Beveiligingsonderzoekers die hun "operationele security" (OPSec) op peil willen houden doen er verstandig aan om e-mail en de telefoon te mijden. Ook voor onderzoekers is OPSec inmiddels onmisbaar, want het werk dat ze doen is allang niet meer puur technisch en heeft de aandacht van allerlei partijen, zo stelt Vincente Diaz van Kaspersky Lab.

"Het huidige beveiligingslandschap bestaat uit nieuwe partijen zoals overheden, grote bedrijven, misdaadbendes en inlichtingendiensten. Dit plaatst onderzoekers in een lastige situatie", aldus Diaz. Hij wijst naar berichten over onderzoekers die met dreigementen van criminelen te maken hebben of door inlichtingendiensten benaderd worden. Andere onderzoekers zouden het doelwit van surveillance zijn geworden of kregen tijdens hun reis met gehackte apparaten te maken.

Gouden regel

De gouden regel in OPSec is volgens Diaz het gebruik van stilte als defensieve maatregel. "Als je niet echt iets moet zeggen, houd dan je mond." Wanneer er wel gecommuniceerd moet worden moet dit op een veilige manier plaatsvinden waarbij de inhoud van het bericht geen gevaar loopt en niet veel metadata genereert. De belangrijkste maatregel voor OPSec is echter niet technisch, maar psychologisch gaat de onderzoeker verder. "Zorg voor een gezond niveau van paranoia."

Daarnaast is het verstandig om zoveel mogelijk encryptie te gebruiken. Onderzoekers moeten echter niet de keerzijde vergeten als hun encryptiesleutels worden gecompromitteerd, waardoor een aanvallers alsnog toegang tot alle eerdere communicatie kan krijgen. Diaz adviseert dan ook het gebruik van instant messaging met eenmalige wachtwoorden. Het gebruik van e-mail wordt in ieder geval afgeraden, omdat dit teveel sporen achterlaat. Zelfs als de berichten versleuteld zijn.

De telefoon omschrijft Diaz als een "totale nachtmerrie" voor OPSec. "Het eenvoudigste advies is om de telefoon weg te doen, maar dit zal niet gebeuren." Wat wel de goedkeuring van de onderzoeker krijgt zijn de chatprogramma's Pidgin en Adium. Gebruikers moeten echter niet vergeten om het loggen van de gesprekken uit te schakelen en niet te vergeten dat ze niet weten wie er aan de andere kant zit, zelfs als de sleutels zijn geverifieerd.

"Perfecte OPSec is bijna onmogelijk. Het implementeren van standaard OPSec-maatregelen zou echter voor elke onderzoeker een tweede natuur moeten worden", stelt Diaz. "Zodra je de noodzaak van OPSec beseft zul je voorzichtiger zijn en hopelijk beginnersfouten zoals teveel praten of opscheppen over je onderzoek vermijden."