OPSEC para analistas de seguridad

The Data Cult x@thedatacult.com

Acerca de esta presentación “Opsec (Operational security) identifica información crítica para determinar si nuestras acciones pueden ser observadas por sistemas de inteligencia adversarios” •  No sólo hablaremos de identificar – también de cómo aplicar

las mejores prácticas. •  ¿Cómo se aplica a la industria de la seguridad? •  No trataremos contra-inteligencia.

Grandes fallos de Opsec

Regla de oro: El silencio como disciplina defensiva.

Ayudar e Impresionar están en la naturaleza humana.

La regla es simple de entender Pero difícil de implementar.

Nos gusta impresionar.

Regla de oro2: OPSEC no funciona retrospectivamente.

No tengo enemigos! Poniendo las cosas en contexto:

_Trabajamos en temas delicados _Encontramos cosas extrañas _El entorno tiene una regulación laxa _Hipocresía y líneas rojas _Sensación de invulnerabilidad

No se trata de cuestionar la ética de la industria.

Sin embargo ¿Es tu trabajo interesante para alguien más? ¿Podría percibirse como peligroso para los intereses de un tercero? ¿Son todas nuestras acciones como analistas, impecables? Puede que seamos el eslabón más débil al colaborar con fuerzas del orden en lo referente a Opsec.

Bajo los focos Estamos en un grupo de interés Objetivo: no ser un individuo de interés!

Mantener silencio, pero no total. Si se produce una escalada en la vigilancia: Game Over.

Adversarios En general:

_Cibercriminales comunes _”Cibercriminales” no comunes _Agencias _El futuro (o vigilancia masiva) Importante: adoptar el nivel de

OPSEC que se pueda cumplir

De lo contrario puede ser peor que no aplicar OPSEC en absoluto.

MEET OUR ADVERSARIES

Adversarios

Grupos poco organizados, con pocos recursos. El riesgo es bajo, pero depende del entorno. Opsec básica puede dejarlos fuera.

Cibercriminales comunes

Grupos poco organizados, con pocos recursos. El riesgo es bajo, pero depende del entorno. Opsec básica puede dejarlos fuera.

Cibercriminales comunes

Grupos poco organizados, con pocos recursos. El riesgo es bajo, pero depende del entorno. Opsec básica puede dejarlos fuera.

Cibercriminales comunes

“Cibercriminales” no comunes Digamos que el cibercrimen no es su objetivo principal. Organizados, peligrosos, con recursos. No suelen ser el objeto de una investigación, sino colateral. ¿Qué ocurre si nuestra Opsec no es buena?

Agencias Tienen todos los recursos. Aproximación primaria no técnica, solemos olvidar que existe. Aproximación típica: Reclutamiento.

Vigilancia masiva – agencias? No únicamente Datos y metadatos a niveles astronómicos. Lo que hoy parece seguro, puede no serlo en el futuro. Las compañías también están recolectando estos datos. En caso de filtraciones - festín.

Vigilancia masiva – agencias? No únicamente Datos y metadatos a niveles astronómicos. Lo que hoy parece seguro, puede no serlo en el futuro. Las compañías también están recolectando estos datos. En caso de filtraciones - festín.

Vigilancia masiva – agencias? No únicamente Datos y metadatos a niveles astronómicos. Lo que hoy parece seguro, puede no serlo en el futuro. Las compañías también están recolectando estos datos. En caso de filtraciones - festín.

Importante: Evitar ser una anomalía!

Recordad: Sed meticulosos!

IMPLEMENTACIÓN

Proceso de implementación: aproximación Análisis de situación

Entender tu situación Posibles adversarios Entorno Datos valiosos Metadatos Analizar amenazas y vulnerabilidades Análisis de riesgos

Decidir qué medidas de OPSEC implementar

Proceso de implementación: aproximación Análisis de situación

Entender tu situación Posibles adversarios Entorno Datos valiosos Metadatos Analizar amenazas y vulnerabilidades Análisis de riesgos

Decidir qué medidas de OPSEC implementar

“Existen distintas perspectivas de riesgo que se pueden usar para diseñar un modelo de amenaza: centrado en el adversario, en los activos, o en el software. … La razón por la que una startup pequeña y ágil puede implementar medidas elegantes de Opsec es la misma por la que adoptar los procidimientos de Opsec centrado en operaciones es efectivo.”

Implementación en grupos Como siempre en seguridad, tan fuerte como el eslabón más débil. Externamente:

en quién confiar, cómo comunicarnos cadena de comando, protocolos para distintos eventos à Creación de un responaible de Opsec?

Internamente:

compartimentalizar entrenamiento y avergonzar etiquetar la sensibilidad de la info

ProTip: ser cuidadosos con el lenguaje, también internamente

Implementación en grupos Como siempre en seguridad, tan fuerte como el eslabón más débil. Externamente:

en quién confiar, cómo comunicarnos cadena de comando, protocolos para distintos eventos à Creación de un responaible de Opsec?

Internamente:

compartimentalizar entrenamiento y avergonzar etiquetar la sensibilidad de la info

ProTip: ser cuidadosos con el lenguaje, también internamente

Identidades digitales Es una recomendación habitual de Opsec. Necesario a veces, pero muy difícil de hacer correctamente. Un error significará una ventaja para un adversario. Consejo: Evitarlas si es posible. Pero si no,

Regla de oro: Evitar contaminación entre identidades

Tools – quick review

HERRAMIENTAS BÁSICAS

Herramientas mínimas Cifrado Correo electrónico Mensajería instantánea Telefonía Internet Habilidades en el “mundo real”

Cifrado Problemas inherentes – una vez roto, todos los datos pasados están comprometidos. Esta posibilidad aumenta con el tiempo. No obstante la recomendación es cifar todo. Una partición creíble anti-coerción es buena idea.

Cifrado Problemas inherentes – una vez roto, todos los datos pasados están comprometidos. Esta posibilidad aumenta con el tiempo. No obstante la recomendación es cifar todo. Una partición creíble anti-coerción es buena idea.

Cifrado Problemas inherentes – una vez roto, todos los datos pasados están comprometidos. Esta posibilidad aumenta con el tiempo. No obstante la recomendación es cifar todo. Una partición creíble anti-coerción es buena idea.

Cifrado Problemas inherentes – una vez roto, todos los datos pasados están comprometidos. Esta posibilidad aumenta con el tiempo. No obstante la recomendación es cifar todo. Una partición creíble anti-coerción es buena idea.

Correo electrónico Mejor evitarlo: problemas con metadatos y con nuestros interlocutores. Problemas con proveedores externos: ProtonMail, LavaMail, Gmail PGP. Para PGP, usar una clave de mínimo 2048. Mensajería con OTP es una opción mucho mejor.

Mensajería instantánea Adium y Pidgin: el cifrado está bien. Tiene algunos problemas como almacenar logs. Cryptocat: joven, algunos pequeños problemas como que cualquiera puede unirse a una sesión si conoce el nombre. Metadata, correlación y ataques no técnicos!

Mensajería instantánea Adium y Pidgin: el cifrado está bien. Tiene algunos problemas como almacenar logs. Cryptocat: joven, algunos pequeños problemas como que cualquiera puede unirse a una sesión si conoce el nombre. Metadata, correlación y ataques no técnicos!

TOR Correlación máxima. Nodos de salidaà Para operaciones críticas, estamos proporcionando logs gratis! No obstante, puede ser suficiente para evitar la mayoría de adversarios.

TOR Correlación máxima. Nodos de salidaà Para operaciones críticas, estamos proporcionando logs gratis! No obstante, puede ser suficiente para evitar la mayoría de adversarios.

Telefonía Mejor no usarlo – pero es una batalla perdida. Teléfonos desechables, cambiarlos a menudo, no tener nada importante en ellos. Ser coherente entre el contendio del teléfono y el del ordenador.

Telefonía Mejor no usarlo – pero es una batalla perdida. Teléfonos desechables, cambiarlos a menudo, no tener nada importante en ellos. Ser coherente entre lo que hay en el teléfono y en el ordenador.

Mundo real No intentar impresionar al a gente – no dejarse impresionar por extraños. ¿Cómo reaccionar ante un requerimiento de fuerzas del orden? Tener un portátil y un teléfono para viajar, y monedas en el bolsillo!

EN RESUMEN

Conclusiones Opsec es difícil – las buenas noticias es que no es necesario hacerlo a nivel de espía. Empecemos siendo conscientes y aplicándolo poco a poco. Más importante que las herramientas – ser meticulosos. La Opsec buena es la que podemos aplicar.

Referencias (fallos en Opsec) - http://en.wikipedia.org/wiki/Abu_Omar_case - http://nakedsecurity.sophos.com/es/2013/12/20/use-of-tor-pointed-fbi-to-harvard-university-bomb-hoax-suspect/ - http://en.wikipedia.org/wiki/Hector_Xavier_Monsegur - http://rt.com/usa/jeremy-hammond-sentence-nyc-785/ - http://www.theguardian.com/technology/2013/oct/03/five-stupid-things-dread-pirate-roberts-did-to-get-arrested

The Data Cult

www.thedatacult.com x@thedatacult.com