apenas para obter o link que eles enviaram para vocĂŞ.
  • Para o mĂĄximo de contas possĂ­vel, use cĂłdigos de autenticação multifator para proteger o acesso Ă  sua conta. Isso inclui senhas Ăşnicas (OTPs) geradas por um aplicativo mĂłvel autenticador. NĂŁo hĂĄ problema em usar autenticação de dois fatores (2FA) baseada em SMS, mas perceba que isso ĂŠ menos seguro do que o aplicativo mĂłvel MFA, pois as mensagens SMS podem ser falsificadas.
  • Have I been Pwned ĂŠ um serviço MUITO Ăştil para verificar se seu endereço de e-mail apareceu em alguma violação/vazamento de dados. Se seu e-mail aparecer em uma violação, vocĂŞ deve atualizar suas senhas imediatamente. Have I Been Pwned tambĂŠm notificarĂĄ vocĂŞ se seu endereço de e-mail estiver presente em uma nova violação!
  • Os gerenciadores de senhas sĂŁo um dos programas mais Ăşteis para organizar contas em um banco de dados criptografado. Eles sĂł podem ser acessados ​​localmente com uma senha mestra e acesso fĂ­sico ao seu sistema com o software gerenciador de senhas.
  • Sempre faça backup dos seus dados! Proteja-se de drives corrompidos, dispositivos quebrados ou ransomware fazendo backup dos seus arquivos. Isso pode ser feito de vĂĄrias maneiras, como mĂ­dia removĂ­vel (USBs e drives externos) e serviços de nuvem, como Google Drive, OneDrive, iCloud, Dropbox ou Proton Drive.

OPSEC para seus dispositivos:

O objetivo dessas dicas Ê proteger seus dispositivos para que você se torne um alvo mais difícil para os cibercriminosos. As etapas a seguir ajudarão você a evitar ser vítima de 99% das ameaças automatizadas e, para ataques direcionados, quanto mais tempo, esforço, habilidades ou recursos um cibercriminoso levar para comprometê-lo, mais provåvel e råpido serå que ele desista e siga em frente.

  • Mantenha seu sistema atualizado com os patches de segurança mais recentes, aplique-os o mais rĂĄpido possĂ­vel e configure os sistemas para atualizar automaticamente!
  • NĂŁo desative as configuraçþes de segurança padrĂŁo, especialmente o software antivĂ­rus integrado, como o Windows Defender!
  • Verifique as permissĂľes habilitadas dos aplicativos mĂłveis para que vocĂŞ nĂŁo compartilhe involuntariamente seus detalhes de contato, registro de SMS, notificaçþes e outras informaçþes confidenciais com empresas de marketing, adware e malware.
  • Muitos aplicativos desagradĂĄveis ​​vĂŞm de sites de terceiros nĂŁo verificados/nĂŁo moderados. Baixe aplicativos somente de fontes oficiais, como a Google Play Store para Android, a AppStore para Apple ou a Microsoft Store para Windows.
  • Em geral, recomendo evitar completamente sites piratas e usar software crackeado devido Ă  enorme quantidade de malware que pode fazer coisas muito desagradĂĄveis, como roubar as credenciais de suas contas de e-mail e outras que estĂŁo armazenadas em seus navegadores ou iniciar ransomware em seu sistema, alĂŠm de seu IP vazar para o mundo quando vocĂŞ faz torrents!
  • Se vocĂŞ vir algum URL ou site suspeito, vocĂŞ pode usar esses dois serviços - Browserling e URLscan - para visitar o site e verificĂĄ-lo antes de entrar.
  • Se vocĂŞ vir algum arquivo suspeito no seu computador, vocĂŞ pode usar o VirusTotal para escanear o arquivo e verificar se hĂĄ malware ou atĂŠ mesmo adware.

Dicas mais avançadas de OPSEC:

Junto com o acima, aqueles que sĂŁo public-facing personalitiespodem nĂŁo ter o luxo de esconder seus nomes reais do mundo. Para esse grupo de pessoas, eles sĂŁo forçados a melhorar seu jogo OPSEC devido ao aumento do nĂ­vel de ameaça e ao maior nĂşmero de ataques. As recomendaçþes abaixo sĂŁo para tipos de usuĂĄrios que levam sua segurança a sĂŠrio, como pesquisadores ou executivos de segurança.

  • Se vocĂŞ acha que precisa de uma revisĂŁo de segurança adequada, valerĂĄ a pena pedir a um profissional para verificar seu OPSEC usando tĂŠcnicas de inteligĂŞncia de cĂłdigo aberto (OSINT) para auditar sua pegada digital.
  • VocĂŞ pode configurar alertas para verificar se vocĂŞ ĂŠ mencionado em artigos de notĂ­cias on-line. Isso pode ser feito por meio do Alertas do Google.
  • Serviços de e-mail seguros como o ProtonMail podem ser usados ​​para enviar e-mails criptografados para outras pessoas que tambĂŠm tenham contas no ProtonMail.
  • Quaisquer aplicativos, softwares ou serviços devem ser revisados ​​antes do uso, verificando quais dados eles coletam de seus usuĂĄrios em suas polĂ­ticas de privacidade.
  • Antes de interagir com alguĂŠm online, quer vocĂŞ os conheça ou nĂŁo, vocĂŞ deve realizar uma pesquisa simples, como se a conta foi criada recentemente, pois pode ser uma farsa. Procure outras contas relacionadas com credibilidade estabelecida.
  • O software de Rede Privada Virtual (VPN) ĂŠ frequentemente recomendado para uso diĂĄrio ao navegar na web, mas, na realidade, ele sĂł ĂŠ aplicĂĄvel para uso em WiFi pĂşblico para criptografar seu trĂĄfego.
  • Se vocĂŞ precisar visitar um determinado site e nĂŁo quiser revelar seu endereço IP, ĂŠ recomendĂĄvel usar o navegador Tor para ocultar seu endereço IP pĂşblico.
  • Para segregar quaisquer ameaças de chegarem ao seu sistema host, vocĂŞ pode usar uma MĂĄquina Virtual (VM) para executar um sistema operacional (SO) convidado dentro do seu sistema host. Muitos profissionais de infosec gostam de executar VMs Linux em seus hosts Windows.
  • Aplicativos de bate-papo criptografados de ponta a ponta (E2EE) para dispositivos mĂłveis e desktops sĂŁo recomendados para comunicação pessoal, como Signal ou Keybase, que tambĂŠm oferecem suporte ao compartilhamento de arquivos.
  • CanaryTokens tambĂŠm sĂŁo uma ferramenta interessante que pode ser colocada como armadilhas que disparam um alerta se um intruso as acionar. Elas aparecem como arquivos ou pastas normais, mas quando alguĂŠm abre o arquivo, vocĂŞ receberĂĄ um e-mail com a hora, local, tipo de dispositivo e endereço IP de onde ele foi aberto.
  • Se vocĂŞ estiver tentando manter seu nome de usuĂĄrio pseudĂ´nimo de sua identidade do mundo real (RWI), evite reutilizar seu nome de usuĂĄrio/identificador que esteja vinculado a suas outras contas. Realize uma auditoria de conta e faça um inventĂĄrio de quais contas vocĂŞ usa e quais sĂŁo seus detalhes. AdversĂĄrios que visam vocĂŞ pessoalmente podem usar ferramentas OSINT (como Whatsmyname.app) e Breached Data (como DeHashed) para procurĂĄ-lo.
  • Mantenha-se atualizado com as Ăşltimas notĂ­cias de segurança cibernĂŠtica! Siga sites de notĂ­cias de Infosec confiĂĄveis ​​como BleepingComputer, TheRecord by Recorded Future ou BBC News Technology

Recursos

Uma lista de sites e serviços mencionados ao longo do guia acima:

  1. Aplicativo mĂłvel Multi-Factor Authenticator (MFA): https://www.microsoft.com/en-us/account/authenticator
  2. Visite um site a partir do navegador de um computador virtual: https://www.browserling.com
  3. Verifique se qualquer URL ĂŠ malicioso: https://urlscan.io
  4. Verifique qualquer arquivo para ver se ele ĂŠ malicioso: https://www.virustotal.com
  5. Verifique se seu e-mail e/ou senha foram expostos em uma violação de dados: https://haveibeenpwned.com
  6. Serviço de e-mail temporĂĄrio: https://10minutemail.com
  7. Gerenciador de senhas gratuito e seguro: https://keepass.info/download.html
  8. Configure alertas para monitorar suas mençþes em artigos encontrados pelo Google: https://www.google.co.uk/alerts
  9. Contas de e-mail focadas em privacidade: https://protonmail.com
  10. Software VPN confiĂĄvel: https://protonvpn.com
  11. Software de mĂĄquina virtual gratuito: https://www.virtualbox.org
  12. Aplicativos de bate-papo E2EE gratuitos: https://keybase.io | https://signal.org
  13. Coloque rastreadores em arquivos no seu desktop/laptop ou dispositivos de mĂ­dia removĂ­veis: http://canarytokens.org/generate
  14. Navegador Tor: https://www.torproject.org/download
  15. Serviço gratuito para encontrar contas com o mesmo nome de usuĂĄrio: https://whatsmyname.app
  16. Serviço pago para analisar dados de violação: https://www.dehashed.com
  17. Sites de notĂ­cias de Infosec: https://www.bleepingcomputer.com | https://therecord.media | https://www.bbc.co.uk/news/technology
  18. Lista de verificação OPSEC: https://digital-defense.io/
  19. Treinamento gratuito do US DoD OPSEC: https://securityawareness.usalearning.gov/opsec/index.htm
  20. Saiba mais sobre o ecossistema de dados pessoais multibilionĂĄrio: https://www.documentcloud.org/documents/6983419-Digital-Exhaust-Opt-Out-Guide-for-Law-Enforcement


ComentĂĄrios

Ebook

Postagens mais visitadas