Ръководство за онлайн анонимност (от https://anonymousplanet.org/)

Използвайте на свой риск. Моля, не приемайте това ръководство като окончателна истина за всичко, защото то не е такова.

Спойлер: Съдържание

• Въведение:
• Разбиране на някои основни положения за това как някои информации могат да доведат обратно до вас и как да смекчите някои от тях:
  • Вашата мрежа:
    • Вашият IP адрес:
    • Вашите DNS и IP заявки:
    • Вашите устройства с RFID:
    • Wi-Fis и Bluetooth устройствата около вас:
    • Злонамерени/погрешни Wi-Fi точки за достъп:
    • Вашият анонимизиран Tor/VPN трафик:
    • Някои устройства могат да бъдат проследявани дори когато са офлайн:
  • Идентификаторите на хардуера ви:
    • Вашият IMEI и IMSI (а оттам и телефонният ви номер):
    • Вашият Wi-Fi или Ethernet MAC адрес:
    • Вашият Bluetooth MAC адрес:
  • Вашият процесор:
  • Вашите операционни системи и телеметрични услуги Apps:
  • Смарт устройствата ви като цяло:
  • Вие самите:
    • Вашите метаданни, включително геолокацията ви:
    • Вашият цифров отпечатък, отпечатък и поведение онлайн:
    • Вашите следи за реалния ви живот и OSINT:
    • Вашето лице, глас, биометрични данни и снимки:
    • Фишинг и социален инженеринг:
  • Зловреден софтуер, експлойти и вируси:
    • Зловреден софтуер във вашите файлове/документи/електронна поща:
    • Зловреден софтуер и експлойти във вашите приложения и услуги:
    • Злонамерени USB устройства:
    • Зловреден софтуер и вратички във вашия хардуер, фърмуер и операционна система:
  • Вашите файлове, документи, снимки и видеоклипове:
    • Свойства и метаданни:
    • Воден знак:
    • Пикселизирана или размазана информация:
  • Вашите транзакции с криптовалути:
  • Вашите услуги за архивиране/синхронизиране в облак:
  • Вашите пръстови отпечатъци от браузъра и устройството:
  • Изтичане на локални данни и криминалистика:
  • Лоша криптография:
  • Няма регистриране, но все пак се регистрират политики:
  • Някои усъвършенствани целеви техники:
  • Някои бонус ресурси:
  • Бележки:
• Общи приготовления:
  • Избор на маршрут:
    • Ограничения във времето:
    • Ограничения на бюджета/материалите:
    • Умения:
    • Противниците (заплахите):
  • Стъпки за всички маршрути:
    • Получаване на анонимен телефонен номер:
    • Вземете USB ключ:
    • Намерете няколко безопасни места с приличен обществен Wi-Fi:
  • Маршрутът TAILS:
    • Устойчиво правдоподобно отричане с помощта на Whonix в рамките на TAILS:
  • Стъпки за всички останали маршрути:
    • Вземете специален лаптоп за чувствителните си дейности:
    • Някои препоръки за лаптопи:
    • Настройки на биосистемата/UEFI/фирмуера на вашия лаптоп:
    • Физическа защита на вашия лаптоп от подправяне:
  • Маршрутът Whonix:
    • Избор на хост операционна система (операционната система, инсталирана на вашия лаптоп):
    • Linux Host OS:
    • MacOS Хост операционна система:
    • Windows Хост ОС: MacOS: MacOS: Windows
    • Virtualbox на вашата хост ОС:
    • Изберете метода на свързване:
    • Вземете анонимен VPN/Proxy:
    • Whonix:
    • Tor през VPN:
    • Whonix: Виртуални машини:
    • Изберете вашата работна станция за гости Виртуална машина:
    • Виртуална машина Linux (Whonix или Linux):
    • Windows 10 Виртуална машина:
    • Виртуална машина: Android Виртуална машина:
    • MacOS Виртуална машина:
    • KeepassXC:
    • Инсталиране на VPN клиент (платено в брой/монеро):
    • (по избор) позволява на само виртуалните машини да имат достъп до интернет, като същевременно прекъсва хост операционната система, за да предотврати изтичане на информация:
    • Последна стъпка:
  • Маршрутът Qubes:
    • Изберете метода за свързване:
    • Вземете анонимен VPN/Proxy:
    • Инсталиране:
    • Поведение при затваряне на капака:
    • Свържете се с обществен Wi-Fi:
    • Актуализиране на операционната система Qubes:
    • Затвърждаване на Qubes OS:
    • Настройване на VPN ProxyVM:
    • Настройте безопасен браузър в Qube OS (по избор, но се препоръчва):
    • Настройка на виртуална машина за Android:
    • KeePassXC:
• Създаване на анонимни онлайн самоличности:
  • Разбиране на методите, използвани за предотвратяване на анонимността и проверка на самоличността:
    • Captchas:
    • Проверка на телефона:
    • Проверка на електронна поща:
    • Проверка на данните на потребителя:
    • Проверка на документи за самоличност:
    • IP филтри:
    • Отпечатване на пръстови отпечатъци на браузъри и устройства:
    • Взаимодействие с хора:
    • Модерация на потребителите:
    • Поведенчески анализ:
    • Финансови транзакции:
    • Влизане с определена платформа:
    • Разпознаване на лица в реално време и биометрични данни (отново):
    • Ръчни прегледи:
  • Влизане онлайн:
    • Създаване на нови самоличности:
    • Системата за истински имена:
    • За платените услуги:
    • Преглед:
    • Как да споделяте файлове или да чатите анонимно:
    • Редактиране на документи/снимки/видео/аудио по безопасен начин:
    • Предаване на чувствителна информация на различни известни организации:
    • Задачи за поддръжка:
• Създаване на резервно копие на работата ви по сигурен начин:
  • Офлайн резервни копия:
    • Резервни копия на избрани файлове:
    • Пълно архивиране на диска/системата:
  • Онлайн резервни копия:
    • Файлове:
    • Информация:
  • Синхронизиране на файловете между устройствата Онлайн:
• Прикриване на следите:
  • Разбиране на съотношението между HDD и SSD:
    • Изравняване на износването.
    • Операции по подрязване:
    • Събиране на отпадъци:
    • Заключение:
  • Как да изтриете сигурно целия си лаптоп/дискове, ако искате да изтриете всичко:
    • Linux (всички версии, включително Qubes OS):
    • Windows:
    • MacOS:
  • Как да изтриете по сигурен начин определени файлове/папки/данни от вашия HDD/SSD и флашки:
    • Windows:
    • Linux (без Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Някои допълнителни мерки срещу криминалистиката:
    • Премахване на метаданни от файлове/документи/снимки:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (не Qubes):
    • Windows:
  • Премахване на някои следи от вашата самоличност в търсачките и различни платформи:
    • Google:
    • Google: Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Уикипедия:
    • Archive.today:
    • Интернет архив:
• Някои нискотехнологични трикове от старата школа:
  • Скрити комуникации на пръв поглед:
  • Как да разберете дали някой е търсил вашите неща:
• Няколко последни мисли за OPSEC:
• Ако мислите, че сте се опарили:
  • Ако имате малко време:
  • Ако нямате време:
• Малка заключителна редакционна бележка

 

[HEISENBERG]

Ограничения на бюджета/материалите.

• Имате на разположение само един лаптоп и не можете да си позволите нищо друго. Използвате този лаптоп или за работа, или за семейството, или за личните си неща (или и за двете):
  
  • Най-добрият ви вариант е да изберете маршрута с опашки.
• Можете да си позволите резервен специализиран неконтролиран/ненаблюдаван лаптоп за вашите чувствителни дейности:
  
  • Но той е стар, бавен и с лоши характеристики (по-малко от 6 GB RAM, по-малко от 250 GB дисково пространство, стар/бавен процесор):
    
    • Трябва да изберете маршрута на опашките.
  • Той не е толкова стар и има прилични спецификации (поне 6 GB RAM, 250 GB дисково пространство или повече, приличен процесор):
    
    • Можете да изберете маршрутите Tails, Whonix.
  • Той е нов и има чудесни спецификации (повече от 8 GB RAM, >250 GB дисково пространство, скорошен бърз процесор):
    
    • Ако моделът ви на заплаха го позволява, можете да изберете всеки маршрут, но бих препоръчал операционната система Qubes.
  • Ако това е ARM базиран Mac M1:
    
    • Понастоящем това не е възможно поради тези причини:
      
      • Виртуализацията на x86 образи на ARM M1 Mac все още е ограничена до търговски софтуер (Parallels), който все още не се поддържа от Whonix.
      • Virtualbox все още не е наличен за ARM архитектура.
      • Whonix все още не се поддържа за ARM архитектура.
      • Tails все още не се поддържа за ARM архитектура.
      • Операционната система Qubes все още не се поддържа от архитектурата ARM.

Единствената ви възможност на Mac M1 вероятно е да се придържате към Tor Browses за момента. Но предполагам, че ако можете да си позволите M1 Mac, вероятно трябва да си вземете специален x86 лаптоп за по-чувствителни дейности.

 

[HEISENBERG]

Умения.

• Нямате никакви ИТ умения съдържанието на това ръководство ви изглежда като чужд език?
  
  • Трябва да изберете маршрута "Опашки" (с изключение на раздела за постоянното правдоподобно отричане).
• Имате някои ИТ умения и досега сте разбрали това ръководство
  
  • Трябва да изберете маршрутите "Опашки" (включително раздела за постоянното правдоподобно отричане) или "Уоникс".
• Имате средни до високи ИТ умения и вече сте запознати с част от съдържанието на това ръководство
  
  • Бихте могли да се насочите към всичко, което ви харесва, но аз горещо бих ви препоръчал операционната система Qubes.
• Вие сте l33T хакер, "няма лъжица", "тортата е лъжа", от години използвате "доас" и "цялата ви база ни принадлежи", и имате силно мнение за systemd.
  
  • Това ръководство наистина не е предназначено за вас и няма да ви помогне с вашето HardenedBSD на вашия hardened Libreboot лаптоп ;-)

 

[HEISENBERG]

Противниците (заплахите).

• Ако основната ви грижа е съдебномедицинската експертиза на вашите устройства:
  
  • Трябва да изберете пътя на опашката (с опционално постоянно правдоподобно отричане).
• Ако основните ви притеснения са свързани с отдалечени противници, които могат да разкрият онлайн самоличността ви в различни платформи:
  
  • Можете да изберете маршрутите Whonix или Qubes OS.
  • Можете също така да изберете Tails (с опционална постоянна вероятна отричаемост).
• Ако непременно искате да имате вероятна отричаемост в цялата система, въпреки рисковете:
  
  • Можете да изберете маршрута "Опашки", включително раздела за постоянно правдоподобно отричане.
  • Можете да изберете маршрута Whonix (само за операционната система Windows Host в рамките на това ръководство).
• Ако се намирате във враждебна среда, където използването само на Tor/VPN е невъзможно/опасно/подозрително:
  
  • Можете да изберете маршрута Tails (без използване на Tor).
  • Можете да изберете маршрута на Whonix или Qubes OS (без да използвате Whonix).

Във всички случаи трябва да прочетете тези две страници от документацията на Whonix, които ще ви дадат задълбочена информация за вашия избор:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

Може би се питате: "Как да разбера, че се намирам във враждебна онлайн среда, в която действията ми се наблюдават и блокират активно?"

• Първо прочетете повече за това в EFF тук: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org]
• Проверете сами някои данни тук, на уебсайта на проекта Tor OONI (Open Observatory of Network Interference): https: //explorer.ooni.org/ [Archive.org]
• Погледнете на https://censoredplanet.org/ [Archive.org] и вижте дали имат данни за вашата страна.
• Тествайте сами, като използвате OONI (това може да е рисковано във враждебна среда).

 

[HEISENBERG]

Стъпки за всички маршрути.

Свикнете да използвате по-добри пароли.

Вижте Приложение А2: Насоки за пароли и паролни фрази.

Получете анонимен телефонен номер.

Пропуснете тази стъпка, ако нямате намерение да създавате анонимни акаунти в повечето основни платформи, а искате само анонимно сърфиране, или ако платформите, които ще използвате, позволяват регистрация без телефонен номер.

Физически телефон за записване и предплатена SIM карта.

Вземете телефон за записване.

Това е доста лесно. Оставете смартфона си изключен или го изключете, преди да тръгнете. Вземете малко пари в брой и отидете на някой случаен бълхарски пазар или малък магазин (в идеалния случай такъв без видеонаблюдение отвътре или отвън и като избягвате да бъдете снимани/филмирани) и просто купете най-евтиния телефон, който можете да намерите, с пари в брой и без да предоставяте никаква лична информация. Телефонът трябва да е в изправност.


Лично аз бих ви препоръчал да си вземете стар "дъмпфон" със сменяема батерия (стара Nokia, ако мобилните мрежи все още позволяват свързването им, тъй като в някои страни 1G-2G бе напълно премахнат). Това се прави, за да се избегне автоматичното изпращане/събиране на всякакви телеметрични/диагностични данни на самия телефон. Никога не трябва да свързвате този телефон към Wi-Fi.


Също така е от решаващо значение да не включвате този телефон никога (дори без SIM картата) на географско място, което може да доведе до вас (например у дома/на работа), и никога на същото място, на което се намира другият ви известен смартфон (защото той има IMEI/IMSI, който лесно ще доведе до вас). Това може да изглежда като голяма тежест, но не е така, тъй като тези телефони се използват само по време на процеса на настройка/регистрация и за проверка от време на време.


Вижте Приложение N: Предупреждение за смартфони и смарт устройства


Преди да преминете към следващата стъпка, трябва да проверите дали телефонът е в изправност. Но ще се повторя и отново ще заявя, че е важно да оставите смартфона си вкъщи, когато отивате (или да го изключите преди тръгване, ако трябва да го държите), и да тествате телефона на произволно място, което не може да бъде проследено до вас (и отново, не правете това пред видеонаблюдение, избягвайте камерите, бъдете наясно с обстановката). На това място няма нужда и от Wi-Fi.


Когато сте сигурни, че телефонът е в изправност, деактивирайте Bluetooth, след което го изключете (извадете батерията, ако можете) и се върнете у дома, за да продължите обичайните си дейности. Преминете към следващата стъпка.

Вземете анонимна предплатена SIM карта.

Това е най-трудната част от цялото ръководство. Това е SPOF (Single Point of Failure - единична точка на провал). Местата, където все още можете да си купите предплатени SIM карти без регистрация на самоличност, стават все по-ограничени поради различни разпоредби от типа KYC.


Затова ето списък на местата, където все още можете да ги получите сега: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


Би трябвало да можете да намерите място, което не е "твърде далеч", и просто да отидете там физически, за да си купите няколко предплатени карти и ваучери за презареждане с пари в брой. Преди да тръгнете, проверете дали не е приет закон, който да направи регистрацията задължителна (в случай че горното уики не е актуализирано). Опитайте се да избегнете видеонаблюдението и камерите и не забравяйте да купите ваучер за презареждане заедно със SIM картата (ако тя не е в пакет), тъй като повечето предплатени карти изискват презареждане преди употреба.


Вижте Приложение N: Предупреждение за смартфони и смарт устройства


Преди да отидете там, проверете два пъти дали мобилните оператори, които продават предплатените SIM карти, ще приемат активирането на SIM картата и допълването на сумата без каквато и да е регистрация на документ за самоличност. В идеалния случай те трябва да приемат активиране и допълване на SIM картата от страната, в която пребивавате.


Лично аз бих препоръчал GiffGaff в Обединеното кралство, тъй като те са "достъпни", не изискват идентификация за активиране и допълване и дори ще ви позволят да смените номера си до 2 пъти от техния уебсайт. Следователно една предплатена SIM карта GiffGaff ще ви предостави 3 номера, които да използвате за вашите нужди.


Изключете телефона след активиране/зареждане и преди да се приберете у дома. Никога не го включвайте отново, освен ако не се намирате на място, което може да бъде използвано за разкриване на самоличността ви, и освен ако смартфонът ви не е изключен преди да отидете на това "недомлъвки".

Онлайн телефонен номер (по-малко препоръчителен).

ПРЕДУПРЕЖДЕНИЕ: Не се опитвайте да направите този опит, преди да сте приключили с настройката на защитена среда в съответствие с един от избраните маршрути. Тази стъпка ще изисква онлайн достъп и трябва да се извършва само от анонимна мрежа. Не извършвайте това от известна/несигурна среда. Пропуснете тази стъпка, докато не приключите с един от маршрутите.


Има много търговски услуги, предлагащи номера за получаване на SMS съобщения онлайн, но повечето от тях на практика нямат анонимност/приватност и не могат да бъдат от полза, тъй като повечето платформи на социалните мрежи поставят ограничение за това колко пъти може да се използва един телефонен номер за регистрация.


Съществуват някои форуми и подгрупи (като r/phoneverification/), в които потребителите ще ви предложат услугата за получаване на такива SMS съобщения срещу малка такса (като използват PayPal или някое криптоплащане). За съжаление, те са пълни с измамници и са много рискови по отношение на анонимността. Не трябва да ги използвате при никакви обстоятелства.


Към днешна дата не познавам нито една реномирана услуга, която да предлага тази услуга и да приема плащания в брой (например по пощата), както някои VPN доставчици. Но има няколко услуги, които предоставят онлайн телефонни номера и приемат Monero, което би могло да бъде сравнително анонимно (все пак по-малко препоръчително от този физически начин в предишната глава), които бихте могли да разгледате:

• Препоръчително: Не изискват никаква идентификация (дори електронна поща):
  
  • (базирано в Обединеното кралство, изглежда недостъпно по време на писането на тази статия) https://dtmf.io/ [Archive.org] предпочитано, защото те дори предоставят скрит адрес на услугата за директен достъп чрез мрежата Tor на адрес http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/
  • (базирано в Исландия) https://crypton.sh [Archive.org]
  • (базиран в Украйна) https://virtualsim.net/ [Archive.org]
• Изискват идентификация (валиден имейл):
  
  • (базирани в Германия) https://www.sms77.io/ [Archive.org]
  • (със седалище в Русия) https://onlinesim.ru/ [Archive.org]

Има и някои други възможности, изброени тук https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Използвайте на свой риск.


ОТКАЗ: Не мога да гарантирам за нито един от тези доставчици и затова все пак ще ви препоръчам да го направите сами физически. В този случай ще трябва да разчитате на анонимността на Monero и не бива да използвате никакви услуги, които изискват каквото и да е идентифициране с помощта на истинската ви самоличност. Моля, прочетете този документ за отказ от отговорност по отношение на Monero.


Ето защо ИМХО, вероятно е просто по-удобно, по-евтино и по-малко рисковано просто да се сдобиете с предплатена SIM карта от някое от физическите места, които все още ги продават в брой, без да изискват регистрация на самоличност. Но поне има алтернатива, ако нямате друга възможност.

Вземете USB ключ.

Вземете поне един или два прилични по размер общи USB ключа (поне 16 GB, но аз бих препоръчал 32 GB).


Моля, не купувайте и не използвайте хитроумни устройства за самокриптиране като тези: https: //syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org]


Някои от тях може да са много ефикасни, но много от тях са хитроумни джаджи, които не предлагат реална защита.

Намерете някои безопасни места с приличен обществен Wi-Fi.

Трябва да намерите безопасни места, където ще можете да извършвате чувствителните си дейности, като използвате публично достъпен Wi-Fi (без регистрация на акаунт/лична карта, избягвайте видеонаблюдението).


Това може да бъде всяко място, което няма да бъде свързано пряко с вас (дома/работата ви) и където можете да използвате Wi-Fi за известно време, без да бъдете обезпокоявани. Но също така и място, където можете да направите това, без да бъдете "забелязани" от никого.


Ако смятате, че Starbucks е добра идея, може да преосмислите решението си:

• Вероятно те имат видеонаблюдение във всичките си магазини и съхраняват записите за неизвестно колко време.
• В повечето от тях ще трябва да си купите кафе, за да получите код за достъп до Wi-Fi. Ако платите това кафе с електронен метод, те ще могат да обвържат достъпа ви до Wi-Fi с вашата самоличност.

Осведомеността за ситуацията е от ключово значение и трябва постоянно да сте наясно със заобикалящата ви среда и да избягвате туристическите места, сякаш са заразени с ебола. Искате да избягвате да се появявате на каквито и да било снимки/видеоклипове на когото и да било, докато някой си прави селфи, прави видеоклип в TikTok или публикува някоя туристическа снимка в своя Instagram. Ако го направите, помнете, че шансовете са големи, че тези снимки ще се окажат онлайн (публично или частно) с пълни метаданни, прикрепени към тях (време/дата/геолокация) и вашето лице. Помнете, че те могат и ще бъдат индексирани от Facebook/Google/Yandex/Apple и вероятно от всички 3 буквени агенции.


Макар че това все още няма да е достъпно за местните полицейски служители, може да стане в близко бъдеще.


В идеалния случай ще ви е необходим набор от 3-5 различни места като това, за да избегнете използването на едно и също място два пъти. За различните стъпки в това ръководство ще са необходими няколко пътувания през седмиците.


Бихте могли също така да обмислите свързване с тези места от безопасно разстояние за по-голяма сигурност. Вижте Приложение Q: Използване на антена с голям обсег за свързване към обществени Wi-Fis мрежи от безопасно разстояние.

 

[HEISENBERG]

Маршрутът на опашките: Вървим по пътя на химикалите и химичните вещества.

Тази част от ръководството ще ви помогне при настройката на Tails, ако едно от следните неща е вярно:

• Не можете да си позволите специализиран лаптоп
• Вашият специализиран лаптоп е твърде стар и твърде бавен
• Имате много ниски ИТ умения
• Решавате все пак да използвате Tails

Tails е съкращение от The Amnesic Incognito Live System. Това е зареждаща се операционна система в реално време, работеща от USB ключ, която е предназначена да не оставя следи и да налага всички връзки през мрежата Tor.


Поставяте USB ключа на Tails в лаптопа си, зареждате от него и разполагате с пълноценна операционна система, работеща с оглед на поверителността и анонимността. Веднага щом изключите компютъра, всичко ще изчезне, освен ако не сте го запазили някъде.


Tails е много лесен начин да започнете работа за нула време с това, с което разполагате, и без много учене. Тя разполага с обширна документация и учебни материали.


ПРЕДУПРЕЖДЕНИЕ: Tails не винаги е в крак с актуалното състояние на включения в пакета софтуер. И не винаги е в крак с актуализациите на Tor Browser. Винаги трябва да сте сигурни, че използвате най-новата версия на Tails, и трябва да сте изключително внимателни, когато използвате пакетни приложения в рамките на Tails, които могат да бъдат уязвими към експлойти и да разкриятместоположениетови265.


Тя обаче има някои недостатъци:

• Tails използва Tor и следователно ще използвате Tor за достъп до всеки ресурс в интернет. Само по себе си това ще ви направи подозрителни за повечето платформи, в които искате да създадете анонимни акаунти (това ще бъде обяснено по-подробно по-късно).
• Доставчикът на интернет услуги (независимо дали е вашият или някой обществен Wi-Fi) също ще види, че използвате Tor, и това само по себе си може да ви направи подозрителни.
• Tails не включва (нативно) някои от софтуерите, които може да искате да използвате по-късно, което доста ще усложни нещата, ако искате да стартирате някои специфични неща (например емулатори на Android).
• Tails използва браузъра Tor, който, въпреки че е много сигурен, ще бъде открит и от повечето платформи и ще ви попречи да създадете анонимна самоличност в много платформи.
• Tails няма да ви защити повече от 5$ ключ8.
• Tor сам по себе си може да не е достатъчен, за да ви защити от противник с достатъчно ресурси, както беше обяснено по-рано.

Важна забележка: Ако вашият лаптоп е наблюдаван/надзираван и са въведени някои локални ограничения, моля, прочетете Приложение U: Как да заобиколите (някои) локални ограничения на наблюдавани компютри.


Преди да продължите нататък, трябва да прочетете и Документация за опашките, Предупреждения и ограничения https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


Като се има предвид всичко това и фактът, че документацията им е чудесна, просто ще ви пренасоча към техния добре направен и поддържан урок:


https://tails.boum.org/install/index.en.html [Archive.org], изберете своя вкус и продължете.


Когато приключите и имате работеща опашка на лаптопа си, преминете към стъпката Създаване на анонимни онлайн самоличности много по-нататък в това ръководство.


Ако имате проблем с достъпа до Tor поради цензура или други проблеми, можете да опитате да използвате Tor Bridges, като следвате този урок за Tails: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] и да намерите повече информация за тях в Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive.org]


Ако смятате, че използването само на Tor е опасно/подозрително, вижте Приложение P: Достъп до интернет възможно най-безопасно, когато Tor/VPN не е опция

 

[HEISENBERG]

Устойчиво правдоподобно отричане с помощта на Whonix в рамките на Tails.

Помислете за проверка на проекта https://github.com/aforensics/HiddenVM [Archive.org ] за Tails.


Този проект представлява умна идея за самостоятелно решение за виртуална машина с едно щракване, което бихте могли да съхранявате на криптиран диск, използвайки правдоподобна отричаемост256 (за повече разбиране вижте Пътят Whonix: първи глави, а също и някои обяснения за правдоподобната отричаемост, както и раздела Как да изтриете сигурно определени файлове/папки/данни на вашия HDD/SSD и флашки: в края на това ръководство).


Това би позволило създаването на хибридна система, смесваща опашки с опциите за виртуализация на маршрута Whonix в това ръководство.

Забележка: Вижте " Изберете метода на свързване в маршрута Whonix" за повече обяснения относно изолирането на потоци


Накратко:

• Можете да стартирате непостоянни Tails от един USB ключ (следвайки техните препоръки)
• Бихте могли да съхранявате постоянни виртуални машини в рамките на вторичен съдържател, който може да бъде криптиран нормално или с помощта на функцията Veracrypt за правдоподобно отричане (това могат да бъдат например виртуални машини Whonix или други).
• Можете да се възползвате от добавената функция за изолиране на потока на Tor (вижте Tor over VPN за повече информация относно изолирането на потока).

В този случай, както е описано в проекта, не би трябвало да има следи от каквито и да било ваши действия на компютъра ви, а чувствителната работа може да се извършва от виртуални машини, съхранявани в скрит контейнер, който не би трябвало да е лесно откриваем от мек противник.


Тази опция е особено интересна за "пътуване на леко" и за смекчаване на съдебните атаки, като същевременно запазвате постоянството на работата си. Необходими са ви само 2 USB ключа (един с Tails и един с Veracrypt контейнер, съдържащ устойчив Whonix). Първият USB ключ ще изглежда, че съдържа само Tails, а вторият USB ключ ще изглежда, че съдържа само случаен боклук, но ще има примамлив обем, който можете да покажете за правдоподобно отричане.


Може също така да се запитате дали това ще доведе до настройка "Tor over Tor", но няма да е така. Виртуалните машини на Whonix ще имат достъп до мрежата директно чрез Clearnet, а не чрез Tails Onion Routing.


В бъдеще това би могло да се поддържа и от самия проект Whonix, както е обяснено тук: https://www.whonix.org/wiki/Whonix-Host [Archive.org], но засега не се препоръчва за крайните потребители.


Не забравяйте, че криптирането със или без правдоподобна възможност за отричане не е сребърен куршум и няма да е от голяма полза в случай на изтезания. Всъщност, в зависимост от това кой би бил вашият противник (вашия модел на заплаха), може би е разумно изобщо да не използвате Veracrypt (преди TrueCrypt), както е показано в тази демонстрация: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Правдоподобното отричане е ефективно само срещу меки законни противници, които няма да прибягнат до физически средства.


Вижте https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]


ВНИМАНИЕ: Ако смятате да съхранявате такива скрити виртуални машини на външен SSD диск, вижте Приложение K: Съображения за използване на външни SSD дискове и разделите Understanding HDD vs SSD:

• Не използвайте скрити томове на SSD дискове, тъй като това не се поддържа/препоръчва от Veracrypt.
• Вместо това използвайте файлови контейнери вместо криптирани томове.
• Уверете се, че знаете как правилно да почиствате данни от външно SSD устройство.

Ето моето ръководство за това как да постигнете това:

Първо изпълнение.

• Изтеглете последната версия на HiddenVM от https://github.com/aforensics/HiddenVM/releases [Archive.org]
• Изтеглете последната версия на Whonix XFCE от https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
• Подготовка на USB ключ/диск с Veracrypt
  
  • Създайте скрит том на USB/ключовото устройство (препоръчвам поне 16 GB за скрития том)
  • Във външния том поставете няколко примамливи файла
  • В скрития том поставете файла с образа на приложението HiddenVM
  • В скрития том поставете файла Whonix XFCE ova
• Стартирайте в системата Tails
• Настройте клавиатурната подредба, както желаете.
• Изберете Additional Settings (Допълнителни настройки) и задайте парола на администратор (root) (необходима за инсталиране на HiddenVM).
• Стартирайте Tails
• Свържете се с безопасна Wi-Fi мрежа (това е необходима стъпка, за да работи останалото)
• Влезте в менюто Utilities (Помощни програми) и отключете вашия Veracrypt (скрит) том (не забравяйте да поставите отметка в квадратчето hidden volume (скрит том))
• Стартирайте образа на приложението HiddenVM
• Когато бъдете подканени да изберете папка, изберете Root (Корен) на скрития том (където се намират файловете на Whonix OVA и образа на приложението HiddenVM).
• Оставете го да си свърши работата (това на практика ще инсталира Virtualbox в рамките на Tails с едно щракване)
• Когато приключи, трябва автоматично да се стартира Virtualbox Manager.
• Импортирайте файловете Whonix OVA (вижте Whonix Virtual Machines:)

Обърнете внимание, че ако по време на импортирането имате проблеми, като например "NS_ERROR_INVALID_ARG (0x80070057)", това вероятно се дължи на недостатъчно дисково пространство на вашия скрит том за Whonix. Самите Whonix препоръчват 32 GB свободно пространство, но това вероятно не е необходимо и 10 GB би трябвало да са достатъчни за начало. Можете да опитате да заобиколите тази грешка, като преименувате файла Whonix *.OVA на *.TAR и го декомпресирате в рамките на Tails. Когато приключите с декомпресията, изтрийте OVA файла и импортирайте другите файлове с помощта на съветника за импортиране. Този път може да се получи.

Следващи изпълнения.

• Зареждане на опашките
• Свържете се с Wi-Fi
• Отключване на скрития обем
• Стартирайте приложението HiddenVM
• Това трябва автоматично да отвори мениджъра на VirtualBox и да покаже предишните ви виртуални машини от първото стартиране

 

[HEISENBERG]

Стъпки за всички останали маршрути.

Вземете специален лаптоп за чувствителните си дейности.

В идеалния случай трябва да се сдобиете със специален лаптоп, който няма да бъде свързан с вас по никакъв лесен начин (в идеалния случай платен анонимно с пари в брой и при използване на същите предпазни мерки, както споменатите по-горе за телефона и SIM картата). Това е препоръчително, но не е задължително, защото това ръководство ще ви помогне да укрепите лаптопа си възможно най-много, за да предотвратите изтичане на данни по различни начини. Между вашите онлайн самоличности и вас самите ще стоят няколко защитни линии, които би трябвало да попречат на повечето противници да ви деанонимизират, освен на държавните/глобалните участници със значителни ресурси.


В идеалния случай този лаптоп трябва да бъде чист прясно инсталиран лаптоп (с Windows, Linux или MacOS), изчистен от обичайните ви ежедневни дейности и офлайн (никога досега не е бил свързан с мрежата). В случай на лаптоп с Windows и ако сте го използвали преди такава чиста инсталация, той също така не трябва да бъде активиран (преинсталиран без продуктов ключ). Специално в случая на MacBook, той никога преди това не трябва да е бил свързан с вашата самоличност по какъвто и да е начин. Така че, купувайте втора употреба с пари в брой от непознат непознат, който не познава самоличността ви


Това се прави, за да се намалят някои бъдещи проблеми в случай на изтичане на информация онлайн (включително телеметрия от вашата операционна система или приложения), което може да компрометира всички уникални идентификатори на лаптопа, докато го използвате (MAC адрес, Bluetooth адрес и продуктов ключ ...). Но също така, за да избегнете обратно проследяване, ако се наложи да изхвърлите лаптопа.


Ако сте използвали този лаптоп преди за различни цели (като ежедневните си дейности), всички негови хардуерни идентификатори вероятно са известни и регистрирани от Microsoft или Apple. Ако впоследствие някой от тези идентификатори бъде компрометиран (чрез зловреден софтуер, телеметрия, експлойти, човешки грешки ...), те могат да доведат обратно до вас.


Лаптопът трябва да има поне 250 GB дисково пространство, поне 6 GB (в идеалния случай 8 GB или 16 GB ) оперативна памет и да може да работи с няколко виртуални машини едновременно. Той трябва да има работеща батерия, която издържа няколко часа.


Този лаптоп може да има твърд диск (7200 оборота в минута) или SSD/NVMe устройство. И двете възможности имат своите предимства и проблеми, които ще бъдат подробно описани по-късно.


Всички бъдещи онлайн стъпки, извършвани с този лаптоп, в идеалния случай трябва да се извършват от безопасна мрежа, като например обществен Wi-Fi на безопасно място (вж. раздел Намиране на безопасни места с приличен обществен Wi-Fi). Но няколко стъпки ще трябва да бъдат извършени първо офлайн.

 

[HEISENBERG]

Някои препоръки за лаптопи.

Ако можете да си го позволите, може да обмислите възможността да си вземете лаптоп Purism Librem(https://puri.sm [Archive.org]) или System76(https://system76.com/ [Archive.org]), докато използвате Coreboot (където Intel IME е забранен фабрично).


В останалите случаи силно бих препоръчал да си вземете лаптопи от бизнес клас (т.е. не от потребителски/геймърски клас), ако можете. Например някои ThinkPad от Lenovo (моят личен фаворит). Ето списъци с лаптопи, които в момента поддържат Libreboot, и други, при които можете сами да флашнете Coreboot (което ще ви позволи да деактивирате Intel IME или AMD PSP):

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

Това е така, защото тези бизнес лаптопи обикновено предлагат по-добри и по-настройваеми функции за сигурност (особено в настройките на BIOS/UEFI) с по-дълга поддръжка от повечето потребителски лаптопи (Asus, MSI, Gigabyte, Acer...). Интересните функции, които трябва да се търсят, са:

• По-добри персонализирани настройки за Secure Boot (където можете избирателно да управлявате всички ключове, а не само да използвате стандартните)
• Пароли за HDD/SSD в допълнение към паролите за BIOS/UEFI.
• Лаптопите на AMD могат да бъдат по-интересни, тъй като някои от тях предоставят възможност за деактивиране на AMD PSP (еквивалент на Intel IME) от настройките на BIOS/UEFI по подразбиране. И тъй като AFAIK, AMD PSP беше одитиран и за разлика от IME не беше установено да има някакви "зли" функционалности. Въпреки това, ако се насочите към Qubes OS Route, помислете за Intel, тъй като те не поддържат AMD с тяхната система против злото.
• Инструменти за сигурно изтриване от BIOS (особено полезни за SSD/NVMe дискове, вижте Приложение M: Опции на BIOS/UEFI за изтриване на дискове в различни марки).
• По-добър контрол върху деактивирането/задействането на избрани периферни устройства (USB портове, Wi-Fis, Bluetooth, камера, микрофон ...).
• По-добри функции за сигурност с виртуализация.
• Вградени защити срещу фалшифициране.
• По-дълга поддръжка с актуализации на BIOS/UEFI (и последващи актуализации на сигурността на BIOS/UEFI).
• Някои от тях се поддържат от Libreboot

 

[HEISENBERG]

Настройки на биос/UEFI/фирмуера на вашия лаптоп.

PC.

Тези настройки са достъпни чрез менюто за зареждане на вашия лаптоп. Ето едно добро ръководство от HP, което обяснява всички начини за достъп до BIOS на различни компютри: https: //store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org].


Обикновено начинът за достъп до него е натискането на определен клавиш (F1, F2 или Del) при зареждане на компютъра (преди операционната система).


След като влезете там, ще трябва да приложите няколко препоръчителни настройки:

• Изключете напълно Bluetooth, ако можете.
• Деактивирайте биометричните данни (скенери за пръстови отпечатъци), ако имате такива, ако можете. Въпреки това бихте могли да добавите допълнителна проверка на биометричните данни само за зареждане (преди зареждане), но не и за достъп до настройките на BIOS/UEFI.
• Деактивирайте уеб камерата и микрофона, ако можете.
• Активирайте паролата за BIOS/UEFI и използвайте дълга парола вместо парола (ако можете) и се уверете, че тази парола се изисква за:
  
  • Достъп до самите настройки на BIOS/UEFI
  • Промяна на реда на зареждане
  • Стартиране/включване на устройството
• Активирайте паролата за HDD/SSD, ако функцията е налична. Тази функция ще добави друга парола на самия HDD/SSD (не във фърмуера на BIOS/UEFI), която ще попречи на използването на този HDD/SSD в друг компютър без паролата. Имайте предвид, че тази функция е специфична и за някои производители и може да изисква специален софтуер за отключване на този диск от напълно различен компютър.
• Предотвратете достъпа до опциите за зареждане (реда на зареждане) без предоставяне на паролата на BIOS/UEFI, ако можете.
• Деактивирайте USB/HDMI или друг порт (Ethernet, Firewire, SD карта ...), ако можете.
• Деактивирайте Intel ME, ако можете.
• Деактивирайте AMD PSP, ако можете (еквивалент на IME на AMD, вижте " Вашият процесор")
• Деактивирайте Secure Boot, ако възнамерявате да използвате QubesOS, тъй като те не го поддържат от кутията. Запазете го, ако възнамерявате да използвате Linux/Windows.
• Проверете дали BIOS-ът на лаптопа ви има опция за сигурно изтриване на твърдия диск/SSD, която може да е удобна в случай на нужда.

Включвайте ги само при "необходимост от използване" и ги деактивирайте отново след употреба. Това може да помогне за смекчаване на някои атаки, в случай че лаптопът ви бъде иззет, докато е заключен, но все още включен, ИЛИ ако ви се е наложило да го изключите доста бързо и някой го е завладял (тази тема ще бъде обяснена по-нататък в това ръководство).

За защитеното зареждане.

Накратко, това е функция за сигурност на UEFI, предназначена да попречи на компютъра ви да стартира операционна система, чийто зареждащ модул не е подписан със специфични ключове, съхранени в UEFI фърмуера на вашия лаптоп.


По принцип, когато операционните системи (или буутлоудърът) я поддържат, можете да съхраните ключовете на буутлоудъра си във фърмуера на UEFI и това ще предотврати стартирането на всяка неоторизирана операционна система (например USB с live OS или нещо подобно).


Настройките на Secure Boot са защитени с паролата, която сте задали за достъп до настройките на BIOS/UEFI. Ако разполагате с тази парола, можете да деактивирате Secure Boot и да позволите на неподписани операционни системи да се зареждат от вашата система. Това може да помогне за смекчаване на някои атаки на Evil-Maid (обяснени по-късно в това ръководство).


В повечето случаи Secure Boot е деактивиран по подразбиране или е активиран, но в режим "настройка", което ще позволи на всяка система да се зарежда. За да работи Secure Boot, операционната ви система трябва да го поддържа и след това да подпише своя буутлоудър и да предаде тези ключове за подписване на вашия UEFI фърмуер. След това ще трябва да отидете в настройките на BIOS/UEFI и да запазите тези изтласкани ключове от операционната система и да промените Secure Boot от режим Setup на потребителски режим (или в някои случаи на потребителски режим).


След като направите тази стъпка, само операционните системи, от които вашият UEFI фърмуер може да провери целостта на буутлоудъра, ще могат да се зареждат.


Повечето лаптопи ще имат някои ключове по подразбиране, които вече са записани в настройките за сигурно зареждане. Обикновено това са тези от самия производител или от някои компании, като например Microsoft. Така че това означава, че по подразбиране винаги ще бъде възможно зареждането на някои USB дискове дори и със защитено зареждане. Сред тях са Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla и много други. Secure Boot обаче не се поддържа изобщо от QubesOS на този етап.


В някои лаптопи можете да управлявате тези ключове и да премахвате тези, които не искате, с помощта на "потребителски режим", за да оторизирате само собствения си буутлоудър, който бихте могли да подпишете сами, ако наистина искате.


И така, от какво ви предпазва Secure Boot? Тя ще предпази вашия лаптоп от зареждане на неподписани зареждащи програми (от доставчика на операционната система), например с инжектиран зловреден софтуер.


От какво не ви предпазва Secure Boot?

• Secure Boot не криптира вашия диск и недоброжелател все още може просто да извади диска от вашия лаптоп и да извлече данни от него, използвайки друга машина. Следователно Secure Boot е безполезен без пълно криптиране на диска.
• Secure Boot не ви предпазва от подписан bootloader, който би бил компрометиран и подписан от самия производител (например Microsoft в случая на Windows). В днешно време повечето популярни дистрибуции на Linux са подписани и ще се зареждат с активиран Secure Boot.
• Secure Boot може да има недостатъци и експлойти, както всяка друга система. Ако използвате стар лаптоп, който не се възползва от новите актуализации на BIOS/UEFI, те могат да останат отстранени.

Освен това съществуват редица атаки срещу Secure Boot, които са обяснени (в дълбочина) в тези технически видеоклипове:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Така че може да бъде полезна като допълнителна мярка срещу някои противници, но не срещу всички. Secure Boot сам по себе си не криптира твърдия ви диск. То е допълнителен слой, но това е всичко.


Все пак ви препоръчвам да го запазите, ако можете.

Mac.

Отделете малко време, за да зададете парола на фърмуера според урока тук: https: //support.apple.com/en-au/HT204455 [Archive.org]


Също така трябва да активирате защитата за нулиране на паролата на фърмуера (налична от Catalina) според документацията тук: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Тази функция ще намали възможността някои недоброжелатели да използват хардуерни хакове, за да деактивират/заобиколят паролата за фърмуера. Имайте предвид, че това ще попречи и на самата Apple да получи достъп до фърмуера в случай на ремонт.

 

[HEISENBERG]

Физическа защита на вашия лаптоп от фалшифициране.

В някакъв момент неизбежно ще оставите този лаптоп някъде сам. Няма да спите с него и няма да го взимате навсякъде всеки ден. Трябва да направите така, че да е възможно най-трудно някой да го манипулира, без да го забележите. Това е полезно най-вече срещу някои ограничени противници, които няма да използват срещу вас гаечен ключ за 5 USD.


Важно е да знаете, че за някои специалисти е тривиално лесно да инсталират програма за записване на клавиши в лаптопа ви или просто да направят клонирано копие на твърдия ви диск, което по-късно може да им позволи да открият наличието на криптирани данни в него с помощта на криминалистични техники (повече за това по-късно).


Ето един добър и евтин метод да направите лаптопа си защитен от подправяне с помощта на лак за нокти (с брокат) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (със снимки).


Въпреки че това е добър евтин метод, той може да предизвика подозрения, тъй като е доста "забележим" и може просто да разкрие, че "имате какво да криете". Затова има и по-фини начини за постигане на същия резултат. Можете също така например да направите близка макроснимка на задните винтове на лаптопа си или просто да използвате много малко количество восък от свещ в един от винтовете, който може да изглежда просто като обикновена мръсотия. След това можете да проверите дали е извършена манипулация, като сравните снимките на винтовете с нови. Ориентацията им може да се е променила малко, ако вашият противник не е бил достатъчно внимателен (затягайки ги точно по същия начин, както преди). Или восъкът в долната част на главата на винта може да е бил повреден в сравнение с преди.

Същите техники могат да се използват и при USB портовете, където просто може да поставите малко количество восък от свещ в рамките на щепсела, който би се повредил при поставяне на USB ключ в него.


В по-рискови среди проверявайте лаптопа си за намеса преди редовна употреба.

 

[HEISENBERG]

Маршрутът на Whonix.

Избор на хост операционна система (операционната система, инсталирана на вашия лаптоп).

По този маршрут ще се използват широко виртуални машини, те ще изискват хост ОС, за да се стартира софтуерът за виртуализация. В тази част на ръководството имате 3 препоръчителни избора:

• Вашата дистрибуция на Linux по избор (с изключение на Qubes OS)
• Windows 10 (за предпочитане издание Home поради липсата на Bitlocker)
• MacOS (Catalina или по-висока версия)

В допълнение, има голяма вероятност вашият Mac да е или да е бил свързан с акаунт в Apple (при покупката или след влизането в системата) и следователно уникалните му хардуерни идентификатори да водят до вас в случай на изтичане на хардуерни идентификатори.


Linux също не е непременно най-добрият избор за анонимност в зависимост от модела на заплаха. Това е така, защото използването на Windows ще ни позволи удобно да използваме Plausible Deniability (известна още като Deniable Encryption) лесно на ниво операционна система. За съжаление Windows е едновременно и кошмар за неприкосновеността на личния живот, но е единствената (удобна) възможност за използване на правдоподобно отричане на ниво операционна система. Телеметрията и блокирането на телеметрията на Windows също са широко документирани, което би трябвало да смекчи много проблеми.


И така, какво е правдоподобно отричане? Това е възможността да сътрудничите на противник, който иска достъп до вашето устройство/данни, без да разкривате истинската си тайна. Всичко това става с помощта на криптиране, което може да се отрече.


Един мек законен противник може да поиска паролата на криптирания ви лаптоп. Първоначално бихте могли да откажете да дадете каквато и да е парола (използвайки "правото си да запазите мълчание", "правото си да не се уличавате"), но някои държави въвеждат закони за освобождаване от тези права (защото терористите и "мислят за децата"). В такъв случай може да се наложи да разкриете паролата или може би да бъдете осъдени на затвор за неуважение към съда. Тук ще се наложи да се използва правдоподобно отричане.


Тогава бихте могли да разкриете парола, но тази парола ще дава достъп само до "правдоподобни данни" (операционна система-примамка). Криминалистите ще са наясно, че е възможно да имате скрити данни, но не би трябвало да могат да докажат това (ако го направите правилно). Вие ще сте сътрудничили и разследващите ще имат достъп до нещо, но не и до това, което всъщност искате да скриете. Тъй като тежестта на доказване следва да лежи на тяхна страна, те няма да имат друг избор, освен да ви повярват, освен ако не разполагат с доказателство, че имате скрити данни.


Тази функция може да се използва на ниво операционна система (правдоподобна операционна система и скрита операционна система) или на ниво файлове, където ще имате криптиран файлов контейнер (подобен на zip файл), в който ще се показват различни файлове в зависимост от паролата за криптиране, която използвате.


Това също така означава, че можете да създадете своя собствена усъвършенствана конфигурация за "правдоподобно отричане", като използвате всяка хост ОС, например като съхранявате виртуални машини в контейнер със скрит обем Veracrypt (внимавайте за следи в то на хост ОС, които ще трябва да бъдат почистени, ако хост ОС е постоянна, вижте раздела Някои допълнителни мерки срещу криминалистиката по-късно). Съществува проект за постигане на това в рамките на Tails(https://github.com/aforensics/HiddenVM [Archive.org]), който би направил хост операционната система непостоянна и би използвал правдоподобно отричане в рамките на Tails.


В случая с Windows правдоподобната възможност за отричане е и причината, поради която в идеалния случай трябва да имате Windows 10 Home (а не Pro). Това е така, защото Windows 10 Pro предлага естествено система за криптиране на целия диск (Bitlocker), докато Windows 10 Home не предлага никакво криптиране на целия диск. По-късно ще използваме софтуер с отворен код на трета страна за криптиране, който ще позволи криптиране на целия диск в Windows 10 Home. Това ще ви даде добро (правдоподобно) извинение да използвате този софтуер. Докато използването на този софтуер в Windows 10 Pro ще бъде подозрително.


Забележка за Linux: И така, какво ще кажете за Linux и правдоподобното отричане? Да, възможно е да се постигне правдоподобно отричане и с Linux. Но настройката е сложна и ИМХО изисква достатъчно високо ниво на умения, че вероятно не се нуждаете от това ръководство, за да ви помогне да го опитате.


За съжаление, криптирането не е магия и в него има някои рискове:

Заплахите при криптирането.

Ключът за 5 долара.

Не забравяйте, че криптирането със или без правдоподобна възможност за отричане не е сребърен куршум и няма да е от голяма полза в случай на изтезания. Всъщност, в зависимост от това кой би бил вашият противник (вашият модел на заплаха), може би е разумно изобщо да не използвате Veracrypt (преди TrueCrypt), както е показано в тази демонстрация: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Правдоподобното отричане е ефективно само срещу меки законни противници, които няма да прибягнат до физически средства. Избягвайте, ако е възможно, използването на софтуер с възможност за отричане (като Veracrypt), ако вашият модел на заплаха включва твърди противници. Така че потребителите на Windows трябва в този случай да инсталират Windows Pro като хост операционна система и вместо това да използват Bitlocker.


Вижте https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

Атака на злата прислужница.

Атаките на злата прислужница се провеждат, когато някой посяга към вашия лаптоп, докато ви няма. За да инсталира да клонира твърдия ви диск, да инсталира зловреден софтуер или програма за записване на клавиши. Ако могат да клонират твърдия ви диск, те могат да сравнят едно изображение на твърдия ви диск в момента, в който са го взели, докато сте отсъствали, с твърдия диск, когато го изземат от вас. Ако междувременно отново сте използвали лаптопа, криминалистите може да успеят да докажат съществуването на скритите данни, като разгледат разликите между двете изображения в мястото, което би трябвало да е празно/неизползвано. Това може да доведе до убедителни доказателства за съществуването на скрити данни. Ако инсталират програма за записване на клавиши или злонамерен софтуер във вашия лаптоп (софтуер или хардуер), те ще могат просто да получат паролата от вас за последващо използване, когато го конфискуват. Такива атаки могат да бъдат извършени в дома ви, в хотела ви, на граничен пункт или навсякъде, където оставяте устройствата си без надзор.


Можете да смекчите тази атака, като направите следното (както беше препоръчано по-рано):

• Разполагайте с основна защита срещу подправяне (както беше обяснено по-рано), за да предотвратите физическия достъп до вътрешните части на лаптопа без ваше знание. Това ще им попречи да клонират дисковете ви и да инсталират физически логер на клавиши без ваше знание.
• Деактивирайте всички USB портове (както беше обяснено по-рано) в рамките на защитен с парола BIOS/UEFI. Отново няма да могат да ги включат (без физически достъп до дънната платка, за да нулират BIOS), за да заредят USB устройство, което може да клонира твърдия ви диск или да инсталира софтуерно базиран зловреден софтуер, който може да действа като програма за записване на ключове.
• Настройте пароли за BIOS/UEFI/Firmware, за да предотвратите всяко неоторизирано зареждане на неоторизирано устройство.
• Някои операционни системи и софтуер за криптиране разполагат със защита срещу злонамереност, която може да бъде активирана. Такъв е случаят с Windows/Veracrypt и QubeOS.

Атака за студено зареждане.

Атаките за студено зареждане са по-сложни от атаката Evil Maid, но могат да бъдат част от атака Evil Maid, тъй като изискват противникът да влезе във владение на вашия лаптоп, докато активно използвате устройството си или малко след това.


Идеята е доста проста, както е показано в този видеоклип, теоретично противникът може бързо да зареди устройството ви със специален USB ключ, който ще копира съдържанието на RAM (паметта) на устройството, след като го изключите. Ако USB портовете са деактивирани или ако прецени, че има нужда от повече време, той би могъл да го отвори и да "охлади" паметта с помощта на спрей или други химикали (например течен азот), предотвратявайки разпадането на паметта. След това те могат да копират съдържанието й за анализ. Това копие на паметта би могло да съдържа ключа за декриптиране на устройството ви. По-късно ще приложим няколко принципа за смекчаване на последиците от тях.


В случая с правдоподобното отричане имаше някои криминалистични изследвания за техническо доказване на наличието на скрити данни с обикновена съдебна експертиза (без атака Cold Boot/Evil Maid), но те бяха оспорени от други изследвания и от поддържащия Veracrypt, така че засега не бих се притеснявал твърде много за тях.


Същите мерки, използвани за смекчаване на атаките Evil Maid, би трябвало да са налице и за атаките Cold Boot с някои допълнителни такива:

• Ако операционната система или софтуерът за криптиране го позволяват, трябва да помислите за криптиране на ключовете и в оперативната памет (това е възможно с Windows/Veracrypt и ще бъде обяснено по-късно)
• Трябва да ограничите използването на режим на готовност за заспиване и вместо това да използвате Shutdown (Изключване) или Hibernate (Хибернация), за да предотвратите оставането на ключовете за криптиране в RAM паметта, когато компютърът ви заспи. Това е така, защото при заспиване ще се запази мощността на паметта ви за по-бързо възобновяване на дейността ви. Само хибернацията и изключването действително ще изчистят ключа от паметта.

Вижте също https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] и https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org]


Ето и някои интересни инструменти, които потребителите на Linux могат да разгледат, за да се защитят от тях:

• https://github.com/0xPoly/Centry [Archive.org] (за съжаление изглежда неподдържан, така че направих форк и pull request за актуализиране на Veracrypt https://github.com/AnonymousPlanet/Centry [Archive.org], който все още трябва да работи)
• https://github.com/hephaest0s/usbkill [Archive.org] (за съжаление, изглежда, също е неподдържан)
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (операционна система Qubes, само за процесори Intel) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

За заспиването, хибернацията и изключването.

Ако искате по-добра сигурност, трябва да изключвате напълно лаптопа си всеки път, когато го оставяте без надзор или затваряте капака. Това трябва да почисти и/или освободи оперативната памет и да осигури смекчаване на последиците от атаки при студено зареждане. Това обаче може да бъде малко неудобно, тъй като ще трябва да рестартирате напълно и да въведете куп пароли в различни приложения. Рестартирайте различни виртуални машини и други приложения. Така че вместо това можете да използвате и хибернация (не се поддържа в Qubes OS). Тъй като целият диск е криптиран, хибернацията сама по себе си не би трябвало да представлява голям риск за сигурността, но все пак ще изключи лаптопа ви и ще изчисти паметта, като същевременно ще ви позволи удобно да възобновите работата си след това. Това, което никога не трябва да правите, е да използвате стандартната функция за заспиване, която ще държи компютъра ви включен и паметта захранвана. Това е вектор на атака срещу атаките "evil-maid" и "cold-boot", разгледани по-рано. Това е така, защото в паметта на компютъра се съхраняват ключовете за криптиране на диска (криптирани или не) и до тях може да получи достъп опитен противник.


По-късно в това ръководство ще бъдат дадени указания как да активирате хибернацията на различни хост операционни системи (с изключение на Qubes OS), ако не искате да се изключвате всеки път.

Локално изтичане на данни (следи) и съдебномедицинска експертиза.

Както бе споменато накратко по-рано, това са изтичания на данни и следи от операционната система и приложенията, когато извършвате някаква дейност на компютъра си. Те се отнасят предимно за криптирани файлови контейнери (със или без правдоподобно отричане), отколкото за криптиране в цялата операционна система. Такива изтичания са по-малко "важни", ако цялата ви операционна система е криптирана (ако не сте принудени да разкривате паролата).


Да кажем например, че имате USB ключ, криптиран с Veracrypt, с включена вероятна възможност за отричане. В зависимост от паролата, която използвате при монтирането на USB ключа, той ще отвори примамлива папка или чувствителната папка. В рамките на тези папки ще имате документи/данни за примамка в папката за примамка и чувствителни документи/данни в чувствителната папка.


Във всички случаи (най-вероятно) ще отворите тези папки с Windows Explorer, MacOS Finder или друга програма и ще направите каквото сте планирали да направите. Може би ще редактирате документ в рамките на чувствителната папка. Може би ще търсите документ в папката. Може би ще изтриете такъв или ще гледате чувствителен видеоклип с помощта на VLC.


Е, всички тези приложения и операционната ви система може да запазят записи и следи от това използване. Това може да включва пълния път до папката/файловете/дисковете, времето, когато са били достъпни, временните кешове на тези файлове, списъците "Последни" във всяко приложение, системата за индексиране на файлове, която може да индексира диска, и дори миниатюрите, които могат да бъдат генерирани


Ето няколко примера за такива изтичания:

Windows.

• Windows ShellBags, които се съхраняват в регистъра на Windows, безшумно съхраняват различни истории на достъпните томове/файлове/папки.
• Индексиране на Windows, което по подразбиране запазва следи от файловете, намиращи се в потребителската ви папка.
• Списъци на скорошни файлове (известни още като Jump Lists) в Windows и различни приложения, които съхраняват следи от наскоро достъпвани документи.
• Още много други следи в различни логове, моля, вижте този удобен интересен постер за повече информация: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.

• Gatekeeper290 и XProtect, които следят историята на изтеглянията в локална база данни и атрибутите на файловете.
• Индексиране на Spotlight
• Списъци с неотдавнашни документи в различни приложения, които съхраняват следи от наскоро достъпвани документи.
• Временни папки, съхраняващи различни следи от използването на приложения и документи.
• Дневници на MacOS
• ...

Linux.

• Индексиране на тракера
• История на Bash
• USB дневници
• Списъци с неотдавнашни документи в различни приложения, които съхраняват следи от наскоро достъпвани документи.
• Дневници на Linux
• ...

Криминалистите биха могли да използват всички тези изтичания (вж. " Локални изтичания на данни и криминалистика"), за да докажат съществуването на скрити данни и да провалят опитите ви да използвате правдоподобно отричане и да разберат за различни ваши чувствителни дейности.


Затова ще бъде важно да приложите различни стъпки, за да попречите на криминалистите да направят това, като предотвратите и почистите тези течове/следи и, което е по-важно, като използвате криптиране на целия диск, виртуализация и компартментализация.


Криминалистите не могат да извлекат локални изтичания на данни от операционна система, до която нямат достъп. А повечето от тези следи ще можете да изчистите чрез изтриване на диска или чрез сигурно изтриване на виртуалните ви машини (което не е толкова лесно, колкото си мислите, при SSD дискове).


Въпреки това някои техники за почистване ще бъдат разгледани в частта "Прикриване на следите" на това ръководство в самия му край.

Изтичане на данни онлайн.

Независимо дали използвате обикновено криптиране или криптиране с вероятна възможност за отричане. Дори ако сте прикрили следите си на самия компютър. Все още съществува риск от онлайн изтичане на данни, което може да разкрие наличието на скрити данни.


Телеметрията е вашият враг. Както беше обяснено по-рано в това ръководство, телеметрията на операционните системи, но също и от приложенията, може да изпрати зашеметяващи количества лична информация онлайн.


В случая на Windows тези данни могат например да се използват за доказване на съществуването на скрита операционна система/том на компютъра и биха били лесно достъпни в Microsoft. Ето защо е изключително важно да деактивирате и блокирате телеметрията с всички средства, с които разполагате. Без значение каква операционна система използвате.

Заключение.

Никога не трябва да извършвате чувствителни дейности от некриптирана система. А дори и да е криптирана, вероятно никога не трябва да извършвате чувствителни дейности от самата хост операционна система. Вместо това трябва да използвате виртуална машина, за да можете ефективно да изолирате и разделяте дейностите си и да предотвратите локално изтичане на данни.


Ако нямате почти никакви познания за Linux или ако искате да използвате правдоподобна отричаща информация за цялата операционна система, бих ви препоръчал да изберете Windows (или да се върнете към маршрута на Tails) за удобство. Това ръководство ще ви помогне да го втвърдите колкото е възможно повече, за да предотвратите изтичане на информация. Това ръководство също така ще ви помогне да подсилите MacOS и Linux колкото е възможно повече, за да предотвратите подобни изтичания.


Ако не се интересувате от правдоподобно отричане в операционната система и искате да се научите да използвате Linux, силно ви препоръчвам да изберете Linux или маршрута Qubes, ако хардуерът ви го позволява.


Във всички случаи хост операционната система никога не трябва да се използва за пряко извършване на чувствителни дейности. Хост операционната система ще се използва само за свързване към обществена Wi-Fi точка за достъп. Тя ще бъде оставена неизползвана, докато извършвате чувствителни дейности, и в идеалния случай не трябва да се използва за никакви ваши ежедневни дейности.


Помислете и за четене на https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]

 

[HEISENBERG]

Операционна система за хостинг на Linux.

Както споменах по-рано, не препоръчвам да използвате ежедневния си лаптоп за много чувствителни дейности. Или поне не препоръчвам да използвате за тях вашата операционна система на място. Това може да доведе до нежелано изтичане на данни, които биха могли да бъдат използвани за деанонимизирането ви. Ако имате специален лаптоп за тази цел, трябва да преинсталирате нова чиста операционна система. Ако не искате да изтриете лаптопа си и да започнете отначало, трябва да обмислите пътя на Tails или да действате на свой риск.


Препоръчвам също така да извършите първоначалната инсталация напълно офлайн, за да избегнете изтичане на данни.


Винаги трябва да помните, че въпреки репутацията си, основните дистрибуции на Linux (например Ubuntu) не са непременно по-добри по отношение на сигурността от други системи като MacOS и Windows. Вижте тази справка, за да разберете защо https://madaidans-insecurities.github.io/linux.html [Archive.org].

Криптиране на целия диск.

В Ubuntu има две възможности:

• (Препоръчителна и лесна) Криптиране като част от процеса на инсталиране: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Този процес изисква пълно изтриване на целия диск (чиста инсталация).
  • Просто поставете отметка на "Encrypt the new Ubuntu installation for security" (Криптиране на новата инсталация на Ubuntu за сигурност).
• (Досадно, но възможно) Криптиране след инсталиране: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

За други дистрибуции ще трябва да документирате сами, но вероятно ще е подобно. Криптирането по време на инсталацията просто е много по-лесно в контекста на това ръководство.

Отхвърляне/забрана на всякаква телеметрия.

• По време на инсталацията просто се уверете, че не разрешавате събирането на данни, ако бъдете подканени.
• Ако не сте сигурни, просто се уверете, че не сте разрешили никаква телеметрия и следвайте този урок, ако е необходимо https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org]
• Всяка друга дистрибуция: Ще трябва да си направите сами документацията и да откриете как да деактивирате телеметрията, ако има такава.

Деактивирайте всичко ненужно.

• Деактивирайте Bluetooth, ако е активиран, като следвате това ръководство https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] или издадете следната команда:
  
  • sudo systemctl disable bluetooth.service --force
• Деактивирайте индексирането, ако е разрешено по подразбиране (Ubuntu >19.04), като следвате това ръководство https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] или издадете следните команди:
  
  • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Можете спокойно да пренебрегнете всяка грешка, ако тя казва, че някоя услуга не съществува
  • sudo tracker reset -hard

Хибернация.

Както беше обяснено по-рано, не трябва да използвате функциите за заспиване, а да изключвате или хибернирате лаптопа си, за да намалите някои атаки на злата прислужница и студеното зареждане. За съжаление тази функция е изключена по подразбиране в много дистрибуции на Linux, включително Ubuntu. Възможно е да я активирате, но тя може да не работи според очакванията. Следвайте тази информация на свой риск. Ако не искате да направите това, никога не трябва да използвате функцията за заспиване и вместо това да изключите захранването (и вероятно да зададете поведение на затваряне на капака за изключване вместо заспиване).


Следвайте един от тези уроци, за да активирате функцията Hibernate:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

След като активирате Hibernate, променете поведението, така че лаптопът ви да се хибернира, когато затворите капака, като следвате този урок за Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] и този урок за Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org]


За съжаление, това няма да изчисти ключа от паметта директно от паметта при хибернация. За да избегнете това с цената на известна производителност, може да помислите за криптиране на файла за подмяна, като следвате този урок: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Тези настройки би трябвало да смекчат атаките при студено зареждане, ако можете да хибернирате достатъчно бързо.

Активирайте случайното разпределение на MAC адресите.

• Ubuntu, следвайте тези стъпки: https: //help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Всяка друга дистрибуция: ще трябва сами да намерите документацията, но тя би трябвало да е доста подобна на тази в урока за Ubuntu.
• Обърнете внимание на този урок, който все още би трябвало да работи: https://josh.works/shell-script-basics-change-mac-address [Archive.org]

Hardening Linux.

Като леко въведение за нови потребители на Linux, разгледайте

[Invidious]


За по-задълбочени и разширени възможности вижте:

• Това отлично ръководство: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Този отличен уики ресурс: https: //wiki.archlinux.org/title/Security [Archive.org]
• Тези отлични скриптове, базирани на горните ръководство и уики: https: //codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Създаване на безопасен браузър.

Вижте Приложение G: Безопасен браузър в хост операционната система

 

[HEISENBERG]

Приемаща операционна система на MacOS.

Забележка: В момента това ръководство не поддържа MacBook с ARM M1 (все още). Поради това, че Virtualbox все още не поддържа тази архитектура. Това обаче би било възможно, ако използвате комерсиални инструменти като VMWare или Parallels, но те не са обхванати в това ръководство.


Както споменах по-рано, не препоръчвам да използвате ежедневния си лаптоп за много чувствителни дейности. Или поне не препоръчвам да използвате операционната си система на място за тях. Това може да доведе до нежелано изтичане на данни, които могат да бъдат използвани за деанонимност. Ако имате специален лаптоп за тази цел, трябва да преинсталирате нова чиста операционна система. Ако не искате да изтриете лаптопа си и да започнете отначало, трябва да обмислите пътя на Tails или да действате на свой риск.


Препоръчвам също така да извършите първоначалната инсталация напълно офлайн, за да избегнете изтичане на данни.


Никога не влизайте в акаунта си в Apple, като използвате този Mac.

По време на инсталацията.

• Останете офлайн
• Деактивирайте всички заявки за споделяне на данни, когато бъдете подканени, включително услугите за местоположение
• Не влизайте в системата на Apple
• Не активирайте Siri

Заздравяване на MacOS.

Като леко въведение за новите потребители на MacOS, помислете за

[Invidious]


Сега, за да навлезете по-задълбочено в осигуряването и укрепването на MacOS, препоръчвам да прочетете това ръководство на GitHub, което би трябвало да покрие много от въпросите: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Ето и основните стъпки, които трябва да предприемете след офлайн инсталацията си:

Активирайте паролата за фърмуера с опцията "disable-reset-capability".

Първо трябва да настроите парола за фърмуера, като следвате това ръководство от Apple: https://support.apple.com/en-us/HT204455 [Archive.org]


За съжаление, някои атаки все още са възможни и противник може да деактивира тази парола, така че трябва да следвате и това ръководство, за да предотвратите деактивирането на паролата за фърмуера от когото и да било, включително от Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]

Включете функцията Hibernation (хибернация) вместо sleep (сън).

Отново, това е с цел да се предотвратят някои атаки със студено зареждане и атаки на злата прислужница, като се изключва оперативната памет и се почиства ключът за криптиране, когато затворите капака. Винаги трябва да използвате или хибернация, или изключване. В MacOS функцията за хибернация дори има специална опция за специално изчистване на ключа за криптиране от паметта при хибернация (докато в други операционни системи може да се наложи да изчакате паметта да се разпадне). Отново няма лесни опции за това в рамките на настройките, така че вместо това ще трябва да направим това, като изпълним няколко команди, за да активираме хибернацията:

• Отворете терминал
• Изпълнете: sudo pmset -a destroyfvkeyonstandby 1
  
  • Тази команда ще инструктира MacOS да унищожи ключа на Filevault в режим на готовност (сън)
• Изпълнете: sudo pmset -a hibernatemode 25
  
  • Тази команда ще укаже на MacOS да изключи паметта по време на сън, вместо да извърши хибриден режим на хибернация, при който паметта остава включена. Това ще доведе до по-бавно събуждане, но ще увеличи живота на батерията.

Сега, когато затворите капака на вашия MacBook, той трябва да премине в хибернация вместо в режим на заспиване и да намали опитите за извършване на атаки със студено зареждане.


Освен това трябва да настроите и автоматичен сън (Settings > Energy), за да може MacBook да се хибернира автоматично, ако бъде оставен без надзор.

Изключване на ненужните услуги.

Деактивирайте някои ненужни настройки в рамките на настройките:

• Деактивирайте Bluetooth
• Деактивирайте камерата и микрофона
• Деактивиране на услугите за местоположение
• Деактивирайте функцията Airdrop
• Деактивиране на индексирането

Предотвратяване на повикванията на Apple OCSP.

Това са печално известните "неблокируеми телеметрични" повиквания от MacOS Big Sur, разкрити тук: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Можете да блокирате OCSP съобщенията, като издадете следната команда в Terminal:

• sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Но вероятно трябва да си направите документ за действителния проблем, преди да действате. Тази страница е добро място за начало: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Наистина зависи от вас. Аз бих го блокирал, защото не искам никаква телеметрия от моята операционна система към кораба-майка без моето изрично съгласие. Няма.

Активирайте криптирането на целия диск (Filevault).

Трябва да разрешите пълно криптиране на диска на вашия Mac с помощта на Filevault според тази част от ръководството: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Бъдете внимателни, когато разрешавате. Не съхранявайте ключа за възстановяване в Apple, ако бъдете подканени (това не би трябвало да е проблем, тъй като на този етап трябва да сте офлайн). Очевидно не искате трета страна да разполага с вашия ключ за възстановяване.

Случайно разпределение на MAC адресите.

За съжаление MacOS не предлага удобен начин за рандомизиране на вашия MAC адрес и затова ще трябва да го направите ръчно. Той ще се нулира при всяко рестартиране и ще трябва да го правите отново всеки път, за да сте сигурни, че не използвате действителния си MAC адрес при свързване с различни Wi-Fis.


Можете да го направите, като издадете следните команди в терминала (без скобите):

• (Изключете Wi-Fi) networksetup -setairportpower en0 off
• (Променете MAC адреса) sudo ifconfig en0 ether 88:63:11:11:11:11:11
• (Включете отново Wi-Fi) networksetup -setairportpower en0 on

Настройване на безопасен браузър.

Вижте Приложение G: Безопасен браузър в хост операционната система

Хост операционна система Windows.

Както беше споменато по-рано, не препоръчвам да използвате ежедневния си лаптоп за много чувствителни дейности. Или поне не препоръчвам да използвате за тях вашата операционна система на място. Това може да доведе до нежелано изтичане на данни, които могат да бъдат използвани за деанонимизирането ви. Ако имате специален лаптоп за тази цел, трябва да преинсталирате нова чиста операционна система. Ако не искате да изтриете лаптопа си и да започнете отначало, трябва да обмислите пътя на Tails или да действате на свой риск.


Препоръчвам също така да извършите първоначалната инсталация напълно офлайн, за да избегнете изтичане на данни.

Инсталация.

Трябва да следвате Приложение А: Инсталация на Windows


Като леко въведение, помислете за гледане на

[Invidious]

Активиране на случайното разпределение на MAC адресите.

Трябва да направите случаен избор на вашия MAC адрес, както е обяснено по-рано в това ръководство:


Влезте в Настройки > Мрежа и интернет > Wi-Fi > Включете случайни хардуерни адреси


Като алтернатива можете да използвате този безплатен софтуер: https://technitium.com/tmac/ [Archive.org]

Настройване на безопасен браузър.

Вижте Приложение G: Безопасен браузър в хост операционната система

Активиране на някои допълнителни настройки за поверителност на хост операционната система.

Вижте Приложение В: Допълнителни настройки за поверителност на Windows

Криптиране на хост операционната система Windows.

Ако възнамерявате да използвате надеждна възможност за отричане в цялата система.

Veracrypt е софтуерът, който ще ви препоръчам за пълно криптиране на диска, криптиране на файлове и правдоподобно отричане. Той е разклонение на добре познатия, но остарял и неподдържан TrueCrypt. Той може да се използва за

• Просто криптиране на целия диск (твърдият ви диск се криптира с една парола).
• Криптиране на цял диск с вероятна възможност за отричане (това означава, че в зависимост от паролата, въведена при зареждане на компютъра, ще се зареди или примамлива, или скрита операционна система).
• Просто криптиране на файлов контейнер (това е голям файл, който ще можете да монтирате в рамките на Veracrypt, сякаш е външен диск, за да съхранявате в него криптирани файлове).
• Файлов контейнер с вероятна възможност за отричане (това е същият голям файл, но в зависимост от паролата, която използвате при монтирането му, ще монтирате или "скрит том", или "примамлив том").

Доколкото ми е известно, това е единственият (удобен и използваем от всеки) безплатен софтуер за криптиране с отворен код и открит одит, който осигурява и правдоподобна отричаемост за обща употреба и работи с Windows Home Edition.


Изтеглете и инсталирайте Veracrypt от: https://www.veracrypt.fr/en/Downloads.html [Archive.org]


След като го инсталирате, моля, отделете малко време, за да прегледате следните опции, които ще ви помогнат да смекчите някои атаки:

• Криптирайте паметта с опцията Veracrypt (настройки > производителност/опции на драйвера > криптиране на RAM) за сметка на 5-15% производителност. Тази настройка също така ще деактивира хибернацията (която не изчиства активно ключа при хибернация) и вместо това ще криптира паметта изцяло, за да намали някои атаки при студено зареждане.
• Активирайте опцията Veracrypt за изтриване на ключовете от паметта при поставяне на ново устройство (система > настройки > сигурност > изчистване на ключовете от паметта при поставяне на ново устройство). Това може да помогне в случай, че системата ви бъде иззета, докато е все още включена (но заключена).
• Активирайте опцията Veracrypt за монтиране на томове като сменяеми томове (Настройки > Предпочитания > Монтиране на том като сменяем носител). Това ще попречи на Windows да записва някои записи за вашето монтиране в дневниците за събития и ще предотврати някои локални изтичания на данни.
• Бъдете внимателни и имайте добра осведоменост за ситуацията, ако усетите нещо странно. Изключете лаптопа си възможно най-бързо.
• Макар че по-новите версии на Veracrypt поддържат Secure Boot, бих препоръчал да го деактивирате от BIOS, тъй като предпочитам системата Veracrypt Anti-Evil Maid пред Secure Boot.

Ако не искате да използвате криптирана памет (защото производителността може да е проблем), трябва поне да активирате хибернация вместо заспиване. Това няма да изчисти ключовете от паметта (все още сте уязвими на атаки при студено зареждане), но поне би трябвало да ги смекчи донякъде, ако паметта ви има достатъчно време да се разпадне.


Повече подробности по-късно в Маршрут А и Б: Просто криптиране с помощта на Veracrypt (урок за Windows).

Ако не възнамерявате да използвате вероятна възможност за отричане в цялата система.

За този случай ще препоръчам използването на BitLocker вместо Veracrypt за пълно криптиране на диска. Аргументът е, че BitLocker не предлага възможност за правдоподобно отричане, за разлика от Veracrypt. Тогава твърд противник няма стимул да продължи своя "засилен" разпит, ако разкриете паролата.


Обикновено в този случай би трябвало да сте инсталирали Windows Pro и настройката на BitLocker е доста лесна.


В общи линии можете да следвате инструкциите тук: https: //support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


Но ето какви са стъпките:

• Щракнете върху менюто на Windows
• Въведете "Bitlocker".
• Щракнете върху "Управление на Bitlocker".
• Щракнете върху "Включване на Bitlocker" на системния диск
• Следвайте инструкциите
  
  • Не записвайте ключа за възстановяване в акаунт на Microsoft, ако бъдете подканени.
  • Запазете ключа за възстановяване само на външен криптиран диск. За да заобиколите това, отпечатайте ключа за възстановяване с помощта на принтера Microsoft Print to PDF и запазете ключа в папката Documents (Документи).
  • Криптирайте целия диск (не криптирайте само използваното дисково пространство).
  • Използвайте "Нов режим на криптиране"
  • Изпълнете проверката на BitLocker
  • Рестартирайте
• Криптирането вече трябва да ne стартира във фонов режим (можете да проверите, като щракнете върху иконата Bitlocker в долната дясна част на лентата със задачи).

Включете функцията за хибернация (по избор).

Отново, както беше обяснено по-рано. Никога не трябва да използвате функцията за заспиване, за да смекчите някои атаки от типа "студено зареждане" и "злата прислужница". Вместо това трябва да Изключване или хибернация. Следователно трябва да превключвате лаптопа си от режим на заспиване към хибернация, когато затваряте капака или когато лаптопът ви заспи.


(Обърнете внимание, че не можете да включите хибернация, ако преди това сте включили криптиране на оперативната памет в рамките на Veracrypt)


Причината за това е, че хибернацията всъщност ще изключи напълно вашия лаптоп и ще почисти паметта. От друга страна, режимът на заспиване ще остави паметта включена (включително ключа за декриптиране) и може да направи лаптопа ви уязвим на атаки със студено зареждане.


По подразбиране Windows 10 може да не ви предлага тази възможност, затова трябва да я активирате, като следвате този урок на Microsoft: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]

• Отворете команден прозорец за администратор (щракнете с десния бутон на мишката върху Command Prompt (Команден прозорец) и "Run as Administrator" (Изпълни като администратор))
• Изпълнете: powercfg.exe /hibernate on
• Сега изпълнете допълнителната команда: **powercfg /h /type full**
  
  • Тази команда ще се увери, че режимът ви на хибернация е пълен и ще почисти напълно паметта (не сигурно).

След това трябва да влезете в настройките на захранването:

• Отворете контролния панел
• Отворете Система и сигурност
• Отворете Опции за захранване
• Отворете "Изберете какво да прави бутонът за включване".
• Променете всичко от режим на заспиване до хибернация или изключване
• Върнете се към опциите за захранване
• Изберете Промяна на настройките на плана
• Изберете Разширени настройки на захранването
• Променете всички стойности на режима на заспиване за всеки план за захранване на 0 (Никога)
• Уверете се, че хибридният режим на заспиване е изключен за всеки план за захранване
• Активирайте хибернация след желаното време
• Деактивирайте всички таймери за събуждане

Вземане на решение кой подмаршрут ще изберете.

Сега ще трябва да изберете следващата си стъпка между две възможности:

• Маршрут А: Обикновено криптиране на текущата ви операционна система
  
  • Плюсове:
    
    • Не изисква да изтриете лаптопа си
    • Няма проблем с изтичане на локални данни
    • Работи добре с SSD устройство
    • Работи с всяка операционна система
    • Прост
  • Недостатъци:
    
    • Можете да бъдете принудени от противник да разкриете паролата си и всичките си тайни и няма да имате възможност за правдоподобно отричане.
    • Опасност от изтичане на данни онлайн
• Маршрут Б: Просто криптиране на текущата ви операционна система с последващо използване на правдоподобно отричане на самите файлове:
  
  • Плюсове:
    
    • Не изисква да изтриете лаптопа си
    • Работи добре с SSD диск
    • Работи с всяка операционна система
    • Възможност за правдоподобно отричане при "меки" противници
  • Недостатъци:
    
    • Опасност от изтичане на данни онлайн
    • Опасност от изтичане на локални данни (което ще доведе до повече работа по почистването на тези изтичания)
• Маршрут В: вероятна възможност за отричане Криптиране на операционната система (на лаптопа ще работят "скрита операционна система" и "примамлива операционна система"):
  
  • Плюсове:
    
    • Няма проблеми с изтичане на локални данни
    • Възможност за правдоподобно отричане при "меки" противници
  • Недостатъци:
    
    • Изисква Windows (тази функция не се поддържа "лесно" в Linux).
    • Опасност от изтичане на данни онлайн
    • Изисква пълно изтриване на вашия лаптоп
    • Не се използва с SSD диск поради изискването за деактивиране на операциите Trim. Това с течение на времето сериозно ще влоши производителността/здравето на вашето SSD устройство.

Както можете да видите, маршрут С предлага само две предимства за защита на личните данни пред останалите и ще бъде полезен само срещу мек законен противник. Запомнете https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Решението кой маршрут ще изберете зависи от вас. Маршрут А е минимален.


Винаги се уверявайте, че често проверявате за нови версии на Veracrypt, за да сте сигурни, че се възползвате от най-новите кръпки. Особено проверявайте това, преди да приложите големи актуализации на Windows, които могат да повредят зареждащия модул на Veracrypt и да ви вкарат в цикъл на зареждане.


ЗАБЕЛЕЖЕТЕ, ЧЕ ПО ДЕФЕКТ VERACRYPT ВСЕКИ ПЪТ ПРЕДЛАГА СИСТЕМНА ПАРОЛА В КВАРТАЛ (показва паролата като тест). Това може да доведе до проблеми, ако при зареждане се използва клавиатурата на лаптопа (например AZERTY), тъй като ще сте настроили паролата си на QWERTY и ще я въведете по време на зареждането на AZERTY. Затова при тестовото зареждане проверете каква клавиатурна подредба използва вашият BIOS. Възможно е да не успеете да влезете в системата само заради объркването на QWERTY/AZERTY. Ако BIOS-ът ви се зарежда, използвайки AZERTY, ще трябва да въведете паролата на QWERTY в рамките на Veracrypt.

Маршрути А и Б: Просто криптиране с помощта на Veracrypt (урок за Windows)

Пропуснете тази стъпка, ако по-рано сте използвали BitLocker вместо нея.


Не е необходимо да имате твърд диск за този метод и не е необходимо да деактивирате Trim по този маршрут. Изтичането на Trim ще бъде от полза само за криминалистите при откриване на наличието на скрит том, но няма да е от голяма полза по друг начин.


Този маршрут е доста прост и просто ще криптира текущата ви операционна система на място, без да губи никакви данни. Не забравяйте да прочетете всички текстове, които Veracrypt ви показва, за да сте напълно наясно какво се случва.

• Стартиране на VeraCrypt
• Влезте в Настройки:
  
  • Настройки > Опции за производителност/драйвер > Криптиране на RAM
  • Система > Настройки > Сигурност > Изчистване на ключовете от паметта при поставяне на ново устройство
  • Система > Настройки > Windows > Включване на защитен работен плот
• Изберете Система
• Изберете Криптиране на системния дял/диск
• Изберете Нормално (просто)
• Изберете Single-Boot
• Изберете AES като алгоритъм за криптиране (щракнете върху бутона за тест, ако искате да сравните скоростите)
• Изберете SHA-512 като алгоритъм за хеширане (защото защо не)
• Въведете силна парола (колкото по-дълга, толкова по-добре, не забравяйте Приложение A2: Насоки за пароли и пароли)
• Съберете малко ентропия, като премествате курсора си на случаен принцип, докато лентата се запълни
• Щракнете върху Next (Напред), когато се появи екранът Generated Keys (Генерирани ключове)
• Да спасявате или да не спасявате диска - това зависи от вас. Препоръчвам ви да си направите такъв (за всеки случай), само не забравяйте да го съхранявате извън криптирания диск (например USB ключ или изчакайте и вижте края на това ръководство за насоки за безопасно архивиране). Този спасителен диск няма да съхранява вашата парола и все пак ще ви е необходима, за да го използвате.
• Режим на изтриване:
  
  • Ако все още нямате чувствителни данни на този лаптоп, изберете None
  • Ако имате чувствителни данни на SSD диска, само Trim би трябвало да се погрижи за тях, но бих препоръчал 1 преминаване (произволни данни), за да сте сигурни.
  • Ако имате чувствителни данни на твърд диск, няма функция Trim (Подстригване) и бих препоръчал поне 1 преминаване.
• Тествайте настройката си. Сега Veracrypt ще рестартира системата ви, за да тества зареждащото устройство преди криптирането. Този тест трябва да премине успешно, за да може криптирането да продължи.
• След като компютърът ви се рестартира и тестът е преминал успешно. Veracrypt ще ви подкани да започнете процеса на криптиране.
• Стартирайте криптирането и изчакайте да завърши.
• Приключили сте, прескочете Маршрут Б и преминете към следващите стъпки.

Ще има още един раздел за създаване на криптирани файлови контейнери с Plausible Deniability в Windows.

Маршрут Б: Шифроване с вероятна отказоустойчивост със скрита операционна система (само за Windows)

Това се поддържа само в Windows.


Това се препоръчва само при твърд диск. Това не се препоръчва на SSD диск.


Вашата Hidden OS не трябва да бъде активирана (с продуктов ключ на MS). Затова този маршрут ще ви препоръча и насочи към пълна чиста инсталация, която ще изтрие всичко на вашия лаптоп.


Прочетете документацията на Veracrypt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Процес на създаване на част от скритата операционна система) и https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Изисквания за сигурност и предпазни мерки, отнасящи се до скритите томове).


Ето как ще изглежда вашата система след приключване на този процес:

(Илюстрация от документацията на Veracrypt, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org])


Както виждате, този процес изисква от самото начало да имате два дяла на твърдия диск.


Този процес ще направи следното:

• Криптиране на втория дял (външния том), който ще изглежда като празен неформатиран диск от примамливата операционна система.
• Ще ви предложи възможност да копирате част от съдържанието на примамката в рамките на външния дял.
  
  • Това е мястото, където ще копирате колекцията си от анимационни филми и порнографски филми от външен твърд диск във външния том.
• Създайте скрит том в рамките на външния том на този втори дял. Това е мястото, където ще се намира скритата операционна система.
• Клонирайте текущата си инсталация на Windows 10 върху скрития дял.
• Изтрийте текущата си Windows 10.
• Това означава, че текущата ви операционна система Windows 10 ще се превърне в скритата операционна система Windows 10 и че ще трябва да преинсталирате нова примамлива операционна система Windows 10.

Задължително, ако имате SSD диск и все пак искате да направите това противно на препоръката:Също така, както беше споменато по-рано, деактивирането на Trim ще намали живота на вашето SSD устройство и ще се отрази значително на неговата производителност с течение на времето (лаптопът ви ще става все по-бавен в продължение на няколко месеца на използване, докато стане почти неизползваем, след което ще трябва да почистите устройството и да инсталирате всичко наново). Но трябва да го направите, за да предотвратите изтичането на данни, което може да позволи на криминалистите да провалят правдоподобното ви отричане. Единственият начин да заобиколите това в момента е да имате лаптоп с класически HDD диск вместо него.

 

[HEISENBERG]

Стъпка 1: Създаване на USB ключ за инсталиране на Windows 10

Вижте Приложение В: Създаване на инсталационна медия на Windows и тръгнете по пътя на USB ключа.

Стъпка 2: Заредете USB ключа и стартирайте процеса на инсталиране на Windows 10 (скрита операционна система)

• Поставете USB ключа в лаптопа си
• Вижте Приложение А: Инсталиране на Windows и продължете с инсталирането на Windows 10 Home.

Стъпка 3: Настройки за поверителност (Скрита операционна система)

Вижте Приложение Б: Допълнителни настройки за поверителност на Windows

Стъпка 4: Стартиране на процеса на инсталиране и криптиране на Veracrypt (Скрита операционна система)

Не забравяйте да прочетете https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Не свързвайте тази операционна система към известната ви Wi-Fi мрежа. Трябва да изтеглите инсталатора на Veracrypt от друг компютър и да копирате инсталатора тук с помощта на USB ключ.

• Инсталиране на Veracrypt
• Стартирайте Veracrypt
• Влезте в Настройки:
  
  • Настройки > Опции за производителност/драйвер > Криптиране на оперативната памет(имайте предвид, че тази опция не е съвместима с хибернацията на лаптопа и означава, че ще трябва да се изключите напълно)
  • Система > Настройки > Сигурност > Изчистване на ключовете от паметта при поставяне на ново устройство
  • Система > Настройки > Windows > Включване на Secure Desktop
• Влезте в System (Система) и изберете Create Hidden Operating System (Създаване на скрита операционна система)
• Прочетете внимателно всички подканяния
• Изберете Single-Boot, ако бъдете подканени
• Създайте външен том, като използвате AES и SHA-512.
• Използвайте цялото налично пространство на втория дял за външния том
• Използвайте силна парола (не забравяйте Приложение A2: Насоки за пароли и пароли)
• Изберете "да" за големи файлове
• Създайте малко Entropy (Ентропия), като движите мишката, докато лентата се запълни, и изберете NTFS (не избирайте exFAT, тъй като искаме този външен том да изглежда "нормално", а NTFS е нормален).
• Форматиране на външния том
• Отворете външния том:
  
  • На този етап трябва да копирате данните на примамката върху външния том. Така че трябва да имате някои чувствителни, но не толкова чувствителни файлове/папки, които да копирате там. В случай че трябва да разкриете парола за този том. Това е добро място за вашата колекция от анимационни филми/Mp3/филми/Porn.
  • Препоръчвам ви да не запълвате външния обем твърде много или твърде малко (около 40%). Не забравяйте, че трябва да оставите достатъчно място за Скритата операционна система (която ще бъде със същия размер като първия дял, който сте създали по време на инсталацията).
• Използвайте силна парола за Скрития том (очевидно различна от тази за Външния том).
• Сега ще създадете скрития том, изберете AES и SHA-512
• Запълнете лентата за ентропия до края със случайни движения на мишката
• Форматирайте скрития том
• Продължете с клонирането
• Сега Veracrypt ще се рестартира и ще клонира Windows, в който сте започнали този процес, в Скрития том. Този Windows ще стане вашата скрита операционна система.
• Когато клонирането приключи, Veracrypt ще се рестартира в скритата система
• Veracrypt ще ви информира, че Скритата система вече е инсталирана, след което ще ви подкани да изтриете Оригиналната операционна система (тази, която сте инсталирали преди това с USB ключа).
• Използвайте 1-Pass Wipe (Изтриване с 1 пас) и продължете.
• Сега вашата скрита операционна система е инсталирана, преминете към следващата стъпка

Стъпка 5: Рестартирайте и заредете USB ключа и стартирайте отново процеса на инсталиране на Windows 10 (примамлива ОС)

Сега, когато скритата операционна система е напълно инсталирана, ще трябва да инсталирате операционна система "примамка".

• Поставете USB ключа в лаптопа си
• Вижте Приложение A: Инсталация на Windows и продължете с инсталирането на Windows 10 Home отново (не инсталирайте друга версия, а се придържайте към Home).

Стъпка 6: Настройки за поверителност (Decoy OS)

Вижте Приложение Б: Допълнителни настройки за поверителност на Windows

Стъпка 7: Инсталиране на Veracrypt и стартиране на процеса на криптиране (Decoy OS)

Сега ще криптираме Decoy OS:

• Инсталирайте Veracrypt
• Стартирайте VeraCrypt
• Изберете System
• Изберете Encrypt System Partition/Drive
• Изберете Normal (Simple)
• Изберете Single-Boot
• Изберете AES като алгоритъм за криптиране (щракнете върху бутона за тест, ако искате да сравните скоростите)
• Изберете SHA-512 като алгоритъм за хеширане (защото защо не)
• Въведете кратка слаба парола (да, това е сериозно, направете го, ще бъде обяснено по-късно).
• Съберете малко ентропия, като премествате курсора си на случаен принцип, докато лентата се запълни
• Щракнете върху Next (Напред), когато се появи екранът Generated Keys (Генерирани ключове)
• Да спасявате диска или да не го спасявате, ами това зависи от вас. Препоръчвам ви да си направите такъв (за всеки случай), само не забравяйте да го съхранявате извън криптирания диск (например USB ключ или изчакайте и вижте края на това ръководство за насоки за безопасни резервни копия). Този спасителен диск няма да съхранява вашата парола и все пак ще ви е необходима, за да го използвате.
• Режим на изтриване: Изберете 1 парола, за да сте сигурни.
• Предварително тестване на настройката. Сега Veracrypt ще рестартира системата ви, за да тества зареждащото устройство преди криптирането. Този тест трябва да премине успешно, за да може криптирането да продължи.
• След като компютърът ви се рестартира и тестът е преминал успешно. Veracrypt ще ви подкани да започнете процеса на криптиране.
• Стартирайте криптирането и изчакайте да завърши.
• Вашата операционна система Decoy вече е готова за използване.

Стъпка 8: Тествайте настройката си (зареждане в двата режима)

Време е да тествате настройката си.

• Рестартирайте компютъра и въведете паролата на скритата операционна система, трябва да стартирате в скритата операционна система.
• Рестартирайте и въведете паролата си за Decoy OS, трябва да стартирате в Decoy OS.
• Стартирайте Veracrypt в операционната система на примамката и монтирайте втория дял, като използвате паролата на външния том (монтирайте го само за четене, като отидете в "Опции за монтиране" и изберете "Само за четене"), и той трябва да монтира втория дял само за четене, показвайки данните на примамката (вашата колекция от анимационни филми/порно). Сега го монтирате като само за четене, защото ако запишете данни на него, може да отмените съдържанието на скритата си операционна система.

Стъпка 9: Безопасна промяна на примамливите данни във външния том

Преди да преминете към следващата стъпка, трябва да научите начина за безопасно монтиране на вашия външен том за записване на съдържание върху него. Това е обяснено и в тази официална документация на Veracrypt https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org]


Трябва да направите това от сигурно и надеждно място.


По принцип ще монтирате външния си том, като същевременно ще предоставите паролата на скрития том в рамките на опциите за монтиране, за да защитите скрития том от презаписване. След това Veracrypt ще ви позволи да записвате данни във външния том, без да рискувате да презапишете данните в скрития том.


Тази операция всъщност няма да монтира скрития том и трябва да предотврати създаването на съдебни доказателства, които биха могли да доведат до откриването на скритата операционна система. Въпреки това, докато извършвате тази операция, и двете пароли ще бъдат съхранени в оперативната памет и следователно все още може да сте уязвими към атака за студено зареждане. За да намалите това, не забравяйте да имате възможност да криптирате и оперативната си памет.

• Отворете Veracrypt
• Изберете втория дял
• Щракнете върху Mount
• Щракнете върху Опции за монтиране
• Поставете отметка в полето "Protect the Hidden volume..." Опция
• Въведете паролата на скритата операционна система
• Щракнете върху OK
• Въведете паролата на външния том
• Щракнете върху OK
• Сега трябва да можете да отваряте и записвате във външния том, за да променяте съдържанието му (копиране/преместване/изтриване/редактиране...)

Стъпка 10: Оставете някои криминалистични доказателства за външния том (с данните на примамката) в операционната система на примамката

Трябва да направим операционната система-примамка възможно най-достоверна. Искаме също така вашият противник да си помисли, че не сте толкова умни.


Ето защо е важно доброволно да оставите някои криминалистични доказателства за съдържанието на вашата Примамка в рамките на вашата Примамка OS. Тези доказателства ще позволят на криминалистите да видят, че често сте монтирали външния си том, за да получите достъп до съдържанието му.


Ето добри съвети за оставяне на някои криминалистични доказателства:

• Възпроизвеждайте съдържанието от външния том от вашата операционна система "Примамка" (например чрез VLC). Не забравяйте да запазите история на тези действия.
• Редактирайте документи и работете в тях.
• Активирайте отново индексирането на файловете в операционната система "Примамка" и включете монтирания външен том.
• Разглобявайте го и го монтирайте често, за да гледате някакво съдържание.
• Копирайте някакво съдържание от външния том в операционната система "Примамка" и след това го изтрийте по безопасен начин (просто го поставете в кошчето).
• Инсталирайте клиент за торенти на операционната система-примамка и го използвайте от време на време, за да изтегляте подобни неща, които ще оставите на операционната система-примамка.
• Може да имате VPN клиент, инсталиран на Decoy OS, с известна ваша VPN услуга (платена без пари).

Не поставяйте нищо подозрително на Decoy OS, като например:

• Това ръководство
• Всички връзки към това ръководство
• Какъвто и да е подозрителен софтуер за анонимност, например Tor Browser

Забележки.

Не забравяйте, че за да работи този сценарий на правдоподобно отричане, ще ви трябват валидни извинения:


Отделете малко време, за да прочетете отново "Възможни обяснения за съществуването на два Veracrypt дяла на един диск" от документацията на Veracrypt тук https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]

• Използвате Veracrypt, защото използвате Windows 10 Home, който не разполага с Bitlocker, но все пак искаше поверителност.
• Имате два дяла, защото искахте да разделите системата и данните за по-лесна организация и защото някакъв приятел маниак ви каза, че така е по-добре за производителността.
• Използвали сте слаба парола за лесно и удобно зареждане на Системата и силна дълга парола на Външния том, защото ви е мързяло да въвеждате силна парола при всяко зареждане.
• Криптирали сте втория дял с парола, различна от тази на Системата, защото не искате никой от обкръжението ви да вижда вашите неща. И така, не сте искали тези данни да са достъпни за никого.

Бъдете внимателни:

• Никога не трябва да монтирате скрития том от операционната система-примамка (НИКОГА). Ако го направите, това ще доведе до създаване на криминалистични доказателства за скрития том в операционната система-примамка, което може да застраши опита ви за правдоподобно отричане. Ако все пак сте направили това (умишлено или по погрешка) от операционната система "Примамка", има начини да изтриете съдебните доказателства, които ще бъдат обяснени по-късно в края на това ръководство.
• Никога не използвайте операционната система "Примамка" от същата мрежа (обществена Wi-Fi) като скритата операционна система.
• Когато монтирате външния том от операционната система-примамка, не записвайте никакви данни във външния том, тъй като това би могло да замени това, което изглежда като празно пространство, но всъщност е вашата скрита операционна система. Винаги трябва да го монтирате само за четене.
• Ако искате да промените съдържанието на външния том на примамката, трябва да използвате USB ключ с Live OS, който ще работи с Veracrypt.
• Имайте предвид, че няма да използвате скритата операционна система за извършване на чувствителни дейности, това ще бъде направено по-късно от виртуална машина в рамките на скритата операционна система. Скритата операционна система има за цел само да ви предпази от мек противник, който може да получи достъп до вашия лаптоп и да ви принуди да разкриете паролата си.
• Бъдете внимателни при всякаква намеса в лаптопа ви. Атаките на злата прислужница могат да разкрият скритата ви операционна система.

 

[HEISENBERG]

Virtualbox на вашата хост операционна система.

Не забравяйте Приложение W: Виртуализация.


Тази стъпка и следващите стъпки трябва да се извършват от хост операционната система. Това може да бъде или вашата хост ОС с просто криптиране (Windows/Linux/MacOS), или вашата скрита ОС с правдоподобно отричане (само Windows).


В този маршрут ще използваме широко безплатния софтуер Oracle Virtualbox. Това е софтуер за виртуализация, в който можете да създавате виртуални машини, които емулират компютър с определена операционна система (ако искате да използвате нещо друго като Xen, Qemu, KVM или VMWARE, можете да го направите, но тази част от ръководството обхваща само Virtualbox за удобство).


И така, трябва да сте наясно, че Virtualbox не е софтуерът за виртуализация с най-добри резултати по отношение на сигурността и някои от докладваните проблеми не са напълно отстранени и до днес, и ако използвате Linux с малко повече технически умения, трябва да помислите за използване на KVM вместо това, като следвате ръководството, достъпно в Whonix тук https://www.whonix.org/wiki/KVM [Archive.org] и тук https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org]


Във всички случаи трябва да се предприемат някои стъпки:


Всички чувствителни дейности ще се извършват от гост-виртуална машина с Windows 10 Pro (този път не Home), Linux или MacOS.


Това има няколко предимства, които значително ще ви помогнат да останете анонимни:

• То трябва да попречи на операционната система на гостуващата виртуална машина (Windows/Linux/MacOS), приложенията и всякаква телеметрия в рамките на виртуалните машини да имат директен достъп до вашия хардуер. Дори ако вашата виртуална машина е компрометирана от зловреден софтуер, този зловреден софтуер не би трябвало да може да достигне до виртуалната машина и да компрометира действителния ви лаптоп.
• Това ще ни позволи да принудим целия мрежов трафик от клиентската ви виртуална машина да преминава през друга виртуална машина Gateway, която ще насочва (торифицира) целия трафик към мрежата Tor. Това е мрежов "изключвател". Вашата виртуална машина ще изгуби напълно мрежовата си свързаност и ще излезе извън мрежата, ако другата виртуална машина изгуби връзката си с мрежата Tor.
• Самата виртуална машина, която има интернет свързаност само чрез шлюза на мрежата Tor, ще се свърже с вашата платена в брой VPN услуга чрез Tor.
• Изтичането на DNS ще бъде невъзможно, тъй като виртуалната машина е в изолирана мрежа, която трябва да премине през Tor независимо от всичко.

 

[HEISENBERG]

Изберете своя метод на свързване.

В рамките на този маршрут има 7 възможности:

• Препоръчителни и предпочитани:
  
  • Използвайте само Tor (Потребител > Tor > Интернет)
  • Използване на VPN през Tor (Потребител > Tor > VPN > Интернет) в конкретни случаи
• Възможно е, ако се изисква от контекста:
  
  • Използване на VPN през Tor през VPN (Потребител > VPN > Tor > VPN > Интернет)
  • Използване на Tor през VPN (Потребител > VPN > Tor > Интернет)
• Не е препоръчително и рисковано:
  
  • Използвайте само VPN (Потребител > VPN > Интернет)
  • Използване на VPN през VPN (Потребител > VPN > VPN > Интернет)
• Не се препоръчва и е много рисковано (но е възможно)
  
  • Без VPN и без Tor (Потребител > Интернет)

Само Tor.

Това е най-предпочитаното и препоръчително решение.

При това решение цялата ви мрежа преминава през Tor и това би трябвало да е достатъчно, за да гарантира анонимността ви в повечето случаи.


Има един основен недостатък: Някои услуги блокират/забраняват директно Tor Exit възли и не позволяват създаването на акаунти от тях.


За да намалите този проблем, може да се наложи да разгледате следващата опция: VPN през Tor, но трябва да се вземат предвид някои рискове, свързани с него, обяснени в следващия раздел.

VPN/Proxy през Tor.

Това решение може да донесе някои ползи в някои специфични случаи в сравнение с използването само на Tor, когато достъпът до услугата по местоназначение би бил невъзможен от Tor Exit възел. Това е така, защото много услуги просто ще забранят, затруднят или блокират Tor ( вж. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Както можете да видите на тази илюстрация, ако вашата VPN/прокси услуга, платена с пари (предпочитана)/монеро, бъде компрометирана от противник (въпреки техните декларации за поверителност и политики за нерегистриране), той ще открие само анонимен VPN/прокси акаунт, платен с пари/монеро, който се свързва с техните услуги от Tor Exit възел.

Ако противник успее да компрометира и мрежата Tor, той ще разкрие само IP адреса на произволен обществен Wi-Fi, който не е свързан с вашата самоличност.


Ако противник по някакъв начин компрометира операционната система на вашата виртуална машина (например със зловреден софтуер или експлойт), той ще бъде хванат в капана на вътрешната мрежа на Whonix и не би трябвало да може да разкрие IP адреса на обществения Wi-Fi.


Това решение обаче има един основен недостатък, който трябва да се вземе предвид: смущения в изолирането на потока Tor.


Изолирането на потока е техника за смекчаване на въздействието, използвана за предотвратяване на някои корелационни атаки чрез различни Tor вериги за всяко приложение. Ето една илюстрация, която показва какво представлява изолирането на потока:

(Илюстрация от Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy over Tor попада в дясната част, което означава, че използването на VPN/Proxy over Tor принуждава Tor да използва една верига за всички дейности, вместо няколко вериги за всяка от тях. Това означава, че използването на VPN/Proxy върху Tor може донякъде да намали ефективността на Tor в някои случаи и следователно трябва да се използва само в някои специфични случаи:

• Когато услугата на местоназначението ви не позволява Tor Exit nodes.
• Когато нямате нищо против да използвате обща Tor верига за различни услуги. Като например за използване на различни удостоверени услуги.

Трябва обаче да обмислите да не използвате този метод, когато целта ви е просто да разглеждате произволно различни неавтентифицирани уебсайтове, тъй като няма да се възползвате от изолирането на потока и това може да улесни с течение на времето корелационните атаки на противника между всяка от вашите сесии (вижте Вашият анонимизиран Tor/VPN трафик). Ако обаче целта ви е да използвате една и съща самоличност при всяка сесия в едни и същи удостоверени услуги, стойността на изолирането на потоци намалява, тъй като можете да бъдете корелирани чрез други средства.


Трябва също да знаете, че изолирането на потока не е задължително конфигурирано по подразбиране в Whonix Workstation. Тя е предварително конфигурирана само за някои приложения (включително Tor Browser).


Също така имайте предвид, че Stream Isolation (Изолиране на потока) не променя непременно всички възли във вашата Tor верига. Понякога тя може да промени само един или два. В много случаи Изолирането на потока (например в рамките на Tor Browser) ще промени само релейния (средния) възел и изходния възел, като запази същия охранителен (входен) възел.


Повече информация на адрес:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor над VPN.

Може би се чудите: А какво ще кажете за използването на Tor върху VPN вместо на VPN върху Tor? Е, аз не бих го направил непременно:

• Недостатъци:
  
  • Вашият доставчик на VPN услуги е просто още един доставчик на интернет услуги, който след това ще знае IP адреса на произхода ви и ще може да ви деанонимизира, ако е необходимо. Ние не им се доверяваме. Предпочитам ситуация, при която вашият VPN доставчик не знае кой сте. Той не добавя много по отношение на анонимността.
  • Това би довело до това да се свързвате с различни услуги, използвайки IP адреса на изходен възел на Tor, които са забранени/оповестявани на много места. Не помага и по отношение на удобството.
• Предимства:
  
  • Основното предимство наистина е, че ако се намирате във враждебна среда, където достъпът до Tor е невъзможен/опасен/подозрителен, но VPN е добре.
  • Този метод също така не нарушава изолацията на Tor Stream.

Обърнете внимание, че ако имате проблеми с достъпа до мрежата Tor поради блокиране/цензура, можете да опитате да използвате Tor Bridges. Вижте Приложение X: Използване на Tor мостове във враждебна среда.


Възможно е също така да се помисли за VPN през Tor през VPN (Потребител > VPN > Tor > VPN > Интернет ), като вместо това се използват две VPN мрежи, платени в брой/монеро. Това означава, че ще свържете хост операционната система към първата VPN от вашия обществен Wi-Fi, след това Whonix ще се свърже с Tor и накрая вашата виртуална машина ще се свърже с втората VPN през Tor над VPN ( вж. https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Това, разбира се, ще окаже значително влияние върху производителността и може да е доста бавно, но мисля, че Tor е необходим някъде за постигане на разумна анонимност.


Постигането на това технически е лесно в рамките на този маршрут, трябват ви два отделни анонимни VPN акаунта и трябва да се свържете към първата VPN от хост операционната система и да следвате маршрута.


Заключение: Направете това само ако смятате, че използването само на Tor е рисковано/невъзможно, но VPN мрежите са подходящи. Или просто защото можете и така, защо не.

 

[HEISENBERG]

Само за VPN.

Този маршрут няма да бъде обяснен, нито препоръчан.


Ако можете да използвате VPN, тогава би трябвало да можете да добавите слой Tor върху него. А ако можете да използвате Tor, тогава можете да добавите анонимна VPN мрежа върху Tor, за да получите предпочитаното решение.


Използването само на VPN или дори на VPN над VPN няма смисъл, тъй като те могат да бъдат проследени обратно до вас с течение на времето. Единият от доставчиците на VPN услуги ще знае истинския ви IP адрес на произход (дори и да е в безопасно публично пространство) и дори да добавите един над него, вторият пак ще знае, че сте използвали тази друга първа VPN услуга. Това само леко ще забави деанонимизирането ви. Да, това е допълнителен слой... но той е постоянен централизиран допълнителен слой и можете да бъдете деанонимизирани с течение на времето. Това е просто верижно свързване на трима доставчици на интернет услуги, които са обект на законни искания.


За повече информация, моля, вижте следните препратки:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

В контекста на това ръководство Tor е необходим някъде за постигане на разумна и безопасна анонимност и трябва да го използвате, ако можете.

Не е необходимо да използвате VPN/Tor.

Ако не можете да използвате VPN или Tor там, където се намирате, вероятно се намирате в много враждебна среда, където наблюдението и контролът са много високи.


Просто не го правете, не си заслужава и е твърде рисковано IMHO. Можете да бъдете деанонимизирани почти мигновено от всеки мотивиран противник, който би могъл да стигне до физическото ви местоположение за броени минути.


Не забравяйте да се върнете към Противниците (заплахите) и Приложение S: Проверете мрежата си за наблюдение/цензура с помощта на OONI.


Ако нямате абсолютно никаква друга възможност и все пак искате да направите нещо, вижте Приложение P: Достъп до интернет по възможно най-безопасния начин, когато Tor/VPN не е опция (на ваш собствен риск) и вместо това помислете за маршрута "Опашки".

Заключение.

За съжаление, използването на Tor само по себе си ще предизвика подозренията на много платформи на дестинации. Ако използвате само Tor, ще се сблъскате с много пречки (captchas, грешки, трудности при регистрацията). Освен това използването на Tor там, където се намирате, може да ви създаде проблеми само заради това. Но Tor си остава най-доброто решение за анонимност и трябва да бъде някъде за анонимност.

• Ако намерението ви е да създадете постоянни споделени и удостоверени самоличности в различни услуги, където достъпът от Tor е труден, препоръчвам опцията VPN over Tor (или VPN over Tor over VPN, ако е необходимо). Тя може да е малко по-слабо защитена от корелационни атаки поради нарушаване на изолацията на Tor Stream, но осигурява много по-голямо удобство при достъпа до онлайн ресурси, отколкото само с помощта на Tor. Това е "приемлив" компромис ИМХП, ако сте достатъчно внимателни със самоличността си.
• Ако обаче намерението ви е просто да сърфирате анонимно в произволни услуги, без да създавате конкретни споделени самоличности, като използвате приятелски за Tor услуги; или ако не искате да приемете този компромис в предишния вариант. Тогава ви препоръчвам да използвате маршрута Само с Tor, за да запазите всички предимства на изолирането на потока (или Tor през VPN, ако имате нужда).
• Ако разходите са проблем, препоръчвам опцията Само Tor, ако е възможно.
• Ако и Tor, и VPN достъпът са невъзможни или опасни, тогава нямате друг избор, освен да разчитате безопасно на Public wi-fis. Вижте Приложение Р: Достъп до интернет по възможно най-безопасния начин, когато Tor и VPN не са възможни

За повече информация можете да видите и дискусиите тук, които биха могли да ви помогнат да вземете решение:

• Проектът Tor: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Документация за Tor:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Документация на Whonix (в този ред):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Някои документи по въпроса:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Получете анонимна VPN услуга/прокси.

Пропуснете тази стъпка, ако искате да използвате само Tor.


Вижте Приложение О: Получаване на анонимен VPN/Proxy

Whonix.

Прескочете тази стъпка, ако не можете да използвате Tor.


Този маршрут ще използва виртуализация и Whonix309 като част от процеса на анонимизиране. Whonix е дистрибуция на Linux, съставена от две виртуални машини:

• Whonix Workstation (това е виртуална машина, в която можете да извършвате чувствителни дейности)
• Whonix Gateway (тази виртуална машина ще установи връзка с мрежата Tor и ще насочва целия мрежов трафик от работната станция през мрежата Tor).

Следователно в това ръководство ще бъдат предложени 2 варианта на този маршрут:

• Маршрут само за Whonix, при който целият трафик се пренасочва през мрежата Tor (само Tor или Tor през VPN).

Хибриден маршрут на Whonix, при който целият трафик се пренасочва през VPN, платена в пари (за предпочитане)/Монеро, през мрежата Tor (VPN през Tor или VPN през Tor през VPN).

Ще можете да решите кой вариант да използвате въз основа на моите препоръки. Препоръчвам втория, както беше обяснено по-рано.


Whonix е добре поддържана и има обширна и невероятно подробна документация.

Една забележка относно моментните снимки във Virtualbox.

По-късно ще създадете и стартирате няколко виртуални машини в рамките на Virtualbox за вашите чувствителни дейности. Virtualbox предоставя функция, наречена "Snapshots" (Снимки), която позволява запазване на състоянието на дадена виртуална машина във всеки един момент от време. Ако по някаква причина по-късно искате да се върнете към това състояние, можете да възстановите тази моментна снимка във всеки един момент.


Силно ви препоръчвам да се възползвате от тази функция, като създадете моментна снимка след първоначалната инсталация/актуализация на всяка виртуална машина. Тази моментна снимка трябва да бъде направена преди използването им за каквато и да е чувствителна/анонимна дейност.


Това ще ви позволи да превърнете вашите виртуални машини в своеобразни "живи операционни системи" за еднократна употреба (подобно на разгледаните по-рано "опашки"). Това означава, че ще можете да изтриете всички следи от дейността си в рамките на дадена виртуална машина, като възстановите моментна снимка до по-ранно състояние. Разбира се, това няма да е "толкова добро", колкото при Tails (където всичко се съхранява в паметта), тъй като на твърдия ви диск може да останат следи от тази дейност. Криминалистичните изследвания показват възможност за възстановяване на данни от възстановена виртуална машина. За щастие, ще има начини за премахване на тези следи след изтриване или връщане към предишна моментна снимка. Такива техники ще бъдат разгледани в раздела Някои допълнителни мерки срещу криминалистиката на това ръководство.

Изтеглете помощните програми Virtualbox и Whonix.

Трябва да изтеглите няколко неща в рамките на хост операционната система.

• Най-новата версия на инсталатора на Virtualbox в съответствие с вашата хост ОС https://www.virtualbox.org/wiki/Downloads [Archive.org]
• (Пропуснете това, ако не можете да използвате Tor в естествен вид или чрез VPN) Най-новият OVA файл на Whonix от https://www.whonix.org/wiki/Download [Archive.org] според вашите предпочитания (Linux/Windows, с десктоп интерфейс XFCE за простота или само с текстовия клиент за напреднали потребители)

С това приключва подготовката и вече трябва да сте готови да започнете да настройвате окончателната среда, която ще защитава анонимността ви онлайн.

Препоръки за втвърдяване на Virtualbox.

За идеална сигурност трябва да следвате препоръките, предоставени тук за всяка виртуална машина на Virtualbox https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Деактивиране на звука.
• Не разрешавайте функцията Shared Folders (Споделени папки).
• Не разрешавайте 2D ускорението. Това се прави, като се изпълнява следната команда VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• Не разрешавайте 3D ускорението.
• Не разрешавайте серийния порт.
• Премахнете флопидисковото устройство.
• Премахнете CD/DVD устройството.
• Не разрешавайте сървъра за отдалечен дисплей.
• Разрешете PAE/NX (NX е функция за сигурност).
• Деактивирайте Advanced Configuration and Power Interface (ACPI). Това се прави, като се изпълнява следната команда VBoxManage modifyvm "vm-id" --acpi on|off
• Не свързвайте USB устройства.
• Деактивирайте USB контролера, който е включен по подразбиране. Задайте Pointing Device (посочващо устройство) на "PS/2 Mouse" (PS/2 мишка), в противен случай промените ще се върнат обратно.

И накрая, следвайте и тази препоръка, за да десинхронизирате часовника на вашата виртуална машина спрямо този на хост операционната система https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


Това отместване трябва да бъде в рамките на 60000 милисекунди и трябва да бъде различно за всяка виртуална машина, а тук са дадени някои примери (които по-късно могат да бъдат приложени към всяка виртуална машина):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Също така обмислете възможността да приложите тези смекчаващи мерки от VirtualBox, за да смекчите уязвимостите Spectre/Meltdown, като изпълните тази команда от директорията с програми на VirtualBox. Всички те са описани тук: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (имайте предвид, че те могат да повлияят сериозно на производителността на вашите виртуални машини, но трябва да се направят за най-добра сигурност).


И накрая, разгледайте съветите за сигурност от самия Virtualbox тук: https: //www.virtualbox.org/manual/ch13.html [Archive.org]

 

[HEISENBERG]

Tor над VPN.

Пропуснете тази стъпка, ако не възнамерявате да използвате Tor over VPN и възнамерявате да използвате само Tor или не можете да използвате Tor.


Ако възнамерявате да използвате Tor over VPN по някаква причина. Най-напред трябва да конфигурирате VPN услуга на вашата хост операционна система.


Не забравяйте, че в този случай препоръчвам да имате два VPN акаунта. И двата платени с пари в брой/монеро (вижте Приложение О: Получаване на анонимен VPN/прокси сървър). Единият ще се използва в хост операционната система за първата VPN връзка. Другият може да се използва във виртуалната машина за постигане на VPN през Tor през VPN (Потребител > VPN > Tor > VPN).


Ако възнамерявате да използвате само Tor over VPN, ви е необходим само един VPN акаунт.


За инструкции вижте Приложение R: Инсталиране на VPN на вашата виртуална машина или хост операционна система.

 

[HEISENBERG]

Виртуални машини на Whonix.

Пропуснете тази стъпка, ако не можете да използвате Tor.

• Стартирайте Virtualbox на вашата хост операционна система.
• Импортирайте файла Whonix във Virtualbox, като следвате инструкциите на https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Стартирайте виртуалните машини Whonix

На този етап не забравяйте, че ако имате проблеми със свързването с Tor поради цензура или блокиране, трябва да помислите за свързване с помощта на Bridges, както е обяснено в този урок https://www.whonix.org/wiki/Bridges [Archive.org].

• Актуализирайте виртуалните машини Whonix, като следвате инструкциите на https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org]
• Изключете виртуалните машини Whonix
• Направете снимка на актуализираните Whonix VMs във Virtualbox (изберете VM и щракнете върху бутона Take Snapshot). Повече за това по-късно.
• Преминете към следващата стъпка

Важна забележка: Трябва да прочетете и тези много добри препоръки там https://www.whonix.org/wiki/DoNot [Archive.org], тъй като повечето от тези принципи ще важат и за това ръководство. Трябва да прочетете и общата им документация тук https://www.whonix.org/wiki/Documentation [Archive.org], която също ще ви даде тонове съвети като това ръководство.