不要出师未捷!挖掘真相的基本安全操作提示和技巧

  • 这里的知识非常重要

对于调查人员来说,最首要且重要的是安全 —— 是你在调查对方,而不能让对方及时发现你的行为而反过来追踪你。

不要小看你的调查对象,他们在坏事,所以他们会处处警惕被发现和被曝光身份。互联网的易于追踪能力给每个人的机会都是一样的,你和你的调查对象,谁能技高一筹,谁就能取得胜利

本文要说的就是这件事。

👉对任何一种安全需求的首要答案都是一样的:回答这个问题 “你的威胁模型是什么?”

首先有必要了解一下 OPSEC(Operations security 行动安全) 一词的起源。 OPSEC 最初代表的是作战安全,是一个源自美国军方的术语。好的 OPSEC 的目标是拒绝可能危害行动秘密和/或行动安全的敌对情报。

这就是为什么说您首先需要的是威胁模型。您正在一场对峙中,您需要对自己、以及对敌方的能力和思考方式有一些基本性的了解

例如,如果您只想通过 Google Earth 查看地理信息,那么您加固机器本身或浏览器就没有意义;但是,如果您打算深入研究包含构建远程访问特洛伊木马程序的人员的网站和论坛,那就将是有道理的且需要的。

👉您可能会发现,根据手边的特定研究来设计一些适合您的威胁模型的方案会很有用。

制作思维导图或流程图并将其用作一种蓝图,可以是个好主意。

您可以让自己回答下面这些问题

  1. 完成这些任务需要什么工具
  2. 我要使用什么来源
  3. 我要使用什么研究机器
  4. 谁是我的对手?

下面我们分别来看一下。

1、完成这些任务需要什么工具

👉当您想到此特定研究问题所需的工具时,请尝试考虑该工具可能带来哪些危害您的行动安全的风险。

一些自动刮板在使用时非常 “大声”,当然也不低调。例如,当您的对手主动扫描某些指纹时,这可能会造成问题。

💡您需要做的是,始终尝试使其看起来尽可能自然,像大多数人一样尝试融入互联网环境 —— 隐身原则101:任何时候不要让自己脱颖而出。

这是您想要工具执行的操作,不应该让它们脱颖而出。但是我也可以想象,有些时候您可能希望它脱颖而出,作为一种 *让对手知道* 的策略:“我们正在积极地注视着你”。

对于那些小偷小摸和初学乍练的水军来说,这种吓唬的方法可能会让他们稍微收敛一下。但如果您对付的是大家伙,这个方法可能不管用。

对于工具,如果可能的话,您还需要查看一下源代码。

👉您需要注意:该工具是否泄漏了有关您机器的敏感信息?它是在与某个您不希望与之通信的地方进行通信并向其报告吗?

选择那些最受信任和经过测试的工具。始终使它们保持最新状态,以防止成为漏洞的受害者

构建一个受信任的工具箱,然后根据从 “无声” 到 “大声” 的程度,从该工具箱中选择工具。

2、我要使用什么来源

来源的选择类似于从工具箱中选择工具。

👉请注意,这里面有一个很大的区别:在线资源可以是工具,但也可以是您的对手活跃的资源。

举例来说,它可以是一个车辆数据库,您选择该数据库,与对手拥有的网站相比,被对手知道的风险较小。

👉当您选择一个来源时,不要立即就奔过去。要三思。考虑这有什么风险,如何做才能保持低调并融入其中?有语言障碍吗?您可能需要更改键盘设置和整体语言设置,以防止脱颖而出。有时区差异吗?您可能需要更改时区设置以匹配您的对手的时区。

但是,您可能只想在那些特定的时候在线,所以在给定时区的情况下上网才有意义。在晚上设置闹钟是确保您的操作安全的简单方法。

👉许多操作安全性错误都是基于偏见造成的。根据您认为自己知道但实际上并不知道的东西所做出的假设。

为了防止这些基于偏见的错误,您可以要求同事、朋友或友好的专家成为您的监督者。合作是很有意义的事。

3、我要使用什么研究机器

选择机器是一个敏感的问题,因为它总是与预算有关。

如果您有无休止的预算并可以为每个研究案例购买干净的新机器和互联网连接,那就太好了,也太简单了。但实际上,很少会这么简单。

👉即使预算很低或为零,仍然需要采取一些好的步骤来加强您的计算机保护、或模糊设备的指纹。

您可以通过调整内置的麦克风和网络摄像头来对机器进行物理加固,甚至可以将其从设备中移除。

但是,您也可以安装其他软件来阻止麦克风和摄像头的使用。

您可以考虑使用代理或vpn来掩盖计算机的ip地址或国家/地区。

出于行动安全的理由,您需要阻止所有形式的跟踪 Cookie。

您要做的第一件事就是立即更新和修补计算机,以防止安全风险。

如果您没有太多预算,则可以使用虚拟机来模拟另一台机器。例如,可以在笔记本电脑上虚拟运行智能手机或平板电脑,或者运行其他操作系统。但是,这完全取决于您的调查目标 —— 一切为目标服务。

例如,当您对 “黑客” 进行研究时,您可能想尝试模仿他们使用的计算机和操作系统。

但是,如果您想在 Snapchat 上进行研究,则可能需要安装虚拟智能手机并制作值得信赖的袜子木偶

4、谁是我的对手?

对于行动安全,了解您的对手是定义对策的关键。

在选择机器、资源和工具之前,您应该专注于了解您的对手。仅当您知道这些细节时,您才能确定可以在研究中使用哪种方法最可靠。

👉例如,与调查几个5毛相比,调查秘密警察部门将需要拥有完全不同的安全操作水平。

当您根据自己的研究问题进行风险评估时,您将了解并确定如果受到威胁,风险将是什么。

指出上述所有内容后,接下来将提供一些提示和工具,以帮助您提高行动安全的水平:

👉OPSEC有两个方面,对手的OPSEC和您的OPSEC。您需要始终牢记两者。

接下来的两点对双方都很重要:

  • 识别将以什么格式(和在哪里)找到有价值的信息
  • 此信息的受保护程度如何?
  • 当受到损害时,对个人/专业的影响是什么?
  • 了解你的对手

👉下一步是寻找OPSEC的弱点。您可以通过在线侦察来做到这一点。

此侦查基于您要回答的研究问题。举例来说,当您尝试对某人进行了解时,您可以寻找:

  • 全名
  • 居住/工作的地方
  • 身份证号
  • 出生日期
  • 电子邮件帐号和密码
  • 所有在线数字足迹
  • 所在团队信息
  • 财务信息
  • 手机/办公电话
  • 社交媒体信息:应用程序/帖子/照片/视频
  • 所有家人/朋友/同事

另一个示例是针对技术性稍强的开源情报调查:

  • IP地址
  • DNS信息
  • 重用代码段(指纹)
  • 妥协指标
  • 使用的已知方法或技术
  • 端口扫描
  • 开放数据库或服务器
  • 在线出售的恶意软件

以上所有都是关键点,可用来探索您或对手的操作安全性方面的弱点。

行动中需要考虑的

接下来,是您在进行开源情报研究时要考虑的一些OPSEC技巧

尽量避免基于相关性而被指纹识别。这可能基于以下情况发生:

  • 浏览器指纹
  • IP指纹
  • 在线时间或时区设置
  • 单词的选择、标点符号习惯……等(语言指纹)
  • 行为(浏览习惯/模式)

请时刻注意

  • 将您的活动按照威胁级别进行调整
  • 以太网连接还是4G/5G?
  • 代理/ VPN / TOR
  • 用户代理
  • 跟踪阻止
  • 使用假账户登陆 Google,Yahoo,Microsoft,Apple 等
  • 如果一个帐户被盗用,与其他帐户相连接吗?会有什么风险?

在每一次行动之前考虑以下问题

  • 必须与您的私人身份没有任何相关性。工作与私人100%分离。
  • 远离您的私人环境
  • 不要使用任何公共Wi-Fi 或办公室以太网
  • 不要使用您的私人设备 —— 也就是这个设备只用于调查

低调和融入

  • 研究如何在特定平台上表现自己,让你的袜子木偶看起来像个真人
  • 你的故事是什么?它需要真实可信
  • 要活动。保持活动让它看起来正常
  • 上网时间是什么?避免被捕捉到时区和生活规律
  • 语言设置。最好不使用母语。如果您对第二三语种不熟练,可以采取与您平时说话时完全不同的语态,这很重要。
  • 时区设置。躲开您的真实时区。
  • 选择语言,slang, l33t 等

您的设备自己就会讲述关于自己的故事,所以,别让它出卖您。根据研究问题,您可以采取措施来模糊设备指纹或加固浏览器。

👉您可能需要使用的一些有用的附加组件或扩展是:

  • HTTPS Everywhere

在某些不加密的地方对您的连接进行加密。防止读取传输中的敏感信息。避免中间人攻击。例如,在从网站到您的计算机的软件包中插入脚本,这可能会窃取您的数据。

  • Privacy Badger

阻挡跟踪。这是常规使用的,就不多做解释了。

  • uBlock Origin

阻止某些跟踪器。防止WebRTC ip 泄漏(通过设置菜单激活)。

  • User-Agent-Switcher

该扩展程序可假冒和模拟用户代理字符串。手机和平板电脑也可以使用。

  • Canvas Defender

帮助防止浏览器指纹。请注意,即使在隐身模式下也可以进行这种类型的跟踪,但在使用Tor浏览器时则无法跟踪。

大多数浏览器对于每个设备都有唯一的指纹,此扩展程序会在您的画布上随机添加噪音,以防止跟踪。

不要错过:《无法匿名的数据指纹 — — 我可以如何避免被识别?

  • ScriptSafe

多数情况下您可能希望使其保持关闭状态,因为阻止 JavaScript 会破坏很多东西。自己管理此扩展,以根据威胁模型维护可用性和安全性。

比如,对手可以将脚本注入到登录页面中,该页面看起来和正常的完全一样,但会将您的登录信息(或私钥)中继到其服务器。ScriptSafe 可以阻止这样的脚本。

ScriptSafe 具有大量的防指纹跟踪功能。

  • Location Guard / Manual Location

HTML5地理位置欺骗,可以使您的设备看起来就像在该地理位置一样。

我们曾经演示过相关用法,见《如何使用位置欺骗扩展追踪约会网站上的目标私密信息?

一些额外的提示

  • 尽可能使用2FA(双因素验证)但不要使用手机短信和电邮验证!
  • 使用复杂密码,将密码存储在密码管理器中,例如 LastPass 或 KeePass。
  • 任何时候不要重复使用密码!

最后

以上是一些基本防护方法和您在投入调查工作之前应该知道的事。希望对您有所帮助。

👉请始终记得,您的对手会很狡猾,每一个做坏事的人都会绞尽脑汁算计这些东西,所以,您必需能让自己技高一筹。⚪️

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据