Кодекс OPSEC: Искусство цифровой невидимости

[Friend]

• Том 1 - Исчезновение, Акт 101
• Том 2 - Скрытие входящих сообщений
• Том 3 - Запрограммирован на скрытность
• Том 4 - Скрытая бухгалтерская книга ₿
• Том 5 - TBD

Привет мои кардерские приспешники. Если вы следовали моим руководствам, вы знаете все об OSINT - раскапывании грязи на ваших целях.
Ну, теперь мы переворачиваем сценарий:

Добро пожаловать в мир OPSEC - Operational Security.

Это искусство закапывать свои следы так глубоко, что даже самые преданные федералы не смогли бы их найти.
Некоторые из вас думают. "Я использую VPN и режим инкогнито. Я по сути призрак!" Да, и я королева Англии.
Именно такие недалекие мысли - вот почему так много начинающих кардеров меняют свои игровые кресла на тюремные нары!

Что вообще такое OPSEC?

OPSEC — это не просто какой-то причудливый военный жаргон, который мы позаимствовали, чтобы звучать круто. Это разница между долгой прибыльной карьерой и тем, чтобы стать чьей-то тюремной сучкой. По своей сути OPSEC заключается в том, чтобы держать свое дерьмо под замком. Это как играть в оборону с вашими данными; выяснять, что может вас схватить, как это может утечь, и захлопывать эти двери, прежде чем вся ваша операция превратится в дым. Это не просто теория; это практическое дерьмо, которое может уберечь вас от наручников.
Вот основное изложение:

По-моему:

• Выясните, какая информация может вас обмануть.
• Знай, кто пытается тебя поймать
• Найдите свои слабые места
• Подсчитайте, насколько сильно вас могут обмануть.
• Установите свою защиту

Просто, да? Неправильно. Каждый из этих шагов — это отдельная кроличья нора, и мы погрузимся во все из них на протяжении всей этой серии. Но сейчас давайте сосредоточимся на трех ключевых концепциях, которые начнут перепрограммировать ваш мозг для надлежащего OPSEC:

• Думать как враг: нужно залезть в головы федералам. На что бы вы обратили внимание, если бы пытались поймать себя?
• Знание своих угроз: Вы беспокоитесь о местных полицейских или Интерполе? Конкурирующие кардеры или финансируемые государством хакеры? Знание того, кто за вами гонится, помогает вам лучше подготовиться.
• Масштабирование вашей безопасности: ваш OPSEC должен соответствовать вашим преступлениям. Ребенок, скачивающий фильмы, нуждается в другой безопасности, чем тот, кто управляет многомиллионными операциями по кардингу.

Поначалу это может показаться странным, но поверьте мне, наличие надлежащей системы безопасности может стать решающим фактором между успешной операцией и парой блестящих новых браслетов.

Думать как враг (конфронтационное мышление)

Если есть что-то во мне, что раздражает моих друзей и семью, так это моя постоянная «оценка безопасности» каждого места, которое мы посещаем. Возьмем прошлогодний семейный отпуск в ███. Мы регистрируемся в этом прибрежном отеле, все улыбаются и веют тропической атмосферой, и тут я замечаю открытую дверь за стойкой регистрации, предназначенную только для персонала.

«Видишь?» — шепчу я своему кузену. «В правильном наряде любой может проскользнуть туда и получить доступ ко всей системе отеля».
Он закатывает глаза. «Ты не можешь просто наслаждаться отпуском?»

Но я ничего не могу с собой поделать. Это как клещ. В банке я смотрю на слепые зоны камер. В торговом центре я считаю секунды между патрулями службы безопасности. Черт, однажды я провел целый ужин за объяснением того, как кто-то мог взломать систему POS ресторана через их незащищенный Wi-Fi. Второго свидания не было.

Это не просто моя паранойя (может быть, немного, лол). Это образ мышления, который я выработал за годы хакерства и взлома систем. Когда вы проводите достаточно времени, эксплуатируя уязвимости, вы начинаете видеть мир через другую призму. Каждая мера безопасности становится головоломкой, которую нужно решить, каждая система — вызовом, который нужно преодолеть.

В мире безопасности это называется « состязательным мышлением » или « мышлением как враг». Это критически важный навык для хакеров в белой шляпе, пытающихся перехитрить своих коллег в черной шляпе. Но это так же важно (если не больше) для тех из нас, кто находится по ту сторону закона.

Для таких кардеров, как мы, наши противники — не конкурирующие хакеры, а федералы. Чтобы оставаться впереди, нам нужно начать думать как они. Когда вы по уши в игре в кардинг, это не просто какой-то модный навык — это ваш чертов спасательный круг. Речь идет о том, чтобы видеть каждое свое движение глазами тех ублюдков, которые пытаются надеть на вас наручники.

• Как они будут пытаться нас выследить?
• Какие закономерности они ищут?
• Каких ошибок они от нас ожидают?
• Какие цифровые ориентиры вы могли бы оставить после себя?
• Как ваши действия в Интернете могут быть связаны с вашей реальной личностью?

Возьмем создание нового адреса для дропа. Думаешь, это просто выбор пустующего дома? Подумай еще раз, придурок. Состязательное мышление заставляет тебя спрашивать: «Если бы я был федералом, у которого стоит на поимке кардеров, на какие шаблоны я бы дрочил?» Заброшенные объекты? Районы с низкой проходимостью? Тебе нужно смешать это — адреса проживания, службы хранения посылок, может быть, даже того странного соседа, который никогда не задает вопросов. Разрушай шаблон как можно сильнее!

В сети состязательное мышление заключается не только в том, чтобы скрыть свой IP, как какой-то подросток, увлекающийся порно. Это вопрос к себе: «Как кибер-федерал, у которого слишком много времени и база данных, полная IP-адресов, попытается меня надуть?» Такое мышление заставляет тебя менять прокси, как чертов диджей, сопоставляя свой цифровой след с любой личностью, которую ты носишь в этот день. Ты не скрываешься; ты создаешь цифровую личность, такую правдоподобную, но в то же время такую защищенную.

Это дерьмо касается всего, что ты делаешь. Выбор карт для использования? Состязательное мышление заставляет вас думать как мошеннический ИИ банка на стероидах. Как будут выглядеть внезапные покупки? Какие шаблоны кричат «мошенничество» громче, чем Карен в Walmart?
В своих коммуникациях вы не просто следите за тем, что говорите, но и за тем, как вы это говорите. Потому что, знаете что? Некоторые ученые с дипломом лингвиста, вероятно, анализируют ваши словесные шаблоны, пытаясь связать ваши персоны.

Золотое правило — подвергать сомнению все, черт возьми. На каждую меру безопасности, которую вы вставляете, немедленно переключайтесь и пытайтесь ее разрушить.

Речь идет не о паранойе, а о подготовке. Предвидя действия тех, кто пытается нас поймать, мы можем оставаться на несколько шагов впереди. Это как играть в шахматы: лучшие игроки не просто планируют свои собственные ходы, они предугадывают стратегии своего противника.

Так что в следующий раз, когда вы настраиваете новый адрес для сдачи или выбираете прокси, найдите минутку, чтобы надеть свою шляпу. Спросите себя: «Если бы я пытался поймать себя, куда бы я посмотрел в первую очередь?»
В ту секунду, когда ты перестаешь думать как враг, ты становишься его сукой.

Знание своих угроз (моделирование угроз)

Модель угроз Бэтмена для сравнения

Давайте отбросим чушь и поговорим о моделировании угроз так, как это действительно важно для нас, кардеров. Забудьте на секунду о глобальных облавах в голливудском стиле. Мы говорим о реальном дерьме, которое может превратить вашу операцию в пепел.

Мечта одинокого волка
В идеальном мире вы бы работали в одиночку, без завязок и слабых звеньев. Но если вы не вундеркинд кардинга, вам, вероятно, в какой-то момент придется играть с другими. И вот тут-то и начинается веселье.

1. Бл*дство в ближнем кругу
   Ваши самые близкие сотрудники — ваша самая большая обуза. Поставщики, покупатели, партнеры; эти ублюдки знают достаточно, чтобы потопить вас, если они перевернутся. Здесь все дело в разделении. Никто не должен знать больше, чем ему абсолютно необходимо, и точка!
2. Вторичные игроки
   Один шаг назад, у вас есть ваши посредники, администраторы форума и другие периферийные игроки. Они могут не знать вашего настоящего имени, но они все еще могут связать некоторые точки.
3. Оперативный яблочко
   Вот где резина встречается с дорогой; каждая карта, которую вы проводите, каждая капля, которую вы ударяете. Это минное поле распознавания образов.
4. Цифровые хлебные крошки
   Все, что вы делаете в сети, оставляет постоянный след. Прокси, VPN, сообщения на форумах, даже то, как вы печатаете; все это часть вашего цифрового отпечатка. Подумайте об Интернете как о месте преступления, и вы всегда оставляете улики.
5. Реальный мир перетекает
   Где ваши цифровые махинации начинают просачиваться в реальную жизнь. Внезапно жить на широкую ногу? Подозрительные посылки накапливаются? Конец. Вы влипли.

Динамическое моделирование угроз

Ваша модель угроз — это не какая-то фиксированная чушь; она меняется с каждым вашим шагом. Сегодня вы работаете в одиночку, а завтра объединяетесь? Поздравляем, вы только что увеличили свои факторы риска. Сократили масштаб своей деятельности, но попали в список наблюдения федералов? Добро пожаловать на совершенно новый уровень наблюдения за своим плечом.

Моделирование угроз в этой игре заключается в том, чтобы постоянно держать руку на пульсе своей деятельности. Это понимание того, как каждая новая связь, каждое изменение в вашей настройке изменяет то, насколько вы близки к тому, чтобы вас поймали. Сегодня вы в трех градусах от любой опасности, а завтра вы общаетесь с кем-то, кто находится под активным расследованием. Ваша модель угроз должна меняться так же быстро, как и ваши обстоятельства. Речь идет о том, чтобы знать, когда надежный партнер становится обузой или когда, казалось бы, невинное изменение в вашей рутине может стать нитью, которая распутает все

Масштабирование вашей безопасности (оценка рисков)

Я знаю, о чем вы думаете. Все это дерьмо OPSEC звучит как работа на полную ставку, и вы не пытаетесь стать следующим Эдвардом Сноуденом или стать полным Унабомбером в хижине в лесу. Достаточно справедливо. Вот где вступает в действие оценка риска; искусство не использовать кувалду, чтобы убить муху.

Давайте будем реалистами: не каждому кардеру нужно запускать Tails OS с USB-флешки, которую он держит в своей заднице. Иногда такой уровень паранойи не просто излишен, он контрпродуктивен. Это как надеть полный защитный костюм, чтобы не простудиться; это может сработать, но это определенно выглядит глупо.

Оценка риска заключается в поиске той золотой середины, где ваши меры безопасности соответствуют уровню тепла, которое вы, вероятно, привлечете. Это сочетание состязательного мышления и моделирования угроз, помогающее вам понять, какая защита вам действительно нужна.

Вот в чем дело:

1. Оцените свою деятельность
   Вы занимаетесь мелким кардингом аккаунтов Netflix или вы по уши в многомиллионной схеме? Чем больше ваша деятельность, тем больше внимания вы, вероятно, привлечете. Ребенку, покупающему игровые скины с помощью украденных карт, не нужен такой же уровень защиты, как тому, кто управляет торговой площадкой даркнета.
2. Рассмотрите возможность использования карты местоположения
   В США? У вас больше поводов для беспокойства из-за агентств с тремя буквами, чем у человека, работающего в стране, где полиция все еще не научилась пользоваться электронной почтой.
3. Оцените свои инструменты
   Иногда больше не значит лучше. Возьмите комбинацию VPN + Tor. Звучит чертовски безопасно, не так ли? В некоторых случаях это может сделать вас более идентифицируемым. VPN может стать единой точкой отказа, и теперь вы доверяете двум сервисам вместо одного. Иногда Tor — это ваш лучший выбор.
4. Думайте об эффективности
   Меры безопасности часто обходятся ценой удобства. Использование высокозащищенной установки для мероприятий с низким уровнем риска похоже на вождение танка в продуктовый магазин. Конечно, вы защищены, но удачи вам с парковкой этой штуки.

Вот несколько практических примеров:

• Если вы только начинаете, возможно, вам не нужен специальный ноутбук для кардинга. Достаточно будет хорошего VPN и здравого смысла. Но если вы перемещаете серьезные объемы, то отдельная машина с защищенной ОС — это не паранойя, а необходимость.
• Используете криптовалюту? Для небольшой прибыли, которую вы получили от подарочных карт на 5$, базовых мер предосторожности может быть достаточно. Но если вы перемещаете большие суммы, вам лучше переворачивать эти монеты и использовать новые адреса для каждой транзакции.
• Коммуникация — еще одна ключевая область. Для неформальных бесед с контактами низкого уровня Telegram может подойти. Но для важных операций вам, возможно, придется перейти на электронные письма с шифрованием PGP или чаты OTR.

Суть в том, что ваша безопасность должна масштабироваться в соответствии с вашим риском. Речь идет о том, чтобы быть умным, а не просто параноидальным. Избыточное убийство может быть столь же опасным, как и недостаточное убийство. Если вы настолько замедлены в мерах безопасности, что не можете действовать эффективно, то вы делаете это неправильно.
Всегда помните: идеальной безопасности не существует.

Цель состоит в том, чтобы сделать себя достаточно сложной целью, чтобы не стоило усилий преследовать вас, либо снизив риск, либо повысив безопасность.
По мере того, как мы будем углубляться в конкретные меры OPSEC в будущих томах, всегда помните об этом принципе масштабирования. Спросите себя: «Подходит ли эта мера безопасности для моего текущего уровня риска?» Если ответ «нет», вы либо рисуете себе на спине большую цель, либо тратите ресурсы, которые можно было бы использовать с большей пользой в другом месте.

Завершение первого тома

Хорошо, давайте завершим эту статью. Мы рассмотрели три мозголомных концепции, которые начнут перестраивать ваши нейроны для надлежащего OPSEC. Но не будьте самонадеянны. Это всего лишь закуска в пятиблюдовом обеде, приготовленном вашим покорным слугой, поскольку мы едва коснулись поверхности кроличьей норы OPSEC.

В следующем томе мы углубимся в более конкретные и технические детали безопасности электронной почты. Вы больше никогда не будете смотреть на свой почтовый ящик прежним образом.