OPSECAmanece que no es poco

David Barroso@lostinsecurity

OPSECEl proceso para evitar que potenciales adversarios obtengan información sobre capacidades o intenciones al identificar, controlar y proteger información que da esa evidencia.

¿Cómo me afecta?Investigamos en temas interesantesCreamos exploitsCuidamos de la seguridad de empresas y gobiernosColaboramos con FyCSEPeriodistasTerreno ‘no amigo’Privacidad. ¡Son mis asuntos!

Threat modelingQué queremos proteger (assets)Contra quién queremos protegerlo (adversary)Qué probabilidades hay de que tengamos que protegerloCómo de malas son las consecuencias si fallamosCuánto esfuerzo quiero dedicar para protegerlo

¿Quién es mi adversario?

USAOtra nación Criminales organizadosLone-wolfsEmpleadosCuriosos

Datos: Tenemos hora y lugar Buscamos móviles en 2-3 manzanas en

+- 2 horas 18 personas con 30 móviles

Fuente: Matthew Cole – OPSEC Failures for Spies

Fuente: Matthew Cole – OPSEC Failures for Spies

Fuente: Matthew Cole – OPSEC Failures for Spies

CIA - LíbanoBeirut: 2 dobles agentes de Hezbollah fingen trabajar para la CIABeirut Pizza HutTeléfonos que sólo llaman a ciertos teléfonos y que no son ‘móviles’

SilkroadRoss Ulbricht aka ‘Dread Pirate Roberts’Usaba su gmail personal en varios foros, con el nombre ‘Altoid’Publicó ofertas de trabajo para hacer silkroad y anunció silkroad420.wordpress.comPublicó en StackOverflow código PHP que usaba con su nombre real, que luego cambió a frosty@frosty.com. Una clave SSH en SilkRoad usaba frosty@frosty.comSu cuenta de Google+ tenía material relacionado

Sabu (Lulzsec)Usaba IRC siempre para comunicarse, y siempre con TOR. Pero una vez se conectó sin TOR.Usaba tarjetas robadas para comprar piezas de coches y las mandaba a su casa.Lulzsec: usaban sus nombre reales, se conectaban desde sus casas, compartian información etc.

Duqu y The Equation Group

OPSEC frustates the adversary

https://www.youtube.com/watch?v=sWu_yIA3nxA

Las reglas de OPSEC por The Grugq

No reveles detalles de una operaciónNo reveles planesNo confíes en nadieSepara negocios de placerNo la caguesSé paranoicoSTFU – CállateNecesidad de saberNunca dejes que alguien te pueda extorsionar

Más ReglasCOMPARTIMENTALIZACIÓNEscóndete en la red: Hidden services, Tor, etc.Cifra todo. Air gapNo te fíes de soluciones de cifrado comercialesMejor cifrado público (TLS vs Bitlocker) . Ejemplo: LUKS, Veracrypt

RecomendacionesQubes 3.0 (01/10/2015)

Correo electrónicoNo uses correo electrónicoCuidado con los metadatosE2E encryption: hay que matar a PGP si es posible, sino, usar 4096 bitsAlternativa: opmsg+mutt (PFS - https://github.com/stealth/opmsg)Cuentas de usar y tirarViejo truco de los borradores

MensajeríaNo uses mensajería instáneaSíncrona: OTR – cuidado con libpurpleAsíncrona y anónima: Pond https://pond.imperialviolet.orgMóvil: Signal / TextSecure. Incluso Threema.

ComunicacionesPrivacidad != AnonimatoVPN + Tor (ojo con los nodos de salida)

Portal https://github.com/grugq/portal (OpenWRT + Tor)ICMP / DNS Tunneling

PGP / GnuPG

ViajesOrdenador y teléfono de viajeMínima información necesaria + cifradoLínea local (burner SIM)Siempre contigo (EvilMaid, ThunderStrike, etc.)Dispositivos idealmente ‘disposables’

Redes socialesDirección de correo únicaNombre únicoNo usar las mismas fotografías o imagenesCuidado con las ‘pestañas’ en los pantallazos, o el código hexadecimalBorrar historial (modo incógnito en Chrome y cerrar tabs)STFUContraseñas robustas, cuidado con el 2nd factorCOMPARTIMENTALIZACION

The most OPSEC manhttps://www.youtube.com/watch?v=przQ1ih5FGg

Más informaciónLinux Workstation Security checklist https://github.com/lfit/itpol/blob/master/linux-workstation-security.mdOSX Yosemite Security and Privacy Guide https://github.com/drduh/OS-X-Yosemite-Security-and-Privacy-GuidePrivacy & Security Conscious Browsing https://gist.github.com/atcuno/3425484ac5cce5298932OPSEC for hackers http://es.slideshare.net/grugq/opsec-for-hackers

Más informaciónMasquerade: How a helpful man-in-the-middle can help you evade monitoring http://www.portalmasq.com/COMSEC: Beyond encryption https://grugq.github.io/presentations/COMSEC%20beyond%20encryption.pdfHacker OPSEC http://grugq.github.io/OPSEC for security researchers https://securelist.com/blog/research/66911/opsec-for-security-researchers/Social Media Self – Defense http://blog.totallynotmalware.net/?p=15

¿Preguntas?“Never write if you can speak, never speak if you can nod, never nod if you can blink”

Martin Lomasney (1859-1933)

David Barroso@lostinsecurity