מדריך אבטחת מבצעים שפותח כדי לייעץ לעיתונאים ופעילים פוליטיים כיצד להגן על זהותם מופץ כעת על ידי תומכי טרוריסטים של המדינה האסלאמית. אחת ההמלצות שלה היא להשתמש בשירות iMessage המוצפן בצורה מאובטחת של אפל.
לפי אדִוּוּחַמאת קים זטר עבורחוטי, מדריך OPSEC, שהתגלה על ידי חוקרים באקדמיה הצבאית של ווסט פוינט בפורומים מקוונים שבהם משתמשים תומכי דאעש, מפרט מגוון דרכים שבהן חברים יכולים להימנע מגילוי.
נראה שהמדריך צורף לחלוטין מעבודה שנעשתה על ידי קבוצת ביטחון כווית כדי לייעץ לעיתונאים ופעילים הפועלים בעזה. עם זאת, למרות הפיצה בין תומכי דאעש, נראה כי אפילו החברים המסוכנים ביותר של ארגון הטרור אינם עוקבים אחריו בפועל.
עבד אלחמיד אבאוד, המוח החשוד מאחורי מזימות רצח המוני גם בבלגיה וגם בצרפת, נכשל לעתים קרובות בשימוש בהצפנה בתקשורת הטלפון שלו וגם השאיר אחריו טלפון סלולרי עם תוכן לא מוצפן כולל תמונות וסרטונים שזיהו אותו. אחרים שהיו מעורבים בהתקפות פריז השליכו טלפונים עם GPS פעיל, מה שעזר לרשויות לעקוב אחר היכן הם היו והוביל אותם חזרה לבית הבטוח שלהם.
עצות OPSEC רק טובות כמו המשתמש
אמר אהרון ברנטלי מהמרכז ללוחמה בטרור של ווסט פוינטחוטישמדריך האבטחה היה "בערך טוב ב-OPSEC כפי שאתה יכול להשיג מבלי לקבל הכשרה רשמית על ידי ממשלה", וכי העצה שלו הייתה "בערך מה שאני נותן לפעילי זכויות אדם ולעיתונאים כדי להימנע ממעקב של המדינה במדינות אחרות".
הוא הוסיף, "אם הם עושים את זה נכון, אז הם יכולים להיות די בטוחים. [אבל] יש הבדל בין להגיד למישהו איך לעשות את זה ואז לעשות את זה כמו שצריך".המדריך של OPSEC שיקף במידה רבה את העצה הכללית שניתנה לכל מי שרוצה להימנע מפריצה
העצות במדריך OPSEC שיקפו במידה רבה את העצות הכלליות שניתנו לכל מי שרוצה להימנע מפריצה, בין אם על ידי סוכנויות ממשלתיות, האקרים של תוכנות זדוניות, גנבי זהות, או אפילו רשתות פרסום המבקשות ליצור פרופיל משתמשיהם.
המדריך המליץ על שימוש בסיסמאות חזקות, והזהיר מפני לחיצה על קישורים "חשודים" שעלולים לאפשר לסוכנויות ממשלתיות או האקרים אחרים להפר את האבטחה שלהם. זה גם תיאר כיצד להגדיר רשתות WiFi אד-הוק להפצת תמונות והודעות טקסט ללא צורך בגישה לאינטרנט.
שיקוף הרבה מאותן עצות שניתנו במדריךשֶׁבִּכְתָבמאת Electronic Frontier Foundation, המדריך של OPSEC המליץ שלא להשתמש ברוב הספקים האמריקאים של VPNs, כלי צ'אט מוצפנים ושירותים אחרים, במיוחד בייחוד של אינסטגרם מכיוון שלחברת האם שלה - פייסבוק - יש רקורד גרוע בפרטיות.
באופן דומה היא המליצה שלא להשתמש בוואטסאפ של פייסבוק, אפליקציית צ'אט שעושה שימוש בהצפנה ואשר הוגדרה על ידי פקידי ממשל ארה"ב כמשמשת את דאעש כדי להימנע ממעקב. למרות השימוש בהצפנה,חוטיציין שחברת אבטחה גרמנית דיווחה קודם לכן על בעיות איך היא מיישמת זאת.
קונסולת ה-Playstation של סוני, כלי הצפנה נוסף שצוטט במיוחד על ידי הרשויות כדרך לתקשר עם טרוריסטים, כלל לא נמצאה במדריך OPSEC, קבע חוקר ווסט פוינט ברנטלי.
הדו"ח של ה-EFF קרא במפורש את AIM; BlackBerry Messenger; המסנג'ר והוואטסאפ של פייסבוק; Google Chat ו-Hangouts; הסקייפ של מיקרוסופט; סוֹד; SnapChat ו-Yahoo Messenger לא מצליחים לספק הצפנה מקצה לקצה, תוך שהם מכנים את ה-iMessage ו-FaceTime של אפל "המיטב מבין האפשרויות בשוק ההמונים".
מדריך OPSEC גם עשה חריג בולט מההמלצה הגורפת שלו נגד שימוש במוצרים אמריקאים: iMessage של אפל, שקיבלה אגודל על שימוש בהצפנה באופן שלא סוכנויות ביון ממשלתיות ולא אפל עצמה יכולים לרגל אחריה.
עם זאת, אין ראיות לכך שדאעש אכן משתמש ב-iMessage, שכן המדריך של OPSEC נכתב עבור עיתונאים הפועלים בישראל ובעזה על ידי חוקרים בכווית. דאעש פועלת בשורה של אזורים שבהם לאייפון יש חדירה נמוכה מאוד.
אל-קאעידה מעדיף את אנדרואיד
בשנה שעברה, אדִוּוּחַעל ידי בחברת מודיעיןעתיד מוקלטהראה כי קבוצות אל-קאעידה התמקדו בפיתוח כלי הצפנה משלהן, תוך התמקדות במכשירים ניידים, כאשר "אנדרואיד היא הפלטפורמה המועדפת על הקבוצות הללו".
אנדרואיד היא פלטפורמת הבחירה של אל-קאעידה
הסיבה העיקרית שאל-קאעידה אוהבת את אנדרואיד היא "הזמינות הגדולה והמחיר סביר של טלפונים אנדרואיד, במיוחד במדינות לא מפותחות", ציינה החברה.
בעוד שחוסר האבטחה האגדי של אנדרואיד מייחד את המשתמשים שלה להתקפות תוכנות זדוניות ממוקדות, האופי הלא בטוח של הפלטפורמה מספק גם לאל-קאעידה רשת עצומה של מכשירים לניצול לשימוש בהתקפות מניעת שירות מבוזרות או כדי לטשטש את המקור שלה. תקשורת.
כמו הצפנה, דלתות אחוריות יכולות לשמש גם אנשים טובים ורעים
המדריך של OPSEC שהופרע על ידי חברי דאעש הזהיר שבאופן כללי, התקשורת הן באנדרואיד והן ב-iOS מאובטחת במלואה רק כאשר כל תעבורת הנתונים שלהם מנותבת דרך Tor, שירות אנונימי מבוזר שמטשטש את מקור השידורים. מומלץ במיוחד להשתמש בטלפון אנדרואיד עם הצפנה ניידת של צד שלישי, כגון Cryptophone או Blackphone.
אפל כבר הגיעהתחת אשממשרד המשפטים האמריקאי והבולשת הפדרלית לא תמכו במנגנון "דלת אחורית" שיעניק לממשלות גישה פתוחה לתקשורת למטרות מעקב.
התפרצויות חדשות של פיגועיםממונףעל ידי ה-FBI, סוכנות הביון המרכזית וקבוצות אחרות כדי לדרוש יותר גישה ממשלתית, למרות שהראיות מראות שהטרוריסטים המעורבים בדרך כלל לא השתמשו בהצפנה כדי לתכנן את התקפותיהם. השימוש העיקרי במעקב אחר אזרחים בארה"ב מכוון לשימוש בסמים ואקדחים, ציין דיווח שלהניו יורק טיימס.
מנכ"ל אפל, טים קוק, טען שוב ושוב שהוספת "דלתות אחוריות" כדי לאפשר לסוכנויות ממשלתיות אמריקאיות או אחרות במערב לפקח על משתמשים היא מדיניות בורה וקצרת רואי.
"כדי להגן על אנשים שמשתמשים במוצרים כלשהם, אתה צריך להצפין", קוקסיפראתטֵלֶגרָףבראיון מוקדם יותר החודש. "אתה יכול פשוט להסתכל מסביב ולראות את כל הפרצות הנתונים שמתרחשות... אנחנו מאמינים מאוד בהצפנה מקצה לקצה וללא דלתות אחוריות."
קוק הזהיר שלדרישה מחברות להוסיף דלתות אחוריות עלולה להיות "השלכות קשות", ואמר כי "כל דלת אחורית היא דלת אחורית לכולם"."אם אתה עוצר או מחליש את ההצפנה, האנשים שאתה פוגע בהם הם לא האנשים שרוצים לעשות דברים רעים. אלה האנשים הטובים. האנשים האחרים יודעים לאן ללכת" - טים קוק
הוא הוסיף, "זה לא המקרה שהצפנה היא דבר נדיר שבבעלותם רק שתיים או שלוש חברות עשירות ואתה יכול לווסת אותן בדרך כלשהי.
"הצפנה זמינה באופן נרחב. זה אולי גורם למישהו להרגיש טוב לרגע אבל זה לא באמת מועיל. אם אתה עוצר או מחליש את ההצפנה, האנשים שאתה פוגע בהם הם לא האנשים שרוצים לעשות דברים רעים. אלה האנשים הטובים. שאר האנשים יודעים לאן ללכת".
למרות הזיהוי של iMessage ככלי מאובטח, ה-OPSEC שהושג והופץ על ידי אנשי דאעש מראה שהצהרותיו של קוק נכונות. רוב הטרוריסטים של דאעש כבר משתמשים במכשירי אנדרואיד פתוחים שהם זולים וחד פעמיים, ויכולים לטעון בצד אפליקציות הצפנה תוצרת בית, אם וכאשר הם טורחים להשתמש בהצפנה בכלל.
