Discussioni affidabili online [chiuso]

Naviga le tue risposte
0

Considera questo scenario:

Alice è un tipico squalo aziendale. Vuole andare avanti nella sua organizzazione. Alice ha uno scenario di sicurezza delle informazioni sensibili, ha bisogno di una consulenza specializzata ma non conosce esperti. A causa di qualunque cosa stia consultando, ha bisogno di essere completamente non rintracciabile. Lo stesso vale per il consulente. Non le importa da dove viene il consulente, la Romania o dovunque, solo che è capace e il più lontano possibile da lei per evitare qualsiasi situazione compromettente. Anche a lei non interessa il consulente, solo che c'è una separazione completa tra il consulente e lei. Anche i suoi metodi non la riguardano in alcun modo.

Bob, la sua migliore amica, un po 'tech-minded ma non molto, la consiglia di:

  1. Imposta Tor
  2. Con Tor, registrati per un account di posta elettronica completamente protetto al di fuori degli Stati Uniti.
  3. Con Tor, crea account sui forum di sicurezza (con l'email) e invia richieste di lavoro.
  4. Conduci discussioni + collegandoti all'account e-mail [via TOR].
  5. Potrebbe ottenere gli allegati che potrebbe dover trasferire sul suo computer [via TOR]
  6. Per i pagamenti, utilizza una valuta crittografica ++ .

Mi chiedo come può una o tutte le 3 entità ostili - la sua organizzazione, il suo apparato di sicurezza nazionale e il consulente per la sicurezza - stabilire un legame tra lei e qualsiasi cosa relativa allo scenario. La peggiore delle ipotesi è che il consulente sia sciatto e faccia un gran casino e si faccia rintracciare, nelle fasi iniziali, durante o dopo (un anno dopo forse).

Quali sono i problemi con l'approccio di cui sopra, per quanto riguarda la furtività, la negabilità, l'essere compromessi, ecc.?

Aggiornamento: Inoltre, lei & il suo computer, sono i nodi centrali che conoscono l'intera immagine. Sto pensando, incassare solo 2 laptop portatili, pulirli, utilizzare da hotspot Wi-Fi affollati. Continua a muoverti. Una volta raggiunto l'obiettivo generale, cancella e amplifica; reinstallare (cambia anche la scheda di rete?) & vendere via.

+ Si prega di ignorare i contenuti specifici delle e-mail di Alice. Come @Schroeder ha detto nei commenti qui sotto, probabilmente è troppo per questa domanda. Aprirò una domanda a parte sulla creazione / invio / ricezione / gestione dei dati attraverso canali sicuri correttamente stabiliti. Inoltre, ti prego di informarmi su aspetti tecnici più profondi che dovrei aprire per domande separate. Grazie.

++ Aprirò una domanda separata su offuscare / rimuovere le tracce valutarie digitali. (grazie @Philipp)

Disclaimer: domanda puramente teorica. Comunque sono desideroso di saperne di più sull'argomento. Sì, sono un adulto responsabile e conosco tutti gli aspetti legali, quindi per favore non ascoltarmi sull'etica.

    
posta a20 25.09.2014 - 15:23
fonte

2 risposte

1

  1. Alice dovrebbe assolutamente farlo sul suo PC di casa e non sul suo computer di lavoro. Potrebbe essere compromesso da vari metodi di spionaggio da parte dell'IT aziendale. Inoltre, quando gli amministratori IT aziendali non sono gravemente negligenti, non consentirebbero a un nodo TOR di operare comunque all'interno della propria rete aziendale. Una rete aziendale sufficientemente configurata non consente alle workstation di connettersi a qualsiasi cosa nel mondo esterno tranne tramite il proxy HTTP aziendale. TOR non funziona in queste condizioni.

  2. Molti provider di posta elettronica non consentono registrazioni tramite TOR o altri anonimizzatori per evitare abusi. Ma supponiamo che Alice trovi quello che permette questo.

  3. Per fornire una consulenza adeguata, il consulente avrà bisogno di informazioni accurate su ciò che Alice vuole fare, quale tecnologia usano e quali sono i suoi problemi principali. Alice probabilmente non andrà in giro a inviare i documenti confidenziali del consulente dalla sua società. Poteva cercare di renderli anonimi nel miglior modo possibile, ma quando il consulente è in gamba, potrebbe mettere insieme tutti i suggerimenti e riuscire a indovinare chi potrebbe essere il motivo per cui Alice potrebbe lavorare. Questo potrebbe essere sufficiente per deanonymize lei e razziare.

  4. Alice dovrebbe controllare il suo client di posta elettronica per assicurarsi che sia configurato correttamente e non perde nessuna informazione privata nelle intestazioni della posta.

  5. Gli allegati provenienti da fonti non attendibili possono essere pericolosi. Alice dovrebbe essere ben informato di esaminare attentamente gli allegati e aprirli solo con programmi sufficientemente aggiornati.

  6. Contrariamente a quanto si crede, le criptovalute non sono irrintracciabili. Bitcoin e i suoi molti, molti derivati hanno una blockchain che documenta in modo sicuro la cronologia delle transazioni di ogni singolo portafoglio. Ciò rende possibile tracciare accuratamente quale portafoglio ha spostato quanti soldi a quale altro portafoglio e quando. Quindi tutto ciò che devi fare per deanonymize le transazioni è scoprire quale portafoglio è a chi. L'identità dietro un portafoglio diventa facile da sapere non appena il proprietario tenta di convertire la criptovaluta in valuta reale o viceversa, poiché di solito richiede un trasferimento di denaro convenzionale tra una valuta e il proprio conto bancario privato. Un'altra situazione in cui un portafoglio viene compromesso è quando viene utilizzato per ordinare beni fisici che devono essere consegnati a un indirizzo postale esistente.

risposta data 25.09.2014 - 17:30
fonte
0

Un vero esperto di sicurezza con un senso di professionalità dovrebbe consigliare ad Alice di usare mezzi superiori per raggiungere i suoi obiettivi. Lo scenario di cui sopra potrebbe funzionare, tuttavia sarebbe in grado di basare l'avanzamento di carriera su una bugia che non avrebbe la conoscenza da difendere se fosse necessario. È probabile che Alice possa apprendere ciò di cui ha bisogno con qualche sforzo, è meglio usare i metodi sopra riportati per risolvere i suoi problemi piuttosto che rischiare conseguenze professionali (e forse legali).

    
risposta data 25.09.2014 - 15:46
fonte

Leggi altre domande sui tag

Backup del sistema in caso di attacco? Possiamo nascondere una chiave hash costante utilizzata per la crittografia AES di una password?