Tails.
Tails eignet sich hervorragend für diese Aufgabe; selbst wenn Sie ein SSD-Laufwerk verwenden, müssen Sie sich keine Sorgen machen. Schalten Sie es ab, und alles ist weg, sobald der Speicher zerfällt.
Whonix.
Beachten Sie, dass es möglich ist, Whonix im Live-Modus zu betreiben und keine Spuren zu hinterlassen, wenn Sie die VMs herunterfahren. Lesen Sie dazu die Dokumentation hier
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] und hier
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Gastbetriebssystem.
Kehren Sie zu einem früheren Snapshot von Virtualbox (oder einer anderen VM-Software, die Sie verwenden) zurück und führen Sie einen Trim-Befehl auf Ihrem Mac mit dem Festplattendienstprogramm aus, indem Sie, wie am Ende des nächsten Abschnitts erläutert, erneut eine erste Hilfe auf dem Host-Betriebssystem ausführen.
Host-Betriebssystem.
Die meisten Informationen aus diesem Abschnitt finden Sie auch in diesem schönen Leitfaden
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Quarantäne-Datenbank (wird von Gatekeeper und XProtect verwendet).
MacOS (bis einschließlich Big Sur) führt eine Quarantäne-SQL-Datenbank mit allen Dateien, die Sie jemals von einem Browser heruntergeladen haben. Diese Datenbank befindet sich unter ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Sie können sie selbst abfragen, indem Sie den folgenden Befehl im Terminal ausführen: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Offensichtlich ist dies eine Goldgrube für Forensiker und Sie sollten dies deaktivieren:
- Führen Sie den folgenden Befehl aus, um die Datenbank vollständig zu löschen: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Führen Sie den folgenden Befehl aus, um die Datei zu sperren und zu verhindern, dass weitere Download-Verläufe dorthin geschrieben werden: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Schließlich können Sie Gatekeeper auch ganz deaktivieren, indem Sie den folgenden Befehl im Terminal eingeben:
- sudo spctl --master-disable
Weitere Informationen finden Sie in diesem Abschnitt dieses Handbuchs
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Zusätzlich zu dieser praktischen Datenbank enthält jede gespeicherte Datei auch detaillierte Dateisystem-HFS+/APFS-Attribute, aus denen hervorgeht, wann sie heruntergeladen wurde, mit welchem Inhalt und von wo.
Sie können diese Attribute einsehen, indem Sie einfach ein Terminal öffnen und mdls filename und xattr -l filename für jede heruntergeladene Datei in einem beliebigen Browser eingeben.
Um solche Attribute zu entfernen, müssen Sie dies manuell über das Terminal tun:
- Führen Sie xattr -d com.apple.metadata:kMDItemWhereFroms filename aus, um den Ursprung zu entfernen
- Sie können auch einfach -dr verwenden, um einen ganzen Ordner bzw. eine ganze Festplatte rekursiv zu löschen
- Führen Sie xattr -d com.apple.quarantine filename aus, um die Quarantäne-Referenz zu entfernen.
- Sie können auch einfach -dr verwenden, um einen ganzen Ordner bzw. eine ganze Festplatte rekursiv zu bearbeiten.
- Überprüfen Sie dies, indem Sie xattr --l filename ausführen; es sollte keine Ausgabe geben
(Beachten Sie, dass Apple die bequeme Option xattr -c entfernt hat, die alle Attribute auf einmal entfernt hätte, so dass Sie dies für jedes Attribut in jeder Datei tun müssen)
Diese Attribute und Einträge bleiben auch dann erhalten, wenn Sie den Browserverlauf löschen, was natürlich schlecht für die Privatsphäre ist (oder?), und mir ist derzeit kein praktisches Tool bekannt, das damit umgehen kann.
Glücklicherweise gibt es einige Abhilfemaßnahmen, um dieses Problem von vornherein zu vermeiden, da diese Attribute und Einträge von den Browsern festgelegt werden. Ich habe also verschiedene Browser getestet (auf MacOS Catalina und Big Sur) und hier sind die Ergebnisse zum Zeitpunkt der Erstellung dieser Anleitung:
| Browser | Quarantäne-DB-Eintrag | Attribut der Quarantänedatei | Herkunft Datei-Attribut |
|---|
| Safari (Normal) | Ja | Ja | Ja |
| Safari (Privates Fenster) | Nein | Nein | Nein |
| Firefox (Normal) | Ja | Ja | Ja |
| Firefox (Privates Fenster) | Nein | Nein | Nein |
| Chrome (Normal) | Ja | Ja | Ja |
| Chrome (Privates Fenster) | Teilweise (nur Zeitstempel) | Nein | Nein |
| Ungegoogled-Chromium (Normal) | Nein | Nein | Nein |
| Ungegoogled-Chromium (Privates Fenster) | Nein | Nein | Nein |
| Tapfer (Normal) | Teilweise (nur Zeitstempel) | Nein | Nein |
| Brave (Privates Fenster) | Teilweise (nur Zeitstempel) | Nein | Nein |
| Brave (Tor-Fenster) | Teilweise (nur Zeitstempel) | Nein | Nein |
| Tor-Browser | Nein | Nein | Nein |
Wie Sie selbst sehen können, ist die einfachste Abschwächung die Verwendung von Private Windows. Diese schreiben diese Herkunfts- und Quarantäneattribute nicht und speichern die Einträge nicht in der QuarantineEventsV2-Datenbank.
Das Löschen von QuarantineEventsV2 ist einfach, wie oben beschrieben. Das Entfernen der Attribute erfordert etwas Arbeit.
Brave ist der einzige getestete Browser, der diese Attribute im normalen Betrieb standardmäßig nicht speichert.
Verschiedene Artefakte.
Darüber hinaus speichert MacOS verschiedene Protokolle über angeschlossene Geräte, verbundene Geräte, bekannte Netzwerke, Analysen, Dokumentrevisionen usw.
In diesem Abschnitt dieses Leitfadens finden Sie Hinweise, wo Sie solche Artefakte finden und wie Sie sie löschen können:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Viele dieser Artefakte können mit verschiedenen kommerziellen Tools von Drittanbietern gelöscht werden, aber ich persönlich würde das kostenlose und bekannte Onyx empfehlen, das Sie hier finden:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Leider ist es ein Closed-Source-Programm, aber es ist notariell beglaubigt, signiert und hat sich seit vielen Jahren bewährt.
Erzwingen Sie nach der Reinigung einen Trim-Vorgang.
- Wenn Ihr Dateisystem APFS ist, brauchen Sie sich nicht um Trim zu kümmern, da dies asynchron geschieht, während das Betriebssystem Daten schreibt.
- Wenn Ihr Dateisystem HFS+ (oder ein anderes Dateisystem als APFS) ist, können Sie First Aid über das Festplattendienstprogramm auf Ihrem Systemlaufwerk ausführen, das einen Trim-Vorgang in den Details durchführen sollte(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Bitte beachten Sie deren Richtlinien
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Wenn Sie Whonix auf Qubes OS verwenden, beachten Sie bitte einige der dortigen Anleitungen:
Linux (nicht Qubes).
Gastbetriebssystem.
Kehren Sie zu einem früheren Schnappschuss der Gast-VM auf Virtualbox (oder einer anderen VM-Software, die Sie verwenden) zurück und führen Sie einen Trim-Befehl auf Ihrem Laptop mit fstrim --all aus. Dieses Dienstprogramm ist Teil des Pakets util-linux unter Debian/Ubuntu und sollte unter Fedora standardmäßig installiert sein. Wechseln Sie dann zum nächsten Abschnitt.
Host-Betriebssystem.
Normalerweise sollten Sie keine Spuren innerhalb des Host-Betriebssystems bereinigen müssen, da Sie alles von einer VM aus machen, wenn Sie dieser Anleitung folgen.
Trotzdem möchten Sie vielleicht einige Protokolle bereinigen. Verwenden Sie einfach dieses praktische Tool:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (Anweisungen auf der Seite, zum Herunterladen gehen Sie zu den Releases, dieses Repository wurde kürzlich entfernt)
Nachdem Sie aufgeräumt haben, stellen Sie sicher, dass Sie das Dienstprogramm fstrim installiert haben (sollte unter Fedora standardmäßig vorhanden sein) und Teil des util-linux-Pakets unter Debian/Ubuntu. Führen Sie dann einfach fstrim --all auf dem Host-Betriebssystem aus. Dies sollte auf SSD-Laufwerken, wie bereits erläutert, ausreichend sein.
Erwägen Sie die Verwendung von Linux Kernel Guard als zusätzliche Maßnahme
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Gastbetriebssystem.
Kehren Sie zu einem früheren Snapshot von Virtualbox (oder einer anderen VM-Software, die Sie verwenden) zurück und führen Sie einen Trim-Befehl für Ihr Windows aus, indem Sie die Optimierungsfunktion verwenden, wie am Ende des nächsten Abschnitts beschrieben
Host-Betriebssystem.
Nachdem Sie nun eine Reihe von Aktivitäten mit Ihren VMs oder dem Host OS durchgeführt haben, sollten Sie sich einen Moment Zeit nehmen, um Ihre Spuren zu verwischen.
Die meisten dieser Schritte sollten nicht auf dem Decoy OS durchgeführt werden, um eine plausible Bestreitbarkeit zu gewährleisten. Der Grund dafür ist, dass Sie für Ihren Gegner Täuschungsmanöver/plausible Spuren von sinnvollen, aber nicht geheimen Aktivitäten bereithalten wollen. Wenn alles sauber ist, könnten Sie Verdacht schöpfen.
Diagnosedaten und Telemetrie.
Lassen Sie uns zunächst alle Diagnosedaten beseitigen, die noch vorhanden sein könnten:
(Überspringen Sie diesen Schritt, wenn Sie Windows 10 AME verwenden)
- Gehen Sie nach jeder Verwendung Ihrer Windows-Geräte zu Einstellungen, Datenschutz, Diagnose & Feedback und klicken Sie auf Löschen.
Dann lassen Sie uns die MAC-Adressen Ihrer virtuellen Maschinen und die Bluetooth-Adresse Ihres Host-Betriebssystems neu randomisieren.
- Nach jedem Herunterfahren Ihrer Windows-VM ändern Sie die MAC-Adresse für das nächste Mal, indem Sie in Virtualbox > die VM auswählen > Einstellungen > Netzwerk > Erweitert > MAC-Adresse aktualisieren.
- Nach jeder Verwendung Ihres Host-Betriebssystems Windows (Ihre VM sollte kein Bluetooth haben), gehen Sie in den Gerätemanager, wählen Sie Bluetooth, deaktivieren Sie das Gerät und aktivieren Sie es erneut (dies erzwingt eine Zufallsauswahl der Bluetooth-Adresse).
Ereignisprotokolle.
In den Windows-Ereignisprotokollen werden viele verschiedene Informationen gespeichert, die Spuren Ihrer Aktivitäten enthalten können, z. B. die gemounteten Geräte (einschließlich Veracrypt-NTFS-Volumes, z. B
.294), Ihre Netzwerkverbindungen, Informationen über App-Abstürze und verschiedene Fehler. Es ist immer am besten, diese regelmäßig zu bereinigen. Tun Sie dies nicht auf dem Decoy OS.
- Starten Sie, suchen Sie nach Event Viewer und starten Sie die Ereignisanzeige:
- Gehen Sie zu den Windows-Protokollen.
- Wählen Sie alle 5 Protokolle aus und löschen Sie sie mit einem Rechtsklick.
Veracrypt-Verlauf.
Standardmäßig speichert Veracrypt einen Verlauf der zuletzt gemounteten Volumes und Dateien. Sie sollten sicherstellen, dass Veracrypt niemals den Verlauf speichert. Auch hier gilt: Tun Sie dies nicht auf dem Decoy OS, wenn Sie plausible Bestreitbarkeit für das OS verwenden. Wir müssen den Verlauf der Einbindung des Decoy-Volumes als Teil der plausiblen Bestreitbarkeit aufbewahren.
- Starten Sie Veracrypt
- Vergewissern Sie sich, dass das Kontrollkästchen "Never saves history" aktiviert ist (auf dem Decoy OS sollte es nicht aktiviert sein)
Jetzt sollten Sie den Verlauf aller von Ihnen verwendeten Anwendungen löschen, einschließlich Browserverlauf, Cookies, gespeicherte Passwörter, Sitzungen und Formularverlauf.
Browser-Verlauf.
- Brave (falls Sie die Reinigung beim Beenden nicht aktiviert haben)
- Gehen Sie zu Einstellungen
- Gehen Sie zu Schutzschilde
- Gehen Sie zu Browsing-Daten löschen
- Wählen Sie "Erweitert
- Wählen Sie "Alle Zeiten".
- Überprüfen Sie alle Optionen
- Daten löschen
- Tor-Browser
- Schließe einfach den Browser und alles ist sauber
Wi-Fi-Verlauf.
Jetzt ist es an der Zeit, den Verlauf des Wi-Fi zu löschen, mit dem du dich verbindest. Leider speichert Windows eine Liste früherer Netzwerke in der Registrierung, auch wenn Sie diese in den Wi-Fi-Einstellungen "vergessen" haben. Soweit ich weiß, gibt es noch keine Hilfsprogramme, um diese zu bereinigen (z. B. BleachBit oder PrivaZer), also müssen Sie es manuell tun:
- Starten Sie Regedit mit dieser Anleitung: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- Geben Sie in Regedit Folgendes in die Adressleiste ein: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Dort sehen Sie eine Reihe von Ordnern auf der rechten Seite. Jeder dieser Ordner ist ein "Schlüssel". Jeder dieser Schlüssel enthält Informationen über Ihr aktuell bekanntes Wi-Fi oder frühere Netzwerke, die Sie verwendet haben. Sie können sie einzeln durchsuchen und die Beschreibung auf der rechten Seite sehen.
- Löschen Sie alle diese Schlüssel.
Shellbags.
Wie bereits erwähnt, handelt es sich bei Shellbags im Wesentlichen um die Historie der auf Ihrem Computer verwendeten Datenträger/Dateien. Denken Sie daran, dass Shellbags sehr gute Informationsquellen für die Forensik
sind287 und Sie diese bereinigen müssen. Insbesondere, wenn Sie irgendwo ein "verstecktes Volume" gemountet haben. Nochmals: Sie sollten dies nicht auf dem Decoy OS tun.
- Laden Sie Shellbag Analyzer & Cleaner von https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org] herunter.
- Starten Sie es
- Analysieren Sie
- Klicken Sie auf Clean und wählen Sie:
- Gelöschte Ordner
- Ordner im Netzwerk / Externe Geräte
- Suchergebnisse
- Erweitert wählen
- Markieren Sie alle Optionen außer den beiden Sicherungsoptionen (keine Sicherung)
- Wählen Sie SSD-Bereinigung (wenn Sie eine SSD haben)
- Wählen Sie 1 Durchgang (Alle Null)
- Bereinigen
Extra Tools Reinigung.
Nachdem Sie die vorherigen Spuren bereinigt haben, sollten Sie auch Dienstprogramme von Drittanbietern verwenden, mit denen Sie verschiedene Spuren bereinigen können. Dazu gehören auch die Spuren der Dateien/Ordner, die Sie gelöscht haben.
Bevor Sie fortfahren, lesen Sie bitte
Anhang H: Windows Cleaning Tools.
PrivaZer.
Hier sind die Schritte für PrivaZer:
- Downloaden und installieren Sie PrivaZer von https://privazer.com/en/download.php [Archive.org]
- Starten Sie PrivaZer nach der Installation
- Benutzen Sie nicht den Assistenten
- Wählen Sie Advanced User
- Wählen Sie Scan in Depth und wählen Sie Ihr Ziel
- Wählen Sie Alles, was Sie scannen wollen und drücken Sie auf Scannen
- Wählen Sie aus, was gesäubert werden soll (überspringen Sie den Teil mit den Hüllen, da Sie dafür das andere Programm verwendet haben)
- Wenn Sie eine SSD verwenden, sollten Sie den Teil zum Bereinigen des freien Speicherplatzes überspringen und stattdessen einfach die native Windows-Optimierungsfunktion (siehe unten) verwenden, die mehr als ausreichend sein sollte. Ich würde diese Funktion nur auf einem HDD-Laufwerk verwenden.
- (Wenn Sie die Bereinigung des freien Speicherplatzes gewählt haben) Wählen Sie Optionen bereinigen und stellen Sie sicher, dass Ihr Speichertyp richtig erkannt wird (HDD vs. SSD).
- (Wenn Sie die Bereinigung von freiem Speicherplatz gewählt haben) In den Bereinigungsoptionen (Seien Sie vorsichtig mit dieser Option, da sie den gesamten freien Speicherplatz auf der ausgewählten Partition löscht, insbesondere wenn Sie das Scheinbetriebssystem ausführen. Löschen Sie nicht den freien Speicherplatz oder irgendetwas anderes auf der zweiten Partition, da Sie sonst riskieren, Ihr verstecktes Betriebssystem zu zerstören)
- Wenn Sie ein SSD-Laufwerk haben:
- Registerkarte Sicheres Überschreiben: Ich persönlich würde nur die Option Normales Löschen + Trimmen wählen (Trimmen selbst sollte ausreichen). Sicheres Löschen mit Trimmen (1 Durchgang) könnte hier überflüssig und übertrieben sein, wenn Sie ohnehin vorhaben, den freien Speicherplatz zu überschreiben.
- Registerkarte Freier Speicherplatz: Ich persönlich würde die Option "Normale Bereinigung" wählen, die den gesamten freien Speicherplatz mit Daten füllt, nur um sicherzugehen. Der intelligenten Bereinigung traue ich nicht wirklich, da sie nicht den gesamten freien Speicherplatz auf der SSD mit Daten füllt. Aber auch hier denke ich, dass dies wahrscheinlich nicht nötig ist und in den meisten Fällen ein Overkill darstellt.
- Wenn Sie ein HDD-Laufwerk haben:
- Registerkarte Sicheres Überschreiben: Ich würde einfach Sicheres Löschen (1 Durchgang) wählen.
- Freier Speicherplatz: Ich würde einfach Smart Cleanup wählen, da es keinen Grund gibt, Sektoren ohne Daten auf einem Festplattenlaufwerk zu überschreiben.
- Wählen Sie Bereinigen und wählen Sie Ihre Geschmacksrichtung:
- Turbo Cleanup führt nur normale Löschvorgänge (auf HDD/SSD) durch und bereinigt keinen freien Speicherplatz. Sie ist weder auf einer HDD noch auf einer SSD sicher.
- Quick Cleanup führt sicheres Löschen (auf HDD) und normales Löschen + Trimmen (auf SSD) durch, bereinigt aber nicht den freien Speicherplatz. Ich denke, das ist sicher genug für SSD, aber nicht für HDD.
- Die normale Bereinigung führt eine sichere Löschung (auf der Festplatte) und eine normale Löschung + Bereinigung (auf der SSD) durch und bereinigt dann den gesamten freien Speicherplatz (intelligente Bereinigung auf der Festplatte und vollständige Bereinigung auf der SSD) und sollte sicher sein. Meiner Meinung nach ist diese Option die beste für Festplatten, aber ein absoluter Overkill für SSDs.
- Klicken Sie auf Bereinigen und warten Sie, bis die Bereinigung abgeschlossen ist. Das kann eine Weile dauern und wird Ihren gesamten freien Speicherplatz mit Daten füllen.
BleachBit.
Hier sind die Schritte für BleachBit:
- Holen und installieren Sie die neueste Version von BleachBit hier https://www.bleachbit.org/download [Archive.org]
- BleachBit ausführen
- Säubern Sie zumindest alles innerhalb dieser Abschnitte:
- Tiefenscan
- Windows-Verteidiger
- Windows Explorer (einschließlich Shellbags)
- System
- Wählen Sie alle anderen Spuren, die Sie entfernen möchten, aus der Liste aus
- Wie beim vorherigen Dienstprogramm würde ich auch hier den freien Speicherplatz auf einem SSD-Laufwerk nicht bereinigen, da ich der Meinung bin, dass das Windows-eigene Dienstprogramm "Optimieren" ausreicht (siehe unten) und das Auffüllen des freien Speicherplatzes auf einer SSD mit Trimmfunktion völlig übertrieben und unnötig ist.
- Klicken Sie auf Bereinigen und warten Sie. Dies wird eine Weile dauern und Ihren gesamten freien Speicherplatz mit Daten füllen, sowohl auf HDD- als auch auf SSD-Laufwerken.
Erzwingen Sie ein Trimmen mit Windows Optimize (für SSD-Laufwerke).
Mit diesem nativen Windows 10-Dienstprogramm können Sie einfach eine Bereinigung auf Ihrer SSD auslösen, was mehr als genug sein sollte, um alle gelöschten Dateien sicher zu bereinigen, die beim Löschen irgendwie der Bereinigung entgangen wären.
Öffnen Sie einfach den Windows Explorer, klicken Sie mit der rechten Maustaste auf Ihr Systemlaufwerk und dann auf Eigenschaften. Wählen Sie Extras. Klicken Sie auf Optimieren und dann erneut auf Optimieren. Schon sind Sie fertig. Ich denke, das ist meiner Meinung nach ausreichend.
