- Pentingnya menjaga kerahasiaan dan menghindari kontaminasi identitas (berhati-hati, tutup mulut, jangan percaya siapa pun) - Menggunakan teknologi seperti TOR dan proxy untuk menjaga anonimitas - Selalu waspada dan berhati-hati dalam beroperasi

1. PEJUANG
OPSEC untuk hackers: KEBEBASAN
karena penjara cuma
buat wuftpd
the.grugq@gmail.com

2. Ringkasan
• Pengenalan OPSEC
• Metodologi
• Pelajaran dari lulzsec
• Teknik
• Teknologi
• Kesimpulan

3. Avon: Elo cuma perlu mengacau sekali aja.
Entah lambat, entah telat, cukup sekali aja.
Gimana supaya gak lambat? Gak telat?
Gak bisa direncanain.Ya, itulah hidup.

4. Pengenalan
OPSEC

5. apaan sih?

6. OPSEC versi sederhana
• Tutup mulut lo!
• Simpan semua rahasia dengan baik
• Terus mencari tahu.
• Jangan sampai membiarkan orang lain
memeras lo!

7. STFU
[Diam aja, Goblok!!]

9. [Berhati-hati. Kalem aja.. dan tutup mulut lo. Jadi paranoid!]

10. Selalu ringkas, buang barbuk jauh-jauh. Jangan gampang ketahuan.
Jangan pakai sandi. Gunakan kamuflase.

11. Metodologi

12. • persiapkan segala sesuatunya
• bikin pelindung (identitas baru)
• bikin cerita pendukungnya (sejarah, latar
belakang, bukti pendukung identitas baru
tersebut)
• bikin sub-alias (nickname)
• JANGAN PERNAH TERTUKAR!

13. PEJUANG
The 10 Hack
KEBEBASAN
Commandments

14. • Rule 1: Jangan pernah cerita soal detail
operasional
• Rule 2: Jangan pernah bocorin rencana
• Rule 3: Jangan percaya siapapun
• Rule 4: Jangan mencampur “hiburan” and
hacking
FREEDOM FIGHTING
• Rule 5: Jangan pernah beroperasi di rumah/
kantor/warnet/sekolah yang biasa

15. • Rule 6: Jadi paranoid yang proaktif, jangan
reaktif
• FREEDOM
Rule 7: Pisahkan kehidupan pribadi dan hacking
FIGHTING
• Rule 8: Jaga lingkungan personal supaya tidak
tersusupi
• Rule 9: Jangan mencari perhatian
• Rule 10: Jangan membiarkan orang lain lebih
berkuasa dari lo!

16. Kenapa lo butuh
OPSEC?

17. Sakit rasanya kalau
ditikung!

18. No one is going to go
to jail for you.

20. Your friends will betray
you.

21. pelajaran dari
#lulzsec

23. Violation
Never trust anyone

24. ProTip: Don’t use your personal Facebook account
to send defacement code to your friends
FREEDOM FIGHTERS

25. ProTip: Don’t use your real first name as your
username

26. Violation
Don’t contaminate

28. Violation
Don’t contaminate

30. Violation
Keep personal life and
FREEDOM
hacking separate
FIGHTING

31. ProTip: Don’t connect to your target directly from your
home IP address

32. Violation
Never operate from
your home

34. Violation
Never operate from
your home

36. Violation
Don’t reveal
operational details

40. Violation
Don’t reveal
operational details

43. Violation
Be paranoid

44. Virus (10:30:18 PM): don't start accusing me of
[being an informant] - especially after you
disappeared and came back offering to pay me for
shit - that's fed tactics
Virus (10:30:31 PM): and then your buddy, topiary,
who lives in the most random place
Virus (10:30:36 PM): who's docs weren't even public
Virus (10:30:38 PM): gets owned
Sabu (10:32:29 PM): offering to pay you for shit?
Virus (10:32:55 PM): yeah, you offered me money for
"dox"
Virus (10:33:39 PM): only informants offer up cash
for shit -- you gave yourself up with that one

45. HAPPY ENDING
Virus is still free

47. Violation
Never contaminate

49. Bonus: w0rmer

53. ProTip: Cover the webcam on your laptop.

54. Teknik

55. Persiapan

56. Ya, emang ngebosenin.

57. Elo cuma tau itu
berhasil kalau situasi
aman terkendali

58. Yang pertama mesti
dilakukan

59. Menjadi paranoid gak
bisa reaktif

60. Identitas

61. Spiros: Dia tau nama gue. Tapi nama gue
“bukan” nama gue yang sebenarnya.
Dan elo... bagi mereka, elo adalah
“The Greek”
The Greek: Dan, tentu saja, gue bukan
“The Greek”

62. Masalah:
Elo adalah elo.

64. Solusinya:
Jadi orang lain.

66. Identitas
• Bahaya dari identitas adalah kontaminasi
• Kontak antara identitas asli dan palsu,
mengacaukan semuanya
• Jaga agar kedua identitas tersebut tidak
berhubungan

67. Pertahanan berlapis

68. • Solusi teknologi
• Gunakan TOR!
• Punya identitas backup
• Identitas utama
• Identitas kedua (contohnya nickname)

69. Data profiling

70. Bahaya
• Informasi tentang lokasi
• Cuaca
• Waktu
• Kejadian politik
• Data profiling

71. Praktik
Amatir terus praktik supaya
lancar dan bisa
Professionals praktik supaya
mereka gak salah

72. Stringer: Lagi ngapain lo?
Shamrock: Robert's Rules bilang kita punya
“notulen rapat”.
Ini notulennya.
Stringer: Nigga, apa? elo bikin notulen buat
konspirasi kriminal?

73. Gak ada logs.
Gak ada kejahatan.

74. Tetap anonim

75. Informasi personal
adalah informasi
penting

76. Panduan Anti-profiling
• Jangan pernah menyertakan informasi
personal di nickname/handle
• Jangan pernah bahas informasi personal
waktu chatting, atau lagi berada di mana...

77. Panduan Anti-profiling
• Jangan bahas tentang informasi detail
seperti jenis kelamin, tattoo, piercings atau
kemampuan fisik lo.
• Jangan bahas profesi, hobi, keterlibatan
dalam partai politik atau kelompok aktivis.

78. Panduan Anti-profiling
• Jangan pakai karakter spesial atau emoticon
yang unik
• Jangan nongol di waktu yang tetap (ini bisa
mengungkapkan lokasi fisik dan zona
waktu)
• Jangan bahas soal lingkungan, cuaca atau
aktivitas politik
• Jangan bahas soal cuaca!

79. Panduan Anti-profiling
• Jangan menggunakan Twitter dan Facebook
• Jangan pernah posting link atau foto
online.
• Jangan pernah bilang kalau elo itu anonim.

81. Hackers are no longer
FREEDOM
FIGHTERS
the apex predator

82. That position has been
ceded to LEO *
*Law Enforcement Officials

83. Teknologi

84. • Platform operasi
• Terminal/console yang lo pake
• Platform loncatan
• Komputer/server dengan tools
• Bouncers/Proxy servers
• Jangan meninggalkan jejak

85. Platform operasi

86. • Terminal modern VT100
• Menyediakan akses
• Idealnya multi-guna
• RaspberryPi, AllWinner miniPC, etc.

87. +
+ =

88. Operations Box

89. Platform loncatan

90. • Jump box
• Komputer pertama yang diakses, tersedia
semua tool
• Jangan pernah nyerang dari sini, ini adalah
$HOME
• Buat menyimpan logs, data dan tools

91. Launch Pad

92. • Digunakan untuk menyerang
• Mudah dibuang kalau perlu
• Mungkin di China? (susah dilacak balik)

93. $HOME lp
>_

94. Bounces/Proxy Servers

95. VPNs vs. TOR
• VPNs menyediakan privacy
• TOR menyediakan anonymity
• Bingung membedakan keduanya bikin hidup
lo sengsara

96. • TOR connection to a VPN => OK
• VPN connection to TOR => GOTO JAIL

97. On VPNs
• Only safe currency is Bitcoins
• “Because they come from nothing”
• Purchase only over TOR
• http://torrentfreak.com/which-vpn-
providers-really-take-anonymity-
seriously-111007/

98. On Bitcoins
• Bitcoins are anonymous, not private
• They can be traced
• Unique, uncontaminated, wallet per cover
• Use mixers to sanitize BTC

100. Fail closed

101. PORTAL
Personal Onion Router To Assure Liberty

103. PORTAL
• Router ensuring all traffic is transparently
sent over TOR
• Reduce the ability to make mistakes
• Use mobile uplink
• Mobility (go to a coffee shop)
• Reduce risk of wifi monitoring

104. PORTAL
• Uses tricks to get additional storage space
on /

105. Hardware
• TP-LINK AR71xx personal routers
• MR-11U
• MR-3040
• MR-3020
• WR-703N

106. MR-3040 & MR-11U
• Battery powered
• Approx. 4-5 hrs per charge
• USB for 3G modem

107. http://grugq.github.com/
portal

108. Kesimpulan

109. TUTUP MULUT LO
ANAK MUDA!

111. Kalau lo ngehack, jangan ngomong
Kalau lo ngomong, jangan nulis
Kalau lo nulis, jangan tandatangan
Kalau lo tandatangan, jangan kaget!