OPSEC untuk hackers: karena penjara cuma

buat wuftpdthe.grugq@gmail.com

PEJUANGKEBEBASAN

Ringkasan

• Pengenalan OPSEC

• Metodologi

• Pelajaran dari lulzsec

• Teknik

• Teknologi

• Kesimpulan

Avon: Elo cuma perlu mengacau sekali aja. Entah lambat, entah telat, cukup sekali aja. Gimana supaya gak lambat? Gak telat? Gak bisa direncanain. Ya, itulah hidup.

PengenalanOPSEC

apaan sih?

OPSEC versi sederhana

• Tutup mulut lo!

• Simpan semua rahasia dengan baik

• Terus mencari tahu.

• Jangan sampai membiarkan orang lain memeras lo!

STFUSTFU

[Diam aja, Goblok!!]

[Berhati-hati. Kalem aja.. dan tutup mulut lo. Jadi paranoid!]

Selalu ringkas, buang barbuk jauh-jauh. Jangan gampang ketahuan. Jangan pakai sandi. Gunakan kamuflase.

Metodologi

• persiapkan segala sesuatunya

• bikin pelindung (identitas baru)

• bikin cerita pendukungnya (sejarah, latar belakang, bukti pendukung identitas baru tersebut)

• bikin sub-alias (nickname)

• JANGAN PERNAH TERTUKAR!

The 10 Hack Commandments

PEJUANG KEBEBASAN

• Rule 1: Jangan pernah cerita soal detail operasional

• Rule 2: Jangan pernah bocorin rencana

• Rule 3: Jangan percaya siapapun

• Rule 4: Jangan mencampur “hiburan” and hacking

• Rule 5: Jangan pernah beroperasi di rumah/kantor/warnet/sekolah yang biasa

FREEDOM FIGHTING

• Rule 6: Jadi paranoid yang proaktif, jangan reaktif

• Rule 7: Pisahkan kehidupan pribadi dan hacking

• Rule 8: Jaga lingkungan personal supaya tidak tersusupi

• Rule 9: Jangan mencari perhatian

• Rule 10: Jangan membiarkan orang lain lebih berkuasa dari lo!

FREEDOM FIGHTING

Kenapa lo butuh OPSEC?

Sakit rasanya kalau ditikung!

No one is going to go to jail for you.

Your friends will betray you.

pelajaran dari#lulzsec

Violation

Never trust anyone

ProTip: Don’t use your personal Facebook account to send defacement code to your friendsFREEDOM FIGHTERS

ProTip: Don’t use your real first name as your username

Violation

Don’t contaminate

Violation

Don’t contaminate

Violation

Keep personal life and hacking separateFREEDOM FIGHTING

ProTip: Don’t connect to your target directly from your home IP address

Violation

Never operate from your home

Violation

Never operate from your home

Violation

Don’t reveal operational details

Violation

Don’t reveal operational details

Violation

Be paranoid

Virus (10:30:18 PM): don't start accusing me of [being an informant] - especially after you disappeared and came back offering to pay me for shit - that's fed tacticsVirus (10:30:31 PM): and then your buddy, topiary, who lives in the most random placeVirus (10:30:36 PM): who's docs weren't even publicVirus (10:30:38 PM): gets ownedSabu (10:32:29 PM): offering to pay you for shit?Virus (10:32:55 PM): yeah, you offered me money for "dox"Virus (10:33:39 PM): only informants offer up cash for shit -- you gave yourself up with that one

HAPPY ENDING

Virus is still free

Violation

Never contaminate

Bonus: w0rmer

ProTip: Cover the webcam on your laptop.

Teknik

Persiapan

Ya, emang ngebosenin.

Elo cuma tau itu berhasil kalau situasi

aman terkendali

Yang pertama mesti dilakukan

Menjadi paranoid gak bisa reaktif

Identitas

Spiros: Dia tau nama gue. Tapi nama gue “bukan” nama gue yang sebenarnya. Dan elo... bagi mereka, elo adalah “The Greek”The Greek: Dan, tentu saja, gue bukan “The Greek”

Masalah: Elo adalah elo.

Solusinya: Jadi orang lain.

Identitas

• Bahaya dari identitas adalah kontaminasi

• Kontak antara identitas asli dan palsu, mengacaukan semuanya

• Jaga agar kedua identitas tersebut tidak berhubungan

Pertahanan berlapis

• Solusi teknologi

• Gunakan TOR!

• Punya identitas backup

• Identitas utama

• Identitas kedua (contohnya nickname)

Data profiling

• Informasi tentang lokasi

• Cuaca

• Waktu

• Kejadian politik

• Data profiling

Bahaya

Praktik

Amatir terus praktik supaya lancar dan bisa

Professionals praktik supaya mereka gak salah

Stringer: Lagi ngapain lo?Shamrock: Robert's Rules bilang kita punya “notulen rapat”. Ini notulennya.Stringer: Nigga, apa? elo bikin notulen buat konspirasi kriminal?

Gak ada logs.Gak ada kejahatan.

Tetap anonim

Informasi personal adalah informasi

penting

Panduan Anti-profiling

• Jangan pernah menyertakan informasi personal di nickname/handle

• Jangan pernah bahas informasi personal waktu chatting, atau lagi berada di mana...

Panduan Anti-profiling

• Jangan bahas tentang informasi detail seperti jenis kelamin, tattoo, piercings atau kemampuan fisik lo.

• Jangan bahas profesi, hobi, keterlibatan dalam partai politik atau kelompok aktivis.

Panduan Anti-profiling

• Jangan pakai karakter spesial atau emoticon yang unik

• Jangan nongol di waktu yang tetap (ini bisa mengungkapkan lokasi fisik dan zona waktu)

• Jangan bahas soal lingkungan, cuaca atau aktivitas politik

• Jangan bahas soal cuaca!

Panduan Anti-profiling

• Jangan menggunakan Twitter dan Facebook

• Jangan pernah posting link atau foto online.

• Jangan pernah bilang kalau elo itu anonim.

Hackers are no longer the apex predator

FREEDOM FIGHTERS

That position has been ceded to LEO

*Law Enforcement Officials

*

Teknologi

• Platform operasi

• Terminal/console yang lo pake

• Platform loncatan

• Komputer/server dengan tools

• Bouncers/Proxy servers

• Jangan meninggalkan jejak

Platform operasi

• Terminal modern VT100

• Menyediakan akses

• Idealnya multi-guna

• RaspberryPi, AllWinner miniPC, etc.

+

+ =

Operations Box

Platform loncatan

• Jump box

• Komputer pertama yang diakses, tersedia semua tool

• Jangan pernah nyerang dari sini, ini adalah $HOME

• Buat menyimpan logs, data dan tools

Launch Pad

• Digunakan untuk menyerang

• Mudah dibuang kalau perlu

• Mungkin di China? (susah dilacak balik)

>_

$HOME lp

Bounces/Proxy Servers

VPNs vs. TOR

• VPNs menyediakan privacy

• TOR menyediakan anonymity

• Bingung membedakan keduanya bikin hidup lo sengsara

• TOR connection to a VPN => OK

• VPN connection to TOR => GOTO JAIL

On VPNs

• Only safe currency is Bitcoins

• “Because they come from nothing”

• Purchase only over TOR

• http://torrentfreak.com/which-vpn-providers-really-take-anonymity-seriously-111007/

On Bitcoins

• Bitcoins are anonymous, not private

• They can be traced

• Unique, uncontaminated, wallet per cover

• Use mixers to sanitize BTC

Fail closed

PORTALPersonal Onion Router To Assure Liberty

PORTAL

• Router ensuring all traffic is transparently sent over TOR

• Reduce the ability to make mistakes

• Use mobile uplink

• Mobility (go to a coffee shop)

• Reduce risk of wifi monitoring

PORTAL

• Uses tricks to get additional storage space on /

Hardware

• TP-LINK AR71xx personal routers

• MR-11U

• MR-3040

• MR-3020

• WR-703N

MR-3040 & MR-11U

• Battery powered

• Approx. 4-5 hrs per charge

• USB for 3G modem

http://grugq.github.com/portal

Kesimpulan

TUTUP MULUT LOANAK MUDA!

Kalau lo ngehack, jangan ngomongKalau lo ngomong, jangan nulisKalau lo nulis, jangan tandatanganKalau lo tandatangan, jangan kaget!