Průvodce online anonymitou (podle https://anonymousplanet.org/)

Použití na vlastní nebezpečí. Neberte prosím tuto příručku jako definitivní pravdu o všem, protože jí není.

Spoiler: V této knize jsou uvedeny všechny důležité informace, které se vztahují k danému tématu, např: Obsah

• Úvod:
• Pochopení některých základů toho, jak k vám některé informace mohou vést zpět a jak některé zmírnit:
  • Vaše síť:
    • Vaše IP adresa:
    • Vaše DNS a IP požadavky:
    • Vaše zařízení s podporou RFID:
    • Zařízení Wi-Fis a Bluetooth ve vašem okolí:
    • Přístupové body Wi-Fi se škodlivými útoky:
    • Váš anonymizovaný provoz Tor/VPN:
    • Některá zařízení lze sledovat i v režimu offline:
  • Vaše hardwarové identifikátory:
    • Vaše IMEI a IMSI (a tím i vaše telefonní číslo):
    • Vaše adresa MAC Wi-Fi nebo Ethernetu:
    • Vaše adresa MAC Bluetooth:
  • Váš procesor:
  • Vaše operační systémy a telemetrické služby aplikací:
  • Vaše chytrá zařízení obecně:
  • Vy sami:
    • Vaše metadata včetně vaší zeměpisné polohy:
    • Váš digitální otisk prstu, stopa a chování na internetu:
    • Vaše stopy o vašem reálném životě a OSINT:
    • Vaše tvář, hlas, biometrické údaje a obrázky:
    • Phishing a sociální inženýrství:
  • Malware, exploity a viry:
    • Malware ve vašich souborech/dokumentech/e-mailech:
    • Malware a exploity ve vašich aplikacích a službách:
    • Škodlivá zařízení USB:
    • Malware a zadní vrátka ve vašem hardwarovém firmwaru a operačním systému:
  • Vaše soubory, dokumenty, obrázky a videa:
    • Vlastnosti a metadata:
    • Vodoznaky:
    • Pixelizované nebo rozmazané informace:
  • Vaše transakce s kryptoměnami:
  • Vaše cloudové zálohovací/synchronizační služby:
  • Vaše otisky prstů prohlížeče a zařízení:
  • Místní úniky dat a forenzní analýza:
  • Špatná kryptografie:
  • Žádné protokolování, ale přesto zásady protokolování:
  • Některé pokročilé cílené techniky:
  • Některé bonusové zdroje:
  • Poznámky:
• Obecné přípravy:
  • Výběr trasy:
    • Časová omezení:
    • Omezení rozpočtu/materiálu:
    • Dovednosti:
    • Protivníci (hrozby):
  • Kroky pro všechny trasy:
    • Získat anonymní telefonní číslo:
    • Získejte USB klíč:
    • Najděte si bezpečná místa se slušnou veřejnou Wi-Fi:
  • Trasa TAILS:
    • Trasa TAILS: Trvalá věrohodná popíratelnost pomocí Whonixu v rámci TAILS:
  • Kroky pro všechny ostatní cesty: Vydejte se na cestu k získání informací:
    • Pořiďte si speciální notebook pro citlivé činnosti:
    • Několik doporučení pro notebooky:
    • Nastavení Biosu/UEFI/Firmwaru vašeho notebooku:
    • Fyzická ochrana notebooku proti neoprávněné manipulaci:
  • Cesta Whonix:
    • Výběr hostitelského operačního systému (operační systém nainstalovaný v notebooku):
    • Hostitelský operační systém Linux:
    • MacOS Hostitelský operační systém:
    • Hostitelský OS: Windows
    • Virtualbox na vašem hostitelském OS:
    • Zvolte si způsob připojení:
    • Pořiďte si anonymní VPN/Proxy:
    • Proxy: Whonix:
    • Tor přes VPN:
    • Virtuální stroje: Whonix:
    • Vyberte si hostovanou pracovní stanici Virtuální stroj:
    • Virtuální stroj Linux (Whonix nebo Linux):
    • Windows 10 Virtual Machine:
    • Virtuální stroj: Android Virtuální stroj: Windows (Windows) nebo Windows 10 (Windows): Android
    • Virtuální stroj: MacOS Virtuální stroj:
    • Vhodný pro virtuální počítače: KeepassXC:
    • Instalace klienta VPN (placená v hotovosti/Monero):
    • (Volitelné) umožňuje přístup k internetu pouze virtuálním počítačům a zároveň odřízne hostitelský operační systém, aby se zabránilo úniku informací:
    • Závěrečný krok:
  • Trasa Qubes:
    • Vyberte si metodu připojení:
    • Pořiďte si anonymní VPN/Proxy:
    • Instalace:
    • Chování při uzavření víka:
    • Připojení k veřejné Wi-Fi:
    • Aktualizace operačního systému Qubes:
    • Qubes OS: Aktualizujte operační systém Qubes:
    • Nastavení VPN ProxyVM:
    • Nastavení bezpečného prohlížeče v systému Qube OS (volitelné, ale doporučené):
    • Nastavení virtuálního počítače se systémem Android:
    • KeePassXC:
• Vytvoření anonymních online identit: Vložte KeePeasePease do svého počítače:
  • Pochopení metod používaných k zabránění anonymity a ověření identity:
    • Captchy: Jak se naučit používat identitu?
    • Ověřování telefonu: Jak se dostat do systému?
    • Ověření e-mailu: Ověření e-mailu: Ověření e-mailu: Ověření e-mailu:
    • Ověřování údajů o uživateli:
    • Ověření totožnosti:
    • IP filtry:
    • Prohlížeč a zařízení: otisk prstu:
    • Interakce s člověkem:
    • Moderování uživatelů:
    • Analýza chování:
    • Finanční transakce:
    • Přihlášení pomocí některé platformy:
    • Rozpoznávání obličeje a biometrie (opět):
    • Ruční recenze:
  • Získání online:
    • Vytváření nových identit:
    • Systém skutečných jmen:
    • O placených službách:
    • Přehled: O placených službách: O placených službách: O placených službách: Přehled:
    • Jak anonymně sdílet soubory nebo chatovat:
    • Jak bezpečně upravovat dokumenty/obrázky/videa/zvuk:
    • Sdělování citlivých informací různým známým organizacím:
    • Úkoly údržby:
• Bezpečné zálohování práce:
  • Zálohování v režimu offline:
    • Zálohování vybraných souborů:
    • Zálohování celého disku/systému:
  • Zálohování online: Zálohování disku: Zálohování online:
    • Soubory: Zálohování souborů:
    • Informace: Zálohování: Zálohování: Informace:
  • Synchronizace souborů mezi zařízeními Online:
• Zakrývání stop:
  • Záznamy: Rozumíme HDD vs. SSD:
    • Wear-Leveling.
    • Operace trimování:
    • Sběr odpadu:
    • Závěr:
  • Jak bezpečně vymazat celý notebook/disk, pokud chcete vymazat vše:
    • Linux (všechny verze včetně Qubes OS):
    • Windows:
    • MacOS:
  • Jak bezpečně vymazat konkrétní soubory/složky/data na HDD/SSD a flash discích:
    • Windows:
    • Linux (mimo Qubes OS):
    • Linux (Qubes OS): Jak na to?
    • (Qubes): MacOS:
  • Některá další opatření proti forenzní kriminalistice:
    • Odstranění metadat ze souborů/dokumentů/obrázků:
    • TAILS:
    • Whonix:
    • MacOS:
    • (Qubes OS): MacOS: Linux (Qubes OS):
    • Linux (jiný než Qubes): Linux (jiný než Qubes):
    • Windows:
  • Odstranění některých stop po vašich identitách ve vyhledávačích a na různých platformách:
    • Google:
    • Bing:
    • DuckDuckGo: Google: Google: DuckDuckGo:
    • Yandex:
    • Qwant:
    • Vyhledávání Yahoo:
    • Baidu:
    • Wikipedie: Baidu: Wikipedia:
    • Archive.today:
    • Internetový archiv:
• Několik staromódních triků s nízkými technologiemi:
  • Skrytá komunikace na očích:
  • Jak zjistit, zda někdo prohledává vaše věci:
• Několik posledních myšlenek o OPSEC:
• Pokud si myslíte, že jste se spálili:
  • Pokud máte trochu času:
  • Pokud nemáte čas:
• Malá redakční poznámka na závěr

 

[HEISENBERG]

Omezení rozpočtu/materiálu.

• Máte k dispozici pouze jeden notebook a nemůžete si dovolit nic jiného. Tento notebook používáte buď pro práci, rodinu, nebo pro své osobní věci (nebo obojí):
  
  • Nejlepší volbou je zvolit cestu Tails.
• Můžete si dovolit náhradní vyhrazený notebook bez dozoru/monitorování pro citlivé činnosti:
  
  • Je však starý, pomalý a má špatné specifikace (méně než 6 GB RAM, méně než 250 GB místa na disku, starý/pomalý procesor):
    
    • Měli byste se vydat cestou Tails.
  • Není tak starý a má slušné specifikace (alespoň 6 GB RAM, 250 GB místa na disku nebo více, slušný procesor):
    
    • Mohli byste zvolit trasy Tails, Whonix.
  • Je nový a má skvělé specifikace (více než 8 GB RAM, >250 GB místa na disku, nedávný rychlý procesor):
    
    • Pokud to váš model ohrožení umožňuje, můžete zvolit jakoukoli cestu, ale doporučil bych vám operační systém Qubes.
  • Pokud je to Mac M1 založený na ARMu:
    
    • V současné době to není možné z těchto důvodů:
      
      • Virtualizace obrazů x86 na počítačích Mac s procesorem ARM M1 je stále omezena na komerční software (Parallels), který Whonix zatím nepodporuje.
      • Virtualbox zatím není pro architekturu ARM k dispozici.
      • Whonix zatím není na architektuře ARM podporován.
      • Tails zatím není na architektuře ARM podporován.
      • Operační systém Qubes zatím není na architektuře ARM podporován.

Jedinou možností na počítačích Mac M1 je pravděpodobně zůstat prozatím u Tor Browses. Ale řekl bych, že pokud si můžete dovolit M1 Mac, měli byste si pravděpodobně pořídit specializovaný x86 notebook pro citlivější činnosti.

 

[HEISENBERG]

Dovednosti: Vyzkoušejte si, jak se v chemii chováte.

• Nemáte vůbec žádné dovednosti v oblasti IT obsah této příručky vám připadá jako cizí jazyk?
  
  • Měli byste se vydat cestou ocásků (s výjimkou části věrohodného popírání).
• Máte nějaké dovednosti v oblasti IT a zatím této příručce většinou rozumíte.
  
  • Měli byste se vydat cestou Tails (včetně části věrohodného popírání) nebo Whonix.
• Máte střední až vysoké dovednosti v oblasti IT a již jste se seznámili s některými částmi obsahu této příručky.
  
  • Můžete jít s čímkoli, co se vám líbí, ale důrazně doporučuji operační systém Qubes.
• Jste hacker l33T, "není lžička", "koláč je lež", léta používáte "doas" a "všechny vaše základy patří nám" a máte vyhraněné názory na systemd.
  
  • Tento návod opravdu není určen pro tebe a nepomůže ti s tvým HardenedBSD na tvém hardened Libreboot notebooku ;-) A taky ti nepomůže s tvým HardenedBSD na tvém hardened Libreboot notebooku.

 

[HEISENBERG]

Protivníci (hrozby).

• Pokud je vaším hlavním zájmem forenzní zkoumání vašich zařízení:
  
  • Měli byste se vydat cestou Tails (s volitelným trvalým věrohodným popřením).
• Pokud jsou vašimi hlavními obavami vzdálení protivníci, kteří by mohli odhalit vaši online identitu na různých platformách: Pokud se obáváte, že se vám podaří odhalit vaši identitu na různých platformách:
  
  • Můžete se vydat cestou Whonix nebo Qubes OS.
  • Můžete také zvolit Tails (s volitelným trvalým věrohodným popřením).
• Pokud i přes rizika chcete, aby byl váš systém bezpodmínečně věrohodně popírán:
  
  • Můžete zvolit trasu Tails včetně části s trvalou věrohodnou popíratelností.
  • Můžete zvolit cestu Whonix (pouze v hostitelském operačním systému Windows v rámci této příručky).
• Pokud se nacházíte v nepřátelském prostředí, kde je samotné použití Tor/VPN nemožné/nebezpečné/podezřelé:
  
  • Můžete zvolit cestu Tails (bez použití Toru).
  • Můžete jít cestou operačního systému Whonix nebo Qubes (bez skutečného použití Whonix).

Ve všech případech byste si měli přečíst tyto dvě stránky z dokumentace Whonixu, které vám poskytnou podrobný přehled o vašich možnostech:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

Možná si kladete otázku: "Jak poznám, že se nacházím v nepřátelském online prostředí, kde jsou aktivity aktivně monitorovány a blokovány?".

• Nejprve si o tom přečtěte více na stránkách EFF zde: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org].
• Sami si některé údaje ověřte zde na stránkách projektu Tor OONI (Open Observatory of Network Interference): https://explorer.ooni.org/ [Archive.org].
• Podívejte se na stránky https://censoredplanet.org/ [Archive.org] a zjistěte, zda mají údaje o vaší zemi.
• Otestujte se sami pomocí OONI (v nepřátelském prostředí to může být riskantní).

 

[HEISENBERG]

Kroky pro všechny cesty.

Zvykněte si používat lepší hesla.

Viz příloha A2: Pokyny pro hesla a heslové fráze.

Získejte anonymní telefonní číslo.

Tento krok přeskočte, pokud nemáte v úmyslu vytvářet anonymní účty na většině běžných platforem, ale chcete pouze anonymně procházet, nebo pokud platformy, které budete používat, umožňují registraci bez telefonního čísla.

Fyzický vypalovací telefon a předplacená SIM karta.

Pořiďte si vypalovací telefon.

To je poměrně snadné. Před odjezdem nechte svůj smartphone vypnutý nebo ho vypněte. Vezměte si nějakou hotovost a jděte na nějaký náhodný bleší trh nebo do malého obchodu (ideálně takového, který nemá kamerový systém uvnitř ani venku a kde se vyhnete fotografování/filmování) a prostě si kupte nejlevnější telefon, který najdete, za hotovost a bez poskytnutí jakýchkoli osobních údajů. Musí být pouze funkční.


Osobně bych doporučoval pořídit si starý "dumbphone" s vyměnitelnou baterií (staré Nokie, pokud vaše mobilní sítě stále umožňují připojení těchto telefonů, protože některé země 1G-2G zcela zrušily). To proto, aby se zabránilo automatickému odesílání/sběru jakýchkoli telemetrických/diagnostických dat v samotném telefonu. Tento telefon byste nikdy neměli připojovat k žádné Wi-Fi.


Zásadní také bude, abyste tento vypalovací telefon nikdy nezapínali (ani bez karty SIM) na žádném geografickém místě, které by mohlo vést k vám (například doma/práci), a nikdy ne na stejném místě jako váš jiný známý smartphone (protože ten má IMEI/IMSI, které k vám snadno povede). Může se to zdát jako velká zátěž, ale není tomu tak, protože tyto telefony se používají pouze během procesu nastavení/přihlášení a čas od času pro ověření.


Viz příloha N: Upozornění týkající se chytrých telefonů a chytrých zařízení.


Než přejdete k dalšímu kroku, měli byste vyzkoušet, zda je telefon v pořádku. Budu se však opakovat a znovu uvedu, že je důležité, abyste při odchodu nechali chytrý telefon doma (nebo jej před odchodem vypnuli, pokud si jej musíte ponechat) a abyste telefon otestovali na náhodném místě, které nelze zpětně vysledovat (a opět to nedělejte před kamerovým systémem, vyhýbejte se kamerám, dávejte pozor na své okolí). Na tomto místě také není potřeba Wi-Fi.


Až si budete jisti, že je telefon v pořádku, vypněte Bluetooth, poté jej vypněte (pokud můžete, vyjměte baterii) a vraťte se domů a pokračujte v běžných činnostech. Přejděte k dalšímu kroku.

Pořiďte si anonymní předplacenou kartu SIM.

Toto je nejtěžší část celého návodu. Jedná se o SPOF (Single Point of Failure). Místa, kde si ještě můžete koupit předplacené SIM karty bez registrace totožnosti, jsou kvůli různým nařízením typu KYC stále omezenější.


Zde je tedy seznam míst, kde je ještě nyní můžete získat: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org].


Měli byste být schopni najít místo, které není "příliš daleko", a prostě tam fyzicky zajít a koupit si nějaké předplacené karty a dobíjecí kupony za hotovost. Před odjezdem si ověřte, zda nebyl přijat zákon, který by stanovil povinnou registraci (pro případ, že by výše uvedená wiki nebyla aktualizována). Snažte se vyhnout kamerám a fotoaparátům a nezapomeňte si k SIM kartě koupit poukaz na dobití (pokud se nejedná o balíček), protože většina předplacených karet vyžaduje před použitím dobití.


Viz příloha N: Upozornění na chytré telefony a chytrá zařízení.


Než se tam vydáte, dvakrát si ověřte, že mobilní operátoři, kteří prodávají předplacené SIM karty, přijímají aktivaci a dobíjení SIM karty bez jakékoliv registrace totožnosti. V ideálním případě by měli přijímat aktivaci a dobíjení SIM karty ze země, ve které pobýváte.


Osobně bych ve Velké Británii doporučil společnost GiffGaff, protože je "cenově dostupná", nevyžaduje identifikaci pro aktivaci a dobíjení a dokonce vám umožní změnit číslo až dvakrát z jejich webových stránek. Jedna předplacená SIM karta GiffGaff vám tedy poskytne 3 čísla, která můžete používat pro své potřeby.


Po aktivaci/dobití a před odchodem domů telefon vypněte. Nikdy jej již nezapínejte, pokud se nenacházíte na místě, které může být použito k odhalení vaší totožnosti, a pokud smartphone před odchodem na toto "ne domácí" místo nevypnete.

Online telefonní číslo (méně doporučené).

UPOZORNĚNÍ: Nepokoušejte se o to, dokud nebudete hotovi s nastavením bezpečného prostředí podle jedné ze zvolených cest. Tento krok bude vyžadovat přístup online a měl by být prováděn pouze z anonymní sítě. Neprovádějte jej z žádného známého/nezabezpečeného prostředí. Tento krok přeskočte, dokud nedokončíte jednu z tras.


Existuje mnoho komerčních služeb, které nabízejí čísla pro příjem SMS zpráv online, ale většina z nich v podstatě nemá žádnou anonymitu/privátnost a nemůže být k ničemu, protože většina platforem sociálních médií stanoví limit, kolikrát lze telefonní číslo pro registraci použít.


Existují některá fóra a subreddity (například r/phoneverification/), kde vám uživatelé nabídnou službu přijímání takových SMS zpráv za malý poplatek (pomocí PayPal nebo nějaké krypto platby). Bohužel jsou plné podvodníků a z hlediska anonymity velmi rizikové. V žádném případě byste je neměli používat.


Do dnešního dne neznám žádnou seriózní službu, která by tuto službu nabízela a přijímala platby v hotovosti (například poštou) jako někteří poskytovatelé VPN. Existuje však několik služeb, které poskytují online telefonní čísla a přijímají Monero, což by mohlo být přiměřeně anonymní (nicméně méně doporučované než ten fyzický způsob v předchozí kapitole), které byste mohli zvážit:

• Doporučujeme: Nevyžadují žádnou identifikaci (ani e-mail):
  
  • (se sídlem ve Spojeném království, v době psaní tohoto článku zřejmě nedostupné) https://dtmf.io/ [Archive.org] preferované, protože dokonce poskytují skrytou adresu služby onion pro přímý přístup přes síť Tor na adrese http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/.
  • (se sídlem na Islandu) https://crypton.sh [Archive.org]
  • (na Ukrajině) https://virtualsim.net/ [Archive.org]
• Vyžadují identifikaci (platný e-mail):
  
  • (Německo) https://www.sms77.io/ [Archive.org]
  • (se sídlem v Rusku) https://onlinesim.ru/ [Archive.org]

Existují i další možnosti uvedené zde: https: //cryptwerk.com/companies/sms/xmr/ [Archive.org]. Používejte na vlastní nebezpečí.


ODŮVODNĚNÍ: Za žádného z těchto poskytovatelů nemohu ručit, a proto budu i nadále doporučovat, abyste to udělali sami fyzicky. V tomto případě se budete muset spolehnout na anonymitu Monera a neměli byste používat žádnou službu, která vyžaduje jakoukoli identifikaci pomocí vaší skutečné identity. Přečtěte si prosím toto Prohlášení o vyloučení odpovědnosti Monero.


Proto je IMHO pravděpodobně jen pohodlnější, levnější a méně rizikové si prostě pořídit předplacenou SIM kartu na některém z fyzických míst, která je stále prodávají za hotové bez požadavku na registraci totožnosti. Ale alespoň existuje alternativa, pokud nemáte jinou možnost.

Pořiďte si USB klíč.

Pořiďte si alespoň jeden nebo dva generické USB klíče slušné velikosti (alespoň 16 GB, ale doporučoval bych 32 GB).


Nekupujte ani nepoužívejte triková samošifrovací zařízení, jako jsou tato: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org].


Některá mohou být velmi účinná, ale mnohá z nich jsou trikové pomůcky, které nenabízejí žádnou skutečnou ochranu.

Najděte si nějaké bezpečné místo se slušnou veřejnou Wi-Fi.

Je třeba najít bezpečná místa, kde budete moci provádět své citlivé činnosti pomocí nějaké veřejně přístupné Wi-Fi (bez registrace účtu/ID, vyhněte se kamerám).


Může to být kdekoli, kde nebudete přímo vázáni (váš domov/práce) a kde můžete Wi-Fi chvíli používat, aniž by vás někdo obtěžoval. Ale také místo, kde to můžete dělat, aniž by si vás někdo "všiml".


Pokud si myslíte, že Starbucks je dobrý nápad, možná si to rozmyslíte:

• Pravděpodobně mají ve všech svých prodejnách kamerové systémy a tyto záznamy uchovávají po neznámou dobu.
• Ve většině z nich si budete muset koupit kávu, abyste získali přístupový kód k Wi-Fi. Pokud tuto kávu zaplatíte elektronickou metodou, budou moci váš přístup k Wi-Fi propojit s vaší identitou.

Situační povědomí je klíčové a měli byste si neustále všímat svého okolí a vyhýbat se turistickým místům, jako by je zamořila ebola. Chcete se vyhnout tomu, abyste se objevili na jakékoliv fotografii/videu kohokoliv, když si někdo pořizuje selfie, natáčí video na TikTok nebo zveřejňuje nějakou cestovatelskou fotku na svém Instagramu. Pokud tak učiníte, pamatujte, že je vysoká šance, že tyto snímky skončí na internetu (veřejně nebo soukromě) s připojenými kompletními metadaty (čas/data/geolokace) a vaším obličejem. Nezapomeňte, že je mohou indexovat a budou indexovat Facebook/Google/Yandex/Apple a pravděpodobně i všechny tři písmenkové agentury.


Ačkoli tyto informace ještě nebudou k dispozici vašim místním policistům, v blízké budoucnosti by tomu tak mohlo být.


V ideálním případě budete potřebovat sadu 3-5 různých takových míst, abyste se vyhnuli použití stejného místa dvakrát. V průběhu několika týdnů bude zapotřebí několik cest pro jednotlivé kroky v tomto průvodci.


Pro větší bezpečnost můžete také zvážit připojení k těmto místům z bezpečné vzdálenosti. Viz Příloha Q: Použití antény s dlouhým dosahem pro připojení k veřejné síti Wi-Fis z bezpečné vzdálenosti.

 

[HEISENBERG]

Ta cesta je velmi jednoduchá.

Tato část příručky vám pomůže při nastavení Tails, pokud platí jedna z následujících skutečností:

• Nemůžete si dovolit specializovaný notebook
• Váš dedikovaný notebook je příliš starý a pomalý
• Máte velmi nízké IT dovednosti
• Přesto se rozhodnete pro Tails

Tails je zkratka pro The Amnesic Incognito Live System. Jedná se o bootovatelný živý operační systém spuštěný z klíče USB, který je navržen tak, aby nezanechával žádné stopy a vynucoval všechna připojení přes síť Tor.


Klíč USB Tails v podstatě vložíte do notebooku, nabootujete z něj a máte k dispozici plnohodnotný operační systém běžící s ohledem na soukromí a anonymitu. Jakmile počítač vypnete, vše zmizí, pokud jste si to někam neuložili.


Tails je velmi snadný způsob, jak se během chvilky rozjet s tím, co máte, a bez velkého učení. Má rozsáhlou dokumentaci a výukové programy.


UPOZORNĚNÍ: Tails není vždy aktuální se svým přibaleným softwarem. A také ne vždy aktuální s aktualizacemi prohlížeče Tor Browser. Vždy byste se měli ujistit, že používáte nejnovější verzi Tails, a měli byste být velmi opatrní při používání přibalených aplikací v rámci Tails, které mohou být zranitelné vůči exploitům a odhalit vašipolohu265.


Má však i některé nevýhody:

• Tails používá Tor, a proto budete k přístupu k jakémukoli zdroji na internetu používat Tor. Už jen proto budete podezřelí pro většinu platforem, kde chcete vytvářet anonymní účty (podrobněji to bude vysvětleno později).
• Poskytovatel internetového připojení (ať už váš, nebo nějaký veřejný Wi-Fi) také uvidí, že používáte Tor, a to by vás samo o sobě mohlo učinit podezřelými.
• Tails neobsahuje (nativně) některý software, který byste mohli chtít později používat, což vám situaci dost zkomplikuje, pokud budete chtít spouštět některé specifické věci (například emulátory Androidu).
• Tails používá prohlížeč Tor Browser, který je sice velmi bezpečný, ale většina platforem ho také odhalí a bude vám bránit ve vytváření anonymních identit na mnoha platformách.
• Tails vás neochrání více než před klíčem za 5 dolarů8.
• Tor sám o sobě nemusí stačit na ochranu před protivníkem s dostatečnými prostředky, jak bylo vysvětleno dříve.

Důležitá poznámka: Pokud je váš notebook monitorován/dohlížen a platí na něm nějaká místní omezení, přečtěte si Dodatek U: Jak obejít (některá) místní omezení na počítačích pod dohledem.


Než se pustíte do dalšího čtení, měli byste si také přečíst Dokumentaci Tails, Upozornění a omezení https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org].


Vzhledem k tomu všemu a k tomu, že jejich dokumentace je skvělá, vás jen přesměruji na jejich dobře udělaný a udržovaný návod:


https://tails.boum.org/install/index.en.html [Archive.org], vyberte si svou příchuť a pokračujte.


Až budete hotovi a budete mít na svém notebooku funkční Tails, přejděte ke kroku Vytvoření anonymních online identit mnohem dále v tomto návodu.


Pokud máte problém s přístupem k Toru kvůli cenzuře nebo jiným problémům, můžete zkusit použít Tor Bridges podle tohoto návodu Tails: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] a další informace o nich najdete na stránce Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive.org].


Pokud se domníváte, že používání samotného Toru je nebezpečné/podezřelé, podívejte se do Přílohy P: Co nejbezpečnější přístup k internetu, když Tor/VPN nepřipadá v úvahu.

 

[HEISENBERG]

Trvalá věrohodná popíratelnost pomocí Whonixu v rámci Tails.

Zvažte kontrolu projektu https://github.com/aforensics/HiddenVM [Archive.org] pro Tails.


Tento projekt je chytrým nápadem na samostatné řešení virtuálního počítače na jedno kliknutí, které byste mohli uložit na šifrovaný disk s využitím plausible deniability256 (viz Cesta Whonix: první kapitoly a také několik vysvětlení o plausible deniability, stejně jako část Jak bezpečně odstranit konkrétní soubory/složky/data na HDD/SSD a flash discích: na konci této příručky pro lepší pochopení).


To by umožnilo vytvořit hybridní systém kombinující ocasy s možnostmi virtualizace na trase Whonix v této příručce.

Poznámka: Více vysvětlení o izolaci datových toků naleznete v části Výběr způsobu připojení v trase Whonix.


Stručně řečeno:

• Můžete spustit nepersistentní Tails z jednoho USB klíče (podle jejich doporučení).
• Mohli byste uložit perzistentní virtuální počítače v rámci sekundárního obsaženého, který by mohl být šifrován normálně nebo pomocí funkce Veracrypt plausible deniability (mohly by to být například virtuální počítače Whonix nebo jakékoli jiné).
• Využijete přidanou funkci izolace toku Tor (viz Tor přes VPN, kde najdete více informací o izolaci toku).

V takovém případě, jak je nastíněno v projektu, by na vašem počítači neměly zůstat žádné stopy po vaší činnosti a citlivá práce by mohla být prováděna z virtuálních počítačů uložených do skrytého kontejneru, který by neměl být snadno odhalitelný pro měkkého protivníka.


Tato možnost je zajímavá zejména pro "cestování na lehko" a pro zmírnění forenzních útoků při zachování perzistence vaší práce. Potřebujete pouze 2 klíče USB (jeden s Tails a jeden s kontejnerem Veracrypt obsahujícím perzistentní Whonix). První USB klíč se bude tvářit, že obsahuje pouze Tails, a druhý USB klíč se bude tvářit, že obsahuje pouze náhodné smetí, ale bude mít návnadový svazek, který můžete ukázat pro věrohodné popření.


Mohlo by vás také zajímat, zda to povede k nastavení "Tor over Tor", ale nebude tomu tak. Virtuální počítače Whonix budou přistupovat k síti přímo přes Clearnet a ne přes Tails Onion Routing.


V budoucnu by to mohl podporovat i samotný projekt Whonix, jak je vysvětleno zde: https://www.whonix.org/wiki/Whonix-Host [Archive.org], ale zatím se to pro koncové uživatele nedoporučuje.


Nezapomeňte, že šifrování s věrohodným popřením nebo bez něj není stříbrná kulka a v případě mučení bude málo platné. Ve skutečnosti, v závislosti na tom, kdo by byl váš protivník (váš model ohrožení), by mohlo být rozumné Veracrypt (dříve TrueCrypt) vůbec nepoužívat, jak ukazuje tato ukázka: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Věrohodné popření je účinné pouze proti měkkým zákonným protivníkům, kteří se neuchýlí k fyzickým prostředkům.


Viz https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


UPOZORNĚNÍ: Pokud uvažujete o uložení takto skrytých virtuálních počítačů na externí disk SSD, přečtěte si prosím Dodatek K: Úvahy o použití externích disků SSD a části Pochopení HDD vs. SSD:

• Na SSD discích skryté svazky nepoužívejte, protože to Veracrypt nepodporuje/doporučuje.
• Místo toho používejte souborové kontejnery namísto šifrovaných svazků.
• Ujistěte se, že víte, jak správně vyčistit data z externího disku SSD.

Zde je můj návod, jak toho dosáhnout:

První spuštění.

• Stáhněte si nejnovější verzi HiddenVM z https://github.com/aforensics/HiddenVM/releases [Archive.org].
• Stáhněte si nejnovější verzi Whonix XFCE z https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Připravte si USB klíč/disk pomocí Veracryptu
  
  • Vytvořte skrytý svazek na jednotce USB/klíči (doporučuji alespoň 16 GB pro skrytý svazek).
  • Do vnějšího svazku umístěte několik návnadových souborů.
  • Do skrytého svazku umístěte soubor HiddenVM appimage
  • Do skrytého svazku umístěte soubor Whonix XFCE ova
• Spusťte systém do režimu Tails
• Nastavte rozložení klávesnice podle svých představ.
• Vyberte možnost Další nastavení a nastavte heslo správce (roota) (potřebné pro instalaci HiddenVM).
• Spusťte Tails
• Připojte se k bezpečné wi-fi (tento krok je nutný pro fungování zbytku).
• Přejděte do Nástroje a odemkněte (skrytý) svazek Veracrypt (nezapomeňte zaškrtnout políčko skrytý svazek).
• Spusťte obraz aplikace HiddenVM
• Po výzvě k výběru složky vyberte kořenovou složku skrytého svazku (kde jsou soubory OVA Whonix a obraz aplikace HiddenVM).
• Nechte jej, ať si poradí (v podstatě se tak jedním kliknutím nainstaluje Virtualbox v rámci Tails).
• Po dokončení by se měl automaticky spustit Správce Virtualboxu.
• Importujte soubory Whonix OVA (viz Whonix Virtual Machines:).

Pozor, pokud se během importu vyskytnou problémy jako "NS_ERROR_INVALID_ARG (0x80070057)", je to pravděpodobně proto, že na vašem skrytém svazku není pro Whonix dostatek místa. Sama společnost Whonix doporučuje 32 GB volného místa, ale to pravděpodobně není nutné a pro začátek by mělo stačit 10 GB. Tuto chybu můžete zkusit obejít přejmenováním souboru Whonix *.OVA na *.TAR a jeho dekomprimací v rámci Tails. Po dokončení dekomprese odstraňte soubor OVA a importujte ostatní soubory pomocí průvodce importem. Tentokrát by to mohlo fungovat.

Následné spuštění.

• Zavedení do systému Tails
• Připojení k Wi-Fi
• Odemkněte skrytý svazek
• Spusťte aplikaci HiddenVM
• Měl by se automaticky otevřít správce VirtualBoxu a zobrazit předchozí virtuální počítače od prvního spuštění.

 

[HEISENBERG]

Kroky pro všechny ostatní cesty.

Pořiďte si vyhrazený notebook pro citlivé činnosti.

V ideálním případě byste si měli pořídit vyhrazený notebook, který s vámi nebude nijak jednoduše svázán (ideálně placený anonymně v hotovosti a se stejnými opatřeními, jaká byla dříve zmíněna u telefonu a SIM karty). Je to doporučené, ale ne povinné, protože tento průvodce vám pomůže notebook co nejvíce zpevnit, abyste zabránili úniku dat různými způsoby. Mezi vašimi online identitami a vámi samotnými bude stát několik obranných linií, které by měly zabránit většině protivníků ve vaší deanonymizaci, kromě státních/globálních aktérů se značnými prostředky.


Tento notebook by měl být v ideálním případě čistý čerstvě nainstalovaný notebook (se systémem Windows, Linux nebo MacOS), očištěný od vašich běžných každodenních činností a offline (dosud nikdy nepřipojený k síti). V případě notebooku se systémem Windows, a pokud jste jej před takovou čistou instalací používali, by také neměl být aktivován (přeinstalován bez produktového klíče). Konkrétně v případě MacBooků by nikdy předtím neměl být žádným způsobem spojen s vaší identitou. Kupujte tedy z druhé ruky za hotové od neznámého cizího člověka, který nezná vaši totožnost.


Důvodem je zmírnění některých budoucích problémů v případě úniku informací z internetu (včetně telemetrie z vašeho operačního systému nebo aplikací), které by mohly ohrozit veškeré jedinečné identifikátory notebooku při jeho používání (adresa MAC, adresa Bluetooth a produktový klíč...). Ale také proto, abyste se vyhnuli zpětnému vystopování v případě, že budete potřebovat notebook zlikvidovat.


Pokud jste tento notebook dříve používali k různým účelům (například ke každodenním činnostem), všechny jeho hardwarové identifikátory jsou pravděpodobně známé a registrované společností Microsoft nebo Apple. Pokud později dojde k narušení některého z těchto identifikátorů (malwarem, telemetrií, zneužitím, lidskou chybou...), mohou vést zpět k vám.


Notebook by měl mít alespoň 250 GB diskového prostoru alespoň 6 GB (ideálně 8 GB nebo 16 GB ) paměti RAM a měl by být schopen provozovat několik virtuálních počítačů současně. Měl by mít funkční baterii, která vydrží několik hodin.


Tento notebook by mohl mít pevný disk (7200 otáček za minutu) nebo disk SSD/NVMe. Obě možnosti mají své výhody a problémy, které budou podrobně popsány později.


Všechny budoucí online kroky prováděné s tímto notebookem by měly být v ideálním případě prováděny z bezpečné sítě, například z veřejné Wi-Fi na bezpečném místě (viz část Najděte nějaká bezpečná místa se slušnou veřejnou Wi-Fi). Několik kroků však bude nutné nejprve provést offline.

 

[HEISENBERG]

Některá doporučení týkající se notebooků.

Pokud si to můžete dovolit, můžete zvážit pořízení notebooku Purism Librem(https://puri.sm [Archive.org]) nebo notebooků System76(https://system76.com/ [Archive.org]) při použití systému Coreboot (kde je Intel IME zakázán z výroby).


V ostatních případech bych důrazně doporučoval pořídit si notebooky třídy Business (tedy ne spotřebitelské/herní), pokud můžete. Například nějaký ThinkPad od Lenova (můj osobní favorit). Zde jsou seznamy notebooků, které v současné době podporují Libreboot, a dalších, kde si můžete sami flashnout Coreboot (který vám umožní zakázat Intel IME nebo AMD PSP):

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

Je to proto, že tyto firemní notebooky obvykle nabízejí lepší a lépe přizpůsobitelné bezpečnostní funkce (zejména v nastavení BIOS/UEFI) s delší podporou než většina spotřebitelských notebooků (Asus, MSI, Gigabyte, Acer...). Zajímavé funkce, které je třeba hledat, jsou IMHO:

• Lepší vlastní nastavení Secure Boot (kde můžete selektivně spravovat všechny klíče a nepoužívat jen ty standardní).
• Hesla HDD/SSD kromě hesel BIOS/UEFI.
• Notebooky AMD by mohly být zajímavější, protože některé poskytují možnost vypnout AMD PSP (ekvivalent Intel IME u AMD) z nastavení BIOS/UEFI ve výchozím nastavení. A protože AFAIK bylo AMD PSP auditováno a na rozdíl od IME nebylo zjištěno, že by mělo nějaké "zlé" funkce. Pokud se však chystáte na Qubes OS Route, zvažte Intel, protože AMD se svým systémem proti zlým pannám nepodporuje.
• Nástroje Secure Wipe z BIOSu (užitečné zejména pro disky SSD/NVMe, viz Příloha M: Možnosti BIOSu/UEFI pro vymazání disků v různých značkách).
• Lepší kontrola nad zakázáním/povolením vybraných periferií (porty USB, Wi-Fis, Bluetooth, kamera, mikrofon ...).
• Lepší funkce zabezpečení s virtualizací.
• Nativní ochrana proti neoprávněným zásahům.
• Delší podpora aktualizací systému BIOS/UEFI (a následných aktualizací zabezpečení systému BIOS/UEFI).
• Některé jsou podporovány systémem Libreboot

 

[HEISENBERG]

Nastavení Bios/UEFI/Firmware vašeho notebooku.

PC.

Tato nastavení jsou přístupná prostřednictvím spouštěcí nabídky notebooku. Zde je dobrý návod od společnosti HP, který vysvětluje všechny způsoby přístupu k systému BIOS na různých počítačích: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org].


Obvykle se k němu přistupuje tak, že při spouštění systému (před operačním systémem) stisknete určitou klávesu (F1, F2 nebo Del).


Jakmile se do něj dostanete, budete muset použít několik doporučených nastavení:

• Pokud můžete, zakažte Bluetooth úplně.
• Pokud můžete, zakažte biometrické údaje (čtečky otisků prstů), pokud nějaké máte. Mohli byste však přidat dodatečnou biometrickou kontrolu pouze pro zavádění systému (před spuštěním), ale ne pro přístup k nastavení BIOS/UEFI.
• Pokud můžete, zakažte webovou kameru a mikrofon.
• Povolte heslo BIOS/UEFI a místo hesla použijte dlouhou přístupovou frázi (pokud můžete) a ujistěte se, že je toto heslo vyžadováno pro:
  
  • přístup k samotnému nastavení BIOS/UEFI.
  • Změna pořadí spouštění systému
  • Spuštění/zapnutí zařízení
• Povolení hesla HDD/SSD, pokud je tato funkce k dispozici. Tato funkce přidá další heslo na samotný HDD/SSD (nikoli do firmwaru BIOS/UEFI), které zabrání použití tohoto HDD/SSD v jiném počítači bez hesla. Upozorňujeme, že tato funkce je také specifická pro některé výrobce a může vyžadovat specifický software pro odemčení tohoto disku ze zcela jiného počítače.
• Pokud můžete, zabraňte přístupu k možnostem spouštění (pořadí spouštění) bez zadání hesla systému BIOS/UEFI.
• Zakázat USB/HDMI nebo jakýkoli jiný port (Ethernet, Firewire, SD karta ...), pokud můžete.
• Zakázat Intel ME, pokud můžete.
• Pokud můžete, zakažte AMD PSP (ekvivalent IME u AMD, viz Váš procesor).
• Zakažte Secure Boot, pokud hodláte používat QubesOS, protože jej z výroby nepodporuje. Pokud hodláte používat Linux/Windows, nechte jej zapnutý.
• Zkontrolujte, zda má BIOS vašeho notebooku možnost bezpečného vymazání HDD/SSD, což by se mohlo v případě potřeby hodit.

Ty povolte pouze v případě "nutnosti použití" a po použití je opět zakažte. To může pomoci zmírnit některé útoky v případě, že by byl váš notebook zabaven, když je uzamčen, ale stále zapnutý, NEBO kdybyste jej museli poměrně rychle vypnout a někdo se jej zmocnil (toto téma bude vysvětleno později v této příručce).

O zabezpečeném spouštění.

V krátkosti se jedná o bezpečnostní funkci UEFI, která má zabránit spuštění operačního systému z počítače, jehož zavaděč nebyl podepsán specifickými klíči uloženými ve firmwaru UEFI notebooku.


V podstatě jde o to, že pokud to operační systémy (nebo zavaděč) podporují, můžete do firmwaru UEFI uložit klíče zavaděče a tím zabráníte spuštění jakéhokoli neautorizovaného operačního systému (například USB s live OS nebo něčím podobným).


Nastavení Secure Boot je chráněno heslem, které nastavíte pro přístup k nastavení BIOS/UEFI. Pokud toto heslo znáte, můžete Secure Boot vypnout a povolit spouštění nepodepsaných operačních systémů v systému. To může pomoci zmírnit některé útoky Evil-Maid (vysvětleno později v této příručce).


Ve většině případů je Secure Boot ve výchozím nastavení zakázán nebo je povolen, ale v režimu "nastavení", který umožní spuštění libovolného systému. Aby Secure Boot fungoval, musí jej váš operační systém podporovat a poté podepsat svůj zavaděč a předat tyto podpisové klíče firmwaru UEFI. Poté budete muset přejít do nastavení systému BIOS/UEFI a uložit tyto odeslané klíče z operačního systému a změnit Secure Boot z režimu nastavení na uživatelský režim (nebo v některých případech na vlastní režim).


Po provedení tohoto kroku bude možné spustit pouze operační systémy, ze kterých může váš firmware UEFI ověřit integritu zavaděče.


Většina notebooků bude mít v nastavení zabezpečeného spouštění již uloženy některé výchozí klíče. Obvykle ty od samotného výrobce nebo od některých společností, jako je například Microsoft. Znamená to tedy, že ve výchozím nastavení bude vždy možné zavést některé disky USB i se zabezpečeným spouštěním. Patří mezi ně Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla a mnoho dalších. Systém QubesOS však v tuto chvíli Secure Boot vůbec nepodporuje.


V některých noteboocích můžete tyto klíče spravovat a odstranit ty, které nechcete, pomocí "vlastního režimu" a autorizovat tak pouze vlastní zavaděč, který byste si mohli sami podepsat, pokud opravdu chcete.


Před čím vás tedy Secure Boot chrání? Chrání váš notebook před spuštěním nepodepsaných zavaděčů (poskytovatelem operačního systému) například s injektovaným malwarem.


Před čím vás Secure Boot nechrání?

• Secure Boot nešifruje váš disk a protivník může stále jen vyjmout disk z notebooku a získat z něj data pomocí jiného počítače. Secure Boot je tedy bez úplného šifrování disku k ničemu.
• Secure Boot vás nechrání před podepsaným zavaděčem, který by byl kompromitován a podepsán samotným výrobcem (například společností Microsoft v případě systému Windows). Většina běžných linuxových distribucí je v dnešní době podepsaná a zavede se s povoleným Secure Boot.
• Secure Boot může mít chyby a zneužití jako každý jiný systém. Pokud používáte starý notebook, který nevyužívá nové aktualizace systému BIOS/UEFI, mohou zůstat neopravené.

Kromě toho existuje řada útoků, které by mohly být proti systému Secure Boot možné, jak je (podrobně) vysvětleno v těchto technických videích:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Může být tedy užitečná jako dodatečné opatření proti některým protivníkům, ale ne všem. Secure Boot sám o sobě neznamená šifrování pevného disku. Je to přidaná vrstva, ale to je vše.


Přesto doporučuji ho mít zapnutý, pokud můžete.

Mac.

Věnujte chvíli nastavení hesla firmwaru podle návodu zde: https://support.apple.com/en-au/HT204455 [Archive.org].


Měli byste také povolit ochranu proti obnovení hesla firmwaru (k dispozici v Catalině) podle dokumentace zde: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].


Tato funkce zmírní možnost některých protivníků použít hardwarové hacky k deaktivaci/obejití hesla firmwaru. Všimněte si, že to také zabrání samotné společnosti Apple v přístupu k firmwaru v případě opravy.

 

[HEISENBERG]

Fyzická ochrana notebooku proti neoprávněné manipulaci.

V určitém okamžiku nevyhnutelně necháte tento notebook někde samotný. Nebudete s ním spát a nebudete ho brát všude s sebou každý den. Měli byste co nejvíce ztížit, aby s ním mohl kdokoli manipulovat, aniž byste si toho všimli. To se hodí hlavně proti některým omezeným protivníkům, kteří proti vám nepoužijí klíč za 5 dolarů.


Je důležité vědět, že pro některé specialisty je triviálně snadné nainstalovat do vašeho notebooku key logger nebo prostě vytvořit klonovou kopii vašeho pevného disku, která by jim později umožnila zjistit přítomnost šifrovaných dat na něm pomocí forenzních technik (o tom později).


Zde je dobrá levná metoda, jak zajistit odolnost notebooku proti neoprávněné manipulaci pomocí laku na nehty (se třpytkami) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (s obrázky).


I když je to dobrá levná metoda, mohla by také vyvolat podezření, protože je poměrně "nápadná" a mohla by právě odhalit, že "máte co skrývat". Existují tedy rafinovanější způsoby, jak dosáhnout stejného výsledku. Můžete také například pořídit detailní makrofotografii zadních šroubů notebooku nebo jen použít velmi malé množství vosku ze svíčky uvnitř jednoho ze šroubů, který by mohl vypadat jen jako běžná špína. Případnou manipulaci byste pak mohli zkontrolovat porovnáním fotografií šroubů s novými. Jejich orientace se mohla trochu změnit, pokud váš protivník nebyl dostatečně opatrný (utáhl je přesně tak, jak byly předtím). Nebo mohl být vosk uvnitř spodní části hlavy šroubu poškozen oproti dřívějšku.

Stejnou techniku lze použít i u portů USB, kde by stačilo do zástrčky vložit malé množství vosku ze svíčky, které by se poškodilo zasunutím klíče USB.


V rizikovějších prostředích před pravidelným používáním notebooku zkontrolujte, zda s ním nebylo manipulováno.

 

[HEISENBERG]

Cestou Whonixu.

Výběr hostitelského operačního systému (operační systém nainstalovaný v notebooku).

Tato cesta bude ve velké míře využívat virtuální stroje, budou vyžadovat hostitelský operační systém pro spuštění virtualizačního softwaru. V této části průvodce máte na výběr ze tří doporučených možností:

• Vaše vybraná distribuce Linuxu (s výjimkou operačního systému Qubes)
• Windows 10 (nejlépe edice Home kvůli absenci nástroje Bitlocker)
• MacOS (Catalina nebo vyšší)

Kromě toho je vysoká pravděpodobnost, že váš Mac je nebo byl svázán s účtem Apple (při nákupu nebo po přihlášení), a proto by jeho jedinečné hardwarové identifikátory mohly v případě úniku hardwarových identifikátorů vést zpět k vám.


Linux také nemusí být nutně nejlepší volbou pro anonymitu v závislosti na modelu ohrožení. Je to proto, že použití systému Windows nám umožní pohodlně používat Plausible Deniability (neboli popiratelné šifrování) snadno na úrovni operačního systému. Systém Windows je bohužel zároveň noční můrou ochrany soukromí, ale je jedinou (pohodlnou) možností pro použití plausible deniability na úrovni operačního systému. Telemetrie a blokování telemetrie systému Windows je také široce zdokumentováno, což by mělo mnohé problémy zmírnit.


Co je tedy plausible deniability? Je to možnost spolupracovat s protivníkem, který požaduje přístup k vašemu zařízení/datům, aniž byste odhalili své skutečné tajemství. To vše s využitím Deniable Encryption.


Měkký zákonný protivník by mohl požádat o vaše zašifrované heslo k notebooku. Zpočátku byste mohli odmítnout sdělit jakékoli heslo (s využitím svého "práva nevypovídat", "práva neobviňovat sám sebe"), ale některé země zavádějí zákony, které z těchto práv vyjímají (protože teroristé a "myslete na děti"). V takovém případě budete možná muset heslo prozradit, nebo vám možná hrozí vězení za pohrdání soudem. Zde bude hrát roli hodnověrné popření.


Pak byste mohli heslo prozradit, ale toto heslo vám umožní přístup pouze k "věrohodným údajům" (návnada OS). Soudní znalci si budou dobře vědomi, že je možné, že máte skrytá data, ale neměli by to být schopni prokázat (pokud to uděláte správně). Budete spolupracovat a vyšetřovatelé budou mít přístup k něčemu, ale ne k tomu, co jste ve skutečnosti chtěli skrýt. Vzhledem k tomu, že důkazní břemeno by mělo ležet na jejich straně, nebudou mít jinou možnost než vám věřit, pokud nebudou mít důkaz, že máte skryté údaje.


Tuto funkci lze použít na úrovni operačního systému (věrohodný operační systém a skrytý operační systém) nebo na úrovni souborů, kdy budete mít zašifrovaný kontejner souborů (podobně jako u souboru zip), kde se budou zobrazovat různé soubory v závislosti na použitém šifrovacím hesle.


To také znamená, že byste mohli nastavit vlastní pokročilé nastavení "věrohodného popření" pomocí libovolného hostitelského operačního systému tím, že uložíte například virtuální počítače do kontejneru se skrytým svazkem Veracrypt (pozor na stopy v hostitelském OS tho, které by bylo třeba vyčistit, pokud je hostitelský OS trvalý, viz část Některá další opatření proti forenzním analýzám později). V rámci Tails existuje projekt pro dosažení tohoto cíle(https://github.com/aforensics/HiddenVM [Archive.org]), který by zajistil, aby váš hostitelský OS nebyl perzistentní, a použil věrohodné popření v rámci Tails.


V případě systému Windows je věrohodné popření také důvodem, proč byste měli mít ideálně systém Windows 10 Home (a ne Pro). Je to proto, že systém Windows 10 Pro nativně nabízí systém šifrování celého disku (Bitlocker), zatímco systém Windows 10 Home žádné šifrování celého disku nenabízí. Později budeme pro šifrování používat software s otevřeným zdrojovým kódem třetí strany, který umožní šifrování celého disku v systému Windows 10 Home. To vám poskytne dobrou (věrohodnou) záminku k použití tohoto softwaru. Zatímco použití tohoto softwaru v systému Windows 10 Pro by bylo podezřelé.


Poznámka k systému Linux: Jak je to tedy se systémem Linux a věrohodným popřením? Ano, věrohodného popření lze tak trochu dosáhnout i v systému Linux. Je to však složité na nastavení a IMHO to vyžaduje dostatečně vysokou úroveň dovedností, abyste pravděpodobně nepotřebovali tento návod, který vám pomůže to vyzkoušet.


Šifrování bohužel není magie a jsou s ním spojena určitá rizika:

Hrozby s šifrováním.

Klíč za 5 dolarů.

Pamatujte, že šifrování s věrohodným popřením nebo bez něj není stříbrná kulka a v případě mučení bude málo platné. Ve skutečnosti, v závislosti na tom, kdo by byl váš protivník (váš model hrozby), by mohlo být moudré Veracrypt (dříve TrueCrypt) vůbec nepoužívat, jak ukazuje tato ukázka: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Věrohodné popření je účinné pouze proti měkkým zákonným protivníkům, kteří se neuchýlí k fyzickým prostředkům. Pokud je to možné, vyhněte se používání softwaru schopného věrohodného popření (jako je Veracrypt), pokud váš model hrozeb zahrnuje tvrdé protivníky. Uživatelé systému Windows by tedy v takovém případě měli nainstalovat systém Windows Pro jako hostitelský operační systém a místo něj používat nástroj Bitlocker.


Viz https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].

Útok zlé služebnice.

Útoky zlé služky se provádějí, když někdo manipuluje s vaším notebookem v době vaší nepřítomnosti. Pro instalaci naklonovat váš pevný disk, nainstalovat malware nebo key logger. Pokud se jim podaří naklonovat váš pevný disk, mohou porovnat jeden obraz vašeho pevného disku v době, kdy ho vzali, zatímco jste byli pryč, s pevným diskem, když se ho zmocní. Pokud jste mezitím notebook znovu použili, forenzní experti mohou prokázat existenci skrytých dat tím, že se podívají na rozdíly mezi oběma obrazy v místě, které by mělo být prázdné/nevyužité. To by mohlo vést k pádným důkazům o existenci skrytých dat. Pokud do vašeho notebooku nainstalují program pro záznam kláves nebo škodlivý software (softwarový nebo hardwarový), budou od vás moci jednoduše získat heslo pro pozdější použití při jeho zabavení. Takové útoky mohou být provedeny u vás doma, v hotelu, na hraničním přechodu nebo kdekoli, kde necháte svá zařízení bez dozoru.


Tento útok můžete zmírnit následujícím postupem (jak bylo doporučeno dříve):

• Pořiďte si základní ochranu proti neoprávněné manipulaci (jak bylo vysvětleno dříve), abyste zabránili fyzickému přístupu do vnitřních částí notebooku bez vašeho vědomí. Tím zabráníte klonování disků a instalaci fyzického záznamníku kláves bez vašeho vědomí.
• Zakázat všechny porty USB (jak bylo vysvětleno dříve) v rámci systému BIOS/UEFI chráněného heslem. Opět je nebudou moci zapnout (bez fyzického přístupu k základní desce, aby resetovali systém BIOS) a spustit zařízení USB, které by mohlo naklonovat váš pevný disk nebo nainstalovat softwarový malware, který by mohl fungovat jako key logger.
• Nastavte hesla BIOS/UEFI/Firmware, abyste zabránili jakémukoli neoprávněnému spuštění neautorizovaného zařízení.
• Některé operační systémy a šifrovací software mají ochranu proti zneužití, kterou lze zapnout. To je případ systémů Windows/Veracrypt a QubeOS.

Útok studeným startem.

Útoky Cold Boot jsou složitější než útok Evil Maid, ale mohou být součástí útoku Evil Maid, protože vyžadují, aby se protivník zmocnil vašeho notebooku v době, kdy zařízení aktivně používáte, nebo krátce poté.


Myšlenka je poměrně jednoduchá, jak ukazuje toto video, protivník by teoreticky mohl rychle spustit vaše zařízení na speciálním USB klíči, který by zkopíroval obsah RAM (paměti) zařízení po jeho vypnutí. Pokud by byly porty USB vypnuty nebo pokud by měl pocit, že potřebuje více času, mohl by jej otevřít a "ochladit" paměť pomocí spreje nebo jiných chemikálií (například tekutého dusíku), čímž by zabránil rozpadu paměti. Pak by mohli být schopni zkopírovat její obsah pro analýzu. Tento výpis paměti by mohl obsahovat klíč k dešifrování zařízení. Později uplatníme několik zásad pro jejich zmírnění.


V případě Plausible Deniability se objevilo několik forenzních studií o technickém prokázání přítomnosti skrytých dat jednoduchým forenzním zkoumáním (bez Cold Boot/Evil Maid Attack), ale ty byly zpochybněny jinými studiemi a správcem Veracryptu, takže bych se jimi zatím příliš nezabýval.


Pro útoky Cold Boot by měla platit stejná opatření jako pro zmírnění útoků Evil Maid s některými přidanými:

• Pokud to váš operační systém nebo šifrovací software umožňuje, měli byste zvážit šifrování klíčů také v paměti RAM (to je možné v systému Windows/Veracrypt a bude vysvětleno později).
• Měli byste omezit používání pohotovostního režimu spánku a místo toho použít vypnutí nebo hibernaci, abyste zabránili tomu, že šifrovací klíče zůstanou v paměti RAM, když se počítač uspí. Spánek totiž zachová výkon paměti pro rychlejší obnovení činnosti. Pouze hibernace a vypnutí klíče z paměti skutečně vymaže.

Viz také https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] a https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Zde je také několik zajímavých nástrojů, které by měli uživatelé Linuxu zvážit, aby se proti nim mohli bránit:

• https://github.com/0xPoly/Centry [Archive.org] (bohužel se zdá, že je neudržovaný, takže jsem vytvořil fork a pull request aktualizující Veracrypt https://github.com/AnonymousPlanet/Centry [Archive.org], který by měl stále fungovat).
• https://github.com/hephaest0s/usbkill [Archive.org] (bohužel také neudržovaný, zdá se).
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (Qubes OS, pouze procesory Intel) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

O uspávání, hibernaci a vypínání.

Pokud chcete dosáhnout lepšího zabezpečení, měli byste notebook úplně vypnout pokaždé, když jej necháte bez dozoru nebo zavřete víko. To by mělo vyčistit a/nebo uvolnit paměť RAM a zajistit zmírnění útoků proti studenému startu. Může to však být trochu nepohodlné, protože budete muset úplně restartovat počítač a zadat spoustu hesel do různých aplikací. Restartujte různé virtuální počítače a další aplikace. Místo toho tedy můžete také použít hibernaci (není podporována v operačním systému Qubes). Vzhledem k tomu, že je celý disk zašifrován, neměla by hibernace sama o sobě představovat velké bezpečnostní riziko, ale přesto dojde k vypnutí notebooku a vyčištění paměti, přičemž můžete následně pohodlně pokračovat v práci. Co byste však nikdy neměli dělat, je používat standardní funkci uspání, která udrží počítač zapnutý a paměť napájenou. Jedná se o vektor útoku proti útokům typu evil-maid a cold-boot, o kterých jsme hovořili dříve. Zapnutá paměť totiž uchovává šifrovací klíče k disku (ať už šifrovanému, nebo nešifrovanému) a zkušený protivník by k nim pak mohl získat přístup.


V této příručce bude později uveden návod, jak povolit hibernaci v různých hostitelských operačních systémech (kromě Qubes OS), pokud nechcete pokaždé vypínat počítač.

Místní úniky dat (stopy) a forenzní zkoumání.

Jak již bylo stručně zmíněno dříve, jedná se o úniky dat a stopy z operačního systému a aplikací při provádění jakékoli činnosti na počítači. Většinou se týkají šifrovaných souborových kontejnerů (s věrohodným popřením nebo bez něj) než šifrování celého operačního systému. Tyto úniky jsou méně "důležité", pokud je zašifrován celý operační systém (pokud nejste nuceni prozradit heslo).


Řekněme, že máte například zašifrovaný klíč USB Veracrypt se zapnutou věrohodnou popiratelností. V závislosti na hesle, které použijete při připojování klíče USB, se otevře složka s návnadou nebo citlivá složka. V rámci těchto složek budete mít ve složce decoy dokumenty/data a ve složce sensitive citlivé dokumenty/data.


Ve všech případech tyto složky (s největší pravděpodobností) otevřete pomocí Průzkumníka Windows, Finderu MacOS nebo jiného nástroje a provedete, co jste měli v plánu. Možná budete upravovat dokument v rámci citlivé složky. Možná budete v dokumentu uvnitř složky vyhledávat. Možná nějaký odstraníte nebo budete sledovat citlivé video pomocí VLC.


Všechny tyto aplikace a operační systém mohou uchovávat záznamy a stopy o tomto použití. To může zahrnovat úplnou cestu ke složce/souborům/diskům, čas, kdy k nim bylo přistupováno, dočasné mezipaměti těchto souborů, seznamy "posledních" v jednotlivých aplikacích, systém indexování souborů, který by mohl indexovat disk, a dokonce i náhledy, které by mohly být generovány.


Zde je několik příkladů takových úniků:

Windows.

• Windows ShellBags, které jsou uloženy v registru systému Windows a v tichosti uchovávají různé historie přístupných svazků/souborů/složek.
• Indexování systému Windows, které ve výchozím nastavení uchovává stopy souborů přítomných v uživatelské složce.
• Seznamy posledních položek (známé také jako seznamy skoků) ve Windows a různých aplikacích, které uchovávají stopy po naposledy navštívených dokumentech.
• Mnoho dalších stop v různých záznamech, více informací naleznete na tomto zajímavém plakátu: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org].

MacOS.

• Gatekeeper290 a XProtect sledující historii stahování v místní databázi a atributy souborů.
• Indexování Spotlight
• Nedávné seznamy v různých aplikacích uchovávající stopy po nedávno navštívených dokumentech.
• Dočasné složky uchovávající různé stopy používání aplikací a dokumentů.
• Protokoly MacOS
• ...

Linux.

• Linux: Indexování sledovacích zařízení
• Historie Bash
• Protokoly USB
• Nedávné seznamy v různých aplikacích uchovávající stopy po nedávno navštívených dokumentech.
• Protokoly systému Linux
• ...

Všechny tyto úniky (viz Úniky lokálních dat a forenzní analýza) by mohli forenzní experti využít k prokázání existence skrytých dat a zmaření vašich pokusů o použití věrohodného popření a zjištění různých citlivých činností.


Proto bude důležité aplikovat různá opatření, která forenzním pracovníkům v tomto zabrání, a to prevencí a čištěním těchto úniků/stop a především používáním šifrování celého disku, virtualizace a kompartmentalizace.


Kriminalisté nemohou získat místní úniky dat z operačního systému, ke kterému nemají přístup. A většinu těchto stop budete moci vyčistit vymazáním disku nebo bezpečným smazáním virtuálních počítačů (což u disků SSD není tak snadné, jak si myslíte).


Některými technikami čištění se nicméně budeme zabývat v části "Zahlaďte stopy" na samém konci této příručky.

Úniky dat online.

Ať už používáte jednoduché šifrování, nebo šifrování s věrohodným popřením. A to i v případě, že jste zakryli stopy na samotném počítači. Stále existuje riziko úniku dat online, které by mohlo odhalit přítomnost skrytých dat.


Telemetrie je váš nepřítel. Jak bylo vysvětleno dříve v této příručce, telemetrie operačních systémů, ale i aplikací může odesílat ohromující množství soukromých informací online.


V případě systému Windows by tato data mohla být například použita k prokázání existence skrytého operačního systému / svazku v počítači a byla by snadno dostupná u společnosti Microsoft. Proto je nesmírně důležité, abyste telemetrii zakázali a zablokovali všemi dostupnými prostředky. Bez ohledu na to, jaký operační systém používáte.

Závěr.

Nikdy byste neměli provádět citlivé činnosti z nešifrovaného systému. A i když je šifrovaný, pravděpodobně byste nikdy neměli provádět citlivé činnosti ze samotného hostitelského operačního systému. Místo toho byste měli používat virtuální počítač, abyste mohli efektivně izolovat a rozdělit své činnosti a zabránit místnímu úniku dat.


Pokud máte malé nebo žádné znalosti o Linuxu nebo pokud chcete využít věrohodného popření v rámci celého OS, doporučil bych pro pohodlí zvolit Windows (nebo se vrátit k cestě Tails). Tento návod vám pomůže jej co nejvíce ztížit, abyste zabránili únikům. Tento návod vám také pomůže co nejvíce ztížit MacOS a Linux, abyste zabránili podobným únikům.


Pokud nemáte zájem o plausible deniability celého OS a chcete se naučit používat Linux, vřele doporučuji jít cestou Linuxu nebo Qubes, pokud to váš hardware umožňuje.


V každém případě by hostitelský OS neměl být nikdy používán k přímému provádění citlivých činností. Hostitelský OS bude používán pouze k připojení k veřejnému přístupovému bodu Wi-Fi. Během provádění citlivých činností zůstane nepoužíván a v ideálním případě by neměl být používán k žádným každodenním činnostem.


Zvažte také přečtení stránky https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org].

 

[HEISENBERG]

Hostitelský operační systém Linux.

Jak již bylo zmíněno, nedoporučuji používat každodenní notebook pro velmi citlivé činnosti. Nebo alespoň nedoporučuji pro ně používat váš operační systém na místě. Mohlo by to vést k nežádoucímu úniku dat, který by mohl být použit k vaší deanonymizaci. Pokud k tomu máte vyhrazený notebook, měli byste přeinstalovat čerstvý čistý OS. Pokud nechcete vymazat notebook a začít znovu, měli byste zvážit cestu Tails nebo postupovat na vlastní nebezpečí.


Doporučuji také provést počáteční instalaci zcela offline, aby nedošlo k úniku dat.


Vždy byste měli mít na paměti, že navzdory pověsti nemusí být hlavní distribuce Linuxu (například Ubuntu) nutně lépe zabezpečeny než jiné systémy, jako jsou MacOS a Windows. Proč tomu tak je, se dozvíte z tohoto odkazu https://madaidans-insecurities.github.io/linux.html [Archive.org].

Šifrování celého disku.

V případě Ubuntu existují dvě možnosti:

• (Doporučené a snadné) Šifrování jako součást instalačního procesu: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org].
  
  • Tento proces vyžaduje úplné vymazání celého disku (čistá instalace).
  • Stačí zaškrtnout políčko "Zašifrovat novou instalaci Ubuntu kvůli bezpečnosti".
• (Zdlouhavé, ale možné) Šifrování po instalaci: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

U ostatních distribucí si to budete muset zdokumentovat sami, ale pravděpodobně to bude podobné. Šifrování během instalace je prostě v kontextu tohoto návodu mnohem jednodušší.

Odmítnout/zakázat jakoukoli telemetrii.

• Během instalace se jen ujistěte, že jste nepovolili žádné shromažďování dat, pokud k tomu budete vyzváni.
• Pokud si nejste jisti, prostě se ujistěte, že jste nepovolili žádnou telemetrii, a v případě potřeby postupujte podle tohoto návodu: https: //vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org].
• Jakákoli jiná distribuce: Pokud je telemetrie k dispozici, musíte si ji sami zdokumentovat a zjistit, jak ji zakázat.

Zakažte vše nepotřebné.

• Vypněte Bluetooth, pokud je povolen, podle tohoto návodu https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] nebo zadáním následujícího příkazu:
  
  • sudo systemctl disable bluetooth.service --force
• Zakázat indexování, pokud je ve výchozím nastavení povoleno (Ubuntu >19.04), podle tohoto návodu: https: //www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] nebo zadáním následujících příkazů:
  
  • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Můžete bezpečně ignorovat jakoukoli chybu, pokud hlásí, že nějaká služba neexistuje.
  • sudo tracker reset -hard

Hibernace.

Jak již bylo vysvětleno, neměli byste používat funkce spánku, ale vypnout nebo hibernovat notebook, abyste zmírnili některé útoky zlé panny a studeného startu. Tato funkce je bohužel v mnoha linuxových distribucích včetně Ubuntu ve výchozím nastavení vypnuta. Je možné ji povolit, ale nemusí fungovat podle očekávání. Těmito informacemi se řiďte na vlastní nebezpečí. Pokud to nechcete udělat, neměli byste nikdy používat funkci uspání a místo toho vypnout počítač (a pravděpodobně nastavit chování zavírání víka na vypnutí místo uspání).


Postupujte podle některého z těchto návodů a povolte režim hibernace:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

Po povolení funkce Hibernate změňte chování tak, aby se notebook po zavření víka hibernoval podle tohoto návodu pro Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] a tohoto návodu pro Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org].


Bohužel se tímto způsobem nepodaří vyčistit klíč z paměti přímo z paměti při hibernaci. Chcete-li se tomu vyhnout za cenu snížení výkonu, můžete zvážit zašifrování odkládacího souboru podle tohoto návodu: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org].


Tato nastavení by měla zmírnit útoky při studeném startu, pokud dokážete hibernovat dostatečně rychle.

Povolte náhodný výběr adres MAC.

• Ubuntu, postupujte podle tohoto návodu: https: //help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Jakákoli jiná distribuce: dokumentaci si budete muset najít sami, ale měla by být dost podobná návodu pro Ubuntu.
• Zvažte tento návod, který by měl stále fungovat: https://josh.works/shell-script-basics-change-mac-address [Archive.org].

Hardening Linux.

Jako lehký úvod pro nové uživatele Linuxu zvažte následující postup

[Invidious]


Pro podrobnější a pokročilejší možnosti se podívejte na:

• Tento vynikající průvodce: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Tento vynikající zdroj wiki: https://wiki.archlinux.org/title/Security [Archive.org]
• Tyto vynikající skripty založené na výše uvedeném průvodci a wiki: https://codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Nastavení bezpečného prohlížeče.

Viz Dodatek G: Bezpečný prohlížeč v hostitelském operačním systému.

 

[HEISENBERG]

Hostitelský operační systém MacOS.

Poznámka: V současné době tato příručka (zatím) nepodporuje MacBooky s procesorem ARM M1. Z důvodu, že Virtualbox tuto architekturu zatím nepodporuje. Mohlo by to však být možné, pokud použijete komerční nástroje jako VMWare nebo Parallels, ale těmi se tato příručka nezabývá.


Jak již bylo zmíněno, nedoporučuji používat každodenní notebook pro velmi citlivé činnosti. Nebo k nim alespoň nedoporučuji používat váš operační systém na místě. Mohlo by to vést k nežádoucím únikům dat, které by mohly být použity k vaší deanonymizaci. Pokud k tomu máte vyhrazený notebook, měli byste přeinstalovat čerstvý čistý OS. Pokud nechcete vymazat notebook a začít znovu, měli byste zvážit cestu Tails nebo postupovat na vlastní nebezpečí.


Doporučuji také provést počáteční instalaci zcela offline, aby nedošlo k úniku dat.


Nikdy se z tohoto Macu nepřihlašujte ke svému účtu Apple.

Během instalace.

• Zůstaňte offline
• Na výzvu zakažte všechny požadavky na sdílení dat včetně služeb určování polohy.
• Nepřihlašujte se pomocí Apple
• Nepovolujte Siri

Zpřísnění MacOS.

Jako lehký úvod pro nové uživatele MacOS zvažte

[Invidious]


Chcete-li se nyní věnovat zabezpečení a zpevnění systému MacOS více do hloubky, doporučuji přečíst si tuto příručku na GitHubu, která by měla pokrýt mnoho otázek: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].


Zde jsou uvedeny základní kroky, které byste měli provést po offline instalaci:

Povolte heslo firmwaru pomocí možnosti "disable-reset-capability".

Nejprve byste měli nastavit heslo firmwaru podle tohoto návodu od společnosti Apple: https://support.apple.com/en-us/HT204455 [Archive.org].


Bohužel jsou stále možné některé útoky a protivník by mohl toto heslo deaktivovat, proto byste měli postupovat také podle tohoto návodu, abyste zabránili deaktivaci hesla firmwaru od kohokoli včetně společnosti Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].

Povolte režim hibernace místo režimu spánku.

Opět je to prevence před některými útoky typu cold-boot a evil-maid tím, že se vypne paměť RAM a při zavření víka se vyčistí šifrovací klíč. Vždy byste měli buď hibernovat, nebo vypnout. V systému MacOS má funkce hibernace dokonce speciální volbu, která při hibernaci speciálně vyčistí šifrovací klíč z paměti (zatímco v jiných operačních systémech budete možná muset počkat, až se paměť rozloží). V nastavení opět nejsou žádné snadné možnosti, jak to provést, takže místo toho budeme muset provést několik příkazů pro povolení hibernace:

• Otevřete terminál
• Spusťte: sudo pmset -a destroyfvkeyonstandby 1
  
  • Tento příkaz dá systému MacOS pokyn ke zničení klíče Filevault v pohotovostním režimu (spánek).
• Spusťte: sudo pmset -a hibernatemode 25
  
  • Tento příkaz dá systému MacOS pokyn, aby během režimu spánku vypnul paměť namísto hybridního režimu hibernace, který udržuje paměť zapnutou. Výsledkem bude pomalejší probouzení, ale prodlouží se životnost baterie.

Když nyní zavřete víko MacBooku, měl by se místo uspání uvést do hibernace a zmírnit pokusy o provedení útoků studeným startem.


Kromě toho byste také měli nastavit automatické uspání (Nastavení > Energie), aby se MacBook automaticky hibernoval, pokud zůstane bez dozoru.

Vypněte nepotřebné služby.

V rámci nastavení zakažte některá nepotřebná nastavení:

• Vypněte Bluetooth
• Zakázat fotoaparát a mikrofon
• Zakázat polohové služby
• Vypnout funkci Airdrop
• Zakázat indexování

Zabránit volání Apple OCSP.

Jedná se o nechvalně známá "neblokovaná telemetrická" volání ze systému MacOS Big Sur, která jsou zveřejněna zde: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Hlášení OCSP můžete zablokovat zadáním následujícího příkazu v Terminálu:

• V tomto případě můžete provést následující: sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Ale pravděpodobně byste si měli sami zdokumentovat skutečný problém, než začnete jednat. Dobrým začátkem je tato stránka: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org].


Záleží opravdu jen na vás. Já bych to zablokoval, protože nechci vůbec žádnou telemetrii z mého OS do mateřské společnosti bez mého výslovného souhlasu. Žádné.

Povolte šifrování celého disku (Filevault).

Podle této části návodu byste měli na Macu povolit šifrování celého disku pomocí Filevaultu: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org].


Při povolování buďte opatrní. Neukládejte klíč pro obnovení u společnosti Apple, pokud k tomu bude vyzvána (neměl by to být problém, protože byste v této fázi měli být offline). Zřejmě nechcete, aby váš klíč pro obnovení měla třetí strana.

Náhodný výběr adresy MAC.

MacOS bohužel nenabízí nativní pohodlný způsob náhodného výběru adresy MAC, a tak to budete muset provést ručně. Při každém restartu se tato adresa resetuje a budete ji muset pokaždé provést znovu, abyste zajistili, že při připojování k různým Wi-Fis nebudete používat svou skutečnou MAC adresu.


Můžete to provést zadáním následujících příkazů v terminálu (bez závorek):

• (Vypněte Wi-Fi) networksetup -setairportpower en0 off (Nastavení sítě)
• (Změňte adresu MAC) sudo ifconfig en0 ether 88:63:11:11:11:11:11
• (Znovu zapněte Wi-Fi) networksetup -setairportpower en0 on

Nastavení bezpečného prohlížeče.

Viz Dodatek G: Bezpečný prohlížeč v hostitelském operačním systému.

Hostitelský operační systém Windows.

Jak již bylo zmíněno, nedoporučuji používat váš každodenní notebook pro velmi citlivé činnosti. Nebo k nim alespoň nedoporučuji používat váš operační systém na místě. Mohlo by to vést k nežádoucím únikům dat, které by mohly být použity k vaší deanonymizaci. Pokud k tomu máte vyhrazený notebook, měli byste přeinstalovat čerstvý čistý OS. Pokud nechcete vymazat notebook a začít znovu, měli byste zvážit cestu Tails nebo postupovat na vlastní nebezpečí.


Doporučuji také provést počáteční instalaci zcela offline, aby nedošlo k úniku dat.

Instalace.

Měli byste postupovat podle přílohy A: Instalace systému Windows


Jako lehký úvod zvažte sledování

[Invidious]

Povolení náhodného výběru adres MAC.

Měli byste náhodně nastavit adresu MAC, jak bylo vysvětleno dříve v této příručce:


Přejděte do Nastavení > Síť a internet > Wi-Fi > Povolit náhodné hardwarové adresy.


Případně můžete použít tento bezplatný software: https://technitium.com/tmac/ [Archive.org].

Nastavení bezpečného prohlížeče.

Viz Dodatek G: Bezpečný prohlížeč v hostitelském operačním systému.

Povolte některá další nastavení ochrany soukromí v hostitelském operačním systému.

Viz Dodatek B: Další nastavení soukromí systému Windows

Šifrování hostitelského operačního systému Windows.

Pokud máte v úmyslu používat věrohodné popření v rámci celého systému.

Veracrypt je software, který doporučuji pro šifrování celého disku, šifrování souborů a věrohodné popření. Jedná se o odnož známého, ale zastaralého a neudržovaného TrueCryptu. Lze jej použít pro

• Jednoduché šifrování celého disku (váš pevný disk je zašifrován pomocí jedné přístupové fráze).
• šifrování celého disku s pravděpodobným popřením (to znamená, že v závislosti na heslové frázi zadané při spuštění systému se spustí buď falešný, nebo skrytý operační systém).
• Jednoduché šifrování souborového kontejneru (jedná se o velký soubor, který budete moci připojit v rámci Veracryptu, jako by se jednalo o externí disk, na který budete ukládat šifrované soubory).
• Souborový kontejner s věrohodným popřením (jedná se o stejný velký soubor, ale v závislosti na heslové frázi, kterou použijete při jeho připojování, připojíte buď "skrytý svazek", nebo "svazek návnady").

Pokud vím, je to jediný (pohodlný a použitelný kýmkoli) bezplatný šifrovací software s otevřeným zdrojovým kódem a otevřeným auditem, který zároveň poskytuje věrohodnou popiratelnost pro obecné použití a funguje s Windows Home Edition.


Klidně si Veracrypt stáhněte a nainstalujte z: https://www.veracrypt.fr/en/Downloads.html [Archive.org].


Po instalaci věnujte chvíli následujícím možnostem, které pomohou zmírnit některé útoky:

• Šifrování paměti pomocí volby Veracrypt (nastavení > výkon/možnosti ovladače > šifrovat RAM) za cenu snížení výkonu o 5-15 %. Toto nastavení také zakáže hibernaci (která při hibernaci aktivně nevymaže klíč) a místo toho zcela zašifruje paměť, aby se zmírnily některé útoky při studeném startu.
• Povolte možnost Veracrypt, která vymaže klíče z paměti, pokud je vloženo nové zařízení (systém > nastavení > zabezpečení > vymazat klíče z paměti, pokud je vloženo nové zařízení). To by mohlo pomoci v případě, že by byl systém zabaven, když je stále zapnutý (ale uzamčený).
• Povolte možnost Veracrypt pro připojení svazků jako vyměnitelných svazků (nastavení > předvolby > připojit svazek jako vyměnitelné médium). Tím zabráníte tomu, aby systém Windows zapisoval některé záznamy o vašem připojení do protokolů událostí, a zabráníte tak úniku některých místních dat.
• Buďte opatrní a mějte dobrý přehled o situaci, pokud ucítíte něco podivného. Vypněte notebook co nejrychleji.
• Novější verze Veracryptu sice podporují Secure Boot, ale doporučuji jej v systému BIOS zakázat, protože dávám přednost systému Veracrypt Anti-Evil Maid před Secure Boot.

Pokud nechcete používat šifrovanou paměť (protože by mohl být problém s výkonem), měli byste alespoň povolit hibernaci místo uspání. To sice nevymaže klíče z paměti (stále jste zranitelní vůči cold boot útokům), ale mělo by je alespoň trochu zmírnit, pokud má vaše paměť dostatek času na rozpad.


Podrobnější informace najdete později v části Trasa A a B: Jednoduché šifrování pomocí Veracryptu (návod pro Windows).

Pokud nemáte v úmyslu používat věrohodné popření v rámci celého systému.

Pro tento případ doporučím pro šifrování celého disku místo Veracryptu použít BitLocker. Důvodem je, že nástroj BitLocker na rozdíl od nástroje Veracrypt nenabízí možnost věrohodného popření. Tvrdý protivník pak nemá motivaci pokračovat ve svém "vylepšeném" výslechu, pokud prozradíte přístupovou frázi.


Za normálních okolností byste v tomto případě měli mít nainstalovaný systém Windows Pro a nastavení nástroje BitLocker je poměrně jednoduché.


V zásadě můžete postupovat podle návodu zde: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org].


Zde jsou však uvedeny jednotlivé kroky:

• Klikněte na nabídku Windows
• Zadejte "Bitlocker"
• Klikněte na "Spravovat Bitlocker"
• Klikněte na "Zapnout Bitlocker" na systémové jednotce.
• Postupujte podle pokynů
  
  • Pokud budete vyzváni, neukládejte klíč pro obnovení do účtu Microsoft.
  • Klíč pro obnovení uložte pouze na externí šifrovanou jednotku. Chcete-li tento postup obejít, vytiskněte klíč pro obnovení pomocí tiskárny Microsoft Print to PDF a uložte klíč ve složce Dokumenty.
  • Zašifrujte celou jednotku (nešifrujte pouze používané místo na disku).
  • Použijte "Nový režim šifrování"
  • Spusťte kontrolu nástroje BitLocker
  • Restartujte počítač
• Šifrování by se nyní mělo ne spustit na pozadí (můžete zkontrolovat kliknutím na ikonu Bitlocker v pravém dolním rohu hlavního panelu).

Povolte hibernaci (volitelné).

Opět, jak bylo vysvětleno dříve. Funkci uspání byste nikdy neměli používat, abyste zmírnili některé útoky typu cold-boot a evil-maid. Místo toho byste měli vypnout počítač nebo jej uvést do režimu hibernace. Při zavírání víka nebo při uspávání notebooku byste tedy měli přepnout notebook do režimu spánku.


(Všimněte si, že hibernaci nelze zapnout, pokud jste předtím v rámci Veracryptu zapnuli šifrování paměti RAM).


Důvodem je, že hibernace ve skutečnosti zcela vypne notebook a vyčistí paměť. Režim spánku naopak ponechá paměť zapnutou (včetně vašeho dešifrovacího klíče) a může způsobit, že váš notebook bude zranitelný vůči útokům typu cold-boot.


Ve výchozím nastavení vám systém Windows 10 tuto možnost nemusí nabízet, takže byste ji měli povolit podle tohoto návodu společnosti Microsoft: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org].

• Otevřete příkazový řádek správce (klikněte pravým tlačítkem myši na Příkazový řádek a zvolte "Spustit jako správce").
• Spusťte: powercfg.exe /hibernate on
• Nyní spusťte další příkaz: **powercfg /h /type full**.
  
  • Tento příkaz zajistí, že režim hibernace je plný a plně vyčistí paměť (ne bezpečně tho).

Poté byste měli přejít do nastavení napájení:

• Otevřete Ovládací panely
• Otevřete Systém a zabezpečení
• Otevřete Možnosti napájení
• Otevřete "Choose what the power button does" (Zvolit, co má dělat tlačítko napájení)
• Změňte vše z režimu spánku na hibernaci nebo vypnutí
• Vraťte se zpět na Možnosti napájení
• Vyberte možnost Změnit nastavení plánu
• Vyberte možnost Rozšířená nastavení napájení
• Změňte všechny hodnoty režimu spánku pro každý plán napájení na 0 (nikdy).
• Ujistěte se, že je pro každý plán napájení nastavena hodnota Hybridní režim spánku (Off).
• Povolte režim hibernace po uplynutí požadované doby.
• Vypněte všechny časovače probuzení

Rozhodněte se, kterou dílčí trasu zvolíte.

Nyní budete muset zvolit další krok mezi dvěma možnostmi:

• Trasa A: Jednoduché šifrování vašeho současného operačního systému
  
  • Výhody:
    
    • Nevyžaduje vymazání notebooku
    • Žádný problém s únikem lokálních dat
    • Funguje dobře s jednotkou SSD
    • Funguje s jakýmkoli operačním systémem
    • Jednoduché
  • Nevýhody:
    
    • Protivník vás může donutit prozradit vaše heslo a všechna vaše tajemství a nebude mít žádnou možnost věrohodného popření.
    • Nebezpečí úniku dat online
• Cesta B: Jednoduché šifrování vašeho aktuálního operačního systému s pozdějším využitím věrohodného popření u samotných souborů:
  
  • Výhody:
    
    • Nevyžaduje vymazání notebooku
    • Funguje dobře s jednotkou SSD
    • Funguje s jakýmkoli operačním systémem
    • Možnost věrohodného popření u "měkkých" protivníků
  • Nevýhody:
    
    • Nebezpečí úniku dat online
    • Nebezpečí úniku lokálních dat (což povede k většímu množství práce při jejich čištění)
• Cesta C: Věrohodné popření Šifrování operačního systému (na notebooku bude spuštěn "skrytý operační systém" a "návnadový operační systém"):
  
  • Výhody:
    
    • Žádné problémy s místními úniky dat
    • Možnost věrohodného popření u "měkkých" protivníků
  • Nevýhody:
    
    • Vyžaduje systém Windows (tato funkce není v Linuxu "snadno" podporována).
    • Nebezpečí úniku dat online
    • Vyžaduje úplné vymazání notebooku
    • Nelze použít s diskem SSD kvůli požadavku na vypnutí operací Trim. To časem vážně sníží výkon/zdravotní stav jednotky SSD.

Jak vidíte, trasa C nabízí oproti ostatním pouze dvě výhody v oblasti ochrany soukromí a bude užitečná pouze proti měkkému zákonnému protivníkovi. Pamatujte na https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Rozhodnutí, kterou cestou se vydáte, je na vás. Trasa A je minimum.


Vždy nezapomeňte často kontrolovat nové verze Veracryptu, abyste měli jistotu, že využijete nejnovější záplaty. Zvláště to kontrolujte před použitím rozsáhlých aktualizací systému Windows, které by mohly porušit zavaděč Veracrypt a poslat vás do zaváděcí smyčky.


UPOZORŇUJEME, ŽE VERACRYPT VŽDY VYTVOŘÍ SYSTÉMOVÉ HESLO VE FORMÁTU QWERTY (zobrazí heslo jako test). To může způsobit problémy, pokud při zavádění systému používáte klávesnici notebooku (například AZERTY), protože heslo nastavíte v QWERTY a při zavádění systému jej budete zadávat v AZERTY. Proto při testovacím spouštění nezapomeňte zkontrolovat, jaké rozložení klávesnice váš systém BIOS používá. Mohlo by se stát, že se vám nepodaří přihlásit jen kvůli záměně QWERTY/AZERTY. Pokud se váš systém BIOS spouští pomocí klávesnice AZERTY, budete muset v rámci programu Veracrypt zadat heslo v QWERTY.

Trasa A a B: Jednoduché šifrování pomocí Veracryptu (návod pro Windows)

Tento krok přeskočte, pokud jste dříve místo toho použili nástroj BitLocker.


Pro tuto metodu nemusíte mít pevný disk a při této cestě nemusíte vypínat funkci Trim. Úniky Trim budou užitečné pouze pro kriminalisty při zjišťování přítomnosti skrytého svazku, ale jinak nebudou příliš užitečné.


Tato cesta je poměrně přímočará a pouze zašifruje váš aktuální Operační systém na místě bez ztráty dat. Nezapomeňte si přečíst všechny texty, které vám Veracrypt ukazuje, abyste plně pochopili, o co jde.

• Spuštění programu VeraCrypt
• Přejděte do Nastavení:
  
  • Nastavení > Výkon/možnosti ovladače > Šifrovat RAM
  • Systém > Nastavení > Zabezpečení > Vymazat klíče z paměti, pokud je vloženo nové zařízení.
  • Systém > Nastavení > Windows > Povolit zabezpečenou plochu
• Vyberte možnost Systém
• Vyberte možnost Šifrovat systémový oddíl/jednotku
• Vyberte možnost Normální (Jednoduché)
• Vyberte možnost Single-Boot
• Jako šifrovací algoritmus vyberte AES (pokud chcete porovnat rychlost, klikněte na tlačítko Test).
• Jako algoritmus hašování vyberte SHA-512 (protože proč ne).
• Zadejte silnou přístupovou frázi (čím delší, tím lepší, nezapomeňte na Dodatek A2: Pokyny pro hesla a přístupové fráze).
• Shromážděte trochu entropie náhodným pohybem kurzoru, dokud se lišta nezaplní.
• Klepněte na tlačítko Další, protože se zobrazí obrazovka Generované klíče
• Zachránit nebo nezachránit disk, no to je na vás. Doporučuji si ho vytvořit (pro všechny případy), jen se ujistěte, že je uložen mimo šifrovaný disk (například na USB klíči, nebo počkejte a podívejte se na konec tohoto návodu, kde najdete návod na bezpečné zálohování). Na tomto záchranném disku nebude uložena vaše přístupová fráze a budete ji stále potřebovat, abyste ji mohli používat.
• Režim vymazání:
  
  • Pokud na tomto notebooku zatím nemáte žádná citlivá data, vyberte možnost None (Žádná).
  • Pokud máte na disku SSD citlivá data, měl by se o ně postarat samotný Trim, ale pro jistotu bych doporučil 1 průchod (náhodná data).
  • Pokud máte citlivá data na HDD, není k dispozici Trim a doporučil bych alespoň 1 průchod.
• Otestujte své nastavení. Veracrypt nyní restartuje systém, aby otestoval zavaděč před šifrováním. Tento test musí proběhnout úspěšně, aby šifrování mohlo pokračovat.
• Po restartování počítače a úspěšném absolvování testu. Veracrypt vás vyzve k zahájení procesu šifrování.
• Spusťte šifrování a počkejte na jeho dokončení.
• Jste hotovi, přeskočte trasu B a přejděte k dalším krokům.

Bude následovat další část věnovaná vytváření šifrovaných kontejnerů se soubory pomocí funkce Plausible Deniability v systému Windows.

Trasa B: Šifrování Plausible Deniability se skrytým operačním systémem (pouze Windows)

Tento postup je podporován pouze v systému Windows.


Doporučuje se pouze na jednotce HDD. Na jednotce SSD se to nedoporučuje.


Skrytý operační systém by neměl být aktivován (pomocí produktového klíče MS). Proto vám tato cesta doporučí a provede vás úplnou čistou instalací, která vymaže vše na vašem notebooku.


Přečtěte si dokumentaci Veracryptu https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Proces vytvoření části Hidden Operating System) a https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Bezpečnostní požadavky a opatření týkající se skrytých svazků).


Takto bude váš systém vypadat po dokončení tohoto procesu:

(Ilustrace z dokumentace Veracrypt, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]).


Jak vidíte, tento proces vyžaduje, abyste měli na pevném disku od začátku dva oddíly.


Tento proces provede následující kroky:

• Zašifruje váš druhý oddíl (vnější svazek), který bude vypadat jako prázdný nenaformátovaný disk z návnady operačního systému.
• Nabídne vám možnost zkopírovat nějaký obsah návnady v rámci vnějšího svazku.
  
  • Zde zkopírujete svou sbírku Anime/Porn z nějakého externího pevného disku do vnějšího svazku.
• Vytvořte skrytý svazek v rámci vnějšího svazku tohoto druhého oddílu. Zde bude umístěn skrytý operační systém.
• Na skrytý svazek naklonujte aktuálně spuštěnou instalaci systému Windows 10.
• Vymažte aktuálně spuštěný systém Windows 10.
• To znamená, že váš současný systém Windows 10 se stane skrytým systémem Windows 10 a že budete muset znovu nainstalovat nový operační systém Windows 10.

Povinné, pokud máte jednotku SSD a přesto to chcete provést navzdory doporučení: Jak již bylo zmíněno, zakázání funkce Trim zkrátí životnost jednotky SSD a časem výrazně ovlivní její výkon (notebook bude v průběhu několika měsíců používání stále pomalejší a pomalejší, až se stane téměř nepoužitelným, pak budete muset jednotku vyčistit a vše nainstalovat znovu). Musíte to však udělat, abyste zabránili úniku dat, který by mohl kriminalistům umožnit překonat vaše věrohodné popření. Jediným způsobem, jak to v současné době obejít, je mít místo toho notebook s klasickým HDD diskem.

 

[HEISENBERG]

Krok 1: Vytvoření instalačního klíče USB systému Windows 10

Viz Příloha C: Vytvoření instalačního média systému Windows a postupujte cestou klíče USB.

Krok 2: Spusťte klíč USB a spusťte proces instalace systému Windows 10 (skrytý operační systém).

• Vložte klíč USB do notebooku
• Viz Dodatek A: Instalace systému Windows a pokračujte v instalaci systému Windows 10 Home.

Krok 3: Nastavení ochrany osobních údajů (skrytý OS)

Viz Dodatek B: Další nastavení soukromí systému Windows

Krok 4: Spuštění instalace a šifrování Veracrypt (Skrytý OS)

Nezapomeňte si přečíst https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] .


Nepřipojujte tento operační systém ke známé síti Wi-Fi. Měli byste si stáhnout instalační program Veracrypt z jiného počítače a zkopírovat jej sem pomocí klíče USB.

• Instalace Veracryptu
• Spusťte Veracrypt
• Přejděte do Nastavení:
  
  • Vacacac: Nastavení > Výkon/možnosti ovladače > Šifrovat RAM(upozorňujeme, že tato možnost není kompatibilní s hibernací notebooku a znamená, že budete muset notebook zcela vypnout).
  • Systém > Nastavení > Zabezpečení > Vymazat klíče z paměti při vložení nového zařízení
  • Systém > Nastavení > Windows > Povolit zabezpečenou plochu
• Přejděte do okna Systém a vyberte možnost Vytvořit skrytý operační systém
• Důkladně si přečtěte všechny výzvy
• Pokud budete vyzváni, vyberte možnost Single-Boot
• Vytvořte vnější svazek pomocí AES a SHA-512.
• Pro vnější svazek použijte veškeré dostupné místo na druhém oddílu.
• Použijte silnou přístupovou frázi (nezapomeňte na Dodatek A2: Pokyny pro hesla a přístupové fráze).
• Zvolte yes to Large Files (ano pro velké soubory)
• Vytvořte trochu Entropie pohybem myši, dokud se lišta nezaplní, a vyberte NTFS (nevybírejte exFAT, protože chceme, aby tento vnější svazek vypadal "normálně", a NTFS je normální).
• Zformátujte vnější svazek
• Otevřete vnější svazek:
  
  • V této fázi byste měli na vnější svazek zkopírovat návnadu. Měli byste tam tedy zkopírovat nějaké citlivé, ale ne tak citlivé soubory/složky. V případě, že potřebujete odhalit heslo k tomuto svazku. Toto je vhodné místo pro vaši sbírku Anime/Mp3/Filmů/Porna.
  • Doporučuji, abyste vnější svazek nezaplňovali příliš mnoho nebo příliš málo (asi 40 %). Nezapomeňte, že musíte ponechat dostatek místa pro skrytý operační systém (který bude mít stejnou velikost jako první oddíl, který jste vytvořili při instalaci).
• Pro skrytý svazek použijte silnou přístupovou frázi (samozřejmě jinou než pro vnější svazek).
• Nyní vytvoříte skrytý svazek, vyberte AES a SHA-512.
• Náhodnými pohyby myši vyplňte panel entropie až do konce.
• Zformátujte skrytý svazek
• Pokračujte v klonování
• Veracrypt se nyní restartuje a naklonuje Windows, kde jste tento proces zahájili, do Skrytého svazku. Tento Windows se stane vaším skrytým operačním systémem.
• Po dokončení klonování se Veracrypt ve skrytém systému restartuje.
• Veracrypt vás bude informovat, že Skrytý systém je nyní nainstalován, a poté vás vyzve k vymazání Původního operačního systému (toho, který jste předtím nainstalovali pomocí klíče USB).
• Použijte 1-Pass Wipe a pokračujte.
• Nyní bude váš skrytý operační systém nainstalován, přejděte k dalšímu kroku.

Krok 5: Restartujte počítač a nabootujte klíč USB a znovu spusťte proces instalace systému Windows 10 (Decoy OS).

Nyní, když je skrytý operační systém plně nainstalován, je třeba nainstalovat Decoy OS.

• Vložte klíč USB do notebooku
• Viz Příloha A: Instalace systému Windows a pokračujte znovu v instalaci systému Windows 10 Home (neinstalujte jinou verzi a zůstaňte u verze Home).

Krok 6: Nastavení ochrany osobních údajů (Decoy OS)

Viz Příloha B: Další nastavení ochrany osobních údajů systému Windows

Krok 7: Instalace Veracryptu a zahájení procesu šifrování (Decoy OS)

Nyní budeme šifrovat Decoy OS:

• Nainstalujte Veracrypt
• Spusťte VeraCrypt
• Vyberte systém
• Vyberte možnost Šifrovat systémový oddíl/disk
• Vyberte možnost Normální (Jednoduché)
• Vyberte možnost Single-Boot
• Jako šifrovací algoritmus vyberte AES (pokud chcete porovnat rychlost, klikněte na tlačítko Test).
• Jako algoritmus hašování vyberte SHA-512 (protože proč ne).
• Zadejte krátké slabé heslo (ano, tohle je vážné, udělejte to, bude to vysvětleno později).
• Shromážděte trochu entropie náhodným pohybem kurzoru, dokud se lišta nezaplní.
• Klepněte na tlačítko Další, protože se zobrazí obrazovka Generované klíče
• Zachránit nebo nezachránit disk, no to už je na vás. Doporučuji si ho vytvořit (pro všechny případy), jen se ujistěte, že je uložen mimo šifrovaný disk (například USB klíč, nebo počkejte a podívejte se na konec tohoto návodu, kde najdete návod na bezpečné zálohování). Na tomto záchranném disku nebude uložena vaše přístupová fráze a budete ji stále potřebovat, abyste ji mohli používat.
• Režim vymazání: Pro jistotu vyberte možnost 1-Pass
• Předběžně otestujte své nastavení. Veracrypt nyní restartuje váš systém, aby otestoval zavaděč před šifrováním. Tento test musí proběhnout úspěšně, aby šifrování mohlo pokračovat.
• Po restartování počítače a úspěšném absolvování testu. Veracrypt vás vyzve k zahájení procesu šifrování.
• Spusťte šifrování a počkejte na jeho dokončení.
• Váš operační systém Decoy je nyní připraven k použití.

Krok 8: Otestujte nastavení (spouštění v obou režimech)

Je čas otestovat vaše nastavení.

• Restartujte počítač a zadejte heslovou frázi skrytého operačního systému, měli byste spustit systém ve skrytém operačním systému.
• Restartujte počítač a zadejte heslovou frázi Decoy OS, měli byste spustit systém Decoy OS.
• Spusťte Veracrypt v Decoy OS a připojte druhý oddíl pomocí Outer Volume Passphrase (připojte jej jako read-only (pouze pro čtení), a to tak, že přejdete do Mount Options (Možnosti připojení) a vyberete Read-Only (Pouze pro čtení)) a měl by se připojit druhý oddíl jako read-only (pouze pro čtení) se zobrazením vašich decoy dat (vaše Anime/Porn kolekce). Nyní jej připojujete pouze pro čtení, protože pokud byste na něj zapisovali data, mohli byste přepsat obsah vašeho skrytého operačního systému.

Krok 9: Bezpečná změna návnadových dat na vnějším svazku

Než přejdete k dalšímu kroku, měli byste se naučit, jak bezpečně připojit svůj Vnější svazek pro zápis obsahu na něj. To je také vysvětleno v této oficiální dokumentaci Veracryptu https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org] .


Měli byste to provést z bezpečného důvěryhodného místa.


V podstatě se chystáte připojit svůj Vnější svazek a zároveň v rámci možností připojení zadat heslovou frázi Skrytého svazku, abyste chránili Skrytý svazek před přepsáním. Veracrypt vám pak umožní zapisovat data na Vnější svazek bez rizika přepsání jakýchkoli dat na Skrytém svazku.


Tato operace ve skutečnosti Skrytý svazek nepřipojí a měla by zabránit vytvoření jakýchkoli forenzních důkazů, které by mohly vést k odhalení Skrytého operačního systému. Během provádění této operace však budou obě hesla uložena v paměti RAM, a proto byste mohli být stále náchylní k útoku Cold-Boot. Chcete-li tento problém zmírnit, nezapomeňte mít možnost šifrovat také paměť RAM.

• Otevřete aplikaci Veracrypt
• Vyberte druhý diskový oddíl
• Klepněte na tlačítko Připojit
• Klikněte na možnost Mount Options
• Zaškrtněte políčko "Protect the Hidden volume...". Možnost
• Zadejte heslovou frázi skrytého operačního systému
• Klikněte na tlačítko OK
• Zadejte přístupovou frázi vnějšího svazku
• Klikněte na tlačítko OK
• Nyní byste měli být schopni otevřít a zapisovat do svého vnějšího svazku a měnit jeho obsah (kopírovat/přesouvat/mazat/upravovat...).

Krok 10: Zanechte v operačním systému Decoy nějaký forenzní důkaz o svém vnějším svazku (s návnadou Data)

Musíme vytvořit co nejvěrohodnější Decoy OS. Chceme také, aby si protivník myslel, že nejste tak chytří.


Proto je důležité, abyste v rámci svého Decoy OS dobrovolně zanechali nějaké forenzní důkazy o svém Decoy Obsahu. Tyto důkazy umožní forenzním expertům zjistit, že jste svůj vnější svazek často připojovali, abyste získali přístup k jeho obsahu.


Zde jsou dobré tipy, jak zanechat nějaké forenzní důkazy:

• Přehrávejte obsah vnějšího svazku ze svého systému Decoy OS (například pomocí VLC). Ujistěte se, že si uchováváte jejich historii.
• Upravujte Dokumenty a pracujte v nich.
• Znovu povolte indexování souborů v systému Decoy OS a zahrňte připojený vnější svazek.
• Odpojte jej a často jej připojujte, abyste mohli sledovat nějaký Obsah.
• Zkopírujte nějaký Obsah z Vnějšího svazku do systému Decoy OS a pak jej nebezpečně odstraňte (stačí jej dát do koše).
• Mějte na Decoy OS nainstalovaného Torrent Clienta a čas od času ho použijte ke stažení podobného obsahu, který necháte na Decoy OS.
• Můžete mít na Decoy OS nainstalovaného VPN klienta s nějakou vaší známou VPN (placenou bezhotovostně).

Na Decoy OS neumisťujte nic podezřelého, jako např:

• Tento návod
• Jakékoli odkazy na tuto příručku
• Jakýkoli podezřelý anonymní software, například Tor Browser

Poznámky.

Nezapomeňte, že k tomu, aby tento scénář věrohodného popření fungoval, budete potřebovat platné výmluvy:


Udělejte si čas a znovu si přečtěte "Možná vysvětlení existence dvou oddílů Veracryptu na jednom disku" z dokumentace Veracryptu zde: https: //www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]

• Používáte Veracrypt, protože používáte systém Windows 10 Home, který neobsahuje funkci Bitlocker, ale přesto jste chtěli soukromí.
• Máte dva oddíly, protože jste chtěli oddělit Systém a Data pro snadnější organizaci a protože vám nějaký kamarád geek řekl, že je to lepší pro výkon.
• Na Systém jste použili slabé heslo pro snadné pohodlné spouštění a na Vnější svazek silnou dlouhou přístupovou frázi, protože jste byli líní zadávat silnou frázi při každém spuštění.
• Druhý oddíl jste zašifrovali jiným heslem než Systém, protože nechcete, aby někdo z vašeho okolí viděl vaše věci. A tak jste nechtěli, aby tato data byla někomu dostupná.

Buďte opatrní:

• Nikdy byste neměli připojovat skrytý svazek z operačního systému Decoy (NIKDY). Pokud byste to udělali, vytvořili byste forenzní důkazy o skrytém svazku v rámci systému Decoy OS, které by mohly ohrozit váš pokus o věrohodné popření. Pokud jste to přesto udělali (úmyslně nebo omylem) z Decoy OS, existují způsoby, jak vymazat forenzní důkazy, které budou vysvětleny později na konci této příručky.
• Nikdy nepoužívejte Decoy OS ze stejné sítě (veřejné Wi-Fi) jako Hidden OS.
• Když připojíte vnější svazek z Decoy OS, nezapisujte v něm žádná data, protože by mohla přepsat to, co vypadá jako prázdné místo, ale ve skutečnosti je to váš skrytý OS. Vždy byste jej měli připojit pouze pro čtení.
• Pokud chcete změnit obsah vnějšího svazku Decoy, měli byste použít klíč USB Live OS, na kterém bude spuštěn Veracrypt.
• Všimněte si, že Skrytý operační systém nebudete používat k provádění citlivých činností, to budete provádět později z virtuálního počítače v rámci Skrytého operačního systému. Skrytý OS vás má pouze chránit před měkkým protivníkem, který by mohl získat přístup k vašemu notebooku a donutit vás prozradit heslo.
• Dávejte si pozor na jakoukoli manipulaci s vaším notebookem. Útoky zlých služebníků mohou odhalit váš skrytý operační systém.

 

[HEISENBERG]

Virtualbox v hostitelském operačním systému.

Nezapomeňte na přílohu W: Virtualizace.


Tento krok a následující kroky by měly být provedeny z hostitelského operačního systému. Může to být buď váš hostitelský OS s jednoduchým šifrováním (Windows/Linux/MacOS), nebo váš skrytý OS s věrohodným popřením (pouze Windows).


V tomto postupu budeme hojně využívat bezplatný software Oracle Virtualbox. Jedná se o virtualizační software, ve kterém můžete vytvářet virtuální stroje, které emulují počítač s konkrétním operačním systémem (pokud chcete použít něco jiného, například Xen, Qemu, KVM nebo VMWARE, klidně tak učiňte, ale tato část příručky se pro větší pohodlí zabývá pouze Virtualboxem).


Měli byste si tedy uvědomit, že Virtualbox není virtualizační software s nejlepšími výsledky z hlediska bezpečnosti a některé z hlášených problémů nejsou dodnes zcela odstraněny, a pokud používáte Linux s trochu většími technickými dovednostmi, měli byste zvážit použití KVM místo toho podle návodu dostupného na Whonixu zde https://www.whonix.org/wiki/KVM [Archive.org] a zde https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


Některé kroky je třeba učinit ve všech případech:


Veškeré citlivé činnosti budete provádět v hostovaném virtuálním počítači se systémem Windows 10 Pro (tentokrát ne Home), Linux nebo MacOS.


To má několik výhod, které vám výrazně pomohou zůstat v anonymitě:

• Mělo by to zabránit tomu, aby hostující operační systém virtuálního počítače (Windows/Linux/MacOS), aplikace a veškerá telemetrie v rámci virtuálních počítačů měly přímý přístup k vašemu hardwaru. I když je váš virtuální počítač napaden malwarem, neměl by tento malware být schopen proniknout do virtuálního počítače a ohrozit váš skutečný notebook.
• Umožní nám to vynutit, aby veškerý síťový provoz z vašeho klientského VM probíhal přes jiný VM Gateway, který bude veškerý provoz směřovat (torifikovat) do sítě Tor. Jedná se o síťový "kill switch". Váš virtuální počítač zcela ztratí síťovou konektivitu a přejde do režimu offline, pokud druhý virtuální počítač ztratí připojení k síti Tor.
• Samotný virtuální počítač, který má připojení k internetu pouze prostřednictvím brány sítě Tor, se připojí k vaší službě VPN placené v hotovosti prostřednictvím sítě Tor.
• Úniky DNS nebudou možné, protože virtuální počítač je v izolované síti, která musí procházet přes Tor bez ohledu na cokoli.

 

[HEISENBERG]

Vyberte si metodu připojení.

V rámci této cesty existuje 7 možností:

• Doporučené a preferované:
  
  • Použijte pouze Tor (Uživatel > Tor > Internet).
  • Ve specifických případech použít VPN přes Tor (Uživatel > Tor > VPN > Internet).
• Možné, pokud to vyžaduje kontext:
  
  • Použít VPN přes Tor přes VPN (Uživatel > VPN > Tor > VPN > Internet).
  • Použít Tor přes VPN (Uživatel > VPN > Tor > Internet)
• Nedoporučuje se a je riskantní:
  
  • Použít pouze VPN (Uživatel > VPN > Internet)
  • Použít VPN přes VPN (Uživatel > VPN > VPN > Internet)
• Nedoporučuje se a je velmi riskantní (ale je to možné).
  
  • Žádná VPN a žádný Tor (Uživatel > Internet)

Pouze Tor.

Toto je preferované a nejdoporučovanější řešení.

Při tomto řešení prochází celá síť přes Tor a ve většině případů by to mělo stačit k zajištění anonymity.


Je zde jedna hlavní nevýhoda: Některé služby blokují/zakazují uzly Tor Exit a neumožňují z nich vytvářet účty.


Chcete-li tuto skutečnost zmírnit, budete možná muset zvážit další možnost: VPN přes Tor, ale zvažte některá rizika s tím spojená, která jsou vysvětlena v následující části.

VPN/Proxy přes Tor.

Toto řešení může v některých specifických případech přinést určité výhody oproti použití pouze Toru, kdy by přístup k cílové službě nebyl možný z uzlu Tor Exit. Je to proto, že mnoho služeb Tor prostě přímo zakáže, ztíží nebo zablokuje ( viz https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Jak je vidět na tomto obrázku, pokud vaši hotovostní (preferovanou)/Monero placenou VPN/Proxy prozradí protivník (navzdory jejich prohlášení o ochraně osobních údajů a zásadám o zákazu logování), najde pouze anonymní hotovostní/Monero placený VPN/Proxy účet připojující se k jejich službám z Tor Exit uzlu.

Pokud se protivníkovi nějakým způsobem podaří kompromitovat i síť Tor, odhalí pouze IP adresu náhodné veřejné Wi-Fi, která není spojena s vaší identitou.


Pokud protivník nějakým způsobem kompromituje váš virtuální operační systém (například pomocí malwaru nebo exploitu), bude uvězněn v interní síti Whonix a neměl by být schopen odhalit IP veřejné Wi-Fi.


Toto řešení má však jednu hlavní nevýhodu, kterou je třeba zvážit: Rušení izolace proudu Tor.


Izolace proudu je technika zmírnění, která se používá k zabránění některým korelačním útokům tím, že pro každou aplikaci existují různé okruhy Tor. Zde je ilustrace, která ukazuje, co je izolace proudu:

(Ilustrace od Marcela Martinse, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy přes Tor spadá na pravou stranu, což znamená, že použití VPN/Proxy přes Tor nutí Tor používat jeden okruh pro všechny činnosti místo více okruhů pro každou z nich. To znamená, že použití VPN/Proxy přes Tor může v některých případech poněkud snížit účinnost Toru, a proto by se mělo používat pouze v některých specifických případech:

• Pokud vaše cílová služba neumožňuje výstupní uzly Tor.
• Když vám nevadí používat sdílený okruh Tor pro různé služby. Jako například pro používání různých ověřených služeb.

Měli byste však zvážit, zda tuto metodu nepoužít, pokud je vaším cílem pouze náhodné procházení různých neověřených webových stránek, protože nebudete mít prospěch z izolace toku a protivníkovi by to mohlo časem usnadnit korelační útoky mezi jednotlivými relacemi (viz Váš anonymizovaný provoz Tor/VPN). Pokud je však vaším cílem používat stejnou identitu při každé relaci na stejných ověřených službách, hodnota izolace proudu se snižuje, protože můžete být korelováni jinými prostředky.


Měli byste také vědět, že Izolace streamu nemusí být ve výchozím nastavení v systému Whonix Workstation nutně nakonfigurována. Je předkonfigurována pouze pro některé aplikace (včetně prohlížeče Tor Browser).


Všimněte si také, že funkce Stream Isolation nemusí nutně změnit všechny uzly v okruhu Tor. Někdy může změnit pouze jeden nebo dva. V mnoha případech Izolace proudu (například v rámci prohlížeče Tor Browser) změní pouze relay (prostřední) uzel a výstupní uzel, přičemž zachová stejný strážní (vstupní) uzel.


Více informací naleznete na adrese:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor přes VPN.

Možná vás to zajímá: Co takhle použít Tor přes VPN místo VPN přes Tor? No, já bych to nutně nedělal:

• Nevýhody:
  
  • Váš poskytovatel VPN je jen dalším poskytovatelem internetových služeb, který pak bude znát vaši původní IP adresu a bude vás moci v případě potřeby deanonymizovat. Nedůvěřujeme jim. Dávám přednost situaci, kdy poskytovatel VPN neví, kdo jste. Z hlediska anonymity to moc nepřidá.
  • To by vedlo k tomu, že byste se připojovali k různým službám pomocí IP výstupního uzlu Tor, které jsou na mnoha místech zakázané/označené. Nepomáhá to ani z hlediska pohodlí.
• Výhody:
  
  • Hlavní výhodou je skutečně to, že pokud se nacházíte v nepřátelském prostředí, kde je přístup přes Tor nemožný/nebezpečný/podezřelý, ale VPN je v pořádku.
  • Tato metoda také nenarušuje izolaci Tor Streamu.

Poznámka: Pokud máte problémy s přístupem k síti Tor kvůli blokování/cenzuře, můžete zkusit použít Tor Bridges. Viz příloha X: Použití mostů Tor v nepřátelském prostředí.


Je také možné zvážit VPN přes Tor přes VPN (Uživatel > VPN > Tor > VPN > Internet) s použitím dvou VPN placených penězi/Monero. To znamená, že hostitelský operační systém připojíte k první VPN z veřejné Wi-Fi, poté se Whonix připojí k Toru a nakonec se váš virtuální počítač připojí k druhé VPN přes Tor přes VPN ( viz https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


To bude mít samozřejmě značný dopad na výkon a může to být dost pomalé, ale myslím, že Tor je někde pro dosažení rozumné anonymity nutný.


Dosáhnout toho technicky je v rámci této cesty snadné, potřebujete dva samostatné anonymní účty VPN a musíte se připojit k první VPN z hostitelského OS a následovat cestu.


Závěr: Tuto metodu použijte pouze v případě, že si myslíte, že použití samotného Toru je riskantní/nemožné, ale VPN je v pořádku. Nebo jen proto, že můžete a tak proč ne.

 

[HEISENBERG]

Pouze pro VPN.

Tato cesta nebude vysvětlena ani doporučena.


Pokud můžete používat VPN, měli byste být schopni přidat nad ni vrstvu Tor. A pokud můžete Tor používat, pak můžete nad Tor přidat anonymní VPN a získat tak preferované řešení.


Pouhé použití VPN nebo dokonce VPN nad VPN nemá smysl, protože ty lze časem vystopovat. Jeden z poskytovatelů VPN bude znát vaši skutečnou IP adresu původu (i když je v bezpečném veřejném prostoru), a i když přidáte jednu přes ni, druhý bude stále vědět, že jste používali tu druhou první službu VPN. Tím se vaše deanonymizace pouze mírně oddálí. Ano, je to přidaná vrstva ... ale je to trvalá centralizovaná přidaná vrstva a časem můžete být deanonymizováni. Jedná se pouze o řetězení 3 poskytovatelů internetových služeb, kteří všichni podléhají zákonným požadavkům.


Další informace naleznete v následujících odkazech:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

V kontextu této příručky je Tor někde vyžadován pro dosažení rozumné a bezpečné anonymity a měli byste jej používat, pokud to jde.

Žádná VPN/Tor.

Pokud v místě, kde se nacházíte, nemůžete používat VPN ani Tor, pravděpodobně se nacházíte ve velmi nepřátelském prostředí, kde je dohled a kontrola velmi vysoká.


Prostě to nedělejte, nestojí to za to a je to IMHO příliš riskantní. Můžete být téměř okamžitě deanonymizováni jakýmkoli motivovaným protivníkem, který by se mohl během několika minut dostat k vaší fyzické poloze.


Nezapomeňte se zpětně podívat na Protivníky (hrozby) a Dodatek S: Zkontrolujte, zda vaše síť není sledována/cenzurována pomocí OONI.


Pokud nemáte absolutně žádnou jinou možnost a přesto chcete něco udělat, podívejte se do Přílohy P: Co nejbezpečnější přístup k internetu, když Tor/VPN nepřichází v úvahu (na vlastní nebezpečí) a zvažte místo toho cestu The Tails.

Závěr: V případě, že se vám podařilo získat informace o tom, že jste se dostali do sítě Tor, můžete se obrátit na síť Tor.

Používání samotného Toru bohužel vzbudí podezření u mnoha cílových platforem. Pokud budete používat pouze Tor, budete čelit mnoha překážkám (captcha, chyby, potíže s přihlášením). Kromě toho by vás používání Toru v místě, kde se nacházíte, mohlo dostat do potíží už jen kvůli tomu. Tor však zůstává nejlepším řešením pro anonymitu a někde pro anonymitu být musí.

• Pokud je vaším záměrem vytvořit trvalé sdílené a ověřené identity na různých službách, kam je přístup z Toru obtížný, doporučuji možnost VPN přes Tor (nebo v případě potřeby VPN přes Tor přes VPN). Může být o něco méně bezpečná proti korelačním útokům kvůli prolomení izolace Tor Streamu, ale poskytuje mnohem větší pohodlí při přístupu k online zdrojům než pouhé používání Toru. Je to "přijatelný" kompromis IMHP, pokud jste dostatečně opatrní na svou identitu.
• Pokud je však vaším záměrem pouze anonymní prohlížení náhodných služeb bez vytváření konkrétních sdílených identit, používejte služby přátelské k Toru; nebo pokud nechcete přijmout tento kompromis v předchozí možnosti. Pak doporučuji použít cestu Pouze Tor, abyste si zachovali všechny výhody izolace toku (nebo Tor přes VPN, pokud potřebujete).
• Pokud je problémem cena, doporučuji možnost Pouze Tor, pokud je to možné.
• Pokud je přístup přes Tor i VPN nemožný nebo nebezpečný, pak nemáte jinou možnost než se bezpečně spolehnout na Public wi-fis. Viz Příloha P: Co nejbezpečnější přístup k internetu, když Tor a VPN nejsou možné.

Další informace naleznete také v diskusích zde, které by vám mohly pomoci se rozhodnout:

• Projekt Tor: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Tails Documentation:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Dokumentace Whonix (v tomto pořadí):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Některé dokumenty k této problematice:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Získejte anonymní VPN/Proxy.

Tento krok přeskočte, pokud chcete používat pouze Tor.


Viz Příloha O: Získejte anonymní VPN/Proxy server.

Whonix.

Tento krok přeskočte, pokud nemůžete používat Tor.


Tato trasa bude v rámci procesu anonymizace používat Virtualization a Whonix309. Whonix je linuxová distribuce složená ze dvou virtuálních strojů:

• Whonix Workstation (jedná se o virtuální počítač, ve kterém můžete provádět citlivé činnosti).
• Brána Whonix (tento virtuální počítač naváže spojení se sítí Tor a přesměruje veškerý síťový provoz z pracovní stanice přes síť Tor).

V této příručce budou proto navrženy 2 varianty této trasy:

• Pouze trasa Whonix, kdy je veškerý provoz směrován přes síť Tor (pouze Tor nebo Tor přes VPN).

Hybridní trasa Whonix, kde je veškerý provoz směrován přes VPN placenou v hotovosti (preferovaná) / Monero přes síť Tor (VPN přes Tor nebo VPN přes Tor přes VPN).

Na základě mých doporučení se budete moci rozhodnout, kterou variantu použít. Doporučuji druhou z nich, jak bylo vysvětleno dříve.


Whonix je dobře udržovaný a má rozsáhlou a neuvěřitelně podrobnou dokumentaci.

Ještě poznámka ke snímkům Virtualboxu.

Později budete v rámci Virtualboxu vytvářet a spouštět několik virtuálních strojů pro citlivé činnosti. Virtualbox poskytuje funkci zvanou "Snapshots", která umožňuje uložit stav virtuálního počítače v libovolném okamžiku. Pokud se později z jakéhokoli důvodu budete chtít k tomuto stavu vrátit, můžete tento snímek kdykoli obnovit.


Důrazně doporučuji, abyste tuto funkci využili a vytvořili snímek po počáteční instalaci/aktualizaci každého virtuálního počítače. Tento snímek by měl být vytvořen před jejich použitím pro jakoukoli citlivou/anonymní činnost.


To vám umožní proměnit vaše virtuální počítače v jakési jednorázové "živé operační systémy" (podobně jako dříve diskutovaný Tails). To znamená, že budete moci vymazat všechny stopy po své činnosti ve virtuálním počítači obnovením snímku do dřívějšího stavu. Samozřejmě to nebude "tak dobré" jako u Tails (kde je vše uloženo v paměti), protože na pevném disku mohou zůstat stopy po této činnosti. Forenzní studie prokázaly schopnost obnovit data z vráceného virtuálního počítače. Naštěstí budou existovat způsoby, jak tyto stopy po smazání nebo návratu k předchozímu snímku odstranit. Takové techniky budou popsány v části Některá další opatření proti forenzním analýzám této příručky.

Stáhněte si nástroje Virtualbox a Whonix.

V rámci hostitelského operačního systému byste si měli stáhnout několik věcí.

• Nejnovější verzi instalačního programu Virtualbox podle hostitelského OS https://www.virtualbox.org/wiki/Downloads [Archive.org].
• (Pokud nemůžete Tor používat nativně nebo přes VPN, přeskočte to) Nejnovější soubor Whonix OVA z https://www.whonix.org/wiki/Download [Archive.org] podle vašich preferencí (Linux/Windows, s desktopovým rozhraním XFCE pro jednoduchost nebo pouze s textovým klientem pro pokročilé uživatele).

Tím jsou přípravy ukončeny a nyní byste měli být připraveni začít nastavovat finální prostředí, které bude chránit vaši anonymitu na internetu.

Doporučení pro Hardening Virtualboxu.

Pro ideální zabezpečení byste se měli řídit doporučeními uvedenými zde pro jednotlivé virtuální stroje Virtualboxu https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Zakázat zvuk.
• Nepovolujte sdílené složky.
• Nepovolujte 2D akceleraci. Toto se provádí spuštěním následujícího příkazu: VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off.
• Nepovolujte 3D akceleraci.
• Nepovolujte sériový port.
• Odstraňte disketovou jednotku.
• Odstraňte jednotku CD/DVD.
• Nepovolujte server Remote Display.
• Povolte PAE/NX (NX je bezpečnostní funkce).
• Zakázat rozhraní ACPI (Advanced Configuration and Power Interface). To provedete následujícím příkazem VBoxManage modifyvm "vm-id" --acpi on|off
• Nepřipojujte zařízení USB.
• Vypněte řadič USB, který je ve výchozím nastavení povolen. Nastavte ukazovací zařízení na "PS/2 Mouse", jinak se změny vrátí zpět.

Nakonec se také řiďte tímto doporučením, abyste zrušili synchronizaci hodin, které máte ve svém virtuálním počítači v porovnání s hostitelským operačním systémem https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org].


Tento posun by se měl pohybovat v rozmezí 60000 milisekund a měl by být pro každý virtuální počítač jiný a zde je několik příkladů (které lze později použít pro jakýkoli virtuální počítač):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Zvažte také použití těchto omezení z VirtualBoxu pro zmírnění zranitelností Spectre/Meltdown spuštěním tohoto příkazu z programového adresáře VirtualBoxu. Všechna tato řešení jsou popsána zde: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (uvědomte si, že mohou mít vážný dopad na výkon vašich virtuálních počítačů, ale pro co nejlepší zabezpečení by měla být provedena).


Nakonec zvažte bezpečnostní rady samotného Virtualboxu zde: https: //www.virtualbox.org/manual/ch13.html [Archive.org].

 

[HEISENBERG]

Tor přes VPN.

Tento krok přeskočte, pokud nemáte v úmyslu používat Tor přes VPN a hodláte používat pouze Tor nebo nemůžete.


Pokud hodláte Tor přes VPN používat z jakéhokoli důvodu. Nejprve musíte v hostitelském operačním systému nakonfigurovat službu VPN.


Nezapomeňte, že v tomto případě doporučuji mít dva účty VPN. Oba placené penězi/Monero (viz Příloha O: Pořízení anonymní VPN/Proxy). Jeden bude použit v hostitelském OS pro první připojení VPN. Druhý může být použit ve virtuálním počítači pro dosažení VPN přes Tor přes VPN (Uživatel > VPN > Tor > VPN).


Pokud máte v úmyslu používat pouze Tor přes VPN, stačí jeden účet VPN.


Pokyny naleznete v Příloze R: Instalace VPN ve virtuálním počítači nebo hostitelském operačním systému.

 

[HEISENBERG]

Virtuální stroje Whonix.

Tento krok přeskočte, pokud nemůžete používat Tor.

• Spusťte Virtualbox v hostitelském operačním systému.
• Importujte soubor Whonix do Virtualboxu podle pokynů na adrese https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Spusťte virtuální počítače Whonix

V této fázi nezapomeňte, že pokud máte problémy s připojením k Toru kvůli cenzuře nebo blokování, měli byste zvážit připojení pomocí Bridges, jak je vysvětleno v tomto návodu https://www.whonix.org/wiki/Bridges [Archive.org].

• Aktualizujte virtuální počítače Whonix podle pokynů na adrese https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org].
• Vypněte virtuální počítače Whonix
• Pořiďte snímek aktualizovaných virtuálních počítačů Whonix ve Virtualboxu (vyberte virtuální počítač a klikněte na tlačítko Pořídit snímek). Více o tom později.
• Přejděte na další krok

Důležitá poznámka: Měli byste si také přečíst tato velmi dobrá doporučení na adrese https://www.whonix.org/wiki/DoNot [Archive.org], protože většina těchto zásad se bude vztahovat i na tento návod. Měli byste si také přečíst jejich obecnou dokumentaci zde https://www.whonix.org/wiki/Documentation [Archive.org] , která rovněž poskytne spoustu rad jako tento průvodce.