Útmutató az online anonimitáshoz (https://anonymousplanet.org/)

Használata saját felelősségre történik. Kérjük, ne tekintse ezt az útmutatót mindenre vonatkozó végleges igazságnak, mert nem az.

Spoiler: Tartalomjegyzék

• Bevezetés:
• Néhány alapelv megértése arról, hogy egyes információk hogyan vezethetnek vissza hozzád, és hogyan enyhíthetsz néhányat:
  • A hálózatod:
    • Az IP-címed:
    • Az Ön DNS- és IP-kérései:
    • Az Ön RFID-kompatibilis eszközei:
    • Az Önt körülvevő Wi-Fi- és Bluetooth-eszközök:
    • Rosszindulatú/rosszindulatú Wi-Fi hozzáférési pontok:
    • Az Ön anonimizált Tor/VPN forgalma:
    • Egyes eszközök offline állapotban is nyomon követhetők:
  • Az Ön hardverazonosítói:
    • Az IMEI és IMSI (és ezáltal a telefonszáma):
    • Az Ön Wi-Fi vagy Ethernet MAC-címe:
    • Az Ön Bluetooth MAC-címe:
  • Az Ön CPU-ja:
  • Az Ön operációs rendszerei és alkalmazásai telemetriai szolgáltatások:
  • Az Ön intelligens eszközei általában:
  • Önmagad:
    • Az Ön metaadatai, beleértve a földrajzi helyzetét:
    • Az Ön digitális ujjlenyomata, lábnyoma és online viselkedése:
    • A valós életedre és az OSINT-re vonatkozó nyomok:
    • Az arcod, a hangod, a biometrikus adatok és a képeid:
    • Adathalászat és Social Engineering:
  • Rosszindulatú programok, exploitok és vírusok:
    • Kártékony programok az Ön fájljaiban/dokumentumaiban/e-mailjeiben:
    • Kártevők és exploitok az Ön alkalmazásaiban és szolgáltatásaiban:
    • Rosszindulatú USB-eszközök:
    • Kártékony programok és hátsó ajtók a hardver firmware-ben és az operációs rendszerben:
  • Az Ön fájljai, dokumentumai, képei és videói:
    • Tulajdonságok és metaadatok:
    • Vízjelek:
    • Pixelizált vagy elmosódott információk:
  • Az Ön kriptovaluta tranzakciói:
  • Az Ön felhőalapú biztonsági mentései/szinkronizálási szolgáltatásai:
  • Az Ön böngésző- és eszköz-ujjlenyomata:
  • Helyi adatszivárgások és törvényszéki vizsgálatok:
  • Rossz kriptográfia:
  • Nem naplóznak, de mégis naplóznak házirendek:
  • Néhány fejlett célzott technika:
  • Néhány bónusz erőforrás:
  • Jegyzetek:
• Általános előkészületek:
  • Az útvonal kiválasztása:
    • Időzítési korlátok:
    • Költségvetés/anyagkorlátozások:
    • Képességek:
    • Ellenfelek (fenyegetések):
  • Lépések minden útvonalhoz:
    • Névtelen telefonszám beszerzése:
    • Szerezzen egy USB-kulcsot:
    • Keressen néhány biztonságos helyet, ahol van tisztességes nyilvános Wi-Fi:
  • A TAILS útvonal:
    • Whonix használatával a TAILS-en belül: Tartós Plausible Deniability:
  • Lépések az összes többi útvonalhoz:
    • Szerezz egy dedikált laptopot az érzékeny tevékenységeidhez:
    • Néhány laptop-ajánlás:
    • Bios/UEFI/Firmware beállítások a laptopon:
    • Fizikai hamisítás elleni védelem a laptopon:
  • A Whonix útvonal:
    • A Host OS kiválasztása (a laptopra telepített operációs rendszer):
    • Linux Host OS:
    • MacOS Host OS:
    • Windows Host OS:
    • Virtualbox a Host OS-en:
    • Válassza ki a csatlakozási módszert:
    • Válassza ki a csatlakozási módot: Szerezzen be egy névtelen VPN/Proxy-t:
    • Whonix:
    • Tor over VPN:
    • Whonix Virtual Machines:
    • Virtuális gép: Válassza ki a vendég munkaállomást:
    • Linux virtuális gép (Whonix vagy Linux):
    • Virtuális gép: Windows 10:
    • Virtuális gép: Android:
    • Virtuális gép: MacOS:
    • KeepassXC:
    • VPN kliens telepítése (készpénz/Monero fizetett):
    • (Opcionális), amely csak a VM-ek számára teszi lehetővé az internet-hozzáférést, miközben levágja a Host OS-t, hogy megakadályozza a szivárgást:
    • Utolsó lépés:
  • A Qubes útvonal:
    • Válassza ki a csatlakozási módszert:
    • Szerezzen be egy névtelen VPN/Proxy-t:
    • Telepítés:
    • Viselkedés: A fedél lezárása:
    • Csatlakozás egy nyilvános Wi-Fi hálózathoz:
    • Qubes OS frissítése:
    • Qubes OS keményítése:
    • A VPN ProxyVM beállítása:
    • Biztonságos böngésző beállítása a Qube OS-en belül (opcionális, de ajánlott):
    • Android VM beállítása:
    • KeePassXC:
• Névtelen online identitások létrehozása:
  • Az anonimitás megakadályozására és a személyazonosság ellenőrzésére használt módszerek megértése:
    • Captchák:
    • Telefonos ellenőrzés:
    • E-mail ellenőrzés:
    • Felhasználói adatok ellenőrzése:
    • Személyazonossági igazolás ellenőrzése:
    • IP-szűrők:
    • Böngésző és eszköz ujjlenyomat:
    • Emberi interakció:
    • Felhasználói moderálás:
    • Viselkedéselemzés:
    • Pénzügyi tranzakciók:
    • Bejelentkezés valamilyen platformmal:
    • Élő arcfelismerés és biometria (ismét):
    • Kézi felülvizsgálatok:
  • Internetre kerülés:
    • Új személyazonosságok létrehozása:
    • A valódi névrendszer:
    • A fizetős szolgáltatásokról:
    • A fizetős szolgáltatásokról: Áttekintés:
    • Fájlok megosztása vagy névtelen csevegés: Hogyan osszunk meg fájlokat vagy csevegjünk névtelenül?
    • A dokumentumok/képek/videók/hangok biztonságos szerkesztése:
    • Érzékeny információk közlése különböző ismert szervezetekkel:
    • Karbantartási feladatok:
• A munka biztonságos biztonsági mentése:
  • Offline biztonsági mentések:
    • Kijelölt fájlok biztonsági mentése:
    • Teljes lemez/rendszer biztonsági mentések:
  • Biztonsági mentések: Online biztonsági mentések:
    • Fájlok:
    • Biztonsági mentések: Információk:
  • Fájlok szinkronizálása az eszközök között Online:
• Nyomok eltüntetése:
  • A HDD vs. SSD megértése:
    • Kopás-korrekció.
    • Trimmelési műveletek:
    • Szemétgyűjtés:
    • Következtetés:
  • Hogyan lehet biztonságosan törölni az egész laptopot/meghajtókat, ha mindent törölni akarsz:
    • Linux (minden verzió, beleértve a Qubes OS-t is):
    • Windows:
    • MacOS:
  • Hogyan lehet biztonságosan törölni bizonyos fájlokat/mappákat/adatokat a HDD/SSD és a pendrive-okon:
    • Windows:
    • Linux (nem Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Néhány további intézkedés a törvényszékiek ellen:
    • Fájlok/Dokumentumok/Képek metaadatainak eltávolítása:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (nem Qubes OS):
    • Windows:
  • A keresőmotorokban és a különböző platformokon található személyazonosságának néhány nyomának eltávolítása:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex: Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipédia:
    • Ma: Archive.today:
    • Internet Archive:
• Archívum: Néhány régimódi, alacsony technikai szintű trükk:
  • Rejtett kommunikáció a nyílt színen:
  • Hogyan szúrhatod ki, ha valaki átkutatta a cuccaidat:
• Néhány utolsó OPSEC gondolat:
• Ha azt hiszed, hogy megégetted magad:
  • Ha van egy kis ideje:
  • Ha nincs időd:
• Egy kis utolsó szerkesztői megjegyzés

 

[HEISENBERG]

Költségvetés/anyagkorlátozások.

• Csak egy laptop áll rendelkezésére, és nem engedhet meg magának mást. Ezt a laptopot vagy a munkájához, vagy a családjához, vagy a személyes dolgaihoz használja (vagy mindkettőhöz):
  
  • A legjobb választás a Tails útvonal.
• Megengedhet magának egy tartalék dedikált, felügyelet nélküli/monitorozás nélküli laptopot az érzékeny tevékenységeihez:
  
  • De régi, lassú és rossz specifikációkkal rendelkezik (kevesebb, mint 6 GB RAM, kevesebb, mint 250 GB lemezterület, régi/lassú CPU):
    
    • A Tails megoldást kellene választania.
  • Nem olyan régi, és tisztességes specifikációkkal rendelkezik (legalább 6 GB RAM, 250 GB lemezterület vagy több, tisztességes CPU):
    
    • Választhatja a Tails, Whonix útvonalakat.
  • Ez új, és remek specifikációkkal rendelkezik (több mint 8GB RAM, >250GB lemezterület, legújabb gyors CPU):
    
    • Bármelyik útvonalat választhatja, de én a Qubes OS-t javasolnám, ha a fenyegetettségi modellje lehetővé teszi.
  • Ha ez egy ARM-alapú M1 Mac:
    
    • Jelenleg nem lehetséges ezekből az okokból:
      
      • A Whonix még nem támogatja a kereskedelmi szoftvereket (Parallels).
      • A Virtualbox még nem érhető el ARM architektúrára.
      • A Whonix még nem támogatott ARM architektúrán.
      • A Tails még nem támogatott ARM architektúrán.
      • A Qubes OS még nem támogatott ARM architektúrán.

Az egyetlen lehetőséged az M1-es Maceken valószínűleg az, hogy egyelőre maradj a Tor Browsesszel. De azt hiszem, hogy ha megengedhetsz magadnak egy M1 Mac-et, akkor valószínűleg egy dedikált x86-os laptopot kellene szerezned az érzékenyebb tevékenységekhez.

 

[HEISENBERG]

Készségek.

• Egyáltalán nem rendelkezik informatikai ismeretekkel az útmutató tartalma idegen nyelvnek tűnik Önnek?
  
  • A Farok útvonalat kellene választania (kivéve a tartósan hihető tagadhatósági részt).
• Van némi informatikai ismereted, és eddig nagyjából érted ezt az útmutatót.
  
  • A Tails (beleértve a tartósan hihető tagadhatósági részt) vagy a Whonix útvonalat kellene választanod.
• Közepes vagy magas szintű informatikai ismeretekkel rendelkezik, és már ismeri az útmutató tartalmának egy részét.
  
  • Bármit választhatsz, de én erősen ajánlom a Qubes OS-t.
• Te l33T hacker vagy, "nincs kanál", "a torta hazugság", évek óta használod a "doas"-t és "minden alapod a miénk", és határozott véleményed van a systemd-ről.
  
  • Ez az útmutató nem igazán neked szól és nem fog segíteni a HardenedBSD-ddel a hardened Libreboot laptopodon ;-)

 

[HEISENBERG]

Ellenfelek (fenyegetések).

• Ha a fő gondja az eszközök törvényszéki vizsgálata:
  
  • A Tails útvonalat kell választania (opcionális tartósan fennálló hihető tagadhatósággal).
• Ha a fő aggályai a távoli ellenfelek, akik különböző platformokon leleplezhetik online identitását:
  
  • A Whonix vagy a Qubes OS útvonalat választhatja.
  • A Tails útvonalat is választhatja (opcionális tartósan hihető tagadhatósággal).
• Ha a kockázatok ellenére mindenképpen rendszerszintű plauzible deniability-t szeretne:
  
  • választhatod a Tails útvonalat, beleértve a tartósan hihető tagadhatósági szakaszt is.
  • A Whonix útvonalat is választhatod (csak Windows host OS-en, az útmutató keretein belül).
• Ha olyan ellenséges környezetben van, ahol a Tor/VPN használata önmagában lehetetlen/veszélyes/gyanús:
  
  • A Tails útvonalat választhatja (Tor használata nélkül).
  • A Whonix vagy Qubes OS útvonalat is választhatod (a Whonix használata nélkül).

Minden esetben érdemes elolvasnod ezt a két oldalt a Whonix dokumentációjából, amelyek mélyreható betekintést nyújtanak a választási lehetőségeidről:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

Talán felteszi magának a kérdést: "Honnan tudom, hogy ellenséges online környezetben vagyok-e, ahol a tevékenységeket aktívan figyelik és blokkolják?".

• Először itt olvashatsz erről bővebben az EFF-nél: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org]
• Nézz meg néhány adatot te magad is itt, a Tor Project OONI (Open Observatory of Network Interference) weboldalán: https://explorer.ooni.org/ [Archive.org].
• Nézd meg a https://censoredplanet.org/ [Archive.org] honlapot, hátha vannak adatok az országodról.
• Teszteld magad az OONI segítségével (ez ellenséges környezetben kockázatos lehet).

 

[HEISENBERG]

Lépések minden útvonalon.

Szokjon hozzá a jobb jelszavak használatához.

Lásd az A2. függeléket: Útmutató a jelszavakra és jelszókifejezésekre vonatkozóan.

Szerezzen névtelen telefonszámot.

Hagyja ki ezt a lépést, ha nem áll szándékában anonim fiókot létrehozni a legtöbb mainstream platformon, hanem csak anonim böngészést szeretne, vagy ha az Ön által használni kívánt platformok telefonszám nélkül is lehetővé teszik a regisztrációt.

Fizikai égő telefon és előre fizetett SIM-kártya.

Szerezzen be egy eldobható telefont.

Ez meglehetősen egyszerű. Elutazás előtt hagyja kikapcsolva vagy kapcsolja ki az okostelefonját. Legyen nálad némi készpénz, és menj el egy véletlenszerű bolhapiacra vagy kisboltba (ideális esetben olyanba, ahol se kívül, se belül nincs térfigyelő kamera, és ahol nem fényképeznek/filmeznek), és vedd meg a legolcsóbb telefont, amit csak találsz, készpénzzel és személyes adatok megadása nélkül. Csak működőképesnek kell lennie.


Én személy szerint egy régi, kivehető akkumulátorral rendelkező "butatelefont" ajánlanék (régi Nokia, ha a mobilhálózat még lehetővé teszi a csatlakozást, mivel egyes országokban az 1G-2G-t teljesen kivonták a forgalomból). Ezzel elkerülhető, hogy a telefon automatikusan küldjön/gyűjtögessen bármilyen telemetriai/diagnosztikai adatot. Soha ne csatlakoztassa ezt a telefont semmilyen Wi-Fi hálózathoz.


Az is kulcsfontosságú lesz, hogy soha ne kapcsolja be az eldobható telefont (még a SIM-kártya nélkül sem) olyan földrajzi helyen, amely elvezethet Önhöz (például otthonában/munkahelyén), és soha ne legyen ugyanazon a helyen, mint a másik ismert okostelefonja (mert annak IMEI/IMSI-je könnyen elvezethet Önhöz). Ez nagy tehernek tűnhet, de nem az, mivel ezeket a telefonokat csak a beállítási/bejelentkezési folyamat során és időről időre ellenőrzésre használják.


Lásd az N. függeléket: Figyelmeztetés az okostelefonokról és az intelligens eszközökről


A következő lépés előtt ellenőrizze, hogy a telefon működőképes-e. De megismétlem magam, és újra leszögezem, hogy fontos, hogy induláskor hagyja otthon az okostelefont (vagy kapcsolja ki indulás előtt, ha muszáj magánál tartania), és hogy a telefont egy véletlenszerű helyen tesztelje, amelyet nem lehet visszakövetni Önhöz (és ismétlem, ne tegye ezt CCTV előtt, kerülje a kamerákat, legyen tekintettel a környezetére). Ezen a helyen nincs szükség Wi-Fi-re sem.


Ha megbizonyosodott arról, hogy a telefon működőképes, kapcsolja ki a Bluetooth-t, majd kapcsolja ki (ha teheti, vegye ki az akkumulátort), és menjen haza, és folytassa a szokásos tevékenységét. Lépjen tovább a következő lépésre.

Szerezzen be egy névtelen, előre fizetett SIM-kártyát.

Ez a legnehezebb része az egész útmutatónak. Ez egy SPOF (Single Point of Failure). A különböző KYC típusú szabályozások miatt egyre jobban beszűkülnek azok a helyek, ahol még mindig lehet személyazonossági regisztráció nélküli prepaid SIM-kártyát vásárolni.


Itt van tehát egy lista azokról a helyekről, ahol most még lehet kapni: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


Meg kell találnod egy olyan helyet, ami "nincs túl messze", és csak fizikailag kell odamenned, hogy vegyél néhány előre fizetett kártyát és készpénzzel feltöltött utalványt. Ellenőrizd, hogy nem született-e olyan törvény, mielőtt elmész, ami kötelezővé tenné a regisztrációt (ha esetleg a fenti wiki nem lenne frissítve). Próbálja meg elkerülni a CCTV-t és a kamerákat, és ne felejtsen el a SIM-kártyával együtt egy feltöltési utalványt is vásárolni (ha nem csomagról van szó), mivel a legtöbb pre-paid kártya használat előtt feltöltést igényel.


Lásd az N. függeléket: Figyelmeztetés az okostelefonokkal és okoseszközökkel kapcsolatban.


Mielőtt odamegy, kétszer is ellenőrizze, hogy az előre fizetett SIM-kártyákat árusító mobilszolgáltatók elfogadják-e a SIM-kártya aktiválását és feltöltését bármilyen személyazonossági regisztráció nélkül. Ideális esetben a SIM-aktiválást és feltöltést az Ön lakóhelye szerinti országból fogadják el.


Én személy szerint a GiffGaff-ot ajánlanám az Egyesült Királyságban, mivel "megfizethető", nem igényel személyazonosságot az aktiváláshoz és feltöltéshez, és még azt is lehetővé teszi, hogy akár kétszer is megváltoztassa a számát a weboldalukról. Egy GiffGaff prepaid SIM-kártya tehát 3 számot biztosít az Ön igényeinek megfelelően.


Aktiválás/feltöltés után és hazamenetel előtt kapcsolja ki a telefont. Soha többé ne kapcsolja be, kivéve, ha olyan helyen tartózkodik, amely alkalmas arra, hogy felfedje személyazonosságát, és ha az okostelefonját kikapcsolja, mielőtt a "nem az otthonába" megy.

Online telefonszám (kevésbé ajánlott).

KIZÁRÓLAG: Ne próbálkozzon ezzel addig, amíg a kiválasztott útvonalak valamelyikének megfelelően be nem állította a biztonságos környezetet. Ez a lépés online hozzáférést igényel, és csak névtelen hálózatról végezhető. Ne végezze ezt ismert/nem biztonságos környezetből. Hagyja ki ezt a lépést, amíg nem fejezte be az egyik útvonal beállítását.


Számos kereskedelmi szolgáltatás kínál számokat SMS-üzenetek online fogadására, de ezek többsége alapvetően nem rendelkezik anonimitással/magánéletvédelemmel, és nem lehet segítségükre, mivel a legtöbb közösségi médiaplatform korlátozza, hogy egy telefonszámot hányszor lehet regisztrációra használni.


Vannak olyan fórumok és subredditek (például r/phoneverification/), ahol a felhasználók felajánlják az ilyen SMS-üzenetek fogadásának szolgáltatását egy kis díj ellenében (PayPal vagy valamilyen kriptofizetés segítségével). Sajnos ezek tele vannak csalókkal és nagyon kockázatosak az anonimitás szempontjából. Ezeket semmilyen körülmények között nem szabad használni.


A mai napig nem ismerek olyan jó hírű szolgáltatást, amely ezt a szolgáltatást nyújtaná és készpénzfizetést fogadna el (például postai úton), mint egyes VPN szolgáltatók. De van néhány olyan szolgáltatás, amely online telefonszámot biztosít, és elfogadja a Monero-t, ami elfogadhatóan anonim lehet (de kevésbé ajánlott, mint az előző fejezetben említett fizikai út), amit megfontolhat:

• Ajánlott: Nem igényelnek semmilyen azonosítást (még e-mailt sem):
  
  • (UK alapú, az írás időpontjában elérhetetlennek tűnik) https://dtmf.io/ [Archive.org] előnyben részesített, mert még egy hagymás rejtett szolgáltatási címet is biztosítanak a Tor-hálózaton keresztül történő közvetlen eléréshez a http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/ címen .
  • (izlandi székhelyű) https://crypton.sh [Archive.org]
  • (ukrán alapú) https://virtualsim.net/ [Archive.org]
• Azonosítást igényelnek (érvényes e-mail):
  
  • (Németországban található) https://www.sms77.io/ [Archive.org]
  • (oroszországi székhelyű) https://onlinesim.ru/ [Archive.org]

Van még néhány más lehetőség is, amelyek itt vannak felsorolva: https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Használja saját felelősségére.


DISCLAIMER: Nem tudok kezeskedni egyik szolgáltatóért sem, ezért továbbra is azt javaslom, hogy fizikailag maga végezze el. Ebben az esetben a Monero anonimitására kell hagyatkoznod, és nem szabad olyan szolgáltatást használnod, amely bármilyen azonosítást igényel a valós személyazonosságod felhasználásával. Kérem, olvassa el ezt a Monero felelősségvállalási nyilatkozatot.


Ezért IMHO valószínűleg sokkal kényelmesebb, olcsóbb és kevésbé kockázatos, ha csak egy előre fizetett SIM-kártyát szerez be valamelyik fizikai helyről, amely még mindig készpénzért árulja őket, anélkül, hogy személyazonossági regisztrációt követelne meg. De legalább van egy alternatíva, ha nincs más lehetőséged.

Szerezz egy USB-kulcsot.

Szerezzen be legalább egy vagy két tisztességes méretű általános USB-kulcsot (legalább 16 GB, de én 32 GB-ot javasolnék).


Kérjük, ne vásároljon vagy használjon olyan trükkösen önrejtjelező eszközöket, mint például ezek: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org]


Egyesek nagyon hatékonyak lehetnek, de sok közülük olyan trükkös kütyü, amely nem nyújt valódi védelmet.

Keressen néhány biztonságos helyet tisztességes nyilvános Wi-Fi-vel.

Biztonságos helyeket kell találnia, ahol a nyilvánosan elérhető Wi-Fi segítségével (fiók/azonosító regisztráció nélkül, a CCTV-k elkerülése nélkül) végezheti érzékeny tevékenységeit.


Ez lehet bárhol, ami nem kötődik közvetlenül Önhöz (az otthonához/munkahelyéhez), és ahol egy ideig nyugodtan használhatja a Wi-Fi-t anélkül, hogy zavarnák. De olyan hely is, ahol ezt úgy teheted meg, hogy senki sem "veszi észre".


Ha úgy gondolod, hogy a Starbucks jó ötlet, akkor érdemes átgondolnod:

• Valószínűleg minden üzletükben van térfigyelő kamera, és ezeket a felvételeket ismeretlen ideig megőrzik.
• A legtöbb helyen a Wi-Fi hozzáférési kód megszerzéséhez kávét kell venned. Ha ezt a kávét elektronikus módszerrel fizeted ki, akkor a Wi-Fi hozzáférést a személyazonosságodhoz tudják kötni.

A helyzettudatosság kulcsfontosságú, és folyamatosan tisztában kell lennie a környezetével, és kerülje a turisztikai helyeket, mintha ebolával fertőzött lenne. El akarod kerülni, hogy megjelenj bárkinek a képén/videóján, miközben valaki éppen szelfit készít, TikTok-videót készít, vagy valami utazási képet posztol az Instagramjára. Ha mégis megteszed, ne feledd, nagy az esélye, hogy ezek a képek (nyilvánosan vagy magánjelleggel) felkerülnek az internetre, teljes metaadatokkal (idő/időpont/helyszín) és az arcoddal együtt. Ne feledje, hogy ezeket a Facebook/Google/Yandex/Apple és valószínűleg mindhárom ügynökség indexelheti és indexelni is fogja.


Bár ez még nem lesz elérhető a helyi rendőrök számára, de a közeljövőben igen.


Ideális esetben 3-5 különböző ilyen helyre lesz szüksége, hogy ne használja ugyanazt a helyet kétszer. A hetek során több utazásra lesz szükség az útmutató különböző lépéseihez.


Azt is megfontolhatod, hogy a nagyobb biztonság érdekében biztonságos távolságból csatlakozz ezekhez a helyekhez. Lásd a Q függeléket: Nagy hatótávolságú antenna használata a nyilvános Wi-Fi-hoz való csatlakozáshoz biztonságos távolságból.

 

[HEISENBERG]

A farok útvonalon.

Az útmutató ezen része segítséget nyújt a Tails beállításához, ha az alábbiak közül valamelyik igaz:

• Nem engedhet meg magának egy dedikált laptopot
• A dedikált laptopja túl öreg és túl lassú.
• Nagyon alacsony informatikai ismeretekkel rendelkezik
• Úgy dönt, hogy mindenképpen a Tails-t választja

A Tails az Amnesic Incognito Live System rövidítése. Ez egy USB-kulcsról indítható Live Operációs Rendszer, amelyet úgy terveztek, hogy ne hagyjon nyomokat, és minden kapcsolatot a Tor-hálózaton keresztül kényszerítsen.


A Tails USB-kulcsot nagyjából behelyezed a laptopodba, bootolsz róla, és máris egy teljes operációs rendszer fut a magánélet és az anonimitás jegyében. Amint kikapcsolod a számítógépet, minden eltűnik, hacsak nem mentetted el valahova.


A Tails egy nagyon egyszerű módja annak, hogy pillanatok alatt beinduljon azzal, amid van, és különösebb tanulás nélkül. Kiterjedt dokumentációval és útmutatókkal rendelkezik.


FIGYELMEZTETÉS: A Tails nem mindig naprakész a csomagban lévő szoftverekkel. És nem mindig naprakész a Tor Browser frissítéseivel sem. Mindig győződjön meg róla, hogy a Tails legújabb verzióját használja, és legyen rendkívül óvatos, amikor a Tails-en belül csomagolt alkalmazásokat használ, amelyek sebezhetőek lehetnek a kihasználásokkal szemben, és felfedhetik a tartózkodásihelyét265.


Van azonban néhány hátránya is:

• A Tails a Tor-t használja, ezért az interneten található bármely erőforrás eléréséhez a Tor-t kell használnia. Ez önmagában gyanússá teszi a legtöbb olyan platformon, ahol anonim fiókokat szeretne létrehozni (ezt később részletesebben is kifejtjük).
• Az internetszolgáltatója (akár a saját, akár valamilyen nyilvános Wi-Fi) szintén látni fogja, hogy a Tor-t használja, és ez már önmagában is gyanússá teheti.
• A Tails nem tartalmaz (natívan) néhány olyan szoftvert, amit később használni szeretnél, ami eléggé megnehezíti a dolgokat, ha bizonyos dolgokat szeretnél futtatni (például Android emulátorokat).
• A Tails a Tor Browser-t használja, ami bár nagyon biztonságos, a legtöbb platformon is felismerhető, és sok platformon akadályozza az anonim identitás létrehozását.
• A Tails nem véd meg jobban az 5$-os kulcs8tól.
• A Tor önmagában nem biztos, hogy elég ahhoz, hogy megvédjen egy olyan ellenféltől, aki elég erőforrással rendelkezik, ahogy azt korábban már elmagyaráztuk.

Fontos megjegyzés: Ha a laptopodat megfigyelik/felügyelik, és vannak helyi korlátozások, olvasd el az U függeléket: Hogyan kerülheted ki a helyi korlátozásokat (néhány) felügyelt számítógépen.


A továbbiak előtt olvassa el a Tails dokumentációt, a figyelmeztetéseket és a korlátozásokat is: https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


Mindezt figyelembe véve, és azt a tényt, hogy a dokumentációjuk nagyszerű, én csak átirányítalak a jól elkészített és karbantartott bemutatójuk felé:


https://tails.boum.org/install/index.en.html [Archive.org], válassza ki az ízlését és folytassa.


Ha kész vagy, és van egy működő Tails a laptopodon, menj tovább az anonim online identitásod létrehozásának lépéséhez, ami sokkal tovább van ebben az útmutatóban.


Ha cenzúra vagy egyéb problémák miatt problémád van a Tor elérésével, megpróbálhatod a Tor Bridges használatát, követve ezt a Tails bemutatót: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org], és további információkat találsz ezekről a Tor dokumentáción: https://2019.www.torproject.org/docs/bridges [Archive.org] .


Ha úgy gondolod, hogy a Tor használata önmagában veszélyes/gyanús, lásd a P függeléket: A lehető legbiztonságosabb internet-hozzáférés, ha a Tor/VPN nem lehetséges.

 

[HEISENBERG]

Tartós hihető tagadhatóság a Whonix segítségével a Tails-en belül.

Fontolja meg a https://github.com/aforensics/HiddenVM [Archive.org] projekt ellenőrzését a Tails számára.


Ez a projekt egy okos ötlet egy egykattintásos, önálló VM-megoldásról, amelyet a plausible deniability256 használatával titkosított lemezen tárolhat (lásd A Whonix útvonal: első fejezetek, valamint a Plausible deniability néhány magyarázatát, valamint a Hogyan törölhetünk biztonságosan bizonyos fájlokat/mappákat/adatokat a HDD/SSD és a Thumb meghajtókon: című részt az útmutató végén a további megértéshez).


Ez lehetővé tenné egy hibrid rendszer létrehozását, amely a Tails-t és a Whonix útvonal virtualizációs lehetőségeit keveri ebben az útmutatóban.

Megjegyzés: A Stream izolációval kapcsolatos további magyarázatokért lásd: Válassza ki a csatlakozási módszert a Whonix útvonalban.


Röviden:

• Futtathatja a nem perzisztens Tails-t egy USB-kulcsról (az ajánlásaikat követve).
• A tartós VM-eket tárolhatná egy másodlagos zárt tárolóban, amely titkosítható normál módon vagy a Veracrypt plausible deniability funkcióval (ezek lehetnek például Whonix VM-ek vagy bármely más).
• A hozzáadott Tor Stream Isolation funkció előnyeit élvezheted (lásd a Tor over VPN-t a stream isolationről szóló további információkért).

Ebben az esetben, ahogy a projekt felvázolja, nem maradhatnak nyomok a számítógépén végzett tevékenységeiről, és az érzékeny munkát egy Hidden konténerbe tárolt VM-ekből végezheti, amelyeket nem lehet könnyen felfedezni egy puha ellenfél által.


Ez a lehetőség különösen érdekes a "könnyű utazáshoz" és a törvényszéki támadások mérséklésére, miközben a munkád perzisztenciája megmarad. Mindössze 2 USB-kulcsra van szükséged (egy Tails és egy Veracrypt konténerrel, amely a perzisztens Whonixot tartalmazza). Az első USB-kulcs látszólag csak Tails-t tartalmaz, a második USB-kulcs pedig látszólag csak véletlenszerű szemetet tartalmaz, de van egy csaló kötet, amelyet a hihető tagadás érdekében fel tudsz mutatni.


Azon is elgondolkodhatsz, hogy ez egy "Tor over Tor" beállítást eredményez-e, de nem fog. A Whonix VM-ek közvetlenül a clearneten keresztül érik el a hálózatot, nem pedig a Tails Onion Routingon keresztül.


A jövőben ezt maga a Whonix projekt is támogatni fogja, ahogyan azt itt elmagyarázzák: https://www.whonix.org/wiki/Whonix-Host [Archive.org], de ez egyelőre nem ajánlott a végfelhasználók számára.


Ne feledje, hogy a titkosítás, akár hihető tagadhatósággal, akár anélkül, nem egy csodafegyver, és kínzás esetén kevés hasznát veszi. Ami azt illeti, attól függően, hogy ki lenne az ellenfél (a fenyegetettségi modell), lehet, hogy bölcs dolog egyáltalán nem használni a Veracryptet (korábban TrueCrypt), ahogy ez a bemutató is mutatja: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


A hihető tagadhatóság csak olyan puha, törvényes ellenfelek ellen hatékony, akik nem folyamodnak fizikai eszközökhöz.


Lásd: https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org ] .


FIGYELEM: Kérjük, olvassa el a K. függelék: Megfontolások külső SSD-meghajtók használatához és a HDD vs. SSD szakaszok megértése című fejezeteket, ha ilyen rejtett VM-ek külső SSD-meghajtón való tárolását fontolgatja:

• Ne használjon rejtett köteteket SSD-meghajtókon, mivel ezt a Veracrypt nem támogatja/ajánlja.
• Használjon inkább fájlkonténereket a titkosított kötetek helyett.
• Győződjön meg róla, hogy tudja, hogyan kell megfelelően megtisztítani az adatokat egy külső SSD-meghajtóról.

Itt van az útmutatóm arról, hogyan érheti el ezt:

Első futtatás.

• https://github.com/aforensics/HiddenVM/releases [Archive.org]
• Töltse le a legújabb Whonix XFCE kiadást a https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org] címről .
• Készítsen elő egy USB kulcsot/meghajtót Veracrypt segítségével
  
  • Hozzon létre egy rejtett kötetet az USB/kulcs meghajtón (én legalább 16 GB-ot javasolnék a rejtett kötethez).
  • A külső kötetben helyezzen el néhány csali fájlt.
  • A rejtett kötetben helyezze el a HiddenVM appimage fájlt.
  • A rejtett kötetben helyezze el a Whonix XFCE ova fájlt
• Indítsa el a Tails rendszert
• Állítsa be a billentyűzetkiosztást a kívánt módon.
• Válassza ki a További beállításokat, és állítson be egy rendszergazdai (root) jelszót (a HiddenVM telepítéséhez szükséges).
• Indítsa el a Tails-t
• Csatlakozzon egy biztonságos wi-fi-hez (ez egy szükséges lépés ahhoz, hogy a többi működjön)
• Menjen a Segédprogramok menüpontba és oldja fel a Veracrypt (rejtett) kötetét (ne felejtse el bejelölni a rejtett kötet jelölőnégyzetet)
• Indítsa el a HiddenVM appimage-et
• Amikor a mappa kiválasztására kérdezünk, válasszuk ki a rejtett kötet gyökerét (ahol a Whonix OVA és a HiddenVM app image fájljai vannak).
• Hagyja, hogy tegye a dolgát (Ez gyakorlatilag egy kattintással telepíti a Virtualbox-ot a Tails-en belül).
• Ha végzett, automatikusan el kell indítania a Virtualbox Manager-t.
• Importálja a Whonix OVA fájlokat (lásd Whonix Virtual Machines:)

Megjegyzés: ha az importálás során olyan problémák merülnek fel, mint például az "NS_ERROR_INVALID_ARG (0x80070057)", akkor ez valószínűleg azért van, mert a Whonix számára nincs elég lemezterület a rejtett köteteden. A Whonix maga 32 GB szabad helyet javasol, de ez valószínűleg nem szükséges, és kezdetnek 10 GB is elég lehet. Megpróbálhatod megkerülni ezt a hibát, ha a Whonix *.OVA fájlt átnevezed *.TAR-ra, és a Tails-en belül dekompresszálod. Ha végzett a dekompresszióval, törölje az OVA fájlt, és importálja a többi fájlt az Importálás varázslóval. Ezúttal talán működni fog.

Későbbi futtatások.

• Boot to Tails
• Csatlakozás Wi-Fihez
• Nyissa fel a rejtett kötetet
• Indítsa el a HiddenVM alkalmazást
• Ennek automatikusan meg kell nyitnia a VirtualBox kezelőt, és meg kell mutatnia a korábbi VM-eket az első futtatásból.

 

[HEISENBERG]

Lépések minden más útvonalon.

Szerezzen be egy dedikált laptopot az érzékeny tevékenységekhez.

Ideális esetben egy dedikált laptopot szerezzen be, amely nem kötődik Önhöz semmilyen egyszerű módon (ideális esetben névtelenül készpénzzel fizetve, és ugyanazokat az óvintézkedéseket alkalmazva, mint amelyeket korábban a telefon és a SIM-kártya esetében említettünk). Ez ajánlott, de nem kötelező, mert ez az útmutató segít abban, hogy a lehető legjobban megkeményítse a laptopját, hogy megakadályozza a különböző eszközökkel történő adatszivárgást. Több védelmi vonal is áll majd az online identitásod és közted, ami a jelentős erőforrásokkal rendelkező állami/globális szereplőkön kívül a legtöbb ellenfélnek meg kell akadályoznia, hogy anonimizáljanak téged.


Ez a laptop ideális esetben egy tiszta, frissen telepített laptop (Windows, Linux vagy MacOS operációs rendszerrel), amely mentes a szokásos napi tevékenységektől és offline (még soha nem csatlakozott a hálózathoz). Windowsos laptop esetén, és ha ilyen tiszta telepítés előtt használtad, akkor sem szabad aktiválni (termékkulcs nélkül újratelepíteni). Speciel a MacBookok esetében, azt korábban semmilyen módon nem szabadott volna a személyazonosságához kötni. Tehát vegyél használtan készpénzzel egy ismeretlen idegentől, aki nem ismeri a személyazonosságodat.


Ez a jövőbeni problémák enyhítése érdekében történik, amennyiben az online kiszivárgások (beleértve az operációs rendszer vagy az alkalmazások telemetriáját) veszélyeztethetik a laptop használat közbeni egyedi azonosítóit (MAC-cím, Bluetooth-cím és termékkulcs ...). De azért is, hogy elkerülje, hogy visszakövethető legyen, ha meg kell szabadulnia a laptopjától.


Ha ezt a laptopot korábban más célokra használta (például a mindennapi tevékenységeihez), akkor valószínűleg az összes hardverazonosítója ismert és regisztrált a Microsoft vagy az Apple által. Ha később ezen azonosítók bármelyike veszélybe kerül (rosszindulatú szoftverek, telemetria, exploitok, emberi hibák...), akkor ezek visszavezethetnek Önhöz.


A laptopnak legalább 250 GB lemezterületet , legalább 6 GB (ideális esetben 8 GB vagy 16 GB) RAM-ot kell tartalmaznia, és képesnek kell lennie több virtuális gép egyidejű futtatására. Működő akkumulátorral kell rendelkeznie, amely néhány órát bír.


Ez a laptop rendelkezhet HDD-vel (7200rpm) vagy SSD/NVMe meghajtóval. Mindkét lehetőségnek megvannak a maga előnyei és problémái, amelyeket később részletezünk.


Minden jövőbeli online lépést ezzel a laptoppal ideális esetben egy biztonságos hálózatról, például egy biztonságos helyen lévő nyilvános Wi-Fi hálózatról kell elvégezni (lásd: Keressen biztonságos helyeket tisztességes nyilvános Wi-Fi-vel). De számos lépést először offline kell megtenni.

 

[HEISENBERG]

Néhány laptopra vonatkozó ajánlás.

Ha megengedheti magának, érdemes megfontolni egy Purism Librem laptop(https://puri.sm [Archive.org]) vagy System76 laptop(https://system76.com/ [Archive . org]) beszerzését, miközben Corebootot használ (ahol az Intel IME gyárilag ki van kapcsolva).


Egyéb esetekben erősen javasolnám, hogy ha teheted, szerezz üzleti minőségű laptopokat (vagyis nem fogyasztói/játékos laptopokat). Például néhány ThinkPad a Lenovótól (személyes kedvencem). Itt vannak a Librebootot jelenleg támogató laptopok listái, illetve olyanok, ahol a Corebootot saját magad flashelheted (ami lehetővé teszi az Intel IME vagy az AMD PSP letiltását):

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

Ez azért van, mert ezek az üzleti laptopok általában jobb és testreszabhatóbb biztonsági funkciókat kínálnak (különösen a BIOS/UEFI beállításokban), hosszabb támogatással, mint a legtöbb fogyasztói laptop (Asus, MSI, Gigabyte, Acer...). Az érdekes funkciók, amelyekre érdemes figyelni IMHO:

• Jobb egyéni Secure Boot beállítások (ahol szelektíven kezelheti az összes kulcsot, és nem csak a szabványos kulcsokat használhatja).
• HDD/SSD jelszavak a BIOS/UEFI jelszavak mellett.
• Az AMD laptopok érdekesebbek lehetnek, mivel egyesek alapértelmezés szerint letilthatják az AMD PSP-t (az Intel IME AMD megfelelője) a BIOS/UEFI beállításokból. És mivel AFAIK, az AMD PSP-t auditálták, és az IME-vel ellentétben nem találtak semmilyen "gonosz" funkciót. Viszont ha a Qubes OS Route-t választod, akkor fontold meg az Intel-t, mivel ők nem támogatják az AMD-t a gonosztevők elleni rendszerükkel.
• Secure Wipe eszközök a BIOS-ból (különösen hasznos SSD/NVMe meghajtók esetén, lásd M függelék: BIOS/UEFI lehetőségek a lemezek törléséhez különböző márkákban).
• Jobb ellenőrzés a kiválasztott perifériák (USB portok, Wi-Fis, Bluetooth, kamera, mikrofon ...) letiltása/engedélyezése felett.
• Jobb biztonsági funkciók a virtualizációval.
• Natív manipuláció elleni védelem.
• Hosszabb támogatás a BIOS/UEFI frissítésekkel (és a későbbi BIOS/UEFI biztonsági frissítésekkel).
• Néhányat támogat a Libreboot

 

[HEISENBERG]

A laptop Bios/UEFI/Firmware beállításai.

PC.

Ezek a beállítások a laptop indítási menüjén keresztül érhetők el. Itt egy jó bemutató a HP-tól, amely elmagyarázza a BIOS elérésének minden módját a különböző számítógépeken: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org]


Általában úgy lehet hozzáférni, hogy a rendszerindításkor (az operációs rendszer előtt) megnyomunk egy adott billentyűt (F1, F2 vagy Del).


Ha már ott vagy, akkor néhány ajánlott beállítást kell alkalmaznod:

• Teljesen tiltsa le a Bluetooth-t, ha lehet.
• Tiltja le a biometrikus adatokat (ujjlenyomat-olvasók), ha van ilyen, ha tudja. Azonban hozzáadhatsz egy biometrikus kiegészítő ellenőrzést csak a rendszerindításhoz (pre-boot), de a BIOS/UEFI beállítások eléréséhez nem.
• Ha lehet, tiltsa le a webkamerát és a mikrofont.
• Engedélyezze a BIOS/UEFI jelszót, és jelszó helyett használjon hosszú jelszót (ha lehet), és gondoskodjon arról, hogy ez a jelszó kötelező legyen:
  
  • A BIOS/UEFI-beállítások eléréséhez.
  • A bootolási sorrend megváltoztatása
  • Az eszköz indítása/bekapcsolása
• A HDD/SSD jelszó engedélyezése, ha a funkció elérhető. Ez a funkció egy másik jelszót ad magához a HDD/SSD-hez (nem a BIOS/UEFI firmware-ben), amely megakadályozza, hogy ezt a HDD/SSD-t jelszó nélkül egy másik számítógépben használják. Ne feledje, hogy ez a funkció is csak egyes gyártókra jellemző, és speciális szoftverre lehet szükség ahhoz, hogy ezt a lemezt egy teljesen más számítógépről feloldja.
• Ha lehetséges, akadályozza meg a BIOS/UEFI jelszó megadása nélkül a rendszerindítási beállításokhoz (a rendszerindítási sorrendhez) való hozzáférést.
• Tiltja le az USB/HDMI vagy bármely más portot (Ethernet, Firewire, SD-kártya ...), ha teheti.
• Tiltja le az Intel ME-t, ha tudja.
• Kapcsolja ki az AMD PSP-t, ha tudja (az AMD IME megfelelője, lásd: A CPU).
• Tiltja le a Secure Boot-ot, ha a QubesOS-t kívánja használni, mivel az nem támogatja azt a dobozból. Tartsa bekapcsolva, ha Linuxot/Windows-t kíván használni.
• Ellenőrizze, hogy a laptop BIOS-a rendelkezik-e biztonságos törlési lehetőséggel a HDD/SSD számára, ami szükség esetén kényelmes lehet.

Ezeket csak "szükség esetén" kapcsolja be, és használat után kapcsolja ki újra. Ez segíthet enyhíteni bizonyos támadásokat abban az esetben, ha a laptopját lefoglalják, miközben le van zárva, de még be van kapcsolva VAGY ha elég gyorsan le kellett kapcsolnia, és valaki birtokba vette (ezt a témát később ismertetjük ebben az útmutatóban).

A biztonságos rendszerindításról.

Röviden, ez egy UEFI biztonsági funkció, amelynek célja, hogy megakadályozza, hogy a számítógép olyan operációs rendszert indítson el, amelyről a bootloader nem a laptop UEFI firmware-ében tárolt speciális kulcsokkal lett aláírva.


Alapvetően, ha az operációs rendszerek (vagy a bootloader) támogatja, akkor a bootloader kulcsait az UEFI firmware-ben tárolhatja, és ez megakadályozza bármilyen nem engedélyezett operációs rendszer (például egy élő OS USB vagy bármi hasonló) indítását.


A Secure Boot beállításokat a BIOS/UEFI beállításokhoz való hozzáféréshez beállított jelszó védi. Ha rendelkezik ezzel a jelszóval, akkor kikapcsolhatja a Secure Bootot, és engedélyezheti a nem aláírt operációs rendszerek indítását a rendszerén. Ez segíthet enyhíteni néhány Evil-Maid-támadást (az útmutató későbbi részében ismertetjük).


A legtöbb esetben a Secure Boot alapértelmezés szerint ki van kapcsolva, vagy be van kapcsolva, de "beállítási" módban, ami lehetővé teszi bármely rendszer indítását. Ahhoz, hogy a Secure Boot működjön, az operációs rendszernek támogatnia kell azt, majd alá kell írnia a rendszerbetöltőjét, és ezeket az aláírási kulcsokat az UEFI firmware-nek kell továbbítania. Ezután a BIOS/UEFI beállításoknál el kell mennie, és el kell mentenie az operációs rendszertől származó kulcsokat, és a Secure Boot-ot a beállítási módról felhasználói módra (vagy bizonyos esetekben egyéni módra) kell váltania.


Ezt a lépést követően csak azok az operációs rendszerek lesznek képesek bootolni, amelyekből az UEFI firmware képes ellenőrizni a bootloader integritását.


A legtöbb laptopon a biztonságos rendszerindítás beállításai között már eleve tárolva van néhány alapértelmezett kulcs. Általában magától a gyártótól vagy egyes cégektől, például a Microsofttól származó kulcsok. Ez tehát azt jelenti, hogy alapértelmezés szerint mindig lehetséges lesz bizonyos USB-lemezek indítása még biztonságos indítással is. Ezek közé tartozik a Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla és sok más. A Secure Bootot azonban a QubesOS jelenleg egyáltalán nem támogatja.


Néhány laptopon kezelheted ezeket a kulcsokat, és eltávolíthatod a nem kívántakat egy "egyéni móddal", hogy csak a saját bootloaderedet engedélyezd, amit te magad is aláírhatsz, ha nagyon akarod.


Szóval, mitől véd meg a Secure Boot? Megvédi a laptopját attól, hogy a nem aláírt bootloadereket (az operációs rendszer szolgáltatója által) például bejuttatott rosszindulatú szoftverekkel indítsa el.


Mitől nem véd meg a Secure Boot?

• A Secure Boot nem titkosítja a lemezt, és egy ellenfél továbbra is egyszerűen kiveheti a lemezt a laptopból, és egy másik gép segítségével adatokat nyerhet ki róla. A Secure Boot ezért teljes lemeztitkosítás nélkül használhatatlan.
• A Secure Boot nem védi Önt egy aláírt rendszerbetöltőtől, amelyet maga a gyártó (a Windows esetében például a Microsoft) kompromittálna és aláírna. A legtöbb mainstream Linux disztribúció manapság már alá van írva, és a Secure Boot engedélyezésével is elindul.
• A Secure Boot ugyanúgy tartalmazhat hibákat és kihasználásokat, mint bármely más rendszer. Ha régi laptopot használ, amely nem részesül az új BIOS/UEFI frissítésekből, akkor ezeket nem lehet kijavítani.

Ezenkívül számos támadás lehetséges a Secure Boot ellen, amint azt a technikai videókban (részletesen) elmagyarázzák:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Tehát hasznos lehet, mint kiegészítő intézkedés néhány ellenféllel szemben, de nem minden ellenféllel szemben. A Secure Boot önmagában nem titkosítja a merevlemezt. Ez egy hozzáadott réteg, de ennyi.


Még mindig azt javaslom, hogy tartsd bekapcsolva, ha tudod.

Mac.

Szánjon egy percet a firmware jelszó beállítására az itt található útmutató szerint: https://support.apple.com/en-au/HT204455 [Archive.org]


A firmware jelszó-visszaállítási védelmét is érdemes engedélyezni (a Catalinától elérhető) az itt található dokumentáció szerint: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Ez a funkció csökkenti annak lehetőségét, hogy egyes ellenfelek hardveres hackeket használjanak a firmware jelszó letiltására/megkerülésére. Ne feledje, hogy ez megakadályozza azt is, hogy javítás esetén maga az Apple hozzáférjen a firmware-hez.

 

[HEISENBERG]

Fizikai hamisítás elleni védelem a laptopon.

Egy bizonyos ponton elkerülhetetlenül magára hagyja valahol ezt a laptopot. Nem fog vele aludni, és nem fogja mindenhová magával vinni minden egyes nap. A lehető legnehezebbé kell tennie, hogy bárki észrevétlenül megbabrálhassa. Ez leginkább néhány korlátozott ellenféllel szemben hasznos, akik nem fognak egy 5 dolláros csavarkulcsot használni ellened.


Fontos tudni, hogy egyes szakemberek számára triviálisan könnyű billentyűnaplózót telepíteni a laptopodra, vagy egyszerűen csak klónmásolatot készíteni a merevlemezedről, ami később lehetővé teszi számukra, hogy törvényszéki technikákkal kimutassák a titkosított adatok jelenlétét (erről később).


Itt van egy jó olcsó módszer arra, hogy a laptopot manipulációbiztossá tegye körömlakk (csillámmal) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (képekkel).


Bár ez egy jó olcsó módszer, gyanút is kelthet, mivel eléggé "feltűnő", és könnyen kiderülhet, hogy "van valami rejtegetnivalója". Vannak tehát finomabb módszerek ugyanennek az eredménynek az elérésére. Készíthet például közeli makrófotót a laptop hátsó csavarjairól, vagy egyszerűen csak egy nagyon kis mennyiségű gyertyaviaszt használhat az egyik csavaron belül, ami csak úgy nézhet ki, mint a szokásos szennyeződés. Ezután a csavarokról készült fényképek és az újak összehasonlításával ellenőrizheti a manipulációt. Lehet, hogy az orientációjuk egy kicsit megváltozott, ha az ellenfeled nem volt elég óvatos (pontosan ugyanúgy meghúzta őket, mint korábban). Vagy a csavarfej alján lévő viasz lehet, hogy megsérült a korábbiakhoz képest.

Ugyanezeket a technikákat lehet használni az USB-portok esetében is, ahol csak egy apró gyertyaviaszt kell a dugó belsejébe helyezni, ami megsérülne, ha egy USB-kulcsot dugnának bele.


Kockázatosabb környezetben rendszeresen ellenőrizze a laptopot a manipulálás szempontjából, mielőtt rendszeresen használná.

 

[HEISENBERG]

A Whonix útvonal.

A Host OS (a laptopra telepített operációs rendszer) kiválasztása.

Ez az útvonal széleskörűen használja a virtuális gépeket, ezek a virtualizációs szoftver futtatásához szükséges egy host OS. Az útmutatónak ebben a részében 3 ajánlott választási lehetőség áll rendelkezésére:

• Az Ön által választott Linux disztribúció (kivéve a Qubes OS-t).
• Windows 10 (lehetőleg Home kiadás a Bitlocker hiánya miatt)
• MacOS (Catalina vagy magasabb verzió)

Ezen kívül nagy a valószínűsége annak, hogy a Mac-ed Apple-fiókhoz van vagy volt kötve (a vásárláskor vagy a bejelentkezés után), és ezért az egyedi hardverazonosítók hardverazonosítók kiszivárgása esetén visszavezethetnek hozzád.


A Linux sem feltétlenül a legjobb választás az anonimitáshoz, a fenyegetettségi modelltől függően. Ennek oka, hogy a Windows használata lehetővé teszi számunkra, hogy kényelmesen használhassuk a Plausible Deniability (más néven Deniable Encryption) egyszerű használatát az operációs rendszer szintjén. A Windows sajnos egyúttal adatvédelmi rémálom is, de az egyetlen (kényelmes) lehetőség az OS-szintű plausible deniability használatára. A Windows telemetria és a telemetria blokkolása szintén széles körben dokumentált, ami sok problémát enyhíthet.


Mi is az a Plausible Deniability? Ez az a képesség, hogy együttműködhessen az eszközéhez/adataihoz hozzáférést kérő ellenféllel anélkül, hogy felfedné a valódi titkát. Mindezt tagadható titkosítással.


Egy puha törvényes ellenfél kérhetné a titkosított laptop jelszavát. Eleinte megtagadhatná a jelszó kiadását (a "hallgatáshoz való jog", "a nem terhelődéshez való jog" alapján), de egyes országok olyan törvényeket vezetnek be, amelyek mentesítik ezt az ilyen jogok alól (mert a terroristák és a "gondolj a gyerekekre"). Ebben az esetben lehet, hogy el kell árulnia a jelszót, vagy esetleg börtönbüntetésre számíthat a bíróság megsértése miatt. Itt jön a képbe a hihető tagadhatóság.


Ekkor felfedheti a jelszót, de ez a jelszó csak a "hihető adatokhoz" (egy csali operációs rendszerhez) ad hozzáférést. A törvényszékiek tisztában lesznek azzal, hogy lehetséges, hogy rejtett adatokkal rendelkezel, de ezt nem kell tudniuk bizonyítani (ha jól csinálod). Ön együttműködött, és a nyomozók hozzáférnek majd valamihez, de nem ahhoz, amit valójában el akar rejteni. Mivel a bizonyítási teher az ő oldalukon kell, hogy legyen, nem lesz más lehetőségük, mint hinni önnek, hacsak nincs bizonyítékuk arra, hogy rejtett adatokkal rendelkezik.


Ez a funkció használható az operációs rendszer szintjén (egy hihető operációs rendszer és egy rejtett operációs rendszer) vagy a fájlok szintjén, ahol egy titkosított fájlkonténer lesz (hasonlóan egy zip fájlhoz), ahol különböző fájlok jelennek meg a használt titkosítási jelszótól függően.


Ez azt is jelenti, hogy beállíthatja saját fejlett "hihető tagadhatósági" beállítását bármilyen Host OS használatával, például virtuális gépek tárolásával egy Veracrypt rejtett kötet konténerben (vigyázzon a nyomokra a Host OS-ben, amelyeket meg kell tisztítani, ha a Host OS tartós, lásd később a Néhány további intézkedés a törvényszékiek ellen című részt). Van egy projekt a Tails-en belül ennek elérésére(https://github.com/aforensics/HiddenVM [Archive.org]), amely nem teszi a Host OS-t nem perzisztenssé, és plausible deniability-t használ a Tails-en belül.


A Windows esetében a hihető tagadhatóság az oka annak is, hogy ideális esetben Windows 10 Home (és nem Pro) rendszert kellene használnia. Ennek oka, hogy a Windows 10 Pro natívan kínál egy teljes lemeztitkosítási rendszert (Bitlocker), míg a Windows 10 Home egyáltalán nem kínál teljes lemeztitkosítást. Később egy harmadik féltől származó nyílt forráskódú szoftvert fogunk használni a titkosításhoz, amely lehetővé teszi a Windows 10 Home teljes lemezes titkosítását. Ez egy jó (hihető) ürügyet ad majd arra, hogy ezt a szoftvert használjuk. Míg ennek a szoftvernek a használata Windows 10 Pro rendszeren gyanús lenne.


Megjegyzés a Linuxról: Mi a helyzet a Linuxszal és a hihető tagadhatósággal? Igen, Linuxon is lehetséges a hihető tagadhatóság elérése. De a beállítása bonyolult, és IMHO elég magas szintű szakértelmet igényel ahhoz, hogy valószínűleg nincs szükséged erre az útmutatóra, hogy segítsen kipróbálni.


Sajnos a titkosítás nem varázslat, és van némi kockázata:

Fenyegetések a titkosítással.

Az 5 dolláros kulcs.

Ne feledje, hogy a titkosítás, akár hihető tagadhatósággal, akár anélkül, nem egy ezüstgolyó, és kínzás esetén kevés hasznát veszi. Ami azt illeti, attól függően, hogy ki lenne az ellenfeled (a fenyegetési modelled), lehet, hogy bölcs dolog egyáltalán nem használni a Veracryptet (korábban TrueCrypt), ahogy ez a bemutató is mutatja: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


A hihető tagadhatóság csak olyan puha, törvényes ellenfelek ellen hatékony, akik nem folyamodnak fizikai eszközökhöz. Ha lehetséges, kerülje a hihető tagadásra alkalmas szoftverek (mint például a Veracrypt) használatát, ha az Ön fenyegetésmodellje kemény ellenfeleket tartalmaz. Tehát a Windows-felhasználóknak ebben az esetben a Windows Pro-t kell telepíteniük gazdalkalmazásként, és helyette a Bitlockert kell használniuk.


Lásd: https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

Evil-Maid támadás.

Evil-Maid Attacks (Gonosz cseléd támadások) akkor zajlanak, amikor valaki a laptopját babrálja, amíg Ön távol van. A telepítéshez klónozza a merevlemezét, rosszindulatú programot vagy billentyűnaplózót telepít. Ha klónozni tudják a merevlemezét, akkor össze tudják hasonlítani a merevlemezének egy képét, amikor elvették, amíg Ön távol volt, a merevlemezzel, amikor lefoglalják Öntől. Ha eközben újra használta a laptopot, a törvényszéki szakértők a két kép közötti eltéréseket vizsgálva, amelyeknek üresnek/nem használt helynek kellene lenniük, bizonyítani tudják a rejtett adatok létezését. Ez erős bizonyítékot szolgáltathat a rejtett adat létezésére. Ha billentyűnaplózót vagy rosszindulatú programot telepítenek a laptopjába (szoftver vagy hardver), akkor egyszerűen megszerezhetik Öntől a jelszót, hogy azt később, lefoglaláskor felhasználhassák. Az ilyen támadásokat otthonában, szállodájában, egy határátkelőhelyen vagy bárhol, ahol felügyelet nélkül hagyja készülékeit.


Ezt a támadást a következőkkel enyhítheti (a korábban javasoltak szerint):

• Rendelkezzen alapvető szabotázsvédelemmel (a korábban ismertetett módon), hogy megakadályozza a fizikai hozzáférést a laptop belső részeihez az Ön tudta nélkül. Ez megakadályozza, hogy lemezeidet klónozzák, és fizikai billentyűnaplózót telepítsenek a tudtod nélkül.
• Tiltja le az összes USB-portot (a korábban ismertetett módon) egy jelszóval védett BIOS/UEFI rendszerben. Így ismét nem tudják majd bekapcsolni őket (anélkül, hogy fizikailag hozzáférnének az alaplaphoz a BIOS visszaállításához), hogy olyan USB-eszközt indítsanak, amely klónozhatja a merevlemezét, vagy olyan szoftveralapú rosszindulatú programot telepíthet, amely kulcstárolóként működhet.
• Állítsa be a BIOS/UEFI/Firmware jelszavakat, hogy megakadályozza egy nem engedélyezett eszköz illetéktelen indítását.
• Egyes operációs rendszerek és titkosító szoftverek rendelkeznek engedélyezhető gonosztevő elleni védelemmel. Ilyen a Windows/Veracrypt és a QubeOS.

Cold-Boot támadás.

A Cold Boot-támadás trükkösebb, mint az Evil Maid-támadás, de része lehet az Evil Maid-támadásnak, mivel ehhez az ellenfélnek birtokba kell vennie a laptopot, miközben Ön aktívan használja az eszközt, vagy röviddel utána.


Az ötlet meglehetősen egyszerű, ahogyan az ebben a videóban látható, egy ellenfél elméletileg gyorsan be tudja indítani a készülékét egy speciális USB-kulccsal, amely a készülék kikapcsolása után lemásolja a készülék RAM-jának (memóriájának) tartalmát. Ha az USB-portok ki vannak kapcsolva, vagy ha úgy érzik, hogy több időre van szükségük, kinyithatják, és egy spray vagy más vegyi anyagok (például folyékony nitrogén) segítségével "lehűthetik" a memóriát, megakadályozva a memória bomlását. Ezután képesek lennének lemásolni a tartalmát elemzés céljából. Ez a memóriadump tartalmazhatja a készülék dekódolásának kulcsát. Később néhány elvet fogunk alkalmazni ezek mérséklésére.


A Plausible Deniability esetében volt néhány törvényszéki tanulmány arról, hogy a rejtett adatok jelenlétét egy egyszerű törvényszéki vizsgálattal (Cold Boot/Evil Maid Attack nélkül) technikailag bizonyítani lehet, de ezeket más tanulmányok és a Veracrypt karbantartója is vitatta, így egyelőre nem aggódnék túlságosan ezek miatt.


Az Evil Maid-támadások enyhítésére használt intézkedéseknek a Cold Boot-támadások esetében is meg kell lenniük, néhány kiegészítéssel:

• Ha az operációs rendszer vagy a titkosító szoftver lehetővé teszi, akkor fontolja meg a kulcsok RAM-on belüli titkosítását is (ez a Windows/Veracrypt esetében lehetséges, és később elmagyarázzuk).
• Korlátozni kell az alvó készenléti állapot használatát, és helyette a Leállítás vagy a Hibernálás funkciót kell használni, hogy a titkosítási kulcsok ne maradjanak a RAM-ban, amikor a számítógép alvó állapotba kerül. Ez azért van, mert az alvó üzemmód fenntartja a memória energiáját a tevékenység gyorsabb folytatásához. Csak a hibernálás és a leállítás törli ténylegesen a kulcsot a memóriából.

Lásd még: https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] és https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [ Archive. org ].


Itt is van néhány érdekes eszköz, amit a Linux felhasználóknak érdemes megfontolniuk, hogy védekezzenek ezek ellen:

• https://github.com/0xPoly/Centry [Archive.org] (sajnos úgy tűnik, nem karbantartott, ezért készítettem egy elágazást és egy pull request frissítést a Veracrypt https://github.com/AnonymousPlanet/Centry [Archive . org] számára, amelynek még működnie kell).
• https://github.com/hephaest0s/usbkill [Archive.org] (sajnos úgy tűnik, szintén nem karbantartott)
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (Qubes OS, csak Intel CPU) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

Az alvásról, hibernálásról és leállításról.

Ha nagyobb biztonságot szeretne, akkor kapcsolja le teljesen a laptopját minden alkalommal, amikor felügyelet nélkül hagyja, vagy becsukja a fedelet. Ez megtisztítja és/vagy felszabadítja a RAM-ot, és enyhíti a hidegindításos támadásokat. Ez azonban kissé kényelmetlen lehet, mivel teljesen újra kell indítania, és rengeteg jelszót kell beírnia a különböző alkalmazásokba. Indítsa újra a különböző VM-eket és más alkalmazásokat. Így ehelyett használhatná a hibernációt is (a Qubes OS nem támogatja). Mivel a teljes lemez titkosítva van, a hibernálás önmagában nem jelenthet nagy biztonsági kockázatot, de mégis leállítja a laptopot és kiüríti a memóriát, miközben lehetővé teszi, hogy utána kényelmesen folytassa a munkát. Amit soha ne tegyen meg, az a standard alvó funkció használata, amely bekapcsolva tartja a számítógépet és a memóriát. Ez egy támadási vektor az evil-maid és a korábban tárgyalt cold-boot támadások ellen. Ennek oka, hogy a bekapcsolt memória tartalmazza a lemez titkosítási kulcsait (titkosítva vagy anélkül), és így egy ügyes ellenfél hozzáférhet hozzájuk.


Ez az útmutató később útmutatást ad arról, hogyan engedélyezheti a hibernációt a különböző host operációs rendszereken (kivéve a Qubes OS-t), ha nem akarja minden alkalommal leállítani.

Helyi adatszivárgások (nyomok) és törvényszéki vizsgálat.

Amint azt korábban röviden említettük, ezek az operációs rendszer és az alkalmazások adatszivárgásai és nyomai, amikor bármilyen tevékenységet végez a számítógépen. Ezek leginkább a titkosított fájlkonténerekre vonatkoznak (hihető tagadhatósággal vagy anélkül), mint az operációs rendszer egészére kiterjedő titkosításra. Az ilyen kiszivárgások kevésbé "fontosak", ha az egész operációs rendszer titkosítva van (ha nem kényszerül a jelszó felfedésére).


Tegyük fel például, hogy van egy Veracrypt titkosított USB-kulcsod, amelyen a plausible deniability be van kapcsolva. Attól függően, hogy milyen jelszót használsz az USB-kulcs csatlakoztatásakor, egy csalimappát vagy az érzékeny mappát nyitja meg. Ezeken a mappákon belül a csali mappán belül lesznek csaló dokumentumok/adatok, az érzékeny mappán belül pedig érzékeny dokumentumok/adatok.


Minden esetben (nagy valószínűséggel) meg fogja nyitni ezeket a mappákat a Windows Explorerrel, a MacOS Finderrel vagy bármely más segédprogrammal, és azt fogja tenni, amit tervezett. Lehet, hogy az érzékeny mappán belül szerkeszt egy dokumentumot. Talán keresni fog egy dokumentumot a mappában. Talán törölni fog egyet, vagy egy érzékeny videót fog megnézni a VLC segítségével.


Nos, mindezek az alkalmazások és az operációs rendszer naplót és nyomokat őrizhet erről a használatról. Ezek közé tartozhat a mappák/fájlok/meghajtók teljes elérési útvonala, a hozzáférés időpontja, a fájlok ideiglenes gyorsítótárai, az egyes alkalmazások "legutóbbi" listái, a meghajtót indexelő fájlindexelő rendszer, és még a generált miniatűrök is.


Íme néhány példa az ilyen kiszivárogtatásokra:

Windows.

• A Windows ShellBags, amelyek a Windows Registryben tárolódnak, és csendben tárolják a megnyitott kötetek/fájlok/mappák különböző előzményeit.
• A Windows indexelése, amely alapértelmezés szerint a felhasználói mappában található fájlok nyomait őrzi.
• A Windowsban és a különböző alkalmazásokban található legutóbbi listák (más néven ugrólisták), amelyek a nemrégiben megnyitott dokumentumok nyomát őrzik.
• Sok más nyomot is talál a különböző naplókban, további betekintést nyújt ez a kényelmes, érdekes poszter: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.

• Gatekeeper290 és XProtect, amelyek egy helyi adatbázisban és fájlattribútumokban követik a letöltési előzményeket.
• Spotlight indexelés
• Legutóbbi listák a különböző alkalmazásokban, amelyek a nemrégiben megnyitott dokumentumok nyomát őrzik.
• Ideiglenes mappák, amelyek az alkalmazások és dokumentumok használatának különböző nyomait őrzik.
• MacOS naplók
• ...

Linux.

• Nyomkövető indexelése
• Bash történelem
• USB naplók
• Legutóbbi listák a különböző alkalmazásokban, amelyek a nemrégiben megnyitott dokumentumok nyomát őrzik.
• Linux naplók
• ...

A törvényszékiek felhasználhatják mindezeket a szivárgásokat (lásd: Helyi adatszivárgás és törvényszéki vizsgálat), hogy bizonyítsák a rejtett adatok létezését, és legyőzzék a plauzible deniability használatára tett kísérleteit, valamint hogy megtudják a különböző érzékeny tevékenységeit.


Ezért fontos lesz különböző lépéseket alkalmazni annak érdekében, hogy a törvényszékiek megakadályozzák ezt a szivárgások/nyomok megelőzésével és tisztításával, és ami még fontosabb, a teljes lemez titkosításával, virtualizálással és rekeszesítéssel.


A törvényszékiek nem tudnak helyi adatszivárgásokat kinyerni egy olyan operációs rendszerből, amelyhez nem férnek hozzá. Ezen nyomok nagy részét pedig a meghajtó törlésével vagy a virtuális gépek biztonságos törlésével (ami SSD-meghajtók esetében nem olyan egyszerű, mint gondolnád) megtisztíthatod.


Néhány tisztítási technikát mindazonáltal az útmutató legvégén, a "Fedd el a nyomokat" című részben tárgyalunk.

Online adatszivárgás.

Akár egyszerű titkosítást, akár hihető tagadhatóságú titkosítást használ. Még akkor is, ha magán a számítógépen eltüntette a nyomokat. Még mindig fennáll az online adatszivárgás veszélye, amely felfedheti a rejtett adatok jelenlétét.


A telemetria az Ön ellensége. Amint azt már korábban kifejtettük ebben az útmutatóban, az operációs rendszerek, de az alkalmazások telemetriája is elképesztő mennyiségű privát információt küldhet online.


A Windows esetében ezek az adatok például felhasználhatók lennének egy számítógépen lévő rejtett operációs rendszer/kötet létezésének bizonyítására, és könnyen elérhetőek lennének a Microsoftnál. Ezért kritikusan fontos, hogy a telemetriát minden rendelkezésére álló eszközzel letiltsa és blokkolja. Nem számít, hogy milyen operációs rendszert használ.

Következtetés.

Soha ne végezzen érzékeny tevékenységeket nem titkosított rendszerről. És még ha titkosított is, valószínűleg soha nem szabad érzékeny tevékenységeket végeznie magáról a Host OS-ről. Ehelyett VM-et kell használnia, hogy hatékonyan elszigetelhesse és elkülöníthesse tevékenységeit, és megakadályozhassa a helyi adatszivárgást.


Ha kevéssé vagy egyáltalán nem ismeri a Linuxot, vagy ha az OS széleskörű plausible deniability-t szeretne használni, akkor azt javasolnám, hogy a kényelem érdekében válasszon Windows-t (vagy térjen vissza a Tails útvonalra). Ez az útmutató segít a lehető legnagyobb mértékben megkeményíteni, hogy megakadályozza a kiszivárgásokat. Ez az útmutató segít abban is, hogy a MacOS-t és a Linuxot a lehető legjobban megkeményítse a hasonló szivárgások megelőzése érdekében.


Ha nem érdekel az OS széles körű plauzible deniability, és meg akarod tanulni a Linux használatát, akkor erősen ajánlom, hogy a Linux vagy a Qubes útvonalat válaszd, ha a hardvered lehetővé teszi.


Minden esetben a gazdabázis OS-t soha nem szabad közvetlenül érzékeny tevékenységek végzésére használni. A host OS-t csak nyilvános Wi-Fi hozzáférési ponthoz való csatlakozásra használják. A rendszer nem lesz használatban, amíg Ön érzékeny tevékenységeket végez, és ideális esetben nem használható a mindennapi tevékenységeihez.


Fontolja meg a https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org] elolvasását is .

 

[HEISENBERG]

Linux host OS.

Mint korábban említettem, nem javaslom, hogy a mindennapi laptopot nagyon érzékeny tevékenységekre használja. Vagy legalábbis nem javaslom, hogy a helyben lévő operációs rendszerét használja ezekre. Ha így teszel, az nem kívánt adatszivárgásokhoz vezethet, amelyek felhasználhatók az anonimitásod megszüntetésére. Ha van erre a célra dedikált laptopod, akkor érdemes újratelepítened egy friss, tiszta operációs rendszert. Ha nem akarja letörölni a laptopját és újrakezdeni, akkor fontolja meg a Tails útvonalat, vagy járjon el saját felelősségére.


Azt is javaslom, hogy a kezdeti telepítést teljesen offline végezze el, hogy elkerülje az adatszivárgást.


Mindig tartsd észben, hogy a Linux mainstream disztribúciók (például az Ubuntu) a hírnevük ellenére nem feltétlenül jobbak a biztonság terén, mint más rendszerek, például a MacOS és a Windows. Lásd ezt a hivatkozást, hogy megértse, miért https://madaidans-insecurities.github.io/linux.html [Archive.org].

Teljes lemezes titkosítás.

Itt két lehetőség van az Ubuntunál:

• (Ajánlott és egyszerű) Titkosítás a telepítési folyamat részeként: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Ez a folyamat a teljes meghajtó teljes törlését igényli (tiszta telepítés).
  • Csak pipáld ki a "Titkosítani az új Ubuntu telepítést a biztonság érdekében"
• (Fárasztó, de lehetséges) Titkosítás a telepítés után: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

Más disztrók esetében magadnak kell dokumentálnod, de valószínűleg hasonló lesz. A telepítés közbeni titkosítás csak sokkal egyszerűbb ennek az útmutatónak a kontextusában.

Minden telemetria elutasítása/letiltása.

• A telepítés során csak győződj meg róla, hogy nem engedélyezel semmilyen adatgyűjtést, ha erre kérnek.
• Ha nem biztos benne, csak győződjön meg róla, hogy nem engedélyezte a telemetriát, és kövesse ezt a bemutatót, ha szükséges https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org]
• Bármilyen más disztró: Dokumentálnod kell magad, és magadnak kell kitalálnod, hogyan tilthatod le a telemetriát, ha van ilyen.

Kapcsolj ki mindent, ami felesleges.

• Tiltja le a Bluetooth-t, ha engedélyezve van, követve ezt az útmutatót https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] vagy kiadva a következő parancsot:
  
  • szolgáltatás --force: sudo systemctl disable bluetooth.service --force
• Tiltja le az indexelést, ha alapértelmezés szerint engedélyezve van (Ubuntu >19.04), követve ezt az útmutatót https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] vagy kiadva a következő parancsokat:
  
  • service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-miner-writeback.service
    
    • Nyugodtan figyelmen kívül hagyhat bármilyen hibát, ha azt írja, hogy valamelyik szolgáltatás nem létezik.
  • sudo tracker reset -hard

Hibernálás.

A korábban leírtak szerint nem szabad használni az alvófunkciókat, hanem le kell állítani vagy hibernálni a laptopot, hogy enyhítsünk néhány gonoszlányos és hidegindításos támadást. Sajnos ez a funkció sok Linux disztróban, köztük az Ubuntuban is alapértelmezés szerint le van tiltva. Lehetséges engedélyezni, de nem biztos, hogy a várt módon működik. Kövesse ezt az információt saját felelősségére. Ha nem akarja ezt megtenni, akkor soha ne használja az alvó funkciót, és helyette kapcsolja ki (és valószínűleg állítsa be a fedél zárási viselkedését alvás helyett kikapcsolásra).


Kövesse az alábbi útmutatók egyikét a hibernálás engedélyezéséhez:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

Miután engedélyezte a Hibernate funkciót, módosítsa a viselkedést úgy, hogy a laptop hibernálódjon, amikor becsukja a fedelet, követve ezt az Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] és ezt az Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive . org ] oktatóanyagot .


Sajnos ez nem tisztítja ki a kulcsot a memóriából közvetlenül a memóriából hibernáláskor. Ennek elkerülése érdekében, némi teljesítmény rovására, érdemes megfontolni a swap-fájl titkosítását ennek a bemutatónak a követésével: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Ezeknek a beállításoknak mérsékelniük kell a hidegindítási támadásokat, ha elég gyorsan tud hibernálni.

Engedélyezze a MAC-cím randomizálását.

• Ubuntu, kövesse ezeket a lépéseket: https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Bármely más disztró: a dokumentációt magadnak kell megtalálnod, de eléggé hasonlónak kell lennie az Ubuntu útmutatásához.
• Tekintse ezt a bemutatót, amelynek még működnie kell: https://josh.works/shell-script-basics-change-mac-address [Archive.org]

Hardening Linux.

Könnyű bevezetésként új Linux-felhasználók számára, fontolja meg a következőket

[Invidious]


A mélyrehatóbb és haladóbb lehetőségekért lásd:

• Ez a kiváló útmutató: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org].
• Ez a kiváló wikiforrás: https://wiki.archlinux.org/title/Security [Archive.org]
• Ezek a kiváló szkriptek a fenti útmutató és wiki alapján: https://codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Biztonságos böngésző beállítása.

Lásd a G. függeléket: Biztonságos böngésző a gazdavezérlő operációs rendszeren.

 

[HEISENBERG]

MacOS Host OS.

Megjegyzés: Jelenleg ez az útmutató (még) nem támogatja az ARM M1 MacBookokat. A Virtualbox miatt, amely még nem támogatja ezt az architektúrát. Lehetséges lehet azonban, ha olyan kereskedelmi eszközöket használ, mint a VMWare vagy a Parallels, de ezekkel nem foglalkozik ez az útmutató.


Mint korábban említettem, nem javaslom, hogy a napi laptopot nagyon érzékeny tevékenységekre használd. Vagy legalábbis nem javaslom, hogy a helyben lévő operációs rendszerét használja ezekre. Ha így teszel, az nem kívánt adatszivárgásokhoz vezethet, amelyek felhasználhatók az anonimitásod megszüntetésére. Ha van erre a célra dedikált laptopod, akkor érdemes újratelepítened egy friss, tiszta operációs rendszert. Ha nem akarja letörölni a laptopját és újrakezdeni, akkor fontolja meg a Tails útvonalat, vagy járjon el saját felelősségére.


Azt is javaslom, hogy a kezdeti telepítést teljesen offline végezze el, hogy elkerülje az adatszivárgást.


Soha ne jelentkezz be az Apple-fiókoddal az adott Mac segítségével.

A telepítés során.

• Maradjon offline
• Tiltja le az összes adatmegosztási kérést, amikor erre felszólítják, beleértve a helymeghatározási szolgáltatásokat is.
• Ne jelentkezzen be az Apple-nél
• Ne engedélyezze a Siri-t

A MacOS keményítése.

Könnyű bevezetésként az új MacOS-felhasználók számára fontolja meg a következőket

[Invidious]


Most, hogy mélyebbre menjen a MacOS biztosításában és edzésében, ajánlom, hogy olvassa el ezt a GitHub útmutatót, amely sok kérdésre kiterjed: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Itt vannak az alapvető lépések, amelyeket az offline telepítés után meg kell tennie:

Engedélyezze a firmware jelszót a "disable-reset-capability" opcióval.

Először is be kell állítania egy firmware jelszót az Apple ezen útmutatója szerint: https://support.apple.com/en-us/HT204455 [Archive.org]


Sajnos még mindig lehetségesek bizonyos támadások, és egy ellenfél letilthatja ezt a jelszót, ezért ezt az útmutatót is érdemes követned, hogy megakadályozd a firmware jelszó letiltását bárkitől, beleértve az Apple-t is: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]

Alvó üzemmód helyett engedélyezze a hibernációt.

Ez megint csak néhány hidegindításos és gonosz cselédtámadás megelőzésére szolgál azáltal, hogy a RAM-ot kikapcsolja, és a fedelet becsukva megtisztítja a titkosítási kulcsot. Mindig vagy hibernálni vagy leállítani kell. MacOS-en a hibernálás funkció még egy speciális opcióval is rendelkezik, amely kifejezetten a titkosítási kulcs memóriából való törlésére szolgál hibernáláskor (míg más operációs rendszereken esetleg meg kell várni, amíg a memória lemerül). Ismét nincs egyszerű lehetőség erre a beállításokon belül, így ehelyett néhány parancs futtatásával kell ezt megtennünk a hibernálás engedélyezéséhez:

• Terminál megnyitása
• Futtassa a következőt: sudo pmset -a destroyfvkeyonstandby 1
  
  • Ez a parancs utasítja a MacOS-t a Filevault kulcs megsemmisítésére készenléti (alvó) állapotban.
• Futtatás: sudo pmset -a hibernatemode 25
  
  • Ez a parancs utasítja a MacOS-t, hogy alvó üzemmódban kapcsolja ki a memóriát, ahelyett, hogy hibrid hibernációt hajtana végre, amely bekapcsolva tartja a memóriát. Ez lassabb ébredést eredményez, de növeli az akkumulátor élettartamát.

Mostantól, amikor becsukja a MacBook fedelét, alvó üzemmód helyett hibernált állapotba kerül, és csökkenti a hidegindítási támadások végrehajtására tett kísérleteket.


Ezenkívül érdemes beállítani az automatikus alvó üzemmódot is (Beállítások > Energia), hogy a MacBook automatikusan hibernálódjon, ha felügyelet nélkül marad.

Kapcsolja ki a felesleges szolgáltatásokat.

Távolítson el néhány felesleges beállítást a beállításokon belül:

• A Bluetooth letiltása
• A kamera és a mikrofon letiltása
• Helymeghatározó szolgáltatások letiltása
• Airdrop letiltása
• Indexelés letiltása

Az Apple OCSP-hívások megakadályozása.

Ezek a hírhedt "blokkolhatatlan telemetria" hívások a MacOS Big Sur-ből, amelyeket itt tettek közzé: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Az OCSP jelentéseket a következő parancs kiadásával blokkolhatja a Terminálban:

• A hívások a következővel indíthatók: sudo sh -c 'echo "127.0.0.0.1 ocsp.apple.com" >> /etc/hosts'

De valószínűleg dokumentálnod kellene magad a tényleges problémáról, mielőtt cselekszel. Ez az oldal jó kiindulópont: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Tényleg csak rajtad múlik. Én blokkolnám, mert egyáltalán nem akarok semmilyen telemetriát az operációs rendszeremtől az anyahajónak a külön beleegyezésem nélkül. Nincs.

Engedélyezd a teljes lemez titkosítását (Filevault).

Az útmutató ezen része szerint engedélyeznie kell a teljes lemeztitkosítást a Mac-jén a Filevault segítségével: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Legyen óvatos az engedélyezéskor. Ne tárolja a helyreállítási kulcsot az Apple-nél, ha erre kérik (nem lehet probléma, mivel ebben a szakaszban offline állapotban kell lennie). Nyilvánvalóan nem akarod, hogy harmadik fél birtokába kerüljön a helyreállítási kulcsod.

MAC cím véletlenszerűség.

Sajnos a MacOS nem kínál natív kényelmes módot a MAC-cím véletlenszerű beállítására, ezért ezt kézzel kell elvégeznie. Ez minden egyes újraindításkor visszaáll, és minden alkalommal újra meg kell csinálnia, hogy biztosítsa, hogy ne a tényleges MAC-címét használja a különböző Wi-Fi-hoz való csatlakozáskor.


Ezt a következő parancsok terminálban történő kiadásával teheti meg (zárójelek nélkül):

• (Kapcsolja ki a Wi-Fi-t) networksetup -setairportpower en0 off
• (A MAC-cím módosítása) sudo ifconfig en0 ether 88:63:11:11:11:11:11:11:11
• (Kapcsolja vissza a Wi-Fi-t) networksetup -setairportpower en0 on

Biztonságos böngésző beállítása.

Lásd a G. függeléket: Biztonságos böngésző a gazdavezérlő operációs rendszeren.

Windows gazdai operációs rendszer.

Mint korábban említettem, nem javaslom a mindennapi laptop használatát nagyon érzékeny tevékenységekre. Vagy legalábbis nem javaslom, hogy a helyben lévő operációs rendszerét használja ezekre. Ha így teszel, az nem kívánt adatszivárgásokhoz vezethet, amelyek felhasználhatók az anonimitásod megszüntetésére. Ha van erre a célra dedikált laptopod, akkor érdemes újratelepítened egy friss, tiszta operációs rendszert. Ha nem akarja letörölni a laptopját és újrakezdeni, akkor fontolja meg a Tails útvonalat, vagy járjon el saját felelősségére.


Azt is javaslom, hogy a kezdeti telepítést teljesen offline végezze el, hogy elkerülje az adatszivárgást.

Telepítés.

A. függelék: Windows telepítés


Könnyű bevezetésként tekintse meg a következőket

[Invidious]

A MAC-címek véletlenszerűségének engedélyezése.

A MAC-cím véletlenszerű beállítását az útmutató korábbi részében leírtak szerint kell elvégeznie:


Menjen a Beállítások > Hálózat és internet > Wi-Fi > Véletlenszerű hardvercímek engedélyezése


Alternatívaként használhatja ezt az ingyenes szoftvert: https://technitium.com/tmac/ [Archive.org]

Biztonságos böngésző beállítása.

Lásd a G. függeléket: Biztonságos böngésző a gazdavezérlő operációs rendszeren.

Engedélyezzen néhány további adatvédelmi beállítást a Host OS-en.

Lásd a B. függeléket: A Windows további adatvédelmi beállításai

Windows Host OS titkosítása.

Ha az egész rendszerre kiterjedő plauzible deniability-t kíván használni.

A Veracrypt az a szoftver, amelyet a teljes lemeztitkosításhoz, a fájlok titkosításához és a hihető tagadhatósághoz ajánlok. Ez a jól ismert, de elavult és nem karbantartott TrueCrypt elágazása. Használható

• Teljes lemezes egyszerű titkosítás (a merevlemezt egy jelszóval titkosítja).
• Teljes lemezes titkosítás hihető tagadhatósággal (ez azt jelenti, hogy a rendszerindításkor megadott jelszótól függően vagy egy ál- vagy egy rejtett operációs rendszert indít).
• Fájltároló egyszerű titkosítása (ez egy nagyméretű fájl, amelyet a Veracrypt-en belül úgy tud majd csatlakoztatni, mintha egy külső meghajtó lenne, amelyen belül titkosított fájlokat tárolhat).
• Fájlkonténer hihető letagadhatósággal (ez ugyanaz a nagy fájl, de a mountoláskor használt jelszótól függően vagy egy "rejtett kötetet" vagy a "csaló kötetet" fogja mountolni).

Tudomásom szerint ez az egyetlen (kényelmes és bárki által használható) ingyenes, nyílt forráskódú és nyíltan auditált titkosítási szoftver, amely általános használatra is biztosít plauzible deniability-t, és működik Windows Home Editionnel.


Töltse le és telepítse a Veracryptet a következő címről: https://www.veracrypt.fr/en/Downloads.html [Archive.org]


A telepítés után szánjon egy percet az alábbi lehetőségek áttekintésére, amelyek segítenek egyes támadások enyhítésében:

• A memória titkosítása a Veracrypt opcióval (beállítások > teljesítmény/illesztőprogram beállításai > RAM titkosítása) 5-15%-os teljesítménycsökkenés árán. Ez a beállítás letiltja a hibernációt is (amely hibernáláskor nem törli aktívan a kulcsot), és helyette teljesen titkosítja a memóriát, hogy mérsékelje egyes hidegindítási támadásokat.
• Engedélyezze a Veracrypt opciót a kulcsok memóriából való törléséhez, ha új eszköz kerül behelyezésre (rendszer > beállítások > biztonság > kulcsok törlése a memóriából, ha új eszköz kerül behelyezésre). Ez segíthet abban az esetben, ha a rendszert még bekapcsolt (de zárolt) állapotban lefoglalják.
• Engedélyezze a Veracrypt opciót a kötetek cserélhető adathordozóként történő csatolásához (Beállítások > Beállítások > Beállítások > Kötet cserélhető adathordozóként történő csatolása). Ez megakadályozza, hogy a Windows az eseménynaplókba írjon néhány naplót a csatlakoztatásról, és megakadályoz néhány helyi adatszivárgást.
• Legyen óvatos és legyen jó a helyzetfelismerése, ha valami furcsát érzékel. Kapcsolja ki a laptopját, amilyen gyorsan csak lehet.
• Bár a Veracrypt újabb verziói támogatják a Secure Bootot, azt javaslom, hogy tiltsa le a BIOS-ból, mivel én jobban szeretem a Veracrypt Anti-Evil Maid rendszert a Secure Bootnál.

Ha nem akarsz titkosított memóriát használni (mert a teljesítmény problémát jelenthet), akkor legalább a hibernációt engedélyezd alvó üzemmód helyett. Ez nem törli ki a kulcsokat a memóriából (továbbra is sebezhető maradsz a hidegindításos támadásokkal szemben), de legalább némileg mérsékli őket, ha a memóriádnak elég ideje van a lebomlásra.


További részletek később az A és B útvonalon: Egyszerű titkosítás a Veracrypt használatával (Windows oktatóanyag).

Ha nem szándékozik az egész rendszerre kiterjedő plausible deniability-t használni.

Ebben az esetben a Veracrypt helyett a BitLocker használatát javaslom a teljes lemeztitkosításhoz. Az indoklás szerint a BitLocker a Veracrypt-tel ellentétben nem kínál plauzible deniability lehetőséget. Egy kemény ellenfélnek ekkor nincs motivációja a "fokozott" kihallgatás folytatására, ha felfeded a jelszót.


Normális esetben ebben az esetben a Windows Pro-t kellett volna telepítenie, és a BitLocker beállítása meglehetősen egyszerű.


Alapvetően követheti az itt található utasításokat: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


De itt vannak a lépések:

• Kattintson a Windows menüre
• Írja be a "Bitlocker" szót
• Kattintson a "Bitlocker kezelése" gombra
• Kattintson a "Bitlocker bekapcsolása" gombra a rendszerhajtónál
• Kövesse az utasításokat
  
  • Ne mentse a helyreállítási kulcsot Microsoft-fiókba, ha erre kérik.
  • A helyreállítási kulcsot csak egy külső titkosított meghajtóra mentse. Ennek megkerülése érdekében nyomtassa ki a helyreállítási kulcsot a Microsoft Print to PDF nyomtatóval, és mentse a kulcsot a Dokumentumok mappában.
  • Titkosítja a teljes meghajtót (ne csak a használt lemezterületet titkosítja).
  • Használja az "Új titkosítási módot"
  • Futtassa a BitLocker-ellenőrzést
  • Indítsa újra a weboldalt.
• A titkosításnak most ne induljon el a háttérben (a feladatsor jobb alsó sarkában lévő Bitlocker ikonra kattintva ellenőrizheti).

Engedélyezze a hibernációt (opcionális).

Ismét a korábban leírtak szerint. Soha ne használja az alvó üzemmód funkciót, hogy mérsékelje egyes hidegindítási és gonoszlány-támadásokat. Ehelyett inkább kapcsolja ki vagy helyezze hibernált állapotba. Ezért a laptopot alvó üzemmódból hibernált üzemmódba kell kapcsolnia, amikor a fedelet becsukja, vagy amikor a laptop alvó üzemmódba kerül.


(Vegye figyelembe, hogy nem engedélyezheti a hibernációt, ha korábban engedélyezte a RAM-titkosítást a Veracrypt-en belül).


Ennek oka, hogy a hibernálás valójában teljesen leállítja a laptopot és kitakarítja a memóriát. Az alvó üzemmód viszont bekapcsolva hagyja a memóriát (beleértve a dekódoló kulcsot is), és sebezhetővé teheti a laptopot a hidegindításos támadásokkal szemben.


Alapértelmezés szerint a Windows 10 nem biztos, hogy felkínálja ezt a lehetőséget, ezért érdemes engedélyeznie a Microsoft alábbi útmutatóját követve: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]

• Nyisson meg egy rendszergazdai parancssort (kattintson a jobb gombbal a parancssorra, és válassza a "Futtatás rendszergazdaként" lehetőséget).
• Futtassa a következőt: powercfg.exe /hibernate on
• Most futtassa a további parancsot: **powercfg /h /type full**
  
  • Ez a parancs biztosítja, hogy a hibernált mód teljes legyen, és teljesen kitakarítja a memóriát (nem biztonságosan tho).

Ezután menj be a teljesítménybeállításokba:

• Nyissa meg a Vezérlőpultot
• Nyisd meg a Rendszer és biztonság
• Nyissa meg az Energiagazdálkodási beállításokat
• Nyissa meg a "Válassza ki, mit csinál a bekapcsológomb"
• Változtasson mindent alvó üzemmódról hibernált állapotra vagy kikapcsolásra
• Menjen vissza a Beállítások menüponthoz
• Válassza a Tervbeállítások módosítása lehetőséget
• Válassza a Speciális energiaellátási beállítások menüpontot
• Módosítsa az alvó üzemmód értékeit minden egyes energiatakarékossági tervnél 0-ra (Soha).
• Győződjön meg róla, hogy a Hibrid alvó üzemmód kikapcsolt állapotban van az egyes energiatakarékossági tervekben.
• Engedélyezze a hibernációt a kívánt idő után.
• Kapcsolja ki az összes ébresztési időzítőt

Döntse el, hogy melyik al-útvonalat választja.

Most két lehetőség közül kell kiválasztania a következő lépést:

• A: A jelenlegi operációs rendszer egyszerű titkosítása
  
  • Előnyök:
    
    • Nem kell törölnie a laptopját
    • Nincs probléma a helyi adatszivárgással
    • SSD meghajtóval is jól működik
    • Bármilyen operációs rendszerrel működik
    • Egyszerű
  • Hátrányok:
    
    • Az ellenfél arra kényszerítheti, hogy felfedje a jelszavát és az összes titkát, és nem lesz hihető tagadhatósága.
    • Az online adatszivárgás veszélye
• B útvonal: Az aktuális operációs rendszer egyszerű titkosítása, a későbbiekben pedig magukra a fájlokra vonatkozó hihető tagadhatóság:
  
  • Előnyök:
    
    • Nem kell törölnie a laptopját.
    • SSD meghajtóval is jól működik
    • Bármilyen operációs rendszerrel működik
    • Hihető tagadhatóság lehetséges "puha" ellenfelekkel szemben
  • Hátrányok:
    
    • Online adatszivárgás veszélye
    • Helyi adatszivárgás veszélye (ami több munkával jár a kiszivárgások eltakarításával)
• C útvonal: Hihető tagadhatóság Az operációs rendszer titkosítása (a laptopon egy "rejtett operációs rendszer" és egy "ál-operációs rendszer" fut):
  
  • Előnyök:
    
    • Nincs probléma a helyi adatszivárgással
    • Hihető tagadhatóság lehetséges "puha" ellenfelekkel szemben.
  • Hátrányok:
    
    • Windows szükséges (ez a funkció nem "könnyen" támogatott Linuxon).
    • Az online adatszivárgás veszélye
    • A laptop teljes törlése szükséges
    • Nem használható SSD-meghajtóval a Trim Operations letiltásának követelménye miatt. Ez idővel súlyosan rontja az SSD-meghajtó teljesítményét/egészségét.

Mint látható, a C útvonal csak két adatvédelmi előnyt kínál a többivel szemben, és csak egy puha törvényes ellenféllel szemben lesz hasznos. Ne feledje: https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org ].


Az, hogy melyik útvonalat választod, csak rajtad múlik. Az A útvonal a minimum.


Mindig ellenőrizze a Veracrypt új verzióit gyakran, hogy a legújabb javítások előnyeit élvezhesse. Különösen ellenőrizze ezt a nagy Windows frissítések alkalmazása előtt, amelyek megszakíthatják a Veracrypt bootloaderét és boot loopba küldhetik Önt.


MEGJEGYZÉS, HOGY DEFAULT esetben a VERACRYPT MINDIG JELSZÓT AJÁNL A RENDSZERJELSZÓRA QWERTY-ben (a jelszót tesztként jeleníti meg). Ez problémákat okozhat, ha a rendszerindításkor a laptop billentyűzetét használja (például AZERTY), mivel a jelszót QWERTY-ben állította be, és a rendszerindításkor AZERTY-ben fogja beírni. Ezért a tesztindításkor ellenőrizze, hogy a BIOS milyen billentyűzetkiosztást használ. Előfordulhat, hogy a bejelentkezés csak a QWERTY/AZERTY keveredés miatt nem sikerül. Ha a BIOS AZERTY-t használva bootol, akkor a jelszót QWERTY-ben kell beírnia a Veracrypt programban.

A és B útvonal: Egyszerű titkosítás a Veracrypt használatával (Windows bemutató)

Hagyja ki ezt a lépést, ha korábban BitLocker helyett a BitLockert használta.


Ehhez a módszerhez nem kell HDD-vel rendelkeznie, és ezen az útvonalon nem kell letiltania a Trim funkciót. A Trim szivárgása csak a törvényszékieknek lesz hasznos a rejtett kötet jelenlétének felderítésében, de egyébként nem sok haszna lesz.


Ez az útvonal meglehetősen egyszerű, és csak az aktuális operációs rendszert titkosítja a helyén, anélkül, hogy bármilyen adatot elveszítene. Mindenképpen olvassa el az összes szöveget, amit a Veracrypt mutat, hogy teljes mértékben megértse, mi történik.

• A VeraCrypt elindítása
• Menjen a Beállítások menüpontba:
  
  • Beállítások > Teljesítmény/illesztőprogram beállításai > RAM titkosítása
  • Rendszer > Beállítások > Biztonság > Kulcsok törlése a memóriából új eszköz behelyezésekor
  • Rendszer > Beállítások > Windows > Biztonságos asztal engedélyezése
• Válassza a Rendszer
• Válassza a Rendszerpartíció/meghajtó titkosítása lehetőséget
• Válassza a Normál (egyszerű) lehetőséget
• Single-Boot (Egyszeri indítás) kiválasztása
• Válassza az AES titkosítási algoritmust (kattintson a teszt gombra, ha össze akarja hasonlítani a sebességet).
• Válassza az SHA-512-t hash algoritmusként (mert miért ne).
• Adjon meg egy erős jelszót (minél hosszabb, annál jobb, emlékezzen az A2 függelékre: A jelszavakra és jelszavakra vonatkozó irányelvek).
• Gyűjtsön némi entrópiát a kurzor véletlenszerű mozgatásával, amíg a sáv meg nem telik.
• Kattintson a Tovább gombra a Generált kulcsok képernyőn
• Lemez mentése vagy nem lemez mentése, nos, ez rajtad múlik. Javaslom, hogy készítsen egyet (a biztonság kedvéért), csak győződjön meg róla, hogy a titkosított meghajtón kívül tárolja (például USB-kulcson, vagy várjon, és nézze meg az útmutató végét a biztonságos biztonsági mentésekkel kapcsolatos útmutatásért). Ez a mentőlemez nem fogja tárolni a jelszavadat, és a használatához továbbra is szükséged lesz rá.
• Törlési mód:
  
  • Ha még nincsenek érzékeny adatai a laptopon, válassza a None (Nincs) lehetőséget.
  • Ha vannak érzékeny adatai az SSD-lemezen, akkor a Trim önmagában gondoskodik róla, de a biztonság kedvéért javasolnék 1 átfutást (véletlenszerű adatok).
  • Ha érzékeny adatai vannak HDD-n, akkor nincs Trim, és legalább 1 átfutást javasolnék.
• Tesztelje a beállításait. A Veracrypt most újraindítja a rendszert, hogy tesztelje a bootloadert a titkosítás előtt. Ennek a tesztnek át kell mennie a titkosításhoz.
• Miután a számítógép újraindult, és a teszt átment. A Veracrypt fel fogja kérni, hogy indítsa el a titkosítási folyamatot.
• Indítsa el a titkosítást, és várja meg, amíg befejeződik.
• Kész van, hagyja ki a B útvonalat, és folytassa a következő lépéseket.

Lesz még egy szakasz a titkosított fájlkonténerek létrehozására a Plausible Deniability segítségével Windowson.

B útvonal: Plausible Deniability titkosítás rejtett operációs rendszerrel (csak Windows)

Ez csak Windowson támogatott.


Ez csak HDD-meghajtón ajánlott. SSD-meghajtón nem ajánlott.


A rejtett operációs rendszert nem szabad aktiválni (MS termékkulccsal). Ezért ez az útvonal egy teljes tiszta telepítést javasol és vezet végig, amely mindent töröl a laptopján.


Olvassa el a Veracrypt dokumentációt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (A rejtett operációs rendszer létrehozásának folyamata rész) és https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (A rejtett kötetekre vonatkozó biztonsági követelmények és óvintézkedések).


Így fog kinézni a rendszere a folyamat befejezése után:

(Illusztráció a Veracrypt dokumentációból, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org])


Mint látható, ez a folyamat megköveteli, hogy kezdettől fogva két partíció legyen a merevlemezen.


Ez a folyamat a következőket teszi:

• Titkosítja a második partíciót (a külső kötetet), amely úgy fog kinézni, mint egy üres, formázatlan lemez a csali operációs rendszerből.
• Felszólítja Önt, hogy másoljon néhány csaló tartalmat a külső kötetbe.
  
  • Itt fogja a külső kötetre másolni a külső merevlemezről az ál-anim/pornógyűjteményét.
• Hozzon létre egy rejtett kötetet a külső köteten belül ezen a második partíción. Itt lesz a rejtett operációs rendszer helye.
• Klónozza a jelenleg futó Windows 10 telepítését a rejtett kötetre.
• Törölje a jelenleg futó Windows 10 rendszert.
• Ez azt jelenti, hogy a jelenlegi Windows 10 lesz a rejtett Windows 10, és újra kell telepítenie egy új, csali Windows 10 operációs rendszert.

Kötelező, ha SSD meghajtóval rendelkezik, és ezt az ajánlás ellenére mégis meg szeretné tenni:AzSSD Trim letiltása a Windowsban (ez megint csak NEM ajánlott, mivel a Trim letiltása önmagában is erősen gyanús). szintén , ahogy korábban említettük, a Trim letiltása csökkenti az SSD meghajtó élettartamát, és idővel jelentősen befolyásolja a teljesítményét (a laptopod egyre lassabb lesz több hónapos használat során, amíg szinte használhatatlanná nem válik, ekkor ki kell tisztítanod a meghajtót, és mindent újra kell telepítened). De meg kell tennie, hogy megakadályozza az adatszivárgást , amely lehetővé tenné a törvényszékiek számára, hogy meghiúsítsák az Ön hihető tagadhatóságát. Ezt jelenleg csak úgy lehet megkerülni, ha helyette egy klasszikus HDD-meghajtóval ellátott laptopot veszel.

 

[HEISENBERG]

1. lépés: Windows 10 telepítő USB-kulcs létrehozása

Lásd a C. függelék: Windows telepítőmédia létrehozása című részt, és válassza az USB-kulcs útját.

2. lépés: Indítsa el az USB-kulcsot, és indítsa el a Windows 10 telepítési folyamatát (rejtett operációs rendszer).

• Helyezze be az USB-kulcsot a laptopba
• Lásd az A. függeléket: Windows telepítés és folytassa a Windows 10 Home telepítését.

3. lépés: Adatvédelmi beállítások (Rejtett operációs rendszer)

Lásd a B függeléket: A Windows további adatvédelmi beállításai

4. lépés: A Veracrypt telepítése és a titkosítási folyamat elindítása (Rejtett operációs rendszer)

Ne felejtse el elolvasni a https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Ne csatlakoztassa ezt az operációs rendszert az ismert Wi-Fi-hoz. Töltse le a Veracrypt telepítőprogramot egy másik számítógépről, és másolja ide a telepítőprogramot egy USB-kulcs segítségével.

• A Veracrypt telepítése
• A Veracrypt elindítása
• Menjen a Beállítások menüpontba:
  
  • Beállítások > Teljesítmény/illesztőprogramok > RAM titkosítása(vegye figyelembe, hogy ez az opció nem kompatibilis a laptop hibernálásával, és azt jelenti, hogy teljesen le kell kapcsolnia).
  • Rendszer > Beállítások > Biztonság > Kulcsok törlése a memóriából, ha új eszköz kerül behelyezésre.
  • Rendszer > Beállítások > Windows > Biztonságos asztal engedélyezése
• Lépjen be a Rendszerbe, és válassza a Rejtett operációs rendszer létrehozása lehetőséget.
• Olvassa el az összes utasítást alaposan
• Válassza a Single-Boot (Egyszeri indítás) lehetőséget, ha erre kérik
• Hozzon létre külső kötetet AES és SHA-512 használatával.
• Használja fel a második partíción rendelkezésre álló összes helyet a külső kötethez.
• Használjon erős jelszót (emlékezzen az A2 függelékre: A jelszavakra és jelszókifejezésekre vonatkozó iránymutatások).
• Jelölje be a Nagyméretű fájlok esetében az igen opciót
• Hozzon létre némi entrópiát az egér mozgatásával, amíg a sáv meg nem telik, és válassza az NTFS-t (ne válassza az exFAT-ot, mivel azt szeretnénk, hogy ez a külső kötet "normálisan" nézzen ki, és az NTFS normális).
• Formázza a külső kötetet
• Nyissa meg a külső kötetet:
  
  • Ebben a fázisban a külső kötetre kell másolnia a csali adatokat. Tehát legyen néhány érzékeny, de nem annyira érzékeny fájl/ mappa, amit oda kell másolni. Abban az esetben, ha jelszót kell felfednie ehhez a kötethez. Ez egy jó hely az Anime/Mp3/Mozifilmek/Pornó gyűjteményének.
  • Javaslom, hogy a külső kötetet ne töltse meg túlságosan vagy túlságosan kevéssel (kb. 40%). Ne feledje, hogy elegendő helyet kell hagynia a Rejtett operációs rendszernek (amely ugyanolyan méretű lesz, mint a telepítés során létrehozott első partíció).
• Használjon erős jelszót a Rejtett kötethez (nyilván más jelszót, mint a Külső kötethez).
• Most hozza létre a rejtett kötetet, válassza az AES és az SHA-512 opciót.
• Töltse fel az entrópiasávot a végéig véletlenszerű egérmozgásokkal
• Formázza meg a rejtett kötetet
• Folytassa a klónozást
• A Veracrypt most újraindítja és klónozza a Windows-t, ahol ezt a folyamatot elkezdte a rejtett kötetbe. Ez a Windows lesz a rejtett operációs rendszer.
• Amikor a klónozás befejeződött, a Veracrypt újraindul a Rejtett rendszeren belül.
• A Veracrypt tájékoztatja Önt, hogy a Rejtett rendszer most már telepítve van, majd felszólítja, hogy törölje az Eredeti operációs rendszert (azt, amelyet korábban az USB-kulccsal telepített).
• Használja az 1-Pass Wipe funkciót, és folytassa.
• Most a rejtett operációs rendszer telepítve lesz, folytassa a következő lépéssel.

5. lépés: Indítsa újra és indítsa el az USB-kulcsot, és indítsa el újra a Windows 10 telepítési folyamatát (Decoy OS).

Most, hogy a Hidden OS teljesen telepítve van, telepítenie kell egy Decoy OS-t.

• Helyezze be az USB-kulcsot a laptopjába
• Lásd az A. függeléket: Windows telepítése, és folytassa a Windows 10 Home újratelepítését (ne telepítsen más verziót, maradjon a Home-nál).

6. lépés: Adatvédelmi beállítások (Decoy OS)

Lásd a B függeléket: A Windows további adatvédelmi beállításai

7. lépés: A Veracrypt telepítése és a titkosítási folyamat elindítása (Decoy OS)

Most a Decoy OS-t fogjuk titkosítani:

• A Veracrypt telepítése
• VeraCrypt elindítása
• Válassza ki a rendszert
• Válassza a Rendszerpartíció/meghajtó titkosítása lehetőséget
• Normal (Egyszerű) kiválasztása
• Single-Boot (Egyszeri indítás) kiválasztása
• Válassza az AES titkosítási algoritmust (kattintson a teszt gombra, ha össze akarja hasonlítani a sebességet).
• Válassza az SHA-512-t hash algoritmusként (mert miért ne).
• Adj meg egy rövid, gyenge jelszót (igen, ez komoly dolog, csináld meg, később elmagyarázzuk).
• Gyűjtsön némi entrópiát a kurzor véletlenszerű mozgatásával, amíg a sáv meg nem telik.
• Kattintson a Tovább gombra a Generált kulcsok képernyőre
• Lemezmentés vagy nem lemezmentés, nos ez rajtad múlik. Javaslom, hogy készítsen egyet (csak a biztonság kedvéért), csak győződjön meg róla, hogy a titkosított meghajtón kívül tárolja (például USB-kulcs, vagy várjon, és nézze meg az útmutató végét a biztonságos biztonsági mentésekkel kapcsolatos útmutatásért). Ez a mentőlemez nem fogja tárolni a jelszavadat, és a használatához továbbra is szükséged lesz rá.
• Törlési mód: A biztonság kedvéért válassza az 1-Pass lehetőséget
• Tesztelje előzetesen a beállítást. A Veracrypt most újraindítja a rendszert, hogy a titkosítás előtt tesztelje a rendszerbetöltőt. Ennek a tesztnek át kell mennie a titkosításhoz.
• Miután a számítógép újraindult, és a tesztet sikeresen elvégezte. A Veracrypt fel fogja kérni, hogy indítsa el a titkosítási folyamatot.
• Indítsa el a titkosítást, és várja meg, amíg befejeződik.
• A csali operációs rendszere most már készen áll a használatra.

8. lépés: A beállítás tesztelése (Boot in Both)

Itt az ideje tesztelni a telepítést.

• Indítsa újra és adja meg a Rejtett OS jelszavát, a Rejtett OS-ben kell bootolnia.
• Indítsa újra és adja meg a Decoy OS jelszavát, a Decoy OS-ben kell elindulnia.
• Indítsd el a Veracrypt-et a Decoy OS-en, és csatlakoztasd a második partíciót az Outer Volume Passphrase használatával (csatlakoztasd csak olvashatóan, a Mount Options és a Read-Only kiválasztásával), és a második partíciót csak olvashatóan kell csatlakoztatnia a csalétek adatainak (az Anime/Pornó gyűjteményed) megjelenítésével. Azért mountolod most csak olvashatóan, mert ha adatokat írnál rá, akkor felülírhatnád a Rejtett operációs rendszered tartalmát.

9. lépés: A külső köteteden lévő csaliadatok biztonságos megváltoztatása

Mielőtt a következő lépésre lépne, meg kell tanulnia, hogyan tudja biztonságosan csatlakoztatni a Külső kötetét, hogy tartalmat írhasson rá. Ezt is elmagyarázza ez a hivatalos Veracrypt dokumentáció https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org]


Ezt egy biztonságos, megbízható helyről kell megtennie.


Alapvetően úgy fogod csatlakoztatni a Külső kötetedet, hogy közben megadod a Rejtett kötet jelszavát is a Mount Options-on belül, hogy megvédd a Rejtett kötetet a felülírástól. A Veracrypt ezután lehetővé teszi az adatok írását a külső kötetre anélkül, hogy kockáztatná a rejtett kötet adatainak felülírását.


Ez a művelet valójában nem csatlakoztatja a Rejtett kötetet, és megakadályozza a törvényszéki bizonyítékok létrehozását, amelyek a Rejtett operációs rendszer felfedezéséhez vezethetnek. Azonban amíg ezt a műveletet végzi, mindkét jelszó a RAM-ban tárolódik, ezért továbbra is ki van téve a Cold-Boot támadásnak. Ennek enyhítése érdekében mindenképpen legyen lehetőség a RAM memóriájának titkosítására is.

• Veracrypt megnyitása
• Válassza ki a második partíciót
• Kattintson a Mount gombra
• Kattintson a Mount Options (Beállítások) gombra
• Jelölje be a "A rejtett kötet védelme..." Option
• Adja meg a rejtett operációs rendszer jelszavát
• Kattintson az OK gombra
• Adja meg a külső kötet jelszavát
• Kattintson az OK gombra
• Most már képesnek kell lennie megnyitni és írni a Külső kötetét, hogy megváltoztassa a tartalmát (másolás/eltávolítás/törlés/szerkesztés...).

10. lépés: Hagyjon némi törvényszéki bizonyítékot a külső kötetéről (a csali adatokkal) a csali operációs rendszeren belül.

A csali operációs rendszert a lehető leghihetőbbé kell tennünk. Azt is szeretnénk, ha az ellenfeled azt hinné, hogy nem vagy olyan okos.


Ezért fontos, hogy önkéntesen hagyjon némi törvényszéki bizonyítékot a csalétektartalomról a csalétek operációs rendszeren belül. Ez a bizonyíték lehetővé teszi a törvényszéki vizsgálók számára, hogy lássák, hogy gyakran mountolta a külső kötetét, hogy hozzáférjen annak tartalmához.


Itt vannak jó tippek, hogy hagyjon némi törvényszéki bizonyítékot:

• Játssza le a külső kötet tartalmát a csalétek operációs rendszeréből (például a VLC segítségével). Ügyeljen arra, hogy ezekről előzményeket őrizzen.
• Szerkessze a dokumentumokat és dolgozzon bennük.
• Engedélyezze újra a fájlindexelést a csali operációs rendszeren, és vegye fel a csatolt külső kötetet.
• Vegye le és gyakran csatolja fel, hogy megnézzen néhány Tartalmat.
• Másoljon át néhány Tartalmat a külső kötetről a Decoy OS-ére, majd törölje azt biztonságosan (csak tegye a szemetesbe).
• Legyen egy Torrent Client telepítve a Decoy OS-en, használja időről időre, hogy letöltsön néhány hasonló anyagot, amit a Decoy OS-en hagy.
• Lehetne egy VPN kliens telepítve a Decoy OS-en egy ismert VPN-eddel (nem készpénzzel fizetett).

Ne tegyen semmi gyanúsat a Decoy OS-re, mint például:

• Ez az útmutató
• Bármilyen link erre az útmutatóra
• Bármilyen gyanús anonimitási szoftver, például Tor Browser

Megjegyzések.

Ne feledje, hogy érvényes kifogásokra lesz szüksége ahhoz, hogy ez a hihető tagadhatósági forgatókönyv működjön:


Szánjon egy kis időt arra, hogy újra elolvassa a Veracrypt dokumentáció "Possible Explanations for Existence of Two Veracrypt Partitions on Single Drive" című részét itt: https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]

• Azért használja a Veracryptet, mert Windows 10 Home-ot használ, amely nem rendelkezik Bitlockerrel, de mégis adatvédelmi funkciót akart.
• Két partíciót használsz, mert szét akartad választani a Rendszert és az Adatokat a könnyebb rendszerezés érdekében, és mert egy Geek barátod azt mondta, hogy ez jobb a teljesítmény szempontjából.
• A könnyű és kényelmes rendszerindítás érdekében gyenge jelszót használtál a Rendszeren, a Külső köteten pedig egy Erős hosszú jelszót, mert túl lusta voltál ahhoz, hogy minden egyes indításkor erős jelszót írj be.
• A második partíciót más jelszóval titkosítottad, mint a Rendszert, mert nem akarod, hogy a környezetedből bárki is lássa a cuccaidat. És így nem akartad, hogy ezek az adatok bárki számára elérhetőek legyenek.

Legyen óvatos!

• Soha ne csatlakoztasd a Rejtett kötetet a csali operációs rendszerből (SOHA SOHA). Ha ezt megteszi, akkor a Rejtett kötetről olyan törvényszéki bizonyítékokat hoz létre a csaló operációs rendszeren belül, amelyek veszélyeztethetik a hihető tagadásra tett kísérletét. Ha mégis megtette ezt (szándékosan vagy véletlenül) a csaló operációs rendszerből, akkor vannak módszerek a törvényszéki bizonyítékok törlésére, amelyeket később, az útmutató végén ismertetünk.
• Soha ne használja a Decoy OS-t ugyanarról a hálózatról (nyilvános Wi-Fi), mint a Hidden OS-t.
• Amikor a külső kötetet a Decoy OS-ről csatlakoztatja, ne írjon semmilyen adatot a külső kötetbe, mivel ez felülírhatja az üresnek tűnő, de valójában a Rejtett OS-t. Mindig csak olvashatóan kell csatlakoztatnia.
• Ha meg akarja változtatni a külső kötet csalinak szánt tartalmát, használjon egy élő operációs rendszerű USB-kulcsot, amelyen a Veracrypt fut.
• Ne feledje, hogy a Rejtett operációs rendszert nem fogja használni érzékeny tevékenységek elvégzésére, ezt később a Rejtett operációs rendszeren belüli VM-ről fogja elvégezni. A Hidden OS csak arra szolgál, hogy megvédje Önt egy puha ellenféltől, aki hozzáférhet a laptopjához, és arra kényszerítheti, hogy felfedje a jelszavát.
• Legyen óvatos a laptopjával való babrálással. A gonosztevő támadások felfedhetik a rejtett operációs rendszert.

 

[HEISENBERG]

Virtualbox a host operációs rendszeren.

Emlékezzen a W. függelékre: Virtualizálás.


Ezt a lépést és a következő lépéseket a Host OS-en belül kell elvégezni. Ez lehet a Host OS egyszerű titkosítással (Windows/Linux/MacOS) vagy a Rejtett OS hihető tagadással (csak Windows).


Ezen az útvonalon az ingyenes Oracle Virtualbox szoftvert fogjuk széles körben használni. Ez egy virtualizációs szoftver, amelyben virtuális gépeket hozhat létre, amelyek egy adott operációs rendszert futtató számítógépet emulálnak (ha valami mást szeretne használni, például Xen, Qemu, KVM vagy VMWARE, nyugodtan megteheti, de az útmutatónak ez a része csak a Virtualboxot tárgyalja a könnyebbség kedvéért).


Szóval, tisztában kell lenned azzal, hogy a Virtualbox nem a biztonság szempontjából a legjobb tapasztalatokkal rendelkező virtualizációs szoftver, és a bejelentett problémák egy részét a mai napig nem sikerült teljesen kijavítani, és ha egy kicsit több technikai tudással rendelkező Linuxot használsz, akkor érdemes inkább a KVM használatát fontolóra venned a Whonixon elérhető útmutatót követve itt https://www.whonix.org/wiki/KVM [Archive.org] és itt https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive .org] .


Néhány lépést minden esetben meg kell tenni:


Az összes érzékeny tevékenységet egy vendég virtuális gépen belül kell végezni, amelyen Windows 10 Pro (ezúttal nem Home), Linux vagy MacOS fut.


Ennek van néhány előnye, ami nagyban segít abban, hogy anonim maradj:

• Meg kell akadályoznia, hogy a vendég VM operációs rendszer (Windows/Linux/MacOS), az alkalmazások és a VM-eken belüli telemetria közvetlenül hozzáférjen az Ön hardveréhez. Még ha a VM-jét rosszindulatú szoftverek veszélyeztetik is, ez a rosszindulatú szoftver nem tud a VM-be jutni, és nem veszélyeztetheti a tényleges laptopját.
• Ez lehetővé teszi számunkra, hogy a kliens VM-edről érkező összes hálózati forgalmat egy másik Gateway VM-en keresztül kényszerítsük, amely az összes forgalmat a Tor hálózat felé irányítja (torizálja). Ez egy hálózati "kill switch". A VM-ed teljesen elveszíti a hálózati kapcsolatát és offline állapotba kerül, ha a másik VM elveszíti a kapcsolatát a Tor-hálózattal.
• Maga a VM, amely csak egy Tor hálózati átjárón keresztül rendelkezik internetkapcsolattal, a Toron keresztül fog csatlakozni a készpénzzel fizetett VPN szolgáltatáshoz.
• A DNS-szivárgás lehetetlen lesz, mert a VM egy elszigetelt hálózaton van, amelynek a Toron keresztül kell mennie, bármi is történjen.

 

[HEISENBERG]

Válassza ki a kapcsolási módszert.

Ezen az útvonalon belül 7 lehetőség van:

• Ajánlott és előnyben részesített:
  
  • (Felhasználó > Tor > Internet)
  • Bizonyos esetekben VPN használata a Tor felett (Felhasználó > Tor > VPN > Internet).
• Lehetséges, ha a kontextus megköveteli:
  
  • VPN használata a Tor felett a VPN felett (Felhasználó > VPN > Tor > VPN > VPN > Internet)
  • Tor használata VPN-en keresztül (Felhasználó > VPN > Tor > Internet)
• Nem ajánlott és kockázatos:
  
  • VPN használata önmagában (Felhasználó > VPN > Internet)
  • VPN használata VPN-en keresztül (Felhasználó > VPN > VPN > Internet)
• Nem ajánlott és nagyon kockázatos (de lehetséges).
  
  • Nincs VPN és nincs Tor (Felhasználó > Internet)

Csak Tor.

Ez az előnyben részesített és leginkább ajánlott megoldás.

Ezzel a megoldással az összes hálózatod a Toron keresztül megy, és ez a legtöbb esetben elegendőnek kell lennie az anonimitásod garantálásához.


Van azonban egy fő hátránya: Egyes szolgáltatások egyenesen blokkolják/tiltják a Tor Exit csomópontokat, és nem engedélyezik a fiókok létrehozását ezekről.


Ennek enyhítésére érdemes megfontolni a következő lehetőséget: VPN over Tor, de vegyen figyelembe néhány kockázatot, amelyek a következő szakaszban kerülnek kifejtésre.

VPN/Proxy a Toron keresztül.

Ez a megoldás bizonyos speciális esetekben előnyökkel járhat a Tor kizárólagos használatával szemben, amikor a célszolgáltatás elérése lehetetlen lenne egy Tor Exit csomópontról. Ez azért van, mert sok szolgáltatás egyenesen tiltja, akadályozza vagy blokkolja a Tor-t ( lásd https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Ahogy ezen az ábrán látható, ha a készpénzzel (előnyben részesített)/Monero fizetett VPN/Proxy fiókodat egy ellenfél kompromittálja (az adatvédelmi nyilatkozatuk és a naplózást tiltó irányelvek ellenére), akkor csak anonim készpénzzel/Monero fizetett VPN/Proxy fiókot találnak, amely egy Tor Exit csomópontról csatlakozik a szolgáltatásaikhoz.

Ha egy ellenfélnek valahogy sikerül kompromittálnia a Tor-hálózatot is, akkor csak egy véletlenszerű nyilvános Wi-Fi IP címét fogja felfedni, amely nem kötődik az Ön személyazonosságához.


Ha egy ellenfél valahogy kompromittálja a VM OS-ét (például egy rosszindulatú szoftverrel vagy exploittal), akkor csapdába esik a Whonix belső hálózatán belül, és képtelen lesz felfedni a nyilvános Wi-Fi IP-jét.


Ennek a megoldásnak azonban van egy fő hátránya, amit figyelembe kell venni: Interferencia a Tor Stream izolációval.


A Stream izoláció egy enyhítési technika, amelyet bizonyos korrelációs támadások megelőzésére használnak azáltal, hogy az egyes alkalmazásokhoz különböző Tor áramkörök tartoznak. Itt egy illusztráció, amely bemutatja, hogy mi az a stream izoláció:

(Illusztráció Marcelo Martins-tól, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


A VPN/Proxy over Tor a jobb oldalra esik, ami azt jelenti, hogy a VPN/Proxy over Tor használata arra kényszeríti a Tor-t, hogy egy áramkört használjon minden tevékenységhez, ahelyett, hogy több áramkört használna minden egyes tevékenységhez. Ez azt jelenti, hogy a VPN/Proxy használata a Tor felett bizonyos esetekben némileg csökkentheti a Tor hatékonyságát, és ezért csak bizonyos speciális esetekben érdemes használni:

• Ha a célszolgáltatás nem engedélyezi a Tor kilépő csomópontokat.
• Ha nem bánja, hogy egy közös Tor áramkört használ különböző szolgáltatásokhoz. Mint például különböző hitelesített szolgáltatások használatához.

Megfontolandó azonban, hogy ne használja ezt a módszert, ha a célja csak a véletlenszerű, különböző, nem hitelesített weboldalak böngészése, mivel nem fogja kihasználni a Stream Isolation előnyeit, és ez idővel megkönnyítheti a korrelációs támadásokat egy ellenfél számára az egyes munkamenetek között (lásd: Az Ön anonimizált Tor/VPN forgalma). Ha azonban az a célja, hogy minden munkamenetben ugyanazt az identitást használja ugyanazokon a hitelesített szolgáltatásokon, akkor a Stream izoláció értéke csökken, mivel más eszközökkel is korrelálható.


Azt is tudnia kell, hogy a Stream Isolation nem feltétlenül van alapértelmezés szerint beállítva a Whonix Workstationben. Csak néhány alkalmazáshoz (beleértve a Tor Browser-t is) van előre konfigurálva.


Azt is vegye figyelembe, hogy a Stream Isolation nem feltétlenül változtatja meg az összes csomópontot a Tor áramkörében. Néha csak egy vagy kettőt változtat meg. Sok esetben a Stream Isolation (például a Tor Browserben) csak a relé (középső) csomópontot és a kilépő csomópontot változtatja meg, miközben megtartja ugyanazt a guard (belépő) csomópontot.


További információ a következő címen:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor over VPN.

Lehet, hogy csodálkozol: Nos, mi a helyzet a Tor over VPN használatával ahelyett, hogy VPN over Tor-t használnánk? Nos, én nem feltétlenül tenném:

• Hátrányok
  
  • A VPN-szolgáltatója csak egy másik internetszolgáltató, amely ezután tudni fogja a származási IP-jét, és szükség esetén képes lesz anonimizálni Önt. Nem bízunk bennük. Jobban szeretem azt a helyzetet, amikor a VPN-szolgáltatója nem tudja, hogy ki Ön. Ez nem ad hozzá sokat az anonimitáshoz.
  • Ez azt eredményezné, hogy egy Tor Exit Node IP-jét használva csatlakozol különböző szolgáltatásokhoz, amelyek sok helyen tiltottak/zászlósak. Ez nem segít a kényelem szempontjából.
• Előnyök:
  
  • A fő előnye valóban az, hogy ha olyan ellenséges környezetben van, ahol a Tor-hozzáférés lehetetlen/veszélyes/gyanús, de a VPN rendben van.
  • Ez a módszer nem töri meg a Tor Stream elszigeteltségét sem.

Megjegyzés: Ha blokkolás/cenzúra miatt problémái vannak a Tor hálózat elérésével, akkor megpróbálhatja a Tor Bridges használatát. Lásd a X. függeléket: Tor hidak használata ellenséges környezetben.


Az is lehetséges, hogy a VPN over Tor over VPN (Felhasználó > VPN > Tor > VPN > VPN > Internet) helyett két készpénzes/Monero fizetős VPN-t használjon. Ez azt jelenti, hogy a Host OS-t egy első VPN-hez csatlakoztatja a nyilvános Wi-Fi-ről, majd a Whonix csatlakozik a Torhoz, és végül a VM-je egy második VPN-hez csatlakozik Tor over over VPN-en keresztül ( lásd https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Ez természetesen jelentős teljesítményhatással jár, és elég lassú lehet, de szerintem a Tor valahol szükséges az ésszerű anonimitás eléréséhez.


Ennek elérése technikailag egyszerű ezen az útvonalon belül, két különálló anonim VPN fiókra van szükséged, és az első VPN-hez kell csatlakoznod a Host OS-ről, és követned kell az útvonalat.


Következtetés: Csak akkor tegye ezt, ha úgy gondolja, hogy a Tor használata önmagában kockázatos / lehetetlen, de a VPN-ek rendben vannak. Vagy csak azért, mert megteheti, és így miért ne.

 

[HEISENBERG]

Csak VPN.

Ezt az útvonalat nem magyarázzák és nem ajánlják.


Ha tud VPN-t használni, akkor képesnek kell lennie arra, hogy egy Tor-réteget adjon hozzá. És ha tud Tor-t használni, akkor hozzáadhat egy anonim VPN-t a Tor fölé, hogy megkapja az előnyben részesített megoldást.


Csak VPN-t vagy akár VPN-t VPN felett VPN-t használni nincs értelme, mivel ezek idővel visszakövethetők Önhöz. Az egyik VPN szolgáltató tudni fogja a valódi származási IP címedet (még akkor is, ha az egy biztonságos nyilvános helyen van), és még ha hozzá is adsz egyet rajta keresztül, a második akkor is tudni fogja, hogy azt a másik első VPN szolgáltatást használtad. Ez csak kissé késlelteti a névtelenítésedet. Igen, ez egy hozzáadott réteg ... de ez egy tartósan központosított hozzáadott réteg, és idővel deanonimizálódhatsz. Ez csak 3 internetszolgáltató láncolata, amelyek mindegyike törvényes kéréseknek van alávetve.


További információért lásd a következő hivatkozásokat:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

Ennek az útmutatónak a kontextusában a Tor valahol szükséges az ésszerű és biztonságos anonimitás eléréséhez, és ha tudod, használd.

Nincs VPN/Tor.

Ha nem tudsz VPN-t vagy Tor-t használni ott, ahol vagy, akkor valószínűleg nagyon ellenséges környezetben vagy, ahol a megfigyelés és az ellenőrzés nagyon magas.


Egyszerűen ne tedd, nem éri meg és túl kockázatos IMHO. Szinte azonnal de-anonimizálható bármely motivált ellenfél által, aki percek alatt eljuthat a fizikai tartózkodási helyére.


Ne felejtsen el visszanézni az Ellenfelek (fenyegetések) és az S függelék: Ellenőrizze hálózatát a felügyelet/cenzúra szempontjából az OONI segítségével.


Ha egyáltalán nincs más lehetőséged, és mégis tenni akarsz valamit, nézd meg a P függeléket: A lehető legbiztonságosabb internet-hozzáférés, ha a Tor/VPN nem opció (saját felelősségedre), és fontold meg helyette a The Tails útvonalat.

Következtetés.

Sajnos a Tor használata önmagában sok célállomás platformjának gyanúját kelti fel. Sok akadállyal fogsz szembesülni (captchák, hibák, nehézségek a regisztrációban), ha csak a Tor-t használod. Ráadásul a Tor használata ott, ahol vagy, már csak ezért is bajba sodorhat. De a Tor továbbra is a legjobb megoldás az anonimitáshoz, és valahol lennie kell az anonimitáshoz.

• Ha az a szándékod, hogy tartósan megosztott és hitelesített identitásokat hozz létre különböző szolgáltatásokon, ahol a Torból való hozzáférés nehéz, akkor a VPN over Tor opciót ajánlom (vagy szükség esetén VPN over Tor over VPN-t). Lehet, hogy egy kicsit kevésbé biztonságos a korrelációs támadásokkal szemben a Tor Stream izoláció megtörése miatt, de sokkal nagyobb kényelmet biztosít az online erőforrások elérésében, mintha csak a Tor-t használnád. Ez egy "elfogadható" kompromisszum IMHP, ha elég óvatos vagy az identitásoddal.
• Ha azonban az a szándékod, hogy csak véletlenszerű szolgáltatásokat böngészel anonim módon, konkrét megosztott identitások létrehozása nélkül, Tor-barát szolgáltatásokat használva; vagy ha nem akarod elfogadni az előző opcióban szereplő kompromisszumot. Akkor azt javaslom, hogy használd a Tor Only útvonalat, hogy megőrizd a Stream Isolation (vagy Tor over VPN, ha szükséges) összes előnyét.
• Ha a költség kérdéses, akkor a Tor Only opciót ajánlom, ha lehetséges.
• Ha mind a Tor, mind a VPN hozzáférés lehetetlen vagy veszélyes, akkor nincs más választásod, mint biztonságosan a nyilvános wi-fire hagyatkozni. Lásd a P függeléket: A lehető legbiztonságosabb internet-hozzáférés, ha a Tor és a VPN nem lehetséges.

További információért lásd az itt található vitákat is, amelyek segíthetnek a döntésben:

• Tor Project: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Tails dokumentáció:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Whonix dokumentáció (ebben a sorrendben):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Néhány tanulmány a témában:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Szerezzen be egy névtelen VPN/Proxy szolgáltatást.

Hagyja ki ezt a lépést, ha csak a Tor-t szeretné használni.


Lásd az O. függeléket: Névtelen VPN/Proxy beszerzése.

Whonix.

Hagyja ki ezt a lépést, ha nem tudja használni a Tor-t.


Ez az útvonal a Virtualizációt és a Whonix309-et fogja használni az anonimizálási folyamat részeként. A Whonix egy Linux disztribúció, amely két virtuális gépből áll:

• A Whonix Workstation (ez egy VM, ahol érzékeny tevékenységeket végezhet).
• A Whonix Gateway (ez a VM kapcsolatot létesít a Tor-hálózattal, és a munkaállomásról érkező összes hálózati forgalmat a Tor-hálózaton keresztül irányítja).

Ez az útmutató ezért ennek az útvonalnak 2 ízét fogja javasolni:

• A Whonix only útvonal, ahol minden forgalom a Tor hálózaton keresztül kerül átirányításra (Tor Only vagy Tor over VPN).

A Whonix hibrid útvonal, ahol az összes forgalom egy készpénzes (előnyben részesített)/Monero fizetett VPN-en keresztül a Tor-hálózaton keresztül történik (VPN over Tor vagy VPN over Tor over VPN).

Az ajánlásaim alapján eldöntheted, hogy melyik ízlést használod. Én a másodikat ajánlom a fentiek szerint.


A Whonix jól karbantartott, és kiterjedt és hihetetlenül részletes dokumentációval rendelkezik.

Egy megjegyzés a Virtualbox pillanatképekről.

Később több virtuális gépet fog létrehozni és futtatni a Virtualboxon belül az érzékeny tevékenységeihez. A Virtualbox biztosít egy "pillanatfelvételek" nevű funkciót, amely lehetővé teszi egy VM állapotának mentését bármely időpontban. Ha később bármilyen okból vissza akar térni ehhez az állapothoz, akkor ezt a pillanatfelvételt bármikor visszaállíthatja.


Erősen ajánlom, hogy használja ki ezt a funkciót, és hozzon létre egy pillanatképet minden VM első telepítése/frissítése után. Ezt a pillanatképet azelőtt kell elkészíteni, mielőtt bármilyen érzékeny/anonim tevékenységre használnák.


Ez lehetővé teszi, hogy a VM-eket egyfajta eldobható "élő operációs rendszerré" alakítsa (mint a korábban tárgyalt Tails). Ez azt jelenti, hogy a VM-en belüli tevékenységeinek minden nyomát törölheti egy korábbi állapotra visszaállított pillanatfelvétel segítségével. Természetesen ez nem lesz "olyan jó", mint a Tails (ahol minden a memóriában tárolódik), mivel a tevékenység nyomai a merevlemezen maradhatnak. A törvényszéki vizsgálatok kimutatták, hogy a visszaállított VM-ből vissza lehet állítani adatokat. Szerencsére lesz mód arra, hogy ezeket a nyomokat törlés vagy egy korábbi pillanatkép visszaállítása után eltávolítsuk. Az ilyen technikákat az útmutató Néhány további intézkedés a törvényszéki vizsgálatok ellen című részében tárgyaljuk.

Töltse le a Virtualbox és a Whonix segédprogramokat.

Le kell töltenie néhány dolgot a fogadó operációs rendszeren belül.

• A Virtualbox telepítő legújabb verzióját a gazdai operációs rendszernek megfelelően: https://www.virtualbox.org/wiki/Downloads [Archive.org] .
• (Ezt kihagyhatja, ha nem tudja használni a Tor-t natívan vagy VPN-en keresztül) A legújabb Whonix OVA fájlt a https://www.whonix.org/wiki/Download [Archive.org] oldalról, a preferenciáinak megfelelően (Linux/Windows, az egyszerűség kedvéért XFCE asztali felülettel, vagy csak a szöveges klienssel a haladó felhasználóknak).

Ezzel az előkészületek befejeződnek, és most már készen kell állnia arra, hogy elkezdje a végleges környezet beállítását, amely megvédi az online anonimitását.

Virtualbox Hardening ajánlások.

Az ideális biztonság érdekében kövesse az itt megadott ajánlásokat minden egyes Virtualbox virtuális géphez https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Audio letiltása.
• Ne engedélyezze a megosztott mappákat.
• Ne engedélyezze a 2D gyorsítást. Ezt a következő paranccsal lehet elvégezni: VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• Ne engedélyezze a 3D gyorsítást.
• Ne engedélyezze a soros portot.
• Távolítsa el a floppy meghajtót.
• Távolítsa el a CD/DVD meghajtót.
• Ne engedélyezze a Remote Display kiszolgálót.
• Engedélyezze a PAE/NX funkciót (az NX biztonsági funkció).
• Kapcsolja ki a Speciális konfigurációs és tápellátási interfészt (ACPI). Ezt a következő VBoxManage modifyvm "vm-id" --acpi on|off paranccsal lehet elvégezni.
• Ne csatlakoztasson USB eszközöket.
• Kapcsolja ki az alapértelmezés szerint engedélyezett USB-vezérlőt. Állítsa a Pointing Device-t "PS/2 Mouse" (PS/2 egér) értékre, különben a változások visszaállnak.

Végül, kövesse ezt az ajánlást is, hogy a VM-je óráját deszinkronizálja a host OS-hez képest https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


Ennek az eltolásnak egy 60000 milliszekundumos tartományon belül kell lennie, és minden egyes VM esetében eltérőnek kell lennie, és itt van néhány példa (amely később bármely VM-re alkalmazható):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Fontolja meg a Spectre/Meltdown sebezhetőségek mérséklésére a VirtualBoxból történő ezen enyhítések alkalmazását is, a VirtualBox programkönyvtárából futtatva ezt a parancsot. Mindezek leírása itt található: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (vegye figyelembe, hogy ezek súlyosan befolyásolhatják a VM-ek teljesítményét, de a legjobb biztonság érdekében érdemes elvégezni őket).


Végül vegye figyelembe a Virtualbox biztonsági tanácsait itt: https://www.virtualbox.org/manual/ch13.html [Archive.org] .

 

[HEISENBERG]

Tor over VPN.

Hagyja ki ezt a lépést, ha nem kívánja a Tor over VPN-t használni, és csak a Tor-t kívánja használni, vagy nem tudja.


Ha bármilyen okból a Tor over VPN-t kívánja használni. Először konfigurálnia kell egy VPN-szolgáltatást a fogadó operációs rendszeren.


Ne feledje, hogy ebben az esetben két VPN-fiókot ajánlok. Mindkettőt készpénzzel/Moneróval fizetve (lásd O. függelék: Anonim VPN/Proxy beszerzése). Az egyiket a host OS-ben fogja használni az első VPN-kapcsolathoz. A másikat a VM-ben lehet használni a Tor over VPN eléréséhez a VPN-en keresztül (Felhasználó > VPN > Tor > VPN).


Ha csak a Tor over VPN-t kívánja használni, akkor csak egy VPN-fiókra van szüksége.


Az utasításokat lásd az R függelékben: VPN telepítése a VM-en vagy a Host OS-en.

 

[HEISENBERG]

Whonix virtuális gépek.

Hagyja ki ezt a lépést, ha nem tudja használni a Tor-t.

• Indítsa el a Virtualboxot a gazdai operációs rendszeren.
• Importálja a Whonix fájlt a Virtualboxba a https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org] oldalon található utasításokat követve .
• Indítsa el a Whonix VM-eket

Ne feledje ebben a szakaszban, hogy ha a cenzúrázás vagy blokkolás miatt problémái vannak a Torhoz való csatlakozással, akkor fontolja meg a Bridges használatával való csatlakozást, ahogyan azt a https://www.whonix.org/wiki/Bridges [Archive.org] bemutatóban elmagyarázzák .

• Frissítse a Whonix VM-eket a https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org] oldalon található utasításokat követve .
• Zárja le a Whonix VM-eket
• Készítsen pillanatfelvételt a frissített Whonix VM-ekről a Virtualboxon belül (válasszon ki egy VM-et, és kattintson a Pillanatkép készítése gombra). Erről bővebben később.
• Tovább a következő lépéshez

Fontos megjegyzés: Érdemes elolvasni ezeket a nagyon jó ajánlásokat is a https://www.whonix.org/wiki/DoNot [Archive.org] oldalon , mivel a legtöbb alapelv erre az útmutatóra is vonatkozik. Érdemes elolvasni az általános dokumentációjukat is itt https://www.whonix.org/wiki/Documentation [Archive.org] , amely szintén rengeteg olyan tanácsot ad, mint ez az útmutató.