Χθες, αρκετοί λογαριασμοί στο Twitter ανακοίνωναν ένα εγχειρίδιο με το όνομα ISIS OPSEC που περιγράφει τις πρακτικές ασφάλειας στον κυβερνοχώρο της τρομοκρατικής ομάδας. Το έγγραφο που διέρρευσε, είναι μεταφρασμένο και περιγράφει διάφορες τεχνικές λεπτομέρειες που συνιστώνται από την ομάδα στα νέα μέλη της.
Ενώ αρχικά σκεφτήκαμε ότι το εγχειρίδιο ISIS OPSEC αποκαλύφθηκε από την πρόσφατη εκστρατεία των Anonymous εναντίον μελών του ISIS, φαίνεται ότι ο στρατός των ΗΠΑ γνωρίζει και έχει μελετήσει το έγγραφο πριν από αρκετό καιρό.
Το Κέντρο για την καταπολέμηση της τρομοκρατίας στη στρατιωτική ακαδημία του West Point έχει το έγγραφο από πέρυσι και όπως αναφέρουν οι ειδικοί, γράφτηκε από την εταιρεία ασφαλείας Kuwaity για να βοηθήσει τους δημοσιογράφους και τους πολιτικούς αντιφρονούντες που ζουν στη λωρίδα της Γάζας.
Το πρωτότυπο έγγραφο OPSEC είναι γραμμένο στα αραβικά (υπάρχει εδώ) και υποτίθεται ότι μπορεί να βοηθήσει αυτούς που το χρησιμοποιούν να αποφύγουν τον εντοπισμό από τις μυστικές υπηρεσίες του Ισραήλ.
Προφανώς, τα μέλη ISIS απέκτησαν το έγγραφο, το παρουσίασαν σαν δικό τους και άρχισαν να το διανέμουν στα νέα μέλη τους.
Το περιεχόμενο του εγχειριδίου περιέχει βασικές συμβουλές ασφάλειας, οι οποίες έχουν στόχο να βοηθήσουν αρχάριους να διατηρούν χαμηλό προφίλ και να αποφύγουν τον εντοπισμό τους από τις μυστικές υπηρεσίες.
Το εγχειρίδιο OPSEC του ISIS αναφέρει λεπτομερώς μια σειρά από υπηρεσίες, συσκευές και εφαρμογές που επιτρέπονται ή απαγορεύονται.
Έτσι τα μέλη του ISIS μπορούν να χρησιμοποιούν:
● Twitter (via HTTPS ή SMS)
● Tor Browser
● Aviator Browser
● Opera Mini Browser
● Photo GPS Editor (iOS app, remove geolocation data from photos)
● Cryptophone (encrypted phones)
● BlackPhone (encrypted phones)
● FireChat (IM client, connectivity issues)
● Tin-Can (connectivity issues)
● The Serval Mesh (connectivity issues)
● Freedome (VPN)
● Avast SecureLine! (VPN)
● TrueCrypt (on-the-fly data/disk encryption)
● VeraCrypt (on-the-fly data/disk encryption)
● BitLocker (Windows built-in, on-the-fly data/disk encryption)
● Hushmail (email provider)
● ProtonMail (email provider)
● Tutanota (email provider)
● Threema (encrypted IM client)
● Telegram (encrypted IM client)
● Surespot (encrypted IM client)
● Wickr (encrypted IM client)
● Cryptocat (encrypted IM client)
● PQChat (encrypted IM client)
● Sicher (encrypted IM client)
● iMessage (encrypted IM client)
● Linphone (encrypted VoIP)
● Swisscom (encrypted VoIP)
● Silent Circle (encrypted VoIP)
● RedPhone (encrypted VoIP)
● Signal (encrypted VoIP)
● Apple FaceTime (encrypted VoIP, audio & video)
● MEGA (cloud storage)
● SpiderOak (cloud storage)
● SugarSync (cloud storage)
● Copy.com (cloud storage)
Στη μαύρη λίστα, το εγχειρίδιο αναφέρει εφαρμογές και υπηρεσίες όπως το Facebook, το Instagram, το WhatsApp, και το Dropbox.
Το εγχειρίδιο συμπληρώνεται από ένα help desk που λειτουργούσε επί 24ώρου βάσεως μέσω του Telegram. Το help desk έκλεισε πριν από λίγες ημέρες.
IS-Encryption-Guide
IS Encryption Guide by AlyssaBereznak