Hännät.
Tails sopii tähän erinomaisesti; sinun ei tarvitse huolehtia mistään, vaikka käyttäisit SSD-asemaa. Sammuta se, ja kaikki on mennyttä heti, kun muisti hajoaa.
Whonix.
Huomaa, että Whonixia on mahdollista käyttää Live-tilassa, jolloin siitä ei jää jälkiä, kun suljet VM:t. Kannattaa lukea niiden dokumentaatio täältä
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] ja täältä
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Guest OS.
Palauta Virtualboxin (tai minkä tahansa muun käyttämäsi VM-ohjelmiston) edellinen tilannekuva ja suorita Macissa Trim-komento Disk Utilityn avulla suorittamalla Host OS:n ensiapu uudelleen, kuten seuraavan jakson lopussa selitetään.
Host OS.
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Karanteenitietokanta (jota Gatekeeper ja XProtect käyttävät).
MacOS (Big Suriin asti) pitää karanteenin SQL-tietokantaa kaikista tiedostoista, jotka olet koskaan ladannut selaimesta. Tämä tietokanta sijaitsee osoitteessa ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Voit kysyä sitä itse suorittamalla terminaalista seuraavan komennon: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Ilmeisesti tämä on kultakaivos rikostutkintaa varten, ja sinun pitäisi poistaa tämä käytöstä:
- Tyhjennä tietokanta kokonaan seuraavalla komennolla: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Suorita seuraava komento tiedoston lukitsemiseksi ja estämään lataushistorian kirjoittaminen sinne: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Lopuksi voit myös poistaa Gatekeeperin käytöstä kokonaan antamalla terminaalissa seuraavan komennon:
- sudo spctl --master-disable
Katso lisätietoja tämän oppaan tästä osasta
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org] .
Tämän kätevän tietokannan lisäksi jokainen tallennettu tiedosto sisältää myös yksityiskohtaiset tiedostojärjestelmän HFS+/APFS-attribuutit, joista käy ilmi esimerkiksi, milloin se on ladattu, millä ja mistä.
Voit tarkastella näitä tietoja avaamalla terminaalin ja kirjoittamalla mdls tiedostonimi ja xattr -l tiedostonimi mihin tahansa ladattuun tiedostoon mistä tahansa selaimesta.
Jos haluat poistaa tällaiset attribuutit, sinun on tehtävä se manuaalisesti terminaalista:
- Suorita xattr -d com.apple.metadata:kMDItemWhereFroms filename poistaaksesi alkuperän.
- Voit myös vain käyttää -dr-toimintoa tehdäksesi sen rekursiivisesti koko kansiolle/levylle.
- Suorita xattr -d com.apple.quarantine tiedostonimi poistaaksesi karanteeniviittauksen.
- Voit myös vain käyttää -dr-toimintoa tehdäksesi sen rekursiivisesti koko kansiossa/levyllä.
- Tarkista suorittamalla xattr --l tiedostonimi, jolloin tulostetta ei pitäisi tulla.
(Huomaa, että Apple on poistanut kätevän xattr -c -vaihtoehdon, joka poistaisi kaikki attribuutit kerralla, joten sinun on tehtävä tämä jokaiselle attribuutille jokaisessa tiedostossa.)
Nämä attribuutit ja merkinnät säilyvät, vaikka tyhjentäisit selainhistorian, mikä on tietysti huono asia yksityisyyden kannalta (eikö niin?), enkä ole tietoinen mistään kätevästä työkalusta, joka käsittelisi niitä tällä hetkellä.
Onneksi on olemassa joitakin keinoja välttää tämä ongelma, sillä selaimet asettavat nämä attribuutit ja merkinnät. Testasin siis eri selaimia (MacOS Catalinalla ja Big Surilla), ja tässä ovat tulokset tämän oppaan päivämääränä:
| Selain | Karanteenin DB-merkintä | Karanteenitiedoston attribuutti | Alkuperätiedoston attribuutti |
|---|
| Safari (normaali) | Kyllä | Kyllä | Kyllä |
| Safari (yksityinen ikkuna) | Ei | Ei | Ei |
| Firefox (normaali) | Kyllä | Kyllä | Kyllä |
| Firefox (yksityinen ikkuna) | Ei | Ei | Ei |
| Chrome (normaali) | Kyllä | Kyllä | Kyllä |
| Chrome (yksityinen ikkuna) | Osittain (vain aikaleima) | Ei | Ei |
| Ungoogled-Chromium (normaali) | Ei | Ei | Ei |
| Ungoogled-Chromium (yksityinen ikkuna) | Ei | Ei | Ei |
| Rohkea (normaali) | Osittain (vain aikaleima) | Ei | Ei |
| Rohkea (yksityinen ikkuna) | Osittain (vain aikaleima) | Ei | Ei |
| Rohkea (Tor-ikkuna) | Osittain (vain aikaleima) | Ei | Ei |
| Tor-selain | Ei | Ei | Ei |
Kuten näet, helpointa on käyttää vain Private Windowsia. Nämä eivät kirjoita näitä alkuperän/karanteenin attribuutteja eivätkä tallenna merkintöjä QuarantineEventsV2-tietokantaan.
QuarantineEventsV2:n tyhjentäminen on helppoa, kuten edellä on selitetty. Määritteiden poistaminen vaatii hieman työtä.
Brave on ainoa testattu selain, joka ei tallenna näitä attribuutteja oletusarvoisesti normaalissa toiminnassa.
Erilaiset artefaktit.
Lisäksi MacOS säilyttää erilaisia lokeja asennetuista laitteista, liitetyistä laitteista, tunnetuista verkoista, analytiikasta, asiakirjojen tarkistuksista....
Katso tämän oppaan tästä osiosta ohjeita siitä, mistä löydät ja miten voit poistaa tällaisia artefakteja:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org].
Monet näistä voidaan poistaa käyttämällä joitakin erilaisia kaupallisia kolmannen osapuolen työkaluja, mutta itse suosittelen käyttämään ilmaista ja tunnettua Onyxia, joka löytyy täältä:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Valitettavasti se on suljetun lähdekoodin ohjelma, mutta se on notaroitu, allekirjoitettu ja siihen on luotettu jo monta vuotta.
Pakota Trim-operaatio puhdistuksen jälkeen.
- Jos tiedostojärjestelmäsi on APFS, sinun ei tarvitse huolehtia Trim-operaatiosta, se tapahtuu asynkronisesti, kun käyttöjärjestelmä kirjoittaa tietoja.
- Jos tiedostojärjestelmäsi on HFS+ (tai jokin muu kuin APFS), voit suorittaa First Aid -ohjelman järjestelmäasemalle Disk Utility -ohjelmasta, jonka pitäisi suorittaa Trim-operaatio yksityiskohdissa(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Ota huomioon niiden ohjeet
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org] .
Jos käytät Whonixia Qubes OS:ssä, harkitse heidän ohjeidensa noudattamista:
Linux (ei-Qubes).
Guest OS.
Virtualboxin (tai minkä tahansa muun käyttämäsi VM-ohjelmiston) vieras-VM:n edelliseen tilannekuvaan ja suorita trim-komento kannettavassa tietokoneessa käyttämällä fstrim --all. Tämä apuohjelma on osa util-linux-pakettia Debianissa/Ubuntussa, ja sen pitäisi olla oletusarvoisesti asennettuna Fedorassa. Siirry sitten seuraavaan osioon.
Isäntäkäyttöjärjestelmä.
Normaalisti sinulla ei pitäisi olla puhdistettavia jälkiä isäntäjärjestelmässä, koska teet kaiken VM:stä käsin, jos noudatat tätä opasta.
Siitä huolimatta saatat haluta puhdistaa joitakin lokitietoja. Käytä vain tätä kätevää työkalua:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (ohjeet sivulla, ladataksesi pääset julkaisuihin, tämä arkisto poistettiin äskettäin).
Siivouksen jälkeen varmista, että sinulla on asennettuna fstrim-apuohjelma (pitäisi olla oletuksena Fedorassa) ja osana util-linux-pakettia Debianissa/Ubuntussa. Suorita sitten vain fstrim --all isäntäjärjestelmässä. Tämän pitäisi riittää SSD-asemilla, kuten aiemmin selitettiin.
Harkitse Linux Kernel Guardin käyttöä lisätoimenpiteenä
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org].
Windows.
Windows: Guest OS.
Palaa Virtualboxin (tai minkä tahansa muun käyttämäsi VM-ohjelmiston) edelliseen tilannekuvaan ja suorita trim-komento Windowsissa käyttämällä Optimize-komentoa, kuten seuraavan jakson lopussa selitetään.
Isäntäkäyttöjärjestelmä.
Nyt kun sinulla on ollut joukko toimintoja VM:ien tai Host OS:n kanssa, sinun pitäisi käyttää hetki jälkien peittämiseen.
Useimpia näistä vaiheista ei pitäisi tehdä Decoy OS: ssä, jos käytetään uskottavaa kieltämistä. Tämä johtuu siitä, että haluat pitää houkuttelevat/epäuskottavat jäljet järkevistä mutta ei salaisista toiminnoista vastustajan saatavilla. Jos kaikki on puhdasta, saatat herättää epäilyksiä.
Diagnostiikkatiedot ja telemetria.
Poistetaan ensin kaikki mahdolliset diagnostiikkatiedot:
(Ohita tämä vaihe, jos käytät Windows 10 AME:tä).
- Mene jokaisen Windows-laitteen käytön jälkeen kohtaan Asetukset, Tietosuoja, Diagnostiikka ja palaute ja valitse Poista.
Satunnaistetaan sitten uudelleen virtuaalikoneidesi MAC-osoitteet ja isäntäjärjestelmän Bluetooth-osoite.
- Jokaisen Windows VM:n sammuttamisen jälkeen vaihda sen MAC-osoite seuraavaa kertaa varten menemällä Virtualboxiin > Valitse VM > Asetukset > Verkko > Lisäasetukset > Päivitä MAC-osoite.
- Jokaisen Host OS Windows -käyttöjärjestelmän käytön jälkeen (VM:ssäsi ei pitäisi olla lainkaan Bluetoothia), mene Device Manageriin, valitse Bluetooth, Disable Device ja Re-Enable device (tämä pakottaa Bluetooth-osoitteen satunnaistamiseen).
Tapahtumalokit.
Windowsin tapahtumalokit säilyttävät monia erilaisia tietoja, jotka voivat sisältää jälkiä toiminnoistasi, kuten asennetut laitteet (mukaan lukien esimerkiksi Veracrypt
NTFS-tietueet294), verkkoyhteydet, sovelluksen kaatumistiedot ja erilaiset virheet. Ne kannattaa aina siivota säännöllisesti. Älä tee tätä Decoy-käyttöjärjestelmässä.
- Käynnistä, etsi Event Viewer ja käynnistä Event Viewer:
- Siirry Windowsin lokitietoihin.
- Valitse ja tyhjennä kaikki 5 lokia hiiren oikealla napsautuksella.
Veracrypt-historia.
Veracrypt tallentaa oletusarvoisesti historian viimeksi asennetuista niteistä ja tiedostoista. Sinun kannattaa varmistaa, ettei Veracrypt koskaan tallenna historiaa. Älä tee tätä Decoy-käyttöjärjestelmässä, jos käytät käyttöjärjestelmän uskottavaa kieltämistä. Meidän on säilytettävä houkutuslevyn asennushistoria osana uskottavaa kiistettävyyttä.
- Käynnistä Veracrypt
- Varmista, että "Never saves history" -valintaruutu on valittuna (tätä ei pitäisi olla valittuna Decoy OS:ssä).
Nyt sinun pitäisi puhdistaa kaikkien käyttämiesi sovellusten historia, mukaan lukien selainhistoria, evästeet, tallennetut salasanat, istunnot ja lomakehistoria.
Selainhistoria.
- Brave (jos et ole ottanut puhdistusta käyttöön poistuttaessa).
- Mene Asetuksiin
- Siirry kohtaan Suojat
- Siirry kohtaan Tyhjennä selaustiedot
- Valitse Lisäasetukset
- Valitse "Kaikki aika"
- Tarkista kaikki vaihtoehdot
- Tyhjennä tiedot
- Tor-selain
- Sulje selain ja kaikki on puhdistettu
Wi-Fi-historia.
Wi-Fi: Nyt on aika tyhjentää sen Wi-Fi:n historia, johon olet yhteydessä. Valitettavasti Windows tallentaa rekisteriin luettelon aiemmista verkoista, vaikka olisit "unohtanut" ne Wi-Fi-asetuksista. Tietääkseni mikään apuohjelma ei vielä puhdista niitä (esimerkiksi BleachBit tai PrivaZer), joten sinun on tehtävä se manuaalisesti:
- Käynnistä Regedit tämän ohjeen avulla: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org].
- Kirjoita Regeditissä osoiteriville tämä: Tietokone\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles.
- Siellä näet oikealla puolella joukon kansioita. Jokainen näistä kansioista on "avain". Kukin näistä avaimista sisältää tietoja nykyisestä tunnetusta Wi-Fi:stä tai aiemmin käyttämistäsi verkoista. Voit tutkia niitä yksi kerrallaan ja nähdä oikealla puolella olevan kuvauksen.
- Poista kaikki nämä avaimet.
Shellbags.
Kuten aiemmin selitettiin, Shellbags ovat periaatteessa tietokoneen käytettyjen volyymien/tiedostojen historiatietoja. Muista, että Shellbags ovat erittäin hyviä tietolähteitä
rikostutkijoille287, ja sinun on puhdistettava ne. Varsinkin jos olet asentanut jonkin "piilotetun aseman" jonnekin. Jälleen kerran, sinun ei pitäisi tehdä tätä Decoy-käyttöjärjestelmässä.
- Lataa Shellbag Analyzer & Cleaner osoitteesta https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org].
- Käynnistä se
- Analysoi
- Klikkaa Clean ja valitse:
- Poistetut kansiot
- Verkossa / ulkoisissa laitteissa olevat kansiot
- Hakutulokset
- Valitse lisäasetukset
- Merkitse kaikki muut paitsi kaksi varmuuskopiointivaihtoehtoa (älä varmuuskopioi).
- Valitse SSD-levyn puhdistus (jos sinulla on SSD-levy).
- Valitse 1 läpikäynti (Kaikki nolla)
- Clean
Lisätyökalut Puhdistus.
Kun olet puhdistanut nämä aiemmat jäljet, sinun pitäisi myös käyttää kolmannen osapuolen apuohjelmia, joita voidaan käyttää erilaisten jälkien puhdistamiseen. Näihin kuuluvat poistamiesi tiedostojen/kansioiden jäljet.
Katso
liite H: Windowsin puhdistustyökalut, ennen kuin jatkat.
PrivaZer.
Tässä ovat PrivaZerin vaiheet:
- Lataa ja asenna PrivaZer osoitteesta https://privazer.com/en/download.php [Archive.org].
- Suorita PrivaZer asennuksen jälkeen
- Älä käytä niiden ohjattua ohjelmaa
- Valitse Advanced User
- Valitse Scan in Depth ja valitse kohde
- Valitse Kaikki mitä haluat skannata ja paina Scan
- Valitse mitä haluat puhdistaa (ohita kuoripussi-osio, koska käytit siihen toista apuohjelmaa).
- Jos käytät SSD-levyä, sinun kannattaa vain ohittaa vapaan tilan puhdistusosa ja käyttää sen sijaan Windowsin omaa Optimize-toimintoa (katso alla), jonka pitäisi riittää. Käyttäisin tätä vain kiintolevyasemassa.
- (Jos valitsit Vapaan tilan puhdistuksen) Valitse Clean Options (Puhdistusasetukset) ja varmista, että tallennustyyppi on hyvin tunnistettu (HDD vs. SSD).
- (Jos valitsit Free Space cleaning) Within Clean Options (Ole varovainen tämän vaihtoehdon kanssa, sillä se poistaa kaiken vapaan tilan valitusta osiosta, varsinkin jos käytät harhautuskäyttöjärjestelmää. Älä poista vapaata tilaa tai mitään muuta toisesta osiosta, koska vaarana on piilo-käyttöjärjestelmän tuhoaminen).
- Jos sinulla on SSD-asema:
- Secure Overwriting (Turvallinen ylikirjoitus) -välilehti: Henkilökohtaisesti valitsisin vain Normaali poisto + leikkaus (leikkaus itsessään pitäisi riittää). Secure Deletion with Trim (1 läpikäynti) saattaa olla turhaa ja ylivoimaista, jos aiot joka tapauksessa korvata vapaan tilan.
- Vapaa tila -välilehti: Henkilökohtaisesti, ja jälleen "varmuuden vuoksi", valitsisin Normaalin siivouksen, joka täyttää koko vapaan tilan datalla. En oikein luota Smart Cleanupiin, koska se ei todellakaan täytä SSD-levyn kaikkea vapaata tilaa datalla. Mutta jälleen kerran, mielestäni tämä ei todennäköisesti ole tarpeen ja liioittelua useimmissa tapauksissa.
- Jos sinulla on kiintolevyasema:
- Secure Overwriting -välilehti: Valitsisin vain Secure Deletion (Turvallinen poisto) (1 läpikäynti).
- Vapaa tila: Smart Cleanup (Älykäs puhdistus), koska kiintolevyasemassa ei ole mitään syytä korvata sektoreita, joissa ei ole tietoja.
- Valitse Clean (Puhdista) ja valitse makusi:
- Turbo Cleanup tekee vain normaalin poiston (kiintolevyllä/SSD-levyllä) eikä puhdista vapaata tilaa. Se ei ole turvallinen kiintolevyllä eikä SSD-levyllä.
- Quick Cleanup tekee turvallisen poiston (kiintolevyllä) ja normaalin poiston + trimmauksen (SSD-levyllä), mutta ei puhdista vapaata tilaa. Mielestäni tämä on tarpeeksi turvallinen SSD-levylle, mutta ei kiintolevylle.
- Normal Cleanup tekee turvallisen poiston (kiintolevyllä) ja normaalin poiston + leikkauksen (SSD-levyllä) ja puhdistaa sitten koko vapaan tilan (Smart Cleanup kiintolevyllä ja Full Cleanup SSD-levyllä), ja sen pitäisi olla turvallinen. Mielestäni tämä vaihtoehto on paras kiintolevylle, mutta täysin ylimitoitettu SSD-levylle.
- Napsauta Clean ja odota, että puhdistus on valmis. Voi kestää jonkin aikaa ja täyttää koko vapaan tilan tiedoilla.
BleachBit.
Tässä ovat BleachBitin vaiheet:
- Hanki ja asenna uusin versio BleachBitistä täältä https://www.bleachbit.org/download [Archive.org]
- Suorita BleachBit
- Puhdista ainakin kaikki näiden osioiden sisällä:
- Deep Scan
- Windows Defender
- Windows Explorer (mukaan lukien Shellbags)
- Järjestelmä
- Valitse muut jäljet, jotka haluat poistaa niiden luettelosta.
- Jälleen, kuten edellisen apuohjelman kohdalla, en puhdistaisi SSD-aseman vapaata tilaa, koska mielestäni Windowsin oma "optimointi"-apuohjelma riittää (katso alla) ja että vapaan tilan täyttäminen trimmatulla SSD-asemalla on vain täysin turhaa ja tarpeetonta.
- Napsauta Clean (Puhdista) ja odota. Tämä kestää jonkin aikaa ja täyttää koko vapaan tilan datalla sekä kiintolevy- että SSD-asemilla.
Pakota trimmaus Windows Optimize -ohjelmalla (SSD-asemille).
Tämän Windows 10:n alkuperäisen apuohjelman avulla voit vain käynnistää SSD-levylläsi Trim-toiminnon, jonka pitäisi olla enemmän kuin tarpeeksi kaikkien poistettujen tiedostojen turvalliseen puhdistamiseen, jotka olisivat jotenkin välttyneet Trim-toiminnolta niitä poistettaessa.
Avaa vain Windows Explorer, napsauta hiiren kakkospainikkeella Järjestelmäasemaa ja valitse Ominaisuudet. Valitse Työkalut. Napsauta Optimoi ja sitten Optimoi uudelleen. Olet valmis. Mielestäni tämä riittää luultavasti mielestäni.
