Embed Size (px)
Citation preview
OPSECAmanece que no es poco
David Barroso@lostinsecurity
OPSECEl proceso para evitar que potenciales adversarios obtengan información sobre capacidades o intenciones al identificar, controlar y proteger información que da esa evidencia.
¿Cómo me afecta?Investigamos en temas interesantesCreamos exploitsCuidamos de la seguridad de empresas y gobiernosColaboramos con FyCSEPeriodistasTerreno ‘no amigo’Privacidad. ¡Son mis asuntos!
Threat modelingQué queremos proteger (assets)Contra quién queremos protegerlo (adversary)Qué probabilidades hay de que tengamos que protegerloCómo de malas son las consecuencias si fallamosCuánto esfuerzo quiero dedicar para protegerlo
¿Quién es mi adversario?
USAOtra nación Criminales organizadosLone-wolfsEmpleadosCuriosos
Datos: Tenemos hora y lugar Buscamos móviles en 2-3 manzanas en
+- 2 horas 18 personas con 30 móviles
Fuente: Matthew Cole – OPSEC Failures for Spies
Fuente: Matthew Cole – OPSEC Failures for Spies
Fuente: Matthew Cole – OPSEC Failures for Spies
CIA - LíbanoBeirut: 2 dobles agentes de Hezbollah fingen trabajar para la CIABeirut Pizza HutTeléfonos que sólo llaman a ciertos teléfonos y que no son ‘móviles’
SilkroadRoss Ulbricht aka ‘Dread Pirate Roberts’Usaba su gmail personal en varios foros, con el nombre ‘Altoid’Publicó ofertas de trabajo para hacer silkroad y anunció silkroad420.wordpress.comPublicó en StackOverflow código PHP que usaba con su nombre real, que luego cambió a [email protected]. Una clave SSH en SilkRoad usaba [email protected] cuenta de Google+ tenía material relacionado
Sabu (Lulzsec)Usaba IRC siempre para comunicarse, y siempre con TOR. Pero una vez se conectó sin TOR.Usaba tarjetas robadas para comprar piezas de coches y las mandaba a su casa.Lulzsec: usaban sus nombre reales, se conectaban desde sus casas, compartian información etc.
Duqu y The Equation Group
OPSEC frustates the adversary
https://www.youtube.com/watch?v=sWu_yIA3nxA
Las reglas de OPSEC por The Grugq
No reveles detalles de una operaciónNo reveles planesNo confíes en nadieSepara negocios de placerNo la caguesSé paranoicoSTFU – CállateNecesidad de saberNunca dejes que alguien te pueda extorsionar
Más ReglasCOMPARTIMENTALIZACIÓNEscóndete en la red: Hidden services, Tor, etc.Cifra todo. Air gapNo te fíes de soluciones de cifrado comercialesMejor cifrado público (TLS vs Bitlocker) . Ejemplo: LUKS, Veracrypt
RecomendacionesQubes 3.0 (01/10/2015)
Correo electrónicoNo uses correo electrónicoCuidado con los metadatosE2E encryption: hay que matar a PGP si es posible, sino, usar 4096 bitsAlternativa: opmsg+mutt (PFS - https://github.com/stealth/opmsg)Cuentas de usar y tirarViejo truco de los borradores
MensajeríaNo uses mensajería instáneaSíncrona: OTR – cuidado con libpurpleAsíncrona y anónima: Pond https://pond.imperialviolet.orgMóvil: Signal / TextSecure. Incluso Threema.
ComunicacionesPrivacidad != AnonimatoVPN + Tor (ojo con los nodos de salida)
Portal https://github.com/grugq/portal (OpenWRT + Tor)ICMP / DNS Tunneling
PGP / GnuPG
ViajesOrdenador y teléfono de viajeMínima información necesaria + cifradoLínea local (burner SIM)Siempre contigo (EvilMaid, ThunderStrike, etc.)Dispositivos idealmente ‘disposables’
Redes socialesDirección de correo únicaNombre únicoNo usar las mismas fotografías o imagenesCuidado con las ‘pestañas’ en los pantallazos, o el código hexadecimalBorrar historial (modo incógnito en Chrome y cerrar tabs)STFUContraseñas robustas, cuidado con el 2nd factorCOMPARTIMENTALIZACION
The most OPSEC manhttps://www.youtube.com/watch?v=przQ1ih5FGg
Más informaciónLinux Workstation Security checklist https://github.com/lfit/itpol/blob/master/linux-workstation-security.mdOSX Yosemite Security and Privacy Guide https://github.com/drduh/OS-X-Yosemite-Security-and-Privacy-GuidePrivacy & Security Conscious Browsing https://gist.github.com/atcuno/3425484ac5cce5298932OPSEC for hackers http://es.slideshare.net/grugq/opsec-for-hackers
Más informaciónMasquerade: How a helpful man-in-the-middle can help you evade monitoring http://www.portalmasq.com/COMSEC: Beyond encryption https://grugq.github.io/presentations/COMSEC%20beyond%20encryption.pdfHacker OPSEC http://grugq.github.io/OPSEC for security researchers https://securelist.com/blog/research/66911/opsec-for-security-researchers/Social Media Self – Defense http://blog.totallynotmalware.net/?p=15
¿Preguntas?“Never write if you can speak, never speak if you can nod, never nod if you can blink”
Martin Lomasney (1859-1933)
David Barroso@lostinsecurity
