Οδηγός διαδικτυακής ανωνυμίας (από https://anonymousplanet.org/)

Η χρήση γίνεται με δική σας ευθύνη. Παρακαλείστε να μην θεωρήσετε αυτόν τον οδηγό ως την οριστική αλήθεια για τα πάντα, διότι δεν είναι.

Spoiler: Πίνακας περιεχομένων

• Εισαγωγή:
• Κατανόηση κάποιων βασικών στοιχείων για το πώς κάποιες πληροφορίες μπορούν να οδηγήσουν πίσω σε εσάς και πώς να μετριάσετε κάποιες:
  • Το δίκτυό σας:
    • Η διεύθυνση IP σας:
    • Τα αιτήματα DNS και IP σας:
    • Οι συσκευές σας με δυνατότητα RFID:
    • Οι συσκευές Wi-Fi και Bluetooth γύρω σας:
    • Σημεία πρόσβασης Wi-Fi:
    • Tor/VPN: Η ανώνυμη κυκλοφορία σας:
    • Ορισμένες συσκευές μπορούν να εντοπιστούν ακόμη και όταν είναι εκτός σύνδεσης:
  • Τα αναγνωριστικά υλικού σας:
    • IMEI και IMSI (και κατ' επέκταση τον αριθμό του τηλεφώνου σας):
    • Η διεύθυνση MAC του Wi-Fi ή του Ethernet σας:
    • Η διεύθυνση MAC του Bluetooth σας:
  • Η CPU σας:
  • Τα λειτουργικά σας συστήματα και οι υπηρεσίες τηλεμετρίας των εφαρμογών σας:
  • Οι έξυπνες συσκευές σας γενικά:
  • Ο εαυτός σας: Οι έξυπνες συσκευές σας: Ο εαυτός σας:
    • Τα μεταδεδομένα σας, συμπεριλαμβανομένης της γεωγραφικής σας θέσης:
    • Το ψηφιακό σας αποτύπωμα, το αποτύπωμα και η διαδικτυακή σας συμπεριφορά:
    • Οι ενδείξεις σας για την πραγματική σας ζωή και το OSINT:
    • Το πρόσωπό σας, η φωνή σας, τα βιομετρικά σας στοιχεία και οι φωτογραφίες σας:
    • Phishing και κοινωνική μηχανική:
  • κακόβουλο λογισμικό, εκμεταλλεύσεις και ιοί:
    • Κακόβουλο λογισμικό στα αρχεία/έγγραφα/ηλεκτρονικά σας μηνύματα:
    • Κακόβουλο λογισμικό και εκμεταλλεύσεις στις εφαρμογές και τις υπηρεσίες σας:
    • Κακόβουλες συσκευές USB:
    • Κακόβουλο λογισμικό και κερκόπορτες στο υλικολογισμικό και το λειτουργικό σας σύστημα:
  • Τα αρχεία, τα έγγραφα, οι εικόνες και τα βίντεό σας:
    • Τα έγγραφα, τα έγγραφα και τα αρχεία σας: Ιδιότητες και μεταδεδομένα:
    • Υδατοσήμανση:
    • Εικονογραφημένες ή θολωμένες πληροφορίες:
  • Οι συναλλαγές σας σε κρυπτογραφημένα νομίσματα:
  • Τα αντίγραφα ασφαλείας/υπηρεσίες συγχρονισμού σας στο σύννεφο:
  • Αποτυπώματα του προγράμματος περιήγησης και της συσκευής σας:
  • Τοπικές διαρροές δεδομένων και εγκληματολογικά στοιχεία:
  • Κρυπτογράφηση: Κακή κρυπτογράφηση:
  • Δεν υπάρχει καταγραφή, αλλά η καταγραφή γίνεται ούτως ή άλλως με πολιτικές:
  • Ορισμένες προηγμένες στοχευμένες τεχνικές:
  • Μερικοί πρόσθετοι πόροι:
  • Σημειώσεις:
• Γενικές προετοιμασίες:
  • Προετοιμασίες: Διαλέγοντας τη διαδρομή σας:
    • Χρονικοί περιορισμοί:
    • Περιορισμοί στον προϋπολογισμό/υλικά:
    • Δεξιότητες:
    • Αντίπαλοι (απειλές):
  • Βήματα για όλες τις διαδρομές:
    • Βρείτε έναν ανώνυμο αριθμό τηλεφώνου:
    • Αποκτήστε ένα κλειδί USB:
    • Βρείτε μερικά ασφαλή μέρη με αξιοπρεπές δημόσιο Wi-Fi:
  • Η διαδρομή TAILS:
    • Whonix μέσα στο TAILS:
  • Βήματα για όλες τις άλλες διαδρομές:
    • Αποκτήστε έναν ειδικό φορητό υπολογιστή για τις ευαίσθητες δραστηριότητές σας:
    • Ορισμένες συστάσεις για φορητούς υπολογιστές:
    • Bios/UEFI/Firmware Ρυθμίσεις του φορητού σας υπολογιστή:
    • Φυσική προστασία του φορητού σας υπολογιστή:
  • Η διαδρομή Whonix:
    • Επιλογή του λειτουργικού συστήματος υποδοχής (το λειτουργικό σύστημα που είναι εγκατεστημένο στο φορητό σας υπολογιστή):
    • Linux Host OS:
    • MacOS Host OS:
    • Windows:
    • Virtualbox στο Host OS σας:
    • Επιλέξτε τη μέθοδο συνδεσιμότητάς σας:
    • Πάρτε ένα ανώνυμο VPN/Proxy:
    • Whonix:
    • Tor μέσω VPN:
    • Whonix: Εικονικές μηχανές:
    • Εικονική μηχανή: Επιλέξτε τον φιλοξενούμενο σταθμό εργασίας σας:
    • Εικονική μηχανή Linux (Whonix ή Linux):
    • Εικονική μηχανή: Windows 10:
    • Εικονική μηχανή: Android:
    • Εικονική μηχανή: MacOS:
    • KeepassXC:
    • (μετρητά/Μονέρο που πληρώθηκε): εγκατάσταση πελάτη VPN:
    • (Προαιρετικά) επιτρέποντας μόνο στα VMs να έχουν πρόσβαση στο διαδίκτυο, ενώ αποκόπτει το Host OS για να αποτρέψει οποιαδήποτε διαρροή:
    • Τελευταίο βήμα: Το τελευταίο βήμα είναι η αποτροπή της χρήσης του δικτύου από το δίκτυο:
  • Η διαδρομή Qubes:
    • Επιλέξτε τη μέθοδο συνδεσιμότητάς σας:
    • Αποκτήστε ένα ανώνυμο VPN/Proxy:
    • Εγκατάσταση:
    • Συμπεριφορά κλεισίματος του καπακιού:
    • Συνδεθείτε σε δημόσιο Wi-Fi:
    • Qubes OS: Ενημέρωση του λειτουργικού συστήματος Qubes:
    • Qubes OS: Σκλήρυνση του Qubes OS:
    • ProxyVM: Ρύθμιση του VPN ProxyVM:
    • Ρύθμιση ασφαλούς προγράμματος περιήγησης εντός του Qube OS (προαιρετικό αλλά συνιστάται):
    • Εγκατάσταση ενός Android VM:
    • KeePassXC:
• Δημιουργία των ανώνυμων διαδικτυακών σας ταυτοτήτων:
  • Κατανόηση των μεθόδων που χρησιμοποιούνται για την αποτροπή της ανωνυμίας και την επαλήθευση της ταυτότητας:
    • Captchas:
    • Επαλήθευση μέσω τηλεφώνου:
    • Επαλήθευση μέσω ηλεκτρονικού ταχυδρομείου:
    • Έλεγχος στοιχείων χρήστη:
    • Επαλήθευση της ταυτότητας:
    • Φίλτρα IP:
    • Φίλτρα φίλτρων: Δακτυλικό αποτύπωμα προγράμματος περιήγησης και συσκευής:
    • Ανθρώπινη αλληλεπίδραση:
    • Μετριασμός χρηστών:
    • Ανάλυση συμπεριφοράς:
    • Οικονομικές συναλλαγές:
    • Είσοδος με κάποια πλατφόρμα:
    • Ζωντανή αναγνώριση προσώπου και βιομετρικά στοιχεία (και πάλι):
    • Χειροκίνητες αναθεωρήσεις:
  • Διαδικτυακή σύνδεση:
    • Δημιουργία νέων ταυτοτήτων:
    • Το σύστημα πραγματικών ονομάτων:
    • Σχετικά με τις επί πληρωμή υπηρεσίες:
    • Ανασκόπηση: Σχετικά με τις πληρωμές για πληρωμές: Επισκόπηση:
    • Πώς να μοιράζεστε αρχεία ή να συνομιλείτε ανώνυμα:
    • Αποσύνδεση εγγράφων/εικόνων/βίντεο/ήχου με ασφάλεια:
    • Κοινοποίηση ευαίσθητων πληροφοριών σε διάφορους γνωστούς οργανισμούς:
    • Εργασίες συντήρησης:
• Δημιουργία αντιγράφων ασφαλείας της εργασίας σας με ασφάλεια:
  • Αντίγραφα ασφαλείας εκτός σύνδεσης:
    • Αντίγραφα ασφαλείας επιλεγμένων αρχείων:
    • Αντίγραφα ασφαλείας: Πλήρη αντίγραφα ασφαλείας δίσκου/συστήματος:
  • Αντίγραφα ασφαλείας σε απευθείας σύνδεση:
    • Αρχεία:
    • Πληροφορίες:
  • Συγχρονισμός των αρχείων σας μεταξύ συσκευών: Online:
• Συστήματα: Καλύπτοντας τα ίχνη σας:
  • SSD: Κατανόηση της σχέσης HDD vs SSD:
    • Wear-Leveling.
    • Λειτουργίες περικοπής:
    • Συλλογή σκουπιδιών:
    • Συμπέρασμα:
  • Πώς να σβήσετε με ασφάλεια ολόκληρο το Laptop/τους δίσκους σας αν θέλετε να διαγράψετε τα πάντα:
    • Linux (όλες οι εκδόσεις, συμπεριλαμβανομένου του Qubes OS):
    • Windows:
    • Windows: MacOS:
  • Πώς να διαγράψετε με ασφάλεια συγκεκριμένα αρχεία/φακέλους/δεδομένα από τους δίσκους HDD/SSD και Thumb drives:
    • Windows:
    • Linux (εκτός Qubes OS): Linux (μη Qubes OS):
    • Linux (Qubes OS): Linux (χωρίς Qubes OS):
    • MacOS:
  • Ορισμένα πρόσθετα μέτρα κατά της εγκληματολογικής έρευνας:
    • Αφαίρεση μεταδεδομένων από αρχεία/έγγραφα/εικόνες:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (μη Qubes OS): Linux (μη Qubes OS): Linux (μη Qubes OS):
    • Windows:
  • (Qubes): Αφαίρεση ορισμένων ιχνών της ταυτότητάς σας στις μηχανές αναζήτησης και σε διάφορες πλατφόρμες:
    • Google:
    • Google: Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Βικιπαίδεια:
    • σήμερα:
    • Internet Archive:
• Internet Archive: Μερικά παλιά κόλπα χαμηλής τεχνολογίας:
  • Κρυφές επικοινωνίες σε κοινή θέα:
  • Πώς να εντοπίσετε αν κάποιος έχει ψάξει τα πράγματά σας:
• Μερικές τελευταίες σκέψεις OPSEC:
• Αν νομίζετε ότι καήκατε:
  • Αν έχετε λίγο χρόνο:
  • Αν δεν έχετε χρόνο:
• Μια μικρή τελική εκδοτική σημείωση

 

[HEISENBERG]

Προϋπολογισμός/περιορισμοί υλικού.

• Έχετε στη διάθεσή σας μόνο έναν φορητό υπολογιστή και δεν έχετε την οικονομική δυνατότητα για κάτι άλλο. Χρησιμοποιείτε αυτόν τον φορητό υπολογιστή είτε για την εργασία, είτε για την οικογένεια, είτε για τα προσωπικά σας πράγματα (ή και για τα δύο):
  
  • Η καλύτερη επιλογή σας είναι να επιλέξετε τη διαδρομή Tails.
• Έχετε την οικονομική δυνατότητα να διαθέτετε έναν εφεδρικό αποκλειστικό φορητό υπολογιστή χωρίς επίβλεψη/χωρίς παρακολούθηση για τις ευαίσθητες δραστηριότητές σας:
  
  • Αλλά είναι παλιός, αργός και έχει κακές προδιαγραφές (λιγότερα από 6GB RAM, λιγότερα από 250GB χώρο στο δίσκο, παλιά/χαμηλή CPU):
    
    • Θα πρέπει να επιλέξετε τη λύση Tails.
  • Δεν είναι τόσο παλιό και έχει αξιοπρεπείς προδιαγραφές (τουλάχιστον 6GB μνήμης RAM, 250GB χώρου στο δίσκο ή περισσότερο, αξιοπρεπή CPU):
    
    • Θα μπορούσατε να επιλέξετε τις διαδρομές Tails, Whonix.
  • Είναι καινούργιο και έχει εξαιρετικές προδιαγραφές (περισσότερα από 8GB RAM, >250GB χώρου στο δίσκο, πρόσφατη γρήγορη CPU):
    
    • Θα μπορούσατε να επιλέξετε οποιαδήποτε διαδρομή, αλλά θα συνιστούσα το Qubes OS, εάν το μοντέλο απειλής σας το επιτρέπει.
  • Εάν πρόκειται για Mac M1 με βάση ARM:
    
    • Δεν είναι δυνατόν επί του παρόντος για τους λόγους αυτούς:
      
      • Η εικονικοποίηση εικόνων x86 σε ARM M1 Mac εξακολουθεί να περιορίζεται σε εμπορικό λογισμικό (Parallels), το οποίο δεν υποστηρίζεται ακόμη από την Whonix.
      • Το Virtualbox δεν είναι ακόμη διαθέσιμο για την αρχιτεκτονική ARM.
      • Το Whonix δεν υποστηρίζεται ακόμη στην αρχιτεκτονική ARM.
      • Το Tails δεν υποστηρίζεται ακόμα στην αρχιτεκτονική ARM.
      • Το Qubes OS δεν υποστηρίζεται ακόμη στην αρχιτεκτονική ARM.

Η μόνη σας επιλογή για τους Mac M1 είναι πιθανώς να παραμείνετε με το Tor Browses προς το παρόν. Αλλά θα υπέθετα ότι αν μπορείτε να αντέξετε οικονομικά ένα M1 Mac θα πρέπει μάλλον να πάρετε ένα αποκλειστικό x86 laptop για πιο ευαίσθητες δραστηριότητες.

 

[HEISENBERG]

Δεξιότητες.

• Δεν έχετε καθόλου δεξιότητες πληροφορικής το περιεχόμενο αυτού του οδηγού σας φαίνεται σαν μια ξένη γλώσσα;
  
  • Θα πρέπει να ακολουθήσετε τη διαδρομή της ουράς (εξαιρουμένου του τμήματος της επίμονης εύλογης άρνησης).
• Έχετε κάποιες δεξιότητες πληροφορικής και καταλαβαίνετε ως επί το πλείστον αυτόν τον οδηγό μέχρι στιγμής.
  
  • Θα πρέπει να επιλέξετε τις διαδρομές Tails (συμπεριλαμβανομένου του τμήματος της επίμονης εύλογης άρνησης) ή Whonix.
• Έχετε μέτριες έως υψηλές δεξιότητες πληροφορικής και είστε ήδη εξοικειωμένοι με μέρος του περιεχομένου αυτού του οδηγού
  
  • Μπορείτε να επιλέξετε ό,τι θέλετε, αλλά θα σας συνιστούσα ανεπιφύλακτα το Qubes OS.
• Είστε l33T hacker, "δεν υπάρχει κουτάλι", "το κέικ είναι ψέμα", χρησιμοποιείτε το "doas" εδώ και χρόνια και "όλες οι βάσεις σας ανήκουν σε εμάς" και έχετε έντονες απόψεις για το systemd.
  
  • Αυτός ο οδηγός δεν προορίζεται πραγματικά για εσάς και δεν θα σας βοηθήσει με το HardenedBSD σας στο σκληρό Libreboot laptop σας ;-)

 

[HEISENBERG]

Αντίπαλοι (απειλές).

• Εάν το κύριο μέλημά σας είναι η εγκληματολογική εξέταση των συσκευών σας:
  
  • Θα πρέπει να ακολουθήσετε τη διαδρομή Tails (με προαιρετική επίμονη αληθοφανή άρνηση).
• Εάν οι κύριες ανησυχίες σας είναι απομακρυσμένοι αντίπαλοι που μπορεί να αποκαλύψουν την διαδικτυακή σας ταυτότητα σε διάφορες πλατφόρμες:
  
  • Θα μπορούσατε να επιλέξετε τις διαδρομές Whonix ή Qubes OS.
  • Θα μπορούσατε επίσης να επιλέξετε το Tails (με προαιρετική μόνιμη αληθοφανή άρνηση).
• Αν θέλετε οπωσδήποτε να έχετε εύλογη άρνηση σε όλο το σύστημα παρά τους κινδύνους:
  
  • Θα μπορούσατε να ακολουθήσετε τη διαδρομή Tails, συμπεριλαμβανομένου του τμήματος μόνιμης εύλογης άρνησης.
  • Θα μπορούσατε να επιλέξετε τη διαδρομή Whonix (μόνο σε Windows Host OS στο πλαίσιο αυτού του οδηγού).
• Εάν βρίσκεστε σε εχθρικό περιβάλλον όπου η χρήση Tor/VPN από μόνη της είναι αδύνατη/επικίνδυνη/υποψίαστη:
  
  • Θα μπορούσατε να ακολουθήσετε τη διαδρομή Tails (χωρίς τη χρήση του Tor).
  • Θα μπορούσατε να ακολουθήσετε τη διαδρομή Whonix ή Qubes OS (χωρίς να χρησιμοποιήσετε το Whonix).

Σε όλες τις περιπτώσεις, θα πρέπει να διαβάσετε αυτές τις δύο σελίδες από την τεκμηρίωση του Whonix που θα σας δώσουν μια βαθιά εικόνα για τις επιλογές σας:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

Μπορεί να αναρωτιέστε: "Πώς μπορώ να ξέρω αν βρίσκομαι σε ένα εχθρικό διαδικτυακό περιβάλλον όπου οι δραστηριότητες παρακολουθούνται ενεργά και μπλοκάρονται;"

• Πρώτα διαβάστε περισσότερα σχετικά στο EFF εδώ: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org]
• Ελέγξτε μόνοι σας κάποια δεδομένα εδώ στον ιστότοπο του Tor Project OONI (Open Observatory of Network Interference): https://explorer.ooni.org/ [Archive.org]
• Ρίξτε μια ματιά στο https://censoredplanet.org/ [Archive.org] και δείτε αν έχουν δεδομένα για τη χώρα σας.
• Δοκιμάστε μόνοι σας χρησιμοποιώντας το OONI (αυτό μπορεί να είναι επικίνδυνο σε εχθρικό περιβάλλον).

 

[HEISENBERG]

Βήματα για όλες τις διαδρομές.

Συνηθίστε να χρησιμοποιείτε καλύτερους κωδικούς πρόσβασης.

Ανατρέξτε στο Παράρτημα Α2: Οδηγίες για κωδικούς πρόσβασης και φράσεις πρόσβασης.

Αποκτήστε έναν ανώνυμο αριθμό τηλεφώνου.

Παραλείψτε αυτό το βήμα αν δεν έχετε πρόθεση να δημιουργήσετε ανώνυμους λογαριασμούς στις περισσότερες κύριες πλατφόρμες αλλά θέλετε απλώς ανώνυμη περιήγηση ή αν οι πλατφόρμες που θα χρησιμοποιήσετε επιτρέπουν την εγγραφή χωρίς αριθμό τηλεφώνου.

Φυσικό τηλέφωνο καυστήρα και προπληρωμένη κάρτα SIM.

Αποκτήστε ένα τηλέφωνο καυστήρα.

Αυτό είναι μάλλον εύκολο. Αφήστε το smartphone σας απενεργοποιημένο ή απενεργοποιήστε το πριν φύγετε. Έχετε κάποια μετρητά και πηγαίνετε σε κάποια τυχαία υπαίθρια αγορά ή μικρό κατάστημα (ιδανικά ένα χωρίς κλειστό κύκλωμα παρακολούθησης μέσα ή έξω και αποφεύγοντας να φωτογραφηθείτε/κινηματογραφηθείτε) και απλά αγοράστε το φθηνότερο τηλέφωνο που μπορείτε να βρείτε με μετρητά και χωρίς να δώσετε κανένα προσωπικό στοιχείο. Το μόνο που χρειάζεται είναι να είναι σε λειτουργική κατάσταση.


Προσωπικά, θα σας συνιστούσα να πάρετε ένα παλιό "χαζοτηλέφωνο" με αποσπώμενη μπαταρία (παλιό Nokia, αν τα δίκτυα κινητής τηλεφωνίας σας επιτρέπουν ακόμα τη σύνδεση με αυτά, καθώς σε ορισμένες χώρες καταργήθηκε σταδιακά η τεχνολογία 1G-2G εντελώς). Αυτό γίνεται για να αποφευχθεί η αυτόματη αποστολή/συλλογή οποιωνδήποτε τηλεμετρικών/διαγνωστικών δεδομένων στο ίδιο το τηλέφωνο. Δεν θα πρέπει ποτέ να συνδέσετε αυτό το τηλέφωνο σε οποιοδήποτε Wi-Fi.


Θα είναι επίσης ζωτικής σημασίας να μην ενεργοποιήσετε ποτέ αυτό το τηλέφωνο καυστήρα (ούτε καν χωρίς την κάρτα SIM) σε οποιαδήποτε γεωγραφική τοποθεσία που θα μπορούσε να σας οδηγήσει σε εσάς (στο σπίτι/στην εργασία σας για παράδειγμα) και ποτέ στην ίδια τοποθεσία με το άλλο γνωστό σας smartphone (επειδή αυτό έχει ένα IMEI/IMSI που θα σας οδηγήσει εύκολα σε εσάς). Αυτό μπορεί να φαίνεται μεγάλο βάρος, αλλά δεν είναι, καθώς αυτά τα τηλέφωνα χρησιμοποιούνται μόνο κατά τη διάρκεια της διαδικασίας εγκατάστασης/υπογραφής και για επαλήθευση από καιρό σε καιρό.


Βλέπε Παράρτημα Ν: Προειδοποίηση σχετικά με τα smartphones και τις έξυπνες συσκευές


Θα πρέπει να ελέγξετε ότι το τηλέφωνο είναι σε λειτουργική κατάσταση πριν προχωρήσετε στο επόμενο βήμα. Αλλά θα επαναλάβω τον εαυτό μου και θα δηλώσω ξανά ότι είναι σημαντικό να αφήσετε το smartphone σας στο σπίτι όταν πηγαίνετε (ή να το απενεργοποιήσετε πριν φύγετε, αν πρέπει να το κρατήσετε) και ότι δοκιμάζετε το τηλέφωνο σε μια τυχαία τοποθεσία που δεν μπορεί να εντοπιστεί σε εσάς (και πάλι, μην το κάνετε αυτό μπροστά σε κλειστό κύκλωμα παρακολούθησης, αποφύγετε τις κάμερες, προσέξτε το περιβάλλον σας). Δεν υπάρχει ανάγκη ούτε για Wi-Fi σε αυτό το μέρος.


Όταν βεβαιωθείτε ότι το τηλέφωνο λειτουργεί κανονικά, απενεργοποιήστε το Bluetooth και, στη συνέχεια, απενεργοποιήστε το (αφαιρέστε την μπαταρία αν μπορείτε) και επιστρέψτε στο σπίτι σας και συνεχίστε τις κανονικές σας δραστηριότητες. Πηγαίνετε στο επόμενο βήμα.

Αποκτήστε μια ανώνυμη προπληρωμένη κάρτα SIM.

Αυτό είναι το δυσκολότερο μέρος ολόκληρου του οδηγού. Πρόκειται για ένα SPOF (Single Point of Failure). Τα μέρη όπου μπορείτε ακόμα να αγοράσετε προπληρωμένες κάρτες SIM χωρίς καταγραφή ταυτότητας περιορίζονται όλο και περισσότερο λόγω διαφόρων κανονισμών τύπου KYC.


Οπότε εδώ είναι μια λίστα με τα μέρη όπου μπορείτε ακόμα να τις προμηθευτείτε τώρα: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


Θα πρέπει να είστε σε θέση να βρείτε ένα μέρος που δεν είναι "πολύ μακριά" και να πάτε απλά εκεί φυσικά για να αγοράσετε μερικές προπληρωμένες κάρτες και κουπόνια ανανέωσης με μετρητά. Βεβαιωθείτε ότι δεν έχει ψηφιστεί κάποιος νόμος πριν πάτε που να καθιστά υποχρεωτική την εγγραφή (σε περίπτωση που το παραπάνω wiki δεν έχει ενημερωθεί). Προσπαθήστε να αποφύγετε τις κάμερες κλειστού κυκλώματος και τις κάμερες και μην ξεχάσετε να αγοράσετε ένα κουπόνι ανανέωσης μαζί με την κάρτα SIM (αν δεν πρόκειται για πακέτο), καθώς οι περισσότερες προπληρωμένες κάρτες απαιτούν ανανέωση πριν από τη χρήση.


Βλέπε Παράρτημα Ν: Προειδοποίηση σχετικά με τα smartphones και τις έξυπνες συσκευές


Ελέγξτε ξανά ότι οι φορείς κινητής τηλεφωνίας που πωλούν τις προπληρωμένες κάρτες SIM θα δέχονται την ενεργοποίηση και την ανανέωση της SIM χωρίς καμία καταγραφή ταυτότητας οποιουδήποτε είδους πριν πάτε εκεί. Ιδανικά, θα πρέπει να δέχονται την ενεργοποίηση και την ανανέωση SIM από τη χώρα στην οποία διαμένετε.


Προσωπικά, θα πρότεινα την GiffGaff στο Ηνωμένο Βασίλειο, καθώς είναι "προσιτή", δεν απαιτεί ταυτότητα για την ενεργοποίηση και την ανανέωση και σας επιτρέπει ακόμη και να αλλάξετε τον αριθμό σας έως και 2 φορές από την ιστοσελίδα της. Επομένως, μία προπληρωμένη κάρτα SIM της GiffGaff θα σας παραχωρήσει 3 αριθμούς για να χρησιμοποιήσετε για τις ανάγκες σας.


Απενεργοποιήστε το τηλέφωνο μετά την ενεργοποίηση/ανανέωση και πριν πάτε σπίτι. Μην το ενεργοποιήσετε ποτέ ξανά, εκτός αν βρίσκεστε σε μέρος που δεν μπορεί να χρησιμοποιηθεί για την αποκάλυψη της ταυτότητάς σας και εκτός αν το smartphone σας έχει απενεργοποιηθεί πριν πάτε σε αυτό το "όχι το σπίτι σας" μέρος.

Διαδικτυακός αριθμός τηλεφώνου (λιγότερο συνιστώμενος).

ΑΠΟΠΟΙΗΣΗ ΕΥΘΥΝΗΣ: Μην το επιχειρήσετε αυτό μέχρι να ολοκληρώσετε τη δημιουργία ενός ασφαλούς περιβάλλοντος σύμφωνα με μία από τις επιλεγμένες διαδρομές. Αυτό το βήμα απαιτεί διαδικτυακή πρόσβαση και θα πρέπει να γίνεται μόνο από ένα ανώνυμο δίκτυο. Μην το κάνετε αυτό από οποιοδήποτε γνωστό/μη ασφαλές περιβάλλον. Παραλείψτε αυτό το βήμα μέχρι να ολοκληρώσετε μία από τις διαδρομές.


Υπάρχουν πολλές εμπορικές υπηρεσίες που προσφέρουν αριθμούς για τη λήψη μηνυμάτων SMS στο διαδίκτυο, αλλά οι περισσότερες από αυτές δεν έχουν ουσιαστικά καμία ανωνυμία/ιδιωτικότητα και δεν μπορούν να σας βοηθήσουν καθώς οι περισσότερες πλατφόρμες κοινωνικής δικτύωσης θέτουν όριο στο πόσες φορές μπορεί να χρησιμοποιηθεί ένας αριθμός τηλεφώνου για εγγραφή.


Υπάρχουν ορισμένα φόρουμ και subreddits (όπως το r/phoneverification/) όπου οι χρήστες προσφέρουν την υπηρεσία λήψης τέτοιων μηνυμάτων SMS για εσάς έναντι μικρής αμοιβής (χρησιμοποιώντας PayPal ή κάποια κρυπτοπληρωμή). Δυστυχώς, αυτά είναι γεμάτα απατεώνες και πολύ επικίνδυνα από άποψη ανωνυμίας. Δεν θα πρέπει να τα χρησιμοποιείτε σε καμία περίπτωση.


Μέχρι σήμερα, δεν γνωρίζω καμία αξιόπιστη υπηρεσία που να προσφέρει αυτή την υπηρεσία και να δέχεται πληρωμές με μετρητά (μέσω ταχυδρομείου για παράδειγμα), όπως ορισμένοι πάροχοι VPN. Υπάρχουν όμως μερικές υπηρεσίες που παρέχουν διαδικτυακούς αριθμούς τηλεφώνου και δέχονται Monero, οι οποίες θα μπορούσαν να είναι αρκετά ανώνυμες (αλλά λιγότερο συνιστώμενες από αυτόν τον φυσικό τρόπο στο προηγούμενο κεφάλαιο), τις οποίες θα μπορούσατε να εξετάσετε:

• Συνιστάται: Δεν απαιτούν καμία ταυτοποίηση (ούτε καν e-mail):
  
  • (με έδρα το Ηνωμένο Βασίλειο, φαίνεται να μην είναι διαθέσιμος τη στιγμή που γράφονταν αυτές οι γραμμές) https://dtmf.io/ [Archive.org] προτιμάται επειδή παρέχει ακόμη και μια κρυφή διεύθυνση υπηρεσίας με κρεμμύδι για άμεση πρόσβαση μέσω του δικτύου Tor στη διεύθυνση http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/.
  • (με έδρα την Ισλανδία) https://crypton.sh [Archive.org]
  • (με έδρα την Ουκρανία) https://virtualsim.net/ [Archive.org]
• Απαιτείται ταυτοποίηση (έγκυρο e-mail):
  
  • (με έδρα τη Γερμανία) https://www.sms77.io/ [Archive.org]
  • (με έδρα τη Ρωσία) https://onlinesim.ru/ [Archive.org]

Υπάρχουν κάποιες άλλες δυνατότητες που παρατίθενται εδώ https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Χρήση με δική σας ευθύνη.


ΑΠΟΠΟΙΗΣΗ ΕΥΘΥΝΗΣ: Δεν μπορώ να εγγυηθώ για κανέναν από αυτούς τους παρόχους και ως εκ τούτου θα εξακολουθήσω να συνιστώ να το κάνετε μόνοι σας με φυσικό τρόπο. Σε αυτή την περίπτωση θα πρέπει να βασιστείτε στην ανωνυμία του Monero και δεν θα πρέπει να χρησιμοποιήσετε καμία υπηρεσία που απαιτεί οποιουδήποτε είδους ταυτοποίηση με τη χρήση της πραγματικής σας ταυτότητας. Παρακαλούμε διαβάστε αυτή την αποποίηση ευθύνης του Μονέρο.


Ως εκ τούτου, IMHO, είναι πιθανώς απλά πιο βολικό, φθηνότερο και λιγότερο επικίνδυνο να αποκτήσετε απλώς μια προπληρωμένη κάρτα SIM από ένα από τα φυσικά μέρη που εξακολουθούν να τις πωλούν με μετρητά χωρίς να απαιτείται καταχώρηση ταυτότητας. Αλλά τουλάχιστον υπάρχει μια εναλλακτική λύση αν δεν έχετε άλλη επιλογή.

Πάρτε ένα κλειδί USB.

Αποκτήστε τουλάχιστον ένα ή δύο γενικού τύπου κλειδιά USB αξιοπρεπούς μεγέθους (τουλάχιστον 16 GB, αλλά θα συνιστούσα 32 GB).


Παρακαλούμε μην αγοράζετε ή χρησιμοποιείτε συσκευές αυτο-κρυπτογράφησης όπως αυτές: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org]


Κάποιες μπορεί να είναι πολύ αποτελεσματικές, αλλά πολλές από αυτές είναι τεχνάσματα που δεν προσφέρουν καμία πραγματική προστασία.

Βρείτε κάποια ασφαλή μέρη με αξιοπρεπή δημόσια Wi-Fi.

Θα πρέπει να βρείτε ασφαλή μέρη όπου θα μπορείτε να κάνετε τις ευαίσθητες δραστηριότητές σας χρησιμοποιώντας κάποιο δημόσια προσβάσιμο Wi-Fi (χωρίς καμία εγγραφή λογαριασμού/ταυτότητας, αποφύγετε τις κλειστές κάμερες ασφαλείας).


Αυτό μπορεί να είναι οπουδήποτε που δεν θα συνδέεται άμεσα με εσάς (το σπίτι/τη δουλειά σας) και όπου μπορείτε να χρησιμοποιήσετε το Wi-Fi για λίγο χωρίς να σας ενοχλήσουν. Αλλά και ένα μέρος όπου μπορείτε να το κάνετε αυτό χωρίς να σας "προσέξει" κανείς.


Αν νομίζετε ότι το Starbucks είναι καλή ιδέα, ίσως να το ξανασκεφτείτε:

• Πιθανότατα έχουν κάμερες ασφαλείας σε όλα τα καταστήματά τους και διατηρούν αυτές τις καταγραφές για άγνωστο χρονικό διάστημα.
• Θα χρειαστεί να αγοράσετε έναν καφέ για να λάβετε τον κωδικό πρόσβασης στο Wi-Fi στα περισσότερα. Αν πληρώσετε αυτόν τον καφέ με ηλεκτρονική μέθοδο, θα μπορέσουν να συνδέσουν την πρόσβαση στο Wi-Fi με την ταυτότητά σας.

Η επίγνωση των καταστάσεων είναι το κλειδί και θα πρέπει να είστε συνεχώς ενήμεροι για το περιβάλλον σας και να αποφεύγετε τα τουριστικά μέρη σαν να μαστίζεται από τον Έμπολα. Θέλετε να αποφύγετε να εμφανιστείτε σε οποιαδήποτε φωτογραφία/βίντεο οποιουδήποτε, ενώ κάποιος βγάζει selfie, γυρίζει βίντεο στο TikTok ή δημοσιεύει κάποια ταξιδιωτική φωτογραφία στο Instagram. Αν το κάνετε, να θυμάστε ότι οι πιθανότητες να καταλήξουν αυτές οι φωτογραφίες στο διαδίκτυο (δημόσια ή ιδιωτικά) με πλήρη μεταδεδομένα που θα επισυνάπτονται σε αυτές (ώρα/ημερομηνία/τοποθεσία) και το πρόσωπό σας είναι μεγάλες. Θυμηθείτε ότι αυτές μπορούν και θα ευρετηριαστούν από το Facebook/Google/Yandex/Apple και πιθανώς και από τις 3 υπηρεσίες επιστολών.


Αν και αυτό δεν θα είναι ακόμη διαθέσιμο στους τοπικούς αστυνομικούς σας, θα μπορούσε να γίνει στο εγγύς μέλλον.


Ιδανικά θα χρειαστείτε ένα σύνολο 3-5 διαφορετικών τόπων όπως αυτός για να αποφύγετε τη χρήση του ίδιου τόπου δύο φορές. Θα χρειαστούν αρκετά ταξίδια κατά τη διάρκεια των εβδομάδων για τα διάφορα βήματα αυτού του οδηγού.


Θα μπορούσατε επίσης να εξετάσετε το ενδεχόμενο να συνδεθείτε σε αυτά τα μέρη από μια ασφαλή απόσταση για μεγαλύτερη ασφάλεια. Βλέπε Παράρτημα Q: Χρήση κεραίας μεγάλης εμβέλειας για σύνδεση σε δημόσια Wi-Fi από ασφαλή απόσταση.

 

[HEISENBERG]

Η διαδρομή "Ουρές".

Αυτό το μέρος του οδηγού θα σας βοηθήσει στη ρύθμιση του Tails εάν ισχύει ένα από τα ακόλουθα:

• Δεν έχετε την οικονομική δυνατότητα να αποκτήσετε έναν αποκλειστικό φορητό υπολογιστή
• Ο αποκλειστικός φορητός σας υπολογιστής είναι πολύ παλιός και πολύ αργός
• Έχετε πολύ χαμηλές δεξιότητες πληροφορικής
• Αποφασίζετε να χρησιμοποιήσετε το Tails ούτως ή άλλως

Tails σημαίνει The Amnesic Incognito Live System. Είναι ένα εκκινήσιμο ζωντανό λειτουργικό σύστημα που τρέχει από ένα κλειδί USB και έχει σχεδιαστεί για να μην αφήνει ίχνη και να αναγκάζει όλες τις συνδέσεις μέσω του δικτύου Tor.


Λίγο πολύ, τοποθετείτε το κλειδί USB του Tails στο φορητό σας υπολογιστή, εκκινείτε από αυτό και έχετε ένα πλήρες λειτουργικό σύστημα που τρέχει με γνώμονα την ιδιωτικότητα και την ανωνυμία. Μόλις κλείσετε τον υπολογιστή, όλα θα χαθούν, εκτός αν τα έχετε αποθηκεύσει κάπου.


Το Tails είναι ένας πολύ εύκολος τρόπος για να ξεκινήσετε σε χρόνο μηδέν με ό,τι έχετε και χωρίς πολλή εκμάθηση. Διαθέτει εκτεταμένη τεκμηρίωση και εκπαιδευτικά προγράμματα.


ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Το Tails δεν είναι πάντα ενημερωμένο με το λογισμικό που συνοδεύει. Και δεν είναι πάντα ενημερωμένο ούτε με τις ενημερώσεις του Tor Browser. Θα πρέπει πάντα να βεβαιώνεστε ότι χρησιμοποιείτε την πιο πρόσφατη έκδοση του Tails και θα πρέπει να είστε εξαιρετικά προσεκτικοί όταν χρησιμοποιείτε συνοδευόμενες εφαρμογές μέσα στο Tails που μπορεί να είναι ευάλωτες σε exploits και να αποκαλύπτουν την τοποθεσίασας265.


Ωστόσο, έχει κάποια μειονεκτήματα:

• Το Tails χρησιμοποιεί το Tor και επομένως θα χρησιμοποιείτε το Tor για να έχετε πρόσβαση σε οποιονδήποτε πόρο στο διαδίκτυο. Αυτό και μόνο θα σας κάνει ύποπτους στις περισσότερες πλατφόρμες όπου θέλετε να δημιουργήσετε ανώνυμους λογαριασμούς (αυτό θα εξηγηθεί λεπτομερέστερα αργότερα).
• Ο ISP σας (είτε είναι ο δικός σας είτε κάποιο δημόσιο Wi-Fi) θα δει επίσης ότι χρησιμοποιείτε το Tor και αυτό μπορεί να σας κάνει από μόνο του ύποπτους.
• Το Tails δεν περιλαμβάνει (εγγενώς) κάποια από τα λογισμικά που μπορεί να θέλετε να χρησιμοποιήσετε αργότερα, γεγονός που θα περιπλέξει αρκετά τα πράγματα αν θέλετε να τρέξετε κάποια συγκεκριμένα πράγματα (εξομοιωτές Android για παράδειγμα).
• Το Tails χρησιμοποιεί το Tor Browser το οποίο ενώ είναι πολύ ασφαλές θα ανιχνεύεται επίσης από τις περισσότερες πλατφόρμες και θα σας εμποδίσει στη δημιουργία ανώνυμων ταυτοτήτων σε πολλές πλατφόρμες.
• Το Tails δεν θα σας προστατεύσει περισσότερο από το κλειδί των 5$8.
• Το Tor από μόνο του μπορεί να μην είναι αρκετό για να σας προστατεύσει από έναν αντίπαλο με αρκετούς πόρους όπως εξηγήθηκε προηγουμένως.

Σημαντική σημείωση: Αν ο φορητός σας υπολογιστής παρακολουθείται/επιτηρείται και υπάρχουν κάποιοι τοπικοί περιορισμοί, διαβάστε το Παράρτημα U: Πώς να παρακάμψετε (κάποιους) τοπικούς περιορισμούς σε επιτηρούμενους υπολογιστές.


Θα πρέπει επίσης να διαβάσετε την Τεκμηρίωση της ουράς, τις προειδοποιήσεις και τους περιορισμούς, πριν προχωρήσετε περαιτέρω https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


Λαμβάνοντας υπόψη όλα αυτά και το γεγονός ότι η τεκμηρίωσή τους είναι εξαιρετική, θα σας ανακατευθύνω απλώς προς το καλοφτιαγμένο και καλά συντηρημένο φροντιστήριό τους:


https://tails.boum.org/install/index.en.html [Archive.org], επιλέξτε τη γεύση σας και προχωρήστε.


Όταν τελειώσετε και έχετε ένα λειτουργικό Tails στον φορητό σας υπολογιστή, πηγαίνετε στο βήμα Δημιουργία των ανώνυμων διαδικτυακών σας ταυτοτήτων πολύ πιο κάτω σε αυτόν τον οδηγό.


Αν έχετε πρόβλημα πρόσβασης στο Tor λόγω λογοκρισίας ή άλλων θεμάτων, μπορείτε να δοκιμάσετε να χρησιμοποιήσετε το Tor Bridges ακολουθώντας αυτό το σεμινάριο Tails: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] και να βρείτε περισσότερες πληροφορίες σχετικά με αυτά στο Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive.org]


Αν νομίζετε ότι η χρήση του Tor από μόνη της είναι επικίνδυνη/υποψίαστη, δείτε το Παράρτημα Π: Πρόσβαση στο διαδίκτυο με όσο το δυνατόν μεγαλύτερη ασφάλεια όταν το Tor/VPN δεν αποτελεί επιλογή

 

[HEISENBERG]

Επίμονη αληθοφανής άρνηση με τη χρήση Whonix εντός της Tails.

Σκεφτείτε να ελέγξετε το έργο https://github.com/aforensics/HiddenVM [Archive.org] για το Tails.


Αυτό το έργο είναι μια έξυπνη ιδέα μιας αυτοδύναμης λύσης VM με ένα κλικ, την οποία θα μπορούσατε να αποθηκεύσετε σε έναν κρυπτογραφημένο δίσκο χρησιμοποιώντας την εύλογη άρνηση256 (δείτε τη διαδρομή του Whonix: πρώτα κεφάλαια και επίσης για ορισμένες εξηγήσεις σχετικά με την εύλογη άρνηση, καθώς και την ενότητα Πώς να διαγράψετε με ασφάλεια συγκεκριμένα αρχεία/φακέλους/δεδομένα στον HDD/SSD και στους δίσκους Thumb: στο τέλος αυτού του οδηγού για περισσότερη κατανόηση).


Αυτό θα επέτρεπε τη δημιουργία ενός υβριδικού συστήματος που αναμειγνύει το Tails με τις επιλογές Virtualization της διαδρομής Whonix σε αυτόν τον οδηγό.

Σημείωση: Ανατρέξτε στην ενότητα Επιλέξτε τη μέθοδο συνδεσιμότητας στη διαδρομή Whonix για περισσότερες εξηγήσεις σχετικά με την απομόνωση ροής


Εν συντομία:

• Θα μπορούσατε να τρέξετε μη μόνιμες ουρές από ένα κλειδί USB (ακολουθώντας τις συστάσεις τους)
• Θα μπορούσατε να αποθηκεύσετε μόνιμα VMs μέσα σε ένα δευτερεύον περιέχον που θα μπορούσε να κρυπτογραφηθεί κανονικά ή χρησιμοποιώντας τη λειτουργία εύλογης άρνησης της Veracrypt (αυτά θα μπορούσαν να είναι τα VMs της Whonix για παράδειγμα ή οποιοδήποτε άλλο).
• Μπορείτε να επωφεληθείτε από την πρόσθετη λειτουργία απομόνωσης ροής Tor (δείτε Tor over VPN για περισσότερες πληροφορίες σχετικά με την απομόνωση ροής).

Σε αυτή την περίπτωση, όπως το έργο το περιγράφει, δεν θα πρέπει να υπάρχουν ίχνη οποιασδήποτε δραστηριότητάς σας στον υπολογιστή σας και η ευαίσθητη εργασία θα μπορούσε να γίνει από VMs που είναι αποθηκευμένα σε ένα Hidden container που δεν θα πρέπει να είναι εύκολα ανακαλύψιμο από έναν ήπιο αντίπαλο.


Αυτή η επιλογή είναι ιδιαίτερα ενδιαφέρουσα για "ελαφρύ ταξίδι" και για τον μετριασμό των επιθέσεων εγκληματολογίας, διατηρώντας παράλληλα την εμμονή στην εργασία σας. Χρειάζεστε μόνο 2 κλειδιά USB (ένα με το Tails και ένα με ένα δοχείο Veracrypt που περιέχει persistent Whonix). Το πρώτο κλειδί USB θα φαίνεται να περιέχει μόνο Tails και το δεύτερο USB θα φαίνεται να περιέχει μόνο τυχαία σκουπίδια, αλλά θα έχει έναν όγκο δόλωμα που μπορείτε να δείξετε για αληθοφανή άρνηση.


Μπορεί επίσης να αναρωτηθείτε αν αυτό θα οδηγήσει σε μια ρύθμιση "Tor over Tor", αλλά δεν θα οδηγήσει. Τα VM του Whonix θα έχουν πρόσβαση στο δίκτυο απευθείας μέσω του clearnet και όχι μέσω του Tails Onion Routing.


Στο μέλλον, αυτό θα μπορούσε επίσης να υποστηριχθεί από το ίδιο το έργο Whonix, όπως εξηγείται εδώ: https://www.whonix.org/wiki/Whonix-Host [Archive.org], αλλά δεν συνιστάται ακόμα από τώρα για τους τελικούς χρήστες.


Να θυμάστε ότι η κρυπτογράφηση με ή χωρίς εύλογη άρνηση δεν είναι μια ασημένια σφαίρα και θα είναι ελάχιστα χρήσιμη σε περίπτωση βασανιστηρίων. Για την ακρίβεια, ανάλογα με το ποιος θα είναι ο αντίπαλός σας (το μοντέλο απειλής σας), ίσως θα ήταν συνετό να μην χρησιμοποιήσετε καθόλου το Veracrypt (πρώην TrueCrypt), όπως φαίνεται σε αυτή την επίδειξη: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Ηαληθοφανής άρνηση είναι αποτελεσματική μόνο έναντι ήπιων νόμιμων αντιπάλων που δεν θα καταφύγουν σε φυσικά μέσα.


Βλέπε https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


ΠΡΟΣΟΧΗ: Ανατρέξτε στο Παράρτημα K: Σκέψεις για τη χρήση εξωτερικών μονάδων SSD και στις ενότητες Κατανόηση των HDD vs SSD, εάν σκέφτεστε να αποθηκεύσετε τέτοιες κρυφές VM σε εξωτερική μονάδα SSD:

• Μην χρησιμοποιείτε κρυφούς τόμους σε δίσκους SSD, καθώς αυτό δεν υποστηρίζεται/συνιστάται από το Veracrypt.
• Χρησιμοποιήστε αντί για κρυπτογραφημένους τόμους αντί για δοχεία αρχείων.
• Βεβαιωθείτε ότι γνωρίζετε πώς να καθαρίζετε σωστά τα δεδομένα από έναν εξωτερικό δίσκο SSD.

Εδώ είναι ο οδηγός μου για το πώς να το πετύχετε αυτό:

Πρώτη εκτέλεση.

• https://github.com/aforensics/HiddenVM/releases [Archive.org]
• Κατεβάστε την τελευταία έκδοση του Whonix XFCE από το https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
• Προετοιμάστε ένα κλειδί USB/μια μονάδα δίσκου με Veracrypt
  
  • Δημιουργήστε έναν κρυφό τόμο στο USB/κλειδί δίσκου (θα συνιστούσα τουλάχιστον 16GB για τον κρυφό τόμο)
  • Στον εξωτερικό τόμο, τοποθετήστε μερικά αρχεία παραπλάνησης
  • Στον κρυφό τόμο, τοποθετήστε το αρχείο HiddenVM appimage
  • Στον κρυφό τόμο, τοποθετήστε το αρχείο Whonix XFCE ova
• Εκκίνηση στην ουρά
• Ρυθμίστε τη διάταξη του πληκτρολογίου όπως θέλετε.
• Επιλέξτε Additional Settings και ορίστε έναν κωδικό πρόσβασης διαχειριστή (root) (απαιτείται για την εγκατάσταση του HiddenVM)
• Εκκινήστε το Tails
• Συνδεθείτε σε ένα ασφαλές wi-fi (αυτό είναι ένα απαραίτητο βήμα για να λειτουργήσουν τα υπόλοιπα)
• Μεταβείτε στο Utilities και ξεκλειδώστε τον (κρυφό) τόμο Veracrypt (μην ξεχάσετε να τσεκάρετε το πλαίσιο ελέγχου του κρυφού τόμου)
• Εκκινήστε το appimage HiddenVM
• Όταν σας ζητηθεί να επιλέξετε έναν φάκελο, επιλέξτε τη ρίζα του κρυμμένου τόμου (όπου βρίσκονται τα αρχεία Whonix OVA και HiddenVM app image).
• Αφήστε το να κάνει τη δουλειά του (Αυτό θα εγκαταστήσει ουσιαστικά το Virtualbox μέσα στο Tails με ένα κλικ)
• Όταν τελειώσει, θα πρέπει να ξεκινήσει αυτόματα το Virtualbox Manager.
• Εισάγετε τα αρχεία Whonix OVA (δείτε Whonix Virtual Machines:)

Σημείωση, αν κατά τη διάρκεια της εισαγωγής έχετε προβλήματα όπως "NS_ERROR_INVALID_ARG (0x80070057)", αυτό οφείλεται πιθανώς στο γεγονός ότι δεν υπάρχει αρκετός χώρος στο δίσκο του κρυμμένου τόμου σας για το Whonix. Η ίδια η Whonix συνιστά 32GB ελεύθερου χώρου, αλλά αυτό μάλλον δεν είναι απαραίτητο και 10GB θα πρέπει να είναι αρκετά για αρχή. Μπορείτε να προσπαθήσετε να παρακάμψετε αυτό το σφάλμα μετονομάζοντας το αρχείο Whonix *.OVA σε *.TAR και αποσυμπιέζοντας το μέσα στο Tails. Όταν τελειώσετε με την αποσυμπίεση, διαγράψτε το αρχείο OVA και εισαγάγετε τα άλλα αρχεία με τον οδηγό εισαγωγής. Αυτή τη φορά μπορεί να λειτουργήσει.

Επακόλουθες εκτελέσεις.

• Εκκίνηση σε ουρές
• Σύνδεση στο Wi-Fi
• Ξεκλειδώστε τον κρυφό τόμο σας
• Εκκινήστε την εφαρμογή HiddenVM
• Αυτό θα πρέπει να ανοίξει αυτόματα τον διαχειριστή του VirtualBox και να εμφανίσει τα προηγούμενα VM σας από την πρώτη εκτέλεση

 

[HEISENBERG]

Βήματα για όλες τις άλλες διαδρομές.

Αποκτήστε έναν ειδικό φορητό υπολογιστή για τις ευαίσθητες δραστηριότητές σας.

Ιδανικά, θα πρέπει να αποκτήσετε έναν ειδικό φορητό υπολογιστή που δεν θα συνδέεται με εσάς με κανέναν εύκολο τρόπο (ιδανικά πληρωμένος με μετρητά ανώνυμα και με τις ίδιες προφυλάξεις που αναφέρθηκαν προηγουμένως για το τηλέφωνο και την κάρτα SIM). Συνιστάται, αλλά δεν είναι υποχρεωτικό, επειδή ο παρών οδηγός θα σας βοηθήσει να σκληρύνετε το φορητό σας υπολογιστή όσο το δυνατόν περισσότερο για να αποτρέψετε τη διαρροή δεδομένων με διάφορους τρόπους. Θα υπάρχουν αρκετές γραμμές άμυνας που θα στέκονται μεταξύ των διαδικτυακών σας ταυτοτήτων και του εαυτού σας, οι οποίες θα πρέπει να αποτρέπουν τους περισσότερους αντιπάλους από το να σας αποανωνυμοποιήσουν, εκτός από κρατικούς/παγκόσμιους φορείς με σημαντικούς πόρους.


Αυτός ο φορητός υπολογιστής θα πρέπει ιδανικά να είναι ένας καθαρός φρεσκοεγκατεστημένος φορητός υπολογιστής (με Windows, Linux ή MacOS), καθαρός από τις συνήθεις καθημερινές σας δραστηριότητες και εκτός σύνδεσης (δεν έχει συνδεθεί ποτέ στο δίκτυο). Στην περίπτωση ενός φορητού υπολογιστή με Windows, και αν τον χρησιμοποιούσατε πριν από μια τέτοια καθαρή εγκατάσταση, δεν θα πρέπει επίσης να είναι ενεργοποιημένος (επανεγκατάσταση χωρίς κλειδί προϊόντος). Ειδικά στην περίπτωση των MacBooks, δεν θα πρέπει ποτέ πριν να έχει συνδεθεί με την ταυτότητά σας με οποιονδήποτε τρόπο. Έτσι, αγοράστε μεταχειρισμένα με μετρητά από έναν άγνωστο ξένο που δεν γνωρίζει την ταυτότητά σας


Αυτό γίνεται για να μετριάσετε κάποια μελλοντικά ζητήματα σε περίπτωση διαρροών στο διαδίκτυο (συμπεριλαμβανομένης της τηλεμετρίας από το λειτουργικό σας σύστημα ή τις εφαρμογές σας) που θα μπορούσαν να θέσουν σε κίνδυνο τυχόν μοναδικά αναγνωριστικά του φορητού υπολογιστή κατά τη χρήση του (διεύθυνση MAC, διεύθυνση Bluetooth και κλειδί προϊόντος ...). Αλλά επίσης, για να αποφύγετε τον εντοπισμό του αν χρειαστεί να πετάξετε το φορητό υπολογιστή.


Εάν έχετε χρησιμοποιήσει αυτόν τον φορητό υπολογιστή στο παρελθόν για διαφορετικούς σκοπούς (όπως οι καθημερινές σας δραστηριότητες), όλα τα αναγνωριστικά υλικού του είναι πιθανότατα γνωστά και καταχωρημένα από τη Microsoft ή την Apple. Εάν αργότερα κάποιο από αυτά τα αναγνωριστικά παραβιαστεί (από κακόβουλο λογισμικό, τηλεμετρία, εκμεταλλεύσεις, ανθρώπινα λάθη ...), θα μπορούσε να οδηγήσει πίσω σε εσάς.


Ο φορητός υπολογιστής θα πρέπει να διαθέτει τουλάχιστον 250GB χώρο στο δίσκο τουλάχιστον 6GB (ιδανικά 8GB ή 16GB) μνήμης RAM και θα πρέπει να είναι σε θέση να εκτελεί ταυτόχρονα δύο εικονικές μηχανές. Θα πρέπει να διαθέτει μπαταρία που να λειτουργεί και να διαρκεί μερικές ώρες.


Αυτός ο φορητός υπολογιστής θα μπορούσε να διαθέτει σκληρό δίσκο (7200rpm) ή δίσκο SSD/NVMe. Και οι δύο δυνατότητες έχουν τα πλεονεκτήματα και τα προβλήματά τους, τα οποία θα αναλυθούν αργότερα.


Όλα τα μελλοντικά διαδικτυακά βήματα που θα εκτελούνται με αυτόν τον φορητό υπολογιστή θα πρέπει ιδανικά να γίνονται από ένα ασφαλές δίκτυο, όπως ένα δημόσιο Wi-Fi σε ένα ασφαλές μέρος (βλ. Βρείτε μερικά ασφαλή μέρη με αξιοπρεπή δημόσια Wi-Fi). Αλλά αρκετά βήματα θα πρέπει πρώτα να γίνουν εκτός σύνδεσης.

 

[HEISENBERG]

Μερικές συστάσεις για φορητούς υπολογιστές.

Αν έχετε την οικονομική δυνατότητα, μπορείτε να εξετάσετε το ενδεχόμενο να αποκτήσετε έναν φορητό υπολογιστή Purism Librem(https://puri.sm [Archive.org]) ή φορητούς υπολογιστές System76(https://system76.com/ [Archive.org]), ενώ χρησιμοποιείτε Coreboot (όπου το Intel IME είναι απενεργοποιημένο από το εργοστάσιο).


Σε άλλες περιπτώσεις, θα συνιστούσα ανεπιφύλακτα να πάρετε φορητούς υπολογιστές Business grade (δηλαδή όχι φορητούς υπολογιστές consumer/gaming grade) αν μπορείτε. Για παράδειγμα, κάποιο ThinkPad από τη Lenovo (το προσωπικό μου αγαπημένο). Εδώ υπάρχουν λίστες με φορητούς υπολογιστές που υποστηρίζουν επί του παρόντος το Libreboot και άλλους όπου μπορείτε να φλασάρετε μόνοι σας το Coreboot (που θα σας επιτρέψει να απενεργοποιήσετε το Intel IME ή το AMD PSP):

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

Αυτό οφείλεται στο γεγονός ότι αυτοί οι επαγγελματικοί φορητοί υπολογιστές προσφέρουν συνήθως καλύτερα και πιο προσαρμόσιμα χαρακτηριστικά ασφαλείας (ειδικά στις ρυθμίσεις BIOS/UEFI) με μεγαλύτερη υποστήριξη από τους περισσότερους καταναλωτικούς φορητούς υπολογιστές (Asus, MSI, Gigabyte, Acer...). Τα ενδιαφέροντα χαρακτηριστικά που πρέπει να αναζητήσετε είναι IMHO:

• Καλύτερες προσαρμοσμένες ρυθμίσεις Secure Boot (όπου μπορείτε να διαχειρίζεστε επιλεκτικά όλα τα κλειδιά και όχι μόνο να χρησιμοποιείτε τα τυπικά)
• Κωδικοί πρόσβασης HDD/SSD εκτός από τους κωδικούς πρόσβασης BIOS/UEFI.
• Οι φορητοί υπολογιστές AMD θα μπορούσαν να είναι πιο ενδιαφέροντες, καθώς ορισμένοι παρέχουν τη δυνατότητα απενεργοποίησης του AMD PSP (το αντίστοιχο της AMD με το Intel IME) από τις ρυθμίσεις BIOS/UEFI από προεπιλογή. Και, επειδή AFAIK, το AMD PSP ελέγχθηκε και σε αντίθεση με το IME δεν βρέθηκε να έχει "κακές" λειτουργίες. Πάντως, αν πρόκειται να επιλέξετε το Qubes OS Route σκεφτείτε την Intel, καθώς δεν υποστηρίζει την AMD με το anti-evilmaid σύστημά της.
• Εργαλεία Secure Wipe από το BIOS (ιδιαίτερα χρήσιμα για δίσκους SSD/NVMe, βλ. παράρτημα Μ: επιλογές BIOS/UEFI για την κατάργηση δίσκων σε διάφορες μάρκες).
• Καλύτερος έλεγχος της απενεργοποίησης/απενεργοποίησης επιλεγμένων περιφερειακών συσκευών (θύρες USB, Wi-Fi, Bluetooth, κάμερα, μικρόφωνο ...).
• Καλύτερα χαρακτηριστικά ασφαλείας με το Virtualization.
• Ενσωματωμένες προστασίες κατά της παραποίησης.
• Μεγαλύτερη υποστήριξη με ενημερώσεις BIOS/UEFI (και επακόλουθες ενημερώσεις ασφαλείας BIOS/UEFI).
• Ορισμένα υποστηρίζονται από το Libreboot

 

[HEISENBERG]

Ρυθμίσεις Bios/UEFI/Firmware του φορητού σας υπολογιστή.

PC.

Σε αυτές τις ρυθμίσεις μπορείτε να έχετε πρόσβαση μέσω του μενού εκκίνησης του φορητού σας υπολογιστή. Ακολουθεί ένα καλό σεμινάριο από την HP που εξηγεί όλους τους τρόπους πρόσβασης στο BIOS σε διάφορους υπολογιστές: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org]


Συνήθως ο τρόπος πρόσβασης είναι το πάτημα ενός συγκεκριμένου πλήκτρου (F1, F2 ή Del) κατά την εκκίνηση (πριν από το λειτουργικό σας σύστημα).


Μόλις μπείτε εκεί, θα πρέπει να εφαρμόσετε μερικές συνιστώμενες ρυθμίσεις:

• Απενεργοποιήστε εντελώς το Bluetooth αν μπορείτε.
• Απενεργοποιήστε τα βιομετρικά στοιχεία (σαρωτές δακτυλικών αποτυπωμάτων) αν έχετε, αν μπορείτε. Ωστόσο, θα μπορούσατε να προσθέσετε έναν πρόσθετο βιομετρικό έλεγχο μόνο για την εκκίνηση (πριν την εκκίνηση), αλλά όχι για την πρόσβαση στις ρυθμίσεις BIOS/UEFI.
• Απενεργοποιήστε την κάμερα ιστού και το μικρόφωνο, αν μπορείτε.
• Ενεργοποιήστε τον κωδικό πρόσβασης BIOS/UEFI και χρησιμοποιήστε μια μακρά συνθηματική φράση αντί για κωδικό πρόσβασης (αν μπορείτε) και βεβαιωθείτε ότι αυτός ο κωδικός πρόσβασης απαιτείται για:
  
  • Την πρόσβαση στις ίδιες τις ρυθμίσεις BIOS/UEFI
  • Αλλαγή της σειράς εκκίνησης
  • Εκκίνηση/ενεργοποίηση της συσκευής
• Ενεργοποίηση του κωδικού πρόσβασης HDD/SSD, εάν η λειτουργία είναι διαθέσιμη. Αυτή η λειτουργία θα προσθέσει έναν άλλο κωδικό πρόσβασης στον ίδιο τον HDD/SSD (όχι στο υλικολογισμικό BIOS/UEFI), ο οποίος θα εμποδίζει τη χρήση αυτού του HDD/SSD σε διαφορετικό υπολογιστή χωρίς τον κωδικό πρόσβασης. Σημειώστε ότι αυτή η λειτουργία είναι επίσης ειδική για ορισμένους κατασκευαστές και ενδέχεται να απαιτείται ειδικό λογισμικό για να ξεκλειδώσετε αυτόν τον δίσκο από έναν εντελώς διαφορετικό υπολογιστή.
• Αποτρέψτε την πρόσβαση στις επιλογές εκκίνησης (τη σειρά εκκίνησης) χωρίς την παροχή του κωδικού πρόσβασης BIOS/UEFI, αν μπορείτε.
• Απενεργοποιήστε τις θύρες USB/HDMI ή οποιαδήποτε άλλη θύρα (Ethernet, Firewire, κάρτα SD ...), αν μπορείτε.
• Απενεργοποιήστε την Intel ME αν μπορείτε.
• Απενεργοποιήστε το AMD PSP αν μπορείτε (το ισοδύναμο της AMD με το IME, βλέπε Η CPU σας).
• Απενεργοποιήστε το Secure Boot αν σκοπεύετε να χρησιμοποιήσετε το QubesOS, καθώς δεν το υποστηρίζει εξ αρχής. Διατηρήστε την ενεργοποιημένη αν σκοπεύετε να χρησιμοποιήσετε Linux/Windows.
• Ελέγξτε αν το BIOS του φορητού σας υπολογιστή διαθέτει επιλογή ασφαλούς διαγραφής για τον σκληρό δίσκο/SSD σας, η οποία θα μπορούσε να είναι βολική σε περίπτωση ανάγκης.

Ενεργοποιήστε τα μόνο σε περίπτωση "ανάγκης χρήσης" και απενεργοποιήστε τα ξανά μετά τη χρήση. Αυτό μπορεί να βοηθήσει στον μετριασμό κάποιων επιθέσεων σε περίπτωση που ο φορητός σας υπολογιστής κατασχεθεί ενώ είναι κλειδωμένος αλλά ακόμα ενεργοποιημένος Ή αν έπρεπε να τον κλείσετε αρκετά γρήγορα και κάποιος τον πάρει στην κατοχή του (αυτό το θέμα θα εξηγηθεί αργότερα σε αυτόν τον οδηγό).

Σχετικά με την ασφαλή εκκίνηση.

Εν συντομία, πρόκειται για ένα χαρακτηριστικό ασφαλείας UEFI που έχει σχεδιαστεί για να εμποδίζει τον υπολογιστή σας να εκκινήσει ένα λειτουργικό σύστημα από το οποίο ο φορτωτής εκκίνησης δεν έχει υπογραφεί με συγκεκριμένα κλειδιά που είναι αποθηκευμένα στο υλικολογισμικό UEFI του φορητού σας υπολογιστή.


Βασικά, όταν τα λειτουργικά συστήματα (ή ο Bootloader) το υποστηρίζουν, μπορείτε να αποθηκεύσετε τα κλειδιά του bootloader σας στο firmware UEFI και αυτό θα αποτρέψει την εκκίνηση οποιουδήποτε μη εξουσιοδοτημένου λειτουργικού συστήματος (όπως ένα live OS USB ή κάτι παρόμοιο).


Οι ρυθμίσεις ασφαλούς εκκίνησης προστατεύονται από τον κωδικό πρόσβασης που ρυθμίζετε για την πρόσβαση στις ρυθμίσεις BIOS/UEFI. Εάν έχετε αυτόν τον κωδικό πρόσβασης, μπορείτε να απενεργοποιήσετε την ασφαλή εκκίνηση και να επιτρέψετε την εκκίνηση μη υπογεγραμμένων λειτουργικών συστημάτων στο σύστημά σας. Αυτό μπορεί να βοηθήσει στον μετριασμό ορισμένων επιθέσεων Evil-Maid (εξηγείται αργότερα σε αυτόν τον οδηγό).


Στις περισσότερες περιπτώσεις, το Secure Boot είναι απενεργοποιημένο από προεπιλογή ή είναι ενεργοποιημένο αλλά σε κατάσταση "εγκατάστασης", η οποία επιτρέπει την εκκίνηση οποιουδήποτε συστήματος. Για να λειτουργήσει το Secure Boot, το λειτουργικό σας σύστημα θα πρέπει να το υποστηρίζει και στη συνέχεια να υπογράψει τον bootloader του και να προωθήσει αυτά τα κλειδιά υπογραφής στο υλικολογισμικό UEFI. Στη συνέχεια, θα πρέπει να μεταβείτε στις ρυθμίσεις του BIOS/UEFI και να αποθηκεύσετε αυτά τα κλειδιά που προωθήθηκαν από το λειτουργικό σας σύστημα και να αλλάξετε την ασφαλή εκκίνηση από setup σε user mode (ή custom mode σε ορισμένες περιπτώσεις).


Αφού κάνετε αυτό το βήμα, μόνο τα λειτουργικά συστήματα από τα οποία το υλικολογισμικό UEFI σας μπορεί να επαληθεύσει την ακεραιότητα του φορτωτή εκκίνησης θα μπορούν να εκκινήσουν.


Οι περισσότεροι φορητοί υπολογιστές θα έχουν ήδη αποθηκευμένα κάποια προεπιλεγμένα κλειδιά στις ρυθμίσεις ασφαλούς εκκίνησης. Συνήθως αυτά προέρχονται από τον ίδιο τον κατασκευαστή ή από ορισμένες εταιρείες όπως η Microsoft. Έτσι, αυτό σημαίνει ότι από προεπιλογή, θα είναι πάντα δυνατή η εκκίνηση ορισμένων δίσκων USB ακόμη και με ασφαλή εκκίνηση. Αυτά περιλαμβάνουν τα Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla και πολλά άλλα. Ωστόσο, η ασφαλής εκκίνηση δεν υποστηρίζεται καθόλου από το QubesOS σε αυτό το σημείο.


Σε ορισμένους φορητούς υπολογιστές, μπορείτε να διαχειριστείτε αυτά τα κλειδιά και να αφαιρέσετε αυτά που δεν θέλετε με μια "προσαρμοσμένη λειτουργία" για να εξουσιοδοτήσετε μόνο το δικό σας bootloader που θα μπορούσατε να υπογράψετε μόνοι σας αν το θέλετε πραγματικά.


Έτσι, από τι σας προστατεύει το Secure Boot; Θα προστατεύσει το φορητό σας υπολογιστή από την εκκίνηση μη υπογεγραμμένων bootloaders (από τον πάροχο του λειτουργικού συστήματος) με για παράδειγμα εισαγόμενο κακόβουλο λογισμικό.


Από τι δεν σας προστατεύει το Secure Boot;

• Το Secure Boot δεν κρυπτογραφεί τον δίσκο σας και ένας αντίπαλος μπορεί ακόμα να αφαιρέσει απλώς τον δίσκο από τον φορητό σας υπολογιστή και να εξαγάγει δεδομένα από αυτόν χρησιμοποιώντας ένα διαφορετικό μηχάνημα. Επομένως, το Secure Boot είναι άχρηστο χωρίς πλήρη κρυπτογράφηση του δίσκου.
• Το Secure Boot δεν σας προστατεύει από έναν υπογεγραμμένο bootloader, ο οποίος θα ήταν εκτεθειμένος και υπογεγραμμένος από τον ίδιο τον κατασκευαστή (τη Microsoft, για παράδειγμα, στην περίπτωση των Windows). Οι περισσότερες mainstream διανομές Linux είναι υπογεγραμμένες αυτές τις μέρες και θα εκκινήσουν με ενεργοποιημένη την Ασφαλή Εκκίνηση.
• Το Secure Boot μπορεί να έχει ελαττώματα και εκμεταλλεύσεις όπως κάθε άλλο σύστημα. Εάν χρησιμοποιείτε έναν παλιό φορητό υπολογιστή που δεν επωφελείται από τις νέες ενημερώσεις BIOS/UEFI, αυτές μπορεί να μην διορθωθούν.

Επιπλέον, υπάρχει ένας αριθμός επιθέσεων που θα μπορούσαν να είναι δυνατές κατά του Secure Boot, όπως εξηγείται (σε βάθος) σε αυτά τα τεχνικά βίντεο:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Έτσι, μπορεί να είναι χρήσιμο ως πρόσθετο μέτρο ενάντια σε ορισμένους αντιπάλους, αλλά όχι σε όλους. Η Secure Boot από μόνη της δεν κρυπτογραφεί τον σκληρό σας δίσκο. Είναι ένα πρόσθετο επίπεδο, αλλά αυτό είναι όλο.


Εξακολουθώ να σας συνιστώ να το έχετε ενεργοποιημένο αν μπορείτε.

Mac.

Αφιερώστε λίγο χρόνο για να ορίσετε έναν κωδικό πρόσβασης firmware σύμφωνα με το σεμινάριο εδώ: https://support.apple.com/en-au/HT204455 [Archive.org]


Θα πρέπει επίσης να ενεργοποιήσετε την προστασία επαναφοράς κωδικού πρόσβασης firmware (διαθέσιμη από την Catalina) σύμφωνα με την τεκμηρίωση εδώ: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Αυτή η λειτουργία θα μετριάσει την πιθανότητα για ορισμένους αντιπάλους να χρησιμοποιήσουν hacks υλικού για να απενεργοποιήσουν/παρακάμψουν τον κωδικό πρόσβασης υλικολογισμικού σας. Σημειώστε ότι αυτό θα εμποδίσει επίσης την ίδια την Apple να αποκτήσει πρόσβαση στο υλικολογισμικό σε περίπτωση επισκευής.

 

[HEISENBERG]

Φυσική προστασία του φορητού σας υπολογιστή από παραβιάσεις.

Κάποια στιγμή αναπόφευκτα θα αφήσετε αυτό το φορητό υπολογιστή κάπου μόνο του. Δεν θα κοιμάστε μαζί του και δεν θα το παίρνετε παντού μαζί σας κάθε μέρα. Θα πρέπει να το κάνετε όσο το δυνατόν πιο δύσκολο για οποιονδήποτε να το πειράξει χωρίς να το καταλάβετε. Αυτό είναι κυρίως χρήσιμο ενάντια σε κάποιους περιορισμένους αντιπάλους που δεν θα χρησιμοποιήσουν ένα κλειδί των 5$ εναντίον σας.


Είναι σημαντικό να γνωρίζετε ότι είναι ασήμαντα εύκολο για κάποιους ειδικούς να εγκαταστήσουν έναν καταγραφέα πλήκτρων στο φορητό σας υπολογιστή ή απλώς να δημιουργήσουν ένα αντίγραφο κλώνου του σκληρού σας δίσκου που θα μπορούσε αργότερα να τους επιτρέψει να ανιχνεύσουν την παρουσία κρυπτογραφημένων δεδομένων σε αυτόν χρησιμοποιώντας τεχνικές εγκληματολογίας (περισσότερα σχετικά με αυτό αργότερα).


Εδώ είναι μια καλή φτηνή μέθοδος για να κάνετε το φορητό σας υπολογιστή απαραβίαστο χρησιμοποιώντας βερνίκι νυχιών (με γκλίτερ) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (με εικόνες).


Ενώ αυτή είναι μια καλή φτηνή μέθοδος, θα μπορούσε επίσης να εγείρει υποψίες, καθώς είναι αρκετά "αισθητή" και μπορεί απλώς να αποκαλύψει ότι "έχετε κάτι να κρύψετε". Έτσι, υπάρχουν πιο διακριτικοί τρόποι για να επιτύχετε το ίδιο αποτέλεσμα. Θα μπορούσατε επίσης, για παράδειγμα, να κάνετε μια κοντινή μακροφωτογραφία των πίσω βιδών του φορητού σας υπολογιστή ή απλά να χρησιμοποιήσετε μια πολύ μικρή ποσότητα κεριού μέσα σε μια από τις βίδες που θα μπορούσε απλώς να μοιάζει με συνηθισμένη βρωμιά. Στη συνέχεια, θα μπορούσατε να ελέγξετε για αλλοίωση συγκρίνοντας τις φωτογραφίες των βιδών με νέες. Ο προσανατολισμός τους μπορεί να έχει αλλάξει λίγο, αν ο αντίπαλός σας δεν ήταν αρκετά προσεκτικός (Σφίγγοντάς τες ακριβώς με τον ίδιο τρόπο που ήταν πριν). Ή το κερί μέσα στο κάτω μέρος της κεφαλής μιας βίδας μπορεί να έχει καταστραφεί σε σχέση με πριν.

Οι ίδιες τεχνικές μπορούν να χρησιμοποιηθούν με θύρες USB, όπου θα μπορούσατε απλώς να βάλετε μια μικρή ποσότητα κεριού κεριού μέσα στο βύσμα που θα καταστρεφόταν με την εισαγωγή ενός κλειδιού USB σε αυτό.


Σε πιο επικίνδυνα περιβάλλοντα, ελέγξτε το φορητό σας υπολογιστή για παραβίαση πριν τον χρησιμοποιήσετε σε τακτική βάση.

 

[HEISENBERG]

Η διαδρομή Whonix.

(το λειτουργικό σύστημα που είναι εγκατεστημένο στο φορητό σας υπολογιστή).

Αυτή η διαδρομή θα κάνει εκτεταμένη χρήση των εικονικών μηχανών, θα απαιτούν ένα λειτουργικό σύστημα υποδοχής για την εκτέλεση του λογισμικού εικονικοποίησης. Έχετε 3 συνιστώμενες επιλογές σε αυτό το μέρος του οδηγού:

• Διανομή Linux της επιλογής σας (εξαιρουμένου του Qubes OS)
• Windows 10 (κατά προτίμηση έκδοση Home λόγω της απουσίας του Bitlocker)
• MacOS (Catalina ή νεότερη έκδοση)

Επιπλέον, οι πιθανότητες να είναι υψηλές ότι ο Mac σας είναι ή έχει συνδεθεί με έναν λογαριασμό Apple (κατά την αγορά ή μετά την εγγραφή) και επομένως τα μοναδικά αναγνωριστικά υλικού του θα μπορούσαν να οδηγήσουν πίσω σε εσάς σε περίπτωση διαρροής αναγνωριστικών υλικού.


Το Linux δεν είναι επίσης απαραίτητα η καλύτερη επιλογή για ανωνυμία, ανάλογα με το μοντέλο απειλών που χρησιμοποιείτε. Αυτό οφείλεται στο γεγονός ότι η χρήση των Windows θα μας επιτρέψει να χρησιμοποιήσουμε με ευκολία Plausible Deniability (ή αλλιώς Deniable Encryption) εύκολα σε επίπεδο λειτουργικού συστήματος. Τα Windows είναι επίσης δυστυχώς ταυτόχρονα ένας εφιάλτης για την ιδιωτικότητα, αλλά είναι η μόνη (βολική) επιλογή για τη χρήση Plausible Deniability σε επίπεδο λειτουργικού συστήματος. Η τηλεμετρία και ο αποκλεισμός της τηλεμετρίας των Windows είναι επίσης ευρέως τεκμηριωμένα, γεγονός που θα πρέπει να μετριάσει πολλά ζητήματα.


Λοιπόν, τι είναι η εύλογη άρνηση; Είναι η δυνατότητα να συνεργαστείτε με έναν αντίπαλο που ζητά πρόσβαση στη συσκευή/στα δεδομένα σας χωρίς να αποκαλύψετε το πραγματικό σας μυστικό. Όλα αυτά με τη χρήση κρυπτογράφησης άρνησης.


Ένας ήπιος νόμιμος αντίπαλος θα μπορούσε να ζητήσει τον κρυπτογραφημένο κωδικό πρόσβασης του φορητού σας υπολογιστή. Αρχικά θα μπορούσατε να αρνηθείτε να δώσετε οποιονδήποτε κωδικό πρόσβασης (χρησιμοποιώντας το "δικαίωμά σας να παραμείνετε σιωπηλός", το "δικαίωμά σας να μην ενοχοποιήσετε τον εαυτό σας"), αλλά ορισμένες χώρες εφαρμόζουν νόμους για την εξαίρεση αυτού του δικαιώματος από αυτά τα δικαιώματα (επειδή οι τρομοκράτες και το "σκεφτείτε τα παιδιά"). Σε αυτή την περίπτωση μπορεί να χρειαστεί να αποκαλύψετε τον κωδικό πρόσβασης ή ίσως να αντιμετωπίσετε ποινή φυλάκισης για ασέβεια προς το δικαστήριο. Σε αυτό το σημείο θα μπει στο παιχνίδι η εύλογη άρνηση.


Θα μπορούσατε τότε να αποκαλύψετε έναν κωδικό πρόσβασης, αλλά αυτός ο κωδικός πρόσβασης θα δίνει πρόσβαση μόνο σε "αληθοφανή δεδομένα" (ένα λειτουργικό σύστημα δόλωμα). Οι εγκληματολόγοι θα γνωρίζουν πολύ καλά ότι είναι δυνατόν να έχετε κρυμμένα δεδομένα, αλλά δεν θα πρέπει να είναι σε θέση να το αποδείξουν (αν το κάνετε σωστά). Θα έχετε συνεργαστεί και οι ερευνητές θα έχουν πρόσβαση σε κάτι αλλά όχι σε αυτό που πραγματικά θέλετε να κρύψετε. Δεδομένου ότι το βάρος της απόδειξης θα πρέπει να βρίσκεται στην πλευρά τους, δεν θα έχουν άλλη επιλογή από το να σας πιστέψουν, εκτός αν έχουν αποδείξεις ότι έχετε κρυμμένα δεδομένα.


Αυτή η λειτουργία μπορεί να χρησιμοποιηθεί σε επίπεδο λειτουργικού συστήματος (ένα αληθοφανές λειτουργικό σύστημα και ένα κρυφό λειτουργικό σύστημα) ή σε επίπεδο αρχείων όπου θα έχετε ένα κρυπτογραφημένο δοχείο αρχείων (παρόμοιο με ένα αρχείο zip) όπου θα εμφανίζονται διαφορετικά αρχεία ανάλογα με τον κωδικό κρυπτογράφησης που χρησιμοποιείτε.


Αυτό σημαίνει επίσης ότι θα μπορούσατε να δημιουργήσετε τη δική σας προηγμένη ρύθμιση "εύλογης άρνησης" χρησιμοποιώντας οποιοδήποτε Host OS αποθηκεύοντας για παράδειγμα εικονικές μηχανές σε ένα Veracrypt hidden volume container (προσέξτε για ίχνη στο Host OS που θα πρέπει να καθαριστούν αν το Host OS είναι μόνιμο, δείτε την ενότητα Μερικά πρόσθετα μέτρα κατά της εγκληματολογίας αργότερα). Υπάρχει ένα έργο για την επίτευξη αυτού του στόχου στο πλαίσιο του Tails(https://github.com/aforensics/HiddenVM [Archive.org]), το οποίο θα έκανε το Host OS σας μη μόνιμο και θα χρησιμοποιούσε plausible deniability στο πλαίσιο του Tails.


Στην περίπτωση των Windows, η αληθοφανής άρνηση είναι επίσης ο λόγος για τον οποίο θα πρέπει ιδανικά να έχετε Windows 10 Home (και όχι Pro). Αυτό συμβαίνει επειδή τα Windows 10 Pro προσφέρουν εγγενώς ένα σύστημα κρυπτογράφησης πλήρους δίσκου (Bitlocker), ενώ τα Windows 10 Home δεν προσφέρουν καθόλου κρυπτογράφηση πλήρους δίσκου. Αργότερα θα χρησιμοποιήσουμε ένα λογισμικό ανοικτού κώδικα τρίτου μέρους για κρυπτογράφηση που θα επιτρέψει την κρυπτογράφηση πλήρους δίσκου στα Windows 10 Home. Αυτό θα σας δώσει μια καλή (εύλογη) δικαιολογία για να χρησιμοποιήσετε αυτό το λογισμικό. Ενώ η χρήση αυτού του λογισμικού στα Windows 10 Pro θα ήταν ύποπτη.


Σημείωση σχετικά με το Linux: Τι γίνεται λοιπόν με το Linux και την εύλογη άρνηση; Ναι, είναι κατά κάποιο τρόπο δυνατό να επιτύχετε εύλογη άρνηση και με το Linux. Αλλά είναι περίπλοκο να ρυθμιστεί και IMHO απαιτεί ένα επίπεδο δεξιοτήτων αρκετά υψηλό που πιθανώς δεν χρειάζεστε αυτόν τον οδηγό για να σας βοηθήσει να το δοκιμάσετε.


Δυστυχώς, η κρυπτογράφηση δεν είναι μαγεία και υπάρχουν κάποιοι κίνδυνοι:

Απειλές με την κρυπτογράφηση.

Το κλειδί των 5 δολαρίων.

Να θυμάστε ότι η κρυπτογράφηση με ή χωρίς εύλογη άρνηση δεν είναι μια ασημένια σφαίρα και θα είναι ελάχιστα χρήσιμη σε περίπτωση βασανιστηρίων. Για την ακρίβεια, ανάλογα με το ποιος θα είναι ο αντίπαλός σας (το μοντέλο απειλής σας), ίσως θα ήταν συνετό να μην χρησιμοποιήσετε καθόλου το Veracrypt (πρώην TrueCrypt), όπως φαίνεται σε αυτή την επίδειξη: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Η αληθοφανής άρνηση είναι αποτελεσματική μόνο έναντι ήπιων νόμιμων αντιπάλων που δεν θα καταφύγουν σε φυσικά μέσα. Αποφύγετε, εάν είναι δυνατόν, τη χρήση λογισμικού με δυνατότητα αληθοφανούς άρνησης (όπως το Veracrypt) εάν το μοντέλο απειλής σας περιλαμβάνει σκληρούς αντιπάλους. Έτσι, οι χρήστες των Windows θα πρέπει σε αυτή την περίπτωση να εγκαταστήσουν τα Windows Pro ως Host OS και να χρησιμοποιήσουν αντ' αυτού το Bitlocker.


Βλέπε https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

Evil-Maid Attack.

Οι επιθέσεις Evil Maid πραγματοποιούνται όταν κάποιος πειράζει το φορητό σας υπολογιστή ενώ εσείς λείπετε. Για την εγκατάσταση να κλωνοποιήσει τον σκληρό σας δίσκο, να εγκαταστήσει κακόβουλο λογισμικό ή ένα πρόγραμμα καταγραφής πλήκτρων. Αν μπορούν να κλωνοποιήσουν τον σκληρό σας δίσκο, μπορούν να συγκρίνουν μια εικόνα του σκληρού σας δίσκου τη στιγμή που τον πήραν ενώ λείπατε με τον σκληρό δίσκο όταν σας τον κατάσχουν. Εάν χρησιμοποιήσατε ξανά τον φορητό υπολογιστή στο μεταξύ, οι εγκληματολόγοι εξεταστές μπορεί να είναι σε θέση να αποδείξουν την ύπαρξη των κρυμμένων δεδομένων εξετάζοντας τις διαφορές μεταξύ των δύο εικόνων σε αυτό που θα έπρεπε να είναι ένας κενός/αχρησιμοποίητος χώρος. Αυτό θα μπορούσε να οδηγήσει σε ισχυρές αποδείξεις για την ύπαρξη κρυμμένων δεδομένων. Εάν εγκαταστήσουν έναν καταγραφέα πλήκτρων ή κακόβουλο λογισμικό εντός του φορητού σας υπολογιστή (λογισμικό ή υλικό), θα μπορέσουν απλώς να πάρουν τον κωδικό πρόσβασης από εσάς για να τον χρησιμοποιήσουν αργότερα όταν τον κατασχέσουν. Τέτοιες επιθέσεις μπορούν να γίνουν στο σπίτι σας, στο ξενοδοχείο σας, σε ένα συνοριακό πέρασμα ή οπουδήποτε αφήνετε τις συσκευές σας αφύλακτες.


Μπορείτε να μετριάσετε αυτή την επίθεση κάνοντας τα εξής (όπως συνιστάται νωρίτερα):

• Διαθέστε μια βασική προστασία παραβίασης (όπως εξηγήθηκε προηγουμένως) για να αποτρέψετε τη φυσική πρόσβαση στα εσωτερικά του φορητού υπολογιστή χωρίς να το γνωρίζετε. Αυτό θα τους αποτρέψει από το να κλωνοποιήσουν τους δίσκους σας και να εγκαταστήσουν έναν φυσικό καταγραφέα πλήκτρων εν αγνοία σας.
• Απενεργοποιήστε όλες τις θύρες USB (όπως εξηγήθηκε προηγουμένως) μέσα από ένα BIOS/UEFI που προστατεύεται με κωδικό πρόσβασης. Και πάλι, δεν θα μπορούν να τις ενεργοποιήσουν (χωρίς φυσική πρόσβαση στη μητρική πλακέτα για να επαναφέρουν το BIOS) για να εκκινήσουν μια συσκευή USB που θα μπορούσε να κλωνοποιήσει τον σκληρό σας δίσκο ή να εγκαταστήσει ένα κακόβουλο λογισμικό που βασίζεται σε λογισμικό και θα μπορούσε να λειτουργήσει ως καταγραφέας κλειδιών.
• Ρυθμίστε κωδικούς πρόσβασης BIOS/UEFI/Firmware για να αποτρέψετε οποιαδήποτε μη εξουσιοδοτημένη εκκίνηση μιας μη εξουσιοδοτημένης συσκευής.
• Ορισμένα λειτουργικά συστήματα και λογισμικά κρυπτογράφησης διαθέτουν προστασία κατά του EvilMaid που μπορεί να ενεργοποιηθεί. Αυτό συμβαίνει με τα Windows/Veracrypt και το QubeOS.

Επίθεση ψυχρής εκκίνησης.

Οι επιθέσεις ψυχρής εκκίνησης είναι πιο δύσκολες από την επίθεση Evil Maid, αλλά μπορούν να αποτελέσουν μέρος μιας επίθεσης Evil Maid, καθώς απαιτούν από έναν αντίπαλο να περιέλθει στην κατοχή του φορητού υπολογιστή σας ενώ χρησιμοποιείτε ενεργά τη συσκευή σας ή λίγο αργότερα.


Η ιδέα είναι μάλλον απλή, όπως φαίνεται σε αυτό το βίντεο, ένας αντίπαλος θα μπορούσε θεωρητικά να εκκινήσει γρήγορα τη συσκευή σας με ένα ειδικό κλειδί USB το οποίο θα αντιγράψει το περιεχόμενο της RAM (της μνήμης) της συσκευής αφού την κλείσετε. Αν οι θύρες USB είναι απενεργοποιημένες ή αν νιώθουν ότι χρειάζονται περισσότερο χρόνο, θα μπορούσαν να την ανοίξουν και να "ψύξουν" τη μνήμη χρησιμοποιώντας ένα σπρέι ή άλλα χημικά (υγρό άζωτο για παράδειγμα), εμποδίζοντας τη φθορά της μνήμης. Στη συνέχεια θα μπορούσαν να αντιγράψουν το περιεχόμενό της για ανάλυση. Αυτό το αντίγραφο μνήμης θα μπορούσε να περιέχει το κλειδί για την αποκρυπτογράφηση της συσκευής σας. Αργότερα θα εφαρμόσουμε μερικές αρχές για τον μετριασμό αυτών.


Στην περίπτωση του Plausible Deniability, έχουν υπάρξει κάποιες εγκληματολογικές μελέτες σχετικά με την τεχνική απόδειξη της παρουσίας των κρυμμένων δεδομένων με μια απλή εγκληματολογική εξέταση (χωρίς Cold Boot/Evil Maid Attack), αλλά αυτές έχουν αμφισβητηθεί από άλλες μελέτες και από τον συντηρητή του Veracrypt, οπότε δεν θα ανησυχούσα πάρα πολύ γι' αυτές ακόμα.


Τα ίδια μέτρα που χρησιμοποιούνται για τον μετριασμό των επιθέσεων Evil Maid θα πρέπει να ισχύουν και για τις επιθέσεις Cold Boot με κάποια πρόσθετα:

• Εάν το λειτουργικό σας σύστημα ή το λογισμικό κρυπτογράφησης το επιτρέπει, θα πρέπει να εξετάσετε το ενδεχόμενο κρυπτογράφησης των κλειδιών και εντός της μνήμης RAM (αυτό είναι δυνατό με τα Windows/Veracrypt και θα εξηγηθεί αργότερα)
• Θα πρέπει να περιορίσετε τη χρήση του Sleep stand-by και αντ' αυτού να χρησιμοποιήσετε το Shutdown ή το Hibernate για να αποτρέψετε την παραμονή των κλειδιών κρυπτογράφησης στη RAM όταν ο υπολογιστής σας πέφτει σε κατάσταση αναστολής λειτουργίας. Αυτό οφείλεται στο γεγονός ότι η κατάσταση αναστολής λειτουργίας θα διατηρήσει την ενέργεια στη μνήμη σας για την ταχύτερη συνέχιση της δραστηριότητάς σας. Μόνο η αδρανοποίηση και η απενεργοποίηση θα διαγράψουν πραγματικά το κλειδί από τη μνήμη.

Βλέπε επίσης https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] και https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org]


Εδώ υπάρχουν επίσης μερικά ενδιαφέροντα εργαλεία που πρέπει να εξετάσουν οι χρήστες Linux για να αμυνθούν απέναντι σε αυτά:

• https://github.com/0xPoly/Centry [Archive.org] (δυστυχώς φαίνεται ότι δεν συντηρείται, οπότε έκανα ένα fork και ένα pull request για την ενημέρωση του Veracrypt https://github.com/AnonymousPlanet/Centry [Archive.org] το οποίο θα πρέπει να εξακολουθεί να λειτουργεί)
• https://github.com/hephaest0s/usbkill [Archive.org] (δυστυχώς φαίνεται ότι δεν συντηρείται επίσης)
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (Qubes OS, μόνο Intel CPU) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

Σχετικά με τον ύπνο, την αδρανοποίηση και το κλείσιμο.

Αν θέλετε την καλύτερη ασφάλεια, θα πρέπει να απενεργοποιείτε εντελώς τον φορητό σας υπολογιστή κάθε φορά που τον αφήνετε χωρίς επίβλεψη ή κλείνετε το καπάκι. Αυτό θα πρέπει να καθαρίζει ή/και να απελευθερώνει τη μνήμη RAM και να παρέχει μετριασμούς κατά των επιθέσεων ψυχρής εκκίνησης. Ωστόσο, αυτό μπορεί να είναι λίγο άβολο, καθώς θα πρέπει να κάνετε πλήρη επανεκκίνηση και να πληκτρολογήσετε έναν τόνο κωδικών πρόσβασης σε διάφορες εφαρμογές. Κάντε επανεκκίνηση διαφόρων VM και άλλων εφαρμογών. Έτσι, αντί γι' αυτό, θα μπορούσατε επίσης να χρησιμοποιήσετε τη χειμερία νάρκη (δεν υποστηρίζεται στο Qubes OS). Δεδομένου ότι ολόκληρος ο δίσκος είναι κρυπτογραφημένος, η αδρανοποίηση από μόνη της δεν θα πρέπει να αποτελεί μεγάλο κίνδυνο για την ασφάλεια, αλλά και πάλι θα τερματίσει τον φορητό σας υπολογιστή και θα καθαρίσει τη μνήμη, ενώ θα σας επιτρέψει να συνεχίσετε άνετα την εργασία σας μετά. Αυτό που δεν πρέπει ποτέ να κάνετε είναι να χρησιμοποιήσετε την τυπική λειτουργία αναστολής λειτουργίας, η οποία θα κρατήσει τον υπολογιστή σας ενεργοποιημένο και τη μνήμη τροφοδοτημένη. Αυτό αποτελεί φορέα επίθεσης κατά των επιθέσεων evil-maid και cold-boot που συζητήθηκαν προηγουμένως. Αυτό συμβαίνει επειδή η ενεργοποιημένη μνήμη σας κρατάει τα κλειδιά κρυπτογράφησης του δίσκου σας (κρυπτογραφημένα ή μη) και θα μπορούσε στη συνέχεια να έχει πρόσβαση ένας ικανός αντίπαλος.


Αυτός ο οδηγός θα παρέχει καθοδήγηση αργότερα για το πώς να ενεργοποιήσετε την αδρανοποίηση σε διάφορα λειτουργικά συστήματα κεντρικών υπολογιστών (εκτός από το Qubes OS), αν δεν θέλετε να κλείνετε κάθε φορά.

Τοπικές διαρροές δεδομένων (ίχνη) και εγκληματολογική εξέταση.

Όπως αναφέρθηκε εν συντομία προηγουμένως, πρόκειται για διαρροές δεδομένων και ίχνη από το λειτουργικό σας σύστημα και τις εφαρμογές σας όταν εκτελείτε οποιαδήποτε δραστηριότητα στον υπολογιστή σας. Αυτά ισχύουν κυρίως για κρυπτογραφημένους περιέκτες αρχείων (με ή χωρίς εύλογη άρνηση) παρά για κρυπτογράφηση σε όλο το λειτουργικό σύστημα. Τέτοιες διαρροές είναι λιγότερο "σημαντικές" εάν ολόκληρο το λειτουργικό σας σύστημα είναι κρυπτογραφημένο (εάν δεν είστε υποχρεωμένοι να αποκαλύψετε τον κωδικό πρόσβασης).


Ας πούμε για παράδειγμα ότι έχετε ένα κλειδί USB με κρυπτογράφηση Veracrypt και ενεργοποιημένη την εύλογη άρνηση. Ανάλογα με τον κωδικό πρόσβασης που χρησιμοποιείτε κατά την τοποθέτηση του κλειδιού USB, θα ανοίξει ένας φάκελος δόλωμα ή ο ευαίσθητος φάκελος. Μέσα σε αυτούς τους φακέλους, θα έχετε έγγραφα/δεδομένα δόλωμα μέσα στο φάκελο δόλωμα και ευαίσθητα έγγραφα/δεδομένα μέσα στον ευαίσθητο φάκελο.


Σε όλες τις περιπτώσεις, θα ανοίξετε (πιθανότατα) αυτούς τους φακέλους με την Εξερεύνηση των Windows, το Finder του MacOS ή οποιοδήποτε άλλο βοηθητικό πρόγραμμα και θα κάνετε ό,τι σχεδιάζατε να κάνετε. Ίσως θα επεξεργαστείτε ένα έγγραφο μέσα στον ευαίσθητο φάκελο. Ίσως θα πραγματοποιήσετε αναζήτηση σε ένα έγγραφο εντός του φακέλου. Ίσως θα διαγράψετε ένα ή θα παρακολουθήσετε ένα ευαίσθητο βίντεο χρησιμοποιώντας το VLC.


Λοιπόν, όλες αυτές οι εφαρμογές και το λειτουργικό σας σύστημα ενδέχεται να διατηρούν αρχεία καταγραφής και ίχνη αυτής της χρήσης. Αυτά μπορεί να περιλαμβάνουν την πλήρη διαδρομή του φακέλου/των αρχείων/των δίσκων, την ώρα πρόσβασης σε αυτά, τις προσωρινές κρυφές μνήμες αυτών των αρχείων, τις λίστες "πρόσφατων" σε κάθε εφαρμογή, το σύστημα ευρετηρίασης αρχείων που θα μπορούσε να ευρετηριάσει τη μονάδα και ακόμη και μικρογραφίες που θα μπορούσαν να δημιουργηθούν


Ακολουθούν ορισμένα παραδείγματα τέτοιων διαρροών:

Windows.

• ShellBags των Windows που αποθηκεύονται μέσα στο μητρώο των Windows και αποθηκεύουν σιωπηλά διάφορα ιστορικά των τόμων/αρχείων/φακέλων στους οποίους έγινε πρόσβαση.
• Windows Indexing που διατηρεί ίχνη των αρχείων που υπάρχουν στον φάκελο χρήστη σας από προεπιλογή.
• Πρόσφατες λίστες (ή αλλιώς Λίστες μεταπήδησης) στα Windows και σε διάφορες εφαρμογές που διατηρούν ίχνη των εγγράφων στα οποία έγινε πρόσφατα πρόσβαση.
• Πολλά περισσότερα ίχνη σε διάφορα αρχεία καταγραφής, δείτε αυτή την ενδιαφέρουσα αφίσα για περισσότερες πληροφορίες: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.

• Gatekeeper290 και XProtect που παρακολουθούν το ιστορικό λήψης σε μια τοπική βάση δεδομένων και τα χαρακτηριστικά των αρχείων.
• Ευρετηρίαση Spotlight
• Πρόσφατες λίστες σε διάφορες εφαρμογές που διατηρούν τα ίχνη των εγγράφων στα οποία έγινε πρόσφατα πρόσβαση.
• Προσωρινοί φάκελοι που διατηρούν διάφορα ίχνη χρήσης εφαρμογών και εγγράφων.
• Καταγραφές MacOS
• ...

Linux.

• Linux: Ευρετηρίαση Tracker
• Ιστορία Bash
• Αρχεία καταγραφής USB
• Πρόσφατες λίστες σε διάφορες εφαρμογές που διατηρούν ίχνη των εγγράφων στα οποία έγινε πρόσφατα πρόσβαση.
• Αρχεία καταγραφής Linux
• ...

Η εγκληματολογία θα μπορούσε να χρησιμοποιήσει όλες αυτές τις διαρροές (βλ. Τοπικές διαρροές δεδομένων και εγκληματολογία) για να αποδείξει την ύπαρξη κρυφών δεδομένων και να νικήσει τις προσπάθειές σας να χρησιμοποιήσετε εύλογη άρνηση και να μάθετε για τις διάφορες ευαίσθητες δραστηριότητές σας.


Επομένως, θα είναι σημαντικό να εφαρμόσετε διάφορα βήματα για να αποτρέψετε τη δικαστική έρευνα από το να το κάνει αυτό, αποτρέποντας και καθαρίζοντας αυτές τις διαρροές/αποτυπώματα και κυρίως χρησιμοποιώντας κρυπτογράφηση ολόκληρου του δίσκου, εικονικοποίηση και διαμερισματοποίηση.


Οι εγκληματολόγοι δεν μπορούν να εξάγουν τοπικές διαρροές δεδομένων από ένα λειτουργικό σύστημα στο οποίο δεν έχουν πρόσβαση. Και θα μπορέσετε να καθαρίσετε τα περισσότερα από αυτά τα ίχνη σβήνοντας τον δίσκο ή διαγράφοντας με ασφάλεια τις εικονικές μηχανές σας (κάτι που δεν είναι τόσο εύκολο όσο νομίζετε σε δίσκους SSD).


Ορισμένες τεχνικές καθαρισμού θα καλυφθούν ωστόσο στο μέρος "Καλύψτε τα ίχνη σας" αυτού του οδηγού στο τέλος.

Διαρροές δεδομένων στο διαδίκτυο.

Είτε χρησιμοποιείτε απλή κρυπτογράφηση είτε κρυπτογράφηση που επιτρέπει την εύλογη άρνηση. Ακόμη και αν καλύψατε τα ίχνη σας στον ίδιο τον υπολογιστή. Εξακολουθεί να υπάρχει ο κίνδυνος διαρροής δεδομένων στο διαδίκτυο που θα μπορούσε να αποκαλύψει την ύπαρξη κρυφών δεδομένων.


Ητηλεμετρία είναι ο εχθρός σας. Όπως εξηγήθηκε νωρίτερα σε αυτόν τον οδηγό, η τηλεμετρία των Λειτουργικών Συστημάτων αλλά και από τις Εφαρμογές μπορεί να στείλει στο διαδίκτυο συγκλονιστικές ποσότητες προσωπικών πληροφοριών.


Στην περίπτωση των Windows, τα δεδομένα αυτά θα μπορούσαν για παράδειγμα να χρησιμοποιηθούν για να αποδείξουν την ύπαρξη ενός κρυμμένου λειτουργικού συστήματος/τόμου σε έναν υπολογιστή και θα ήταν άμεσα διαθέσιμα στη Microsoft. Ως εκ τούτου, είναι εξαιρετικά σημαντικό να απενεργοποιήσετε και να μπλοκάρετε την τηλεμετρία με όλα τα μέσα που διαθέτετε. Ανεξάρτητα από το λειτουργικό σύστημα που χρησιμοποιείτε.

Συμπέρασμα.

Δεν πρέπει ποτέ να διεξάγετε ευαίσθητες δραστηριότητες από ένα μη κρυπτογραφημένο σύστημα. Και ακόμη και αν είναι κρυπτογραφημένο, μάλλον δεν θα πρέπει ποτέ να διεξάγετε ευαίσθητες δραστηριότητες από το ίδιο το Host OS. Αντ' αυτού, θα πρέπει να χρησιμοποιείτε ένα VM για να μπορείτε να απομονώνετε και να διαμερίζετε αποτελεσματικά τις δραστηριότητές σας και να αποτρέπετε τις τοπικές διαρροές δεδομένων.


Εάν έχετε ελάχιστες ή καθόλου γνώσεις Linux ή εάν θέλετε να χρησιμοποιήσετε εύλογη άρνηση σε όλο το λειτουργικό σύστημα, θα σας συνιστούσα να επιλέξετε τα Windows (ή να επιστρέψετε στη διαδρομή Tails) για λόγους ευκολίας. Αυτός ο οδηγός θα σας βοηθήσει να το σκληρύνετε όσο το δυνατόν περισσότερο για να αποφύγετε τις διαρροές. Αυτός ο οδηγός θα σας βοηθήσει επίσης να σκληρύνετε το MacOS και το Linux όσο το δυνατόν περισσότερο για να αποτρέψετε παρόμοιες διαρροές.


Αν δεν σας ενδιαφέρει η εύλογη άρνηση του λειτουργικού συστήματος και θέλετε να μάθετε να χρησιμοποιείτε το Linux, θα σας συνιστούσα ανεπιφύλακτα να επιλέξετε το Linux ή τη διαδρομή Qubes, αν το υλικό σας το επιτρέπει.


Σε κάθε περίπτωση, το κεντρικό λειτουργικό σύστημα δεν πρέπει ποτέ να χρησιμοποιείται για την άμεση διεξαγωγή ευαίσθητων δραστηριοτήτων. Το κεντρικό λειτουργικό σύστημα θα χρησιμοποιείται μόνο για τη σύνδεση σε ένα δημόσιο σημείο πρόσβασης Wi-Fi. Θα παραμείνει αχρησιμοποίητο όσο διεξάγετε ευαίσθητες δραστηριότητες και ιδανικά δεν θα πρέπει να χρησιμοποιείται για καμία από τις καθημερινές σας δραστηριότητες.


Σκεφτείτε επίσης να διαβάσετε https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]

 

[HEISENBERG]

Λειτουργικό σύστημα υποδοχής Linux.

Όπως αναφέρθηκε προηγουμένως, δεν συνιστώ να χρησιμοποιείτε τον καθημερινό σας φορητό υπολογιστή για πολύ ευαίσθητες δραστηριότητες. Ή τουλάχιστον δεν συνιστώ να χρησιμοποιείτε το επιτόπιο λειτουργικό σας σύστημα για αυτές. Κάτι τέτοιο μπορεί να οδηγήσει σε ανεπιθύμητες διαρροές δεδομένων που θα μπορούσαν να χρησιμοποιηθούν για την αποανωνυμοποίησή σας. Εάν έχετε έναν ειδικό φορητό υπολογιστή για αυτές τις ανάγκες, θα πρέπει να επανεγκαταστήσετε ένα φρέσκο καθαρό λειτουργικό σύστημα. Εάν δεν θέλετε να σβήσετε το φορητό σας υπολογιστή και να ξεκινήσετε από την αρχή, θα πρέπει να εξετάσετε τη διαδρομή Tails ή να προχωρήσετε με δική σας ευθύνη.


Σας συνιστώ επίσης να κάνετε την αρχική εγκατάσταση εντελώς εκτός σύνδεσης για να αποφύγετε τυχόν διαρροή δεδομένων.


Θα πρέπει πάντα να θυμάστε ότι παρά τη φήμη τους, οι διανομές Linux mainstream (Ubuntu για παράδειγμα) δεν είναι απαραίτητα καλύτερες στην ασφάλεια από άλλα συστήματα όπως το MacOS και τα Windows. Δείτε αυτή την αναφορά για να καταλάβετε γιατί https://madaidans-insecurities.github.io/linux.html [Archive.org].

Κρυπτογράφηση πλήρους δίσκου.

Υπάρχουν δύο δυνατότητες εδώ με το Ubuntu:

• (Συνιστώμενη και εύκολη) Κρυπτογράφηση ως μέρος της διαδικασίας εγκατάστασης: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Αυτή η διαδικασία απαιτεί την πλήρη διαγραφή ολόκληρου του δίσκου σας (καθαρή εγκατάσταση).
  • Απλά τσεκάρετε το "Κρυπτογράφηση της νέας εγκατάστασης του Ubuntu για ασφάλεια"
• (Κουραστικό αλλά δυνατό) Κρυπτογράφηση μετά την εγκατάσταση: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

Για άλλες διανομές, θα πρέπει να τεκμηριώσετε μόνοι σας, αλλά πιθανότατα θα είναι παρόμοια. Η κρυπτογράφηση κατά την εγκατάσταση είναι απλά πολύ πιο εύκολη στο πλαίσιο αυτού του οδηγού.

Απορρίψτε/απενεργοποιήστε οποιαδήποτε τηλεμετρία.

• Κατά τη διάρκεια της εγκατάστασης, απλά βεβαιωθείτε ότι δεν επιτρέπετε τη συλλογή δεδομένων, αν σας ζητηθεί.
• Αν δεν είστε σίγουροι, απλά βεβαιωθείτε ότι δεν επιτρέψατε καμία τηλεμετρία και ακολουθήστε αυτό το σεμινάριο αν χρειαστεί https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org]
• Οποιαδήποτε άλλη διανομή: Θα πρέπει να τεκμηριώσετε μόνοι σας και να βρείτε μόνοι σας πώς να απενεργοποιήσετε την τηλεμετρία, αν υπάρχει.

Απενεργοποιήστε οτιδήποτε περιττό.

• Απενεργοποιήστε το Bluetooth αν είναι ενεργοποιημένο ακολουθώντας αυτόν τον οδηγό https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] ή εκδίδοντας την ακόλουθη εντολή:
  
  • sudo systemctl disable bluetooth.service --force
• Απενεργοποιήστε το Indexing αν είναι ενεργοποιημένο από προεπιλογή (Ubuntu >19.04) ακολουθώντας αυτόν τον οδηγό https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] ή εκδίδοντας τις ακόλουθες εντολές:
  
  • service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Μπορείτε με ασφάλεια να αγνοήσετε οποιοδήποτε σφάλμα αν λέει ότι κάποια υπηρεσία δεν υπάρχει
  • sudo tracker reset -hard

Αδρανοποίηση.

Όπως εξηγήθηκε προηγουμένως, δεν θα πρέπει να χρησιμοποιείτε τις λειτουργίες αναστολής λειτουργίας αλλά να τερματίζετε ή να θέτετε το φορητό σας υπολογιστή σε κατάσταση αναστολής λειτουργίας για να μετριάσετε κάποιες επιθέσεις κακών-μαϊμού και ψυχρής εκκίνησης. Δυστυχώς, αυτή η λειτουργία είναι απενεργοποιημένη από προεπιλογή σε πολλές διανομές Linux, συμπεριλαμβανομένου του Ubuntu. Είναι δυνατόν να την ενεργοποιήσετε, αλλά ενδέχεται να μην λειτουργεί όπως αναμένεται. Ακολουθήστε αυτές τις πληροφορίες με δική σας ευθύνη. Αν δεν θέλετε να το κάνετε αυτό, δεν θα πρέπει ποτέ να χρησιμοποιείτε τη λειτουργία sleep και να απενεργοποιείτε αντ' αυτής (και πιθανώς να ρυθμίζετε τη συμπεριφορά κλεισίματος του καπακιού σε απενεργοποίηση αντί για sleep).


Ακολουθήστε ένα από αυτά τα σεμινάρια για να ενεργοποιήσετε την κατάσταση αδρανοποίησης:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

Αφού ενεργοποιήσετε την αδρανοποίηση, αλλάξτε τη συμπεριφορά ώστε ο φορητός σας υπολογιστής να πέφτει σε αδρανοποίηση όταν κλείνετε το καπάκι, ακολουθώντας αυτό το σεμινάριο για το Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] και αυτό το σεμινάριο για το Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org]


Δυστυχώς, αυτό δεν θα καθαρίσει το κλειδί από τη μνήμη απευθείας από τη μνήμη κατά την αδρανοποίηση. Για να το αποφύγετε αυτό με κόστος κάποια απόδοση, μπορείτε να εξετάσετε το ενδεχόμενο να κρυπτογραφήσετε το αρχείο swap ακολουθώντας αυτό το σεμινάριο: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Αυτές οι ρυθμίσεις θα πρέπει να μετριάσουν τις επιθέσεις ψυχρής εκκίνησης, αν μπορείτε να πέσετε σε χειμερία νάρκη αρκετά γρήγορα.

Ενεργοποιήστε την τυχαιοποίηση της διεύθυνσης MAC.

• Ubuntu, ακολουθήστε αυτά τα βήματα https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Οποιαδήποτε άλλη διανομή: θα πρέπει να βρείτε μόνοι σας την τεκμηρίωση, αλλά θα πρέπει να είναι αρκετά παρόμοια με το σεμινάριο του Ubuntu.
• Σκεφτείτε αυτό το σεμινάριο που θα πρέπει να εξακολουθεί να λειτουργεί: https://josh.works/shell-script-basics-change-mac-address [Archive.org]

Hardening Linux.

Ως μια ελαφριά εισαγωγή για νέους χρήστες Linux, σκεφτείτε

[Invidious]


Για πιο εμπεριστατωμένες και προχωρημένες επιλογές, ανατρέξτε στο:

• Αυτόν τον εξαιρετικό οδηγό: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Αυτή την εξαιρετική πηγή wiki: https://wiki.archlinux.org/title/Security [Archive.org]
• Αυτά τα εξαιρετικά σενάρια που βασίζονται στον παραπάνω οδηγό και το wiki: https://codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Ρύθμιση ενός ασφαλούς προγράμματος περιήγησης.

Ασφαλής περιηγητής στο κεντρικό λειτουργικό σύστημα

 

[HEISENBERG]

MacOS Host OS.

Σημείωση: Προς το παρόν, αυτός ο οδηγός δεν υποστηρίζει (ακόμα) MacBooks ARM M1. Λόγω του ότι το Virtualbox δεν υποστηρίζει ακόμη αυτή την αρχιτεκτονική. Θα μπορούσε ωστόσο να είναι εφικτό αν χρησιμοποιείτε εμπορικά εργαλεία όπως το VMWare ή το Parallels, αλλά αυτά δεν καλύπτονται σε αυτόν τον οδηγό.


Όπως αναφέρθηκε προηγουμένως, δεν συνιστώ να χρησιμοποιείτε τον καθημερινό σας φορητό υπολογιστή για πολύ ευαίσθητες δραστηριότητες. Ή τουλάχιστον δεν συνιστώ να χρησιμοποιείτε το επιτόπιο λειτουργικό σας σύστημα για αυτές. Κάτι τέτοιο μπορεί να οδηγήσει σε ανεπιθύμητες διαρροές δεδομένων που θα μπορούσαν να χρησιμοποιηθούν για την αποανωνυμοποίησή σας. Εάν έχετε έναν ειδικό φορητό υπολογιστή για αυτές τις ανάγκες, θα πρέπει να επανεγκαταστήσετε ένα φρέσκο καθαρό λειτουργικό σύστημα. Εάν δεν θέλετε να σβήσετε το φορητό σας υπολογιστή και να ξεκινήσετε από την αρχή, θα πρέπει να εξετάσετε τη διαδρομή Tails ή να προχωρήσετε με δική σας ευθύνη.


Σας συνιστώ επίσης να κάνετε την αρχική εγκατάσταση εντελώς εκτός σύνδεσης για να αποφύγετε τυχόν διαρροή δεδομένων.


Μην συνδεθείτε ποτέ με τον λογαριασμό σας στην Apple χρησιμοποιώντας αυτόν τον Mac.

Κατά τη διάρκεια της εγκατάστασης.

• Μείνετε εκτός σύνδεσης
• Απενεργοποιήστε όλα τα αιτήματα κοινής χρήσης δεδομένων όταν σας ζητηθεί, συμπεριλαμβανομένων των υπηρεσιών τοποθεσίας
• Μην συνδεθείτε με την Apple
• Μην ενεργοποιήσετε το Siri

Σκλήρυνση του MacOS.

Ως μια ελαφριά εισαγωγή για νέους χρήστες MacOS, σκεφτείτε

[Invidious]


Τώρα, για να προχωρήσετε σε μεγαλύτερη εμβάθυνση στην ασφάλεια και τη σκλήρυνση του MacOS σας, συνιστώ να διαβάσετε αυτόν τον οδηγό του GitHub, ο οποίος θα πρέπει να καλύπτει πολλά από τα θέματα: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Ακολουθούν τα βασικά βήματα που πρέπει να κάνετε μετά την εγκατάσταση χωρίς σύνδεση:

Ενεργοποιήστε τον κωδικό πρόσβασης Firmware με την επιλογή "disable-reset-capability".

Πρώτα θα πρέπει να ρυθμίσετε έναν κωδικό πρόσβασης firmware ακολουθώντας αυτόν τον οδηγό από την Apple: https://support.apple.com/en-us/HT204455 [Archive.org]


Δυστυχώς, ορισμένες επιθέσεις είναι ακόμα πιθανές και ένας αντίπαλος θα μπορούσε να απενεργοποιήσει αυτόν τον κωδικό πρόσβασης, οπότε θα πρέπει επίσης να ακολουθήσετε αυτόν τον οδηγό για να αποτρέψετε την απενεργοποίηση του κωδικού πρόσβασης firmware από οποιονδήποτε, συμπεριλαμβανομένης της Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]

Ενεργοποιήστε την αδρανοποίηση αντί για την αναστολή λειτουργίας.

και πάλι, αυτό γίνεται για να αποτρέψετε κάποιες επιθέσεις cold-boot και evil-maid με την απενεργοποίηση της μνήμης RAM και τον καθαρισμό του κλειδιού κρυπτογράφησης όταν κλείνετε το καπάκι. Θα πρέπει πάντα να βρίσκεστε είτε σε κατάσταση αδρανοποίησης είτε σε κατάσταση απενεργοποίησης. Στο MacOS, η λειτουργία αδρανοποίησης έχει ακόμη και μια ειδική επιλογή για να διαγράψετε ειδικά το κλειδί κρυπτογράφησης από τη μνήμη κατά την αδρανοποίηση (ενώ σε άλλα λειτουργικά συστήματα μπορεί να χρειαστεί να περιμένετε να διασπαστεί η μνήμη). Για άλλη μια φορά δεν υπάρχουν εύκολες επιλογές για να το κάνετε αυτό μέσα από τις ρυθμίσεις, οπότε, αντί γι' αυτό, θα πρέπει να το κάνουμε εκτελώντας μερικές εντολές για να ενεργοποιήσουμε την αδρανοποίηση:

• Ανοίξτε ένα τερματικό
• Εκτελέστε: sudo pmset -a destroyfvkeyonstandby 1
  
  • Αυτή η εντολή θα δώσει εντολή στο MacOS να καταστρέψει το κλειδί Filevault σε κατάσταση αναμονής (ύπνος)
• Εκτελέστε: sudo pmset -a hibernatemode 25
  
  • Αυτή η εντολή θα καθοδηγήσει το MacOS να απενεργοποιεί τη μνήμη κατά τη διάρκεια της αναστολής λειτουργίας (sleep) αντί να κάνει μια υβριδική αναστολή λειτουργίας (hibernate) που διατηρεί τη μνήμη ενεργοποιημένη. Θα έχει ως αποτέλεσμα πιο αργή αφύπνιση αλλά θα αυξήσει τη διάρκεια ζωής της μπαταρίας.

Τώρα, όταν κλείνετε το καπάκι του MacBook σας, θα πρέπει να βρίσκεται σε κατάσταση αδρανοποίησης αντί για ύπνο και να μετριάζει τις προσπάθειες εκτέλεσης επιθέσεων cold-boot.


Επιπλέον, θα πρέπει επίσης να ρυθμίσετε μια αυτόματη αναστολή λειτουργίας (Ρυθμίσεις > Ενέργεια), ώστε το MacBook σας να πέφτει αυτόματα σε κατάσταση αναστολής λειτουργίας, αν μείνει χωρίς επιτήρηση.

Απενεργοποιήστε τις περιττές υπηρεσίες.

Απενεργοποιήστε ορισμένες περιττές ρυθμίσεις εντός των ρυθμίσεων:

• Απενεργοποιήστε το Bluetooth
• Απενεργοποίηση της κάμερας και του μικροφώνου
• Απενεργοποίηση των υπηρεσιών τοποθεσίας
• Απενεργοποίηση Airdrop
• Απενεργοποίηση ευρετηρίου

Αποτρέψτε τις κλήσεις OCSP της Apple.

Αυτές είναι οι διαβόητες κλήσεις "μη μπλοκαρίσιμης τηλεμετρίας" από το MacOS Big Sur που αποκαλύπτονται εδώ: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Θα μπορούσατε να μπλοκάρετε την αναφορά OCSP εκδίδοντας την ακόλουθη εντολή στο Terminal:

• sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Αλλά μάλλον θα πρέπει να τεκμηριώσετε τον εαυτό σας σχετικά με το πραγματικό ζήτημα πριν ενεργήσετε. Αυτή η σελίδα είναι ένα καλό μέρος για να ξεκινήσετε: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Εξαρτάται από εσάς. Εγώ θα το μπλόκαρα γιατί δεν θέλω καθόλου τηλεμετρία από το λειτουργικό μου σύστημα προς το μητρικό σκάφος χωρίς τη δική μου ειδική συγκατάθεση. Κανένα.

Ενεργοποιήστε την κρυπτογράφηση πλήρους δίσκου (Filevault).

Θα πρέπει να ενεργοποιήσετε την κρυπτογράφηση πλήρους δίσκου στο Mac σας χρησιμοποιώντας το Filevault σύμφωνα με αυτό το μέρος του οδηγού: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Να είστε προσεκτικοί κατά την ενεργοποίηση. Μην αποθηκεύσετε το κλειδί ανάκτησης στην Apple αν σας ζητηθεί (δεν θα πρέπει να υπάρχει πρόβλημα, αφού θα πρέπει να είστε εκτός σύνδεσης σε αυτό το στάδιο). Προφανώς δεν θέλετε να έχει κάποιος τρίτος το κλειδί ανάκτησης.

Τυχαία επιλογή διευθύνσεων MAC.

Δυστυχώς, το MacOS δεν προσφέρει έναν εγγενή βολικό τρόπο τυχαίας αντιστοίχισης της διεύθυνσης MAC και έτσι θα πρέπει να το κάνετε αυτό χειροκίνητα. Αυτή θα μηδενίζεται σε κάθε επανεκκίνηση και θα πρέπει να την επαναλαμβάνετε κάθε φορά για να διασφαλίσετε ότι δεν χρησιμοποιείτε την πραγματική σας διεύθυνση MAC όταν συνδέεστε σε διάφορα Wi-Fi


Μπορείτε να το κάνετε εκδίδοντας τις ακόλουθες εντολές στο τερματικό (χωρίς τις παρενθέσεις):

• (Απενεργοποιήστε το Wi-Fi) networksetup -setairportpower en0 off
• (Αλλάξτε τη διεύθυνση MAC) sudo ifconfig en0 ether 88:63:11:11:11:11:11:11:11
• (Ενεργοποιήστε ξανά το Wi-Fi) networksetup -setairportpower en0 on

Ρύθμιση ενός ασφαλούς προγράμματος περιήγησης.

Βλέπε παράρτημα G: Ασφαλής περιηγητής στο λειτουργικό σύστημα υποδοχής

Λειτουργικό σύστημα υποδοχής Windows.

Όπως αναφέρθηκε προηγουμένως, δεν συνιστώ να χρησιμοποιείτε τον καθημερινό σας φορητό υπολογιστή για πολύ ευαίσθητες δραστηριότητες. Ή τουλάχιστον δεν συνιστώ να χρησιμοποιείτε το επιτόπιο λειτουργικό σας σύστημα για αυτές. Κάτι τέτοιο μπορεί να οδηγήσει σε ανεπιθύμητες διαρροές δεδομένων που θα μπορούσαν να χρησιμοποιηθούν για την αποανωνυμοποίησή σας. Εάν έχετε έναν ειδικό φορητό υπολογιστή για αυτές τις ανάγκες, θα πρέπει να επανεγκαταστήσετε ένα φρέσκο καθαρό λειτουργικό σύστημα. Εάν δεν θέλετε να σβήσετε το φορητό σας υπολογιστή και να ξεκινήσετε από την αρχή, θα πρέπει να εξετάσετε τη διαδρομή Tails ή να προχωρήσετε με δική σας ευθύνη.


Σας συνιστώ επίσης να κάνετε την αρχική εγκατάσταση εντελώς εκτός σύνδεσης για να αποφύγετε τυχόν διαρροή δεδομένων.

Εγκατάσταση.

Εγκατάσταση: Θα πρέπει να ακολουθήσετε το Παράρτημα Α: Εγκατάσταση των Windows


Ως μια ελαφριά εισαγωγή, σκεφτείτε να παρακολουθήσετε

[Invidious]

Ενεργοποίηση της τυχαιοποίησης διευθύνσεων MAC.

Θα πρέπει να ρυθμίσετε τυχαία τη διεύθυνση MAC, όπως εξηγήθηκε νωρίτερα σε αυτόν τον οδηγό:


Μεταβείτε στις Ρυθμίσεις > Δίκτυο και Διαδίκτυο > Wi-Fi > Ενεργοποίηση τυχαίων διευθύνσεων υλικού


Εναλλακτικά, μπορείτε να χρησιμοποιήσετε αυτό το δωρεάν λογισμικό: https://technitium.com/tmac/ [Archive.org]

Ρύθμιση ενός ασφαλούς προγράμματος περιήγησης.

Βλέπε Παράρτημα G: Ασφαλής περιηγητής στο λειτουργικό σύστημα υποδοχής

Ενεργοποιήστε ορισμένες πρόσθετες ρυθμίσεις απορρήτου στο λειτουργικό σύστημα υποδοχής.

Βλέπε Παράρτημα Β: Πρόσθετες ρυθμίσεις απορρήτου των Windows

Κρυπτογράφηση του λειτουργικού συστήματος κεντρικού υπολογιστή των Windows.

Εάν σκοπεύετε να χρησιμοποιήσετε εύλογη άρνηση σε όλο το σύστημα.

Veracrypt είναι το λογισμικό που θα σας προτείνω για πλήρη κρυπτογράφηση δίσκου, κρυπτογράφηση αρχείων και εύλογη άρνηση. Πρόκειται για μια διακλάδωση του γνωστού αλλά απαρχαιωμένου και μη συντηρούμενου TrueCrypt. Μπορεί να χρησιμοποιηθεί για

• Απλή κρυπτογράφηση πλήρους δίσκου (ο σκληρός σας δίσκος κρυπτογραφείται με μια φράση πρόσβασης).
• Full Disk encryption with plausible deniability (αυτό σημαίνει ότι ανάλογα με τη συνθηματική φράση που εισάγεται κατά την εκκίνηση, θα εκκινήσετε είτε ένα λειτουργικό σύστημα δόλωμα είτε ένα κρυφό λειτουργικό σύστημα).
• File container simple encryption (πρόκειται για ένα μεγάλο αρχείο το οποίο θα μπορείτε να προσαρτήσετε μέσα στο Veracrypt σαν να ήταν ένας εξωτερικός δίσκος για να αποθηκεύσετε κρυπτογραφημένα αρχεία μέσα σε αυτόν).
• File container with plausible deniability (πρόκειται για το ίδιο μεγάλο αρχείο, αλλά ανάλογα με τη φράση πρόσβασης που χρησιμοποιείτε κατά την προσάρτηση, θα προσαρτήσετε είτε έναν "κρυφό τόμο" είτε τον "τόμο δόλωμα").

Είναι από όσο γνωρίζω το μοναδικό (βολικό και χρησιμοποιήσιμο από οποιονδήποτε) δωρεάν, ανοιχτού κώδικα και ανοιχτά ελεγμένο λογισμικό κρυπτογράφησης που παρέχει επίσης plausible deniability για γενική χρήση και λειτουργεί με τα Windows Home Edition.


Προχωρήστε στη λήψη και εγκατάσταση του Veracrypt από: https://www.veracrypt.fr/en/Downloads.html [Archive.org]


Μετά την εγκατάσταση, αφιερώστε λίγο χρόνο για να εξετάσετε τις ακόλουθες επιλογές που θα βοηθήσουν στον μετριασμό ορισμένων επιθέσεων:

• Κρυπτογράφηση της μνήμης με την επιλογή Veracrypt (ρυθμίσεις > απόδοση/επιλογές προγράμματος οδήγησης > κρυπτογράφηση RAM) με κόστος 5-15% απόδοσης. Αυτή η ρύθμιση θα απενεργοποιήσει επίσης την αδρανοποίηση (η οποία δεν διαγράφει ενεργά το κλειδί κατά την αδρανοποίηση) και αντ' αυτού θα κρυπτογραφήσει τη μνήμη συνολικά για να μετριάσει ορισμένες επιθέσεις ψυχρής εκκίνησης.
• Ενεργοποιήστε την επιλογή Veracrypt για να διαγράψετε τα κλειδιά από τη μνήμη αν εισαχθεί νέα συσκευή (σύστημα > ρυθμίσεις > ασφάλεια > διαγραφή κλειδιών από τη μνήμη αν εισαχθεί νέα συσκευή). Αυτό θα μπορούσε να βοηθήσει σε περίπτωση κατάσχεσης του συστήματός σας ενώ είναι ακόμα ενεργοποιημένο (αλλά κλειδωμένο).
• Ενεργοποιήστε την επιλογή Veracrypt για την προσάρτηση τόμων ως αφαιρούμενων τόμων (Ρυθμίσεις > Προτιμήσεις > Προσάρτηση τόμου ως αφαιρούμενου μέσου). Αυτό θα αποτρέψει τα Windows από το να γράψουν κάποια αρχεία καταγραφής σχετικά με τις προσαρτήσεις σας στα αρχεία καταγραφής συμβάντων και θα αποτρέψει κάποιες τοπικές διαρροές δεδομένων.
• Να είστε προσεκτικοί και να έχετε καλή επίγνωση της κατάστασης, αν αισθανθείτε κάτι περίεργο. Κλείστε το φορητό σας υπολογιστή όσο το δυνατόν γρηγορότερα.
• Παρόλο που οι νεότερες εκδόσεις του Veracrypt υποστηρίζουν το Secure Boot, θα σας συνιστούσα να το απενεργοποιήσετε από το BIOS, καθώς προτιμώ το σύστημα Veracrypt Anti-Evil Maid από το Secure Boot.

Αν δεν θέλετε να χρησιμοποιήσετε κρυπτογραφημένη μνήμη (επειδή η απόδοση μπορεί να αποτελεί πρόβλημα), θα πρέπει τουλάχιστον να ενεργοποιήσετε την αδρανοποίηση αντί για την αναστολή λειτουργίας. Αυτό δεν θα διαγράψει τα κλειδιά από τη μνήμη (εξακολουθείτε να είστε ευάλωτοι σε επιθέσεις ψυχρής εκκίνησης), αλλά τουλάχιστον θα πρέπει να τις μετριάσει κάπως, αν η μνήμη σας έχει αρκετό χρόνο να αποσυντεθεί.


Περισσότερες λεπτομέρειες αργότερα στη διαδρομή Α και Β: Απλή κρυπτογράφηση με τη χρήση του Veracrypt (σεμινάριο για Windows).

Εάν δεν σκοπεύετε να χρησιμοποιήσετε την εύλογη άρνηση σε όλο το σύστημα.

Για την περίπτωση αυτή, θα σας συστήσω τη χρήση του BitLocker αντί του Veracrypt για την πλήρη κρυπτογράφηση του δίσκου. Το σκεπτικό είναι ότι το BitLocker δεν προσφέρει δυνατότητα εύλογης άρνησης σε αντίθεση με το Veracrypt. Ένας σκληρός αντίπαλος δεν έχει τότε κανένα κίνητρο να συνεχίσει την "ενισχυμένη" ανάκρισή του εάν αποκαλύψετε τη φράση πρόσβασης.


Κανονικά, θα πρέπει να έχετε εγκαταστήσει τα Windows Pro σε αυτή την περίπτωση και η εγκατάσταση του BitLocker είναι αρκετά απλή.


Βασικά μπορείτε να ακολουθήσετε τις οδηγίες εδώ: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


Αλλά εδώ είναι τα βήματα:

• Κάντε κλικ στο μενού των Windows
• Πληκτρολογήστε "Bitlocker"
• Κάντε κλικ στο "Manage Bitlocker" (Διαχείριση Bitlocker)
• Κάντε κλικ στην επιλογή "Ενεργοποίηση του Bitlocker" στη μονάδα δίσκου του συστήματός σας
• Ακολουθήστε τις οδηγίες
  
  • Μην αποθηκεύσετε το κλειδί ανάκτησης σε λογαριασμό Microsoft, αν σας ζητηθεί.
  • Αποθηκεύστε το κλειδί ανάκτησης μόνο σε μια εξωτερική κρυπτογραφημένη μονάδα δίσκου. Για να το παρακάμψετε αυτό, εκτυπώστε το κλειδί ανάκτησης χρησιμοποιώντας τον εκτυπωτή Microsoft Print to PDF και αποθηκεύστε το κλειδί μέσα στο φάκελο Documents.
  • Κρυπτογραφήστε ολόκληρη τη μονάδα δίσκου (μην κρυπτογραφήσετε μόνο τον χρησιμοποιούμενο χώρο του δίσκου).
  • Χρησιμοποιήστε τη "Νέα λειτουργία κρυπτογράφησης"
  • Εκτελέστε τον έλεγχο BitLocker
  • Επανεκκίνηση
• Η κρυπτογράφηση θα πρέπει τώρα να έχει ξεκινήσει στο παρασκήνιο (μπορείτε να το ελέγξετε κάνοντας κλικ στο εικονίδιο Bitlocker στην κάτω δεξιά πλευρά της γραμμής εργασιών).

Ενεργοποιήστε την αδρανοποίηση (προαιρετικά).

Και πάλι, όπως εξηγήθηκε προηγουμένως. Δεν πρέπει ποτέ να χρησιμοποιείτε τη λειτουργία αναστολής λειτουργίας για να μετριάσετε ορισμένες επιθέσεις cold-boot και evil-maid. Αντ' αυτού, θα πρέπει να κλείνετε ή να βρίσκεστε σε κατάσταση αναστολής λειτουργίας. Επομένως, θα πρέπει να αλλάζετε το φορητό σας υπολογιστή από την κατάσταση αναστολής λειτουργίας σε κατάσταση αδρανοποίησης όταν κλείνετε το καπάκι ή όταν ο φορητός σας υπολογιστής πέφτει σε κατάσταση αναστολής λειτουργίας.


(Σημειώστε ότι δεν μπορείτε να ενεργοποιήσετε την αδρανοποίηση αν προηγουμένως έχετε ενεργοποιήσει την κρυπτογράφηση RAM μέσα στο Veracrypt)


Ο λόγος είναι ότι η αδρανοποίηση θα τερματίσει στην πραγματικότητα τον φορητό σας υπολογιστή εντελώς και θα καθαρίσει τη μνήμη. Από την άλλη πλευρά, η αδρανοποίηση θα αφήσει τη μνήμη ενεργοποιημένη (συμπεριλαμβανομένου του κλειδιού αποκρυπτογράφησης) και θα μπορούσε να αφήσει το φορητό σας υπολογιστή ευάλωτο σε επιθέσεις ψυχρής εκκίνησης.


Από προεπιλογή, τα Windows 10 ενδέχεται να μην σας προσφέρουν αυτή τη δυνατότητα, οπότε θα πρέπει να την ενεργοποιήσετε ακολουθώντας αυτό το σεμινάριο της Microsoft: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]

• Ανοίξτε μια γραμμή εντολών του διαχειριστή (κάντε δεξί κλικ στη γραμμή εντολών και "Εκτέλεση ως διαχειριστής")
• Εκτελέστε: powercfg.exe /hibernate on
• Τώρα εκτελέστε την πρόσθετη εντολή: **powercfg /h /type full**
  
  • Αυτή η εντολή θα βεβαιωθεί ότι η κατάσταση αδρανοποίησης είναι πλήρης και θα καθαρίσει πλήρως τη μνήμη (όχι με ασφάλεια tho).

Μετά από αυτό θα πρέπει να μεταβείτε στις ρυθμίσεις ενέργειας:

• Ανοίξτε τον πίνακα ελέγχου
• Ανοίξτε το System & Security (Σύστημα και ασφάλεια)
• Ανοίξτε τις επιλογές ενέργειας
• Ανοίξτε το "Επιλέξτε τι κάνει το κουμπί λειτουργίας"
• Αλλάξτε τα πάντα από την κατάσταση αναστολής λειτουργίας σε κατάσταση αναστολής λειτουργίας ή τερματισμό λειτουργίας
• Επιστρέψτε στις επιλογές ενέργειας
• Επιλέξτε Change Plan Settings (Αλλαγή ρυθμίσεων προγράμματος)
• Επιλέξτε Ρυθμίσεις ενέργειας για προχωρημένους
• Αλλάξτε όλες τις τιμές αναστολής λειτουργίας για κάθε σχέδιο ενέργειας σε 0 (ποτέ)
• Βεβαιωθείτε ότι η υβριδική αναστολή λειτουργίας είναι απενεργοποιημένη για κάθε σχέδιο λειτουργίας
• Ενεργοποιήστε την αδρανοποίηση μετά από το χρόνο που επιθυμείτε
• Απενεργοποιήστε όλους τους χρονοδιακόπτες αφύπνισης

Αποφασίστε ποια υποδιαδρομή θα ακολουθήσετε.

Τώρα θα πρέπει να επιλέξετε το επόμενο βήμα σας μεταξύ δύο επιλογών:

• Διαδρομή Α: Απλή κρυπτογράφηση του τρέχοντος λειτουργικού σας συστήματος
  
  • Πλεονεκτήματα:
    
    • Δεν απαιτεί να σβήσετε το φορητό σας υπολογιστή
    • Δεν υπάρχει θέμα με διαρροές τοπικών δεδομένων
    • Λειτουργεί άψογα με δίσκο SSD
    • Λειτουργεί με οποιοδήποτε λειτουργικό σύστημα
    • Απλό
  • Μειονεκτήματα:
    
    • Θα μπορούσατε να εξαναγκαστείτε από τον αντίπαλο να αποκαλύψετε τον κωδικό πρόσβασής σας και όλα τα μυστικά σας και δεν θα έχετε καμία εύλογη δυνατότητα άρνησης.
    • Κίνδυνος διαρροής δεδομένων σε απευθείας σύνδεση
• Διαδρομή Β: Απλή κρυπτογράφηση του τρέχοντος λειτουργικού σας συστήματος με μεταγενέστερη χρήση εύλογης άρνησης στα ίδια τα αρχεία:
  
  • Πλεονεκτήματα:
    
    • Δεν απαιτεί να σβήσετε το φορητό σας υπολογιστή.
    • Λειτουργεί άψογα με δίσκο SSD
    • Λειτουργεί με οποιοδήποτε λειτουργικό σύστημα
    • Πιθανή άρνηση με "ήπιους" αντιπάλους
  • Μειονεκτήματα:
    
    • Κίνδυνος διαρροής δεδομένων σε απευθείας σύνδεση
    • Κίνδυνος διαρροής τοπικών δεδομένων (που θα οδηγήσει σε περισσότερη εργασία για τον καθαρισμό αυτών των διαρροών)
• Διαδρομή C: Πιθανή άρνηση κρυπτογράφηση του λειτουργικού σας συστήματος (θα έχετε ένα "κρυφό λειτουργικό σύστημα" και ένα "ψεύτικο λειτουργικό σύστημα" που θα εκτελείται στο φορητό υπολογιστή):
  
  • Πλεονεκτήματα:
    
    • Δεν υπάρχουν προβλήματα με τοπικές διαρροές δεδομένων
    • Πιθανή άρνηση με "ήπιους" αντιπάλους
  • Μειονεκτήματα:
    
    • Απαιτεί Windows (αυτή η λειτουργία δεν υποστηρίζεται "εύκολα" στο Linux).
    • Κίνδυνος διαρροής δεδομένων στο διαδίκτυο
    • Απαιτεί πλήρη διαγραφή του φορητού σας υπολογιστή
    • Δεν χρησιμοποιείται με μονάδα SSD λόγω της απαίτησης απενεργοποίησης των λειτουργιών Trim. Αυτό θα υποβαθμίσει σοβαρά την απόδοση/υγεία της μονάδας SSD με την πάροδο του χρόνου.

Όπως μπορείτε να δείτε, η διαδρομή C προσφέρει μόνο δύο πλεονεκτήματα απορρήτου σε σχέση με τις άλλες και θα είναι χρήσιμη μόνο ενάντια σε έναν ήπιο νόμιμο αντίπαλο. Θυμηθείτε https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Η απόφαση για το ποια διαδρομή θα ακολουθήσετε εξαρτάται από εσάς. Η διαδρομή Α είναι το ελάχιστο.


Φροντίστε πάντα να ελέγχετε συχνά για νέες εκδόσεις του Veracrypt για να διασφαλίσετε ότι επωφελείστε από τις τελευταίες διορθώσεις. Ιδιαίτερα ελέγξτε το πριν εφαρμόσετε μεγάλες ενημερώσεις των Windows που μπορεί να σπάσουν τον bootloader του Veracrypt και να σας στείλουν σε βρόχο εκκίνησης.


ΣΗΜΕΙΩΣΤΕ ΟΤΙ ΜΕ ΤΗΝ ΠΡΟΣΑΡΜΟΓΗ ΤΟ VERACRYPT ΘΑ ΠΡΟΤΕΙΝΕΙ ΠΑΝΤΑ ΕΝΑ ΣΥΣΤΗΜΑΤΙΚΟ ΠΑΡΩΝΥΜΟ ΣΕ QWERTY (εμφανίζει τον κωδικό πρόσβασης ως δοκιμή). Αυτό μπορεί να προκαλέσει προβλήματα εάν η είσοδος εκκίνησης γίνεται με το πληκτρολόγιο του φορητού σας υπολογιστή (AZERTY για παράδειγμα), καθώς θα έχετε ρυθμίσει τον κωδικό πρόσβασης σε QWERTY και θα τον εισάγετε κατά την εκκίνηση σε AZERTY. Επομένως, βεβαιωθείτε ότι έχετε ελέγξει κατά τη δοκιμαστική εκκίνηση ποια διάταξη πληκτρολογίου χρησιμοποιεί το BIOS σας. Θα μπορούσατε να αποτύχετε να συνδεθείτε μόνο και μόνο λόγω της σύγχυσης QWERTY/AZERTY. Εάν το BIOS σας εκκινεί χρησιμοποιώντας AZERTY, θα πρέπει να πληκτρολογήσετε τον κωδικό πρόσβασης σε QWERTY μέσα στο Veracrypt.

Διαδρομή A και B: Απλή κρυπτογράφηση με χρήση του Veracrypt (σεμινάριο για Windows)

Παραλείψτε αυτό το βήμα εάν χρησιμοποιήσατε το BitLocker αντί αυτού νωρίτερα.


Δεν χρειάζεται να έχετε σκληρό δίσκο για αυτή τη μέθοδο και δεν χρειάζεται να απενεργοποιήσετε το Trim σε αυτή τη διαδρομή. Οι διαρροές Trim θα είναι χρήσιμες μόνο για την εγκληματολογία για την ανίχνευση της παρουσίας ενός κρυμμένου τόμου, αλλά δεν θα έχουν μεγάλη χρησιμότητα κατά τα άλλα.


Αυτή η διαδρομή είναι μάλλον απλή και θα κρυπτογραφήσει απλώς το τρέχον λειτουργικό σας σύστημα στη θέση του χωρίς να χάσετε δεδομένα. Φροντίστε να διαβάσετε όλα τα κείμενα που σας δείχνει το Veracrypt, ώστε να έχετε πλήρη κατανόηση του τι συμβαίνει.

• Εκκίνηση του VeraCrypt
• Μεταβείτε στις Ρυθμίσεις:
  
  • Ρυθμίσεις > Επιδόσεις/επιλογές προγράμματος οδήγησης > Κρυπτογράφηση RAM
  • Σύστημα > Ρυθμίσεις > Ασφάλεια > Διαγραφή κλειδιών από τη μνήμη αν εισαχθεί νέα συσκευή
  • Σύστημα > Ρυθμίσεις > Windows > Ενεργοποίηση ασφαλούς επιφάνειας εργασίας
• Επιλέξτε Σύστημα
• Επιλέξτε Encrypt System Partition/Drive (Κρυπτογράφηση διαμερίσματος/δίσκου συστήματος)
• Επιλέξτε Normal (Απλό)
• Επιλέξτε Single-Boot (Απλή εκκίνηση)
• Επιλέξτε AES ως αλγόριθμο κρυπτογράφησης (κάντε κλικ στο κουμπί δοκιμής αν θέλετε να συγκρίνετε τις ταχύτητες)
• Επιλέξτε SHA-512 ως αλγόριθμο κατακερματισμού (γιατί όχι)
• Εισάγετε μια ισχυρή συνθηματική φράση (όσο μεγαλύτερη τόσο το καλύτερο, θυμηθείτε το Παράρτημα A2: Οδηγίες για κωδικούς πρόσβασης και συνθηματικές φράσεις)
• Συλλέξτε λίγη εντροπία μετακινώντας τυχαία τον κέρσορα μέχρι να γεμίσει η μπάρα
• Κάντε κλικ στο κουμπί Next (Επόμενο) στην οθόνη Generated Keys (Παραγόμενα κλειδιά)
• Να σώσετε ή να μη σώσετε το δίσκο, αυτό εξαρτάται από εσάς. Συνιστώ να φτιάξετε έναν (για παν ενδεχόμενο), απλά φροντίστε να τον αποθηκεύσετε εκτός του κρυπτογραφημένου δίσκου σας (USB κλειδί για παράδειγμα, ή περιμένετε και δείτε το τέλος αυτού του οδηγού για οδηγίες σχετικά με ασφαλή αντίγραφα ασφαλείας). Αυτός ο δίσκος διάσωσης δεν θα αποθηκεύσει τη φράση πρόσβασης και θα εξακολουθείτε να τη χρειάζεστε για να τον χρησιμοποιήσετε.
• Λειτουργία διαγραφής:
  
  • Εάν δεν έχετε ακόμη ευαίσθητα δεδομένα σε αυτό το φορητό υπολογιστή, επιλέξτε None (Κανένα).
  • Εάν έχετε ευαίσθητα δεδομένα σε έναν SSD, το Trim από μόνο του θα πρέπει να τα φροντίσει, αλλά θα συνιστούσα 1 πέρασμα (τυχαία δεδομένα) για να είστε σίγουροι.
  • Εάν έχετε ευαίσθητα δεδομένα σε έναν σκληρό δίσκο, δεν υπάρχει Trim και θα συνιστούσα τουλάχιστον 1 πέρασμα.
• Δοκιμάστε την εγκατάστασή σας. Το Veracrypt θα επανεκκινήσει τώρα το σύστημά σας για να δοκιμάσει τον bootloader πριν από την κρυπτογράφηση. Αυτή η δοκιμή πρέπει να περάσει για να προχωρήσει η κρυπτογράφηση.
• Μετά την επανεκκίνηση του υπολογιστή σας και αφού περάσει η δοκιμή. Θα σας ζητηθεί από το Veracrypt να ξεκινήσετε τη διαδικασία κρυπτογράφησης.
• Ξεκινήστε την κρυπτογράφηση και περιμένετε να ολοκληρωθεί.
• Τελειώσατε, παραλείψτε τη διαδρομή B και προχωρήστε στα επόμενα βήματα.

Θα υπάρξει μια άλλη ενότητα σχετικά με τη δημιουργία κρυπτογραφημένων δοχείων αρχείων με Plausible Deniability στα Windows.

Διαδρομή B: Κρυπτογράφηση με Plausible Deniability με κρυφό λειτουργικό σύστημα (μόνο Windows)

Αυτό υποστηρίζεται μόνο στα Windows.


Αυτό συνιστάται μόνο σε μονάδα σκληρού δίσκου. Δεν συνιστάται σε δίσκο SSD.


Το κρυφό λειτουργικό σας σύστημα δεν πρέπει να είναι ενεργοποιημένο (με κλειδί προϊόντος MS). Ως εκ τούτου, αυτή η διαδρομή θα σας συστήσει και θα σας καθοδηγήσει μέσω μιας πλήρως καθαρής εγκατάστασης που θα σβήσει τα πάντα στο φορητό σας υπολογιστή.


Διαβάστε την τεκμηρίωση της Veracrypt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Διαδικασία δημιουργίας του μέρους του κρυφού λειτουργικού συστήματος) και https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Απαιτήσεις ασφαλείας και προφυλάξεις που αφορούν τους κρυφούς τόμους).


Έτσι θα φαίνεται το σύστημά σας μετά την ολοκλήρωση αυτής της διαδικασίας:

(Απεικόνιση από το Veracrypt Documentation, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org])


Όπως μπορείτε να δείτε, αυτή η διαδικασία απαιτεί να έχετε εξαρχής δύο κατατμήσεις στο σκληρό σας δίσκο.


Αυτή η διαδικασία θα κάνει τα εξής:

• Κρυπτογραφεί τη δεύτερη κατάτμησή σας (τον εξωτερικό τόμο), η οποία θα μοιάζει με έναν άδειο μη μορφοποιημένο δίσκο από το λειτουργικό σύστημα δόλωμα.
• Θα σας δώσει την ευκαιρία να αντιγράψετε κάποιο περιεχόμενο δόλωμα μέσα στον εξωτερικό τόμο.
  
  • Σε αυτό το σημείο θα αντιγράψετε τη συλλογή σας με το δόλωμα Anime/Porn από κάποιον εξωτερικό σκληρό δίσκο στον εξωτερικό τόμο.
• Δημιουργήστε έναν κρυφό τόμο μέσα στον εξωτερικό τόμο αυτού του δεύτερου διαμερίσματος. Εδώ θα βρίσκεται το κρυφό λειτουργικό σύστημα.
• Κλωνοποιήστε την τρέχουσα εγκατάσταση των Windows 10 στον κρυφό τόμο.
• Διαγράψτε τα Windows 10 που εκτελούνται σήμερα.
• Αυτό σημαίνει ότι τα τρέχοντα Windows 10 σας θα γίνουν τα κρυφά Windows 10 και ότι θα πρέπει να εγκαταστήσετε εκ νέου ένα νέο λειτουργικό σύστημα δόλωμα Windows 10.

Υποχρεωτικό αν έχετε μονάδα SSD και θέλετε ακόμα να το κάνετε αυτό ενάντια στη σύσταση:Επίσης, όπως αναφέρθηκε προηγουμένως, η απενεργοποίηση του Trim θα μειώσει τη διάρκεια ζωής της μονάδας SSD και θα επηρεάσει σημαντικά την απόδοσή της με την πάροδο του χρόνου (ο φορητός σας υπολογιστής θα γίνεται όλο και πιο αργός με την πάροδο αρκετών μηνών χρήσης μέχρι να γίνει σχεδόν άχρηστος, οπότε θα πρέπει να καθαρίσετε τη μονάδα και να εγκαταστήσετε ξανά τα πάντα). Αλλά πρέπει να το κάνετε για να αποφύγετε τη διαρροή δεδομένων που θα μπορούσε να επιτρέψει στην εγκληματολογία να νικήσει την εύλογη άρνησή σας. Ο μόνος τρόπος για να το παρακάμψετε αυτό προς το παρόν είναι να έχετε ένα φορητό υπολογιστή με κλασικό σκληρό δίσκο αντί για σκληρό δίσκο.

 

[HEISENBERG]

Βήμα 1: Δημιουργία κλειδιού USB εγκατάστασης των Windows 10

Ανατρέξτε στο Παράρτημα Γ: Δημιουργία μέσων εγκατάστασης των Windows και ακολουθήστε τη διαδρομή του κλειδιού USB.

Βήμα 2: Εκκινήστε το κλειδί USB και ξεκινήστε τη διαδικασία εγκατάστασης των Windows 10 (κρυφό λειτουργικό σύστημα)

• Τοποθετήστε το κλειδί USB στο φορητό σας υπολογιστή
• Δείτε το Παράρτημα Α: Εγκατάσταση των Windows και προχωρήστε με την εγκατάσταση των Windows 10 Home.

Βήμα 3: Ρυθμίσεις απορρήτου (κρυφό λειτουργικό σύστημα)

Βλέπε Παράρτημα Β: Πρόσθετες ρυθμίσεις απορρήτου των Windows

Βήμα 4: Έναρξη της διαδικασίας εγκατάστασης και κρυπτογράφησης του Veracrypt (Κρυφό λειτουργικό σύστημα)

Θυμηθείτε να διαβάσετε https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Μην συνδέσετε αυτό το λειτουργικό σύστημα στο γνωστό σας Wi-Fi. Θα πρέπει να κατεβάσετε το πρόγραμμα εγκατάστασης του Veracrypt από έναν διαφορετικό υπολογιστή και να αντιγράψετε το πρόγραμμα εγκατάστασης εδώ χρησιμοποιώντας ένα κλειδί USB.

• Εγκατάσταση του Veracrypt
• Έναρξη του Veracrypt
• Μεταβείτε στις Ρυθμίσεις:
  
  • (σημειώστε ότι αυτή η επιλογή δεν είναι συμβατή με την αδρανοποίηση του φορητού σας υπολογιστή και σημαίνει ότι θα πρέπει να κλείσετε εντελώς)
  • Σύστημα > Ρυθμίσεις > Ασφάλεια > Διαγραφή κλειδιών από τη μνήμη εάν εισαχθεί νέα συσκευή
  • Σύστημα > Ρυθμίσεις > Windows > Ενεργοποίηση ασφαλούς επιφάνειας εργασίας
• Μεταβείτε στο Σύστημα και επιλέξτε Δημιουργία κρυφού λειτουργικού συστήματος
• Διαβάστε προσεκτικά όλες τις οδηγίες
• Επιλέξτε Single-Boot αν σας ζητηθεί
• Δημιουργήστε τον εξωτερικό τόμο χρησιμοποιώντας AES και SHA-512.
• Χρησιμοποιήστε όλο το διαθέσιμο χώρο στη δεύτερη κατάτμηση για τον εξωτερικό τόμο
• Χρησιμοποιήστε μια ισχυρή συνθηματική φράση (θυμηθείτε το Παράρτημα A2: Οδηγίες για κωδικούς πρόσβασης και συνθηματικές φράσεις)
• Επιλέξτε yes to Large Files (Ναι στα μεγάλα αρχεία)
• Δημιουργήστε λίγη Εντροπία μετακινώντας το ποντίκι μέχρι να γεμίσει η μπάρα και επιλέξτε NTFS (μην επιλέξετε exFAT καθώς θέλουμε αυτός ο εξωτερικός τόμος να φαίνεται "κανονικός" και το NTFS είναι κανονικό).
• Μορφοποιήστε τον εξωτερικό τόμο
• Ανοίξτε τον εξωτερικό τόμο:
  
  • Σε αυτό το στάδιο, θα πρέπει να αντιγράψετε δεδομένα δόλωμα στον εξωτερικό τόμο. Έτσι, θα πρέπει να έχετε κάποια ευαίσθητα αλλά όχι τόσο ευαίσθητα αρχεία/φακέλους για να αντιγράψετε εκεί. Σε περίπτωση που πρέπει να αποκαλύψετε έναν κωδικό πρόσβασης σε αυτόν τον Τόμο. Αυτό είναι ένα καλό μέρος για τη συλλογή σας από Anime/Mp3/Movies/Porn.
  • Σας συνιστώ να μην γεμίζετε τον εξωτερικό τόμο πάρα πολύ ή πολύ λίγο (περίπου 40%). Θυμηθείτε ότι πρέπει να αφήσετε αρκετό χώρο για το κρυφό λειτουργικό σύστημα (το οποίο θα έχει το ίδιο μέγεθος με το πρώτο διαμέρισμα που δημιουργήσατε κατά την εγκατάσταση).
• Χρησιμοποιήστε μια ισχυρή συνθηματική φράση για τον Κρυφό Τόμο (προφανώς διαφορετική από αυτή για τον Εξωτερικό Τόμο).
• Τώρα θα δημιουργήσετε τον κρυφό τόμο, επιλέξτε AES και SHA-512
• Γεμίστε τη γραμμή εντροπίας μέχρι το τέλος με τυχαίες κινήσεις του ποντικιού
• Μορφοποιήστε τον κρυφό τόμο
• Προχωρήστε με την κλωνοποίηση
• Το Veracrypt θα κάνει τώρα επανεκκίνηση και θα κλωνοποιήσει τα Windows από όπου ξεκινήσατε αυτή τη διαδικασία στον Κρυφό Τόμο. Αυτά τα Windows θα γίνουν το κρυφό λειτουργικό σας σύστημα.
• Όταν ολοκληρωθεί η κλωνοποίηση, το Veracrypt θα επανεκκινήσει μέσα στο κρυφό σύστημα
• Το Veracrypt θα σας ενημερώσει ότι το Κρυφό Σύστημα έχει πλέον εγκατασταθεί και στη συνέχεια θα σας ζητήσει να διαγράψετε το Αρχικό Λειτουργικό Σύστημα (αυτό που εγκαταστήσατε προηγουμένως με το κλειδί USB).
• Χρησιμοποιήστε την επιλογή 1-Pass Wipe και προχωρήστε.
• Τώρα θα εγκατασταθεί το κρυφό λειτουργικό σας σύστημα, προχωρήστε στο επόμενο βήμα

Βήμα 5: Επανεκκίνηση και εκκίνηση του κλειδιού USB και εκκινήστε ξανά τη διαδικασία εγκατάστασης των Windows 10 (Decoy OS)

Τώρα που το Hidden OS έχει εγκατασταθεί πλήρως, θα χρειαστεί να εγκαταστήσετε ένα Decoy OS.

• Τοποθετήστε το κλειδί USB στο φορητό σας υπολογιστή
• Ανατρέξτε στο Παράρτημα Α: Εγκατάσταση των Windows και προχωρήστε ξανά στην εγκατάσταση των Windows 10 Home (μην εγκαταστήσετε μια διαφορετική έκδοση και παραμείνετε στο Home).

Βήμα 6: Ρυθμίσεις απορρήτου (Decoy OS)

Δείτε το Παράρτημα Β: Πρόσθετες ρυθμίσεις απορρήτου των Windows

Βήμα 7: Έναρξη της διαδικασίας εγκατάστασης και κρυπτογράφησης του Veracrypt (Decoy OS)

Τώρα θα κρυπτογραφήσουμε το Decoy OS:

• Εγκατάσταση του Veracrypt
• Εκκίνηση του VeraCrypt
• Επιλέξτε το σύστημα
• Επιλέξτε Encrypt System Partition/Drive
• Επιλέξτε Normal (Απλό)
• Επιλέξτε Single-Boot
• Επιλέξτε AES ως αλγόριθμο κρυπτογράφησης (κάντε κλικ στο κουμπί δοκιμής αν θέλετε να συγκρίνετε τις ταχύτητες)
• Επιλέξτε SHA-512 ως αλγόριθμο κατακερματισμού (γιατί όχι)
• Εισάγετε έναν σύντομο αδύναμο κωδικό πρόσβασης (ναι, αυτό είναι σοβαρό, κάντε το, θα εξηγηθεί αργότερα).
• Συλλέξτε λίγη εντροπία μετακινώντας τυχαία τον κέρσορα μέχρι να γεμίσει η μπάρα
• Κάντε κλικ στο κουμπί Next (Επόμενο) στην οθόνη Generated Keys (Παραγόμενα κλειδιά)
• Να σώσετε το δίσκο ή να μην σώσετε το δίσκο, αυτό εξαρτάται από εσάς. Συνιστώ να φτιάξετε έναν (για παν ενδεχόμενο), απλά φροντίστε να τον αποθηκεύσετε εκτός του κρυπτογραφημένου δίσκου σας (USB κλειδί για παράδειγμα, ή περιμένετε και δείτε το τέλος αυτού του οδηγού για οδηγίες σχετικά με ασφαλή αντίγραφα ασφαλείας). Αυτός ο δίσκος διάσωσης δεν θα αποθηκεύσει τη φράση πρόσβασης και θα εξακολουθείτε να τη χρειάζεστε για να τον χρησιμοποιήσετε.
• Λειτουργία διαγραφής: Επιλέξτε 1-Pass για να είστε σίγουροι.
• Προ-δοκιμάστε την εγκατάστασή σας. Το Veracrypt θα επανεκκινήσει τώρα το σύστημά σας για να δοκιμάσει τον φορτωτή εκκίνησης πριν από την κρυπτογράφηση. Αυτή η δοκιμή πρέπει να περάσει για να προχωρήσει η κρυπτογράφηση.
• Αφού ο υπολογιστής σας επανεκκινήσει και η δοκιμή έχει περάσει. Θα σας ζητηθεί από το Veracrypt να ξεκινήσετε τη διαδικασία κρυπτογράφησης.
• Ξεκινήστε την κρυπτογράφηση και περιμένετε να ολοκληρωθεί.
• Το Decoy OS σας είναι πλέον έτοιμο για χρήση.

Βήμα 8: Δοκιμάστε την εγκατάστασή σας (Εκκίνηση και στα δύο)

Ήρθε η ώρα να δοκιμάσετε την εγκατάστασή σας.

• Κάντε επανεκκίνηση και εισαγάγετε τη φράση πρόσβασης του κρυφού λειτουργικού σας συστήματος, θα πρέπει να εκκινήσετε μέσα στο κρυφό λειτουργικό σύστημα.
• Επανεκκίνηση και εισαγωγή της συνθηματικής φράσης του Decoy OS, θα πρέπει να εκκινήσετε μέσα στο Decoy OS.
• Εκκινήστε το Veracrypt στο Decoy OS και προσαρτήστε το δεύτερο διαμέρισμα χρησιμοποιώντας τη φράση πρόσβασης του Outer Volume (προσαρτήστε το ως μόνο για ανάγνωση, πηγαίνοντας στο Mount Options και επιλέγοντας Read-Only) και θα πρέπει να προσαρτήσει το δεύτερο διαμέρισμα ως μόνο για ανάγνωση εμφανίζοντας τα δεδομένα του δολώματος (τη συλλογή σας Anime/Porn). Το προσαρτάτε ως μόνο για ανάγνωση τώρα, επειδή αν γράφατε δεδομένα σε αυτό, θα μπορούσατε να παρακάμψετε το περιεχόμενο από το κρυφό λειτουργικό σας σύστημα.

Βήμα 9: Αλλαγή των δεδομένων δόλωμα στον Εξωτερικό Τόμο σας με ασφάλεια

Πριν προχωρήσετε στο επόμενο βήμα, θα πρέπει να μάθετε τον τρόπο με τον οποίο μπορείτε να προσαρτήσετε τον Εξωτερικό Τόμο σας με ασφάλεια για να γράψετε περιεχόμενο σε αυτόν. Αυτό εξηγείται επίσης σε αυτή την επίσημη τεκμηρίωση της Veracrypt https://www.veracrypt.fr/en/Protection of Hidden Volumes. html [Archive.org]


Θα πρέπει να το κάνετε αυτό από ένα ασφαλές και αξιόπιστο μέρος.


Βασικά, πρόκειται να προσαρτήσετε τον Εξωτερικό Τόμο σας, ενώ παράλληλα θα δώσετε τη φράση πρόσβασης του Κρυμμένου Τόμου μέσα στις Επιλογές Προσάρτησης για να προστατεύσετε τον Κρυμμένο Τόμο από την αντικατάσταση. Στη συνέχεια, το Veracrypt θα σας επιτρέψει να γράψετε δεδομένα στον Εξωτερικό Τόμο χωρίς να διακινδυνεύσετε να αντικαταστήσετε δεδομένα στον Κρυφό Τόμο.


Αυτή η λειτουργία δεν θα προσαρτήσει στην πραγματικότητα τον Κρυφό Τόμο και θα πρέπει να αποτρέψει τη δημιουργία οποιωνδήποτε εγκληματολογικών στοιχείων που θα μπορούσαν να οδηγήσουν στην ανακάλυψη του Κρυφού Λειτουργικού Συστήματος. Ωστόσο, ενώ εκτελείτε αυτή τη λειτουργία, και οι δύο κωδικοί πρόσβασης θα αποθηκεύονται στη μνήμη RAM σας και, επομένως, θα μπορούσατε να εξακολουθείτε να είστε ευάλωτοι σε επίθεση Cold-Boot. Για να το μετριάσετε αυτό, φροντίστε να έχετε τη δυνατότητα να κρυπτογραφήσετε και τη μνήμη RAM σας.

• Ανοίξτε το Veracrypt
• Επιλέξτε το δεύτερο διαμέρισμα
• Κάντε κλικ στο Mount
• Κάντε κλικ στο Mount Options
• Επιλέξτε το "Προστασία του κρυμμένου τόμου..." Επιλογή
• Εισάγετε τη συνθηματική φράση του κρυμμένου λειτουργικού συστήματος
• Κάντε κλικ στο OK
• Εισάγετε τη συνθηματική φράση του εξωτερικού τόμου
• Κάντε κλικ στο OK
• Τώρα θα πρέπει να μπορείτε να ανοίγετε και να γράφετε στον εξωτερικό τόμο σας για να αλλάξετε το περιεχόμενο (αντιγραφή/μετακίνηση/διαγραφή/επεξεργασία...)

Βήμα 10: Αφήστε κάποια εγκληματολογικά στοιχεία του εξωτερικού σας τόμου (με τα δεδομένα δόλωμα) μέσα στο λειτουργικό σας σύστημα δόλωμα

Πρέπει να κάνουμε το λειτουργικό σύστημα δόλωμα όσο το δυνατόν πιο αληθοφανές. Θέλουμε επίσης ο αντίπαλός σας να πιστέψει ότι δεν είστε τόσο έξυπνοι.


Ως εκ τούτου, είναι σημαντικό να αφήσετε οικειοθελώς κάποια εγκληματολογικά αποδεικτικά στοιχεία του Περιεχομένου δόλωματός σας εντός του λειτουργικού σας συστήματος δόλωματός σας. Αυτά τα αποδεικτικά στοιχεία θα επιτρέψουν στους εγκληματολογικούς εξεταστές να δουν ότι προσαρτούσατε συχνά τον Εξωτερικό Τόμο σας για να έχετε πρόσβαση στο περιεχόμενό του.


Ακολουθούν καλές συμβουλές για να αφήσετε κάποια εγκληματολογικά στοιχεία:

• Αναπαράγετε το περιεχόμενο από τον Εξωτερικό Τόμο από το λειτουργικό σας σύστημα αποπλάνησης (χρησιμοποιώντας π.χ. το VLC). Φροντίστε να διατηρείτε ένα ιστορικό αυτών.
• Επεξεργαστείτε έγγραφα και εργαστείτε σε αυτά.
• Ενεργοποιήστε ξανά το File Indexing στο Decoy OS και συμπεριλάβετε τον προσαρτημένο εξωτερικό τόμο.
• Αποσυνδέστε τον και προσαρτήστε τον συχνά για να παρακολουθήσετε κάποιο Περιεχόμενο.
• Αντιγράψτε κάποιο Περιεχόμενο από τον Εξωτερικό Τόμο στο Decoy OS και στη συνέχεια διαγράψτε το χωρίς ασφάλεια (απλά βάλτε το στον Κάδο Ανακύκλωσης).
• Έχετε εγκαταστήσει ένα Torrent Client στο Decoy OS χρησιμοποιήστε το από καιρό σε καιρό για να κατεβάσετε κάποιο παρόμοιο υλικό που θα αφήσετε στο Decoy OS.
• Θα μπορούσατε να έχετε εγκαταστήσει έναν πελάτη VPN στο Decoy OS με ένα γνωστό VPN σας (που δεν πληρώνεται με μετρητά).

Μην βάζετε τίποτα ύποπτο στο Decoy OS, όπως πχ:

• Αυτόν τον οδηγό
• Οποιοσδήποτε σύνδεσμος προς αυτόν τον οδηγό
• Οποιοδήποτε ύποπτο λογισμικό ανωνυμίας, όπως το Tor Browser

Σημειώσεις.

Να θυμάστε ότι θα χρειαστείτε έγκυρες δικαιολογίες για να λειτουργήσει αυτό το σενάριο αληθοφανούς άρνησης:


Αφιερώστε λίγο χρόνο για να διαβάσετε ξανά τις "Πιθανές εξηγήσεις για την ύπαρξη δύο κατατμήσεων Veracrypt σε έναν μόνο δίσκο" της τεκμηρίωσης Veracrypt εδώ https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]

• Χρησιμοποιείτε το Veracrypt επειδή χρησιμοποιείτε τα Windows 10 Home τα οποία δεν διαθέτουν Bitlocker, αλλά παρόλα αυτά επιθυμούσατε την προστασία της ιδιωτικής ζωής.
• Έχετε δύο Partitions επειδή θέλατε να διαχωρίσετε το Σύστημα και τα Δεδομένα για εύκολη οργάνωση και επειδή κάποιος φίλος Geek σας είπε ότι αυτό είναι καλύτερο για την απόδοση.
• Χρησιμοποιήσατε έναν αδύναμο κωδικό πρόσβασης για εύκολη και άνετη εκκίνηση στο Σύστημα και μια ισχυρή μακρά συνθηματική φράση στον Εξωτερικό Τόμο επειδή ήσασταν πολύ τεμπέλης για να πληκτρολογείτε μια ισχυρή συνθηματική φράση σε κάθε εκκίνηση.
• Κρυπτογραφήσατε το δεύτερο Partition με διαφορετικό κωδικό πρόσβασης από το System επειδή δεν θέλετε να βλέπει τα πράγματά σας κανείς από τον περίγυρό σας. Και έτσι, δεν θέλατε αυτά τα δεδομένα να είναι διαθέσιμα σε κανέναν.

Να είστε προσεκτικοί:

• Δεν πρέπει ποτέ να προσαρτήσετε τον κρυφό τόμο από το λειτουργικό σύστημα δόλωμα (ΠΟΤΕ ΠΟΤΕ). Αν το κάνατε αυτό, θα δημιουργηθούν εγκληματολογικά στοιχεία του Κρυμμένου Τόμου μέσα στο λειτουργικό σύστημα δόλωμα που θα μπορούσαν να θέσουν σε κίνδυνο την προσπάθειά σας για εύλογη άρνηση. Αν το κάνατε αυτό ούτως ή άλλως (σκόπιμα ή κατά λάθος) από το Decoy OS, υπάρχουν τρόποι για να διαγράψετε τα αποδεικτικά στοιχεία εγκληματολογίας που θα εξηγηθούν αργότερα στο τέλος αυτού του οδηγού.
• Ποτέ μην χρησιμοποιείτε ποτέ το Decoy OS από το ίδιο δίκτυο (δημόσιο Wi-Fi) με το Hidden OS.
• Όταν προσαρτάτε τον Εξωτερικό Τόμο από το Decoy OS, μην γράφετε Δεδομένα μέσα στον Εξωτερικό Τόμο, καθώς αυτό θα μπορούσε να παρακάμψει αυτό που μοιάζει με Κενό Χώρο, αλλά στην πραγματικότητα είναι το Κρυφό OS σας. Θα πρέπει πάντα να τον προσαρτάτε ως μόνο για ανάγνωση.
• Εάν θέλετε να αλλάξετε το περιεχόμενο του Decoy του Outer Volume, θα πρέπει να χρησιμοποιήσετε ένα κλειδί USB Live OS που θα εκτελεί το Veracrypt.
• Σημειώστε ότι δεν θα χρησιμοποιήσετε το Κρυφό λειτουργικό σύστημα για να εκτελέσετε ευαίσθητες δραστηριότητες, αυτό θα γίνει αργότερα από ένα VM μέσα στο Κρυφό λειτουργικό σύστημα. Το Κρυφό λειτουργικό σύστημα προορίζεται μόνο για να σας προστατεύσει από έναν ήπιο αντίπαλο που θα μπορούσε να αποκτήσει πρόσβαση στο φορητό σας υπολογιστή και να σας αναγκάσει να αποκαλύψετε τον κωδικό πρόσβασής σας.
• Να είστε προσεκτικοί σε οποιαδήποτε επέμβαση στο φορητό σας υπολογιστή. Οι επιθέσεις Evil-Maid μπορούν να αποκαλύψουν το κρυφό λειτουργικό σας σύστημα.

 

[HEISENBERG]

Virtualbox στο λειτουργικό σας σύστημα υποδοχής.

Θυμηθείτε το παράρτημα W: Εικονικοποίηση.


Αυτό το βήμα και τα επόμενα βήματα θα πρέπει να γίνονται μέσα από το Host OS. Αυτό μπορεί να είναι είτε το Host OS σας με απλή κρυπτογράφηση (Windows/Linux/MacOS) είτε το Hidden OS σας με αληθοφανή άρνηση (μόνο Windows).


Σε αυτή τη διαδρομή, θα κάνουμε εκτεταμένη χρήση του δωρεάν λογισμικού Oracle Virtualbox. Πρόκειται για ένα λογισμικό εικονικοποίησης στο οποίο μπορείτε να δημιουργήσετε Εικονικές Μηχανές που προσομοιώνουν έναν υπολογιστή που εκτελεί ένα συγκεκριμένο λειτουργικό σύστημα (αν θέλετε να χρησιμοποιήσετε κάτι άλλο όπως το Xen, το Qemu, το KVM ή το VMWARE, μπορείτε να το κάνετε ελεύθερα, αλλά αυτό το μέρος του οδηγού καλύπτει μόνο το Virtualbox για λόγους ευκολίας).


Έτσι, θα πρέπει να γνωρίζετε ότι το Virtualbox δεν είναι το λογισμικό εικονικοποίησης με το καλύτερο ιστορικό όσον αφορά την ασφάλεια και ορισμένα από τα αναφερόμενα προβλήματα δεν έχουν διορθωθεί πλήρως μέχρι σήμερα και αν χρησιμοποιείτε Linux με λίγο περισσότερες τεχνικές δεξιότητες, θα πρέπει να εξετάσετε το ενδεχόμενο να χρησιμοποιήσετε αντί αυτού το KVM ακολουθώντας τον οδηγό που είναι διαθέσιμος στο Whonix εδώ https://www.whonix.org/wiki/KVM [Archive.org] και εδώ https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org]


Σε όλες τις περιπτώσεις θα πρέπει να ληφθούν ορισμένα μέτρα:


Όλες οι ευαίσθητες δραστηριότητές σας θα γίνονται μέσα από μια φιλοξενούμενη εικονική μηχανή που τρέχει Windows 10 Pro (όχι Home αυτή τη φορά), Linux ή MacOS.


Αυτό έχει μερικά πλεονεκτήματα που θα σας βοηθήσουν σημαντικά να παραμείνετε ανώνυμοι:

• Θα πρέπει να εμποδίζει το λειτουργικό σύστημα VM guest (Windows/Linux/MacOS), τις εφαρμογές και οποιαδήποτε τηλεμετρία εντός των VM να έχουν άμεση πρόσβαση στο υλικό σας. Ακόμη και αν το VM σας παραβιαστεί από κακόβουλο λογισμικό, αυτό το κακόβουλο λογισμικό δεν θα πρέπει να μπορεί να εισέλθει στο VM και να θέσει σε κίνδυνο τον πραγματικό φορητό υπολογιστή σας.
• Θα μας επιτρέψει να αναγκάσουμε όλη την κυκλοφορία δικτύου από το VM-πελάτη σας να τρέχει μέσω ενός άλλου VM Gateway που θα κατευθύνει (torify) όλη την κυκλοφορία προς το δίκτυο Tor. Αυτό είναι ένας "διακόπτης θανάτου" του δικτύου. Το VM σας θα χάσει εντελώς τη συνδεσιμότητά του στο δίκτυο και θα τεθεί εκτός λειτουργίας, αν το άλλο VM χάσει τη σύνδεσή του με το δίκτυο Tor.
• Το ίδιο το VM που έχει συνδεσιμότητα στο διαδίκτυο μόνο μέσω μιας πύλης του δικτύου Tor θα συνδέεται με την πληρωμένη με μετρητά υπηρεσία VPN σας μέσω Tor.
• Οι διαρροές DNS θα είναι αδύνατες επειδή το VM βρίσκεται σε ένα απομονωμένο δίκτυο που πρέπει να περάσει από το Tor ό,τι και να γίνει.

 

[HEISENBERG]

Επιλέξτε τη μέθοδο συνδεσιμότητας που επιθυμείτε.

Υπάρχουν 7 δυνατότητες στο πλαίσιο αυτής της διαδρομής:

• Συνιστώμενες και προτιμώμενες:
  
  • (Χρήστης > Tor > Internet)
  • Χρήση VPN πάνω από το Tor (Χρήστης > Tor > VPN > Internet) σε συγκεκριμένες περιπτώσεις
• Εφόσον απαιτείται από το πλαίσιο:
  
  • Χρήση VPN μέσω Tor μέσω VPN (Χρήστης > VPN > Tor > VPN > Internet)
  • Χρήση Tor πάνω από VPN (Χρήστης > VPN > Tor > Internet)
• Δεν συνιστάται και είναι επικίνδυνο:
  
  • (Χρήστης > VPN > Internet)
  • Χρήση VPN πάνω από VPN (Χρήστης > VPN > VPN > Internet)
• Δεν συνιστάται και είναι εξαιρετικά επικίνδυνο (αλλά δυνατό)
  
  • Χωρίς VPN και χωρίς Tor (Χρήστης > Διαδίκτυο)

Μόνο Tor.

Αυτή είναι η προτιμώμενη και πιο συνιστώμενη λύση.

Με αυτή τη λύση, όλο το δίκτυό σας περνάει μέσα από το Tor και θα πρέπει να είναι αρκετό για να εγγυηθεί την ανωνυμία σας στις περισσότερες περιπτώσεις.


Υπάρχει όμως ένα βασικό μειονέκτημα: Ορισμένες υπηρεσίες μπλοκάρουν/απαγορεύουν εντελώς τους κόμβους Tor Exit και δεν επιτρέπουν τη δημιουργία λογαριασμών από αυτούς.


Για να το μετριάσετε αυτό, ίσως πρέπει να εξετάσετε την επόμενη επιλογή: VPN μέσω Tor, αλλά λάβετε υπόψη σας ορισμένους κινδύνους που σχετίζονται με αυτό και εξηγούνται στην επόμενη ενότητα.

VPN/Proxy μέσω Tor.

Αυτή η λύση μπορεί να αποφέρει κάποια οφέλη σε ορισμένες συγκεκριμένες περιπτώσεις έναντι της χρήσης του Tor μόνο, όπου η πρόσβαση στην υπηρεσία προορισμού θα ήταν αδύνατη από έναν κόμβο εξόδου Tor. Αυτό συμβαίνει επειδή πολλές υπηρεσίες απλά θα απαγορεύσουν, θα εμποδίσουν ή θα μπλοκάρουν το Tor ( βλ. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Όπως μπορείτε να δείτε σε αυτή την εικόνα, αν το VPN/Proxy που πληρώσατε με μετρητά (κατά προτίμηση)/Μονέρο παραβιαστεί από κάποιον αντίπαλο (παρά τη δήλωση απορρήτου και τις πολιτικές τους για μη καταγραφή), θα βρει μόνο έναν ανώνυμο λογαριασμό VPN/Proxy που πληρώθηκε με μετρητά/Μονέρο που συνδέεται στις υπηρεσίες τους από έναν κόμβο εξόδου Tor.

Αν ένας αντίπαλος καταφέρει με κάποιο τρόπο να παραβιάσει και το δίκτυο Tor, θα αποκαλύψει μόνο την IP ενός τυχαίου δημόσιου Wi-Fi που δεν συνδέεται με την ταυτότητά σας.


Εάν ένας αντίπαλος παραβιάσει με κάποιο τρόπο το VM OS σας (με κακόβουλο λογισμικό ή exploit για παράδειγμα), θα παγιδευτεί στο εσωτερικό δίκτυο της Whonix και δεν θα μπορέσει να αποκαλύψει την IP του δημόσιου Wi-Fi.


Αυτή η λύση έχει ωστόσο ένα βασικό μειονέκτημα που πρέπει να λάβετε υπόψη: Παρεμβολή με την απομόνωση ροής Tor.


Η απομόνωση ροής είναι μια τεχνική μετριασμού που χρησιμοποιείται για την αποτροπή ορισμένων επιθέσεων συσχέτισης με την ύπαρξη διαφορετικών κυκλωμάτων Tor για κάθε εφαρμογή. Ακολουθεί μια απεικόνιση για να δείξουμε τι είναι η απομόνωση ροής:

(Εικονογράφηση από Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


Το VPN/Proxy over Tor εμπίπτει στη δεξιά πλευρά που σημαίνει ότι η χρήση ενός VPN/Proxy over Tor αναγκάζει το Tor να χρησιμοποιεί ένα κύκλωμα για όλες τις δραστηριότητες αντί για πολλαπλά κυκλώματα για κάθε μία. Αυτό σημαίνει ότι η χρήση ενός VPN/Proxy πάνω από το Tor μπορεί να μειώσει κάπως την αποτελεσματικότητα του Tor σε ορισμένες περιπτώσεις και επομένως θα πρέπει να χρησιμοποιείται μόνο για ορισμένες συγκεκριμένες περιπτώσεις:

• Όταν η υπηρεσία προορισμού σας δεν επιτρέπει κόμβους εξόδου Tor.
• Όταν δεν σας πειράζει να χρησιμοποιείτε ένα κοινό κύκλωμα Tor για διάφορες υπηρεσίες. Όπως για παράδειγμα για τη χρήση διαφόρων υπηρεσιών με έλεγχο ταυτότητας.

Ωστόσο, θα πρέπει να εξετάσετε το ενδεχόμενο να μην χρησιμοποιήσετε αυτή τη μέθοδο όταν ο σκοπός σας είναι απλώς να περιηγηθείτε σε τυχαίες διάφορες μη πιστοποιημένες ιστοσελίδες, καθώς δεν θα επωφεληθείτε από την Απομόνωση ροής και αυτό θα μπορούσε να κάνει ευκολότερες τις επιθέσεις συσχέτισης με την πάροδο του χρόνου για έναν αντίπαλο μεταξύ κάθε συνεδρίας σας (βλ. Η ανωνυμοποιημένη κίνηση Tor/VPN σας). Εάν ο στόχος σας, ωστόσο, είναι να χρησιμοποιείτε την ίδια ταυτότητα σε κάθε συνεδρία στις ίδιες πιστοποιημένες υπηρεσίες, η αξία της Απομόνωσης ροής μειώνεται, καθώς μπορείτε να συσχετιστείτε με άλλα μέσα.


Θα πρέπει επίσης να γνωρίζετε ότι η Απομόνωση ροής δεν είναι απαραίτητα ρυθμισμένη από προεπιλογή στο Whonix Workstation. Είναι προκαθορισμένη μόνο για ορισμένες εφαρμογές (συμπεριλαμβανομένου του Tor Browser).


Σημειώστε επίσης ότι η Απομόνωση ροής δεν αλλάζει απαραίτητα όλους τους κόμβους στο κύκλωμα Tor σας. Μερικές φορές μπορεί να αλλάξει μόνο έναν ή δύο. Σε πολλές περιπτώσεις, η Απομόνωση ροής (για παράδειγμα μέσα στο Tor Browser) θα αλλάξει μόνο τον κόμβο αναμετάδοσης (μεσαίο) και τον κόμβο εξόδου, διατηρώντας τον ίδιο κόμβο φύλαξης (εισόδου).


Περισσότερες πληροφορίες στο:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor μέσω VPN.

Μπορεί να αναρωτιέστε: Τι θα λέγατε για τη χρήση Tor over VPN αντί για VPN over Tor; Λοιπόν, δεν θα το έκανα απαραίτητα:

• Μειονεκτήματα
  
  • Ο πάροχος του VPN σας είναι απλώς ένας άλλος πάροχος υπηρεσιών διαδικτύου που θα γνωρίζει στη συνέχεια την IP προέλευσής σας και θα είναι σε θέση να σας αποανωνυμοποιήσει αν χρειαστεί. Δεν τους εμπιστευόμαστε. Προτιμώ μια κατάσταση όπου ο πάροχος VPN δεν γνωρίζει ποιος είστε. Δεν προσθέτει πολλά από την άποψη της ανωνυμίας.
  • Αυτό θα είχε ως αποτέλεσμα να συνδέεστε σε διάφορες υπηρεσίες χρησιμοποιώντας την IP ενός κόμβου εξόδου Tor, οι οποίες είναι απαγορευμένες/σημαδεμένες σε πολλά μέρη. Δεν βοηθάει από άποψη ευκολίας.
• Πλεονεκτήματα:
  
  • Το κύριο πλεονέκτημα στην πραγματικότητα είναι ότι αν βρίσκεστε σε ένα εχθρικό περιβάλλον όπου η πρόσβαση στο Tor είναι αδύνατη/επικίνδυνη/υποψίαστη, αλλά το VPN είναι εντάξει.
  • Αυτή η μέθοδος επίσης δεν σπάει την απομόνωση του Tor Stream.

Σημείωση, αν έχετε προβλήματα πρόσβασης στο δίκτυο Tor λόγω αποκλεισμού/λογοκρισίας, μπορείτε να δοκιμάσετε να χρησιμοποιήσετε το Tor Bridges. Δείτε το Παράρτημα X: Χρήση γεφυρών Tor σε εχθρικά περιβάλλοντα.


Είναι επίσης δυνατό να εξετάσετε το ενδεχόμενο VPN over Tor over VPN (Χρήστης > VPN > Tor > VPN > Internet) χρησιμοποιώντας αντί αυτού δύο VPN που πληρώνονται με μετρητά/Μονέρο. Αυτό σημαίνει ότι θα συνδέσετε το Host OS σε ένα πρώτο VPN από το δημόσιο Wi-Fi σας, στη συνέχεια το Whonix θα συνδεθεί στο Tor και τέλος το VM σας θα συνδεθεί σε ένα δεύτερο VPN over Tor over VPN ( δείτε https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Αυτό φυσικά θα έχει σημαντικό αντίκτυπο στις επιδόσεις και μπορεί να είναι αρκετά αργό, αλλά νομίζω ότι το Tor είναι απαραίτητο κάπου για την επίτευξη λογικής ανωνυμίας.


Η επίτευξη αυτής της τεχνικής είναι εύκολη στο πλαίσιο αυτής της διαδρομής, χρειάζεστε δύο ξεχωριστούς ανώνυμους λογαριασμούς VPN και πρέπει να συνδεθείτε στο πρώτο VPN από το Host OS και να ακολουθήσετε τη διαδρομή.


Συμπέρασμα: Κάντε το μόνο αν πιστεύετε ότι η χρήση του Tor από μόνη της είναι επικίνδυνη/αδύνατη, αλλά τα VPN είναι εντάξει. Ή απλά επειδή μπορείτε και γιατί όχι.

 

[HEISENBERG]

Μόνο VPN.

Αυτή η διαδρομή δεν θα εξηγηθεί ούτε θα συστηθεί.


Εάν μπορείτε να χρησιμοποιήσετε VPN, τότε θα πρέπει να είστε σε θέση να προσθέσετε ένα στρώμα Tor πάνω από αυτό. Και αν μπορείτε να χρησιμοποιήσετε το Tor, τότε μπορείτε να προσθέσετε ένα ανώνυμο VPN πάνω από το Tor για να έχετε την προτιμώμενη λύση.


Η απλή χρήση ενός VPN ή ακόμα και ενός VPN πάνω από VPN δεν έχει νόημα, καθώς αυτά μπορούν να εντοπιστούν σε εσάς με την πάροδο του χρόνου. Ένας από τους παρόχους VPN θα γνωρίζει την πραγματική IP προέλευσής σας (ακόμη και αν βρίσκεται σε έναν ασφαλή δημόσιο χώρο) και ακόμη και αν προσθέσετε ένα πάνω από αυτό, ο δεύτερος θα εξακολουθεί να γνωρίζει ότι χρησιμοποιούσατε την άλλη πρώτη υπηρεσία VPN. Αυτό θα καθυστερήσει μόνο λίγο την αποανωνυμοποίησή σας. Ναι, είναι ένα πρόσθετο επίπεδο ... αλλά είναι ένα επίμονο συγκεντρωτικό πρόσθετο επίπεδο και μπορείτε να αποανωνυμοποιηθείτε με την πάροδο του χρόνου. Πρόκειται απλώς για την αλυσιδωτή σύνδεση 3 ISP που υπόκεινται όλοι σε νόμιμα αιτήματα.


Για περισσότερες πληροφορίες, ανατρέξτε στις ακόλουθες αναφορές:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

Στο πλαίσιο αυτού του οδηγού, το Tor απαιτείται κάπου για την επίτευξη λογικής και ασφαλούς ανωνυμίας και θα πρέπει να το χρησιμοποιήσετε αν μπορείτε.

Χωρίς VPN/Tor.

Αν δεν μπορείτε να χρησιμοποιήσετε VPN ούτε Tor εκεί που βρίσκεστε, τότε πιθανότατα βρίσκεστε σε ένα πολύ εχθρικό περιβάλλον όπου η επιτήρηση και ο έλεγχος είναι πολύ υψηλός.


Απλά μην το κάνετε, δεν αξίζει τον κόπο και είναι πολύ επικίνδυνο IMHO. Μπορείτε να αποανωνυμοποιηθείτε σχεδόν αμέσως από οποιονδήποτε παρακινημένο αντίπαλο που θα μπορούσε να φτάσει στη φυσική σας τοποθεσία μέσα σε λίγα λεπτά.


Μην ξεχάσετε να ελέγξετε ξανά το Αντίπαλοι (απειλές) και το Παράρτημα S: Ελέγξτε το δίκτυό σας για επιτήρηση/λογοκρισία χρησιμοποιώντας το OONI.


Αν δεν έχετε απολύτως καμία άλλη επιλογή και θέλετε ακόμα να κάνετε κάτι, δείτε το Παράρτημα P: Πρόσβαση στο διαδίκτυο με όσο το δυνατόν μεγαλύτερη ασφάλεια όταν το Tor/VPN δεν αποτελεί επιλογή (με δική σας ευθύνη) και εξετάστε αντ' αυτού τη διαδρομή The Tails.

Συμπέρασμα.

Δυστυχώς, η χρήση του Tor από μόνη της θα αυξήσει την καχυποψία πολλών πλατφορμών προορισμών. Θα αντιμετωπίσετε πολλά εμπόδια (captchas, σφάλματα, δυσκολίες στην εγγραφή) αν χρησιμοποιείτε μόνο το Tor. Επιπλέον, η χρήση του Tor εκεί που βρίσκεστε θα μπορούσε να σας βάλει σε μπελάδες μόνο γι' αυτό. Αλλά το Tor παραμένει η καλύτερη λύση για ανωνυμία και πρέπει να βρίσκεται κάπου για ανωνυμία.

• Αν η πρόθεσή σας είναι να δημιουργήσετε μόνιμες κοινές και αυθεντικοποιημένες ταυτότητες σε διάφορες υπηρεσίες όπου η πρόσβαση από το Tor είναι δύσκολη, συνιστώ την επιλογή VPN over Tor (ή VPN over Tor over VPN αν χρειαστεί). Μπορεί να είναι λίγο λιγότερο ασφαλές από επιθέσεις συσχέτισης λόγω του σπασίματος της απομόνωσης του Tor Stream, αλλά παρέχει πολύ μεγαλύτερη ευκολία στην πρόσβαση σε διαδικτυακούς πόρους από ό,τι η απλή χρήση του Tor. Είναι ένα "αποδεκτό" trade-off IMHP αν είστε αρκετά προσεκτικοί με την ταυτότητά σας.
• Αν όμως η πρόθεσή σας είναι απλώς να περιηγηθείτε ανώνυμα σε τυχαίες υπηρεσίες χωρίς να δημιουργήσετε συγκεκριμένες κοινές ταυτότητες, χρησιμοποιώντας φιλικές προς τον Tor υπηρεσίες- ή αν δεν θέλετε να αποδεχτείτε αυτό το συμβιβασμό στην προηγούμενη επιλογή. Τότε σας συνιστώ να χρησιμοποιήσετε τη διαδρομή Tor Only για να διατηρήσετε όλα τα οφέλη της απομόνωσης ροής (ή Tor over VPN αν χρειαστεί).
• Αν το κόστος είναι ζήτημα, συνιστώ την επιλογή Tor Only αν είναι δυνατόν.
• Εάν τόσο η πρόσβαση στο Tor όσο και στο VPN είναι αδύνατη ή επικίνδυνη, τότε δεν έχετε άλλη επιλογή από το να βασιστείτε με ασφάλεια στα δημόσια wi-fis. Βλέπε Παράρτημα Π: Πρόσβαση στο διαδίκτυο με όσο το δυνατόν μεγαλύτερη ασφάλεια όταν το Tor και τα VPN δεν αποτελούν επιλογή.

Για περισσότερες πληροφορίες, μπορείτε επίσης να δείτε τις συζητήσεις εδώ που θα μπορούσαν να σας βοηθήσουν να αποφασίσετε:

• Tor Project: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Tails Documentation: Tails Documentation: Tails Documentation: Tails Documentation: Tails Documentation: Tails Documentation:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Whonix Documentation (με αυτή τη σειρά): Whonix Documentation: Whonix Documentation (με αυτή τη σειρά):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Ορισμένα έγγραφα σχετικά με το θέμα:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Αποκτήστε ένα ανώνυμο VPN/Proxy.

Παραλείψτε αυτό το βήμα αν θέλετε να χρησιμοποιήσετε μόνο το Tor.


Βλέπε Παράρτημα Ο: Αποκτήστε ένα ανώνυμο VPN/Proxy

Whonix.

Παραλείψτε αυτό το βήμα αν δεν μπορείτε να χρησιμοποιήσετε το Tor.


Αυτή η διαδρομή θα χρησιμοποιήσει Virtualization και Whonix309 ως μέρος της διαδικασίας ανωνυμοποίησης. Το Whonix είναι μια διανομή Linux που αποτελείται από δύο εικονικές μηχανές:

• Το Whonix Workstation (αυτό είναι ένα VM όπου μπορείτε να διεξάγετε ευαίσθητες δραστηριότητες)
• Το Whonix Gateway (αυτό το VM θα δημιουργήσει μια σύνδεση με το δίκτυο Tor και θα δρομολογήσει όλη την κυκλοφορία δικτύου από τον σταθμό εργασίας μέσω του δικτύου Tor).

Αυτός ο οδηγός θα προτείνει επομένως 2 γεύσεις αυτής της διαδρομής:

• Η διαδρομή Whonix only όπου όλη η κυκλοφορία δρομολογείται μέσω του δικτύου Tor (Tor Only ή Tor over VPN).

Μια υβριδική διαδρομή Whonix όπου όλη η κίνηση δρομολογείται μέσω ενός VPN πληρωμένου με μετρητά (προτιμάται)/Monero μέσω του δικτύου Tor (VPN over Tor ή VPN over Tor over VPN).

Θα είστε σε θέση να αποφασίσετε ποια γεύση θα χρησιμοποιήσετε με βάση τις συστάσεις μου. Συνιστώ τη δεύτερη, όπως εξηγήθηκε προηγουμένως.


Το Whonix είναι καλά συντηρημένο και διαθέτει εκτεταμένη και απίστευτα λεπτομερή τεκμηρίωση.

Μια σημείωση σχετικά με τα στιγμιότυπα του Virtualbox.

Αργότερα, θα δημιουργήσετε και θα τρέξετε αρκετές Εικονικές Μηχανές μέσα στο Virtualbox για τις ευαίσθητες δραστηριότητές σας. Το Virtualbox παρέχει ένα χαρακτηριστικό που ονομάζεται "Snapshots" και επιτρέπει την αποθήκευση της κατάστασης ενός VM σε οποιαδήποτε χρονική στιγμή. Εάν για οποιονδήποτε λόγο αργότερα θελήσετε να επιστρέψετε σε αυτή την κατάσταση, μπορείτε να επαναφέρετε αυτό το στιγμιότυπο ανά πάσα στιγμή.


Συνιστώ ανεπιφύλακτα να κάνετε χρήση αυτής της δυνατότητας δημιουργώντας ένα στιγμιότυπο μετά την αρχική εγκατάσταση/ενημέρωση κάθε VM. Αυτό το στιγμιότυπο θα πρέπει να γίνεται πριν από τη χρήση τους για οποιαδήποτε ευαίσθητη/ανώνυμη δραστηριότητα.


Αυτό θα σας επιτρέψει να μετατρέψετε τα VM σας σε ένα είδος "ζωντανών λειτουργικών συστημάτων" μιας χρήσης (όπως το Tails που συζητήθηκε προηγουμένως). Αυτό σημαίνει ότι θα μπορείτε να διαγράψετε όλα τα ίχνη των δραστηριοτήτων σας μέσα σε ένα VM επαναφέροντας ένα στιγμιότυπο σε μια προηγούμενη κατάσταση. Φυσικά, αυτό δεν θα είναι "τόσο καλό" όσο το Tails (όπου τα πάντα αποθηκεύονται στη μνήμη), καθώς ενδέχεται να παραμείνουν ίχνη αυτής της δραστηριότητας στον σκληρό σας δίσκο. Μελέτες εγκληματολογίας έχουν δείξει τη δυνατότητα ανάκτησης δεδομένων από ένα επαναφερόμενο VM. Ευτυχώς, θα υπάρχουν τρόποι για να αφαιρέσετε αυτά τα ίχνη μετά τη διαγραφή ή την επαναφορά σε ένα προηγούμενο στιγμιότυπο. Τέτοιες τεχνικές θα συζητηθούν στην ενότητα Ορισμένα πρόσθετα μέτρα κατά της εγκληματολογίας αυτού του οδηγού.

Κατεβάστε τα βοηθητικά προγράμματα Virtualbox και Whonix.

Θα πρέπει να κατεβάσετε μερικά πράγματα εντός του λειτουργικού συστήματος υποδοχής.

• Την πιο πρόσφατη έκδοση του εγκαταστάτη του Virtualbox σύμφωνα με το λειτουργικό σας σύστημα υποδοχής https://www.virtualbox.org/wiki/Downloads [Archive.org]
• (Παραλείψτε το αν δεν μπορείτε να χρησιμοποιήσετε το Tor εγγενώς ή μέσω VPN) Το τελευταίο αρχείο Whonix OVA από https://www.whonix.org/wiki/Download [Archive.org ] ανάλογα με την προτίμησή σας (Linux/Windows, με διεπαφή επιφάνειας εργασίας XFCE για απλότητα ή μόνο με τον πελάτη κειμένου για προχωρημένους χρήστες)

Με αυτόν τον τρόπο ολοκληρώνονται οι προετοιμασίες και θα πρέπει να είστε πλέον έτοιμοι να αρχίσετε να ρυθμίζετε το τελικό περιβάλλον που θα προστατεύει την ανωνυμία σας στο διαδίκτυο.

Συστάσεις σκλήρυνσης του Virtualbox.

https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Απενεργοποίηση ήχου.
• Μην ενεργοποιείτε τους κοινόχρηστους φακέλους.
• Μην ενεργοποιείτε την επιτάχυνση 2D. Αυτό γίνεται εκτελώντας την ακόλουθη εντολή VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• Μην ενεργοποιείτε την επιτάχυνση 3D.
• Μην ενεργοποιήσετε τη σειριακή θύρα.
• Αφαιρέστε τη μονάδα δισκέτας.
• Αφαιρέστε τη μονάδα CD/DVD.
• Μην ενεργοποιήσετε το διακομιστή απομακρυσμένης οθόνης.
• Ενεργοποιήστε το PAE/NX (το NX είναι ένα χαρακτηριστικό ασφαλείας).
• Απενεργοποιήστε τη λειτουργία ACPI (Advanced Configuration and Power Interface). Αυτό γίνεται εκτελώντας την ακόλουθη εντολή VBoxManage modifyvm "vm-id" --acpi on|off
• Μην συνδέετε συσκευές USB.
• Απενεργοποιήστε τον ελεγκτή USB, ο οποίος είναι ενεργοποιημένος από προεπιλογή. Ορίστε τη συσκευή κατάδειξης σε "PS/2 Mouse" (Ποντίκι PS/2), διαφορετικά οι αλλαγές θα επανέλθουν.

Τέλος, ακολουθήστε επίσης αυτή τη σύσταση για να αποσυγχρονίσετε το ρολόι που είναι το VM σας σε σύγκριση με το κεντρικό λειτουργικό σύστημα https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


Αυτή η μετατόπιση θα πρέπει να είναι μέσα σε ένα εύρος 60000 χιλιοστών του δευτερολέπτου και θα πρέπει να είναι διαφορετική για κάθε VM και εδώ είναι μερικά παραδείγματα (τα οποία μπορούν αργότερα να εφαρμοστούν σε οποιοδήποτε VM):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Εξετάστε επίσης το ενδεχόμενο εφαρμογής αυτών των μετριασμών από το VirtualBox για τον μετριασμό των ευπαθειών Spectre/Meltdown εκτελώντας αυτή την εντολή από τον κατάλογο προγραμμάτων του VirtualBox. Όλα αυτά περιγράφονται εδώ: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (λάβετε υπόψη ότι αυτά μπορεί να επηρεάσουν σοβαρά την απόδοση των VM σας, αλλά πρέπει να γίνουν για την καλύτερη δυνατή ασφάλεια).


Τέλος, λάβετε υπόψη τις συμβουλές ασφαλείας από το ίδιο το Virtualbox εδώ: https://www.virtualbox.org/manual/ch13.html [Archive.org]

 

[HEISENBERG]

Tor μέσω VPN.

Παραλείψτε αυτό το βήμα εάν δεν σκοπεύετε να χρησιμοποιήσετε το Tor over VPN και σκοπεύετε να χρησιμοποιήσετε μόνο το Tor ή δεν μπορείτε.


Εάν σκοπεύετε να χρησιμοποιήσετε το Tor over VPN για οποιονδήποτε λόγο. Θα πρέπει πρώτα να ρυθμίσετε μια υπηρεσία VPN στο λειτουργικό σας σύστημα υποδοχής.


Θυμηθείτε ότι σε αυτή την περίπτωση, συνιστώ να έχετε δύο λογαριασμούς VPN. Και οι δύο πληρωμένοι με μετρητά/Monero (βλ. Παράρτημα Ο: Αποκτήστε ένα ανώνυμο VPN/Proxy). Ο ένας θα χρησιμοποιηθεί στο Host OS για την πρώτη σύνδεση VPN. Ο άλλος θα μπορούσε να χρησιμοποιηθεί στο VM για την επίτευξη VPN over Tor over VPN (Χρήστης > VPN > Tor > VPN).


Αν σκοπεύετε να χρησιμοποιήσετε μόνο το Tor over VPN, χρειάζεστε μόνο έναν λογαριασμό VPN.


Ανατρέξτε στο Παράρτημα R: Εγκατάσταση ενός VPN στο VM ή στο Host OS για οδηγίες.

 

[HEISENBERG]

Εικονικές μηχανές Whonix.

Παραλείψτε αυτό το βήμα εάν δεν μπορείτε να χρησιμοποιήσετε το Tor.

• Εκκινήστε το Virtualbox στο λειτουργικό σας σύστημα υποδοχής.
• Εισάγετε το αρχείο Whonix στο Virtualbox ακολουθώντας τις οδηγίες στη διεύθυνση https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Ξεκινήστε τις VM του Whonix

Θυμηθείτε σε αυτό το στάδιο ότι αν έχετε προβλήματα σύνδεσης με το Tor λόγω λογοκρισίας ή αποκλεισμού, θα πρέπει να εξετάσετε το ενδεχόμενο σύνδεσης χρησιμοποιώντας Bridges, όπως εξηγείται σε αυτό το σεμινάριο https://www.whonix.org/wiki/Bridges [Archive.org].

• Ενημερώστε τα VM του Whonix ακολουθώντας τις οδηγίες στο https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org]
• Κλείστε τα VM του Whonix
• Πάρτε ένα στιγμιότυπο των ενημερωμένων VM του Whonix μέσα στο Virtualbox (επιλέξτε ένα VM και κάντε κλικ στο κουμπί Take Snapshot). Περισσότερα σχετικά με αυτό αργότερα.
• Μετάβαση στο επόμενο βήμα

Σημαντική σημείωση: Θα πρέπει επίσης να διαβάσετε αυτές τις πολύ καλές συστάσεις εκεί https://www.whonix.org/wiki/DoNot [Archive.org] , καθώς οι περισσότερες από αυτές τις αρχές ισχύουν και για αυτόν τον οδηγό. Θα πρέπει επίσης να διαβάσετε τη γενική τεκμηρίωσή τους εδώ https://www.whonix.org/wiki/Documentation [Archive.org] , η οποία επίσης θα παρέχει πολλές συμβουλές όπως αυτός ο οδηγός.