Bij operationele security (opsec) denk je al snel aan het leger en manieren om gegevens geheim te houden. Het is dan ook oorspronkelijk een militaire term die werd gebruikt tijdens de Vietnam-oorlog en slaat op het geheimhouden van kritieke informatie om legeroperaties te beveiligen. In de informatiebeveiliging wordt de term ook regelmatig gebezigd om een specifiek deel te benoemen: het beschermen van informatie die je identiteit en locatie prijsgeven.
Deze terminologie hoor je dan ook het meest als het gaat om het identificeren van aanvallers, bijvoorbeeld hackers die geavanceerde methodes uitdokteren om binnen te komen en zich te verhullen, terwijl ze een VPN gebruiken die is gekoppeld aan hun persoonlijke e-mailadres. En dat is niet eens een hypothetisch voorbeeld. Vandaag ter leering ende vermaeck een aantal anekdotes die (een gebrek aan) opsec duidelijk in het vizier brengen.
1. Meesterbrein achter anoniem drugsimperium zoekt programmeerhulp
De identiteit van de uitbater van ondergrondse online drugswinkel Silk Road werd achterhaald door een onderzoeker van de Amerikaanse belastingdienst IRS die een obscuur forumbericht op StackOverflow achterhaalde. De IRS werkte samen met de drugsbestrijdingsdienst DEA om Silk Road aan te pakken en Gary L. Alford werd aangewezen om samen te werken met de dienst om de identiteit van het meesterbrein, die bekend stond onder de naam Dread Pirate Roberts, te achterhalen.
Alford was niet zo technisch, maar liet zich niet afschrikken door een gebrek aan IT-skills. Hij had goed door dat een dergelijke zoektocht niet eens zozeer draait om techniek, maar om administratie en informatie. Hij vond via Google een van de eerste forumberichten over Silk Road
Omdat het zo'n vroeg bericht was, kon de auteur, ene altoid, wel eens betrokken zijn bij de marktplaats.
De belastingdienstonderzoeker besloot alle berichten van dezer alias na te pluizen. Hij vond een thread met verwijderde berichten, maar een verwijzing naar altoid bestond nog omdat een forumgebruiker hem had geciteerd in een reactie. In dat bericht op StackOverflow had 'altoid' programmeerhulp gevraagd en mensen die zijn vragen konden beantwoorden, konden hem e-mailen op een Gmail-account van 'rossulbricht'.
Hij vond toen hij Ross Ulbricht nazocht diverse parallellen met Dread Pirate Roberts, genoeg om een sterke verdenking te hebben dat het om dezelfde persoon ging. Zijn bevindingen werden genegeerd door het onderzoeksteam - die had Ulbricht in een eerder stadium al uitgesloten van verdenking - en het duurde nog drie maanden van spit- en zeurwerk voor Alford de DEA ervan kon overtuigen om nog een serieuze blik te werpen op Ulbricht, zo valt te lezen in deze boeiende reconstructie van The New York Times. Uiteindelijk greep de FBI de juiste persoon en dat was inderdaad Ross Ulbricht.
2. Opgelichte IT'er jaagt op Facebook-vrienden van oplichter
Een voormalig systeembeheerder, Christian Haschek, won in 2012 een prijs voor een anekdote voor SysAdmin Day 2012. Dat verhaal kun je overigens hier lezen.) Daarvoor ontving hij een Apple-cadeaukaart van 500 dollar. De securityspecialist woonde op dat moment in Oostenrijk en zocht een koper voor de cadeaukaart, daar hij hem zelf niet kon gebruiken. Een koper kwam betrouwbaar over, stelde de juiste vragen, had goede feedback op eBay en... liet niets meer van zich horen toen hij de kaartgegevens eenmaal had, zo beschrijft Haschek in deze interessante blogpost.
Hij vond de gebruiker met dezelfde alias op een vacaturesite, waardoor Haschek zijn voornaam en locatie achterhaalde. Ook vond hij een Facebook-bericht dat naar de eBay-naam van de oplichter verwees. De oplichter had zelf zijn Facebook-account afgeschermd, maar de Facebook-vriend niet. Na het doorspitten van vier jaar aan berichten vond Haschek een screenshot van een bureaublad met Leage of Legends-sessie waar ook de Facebook-contacten met volledige naam in te zien waren in een zijbalk.
Gewapend met de informatie van de vacaturesite, kon de IT'er de identiteit van de oplichter achterhalen aan de hand van het screenshot van de contacten van de Facebook-vriend. Haschek vond de hele familie van de oplichter op Facebook. Hij vond foto's van de oplichter die hij bewaarde voor het geval er politie aan te pas moest komen.
Hij stuurde ook een bericht aan familie van de 22-jatrige oplichter waarin hij vertelde alle resources van zijn beveiligingsbedrijf gericht te hebben op het achterhalen van de dief van 500 dollar aan Apple-tegoed. Dat sloeg in als een bom en binnen tien minuten bood de oplichter restitutie aan en smeekte hij Haschek om het bericht op Facebook te verwijderen, voor zijn moeder zou ontdekken wat hij had gedaan.
3. Hacker die Brain Krebs lastigvalt gebruikt keylogger bij eigen verloofde
In 2016 vertelde beveiligingsjournalist Brian Krebs op congres RSAc over de keer dat hij het aan de stok kreeg met een hacker. Die zijn wel vaker niet erg blij met zijn werk waarmee hij elke informatiebeveiliger op de voet volgt, mede omdat hij regelmatig methodes uit de doeken doet, waardoor ze minder effectief worden en aanvallers opspoort om identiteiten te onthullen. Krebs is dan ook het slachtoffer geworden van Swatting, krachtige DDoS-aanvallen, subscription bombing en meer.
Een van deze incidenten had te maken met een aanvaller uit Oekraïne die Krebs in de problemen probeerde te brengen bij de politie. Krebs had het al langer met hem aan de stok op Twitter en nadat Krebs zich toegang verschafte tot een ondergronds forum van de hacker, was de maat voor hem vol en besloot hij Krebs uit te schakelen. Zijn plan was om een gram heroïne te kopen, deze te verzenden naar de journalist en dan een telefoonnummer van een van zijn buren te spoofen om de politie ervan te verwittigen dat de buurt het vermoeden had dat Krebs drugs gebruikte en/of verkocht.
De aanvaller deelde dit plan op zijn forum, waardoor Krebs het alvast kon bespreken met de plaatselijke politie. Die zeiden hem dat hij contact kon opnemen mochten de drugs daadwerkelijk aankomen. Krebs ontving de heroïne inderdaad per post, belde de politie en schreef een blogpost over het incident. ("Als mensen met me willen klooien, haal ik er meestal wel een blogpost uit", vertelde hij destijds op RSA.)
Gegeneerd door de onthullingen nam de aanvaller wraak door een groot rouwboeket op te sturen gericht aan Krebs' vrouw. Om dat dreigement werd de journalist naar eigen zeggen link en hij besloot de crimineel zijn volle aandacht te geven. Hij bracht de accounts van de aanvaller in kaart en ontdekte een oud e-mailaccount dat was gekoppeld aan een gehackt forum. Daar gebruikte de crimineel hetzelfde wachtwoord als het e-mailadres en beveiligers kregen zo toegang tot de account, zo leerde Krebs van een beveiligingsfirma.
Dat oud account was ook het recovery-account van het huidige Gmail-account van de Oekraïense man. Het oude account kreeg regelmatig doorgestuurde Gmailtjes van een keylogger die hij blijkbaar bij zijn toenmalige verloofde had geïnstalleerd. Zo ontdekte Krebs accountinformatie van haar, omdat ze die intypte op haar bespioneerde systeem. Ook noemde ze haar verloofde, later echtgenoot, bij voor- en achternaam. Die informatie deelde de beveiligingsjournalist met de autoriteiten.
De hacker zat in 2014 en 2015 een tijdje in een Italiaanse cel uitlevering aan de VS aan te vechten (hij stuurde Krebs meerdere brieven waarin hij onder meer zijn excuses aanbood, "we zijn een beetje penvrienden geworden", grapte Krebs op RSA) en is in 2017 in de VS veroordeeld tot 41 maanden cel voor onder meer 31.000 gevallen van computervredebreuk.
4. GTA V-modmaker en malwareauteur gebruikt bekende identiteit
Een malafide softwareschrijver maakte een cryptominer die resources steelt om de cryptovaluta Monero te minen. Hij bouwde deze module in bij gamingmods en kondigde ze aan op Russische fora, zo beschrijft beveiligingsbedrijf Minerva in deze blogpost. De mod werd als RAR-bestand aangeboden via de opslagdienst van Yandex, maar mensen die de gamefunctionaliteit van de mod wilden toevoegen, kregen daar ook de cryptominer bij.
De beveiligers trokken de malware na en vonden een uitgebreide beschrijving van de maker op Pastebin, waar blijkt dat de trojan niet per ongeluk is meegeleverd, maar dat dit een bedoelde functionaliteit was. De opsec-faal: deze hacker ontwikkelde aanvankelijk openbaar mods voor games als GTA V om spelers te helpen met richten en besefte later dat hij geld kon verdienen met een miner. Hij gebruikte dezelfde 'anonieme' alias die hij eerder bij z'n ietwat legitiemere activiteiten gebruikte.
De beveiligers konden deze identiteit, die aan allerlei fora en accounts was gekoppeld, traceren. Op het Russische sociale netwerk VKontakte vonden ze iemand die naar deze alias verwees en ene 'Anton [Achternaam]' die de malware zou doorverkopen, terwijl hij niet de auteur was. Deze persoon verdedigde zich tegen deze beschuldiging door toe te geven dat hij de identiteit achter de alias was.
5. Pas op met metadata
Een deelnemer van de groepering IS plaatste een selfie op social media die hem duur kwam te staan. Amerikaanse legereenheden hielden de social media-accounts van diverse IS-militairen in de gaten. Op een van deze accounts verscheen een selfie van een lachende aanhanger die trots naast een controlebasis van de organisatie stond, informatie die geheim moet blijven vanwege voor de hand liggende redenen.
Dat plaatje bevatte metadata en een geotag gaf het Amerikaanse leger een exacte GPS-locatie. Binnen een dag werd de luchtmacht ingezet om bommen te laten vallen op de IS-basis die met de grond gelijk werd gemaakt, zo vertelde een generaal van de luchtmacht later. Cryptograaf en beveiligingsgoeroe Bruce Schneier vroeg zich af of het verhaal wel waar is, maar merkt op dat het zeker mogelijk is.
Net zo gevaarlijk zijn de metadata die door derden worden gepubliceerd. Berucht is het voorbeeld van fitness-app Strava die geaggregeerde gegevens publiceerde in een prachtige heatmap van hardlopers wereldwijd. Als je inzoomde op Afghanistan zag je op een oplichtende locatie waar volgens kanalen als Google Maps helemaal niets is. Maar de Strava-kaart liet zien dat gebruikers aldaar rondjes rennen om een volgens de kaart stukje loze ruimte. Inderdaad, militairen renden daar met een GPS-app rondom hun topgeheime spionagebasis.
Reageer
Preview