O que é OPSEC e por que você precisa?
Manter suas comunicações seguras é um dos desafios mais difíceis. Não importa se você está falando de segredos comerciais, se comunicando com seu advogado ou trocando informações particulares, é incrivelmente importante manter as informações confidenciais em sigilo..
A criptografia é apontada como a melhor solução para todos os nossos problemas de privacidade – mantendo todos os espiões indesejados à distância com uma matemática poderosa e imbatível. Mas você também precisa de uma boa Segurança de Operações (OPSEC), para proteger holisticamente suas comunicações e a si mesmo de cair nas mãos erradas.
A criptografia é necessária para comunicações privadas
Com técnicas de criptografia publicamente auditadas e implementadas profissionalmente, você não precisa mais confiar nas empresas ou nos tribunais para proteger suas informações pessoais – elas estão apenas nas suas mãos.
OPSEC garante segurança
Infelizmente, a criptografia não é uma opção mágica, você pode simplesmente ativar para se proteger.
Ter um bom OPSEC significa pensar em quem você está tentando proteger suas informações, com quem você se comunica e quais recursos seus adversários podem ter. Se você está tentando se proteger do crime organizado ou dos países, por exemplo, precisa de um OPSEC muito diferente do que se estivesse se protegendo de um perseguidor..
É importante avaliar como sua configuração de segurança pode ser comprometida e avaliar se vale a pena correr ou evitar riscos.
Um gerenciador de senhas permite senhas complexas e seguras, mas o bom OPSEC exige que você não se sente embaixo de uma câmera de segurança ao usar uma.
o processo de OPSEC, conforme descrito pelas forças armadas dos EUA, inclui cinco etapas. O ExpressVPN aplicou as cinco etapas de segurança às comunicações que todos temos, provavelmente todos os dias: bate-papo digital.
1. Identificação de informações críticas
O que você está tentando esconder? No contexto de uma conversa digital, são principalmente o conteúdo e os metadados que o exporão. O conteúdo é a própria conversa, enquanto os metadados descrevem as informações relacionadas a essas informações. Os metadados incluem com quem você conversa, quando, a duração e a frequência das conversas.
É fácil ocultar o conteúdo de uma mensagem, mas ocultar os metadados permanece difícil. Aplicativos como o Signal prometem não manter metadados, mas, com certeza, talvez você precise executar seu próprio servidor OTR (não uma tarefa trivial e sobrecarregada com riscos únicos)..
2. Análise de ameaças
Isso inclui de quem você está tentando ocultar informações. Se você está apenas ocultando informações do seu perseguidor ou vizinho, os riscos e vulnerabilidades avaliados são muito diferentes do que se você estivesse enfrentando um poderoso Estado-nação. Pense em ameaças imaginando quem você definitivamente não quer estar de posse de seus dados. Talvez seja um rival do trabalho ou um funcionário do governo corrupto.
3. Análise de vulnerabilidades
A etapa três é de longe a parte mais difícil da conscientização da OPSEC, pois suas vulnerabilidades são potencialmente infinitas. Você precisa confiar no seu dispositivo, sistema operacional, aplicativos e em qualquer programa que tenha instalado. Backdoors podem permitir que as agências de inteligência acessem seus dados e a programação desleixada pode vazar informações sem o seu conhecimento.
Vulnerabilidades também podem existir ao longo da cadeia de comunicação ou com seu parceiro de bate-papo. É difícil avaliar, pois você pode não saber quais sistemas estão rodando entre você e eles.
Seu parceiro de bate-papo pode não ter os mesmos incentivos para manter as informações em sigilo. Talvez eles estejam em um país onde as autoridades são menos repressivas. Ou talvez eles não se importem tanto com a privacidade quanto você.
É importante incluir o OPSEC das pessoas com quem você está se comunicando em seu próprio modelo OPSEC, mesmo que seja difícil e inclua incerteza. Existem várias maneiras de mitigar vulnerabilidades. Você pode, por exemplo, se distanciar do seu parceiro, revelando apenas informações estritamente necessárias sobre si mesmo..
Infelizmente, as fraquezas mais desafiadoras e problemáticas geralmente estão fora do que é possível através da tecnologia. Os invasores podem ameaçá-lo pessoalmente a desistir de senhas ou coagir sutilmente você, talvez com a perspectiva de prisão.
4. Avaliação de risco
É provável que sua lista de vulnerabilidades seja muito longa. Mas nem todas as ameaças são igualmente relevantes. De fato, alguns podem não ser relevantes de todo.
Nesta etapa, combine a etapa 2 com a etapa 3 para verificar as ameaças e avaliar como elas podem explorar suas vulnerabilidades..
Uma ameaça pode incluir um hacker sofisticado ou alguém compartilhando sua casa. Cada um precisa ser tratado de maneira diferente. Por exemplo, uma senha escrita em um pedaço de papel tem um risco muito baixo de ser descoberta por um hacker, mas existe um alto risco de ser encontrada por um colega de quarto bisbilhoteiro.
Retire ameaças desnecessárias da sua lista e marque o restante como risco alto, médio ou baixo.
5. Aplicação de medidas OPSEC apropriadas
Na última etapa, planeje suas ações. Enfrente primeiro as ameaças mais altas e trabalhe em direção aos riscos mais baixos. Alguns serão inevitáveis, mas podem ser minimizados.
OPSEC é um passo significativo para comunicações seguras
Use Criptografia e OPSEC juntos para melhor segurança. Adapte sua resposta para se adequar à situação em questão. As medidas OPSEC podem se concentrar em empregar criptografia mais forte, mas também em evitar a tecnologia completamente.
Deixar o telefone em casa e usar o transporte público para visitar uma caixa postal a algumas dezenas de quilômetros de distância pode, dependendo da análise do OPSEC, ser uma estratégia melhor do que o envio de documentos via email criptografado em PGP pela rede Tor.