Anonimiškumo internete vadovas (pagal https://anonymousplanet.org/)

Naudokite savo rizika. Nelaikykite šio vadovo galutine tiesa apie viską, nes jis toks nėra.

Spoileris: Turinys

• Įvadas:
• Išvados: Suprasti kai kuriuos pagrindus apie tai, kaip tam tikra informacija gali atvesti pas jus ir kaip kai kurią informaciją sušvelninti:
  • Jūsų tinklas:
    • Jūsų IP adresas:
    • Jūsų DNS ir IP užklausos:
    • Jūsų RFID įrenginiai:
    • "Wi-Fis" ir "Bluetooth" įrenginiai aplink jus:
    • Kenkėjiški / nesąžiningi "Wi-Fi" prieigos taškai:
    • Jūsų anonimizuotas Tor/VPN srautas:
    • Kai kurie įrenginiai gali būti stebimi net ir tada, kai yra neprisijungę:
  • Jūsų aparatinės įrangos identifikatoriai:
    • Jūsų IMEI ir IMSI (o kartu ir jūsų telefono numeris):
    • Jūsų "Wi-Fi" arba Ethernet MAC adresas:
    • Jūsų "Bluetooth" MAC adresas:
  • Jūsų CPU: Jūsų procesoriaus MAC adresas:
  • Jūsų operacinės sistemos ir programų telemetrijos paslaugos:
  • Jūsų išmanieji įrenginiai apskritai:
  • Jūs pats:
    • Jūsų metaduomenys, įskaitant geografinę buvimo vietą:
    • Jūsų skaitmeninis pirštų atspaudas, pėdsakas ir elgesys internete:
    • Jūsų užuominos apie jūsų realų gyvenimą ir OSINT:
    • Jūsų veidas, balsas, biometriniai duomenys ir nuotraukos:
    • Jūsų tapatybės: "Phishing" ir socialinė inžinerija:
  • Kenkėjiška programinė įranga, išpuoliai ir virusai:
    • Kenkėjiška programinė įranga jūsų failuose / dokumentuose / elektroniniuose laiškuose:
    • Kenkėjiška programinė įranga ir išpuoliai jūsų programose ir paslaugose:
    • Kenkėjiški USB įrenginiai:
    • Kenkėjiška programinė įranga ir užkardos jūsų aparatinės įrangos programinėje įrangoje ir operacinėje sistemoje:
  • Jūsų failai, dokumentai, nuotraukos ir vaizdo įrašai:
    • Įrašai, failai ir dokumentai: Savybės ir metaduomenys:
    • Vandens ženklai:
    • Pikselinė arba neryški informacija:
  • Jūsų kriptovaliutų sandoriai:
  • Jūsų atsarginės kopijos debesyje / sinchronizavimo paslaugos:
  • Jūsų naršyklės ir įrenginio pirštų atspaudai:
  • Vietiniai duomenų nutekėjimai ir teismo ekspertizė:
  • Bloga kriptografija:
  • Įrašų neregistravimas, bet vis tiek registravimo politika:
  • Keletas pažangių tikslinių metodų:
  • Kai kurie papildomi ištekliai:
  • Pastabos:
• Bendrieji pasiruošimai:
  • Maršruto pasirinkimas:
    • Laiko apribojimai:
    • Biudžeto / medžiagų apribojimai:
    • Įgūdžiai:
    • Priešininkai (grėsmės):
  • Žingsniai visiems maršrutams:
    • Gaukite anoniminį telefono numerį:
    • Gaukite USB raktą:
    • Suraskite saugių vietų su tinkamu viešuoju "Wi-Fi":
  • TAILS maršrutas:
    • Nuolatinis tikėtinas paneigimas naudojant "Whonix" per TAILS:
  • Žingsniai visais kitais maršrutais:
    • Įsigykite specialų nešiojamąjį kompiuterį neskelbtinai veiklai:
    • Kai kurios nešiojamųjų kompiuterių rekomendacijos:
    • Nešiojamojo kompiuterio bios / UEFI / programinės įrangos nustatymai:
    • Fiziškai apsaugokite savo nešiojamąjį kompiuterį nuo klastojimo:
  • "Whonix" maršrutas:
    • Nešiojamajame kompiuteryje įdiegtos OS pasirinkimas:
    • Linux" priimančioji OS:
    • MacOS Priimančioji OS:
    • "Windows" priimančioji OS:
    • Virtualbox jūsų priimančiojoje OS:
    • Pasirinkite ryšio metodą:
    • Gaukite anoniminį VPN / proxy:
    • Pasirinkite: Whonix:
    • Tor per VPN:
    • Virtualios mašinos: "Whonix": Tor: "Tor": "Whonix" virtualios mašinos:
    • Pasirinkite svečias darbo vietas Virtualioji mašina:
    • Virtualioji mašina (Whonix arba Linux):
    • Windows 10 virtualioji mašina:
    • Virtuali mašina: Android Virtuali mašina:
    • Virtuali mašina: "MacOS" Virtuali mašina:
    • (pvz., "KeepassXC"): Virtualioji kompiuterių sistema (pvz., virtualioji kompiuterių sistema)
    • VPN kliento diegimas (mokama grynaisiais pinigais / monero):
    • (Neprivaloma), kad tik virtualiosios mašinos galėtų naudotis internetu, o priimančioji operacinė sistema būtų atjungta, kad būtų išvengta bet kokio nutekėjimo:
    • Galutinis žingsnis:
  • Qubes maršrutas:
    • Pasirinkite ryšio metodą:
    • Gaukite anoniminį VPN / proxy:
    • Įdiegimas:
    • Dangčio uždarymas Elgesys:
    • Prisijungti prie viešojo "Wi-Fi":
    • Atnaujinkite "Qubes" operacinę sistemą:
    • Qubes OS: Atnaujinkite Qubes OS: Atnaujinkite Qubes OS:
    • VPN ProxyVM nustatymas:
    • Saugios naršyklės nustatymas "Qube OS" sistemoje (neprivaloma, bet rekomenduojama):
    • Nustatykite "Android" virtualiąją mašiną:
    • KeePassXC:
• Sukurkite savo anonimines internetines tapatybes:
  • Suprasti metodus, naudojamus siekiant užkirsti kelią anonimiškumui ir patikrinti tapatybę:
    • Captchas:
    • Telefono tikrinimas: Captques: Telefono tikrinimas:
    • Elektroninio pašto patikrinimas: Telefono numeris: Telefono numeris: Elektroninio pašto patikrinimas: Elektroninio pašto patikrinimas:
    • Naudotojo duomenų tikrinimas:
    • Asmens tapatybės įrodymo tikrinimas:
    • IP filtrai:
    • Naršyklės ir įrenginio pirštų atspaudai:
    • Žmogaus sąveika:
    • Vartotojo moderavimas:
    • Elgsenos analizė:
    • Finansiniai sandoriai:
    • Prisijungimas prie tam tikros platformos:
    • Tiesioginis veido atpažinimas ir biometrija (dar kartą):
    • Rankinės peržiūros:
  • Prisijungimas prie interneto:
    • Naujų tapatybių kūrimas:
    • Tikrųjų vardų sistema:
    • Apie mokamas paslaugas:
    • Apie mokamas paslaugas: Apžvalga:
    • Kaip anonimiškai dalintis failais arba bendrauti:
    • Dokumentų / nuotraukų / vaizdo įrašų / garso įrašų saugus redagavimas:
    • Neskelbtinos informacijos perdavimas įvairioms žinomoms organizacijoms:
    • Priežiūros užduotys:
• Atsarginių kopijų darymas saugiai:
  • Atsarginių kopijų darymas neprisijungus prie interneto:
    • Pasirinktų failų atsarginės kopijos:
    • Viso disko/sistemos atsarginės kopijos:
  • Atsarginės kopijos internetu:
    • Failai:
    • Informacija:
  • Failų sinchronizavimas iš vieno įrenginio į kitą Internetu:
• Slaptažodžiai: failų išsaugojimas: failų išsaugojimas: failų išsaugojimas: failų išsaugojimas:
  • Kuo skiriasi HDD ir SSD: kaip suprasti HDD ir SSD:
    • Dėvėjimosi lygio nustatymas.
    • Apipjaustymo operacijos:
    • Šiukšlių surinkimas:
    • Išvados:
  • Kaip saugiai ištrinti visą nešiojamąjį kompiuterį / diskus, jei norite viską ištrinti:
    • Linux (visos versijos, įskaitant Qubes OS):
    • "Windows":
    • MacOS:
  • Kaip saugiai ištrinti tam tikrus failus / aplankus / duomenis HDD / SSD ir nykštukiniuose diskuose:
    • Windows:
    • Linux (ne Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Kai kurios papildomos priemonės prieš kriminalistiką:
    • Metaduomenų pašalinimas iš failų / dokumentų / nuotraukų:
    • TAILS:
    • (Lietuvių kalba): duomenų bazės, failų ir duomenų bazės: Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (ne "Qubes"): Linux (ne "Qubes"):
    • (be Qubes): "Windows":
  • Pašalinti kai kuriuos savo tapatybės pėdsakus paieškos sistemose ir įvairiose platformose:
    • "Google":
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • "Yahoo" paieška:
    • Baidu:
    • Vikipedija:
    • Archyvas.šiandien:
    • Interneto archyvas:
• Keletas senųjų technologijų triukų:
  • Akivaizdžiai paslėptas ryšys:
  • Kaip pastebėti, ar kas nors ieškojo jūsų daiktų:
• Keletas paskutinių minčių apie OPSEC:
• Jei manote, kad nudegėte:
  • Jei turite šiek tiek laiko:
  • Jei neturite laiko:
• Nedidelė paskutinė redakcinė pastaba

 

[HEISENBERG]

Biudžeto / medžiagos apribojimai.

• Turite tik vieną nešiojamąjį kompiuterį ir negalite sau leisti nieko kito. Šį nešiojamąjį kompiuterį naudojate arba darbui, arba šeimai, arba asmeniniams reikalams (arba ir vienam, ir kitam):
  
  • Jūsų geriausias pasirinkimas - rinktis "Tails".
• Galite sau leisti turėti atsarginį specialų neprižiūrimą / neprižiūrimą nešiojamąjį kompiuterį, skirtą jautriai veiklai:
  
  • Tačiau jis yra senas, lėtas ir prastų specifikacijų (mažiau nei 6 GB RAM, mažiau nei 250 GB vietos diske, senas ir (arba) lėtas procesorius):
    
    • Turėtumėte rinktis "Tails".
  • Jis nėra toks senas ir turi padorių specifikacijų (bent 6 GB RAM, 250 GB ar daugiau vietos diske, padorus procesorius):
    
    • Galite rinktis Tails, Whonix maršrutus.
  • Jis yra naujas ir turi puikias specifikacijas (daugiau nei 8 GB RAM, >250 GB vietos diske, naujausias spartus procesorius):
    
    • Galite rinktis bet kurį maršrutą, bet rekomenduočiau Qubes OS, jei jūsų grėsmės modelis tai leidžia.
  • Jei tai ARM pagrindu veikiantis M1 Mac:
    
    • Šiuo metu tai neįmanoma dėl šių priežasčių:
      
      • ARM M1 Mac kompiuteriuose x86 atvaizdų virtualizavimas vis dar apsiriboja komercine programine įranga ("Parallels"), kurios "Whonix" kol kas nepalaiko.
      • "Virtualbox" kol kas neprieinama ARM architektūrai.
      • "Whonix" dar nepalaikoma ARM architektūroje.
      • "Tails" dar nepalaikoma ARM architektūroje.
      • "Qubes OS" dar nepalaikoma ARM architektūroje.

Vienintelė galimybė M1 "Mac" kompiuteriuose kol kas tikriausiai yra "Tor Browses". Tačiau manyčiau, kad jei galite sau leisti įsigyti "M1 Mac", turbūt turėtumėte įsigyti specialų x86 nešiojamąjį kompiuterį jautresnei veiklai.

 

[HEISENBERG]

Įgūdžiai.

• Neturite jokių IT įgūdžių šio vadovo turinys jums atrodo kaip svetima kalba?
  
  • Turėtumėte rinktis "uodegos" kelią (išskyrus nuolatinio tikėtino paneigimo skyrių).
• Turite šiek tiek IT įgūdžių ir kol kas iš esmės suprantate šį vadovą
  
  • Turėtumėte rinktis "Tails" (įskaitant nuolatinio tikėtino paneigimo dalį) arba "Whonix" maršrutus.
• Turite vidutinius arba aukštus IT įgūdžius ir jau esate susipažinę su dalimi šio vadovo turinio
  
  • Galite rinktis bet ką, kas jums patinka, tačiau primygtinai rekomenduočiau Qubes OS.
• Esate l33T hakeris, "nėra šaukšto", "pyragas yra melas", jau daug metų naudojate "doas" ir "visa jūsų bazė priklauso mums", turite tvirtą nuomonę apie systemd.
  
  • Šis vadovas tikrai nėra skirtas jums ir nepadės jums su HardenedBSD jūsų užkietėjusiame Libreboot nešiojamajame kompiuteryje ;-)

 

[HEISENBERG]

Priešininkai (grėsmės).

• Jei jūsų pagrindinis rūpestis yra kriminalistinis prietaisų tyrimas:
  
  • Turėtumėte rinktis "uodegos" kelią (su pasirenkamu nuolatiniu tikėtinu paneigimu).
• Jei daugiausia nerimaujate dėl nuotolinių priešininkų, kurie gali atskleisti jūsų tapatybę internete įvairiose platformose:
  
  • Galite rinktis "Whonix" arba "Qubes OS" maršrutus.
  • Taip pat galite rinktis "Tails" (su pasirenkamu nuolatiniu tikėtinu paneigimu).
• Jei, nepaisant rizikos, būtinai norite, kad būtų galima paneigti visą sistemą:
  
  • Galite rinktis "Tails" maršrutą, įskaitant nuolatinio tikėtino paneigimo dalį.
  • Galite rinktis "Whonix" maršrutą (tik "Windows" pagrindinėje operacinėje sistemoje, kaip nurodyta šiame vadove).
• Jei esate priešiškoje aplinkoje, kurioje vien "Tor" / VPN naudojimas yra neįmanomas / pavojingas / įtartinas:
  
  • Galite rinktis "Tails" maršrutą (nenaudodami "Tor").
  • Galite rinktis "Whonix" arba "Qubes OS" (iš tikrųjų nenaudodami "Whonix").

Visais atvejais turėtumėte perskaityti šiuos du puslapius iš "Whonix" dokumentacijos, kuriuose rasite išsamią informaciją apie savo pasirinkimą:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

Galbūt klausiate savęs: "Kaip sužinoti, ar esu priešiškoje interneto aplinkoje, kurioje veikla aktyviai stebima ir blokuojama?

• Pirmiausia apie tai daugiau paskaitykite EFF čia: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org]
• Patys patikrinkite kai kuriuos duomenis čia, "Tor" projekto OONI (Open Observatory of Network Interference) svetainėje: https://explorer.ooni.org/ [Archive.org]
• Pažvelkite į https://censoredplanet.org/ [Archive.org] ir pažiūrėkite, ar ten yra duomenų apie jūsų šalį.
• Pasitikrinkite patys naudodamiesi OONI (priešiškoje aplinkoje tai gali būti rizikinga).

 

[HEISENBERG]

Visų maršrutų žingsniai.

Įpraskite naudoti geresnius slaptažodžius.

A2 priedą: slaptažodžių ir slaptažodžių frazių gairės.

Gaukite anoniminį telefono numerį.

Jei neketinate kurti anoniminių paskyrų daugumoje pagrindinių platformų, o tik norite anonimiškai naršyti arba jei platformose, kurias naudosite, galima registruotis be telefono numerio, šį žingsnį praleiskite.

Fizinis degiklio telefonas ir išankstinio mokėjimo SIM kortelė.

Įsigykite įrašomąjį telefoną.

Tai gana paprasta. Prieš išvykdami palikite išmanųjį telefoną išjungtą arba išjunkite jo maitinimą. Turėkite šiek tiek grynųjų pinigų, nueikite į atsitiktinį blusų turgų ar nedidelę parduotuvę (geriausia tokią, kurioje nėra vaizdo stebėjimo kamerų nei viduje, nei išorėje ir kurioje vengiama fotografuoti ir (arba) filmuoti) ir tiesiog nusipirkite pigiausią telefoną, kokį tik rasite, už grynuosius pinigus ir nepateikdami jokios asmeninės informacijos. Jis turi būti tik veikiantis.


Asmeniškai aš rekomenduočiau įsigyti seną "dumbphone" su keičiama baterija (seną "Nokia", jei jūsų mobiliojo ryšio tinklai vis dar leidžia jais prisijungti, nes kai kuriose šalyse 1G-2G visiškai atsisakyta). Tai daroma siekiant išvengti automatinio bet kokių telemetrinių ir diagnostinių duomenų siuntimo ir (arba) rinkimo pačiame telefone. Niekada neturėtumėte šio telefono jungti prie bet kokio "Wi-Fi".


Taip pat labai svarbu niekada neįjungti šio telefono degiklio (net be SIM kortelės) bet kurioje geografinėje vietoje, kuri gali jus surasti (pvz., namuose ir (arba) darbe), ir niekada neįjungti jo toje pačioje vietoje, kurioje yra kitas žinomas jūsų išmanusis telefonas (nes jo IMEI ir (arba) IMSI gali lengvai jus surasti). Tai gali atrodyti didelė našta, bet taip nėra, nes šie telefonai naudojami tik sąrankos ir (arba) registracijos proceso metu ir retkarčiais patikrinimui.


Žr. priedą N: Įspėjimas dėl išmaniųjų telefonų ir išmaniųjų įrenginių


Prieš pereidami prie kito žingsnio, turėtumėte patikrinti, ar telefonas veikia. Tačiau pasikartosiu ir dar kartą pakartosiu, kad vykstant svarbu palikti išmanųjį telefoną namuose (arba išjungti jį prieš išvykstant, jei privalote jį laikyti) ir išbandyti telefoną atsitiktinėje vietoje, kurios negalima atsekti (ir dar kartą pakartosiu, nedarykite to priešais vaizdo stebėjimo kameras, venkite kamerų, stebėkite aplinką). Šioje vietoje taip pat nereikia Wi-Fi ryšio.


Kai įsitikinsite, kad telefonas veikia, išjunkite "Bluetooth", tada jį išjunkite (jei galite, išimkite akumuliatorių) ir grįžkite namo bei tęskite įprastą veiklą. Pereikite prie kito žingsnio.

Įsigykite anoniminę išankstinio mokėjimo SIM kortelę.

Tai sunkiausia viso vadovo dalis. Tai yra SPOF (Single Point of Failure - vieno nesėkmės taško). Vietų, kuriose vis dar galite įsigyti išankstinio mokėjimo SIM kortelių be asmens tapatybės registracijos, vis mažiau dėl įvairių KYC tipo taisyklių.


Taigi pateikiame sąrašą vietų, kur jų vis dar galite įsigyti dabar: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org].


Turėtumėte rasti vietą, kuri yra "ne per toli", ir tiesiog fiziškai nuvykti ten nusipirkti keletą išankstinio mokėjimo kortelių ir papildymo kuponų grynaisiais pinigais. Prieš eidami patikrinkite, ar nepriimtas įstatymas, pagal kurį būtų privaloma registracija (jei minėta wiki nebuvo atnaujinta). Stenkitės išvengti vaizdo stebėjimo kamerų ir fotoaparatų ir nepamirškite kartu su SIM kortele (jei tai nėra paketas) nusipirkti papildymo kuponą, nes daugumą išankstinio mokėjimo kortelių prieš naudojimą reikės papildyti.


Žr. priedą N: Įspėjimas dėl išmaniųjų telefonų ir išmaniųjų įrenginių


Prieš eidami pas mobiliojo ryšio operatorius, parduodančius išankstinio mokėjimo SIM korteles, dukart patikrinkite, ar jie priims SIM kortelės aktyvavimą ir papildymą be jokios asmens tapatybės registracijos. Geriausia, jei jie priimtų SIM kortelės aktyvavimą ir papildymą toje šalyje, kurioje gyvenate.


Asmeniškai JK rekomenduočiau "GiffGaff", nes jie yra "nebrangūs", nereikalauja tapatybės patvirtinimo aktyvavimui ir papildymui ir netgi leidžia keisti numerį iki 2 kartų iš savo svetainės. Taigi viena "GiffGaff" išankstinio mokėjimo SIM kortelė suteiks jums 3 numerius, kuriuos galėsite naudoti savo poreikiams.


Po aktyvavimo / papildymo ir prieš grįždami namo išjunkite telefoną. Niekada daugiau jo neįjunkite, nebent esate ne vietoje, kurioje gali būti atskleista jūsų tapatybė, ir nebent išmanusis telefonas būtų išjungtas prieš einant į tą "ne namų" vietą.

Internetinis telefono numeris (mažiau rekomenduojamas).

ATSAKYMAS: Nebandykite to daryti, kol nesate baigę kurti saugios aplinkos pagal vieną iš pasirinktų maršrutų. Šiam veiksmui atlikti reikės internetinės prieigos ir jį reikėtų atlikti tik iš anoniminio tinklo. Neatlikite šio veiksmo iš bet kokios žinomos / nesaugios aplinkos. Praleiskite šį veiksmą, kol nebaigsite vieno iš maršrutų.


Yra daug komercinių paslaugų, siūlančių numerius SMS žinutėms gauti internetu, tačiau dauguma jų iš esmės neturi anonimiškumo / privatumo ir negali būti naudingos, nes dauguma socialinės žiniasklaidos platformų riboja, kiek kartų galima naudoti telefono numerį registracijai.


Yra keletas forumų ir subredditų (pavyzdžiui, r/phoneverification/), kuriuose naudotojai už nedidelį mokestį (naudodami "PayPal" arba kokį nors kriptografinį mokėjimą) pasiūlys jums tokių SMS žinučių priėmimo paslaugą. Deja, juose gausu sukčių ir jie labai rizikingi anonimiškumo požiūriu. Jokiais būdais neturėtumėte jais naudotis.


Iki šios dienos nežinau jokios patikimos paslaugos, kuri siūlytų šią paslaugą ir priimtų mokėjimus grynaisiais pinigais (pavyzdžiui, paštu), kaip kai kurie VPN paslaugų teikėjai. Tačiau yra keletas paslaugų, teikiančių internetinius telefono numerius ir priimančių "Monero", kurios galėtų būti pakankamai anonimiškos (tačiau mažiau rekomenduojamos nei ankstesniame skyriuje nurodytas fizinis būdas), kurias galėtumėte apsvarstyti:

• Rekomenduojama: Nereikalauja jokio tapatybės nustatymo (net el. pašto):
  
  • (https://dtmf.io/ [Archive.org] pageidautina, nes jie netgi pateikia paslėptą "onion" paslaugos adresą tiesioginei prieigai per "Tor" tinklą http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/.
  • (Islandijoje) https://crypton.sh [Archive.org]
  • (Ukrainoje) https://virtualsim.net/ [Archive.org]
• Reikia pateikti asmens tapatybę patvirtinantį dokumentą (galiojantį el. paštą):
  
  • (Vokietijoje) https://www.sms77.io/ [Archive.org]
  • (Rusijoje) https://onlinesim.ru/ [Archive.org]

Yra ir kitų galimybių, išvardytų čia: https: //cryptwerk.com/companies/sms/xmr/ [Archive.org]. Naudokitės savo rizika.


ATSAKYMAS: Negaliu garantuoti už nė vieną iš šių paslaugų teikėjų, todėl vis tiek rekomenduosiu tai daryti fiziškai patiems. Tokiu atveju turėsite pasikliauti "Monero" anonimiškumu ir neturėtumėte naudotis jokiomis paslaugomis, kurios reikalauja bet kokio identifikavimo naudojant savo tikrąją tapatybę. Prašome perskaityti šį " Monero" atsakomybės apribojimą.


Todėl, IMHO, tikriausiai tiesiog patogiau, pigiau ir mažiau rizikinga tiesiog įsigyti išankstinio mokėjimo SIM kortelę iš vienos iš fizinių vietų, kurios vis dar parduoda jas už grynuosius pinigus, nereikalaudamos asmens tapatybės registracijos. Tačiau bent jau yra alternatyva, jei neturite kitos galimybės.

Įsigykite USB raktą.

Įsigykite bent vieną ar du padoraus dydžio bendrinius USB raktus (bent 16 GB, bet rekomenduočiau 32 GB).


Nepirkite ir nenaudokite gudrių savęs šifravimo įrenginių, tokių kaip šie: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org]


Kai kurie iš jų gali būti labai veiksmingi, tačiau daugelis yra gudrūs įtaisai, kurie nesuteikia jokios realios apsaugos.

Suraskite saugių vietų su tinkamu viešuoju "Wi-Fi".

Reikia rasti saugių vietų, kuriose galėtumėte atlikti neskelbtiną veiklą naudodamiesi viešai prieinamu "Wi-Fi" (be jokios paskyros ir (arba) asmens tapatybės registracijos, venkite vaizdo stebėjimo kamerų).


Tai gali būti bet kuri vieta, kuri nebus tiesiogiai su jumis susijusi (jūsų namai / darbas) ir kur galėsite kurį laiką naudotis "Wi-Fi" be jokių trukdžių. Bet taip pat vieta, kur tai galėsite daryti niekieno "nepastebėti".


Jei manote, kad "Starbucks" yra gera idėja, galite persvarstyti savo nuomonę:

• Tikriausiai visose jų parduotuvėse įrengtos vaizdo stebėjimo kameros, o įrašai saugomi nežinia kiek laiko.
• Daugumoje jų, norėdami gauti "Wi-Fi" prieigos kodą, turėsite nusipirkti kavos. Jei už šią kavą sumokėsite elektroniniu būdu, jie galės susieti jūsų "Wi-Fi" prieigą su jūsų tapatybe.

Svarbiausia yra situacijos suvokimas, todėl turėtumėte nuolat stebėti aplinką ir vengti turistų lankomų vietų, tarsi jas būtų užklupusi Ebolos epidemija. Norite išvengti, kad nepasirodytumėte jokioje nuotraukoje / vaizdo įraše, kai kas nors fotografuoja asmenukę, kuria "TikTok" vaizdo įrašą ar skelbia kokią nors kelionės nuotrauką savo "Instagram". Jei tai padarysite, atminkite, kad didelė tikimybė, jog tos nuotraukos atsidurs internete (viešai arba privačiai) su visais prie jų pridėtais metaduomenimis (laikas / data / geografinė vieta) ir jūsų veidu. Atminkite, kad jas gali indeksuoti ir indeksuos "Facebook" / "Google" / "Yandex" / "Apple" ir tikriausiai visos 3 raidžių agentūros.


Nors jūsų vietos policijos pareigūnams tai dar nebus prieinama, tačiau artimiausiu metu gali būti.


Idealiu atveju jums reikės 3-5 skirtingų tokių vietų rinkinio, kad išvengtumėte tos pačios vietos naudojimo du kartus. Per kelias savaites reikės kelių kelionių įvairiems šio vadovo veiksmams atlikti.


Taip pat galite apsvarstyti galimybę prisijungti prie šių vietų iš saugaus atstumo, kad užtikrintumėte didesnį saugumą. Žr. priedą Q: Tolimojo nuotolio antenos naudojimas norint prisijungti prie viešojo "Wi-Fis" iš saugaus atstumo.

 

[HEISENBERG]

Taškų maršrutas.

Ši vadovo dalis padės jums nustatyti Tails, jei pasitvirtina vienas iš toliau nurodytų dalykų:

• negalite sau leisti turėti specialaus nešiojamojo kompiuterio
• Jūsų specialusis nešiojamasis kompiuteris yra per senas ir per lėtas
• Turite labai menkus IT įgūdžius
• vis tiek nusprendėte naudoti "Tails

"Tails" reiškia " Amnesic Incognito Live System". Tai iš USB rakto paleidžiama "Live" operacinė sistema, skirta nepalikti jokių pėdsakų ir visus ryšius vykdyti per "Tor" tinklą.


Įdėkite Tails USB raktą į savo nešiojamąjį kompiuterį, paleiskite iš jo ir turėsite visą operacinę sistemą, veikiančią atsižvelgiant į privatumą ir anonimiškumą. Kai tik išjungsite kompiuterį, viskas dings, nebent kur nors išsaugosite.


Tails yra labai paprastas būdas greitai pradėti dirbti su tuo, ką turite, ir daug nesimokant. Ji turi išsamią dokumentaciją ir mokomąsias instrukcijas.


ĮSPĖJIMAS: "Tails" ne visada atnaujina savo pridedamą programinę įrangą. Taip pat ne visada atnaujinami ir "Tor Browser" atnaujinimai. Visada turėtumėte įsitikinti, kad naudojate naujausią "Tails" versiją, ir turėtumėte būti itin atsargūs naudodami "Tails" komplektuojamas programas, kurios gali būti pažeidžiamos dėl išnaudojimo ir atskleisti jūsųbuvimovietą265.


Vis dėlto ji turi tam tikrų trūkumų:

• Tails" naudoja "Tor", todėl norėdami pasiekti bet kokį interneto išteklių, naudosite "Tor". Vien dėl to būsite įtartini daugumai platformų, kuriose norite susikurti anonimines paskyras (tai bus išsamiau paaiškinta vėliau).
• Jūsų interneto paslaugų teikėjas (nesvarbu, ar jis yra jūsų, ar koks nors viešasis "Wi-Fi") taip pat matys, kad naudojate "Tor", ir tai savaime gali sukelti įtarimų.
• Į "Tails" neįtraukta kai kuri programinė įranga, kurią galbūt norėsite naudoti vėliau, o tai gerokai apsunkins situaciją, jei norėsite paleisti kai kuriuos specifinius dalykus (pvz., "Android" emuliatorius).
• Tails naudoja Tor naršyklę, kuri, nors yra labai saugi, taip pat bus aptinkama daugumoje platformų ir trukdys jums sukurti anoniminę tapatybę daugelyje platformų.
• Tails neapsaugos jūsų daugiau nuo 5 $ raktažodžių8.
• Kaip paaiškinta anksčiau, vien "Tor" gali nepakakti, kad apsisaugotumėte nuo priešininko, turinčio pakankamai išteklių.

Svarbi pastaba: Jei jūsų nešiojamasis kompiuteris yra stebimas / prižiūrimas ir taikomi tam tikri vietiniai apribojimai, perskaitykite U priedą: Kaip apeiti (kai kuriuos) vietinius apribojimus prižiūrimuose kompiuteriuose.


Taip pat turėtumėte perskaityti "Tails" dokumentaciją, įspėjimus ir apribojimus, prieš pradėdami toliau https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


Atsižvelgdamas į visa tai ir į tai, kad jų dokumentacija yra puiki, tiesiog nukreipsiu jus į jų gerai parengtą ir prižiūrimą vadovėlį:


https://tails.boum.org/install/index.en.html [Archive.org], pasirinkite savo skonį ir tęskite.


Kai baigsite ir nešiojamajame kompiuteryje turėsite veikiančią "Tails" programą, pereikite prie žingsnio Anoniminių internetinių tapatybių kūrimas daug toliau šiame vadove.


Jei dėl cenzūros ar kitų problemų turite problemų su prieiga prie "Tor", galite pabandyti naudoti "Tor Bridges", vadovaudamiesi šia "Tails" pamoka: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org], o daugiau informacijos apie juos rasite "Tor" dokumentacijoje https://2019.www.torproject.org/docs/bridges [Archive.org].


Jei manote, kad naudotis vien "Tor" yra pavojinga / įtartina, žr. priedą P: Kuo saugesnė prieiga prie interneto, kai "Tor" / VPN nėra galimybės.

 

[HEISENBERG]

Nuolatinis tikėtinas paneigimas naudojant "Whonix" per uodegas.

Apsvarstykite galimybę patikrinti https://github.com/aforensics/HiddenVM [Archive.org] projektą Tails.


Šis projektas - tai gudri idėja, kaip vienu spustelėjimu sukurti savarankišką virtualios mašinos sprendimą, kurį galėtumėte saugoti užšifruotame diske naudodami tikėtiną paneigimą256 (žr. skyrių "The Whonix route": pirmieji skyriai, taip pat kai kuriuos paaiškinimus apie tikėtiną paneigimą, taip pat šio vadovo pabaigoje esantį skyrių " How to securely delete specific files/folders/data on your HDD/SSD and Thumb drives" (Kaip saugiai ištrinti konkrečius failus / aplankus / duomenis HDD / SSD ir nykštukiniuose diskuose: skyrius, kuriame rasite daugiau informacijos).


Tai leistų sukurti hibridinę sistemą, kurioje būtų sumaišytos "uodegos" ir šiame vadove pateiktos "Whonix" maršruto virtualizavimo parinktys.

Pastaba: daugiau paaiškinimų apie srauto izoliavimą žr. skyriuje Pasirinkite ryšio metodą "Whonix" maršrute


Trumpai tariant:

• Galite paleisti nepersistentines "Tails" iš vieno USB rakto (vadovaudamiesi jų rekomendacijomis)
• Nuolatines virtualias mašinas galėtumėte saugoti antrinėje talpykloje, kuri gali būti šifruojama įprastai arba naudojant "Veracrypt" tikėtino paneigimo funkciją (tai gali būti, pavyzdžiui, "Whonix" virtualios mašinos arba bet kurios kitos).
• Jums naudinga papildoma "Tor" srauto izoliavimo funkcija (žr. " Tor" per VPN, kur rasite informacijos apie srauto izoliavimą).

Tokiu atveju, kaip aprašyta projekte, jūsų kompiuteryje neturėtų likti jokių jūsų veiklos pėdsakų, o slaptas darbas galėtų būti atliekamas iš virtualių mašinų, saugomų paslėptame konteineryje, kurio neturėtų lengvai aptikti lengvas priešininkas.


Ši galimybė ypač įdomi norint "keliauti lengvai" ir sušvelninti kriminalistikos atakas, kartu išsaugant savo darbo pastovumą. Jums tereikia 2 USB raktų (vieno su "Tails", o kito - su "Veracrypt" konteineriu, kuriame yra patvarusis "Whonix"). Pirmajame USB rakte atrodys, kad jame yra tik "Tails", o antrajame - kad jame yra tik atsitiktinės šiukšlės, tačiau jame bus apgaulingas tomas, kurį galėsite parodyti, norėdami įtikinamai paneigti.


Jums taip pat gali kilti klausimas, ar dėl to bus sukurta "Tor over Tor" sąranka, tačiau taip nebus. "Whonix" virtualios mašinos prie tinklo prieis tiesiogiai per "Clearnet", o ne per "Tails Onion Routing".


Ateityje tai galėtų palaikyti ir pats "Whonix" projektas, kaip paaiškinta čia: https://www.whonix.org/wiki/Whonix-Host [Archive.org], tačiau kol kas galutiniams naudotojams tai nerekomenduojama.


Atminkite, kad šifravimas su tikėtinu paneigimu ar be jo nėra sidabrinė kulka ir bus mažai naudingas kankinimo atveju. Tiesą sakant, priklausomai nuo to, kas būtų jūsų priešininkas (jūsų grėsmės modelis), gali būti protinga iš viso nenaudoti "Veracrypt" (anksčiau "TrueCrypt"), kaip parodyta šioje demonstracijoje: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Tikėtinas paneigimas veiksmingas tik prieš švelnius teisėtus priešininkus, kurie nesiims fizinių priemonių.


Žr. https://en. wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


ĮSPĖJIMAS: Jei svarstote galimybę tokias paslėptas virtualias mašinas laikyti išoriniame SSD diske, žr. priedėlį K: Išorinių SSD diskų naudojimo aspektai ir skyrelius HDD vs SSD supratimas:

• Nenaudokite paslėptų tomų SSD diskuose, nes "Veracrypt" to nepalaiko ir nerekomenduoja.
• Vietoj užšifruotų tomų naudokite failų konteinerius.
• Įsitikinkite, kad žinote, kaip tinkamai išvalyti duomenis iš išorinio SSD disko.

Čia pateikiamas mano vadovas, kaip tai padaryti:

Pirmasis paleidimas.

• Atsisiųskite naujausią "HiddenVM" versiją iš https://github.com/aforensics/HiddenVM/releases [Archive.org]
• Atsisiųskite naujausią Whonix XFCE versiją iš https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
• Paruoškite USB raktą / diską su "Veracrypt
  
  • Sukurkite paslėptą tomą USB diske (rekomenduočiau, kad paslėptas tomas būtų bent 16 GB).
  • Į išorinį tomą įdėkite keletą apgaulingų failų
  • Į paslėptąjį tomą įdėkite HiddenVM programos atvaizdo failą
  • Į paslėptąjį tomą įdėkite Whonix XFCE ova failą
• Įkraukite į "uodegą
• Nustatykite norimą klaviatūros išdėstymą.
• Pasirinkite Additional Settings (Papildomi nustatymai) ir nustatykite administratoriaus (root) slaptažodį (reikalingas HiddenVM diegimui).
• Paleiskite Tails
• Prisijunkite prie saugaus wi-fi (šis žingsnis būtinas, kad veiktų visa kita)
• Eikite į "Utilities" ir atrakinkite "Veracrypt" (paslėptą) tomą (nepamirškite pažymėti žymimojo langelio "Hidden Volume" (paslėptas tomas))
• Paleiskite "HiddenVM" programėlės atvaizdą
• Kai būsite paraginti pasirinkti aplanką, pasirinkite paslėpto tomo šaknį (kur yra "Whonix OVA" ir "HiddenVM" programėlės atvaizdo failai).
• Leiskite jai atlikti savo darbą (iš esmės tai padės įdiegti "Virtualbox" į "Tails" vienu spustelėjimu).
• Kai tai bus padaryta, turėtų automatiškai įsijungti "Virtualbox Manager".
• Importuokite "Whonix OVA" failus (žr. " Whonix Virtual Machines":)

Atkreipkite dėmesį, jei importuojant kyla problemų, pavyzdžiui, "NS_ERROR_INVALID_ARG (0x80070057)", tai greičiausiai dėl to, kad "Whonix" paslėptajame tome nepakanka vietos diske. Patys "Whonix" rekomenduoja 32 GB laisvos vietos, tačiau tai greičiausiai nėra būtina, o pradžiai turėtų pakakti 10 GB. Galite pabandyti apeiti šią klaidą pervadindami Whonix *.OVA failą į *.TAR ir išskleisdami jį Tails programoje. Baigę dekompresiją, ištrinkite OVA failą ir importuokite kitus failus naudodami importavimo vedlį. Šį kartą gali pavykti.

Vėlesni paleidimai.

• Įkrovimas į "uodegą
• Prisijunkite prie "Wi-Fi
• Atrakinkite paslėptą tomą
• Paleiskite HiddenVM programėlę
• Turėtų automatiškai atsidaryti "VirtualBox" tvarkyklė ir parodyti ankstesnes virtualias mašinas nuo pirmojo paleidimo

 

[HEISENBERG]

Visų kitų maršrutų žingsniai.

Įsigykite specialų nešiojamąjį kompiuterį, skirtą jautriai veiklai.

Idealiu atveju turėtumėte įsigyti specialų nešiojamąjį kompiuterį, kuris nebūtų su jumis susietas jokiais paprastais būdais (geriausia, kad už jį būtų anonimiškai sumokėta grynaisiais pinigais ir būtų taikomos tos pačios atsargumo priemonės, kaip anksčiau minėta dėl telefono ir SIM kortelės). Tai rekomenduojama, bet neprivaloma, nes šis vadovas padės jums kuo labiau užkietinti nešiojamąjį kompiuterį, kad įvairiomis priemonėmis išvengtumėte duomenų nutekėjimo. Tarp jūsų internetinių tapatybių ir jūsų pačių bus kelios gynybos linijos, kurios turėtų neleisti daugumai priešininkų panaikinti jūsų anonimiškumo, išskyrus didelius išteklius turinčius valstybinius / pasaulinius veikėjus.


Geriausia, kad šis nešiojamasis kompiuteris būtų švarus, šviežiai įdiegtas nešiojamasis kompiuteris (su "Windows", "Linux" arba "MacOS"), kuriame nebūtų atliekama įprasta kasdienė veikla ir kuris būtų neprisijungęs prie interneto (dar niekada nebuvo prijungtas prie tinklo). Jei tai nešiojamasis kompiuteris su "Windows" ir jei jį naudojote prieš tokį švarų įdiegimą, jis taip pat neturėtų būti aktyvuotas (iš naujo įdiegtas be produkto rakto). Konkrečiai "MacBook" atveju, prieš tai jis niekada jokiomis priemonėmis neturėjo būti susietas su jūsų tapatybe. Taigi, pirkite naudotą už grynuosius pinigus iš nepažįstamo nepažįstamojo, kuris nežino jūsų tapatybės


Taip siekiama sumažinti tam tikras būsimas problemas, jei internete būtų nutekinta informacija (įskaitant telemetriją iš jūsų operacinės sistemos ar programų), kuri gali pakenkti bet kokiems unikaliems nešiojamojo kompiuterio identifikatoriams jį naudojant (MAC adresas, "Bluetooth" adresas ir gaminio raktas...). Taip pat, kad išvengtumėte atsekimo, jei nešiojamąjį kompiuterį tektų utilizuoti.


Jei anksčiau šį nešiojamąjį kompiuterį naudojote kitais tikslais (pavyzdžiui, kasdienėje veikloje), visi jo aparatinės įrangos identifikatoriai tikriausiai yra žinomi ir užregistruoti "Microsoft" arba "Apple". Jei vėliau kuris nors iš šių identifikatorių bus pažeistas (dėl kenkėjiškos programinės įrangos, telemetrijos, išnaudojimo, žmogiškųjų klaidų...), jie gali būti nukreipti atgal į jus.


Nešiojamasis kompiuteris turėtų turėti ne mažiau kaip 250 GB vietos diske , bent 6 GB (geriausia 8 GB arba 16 GB) operatyviosios atminties ir jame turėtų būti galima vienu metu paleisti kelias virtualias mašinas. Jis turėtų turėti veikiantį akumuliatorių, kurio pakaktų kelioms valandoms.


Šiame nešiojamajame kompiuteryje galėtų būti kietasis diskas (7200 aps./min) arba SSD / NVMe diskas. Abi galimybės turi savų privalumų ir problemų, kurios bus išsamiai aprašytos vėliau.


Visus būsimus su šiuo nešiojamuoju kompiuteriu atliekamus interneto veiksmus geriausia atlikti iš saugaus tinklo, pavyzdžiui, viešojo "Wi-Fi" tinklo saugioje vietoje (žr. skyrių Raskite saugių vietų su tinkamu viešuoju "Wi-Fi"). Tačiau pirmiausia keletą veiksmų reikės atlikti neprisijungus prie interneto.

 

[HEISENBERG]

Keletas nešiojamojo kompiuterio rekomendacijų.

Jei galite sau tai leisti, galite apsvarstyti galimybę įsigyti nešiojamąjį kompiuterį "Purism Librem"(https://puri.sm [Archive.org]) arba nešiojamąjį kompiuterį" System76"(https://system76.com/ [Archive.org]), kai naudojate "Coreboot" (kuriame "Intel IME" yra išjungtas iš gamyklos).


Kitais atvejais primygtinai rekomenduočiau įsigyti verslo klasės nešiojamuosius kompiuterius (t. y. ne vartotojiškus / žaidimų klasės nešiojamuosius kompiuterius), jei tik galite. Pavyzdžiui, kokį nors "Lenovo" "ThinkPad" (mano asmeniškai mėgstamiausią). Čia pateikiami nešiojamųjų kompiuterių, šiuo metu palaikančių "Libreboot", ir kitų, kuriuose galite patys įkelti "Coreboot" (tai leis išjungti "Intel IME" arba AMD PSP), sąrašai:

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

Taip yra todėl, kad šiuose verslo nešiojamuosiuose kompiuteriuose paprastai būna geresnės ir labiau pritaikomos saugumo funkcijos (ypač BIOS/UEFI nustatymuose), o jų palaikymas ilgesnis nei daugumos vartotojams skirtų nešiojamųjų kompiuterių (Asus, MSI, Gigabyte, Acer...). Įdomiausios funkcijos, į kurias reikėtų atkreipti dėmesį, yra šios:

• Geresni pasirinktiniai "Secure Boot" nustatymai (kai galite pasirinktinai valdyti visus raktus, o ne tik naudoti standartinius)
• HDD ir (arba) SSD slaptažodžiai, be BIOS ir (arba) UEFI slaptažodžių.
• AMD nešiojamieji kompiuteriai galėtų būti įdomesni, nes kai kuriuose iš jų pagal nutylėjimą BIOS/UEFI nustatymuose galima išjungti AMD PSP (AMD "Intel IME" atitikmuo). Be to, AMD PSP buvo tikrinama ir, priešingai nei IME, nebuvo nustatyta, kad ji turi kokių nors "blogų" funkcijų. Tačiau jei ketinate naudoti "Qubes OS Route", apsvarstykite "Intel", nes jie nepalaiko AMD su savo sistema nuo blogio.
• Saugaus nuvalymo įrankiai iš BIOS (ypač naudingi SSD/NVMe diskams, žr. priedą M: BIOS/UEFI parinktys diskams nuvalyti įvairiose grupėse).
• Geresnė pasirinktų periferinių įrenginių (USB prievadų, "Wi-Fis", "Bluetooth", kameros, mikrofono ...) išjungimo / įjungimo kontrolė.
• Geresnės saugumo funkcijos naudojant virtualizaciją.
• Įgimtos apsaugos nuo klastojimo priemonės.
• Ilgesnis BIOS/UEFI atnaujinimų palaikymas (ir vėlesni BIOS/UEFI saugumo atnaujinimai).
• Kai kuriuos palaiko "Libreboot

 

[HEISENBERG]

Nešiojamojo kompiuterio Bios/UEFI/Firmware nustatymai.

KOMPIUTERIS.

Šiuos nustatymus galima pasiekti per nešiojamojo kompiuterio įkrovos meniu. Štai geras HP vadovėlis, kuriame paaiškinti visi būdai, kaip pasiekti įvairių kompiuterių BIOS: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org].


Paprastai prieigos prie jos būdas yra tam tikro klavišo (F1, F2 arba Del) paspaudimas įkrovos metu (prieš jūsų operacinę sistemą).


Patekus į ją, reikės pritaikyti keletą rekomenduojamų nustatymų:

• Jei galite, visiškai išjunkite "Bluetooth".
• Išjunkite biometrinius duomenis (pirštų atspaudų skaitytuvus), jei turite, jei galite. Tačiau galite pridėti papildomą biometrinių duomenų patikrinimą tik įkrovos paleidimui (prieš įkrovą), bet ne prieigai prie BIOS / UEFI nustatymų.
• Jei galite, išjunkite interneto kamerą ir mikrofoną.
• Įjunkite BIOS/UEFI slaptažodį ir vietoj slaptažodžio naudokite ilgą slaptažodžių frazę (jei galite) ir įsitikinkite, kad šis slaptažodis yra privalomas:
  
  • prieiti prie pačių BIOS/UEFI nustatymų
  • keičiant įkrovos tvarką
  • įjungiant/įjungiant įrenginį
• Įjunkite HDD/SSD slaptažodį, jei tokia funkcija yra. Ši funkcija pridės dar vieną slaptažodį pačiame HDD / SSD (ne BIOS / UEFI programinėje įrangoje), kuris neleis naudoti šio HDD / SSD kitame kompiuteryje be slaptažodžio. Atkreipkite dėmesį, kad ši funkcija taip pat būdinga tik kai kuriems gamintojams ir gali prireikti specialios programinės įrangos, kad būtų galima atrakinti šį diską visiškai kitame kompiuteryje.
• Jei galite, neleiskite pasiekti įkrovos parinkčių (įkrovos eiliškumo) nepateikę BIOS/UEFI slaptažodžio.
• Jei galite, išjunkite USB/HDMI arba bet kurį kitą prievadą (Ethernet, Firewire, SD kortelę...).
• Jei galite, išjunkite "Intel ME".
• Jei galite, išjunkite AMD PSP (AMD IME atitikmuo, žr. " Jūsų procesorius").
• Jei ketinate naudoti "QubesOS", išjunkite "Secure Boot", nes ji nepalaiko jos iškart. Jei ketinate naudoti "Linux" / "Windows", palikite ją įjungtą.
• Patikrinkite, ar nešiojamojo kompiuterio BIOS turi saugaus HDD/SSD ištrynimo parinktį, kuri gali būti patogi prireikus.

Jas įjunkite tik esant "poreikiui naudoti", o po naudojimo vėl išjunkite. Tai gali padėti sušvelninti kai kurias atakas tuo atveju, jei jūsų nešiojamasis kompiuteris būtų pagrobtas užrakintas, bet vis dar įjungtas, ARBA jei jums teko jį gana greitai išjungti ir kas nors jį pasisavino (ši tema bus paaiškinta toliau šiame vadove).

Apie saugiąją įkrovą.

Trumpai tariant, tai yra UEFI saugumo funkcija, skirta neleisti kompiuteriui įkrauti operacinės sistemos, kurios įkroviklis nepasirašytas specialiais raktais, saugomais nešiojamojo kompiuterio UEFI programinėje įrangoje.


Iš esmės, kai operacinės sistemos (arba įkroviklis) ją palaiko, UEFI programinėje įrangoje galite išsaugoti savo įkroviklio raktus ir tai neleis įkrauti jokios neautorizuotos operacinės sistemos (pvz., "Live OS" USB ar pan.).


Saugios įkrovos nustatymai apsaugomi slaptažodžiu, kurį nustatote, kad galėtumėte pasiekti BIOS / UEFI nustatymus. Jei turite šį slaptažodį, galite išjungti "Secure Boot" ir leisti sistemoje įkrauti nepasirašytas operacines sistemas. Tai gali padėti sušvelninti kai kurias "Evil-Maid" atakas (paaiškinta toliau šiame vadove).


Daugeliu atvejų "Secure Boot" yra išjungta pagal numatytuosius nustatymus arba yra įjungta, tačiau "sąrankos" režimu, kuris leis įkrauti bet kokią sistemą. Kad "Secure Boot" veiktų, jūsų operacinė sistema turės ją palaikyti, tada pasirašyti savo įkroviklį ir perduoti šiuos pasirašymo raktus UEFI programinei įrangai. Po to turėsite pereiti prie BIOS / UEFI nustatymų, išsaugoti tuos iš OS išstumtus raktus ir pakeisti "Secure Boot" iš sąrankos režimo į naudotojo režimą (arba kai kuriais atvejais į pasirinktinį režimą).


Atlikus šį veiksmą bus galima įkrauti tik tas operacines sistemas, iš kurių jūsų UEFI programinė įranga gali patikrinti įkroviklio vientisumą.


Daugumos nešiojamųjų kompiuterių saugios įkrovos nustatymuose jau bus įrašyti tam tikri numatytieji raktai. Paprastai tuos, kuriuos pateikė pats gamintojas arba kai kurios bendrovės, pavyzdžiui, "Microsoft". Taigi tai reiškia, kad pagal numatytuosius nustatymus visada bus galima įkrauti kai kuriuos USB diskus, net ir naudojant saugiąją įkrovą. Tai "Windows", "Fedora", "Ubuntu", "Mint", "Debian", "CentOS", "OpenSUSE", "Tails", "Clonezilla" ir daugelis kitų. Tačiau šiuo metu "QubesOS" visiškai nepalaiko "Secure Boot".


Kai kuriuose nešiojamuosiuose kompiuteriuose galite valdyti tuos raktus ir pašalinti tuos, kurių nenorite, naudodami "pasirinktinį režimą", kad autorizuotumėte tik savo įkroviklį, kurį galėtumėte pasirašyti patys, jei labai norite.


Taigi, nuo ko "Secure Boot" jus apsaugo? Ji apsaugos jūsų nešiojamąjį kompiuterį nuo nepasirašytų įkroviklių (OS tiekėjo) su, pavyzdžiui, įvestomis kenkėjiškomis programomis.


Nuo ko "Secure Boot" jūsų neapsaugo?

• "Secure Boot" nešifruoja jūsų disko, todėl priešininkas vis tiek gali tiesiog išimti diską iš jūsų nešiojamojo kompiuterio ir iš jo išgauti duomenis naudodamas kitą kompiuterį. Todėl "Secure Boot" be visiško disko šifravimo yra nenaudingas.
• "Secure Boot" neapsaugo jūsų nuo pasirašyto įkroviklio, kuris būtų pažeistas ir pasirašytas paties gamintojo ("Microsoft", pvz., "Windows" atveju). Šiais laikais dauguma pagrindinių "Linux" distribucijų yra pasirašytos ir bus įkraunamos su įjungta "Secure Boot" funkcija.
• Secure Boot gali turėti trūkumų ir būti išnaudojama, kaip ir bet kuri kita sistema. Jei naudojate seną nešiojamąjį kompiuterį, kuriam nenaudojami nauji BIOS/UEFI atnaujinimai, jie gali būti neištaisyti.

Be to, yra daugybė atakų prieš "Secure Boot", kaip išsamiai paaiškinta šiuose techniniuose vaizdo įrašuose:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Taigi, ji gali būti naudinga kaip papildoma priemonė prieš kai kuriuos priešininkus, bet ne visus. Saugi įkrovos sistema pati savaime nešifruoja kietojo disko. Tai papildomas sluoksnis, bet tik tiek.


Jei galite, vis tiek rekomenduoju jį palikti įjungtą.

Mac.

Skirkite šiek tiek laiko ir nustatykite programinės įrangos slaptažodį pagal šią instrukciją: https: //support.apple.com/en-au/HT204455 [Archive.org]


Taip pat turėtumėte įjungti apsaugą nuo programinės įrangos slaptažodžio atstatymo (galima gauti iš Catalina) pagal dokumentus čia: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].


Ši funkcija sumažins kai kurių priešininkų galimybę panaudoti aparatinės įrangos įsilaužimus, kad išjungtų / apeitų jūsų programinės įrangos slaptažodį. Atkreipkite dėmesį, kad tai taip pat užkirs kelią pačiai "Apple" prieigai prie programinės aparatinės įrangos taisymo atveju.

 

[HEISENBERG]

Fiziškai apsaugokite nešiojamąjį kompiuterį nuo pažeidimų.

Kada nors neišvengiamai paliksite šį nešiojamąjį kompiuterį kur nors vieną. Su juo nemiegosite ir nešiositės jį visur kiekvieną dieną. Turėtumėte pasirūpinti, kad būtų kuo sunkiau kam nors jį suklastoti jums to nepastebint. Tai dažniausiai naudinga prieš kai kuriuos ribotus priešus, kurie prieš jus nepanaudos 5 JAV dolerių vertės rakto.


Svarbu žinoti, kad kai kuriems specialistams yra trivialiai lengva į jūsų nešiojamąjį kompiuterį įdiegti klavišų registratorių arba tiesiog padaryti jūsų kietojo disko kloninę kopiją, kuri vėliau leistų kriminalistikos metodais aptikti joje esančius užšifruotus duomenis (daugiau apie tai vėliau).


Štai geras pigus būdas, kaip padaryti nešiojamąjį kompiuterį apsaugotą nuo klastojimo naudojant nagų laką (su blizgučiais) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (su nuotraukomis).


Nors tai geras pigus metodas, jis taip pat gali sukelti įtarimų, nes yra gana "pastebimas" ir gali atskleisti, kad "turite ką slėpti". Taigi yra subtilesnių būdų pasiekti tą patį rezultatą. Pavyzdžiui, taip pat galite padaryti nešiojamojo kompiuterio galinių varžtų stambią makrofotografiją arba tiesiog panaudoti labai nedidelį kiekį žvakių vaško viename iš varžtų, kuris gali atrodyti kaip įprastas purvas. Tuomet galite patikrinti, ar nėra klastojimo, palyginę varžtų nuotraukas su naujomis. Jų orientacija galėjo šiek tiek pasikeisti, jei jūsų priešininkas nebuvo pakankamai atsargus (užveržė juos lygiai taip pat, kaip anksčiau). Arba varžto galvutės apačioje esantis vaškas galėjo būti pažeistas, palyginti su prieš tai buvusiu.

Tokius pačius metodus galima naudoti ir su USB jungtimis, kai tereikia į kištuką įdėti nedidelį kiekį žvakės vaško, kuris būtų pažeistas įkišus į jį USB raktą.


Rizikingesnėje aplinkoje prieš naudodami nešiojamąjį kompiuterį reguliariai patikrinkite, ar jis nėra pažeistas.

 

[HEISENBERG]

Whonix maršrutas.

Nešiojamajame kompiuteryje įdiegta operacinė sistema (OS).

Šiame maršrute bus plačiai naudojamos virtualios mašinos, joms reikės priimančiosios OS, kad būtų galima paleisti virtualizavimo programinę įrangą. Šioje vadovo dalyje galite rinktis iš 3 rekomenduojamų variantų:

• Jūsų pasirinktas "Linux" distributyvas (išskyrus "Qubes OS")
• "Windows 10" (pageidautina "Home edition" versija, nes nėra "Bitlocker")
• MacOS (Catalina arba naujesnė versija)

Be to, didelė tikimybė, kad jūsų "Mac" yra arba buvo susietas su "Apple" paskyra (pirkimo metu arba po prisijungimo), todėl jo unikalūs aparatinės įrangos identifikatoriai gali nuvesti iki jūsų, jei nutekėtų aparatinės įrangos identifikatoriai.


Linux taip pat nebūtinai yra geriausias pasirinkimas anonimiškumui užtikrinti, priklausomai nuo grėsmių modelio. Taip yra todėl, kad naudodami "Windows" galėsime patogiai naudoti tikėtiną paneigimą (dar vadinamą paneigiamuoju šifravimu) OS lygmeniu. Deja, "Windows" kartu yra ir privatumo košmaras, tačiau tai vienintelė (patogi) galimybė naudoti tikėtiną paneigimą OS lygmeniu. Windows telemetrija ir telemetrijos blokavimas taip pat yra plačiai dokumentuotas, o tai turėtų sušvelninti daugelį problemų.


Taigi, kas yra tikėtinas paneigimas? Tai galimybė bendradarbiauti su priešininku, prašančiu prieigos prie jūsų įrenginio ir (arba) duomenų, neatskleidžiant savo tikrosios paslapties. Visa tai galima padaryti naudojant paneigiamąjį šifravimą.


Švelnus teisėtas priešininkas gali paprašyti jūsų užšifruoto nešiojamojo kompiuterio slaptažodžio. Iš pradžių galėtumėte atsisakyti išduoti bet kokį slaptažodį (naudodamiesi savo "teise tylėti", "teise neliudyti prieš save"), tačiau kai kurios šalys įgyvendina įstatymus, kuriais šios teisės netaikomos (nes teroristai ir "galvokite apie vaikus"). Tokiu atveju jums gali tekti atskleisti slaptažodį, o gal teks sėsti į kalėjimą už nepagarbą teismui. Čia pravers tikėtinas paneigimas.


Tuomet galėtumėte atskleisti slaptažodį, tačiau šis slaptažodis suteiks prieigą tik prie "tikėtinų duomenų" (apgaulingos OS). Teismo ekspertai gerai žinos, kad įmanoma, jog turite paslėptų duomenų, tačiau neturėtų sugebėti to įrodyti (jei tai padarysite teisingai). Jūs bendradarbiausite ir tyrėjai turės prieigą prie kažko, bet ne prie to, ką iš tikrųjų norite paslėpti. Kadangi įrodinėjimo našta turėtų tekti jiems, jie neturės kito pasirinkimo, kaip tik jumis tikėti, nebent turės įrodymų, kad turite paslėptų duomenų.


Šią funkciją galima naudoti OS lygmeniu (tikėtina OS ir paslėpta OS) arba failų lygmeniu, kai turėsite užšifruotą failų konteinerį (panašų į zip failą), kuriame bus rodomi skirtingi failai, priklausomai nuo naudojamo šifravimo slaptažodžio.


Tai taip pat reiškia, kad galite sukurti savo išplėstinę "tikėtino paneigimo" konfigūraciją naudodami bet kokią priimančiąją OS, pavyzdžiui, virtualias mašinas laikydami "Veracrypt" paslėpto tūrio konteineryje (būkite atsargūs dėl pėdsakų priimančiojoje OS, kuriuos reikės išvalyti, jei priimančioji OS yra nuolatinė, žr. tolesnį skyrių " Kai kurios papildomos priemonės prieš kriminalistiką" ). Yra projektas, kaip tai pasiekti Tails sistemoje(https://github.com/aforensics/HiddenVM [Archive.org]), pagal kurį jūsų priimančioji OS būtų nepastovi ir Tails sistemoje būtų naudojamas tikėtinas paneigimas.


"Windows" atveju tikėtinas paneigimas taip pat yra priežastis, dėl kurios geriausia turėti "Windows 10 Home" (o ne "Pro"). Taip yra todėl, kad "Windows 10 Pro" yra įdiegta viso disko šifravimo sistema ("Bitlocker"), o "Windows 10 Home" visai nesiūlo viso disko šifravimo. Vėliau šifravimui naudosime trečiosios šalies atvirojo kodo programinę įrangą, kuri leis šifruoti visą diską "Windows 10 Home" sistemoje. Tai suteiks jums gerą (tikėtiną) pretekstą naudoti šią programinę įrangą. O naudoti šią programinę įrangą "Windows 10 Pro" sistemoje būtų įtartina.


Pastaba apie "Linux": Taigi, kaip dėl "Linux" ir patikimo paneigimo? Taip, su "Linux" taip pat įmanoma pasiekti įtikinamą paneigimą. Tačiau ją sudėtinga nustatyti ir, IMHO, reikia pakankamai aukšto įgūdžių lygio, todėl jums tikriausiai nereikia šio vadovo, kad galėtumėte tai išbandyti.


Deja, šifravimas nėra stebuklingas dalykas, ir su juo susijusi tam tikra rizika:

Grėsmės, susijusios su šifravimu.

5 dolerių vertės veržliaraktis.

Nepamirškite, kad šifravimas su tikėtinu paneigimu ar be jo nėra sidabrinė kulka ir bus mažai naudingas kankinimo atveju. Tiesą sakant, priklausomai nuo to, kas būtų jūsų priešininkas (jūsų grėsmės modelis), gali būti išmintinga apskritai nenaudoti "Veracrypt" (anksčiau "TrueCrypt"), kaip parodyta šioje demonstracijoje: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Tikėtinas paneigimas veiksmingas tik prieš švelnius teisėtus priešininkus, kurie nesiims fizinių priemonių. Jei įmanoma, venkite naudoti tikėtiną paneigimą galinčią užtikrinti programinę įrangą (pvz., "Veracrypt"), jei jūsų grėsmės modelis apima kietus priešininkus. Taigi, tokiu atveju "Windows" naudotojai turėtų įdiegti "Windows Pro" kaip pagrindinę operacinę sistemą ir vietoj jos naudoti "Bitlocker".


Žr. https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

Blogio tarnaitės ataka.

Piktosios tarnaitės atakos vykdomos, kai kas nors kėsinasi į jūsų nešiojamąjį kompiuterį, kol jūsų nėra. Įdiegti klonuoti kietąjį diską, įdiegti kenkėjišką programinę įrangą arba klavišų registratorių. Jei jie gali klonuoti jūsų kietąjį diską, jie gali palyginti vieną jūsų kietojo disko atvaizdą tuo metu, kai jį paėmė, kai jūsų nebuvo, su kietojo disko atvaizdu, kai jį iš jūsų pasisavino. Jei tuo tarpu nešiojamuoju kompiuteriu vėl naudojotės, kriminalistai gali įrodyti paslėptų duomenų buvimą, pažiūrėję į dviejų atvaizdų skirtumus toje vietoje, kuri turėtų būti tuščia ir (arba) nenaudojama. Tai galėtų būti svarus paslėptų duomenų buvimo įrodymas. Jei jūsų nešiojamajame kompiuteryje (programinėje ar techninėje įrangoje) įdiegs klavišų registratorių arba kenkėjišką programinę įrangą, jie galės tiesiog gauti iš jūsų slaptažodį, kurį vėliau galės panaudoti, kai jį konfiskuos. Tokios atakos gali būti vykdomos jūsų namuose, viešbutyje, pasienio kontrolės punkte arba bet kur, kur paliekate savo įrenginius be priežiūros.


Šią ataką galite sušvelninti atlikdami toliau nurodytus veiksmus (kaip rekomenduota anksčiau):

• Turėkite pagrindinę apsaugą nuo klastojimo (kaip paaiškinta anksčiau), kad būtų užkirstas kelias fizinei prieigai prie nešiojamojo kompiuterio vidinių dalių be jūsų žinios. Tai neleis klonuoti jūsų diskų ir be jūsų žinios įdiegti fizinio klavišų registratoriaus.
• Išjunkite visus USB prievadus (kaip paaiškinta anksčiau) per slaptažodžiu apsaugotą BIOS / UEFI. Vėlgi, jie negalės jų įjungti (fiziškai neprieidami prie pagrindinės plokštės, kad iš naujo nustatytų BIOS) ir įkrauti USB įrenginio, kuris galėtų klonuoti jūsų standųjį diską arba įdiegti programinės kenkėjiškos programos, kuri galėtų veikti kaip raktų registratorius.
• Nustatykite BIOS / UEFI / programinės įrangos slaptažodžius, kad išvengtumėte bet kokio neautorizuoto įrenginio įkrovimo.
• Kai kuriose operacinėse sistemose ir šifravimo programinėje įrangoje galima įjungti apsaugą nuo "EvilMaid". Taip yra "Windows" / "Veracrypt" ir "QubeOS" atveju.

Šaltojo įkrovimo ataka.

Šaltojo įkrovimo atakos yra sudėtingesnės nei "Evil Maid" ataka, tačiau gali būti "Evil Maid" atakos dalis, nes tam reikia, kad priešininkas užvaldytų jūsų nešiojamąjį kompiuterį jums aktyviai naudojantis įrenginiu arba netrukus po to.


Idėja gana paprasta, kaip parodyta šiame vaizdo įraše, priešininkas teoriškai galėtų greitai paleisti jūsų įrenginį naudodamas specialų USB raktą, kuris nukopijuotų įrenginio RAM (atminties) turinį po to, kai jį išjungsite. Jei USB prievadai būtų išjungti arba jei jam atrodytų, kad reikia daugiau laiko, jis galėtų jį atidaryti ir "atvėsinti" atmintį naudodamas purškalą ar kitas chemines medžiagas (pavyzdžiui, skystą azotą), neleidžiančias atminčiai suirti. Tuomet jie galėtų nukopijuoti jos turinį analizei. Šioje atminties kopijoje galėtų būti raktas, kuriuo būtų galima iššifruoti jūsų įrenginį. Vėliau taikysime keletą principų, kaip juos sušvelninti.


Kalbant apie tikėtiną paneigimą, buvo atlikta keletas kriminalistinių tyrimų apie tai, kaip techniškai įrodyti paslėptų duomenų buvimą atliekant paprastą teismo ekspertizę (be "Cold Boot" / "Cold Boot" / "Blogosios mergelės" atakos), tačiau juos užginčijo kiti tyrimai ir "Veracrypt" palaikytojas, todėl kol kas dėl jų per daug nesijaudinčiau.


Tos pačios priemonės, naudojamos "Evil Maid" atakoms sušvelninti, turėtų būti taikomos ir "Cold Boot" atakoms, pridėjus keletą papildomų:

• Jei jūsų operacinė sistema arba šifravimo programinė įranga tai leidžia, turėtumėte apsvarstyti galimybę šifruoti raktus ir operatyviojoje atmintyje (tai įmanoma naudojant "Windows" / "Veracrypt" ir bus paaiškinta vėliau)
• Turėtumėte apriboti miego budėjimo režimo naudojimą ir vietoj jo naudoti išjungimo arba hibernacijos režimą, kad šifravimo raktai neliktų operatyviojoje atmintyje, kai kompiuteris užmiega. Taip yra todėl, kad miego režimas išlaikys jūsų atminties galią, kad galėtumėte greičiau atnaujinti veiklą. Tik hibernacija ir išjungimas iš tikrųjų ištrins raktą iš atminties.

Taip pat žr. https://www. whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] ir https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Čia taip pat rasite keletą įdomių priemonių, kurias "Linux" naudotojai galėtų apsisaugoti:

• https://github.com/0xPoly/Centry [Archive.org] (deja, panašu, kad jis nėra prižiūrimas, todėl aš padariau šakutę ir atnaujinau "Veracrypt" užklausą https://github.com/AnonymousPlanet/Centry [Archive.org], kuri vis dar turėtų veikti).
• https://github.com/hephaest0s/usbkill [Archive.org] (deja, atrodo, taip pat neprižiūrimas)
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (Qubes OS, tik Intel CPU) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

Apie miegą, hibernaciją ir išjungimą.

Jei norite didesnio saugumo, turėtumėte visiškai išjungti nešiojamąjį kompiuterį kiekvieną kartą, kai paliekate jį be priežiūros arba uždarote dangtį. Tai turėtų išvalyti ir (arba) atlaisvinti operatyviąją atmintį ir sušvelninti šaltosios įkrovos atakas. Tačiau tai gali būti šiek tiek nepatogu, nes teks visiškai perkrauti kompiuterį ir įvesti daugybę slaptažodžių į įvairias programas. Iš naujo paleiskite įvairias virtualias mašinas ir kitas programas. Taigi vietoj to taip pat galite naudoti hibernaciją (nepalaikoma "Qubes OS"). Kadangi visas diskas yra užšifruotas, pati savaime hibernacija neturėtų kelti didelio pavojaus saugumui, tačiau vis tiek išjungsite nešiojamąjį kompiuterį ir išvalysite atmintį, o po to galėsite patogiai tęsti darbą. Niekada neturėtumėte naudoti standartinės miego funkcijos, dėl kurios kompiuteris liks įjungtas, o atmintis - įjungta. Tai yra anksčiau aptartas atakos vektorius prieš piktosios mergelės ir šaltosios įkrovos atakas. Taip yra todėl, kad įjungtoje atmintyje yra disko šifravimo raktai (užšifruoti arba ne), kuriuos gali pasiekti įgudęs priešininkas.


Vėliau šiame vadove bus pateiktos rekomendacijos, kaip įjungti hibernaciją įvairiose pagrindinėse operacinėse sistemose (išskyrus "Qubes OS"), jei nenorite kaskart išsijungti.

Vietinių duomenų nutekėjimas (pėdsakai) ir teismo ekspertizė.

Kaip trumpai minėta anksčiau, tai yra operacinės sistemos ir programų duomenų nutekėjimas ir pėdsakai, kai kompiuteryje atliekate bet kokią veiklą. Jie dažniausiai taikomi užšifruotoms failų talpykloms (su tikėtina paneigimo galimybe arba be jos), o ne visos operacinės sistemos šifravimui. Tokie nutekėjimai yra mažiau "svarbūs", jei užšifruota visa jūsų OS (jei nesate priversti atskleisti slaptažodžio).


Tarkime, turite, pavyzdžiui, "Veracrypt" užšifruotą USB raktą su įjungta tikėtino paneigimo funkcija. Priklausomai nuo slaptažodžio, kurį naudojate prijungdami USB raktą, bus atidarytas apgaulingas aplankas arba slaptas aplankas. Šiuose aplankuose bus dokumentai ir (arba) duomenys, esantys apgaulingame aplanke, ir slapti dokumentai ir (arba) duomenys, esantys slaptame aplanke.


Visais atvejais šiuos aplankus (greičiausiai) atidarysite naudodami "Windows Explorer", "MacOS Finder" ar bet kurią kitą programą ir darysite tai, ką planavote daryti. Galbūt redaguosite dokumentą jautriame aplanke. Galbūt aplanke atliksite dokumento paiešką. Galbūt jį ištrinsite arba žiūrėsite slaptą vaizdo įrašą naudodami VLC.


Visos šios programos ir jūsų operacinė sistema gali išsaugoti tokio naudojimo žurnalus ir pėdsakus. Tai gali būti visas aplanko, failų ir (arba) diskų kelias, laikas, kada prie jų buvo jungtasi, laikinosios tų failų talpyklos, kiekvienos programos "paskutinių" sąrašai, failų indeksavimo sistema, kuri gali indeksuoti diską, ir net miniatiūros, kurios gali būti sukurtos.


Štai keletas tokių nutekėjimų pavyzdžių:

"Windows".

• "Windows ShellBags", kurie saugomi "Windows" registre, tyliai saugo įvairias prieinamų tomų, failų ir (arba) aplankų istorijas.
• "Windows" indeksavimas, pagal nutylėjimą saugantis naudotojo aplanke esančių failų pėdsakus.
• Naujausi sąrašai (dar vadinami "Jump Lists") "Windows" sistemoje ir įvairiose programose, kuriuose saugomi neseniai aplankytų dokumentų pėdsakai.
• Daug daugiau pėdsakų įvairiuose žurnaluose, daugiau informacijos rasite šiame įdomiame plakate: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.

• Gatekeeper290 ir XProtect, saugančios jūsų atsisiuntimų istoriją vietinėje duomenų bazėje ir failų atributus.
• Spotlight indeksavimas
• Naujausi sąrašai įvairiose programose, kuriuose saugomi neseniai peržiūrėtų dokumentų pėdsakai.
• Laikinieji aplankai, kuriuose saugomi įvairūs programų ir dokumentų naudojimo pėdsakai.
• "MacOS" žurnalai
• ...

Linux.

• Bash istorija
• USB žurnalai
• Naujausi sąrašai įvairiose programose, kuriuose saugomi neseniai peržiūrėtų dokumentų pėdsakai.
• "Linux" žurnalai
• ...

Kriminalistai gali pasinaudoti visais šiais nutekėjimais (žr. Vietinių duomenų nutekėjimas ir kriminalistika), kad įrodytų paslėptų duomenų egzistavimą ir sužlugdytų jūsų bandymus naudoti tikėtiną paneigimą bei išsiaiškinti įvairią slaptą veiklą.


Todėl bus svarbu taikyti įvairius veiksmus, kad kriminalistai to nepadarytų, užkertant kelią šiems nutekėjimams ir (arba) pėdsakams ir juos išvalant, o dar svarbiau - naudojant viso disko šifravimą, virtualizavimą ir suskirstymą.


Kriminalistai negali išgauti vietinių duomenų nutekėjimų iš OS, kurios jie negali pasiekti. O daugumą šių pėdsakų galėsite išvalyti nuvalydami diską arba saugiai ištrindami savo virtualias mašinas (o tai nėra taip paprasta, kaip manote SSD diskuose).


Kai kurie valymo būdai vis dėlto bus aptarti šio vadovo dalyje "Paslėpti pėdsakus" pačioje pabaigoje.

Duomenų nutekėjimas internete.

Nesvarbu, ar naudojate paprastą šifravimą, ar tikėtino paneigimo šifravimą. Net jei slėpėte savo pėdsakus pačiame kompiuteryje. Vis tiek išlieka internetinių duomenų nutekėjimo rizika, dėl kurios gali paaiškėti paslėptų duomenų buvimas.


Telemetrija yra jūsų priešas. Kaip paaiškinta anksčiau šiame vadove, ne tik operacinių sistemų, bet ir programų telemetrija gali siųsti internete stulbinančius privačios informacijos kiekius.


Pavyzdžiui, "Windows" atveju šie duomenys galėtų būti naudojami siekiant įrodyti, kad kompiuteryje yra paslėpta operacinė sistema / tomas, ir būtų lengvai prieinami "Microsoft". Todėl labai svarbu išjungti ir blokuoti telemetriją visomis turimomis priemonėmis. Nesvarbu, kokią OS naudojate.

Išvada.

Niekada nevykdykite slaptos veiklos iš nešifruotos sistemos. Ir net jei ji užšifruota, tikriausiai niekada neturėtumėte vykdyti neskelbtinos veiklos iš pačios priimančiosios OS. Vietoj to turėtumėte naudoti virtualiąją mašiną, kad galėtumėte efektyviai izoliuoti ir suskaidyti savo veiklą ir užkirsti kelią vietiniam duomenų nutekėjimui.


Jei turite mažai žinių apie "Linux" arba visai jų neturite, arba jei norite naudoti OS platų tikėtiną paneigimą, dėl patogumo rekomenduočiau rinktis "Windows" (arba grįžti prie "Tails" maršruto). Šis vadovas padės jums ją kiek įmanoma labiau užkietinti, kad išvengtumėte nutekėjimo. Šis vadovas taip pat padės kuo geriau apsaugoti "MacOS" ir "Linux" nuo panašių nutekėjimų.


Jei nesate suinteresuoti OS plačiuoju patikimumo paneigimu ir norite išmokti naudotis Linux, primygtinai rekomenduočiau rinktis Linux arba Qubes kelią, jei jūsų aparatinė įranga tai leidžia.


Visais atvejais priimančiosios OS niekada nereikėtų naudoti tiesiogiai slaptai veiklai vykdyti. Priimančioji OS bus naudojama tik prisijungimui prie viešojo "Wi-Fi" prieigos taško. Kol vykdysite neskelbtiną veiklą, ji bus nenaudojama, o idealiu atveju neturėtų būti naudojama jokiai kasdienei veiklai.


Taip pat apsvarstykite galimybę perskaityti https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]

 

[HEISENBERG]

Pagrindinė operacinė sistema "Linux".

Kaip minėta anksčiau, nerekomenduoju kasdienio nešiojamojo kompiuterio naudoti labai jautriai veiklai. Arba bent jau nerekomenduoju joms naudoti savo vietinės OS. Taip elgiantis gali įvykti nepageidaujamas duomenų nutekėjimas, kuris gali būti panaudotas jūsų anonimiškumui panaikinti. Jei turite tam skirtą nešiojamąjį kompiuterį, turėtumėte iš naujo įdiegti šviežią švarią OS. Jei nenorite ištrinti nešiojamojo kompiuterio ir pradėti iš naujo, turėtumėte apsvarstyti "Tails" maršrutą arba tęsti savo rizika.


Taip pat rekomenduoju atlikti pradinį diegimą visiškai neprisijungus, kad išvengtumėte bet kokio duomenų nutekėjimo.


Visada turėtumėte prisiminti, kad, nepaisant reputacijos, pagrindinių "Linux" distributyvų (pavyzdžiui, "Ubuntu") saugumas nebūtinai yra geresnis nei kitų sistemų, pavyzdžiui, "MacOS" ir "Windows". Norėdami suprasti, kodėl, žr. šią nuorodą https://madaidans-insecurities.github.io/linux.html [Archive.org].

Viso disko šifravimas.

Ubuntu turi dvi galimybes:

• (Rekomenduojama ir paprasta) Šifruoti kaip diegimo proceso dalį: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Šis procesas reikalauja ištrinti visą diską (švarus diegimas).
  • Tiesiog pažymėkite "Encrypt the new Ubuntu installation for security" (užšifruoti naują "Ubuntu" diegimą saugumo sumetimais).
• (Sudėtinga, bet įmanoma) Užšifruokite po įdiegimo: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

Kitų distribucijų atveju teks patiems pateikti dokumentus, bet greičiausiai viskas bus panašu. Šifravimas diegimo metu yra tiesiog daug paprastesnis šio vadovo kontekste.

Atmesti / išjungti bet kokią telemetriją.

• Įdiegimo metu tiesiog įsitikinkite, kad neleidžiate rinkti jokių duomenų, jei bus paprašyta.
• Jei nesate tikri, tiesiog įsitikinkite, kad neleidote jokios telemetrijos, ir prireikus vadovaukitės šia instrukcija https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org]
• Bet kuri kita distribucija: Jums reikės patiems parengti dokumentus ir išsiaiškinti, kaip išjungti telemetriją, jei ji yra.

Išjunkite viską, kas nereikalinga.

• Išjunkite "Bluetooth", jei jis įjungtas, vadovaudamiesi šiuo vadovu https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] arba nurodykite šią komandą:
  
  • sudo systemctl disable bluetooth.service --force
• Išjunkite indeksavimą, jei jis įjungtas pagal nutylėjimą (Ubuntu >19.04), vadovaudamiesi šiuo vadovu https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] arba pateikdami šias komandas::
  
  • Sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Galite drąsiai nekreipti dėmesio į bet kokią klaidą, jei joje rašoma, kad kokia nors paslauga neegzistuoja.
  • sudo tracker reset -hard

Hibernacija.

Kaip paaiškinta anksčiau, turėtumėte nenaudoti miego funkcijų, bet išjungti arba užmigdyti nešiojamąjį kompiuterį, kad sušvelnintumėte kai kurias piktosios tarnaitės ir šaltojo įkrovimo atakas. Deja, daugelyje "Linux" distribucijų, įskaitant "Ubuntu", ši funkcija pagal nutylėjimą yra išjungta. Ją galima įjungti, tačiau ji gali veikti ne taip, kaip tikėtasi. Vadovaukitės šia informacija savo rizika. Jei nenorite to daryti, niekada nenaudokite miego funkcijos ir vietoj jos naudokite išjungimo funkciją (ir tikriausiai nustatykite dangčio uždarymo elgseną taip, kad būtų išjungiama, o ne miegama).


Norėdami įjungti "Hibernate" funkciją, vadovaukitės viena iš šių mokomųjų programų:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

Įjungę "Hibernate", pakeiskite elgseną taip, kad nešiojamasis kompiuteris būtų užmigdomas uždarius dangtį, vadovaudamiesi šia Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] ir šia Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org] pamoka.


Deja, tai nepadės išvalyti rakto iš atminties tiesiogiai iš atminties, kai jis bus užmigdytas. Norėdami to išvengti tam tikro našumo sąskaita, galite apsvarstyti galimybę užšifruoti apsikeitimo failą pagal šią instrukciją: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Šie nustatymai turėtų sušvelninti šaltosios įkrovos atakas, jei galite pakankamai greitai užmigdyti kompiuterį.

Įjunkite MAC adresų atsitiktinį nustatymą.

• Ubuntu, atlikite šiuos veiksmus: https: //help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org] .
• Bet kuri kita distribucija: dokumentus turėsite susirasti patys, bet jie turėtų būti gana panašūs į Ubuntu vadovą.
• Apsvarstykite šią instrukciją, kuri vis dar turėtų veikti: https://josh.works/shell-script-basics-change-mac-address [Archive.org].

Linux grūdinimas.

Kaip lengvą įvadą naujiems "Linux" naudotojams, apsvarstykite

[Invidious]


Jei norite išsamesnių ir pažangesnių galimybių, žr:

• Šis puikus vadovas: https: //madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Šis puikus wiki šaltinis: https://wiki.archlinux.org/title/Security [Archive.org]
• Šie puikūs scenarijai, pagrįsti pirmiau minėtu vadovu ir wiki: https://codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Saugios naršyklės nustatymas.

Žr. G priedą: Saugi naršyklė priimančiojoje OS

 

[HEISENBERG]

MacOS priimančioji operacinė sistema.

Pastaba: šiuo metu šis vadovas (kol kas) nepalaiko ARM M1 "MacBook" kompiuterių. Dėl to, kad "Virtualbox" dar nepalaiko šios architektūros. Tačiau tai gali būti įmanoma, jei naudosite komercines priemones, pavyzdžiui, "VMWare" arba "Parallels", tačiau jos šiame vadove nenagrinėjamos.


Kaip minėta anksčiau, nerekomenduoju kasdienio nešiojamojo kompiuterio naudoti labai jautriai veiklai. Arba bent jau nerekomenduoju tam naudoti savo vietinės OS. Taip elgiantis gali įvykti nepageidaujamas duomenų nutekėjimas, kuris gali būti panaudotas jūsų anonimiškumui panaikinti. Jei turite tam skirtą nešiojamąjį kompiuterį, turėtumėte iš naujo įdiegti šviežią švarią OS. Jei nenorite ištrinti nešiojamojo kompiuterio ir pradėti iš naujo, turėtumėte apsvarstyti "Tails" maršrutą arba tęsti savo rizika.


Taip pat rekomenduoju atlikti pradinį diegimą visiškai neprisijungus, kad išvengtumėte bet kokio duomenų nutekėjimo.


Niekada neprisijunkite prie savo "Apple" paskyros naudodami šį "Mac" kompiuterį.

Diegimo metu.

• Išlikite neprisijungę
• Išjunkite visas duomenų bendrinimo užklausas, kai būsite paraginti, įskaitant vietos nustatymo paslaugas.
• Neprisijunkite prie "Apple
• Neįjunkite "Siri

"MacOS" griežtinimas.

Kaip lengvą įvadą naujiems "MacOS" naudotojams, apsvarstykite galimybę

[Invidious]


Jei norite išsamiau apsaugoti ir sustiprinti "MacOS", rekomenduoju perskaityti šį "GitHub" vadovą, kuriame turėtų būti aptarti daugelis klausimų: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Štai pagrindiniai veiksmai, kuriuos turėtumėte atlikti po neprisijungusio diegimo:

Įjunkite programinės įrangos slaptažodį naudodami parinktį "disable-reset-capability".

Pirmiausia turėtumėte nustatyti programinės įrangos slaptažodį, vadovaudamiesi šiuo "Apple" vadovu: https://support.apple.com/en-us/HT204455 [Archive.org]


Deja, vis dar galimos tam tikros atakos ir priešininkas gali išjungti šį slaptažodį, todėl taip pat turėtumėte vadovautis šiuo vadovu, kad niekas, įskaitant "Apple", neišjungtų programinės įrangos slaptažodžio: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]

Įjunkite hibernaciją vietoj miego režimo.

Vėlgi, taip siekiama užkirsti kelią kai kurioms šaltosios įkrovos ir piktosios mergelės atakoms, išjungiant operatyviąją atmintį ir išvalant šifravimo raktą, kai uždarote dangtį. Visada turėtumėte arba užmigdyti, arba išjungti. "MacOS" operacinėje sistemoje hibernacijos funkcija netgi turi specialią parinktį, kuri specialiai išvalo šifravimo raktą iš atminties, kai užmigdomas (o kitose operacinėse sistemose gali tekti laukti, kol atmintis išsikraus). Vėlgi nustatymuose nėra paprastų parinkčių tai padaryti, todėl vietoj to turėsime tai padaryti paleisdami kelias komandas, kad įjungtume hibernaciją:

• Atidarykite terminalą
• Vykdykite: sudo pmset -a destroyfvkeyonstandby 1
  
  • Ši komanda nurodys "MacOS" sunaikinti "Filevault" raktą budėjimo režimu (miego režimu)
• Vykdykite: sudo pmset -a hibernatemode 25
  
  • Ši komanda nurodys "MacOS" išjungti atmintį miego metu, užuot atlikus hibernavimo režimą, kai atmintis išlieka įjungta. Dėl to lėčiau pabusite, bet pailgės akumuliatoriaus veikimo laikas.

Dabar, uždarius "MacBook" dangtį, kompiuteris turėtų būti ne užmigdytas, o užmigdytas, ir taip sumažės bandymų vykdyti šaltosios įkrovos atakas.


Be to, taip pat turėtumėte nustatyti automatinį užmigdymą (Settings > Energy), kad "MacBook" automatiškai užmigtų, jei bus paliktas be priežiūros.

Išjunkite nereikalingas paslaugas.

Išjunkite kai kuriuos nereikalingus nustatymus nustatymuose:

• Išjunkite "Bluetooth
• Išjunkite kamerą ir mikrofoną
• Išjunkite vietos nustatymo paslaugas
• Išjungti "Airdrop
• Išjungti indeksavimą

Užkirskite kelią "Apple OCSP" skambučiams.

Tai liūdnai pagarsėję "neužblokuojami telemetrijos" skambučiai iš "MacOS Big Sur", atskleisti čia: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Galite blokuoti OCSP pranešimus, "Terminal" programoje pateikdami šią komandą:

• "sudo sh -c 'echo "127.0.0.0.1 ocsp.apple.com" >> /etc/hosts'

Tačiau prieš imdamiesi veiksmų turbūt turėtumėte dokumentais pagrįsti tikrąją problemą. Pradėti galima nuo šio puslapio: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Tikrai priklauso nuo jūsų. Aš jį užblokuočiau, nes nenoriu, kad mano OS be mano konkretaus sutikimo perduotų bet kokią telemetriją motininei įmonei. Nėra.

Įjunkite viso disko šifravimą (Filevault).

Turėtumėte įjungti viso disko šifravimą "Mac" kompiuteryje naudodami "Filevault" pagal šią vadovo dalį: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Būkite atsargūs įjungdami. Neišsaugokite atkūrimo rakto "Apple", jei bus paprašyta (neturėtų kilti problemų, nes šiame etape turėtumėte būti neprisijungę). Akivaizdu, kad nenorite, jog trečioji šalis turėtų jūsų atkūrimo raktą.

MAC adresų atsitiktinis nustatymas.

Deja, "MacOS" nesiūlo patogaus MAC adreso atsitiktinio nustatymo būdo, todėl turėsite tai atlikti rankiniu būdu. Kiekvieną kartą perkraunant kompiuterį jis bus iš naujo nustatomas, todėl turėsite tai daryti iš naujo, kad prisijungdami prie įvairių "Wi-Fis" nenaudotumėte savo tikrojo MAC adreso.


Tai galite padaryti terminale pateikdami šias komandas (be skliaustų):

• (Išjunkite "Wi-Fi") networksetup -setairportpower en0 off
• (Pakeiskite MAC adresą) sudo ifconfig en0 ether 88:63:11:11:11:11:11:11
• (Įjunkite Wi-Fi) networksetup -setairportpower en0 on

Saugios naršyklės nustatymas.

Žr. G priedą: Saugi naršyklė priimančiojoje OS

Priimančioji "Windows" operacinė sistema.

Kaip minėta anksčiau, nerekomenduoju kasdienio nešiojamojo kompiuterio naudoti labai jautriai veiklai. Arba bent jau nerekomenduoju joms naudoti savo vietoje esančios OS. Taip elgiantis gali įvykti nepageidaujamas duomenų nutekėjimas, kuris gali būti panaudotas jūsų anonimiškumui panaikinti. Jei turite tam skirtą nešiojamąjį kompiuterį, turėtumėte iš naujo įdiegti šviežią švarią OS. Jei nenorite ištrinti nešiojamojo kompiuterio ir pradėti iš naujo, turėtumėte apsvarstyti "Tails" maršrutą arba tęsti savo rizika.


Taip pat rekomenduoju atlikti pradinį diegimą visiškai neprisijungus, kad išvengtumėte bet kokio duomenų nutekėjimo.

Įdiegimas.

Turėtumėte vadovautis A priedu: "Windows" diegimas


Kaip lengvą įžangą, apsvarstykite galimybę žiūrėti

[Invidious]

Įgalinti MAC adresų atsitiktinį parinkimą.

MAC adresą turėtumėte nustatyti atsitiktine tvarka, kaip paaiškinta anksčiau šiame vadove:


Įjunkite "Settings" > "Network & Internet" > "Wi-Fi" > "Enable Random hardware addresses".


Arba galite naudoti šią nemokamą programinę įrangą: https://technitium.com/tmac/ [Archive.org]

Saugios naršyklės nustatymas.

Žr. G priedą: Saugi naršyklė pagrindinėje OS

Įjunkite kai kuriuos papildomus privatumo nustatymus priimančiojoje OS.

Žr. B priedėlį: "Windows" papildomi privatumo nustatymai

Windows priimančiosios OS šifravimas.

Jei ketinate naudoti tikėtiną paneigimą visoje sistemoje.

Veracrypt - tai programinė įranga, kurią rekomenduoju naudoti viso disko šifravimui, failų šifravimui ir tikėtinam paneigimui. Tai gerai žinomos, bet nebenaudojamos ir neprižiūrimos "TrueCrypt" šaknis. Ją galima naudoti

• Paprastam viso disko šifravimui (kietasis diskas šifruojamas naudojant vieną slaptažodį).
• Viso disko šifravimui su tikėtinu paneigimu (tai reiškia, kad priklausomai nuo įkrovos metu įvestos slaptažodžių frazės bus įkraunama apgaulinga arba paslėpta OS).
• Paprastas failų konteinerio šifravimas (tai didelis failas, kurį galėsite prijungti "Veracrypt" sistemoje kaip išorinį diską, kad jame galėtumėte saugoti užšifruotus failus).
• Failų talpykla su tikėtinu paneigimu (tai tas pats didelis failas, tačiau priklausomai nuo slaptažodžio, kurį naudosite jį prijungdami, prijungsite arba "paslėptą tomą", arba "apgaulės tomą").

Mano žiniomis, tai vienintelė (patogi ir visiems tinkama) nemokama, atvirojo kodo ir atvirai audituota šifravimo programinė įranga, kuri taip pat užtikrina tikėtiną paneigimą bendram naudojimui ir veikia su "Windows Home Edition".


Atsisiųskite ir įdiekite "Veracrypt" iš: https://www.veracrypt.fr/en/Downloads.html [Archive.org]


Įdiegę programą, skirkite šiek tiek laiko ir peržiūrėkite toliau nurodytas parinktis, kurios padės sušvelninti kai kurias atakas:

• Užšifruokite atmintį naudodami "Veracrypt" parinktį (nustatymai > našumo / tvarkyklės parinktys > šifruoti RAM) 5-15 % našumo kaina. Naudojant šį nustatymą taip pat bus išjungta hibernacija (kuri aktyviai neišvalo rakto, kai vyksta hibernacija), o vietoj to bus visiškai užšifruota atmintis, kad būtų sušvelnintos kai kurios šaltosios įkrovos atakos.
• Įjunkite parinktį "Veracrypt", kad ištrintumėte raktus iš atminties, jei įdedamas naujas įrenginys (sistema > nustatymai > saugumas > išvalyti raktus iš atminties, jei įdedamas naujas įrenginys). Tai gali padėti tuo atveju, jei jūsų sistema būtų užgrobta, kai ji vis dar įjungta (bet užrakinta).
• Įjunkite "Veracrypt" parinktį, kad tomai būtų prijungiami kaip keičiamieji tomai (nustatymai > nuostatos > nuostatos > prijungti tomą kaip keičiamąją laikmeną). Tai neleis "Windows" į įvykių žurnalus įrašyti kai kurių įrašų apie jūsų prijungimą ir užkirs kelią kai kuriems vietiniams duomenų nutekėjimams.
• Būkite atsargūs ir gerai stebėkite situaciją, jei pajutote kažką keisto. Kuo greičiau išjunkite nešiojamąjį kompiuterį.
• Nors naujesnės "Veracrypt" versijos palaiko "Secure Boot", rekomenduočiau ją išjungti iš BIOS, nes man labiau patinka "Veracrypt Anti-Evil Maid" sistema nei "Secure Boot".

Jei nenorite naudoti užšifruotos atminties (nes gali kilti problemų dėl našumo), turėtumėte bent jau įjungti hibernaciją, o ne miego režimą. Tai neišvalys raktų iš atminties (vis tiek būsite pažeidžiami šaltosios įkrovos atakų), bet bent jau turėtų jas šiek tiek sušvelninti, jei jūsų atmintis turi pakankamai laiko susilpnėti.


Išsamesnės informacijos rasite vėliau A ir B maršrute: Paprastas šifravimas naudojant "Veracrypt" (Windows pamoka).

Jei neketinate naudoti tikėtino paneigimo visoje sistemoje.

Šiuo atveju rekomenduosiu naudoti "BitLocker", o ne "Veracrypt" visam diskui šifruoti. Taip yra todėl, kad "BitLocker", priešingai nei "Veracrypt", nesuteikia tikėtino paneigimo galimybės. Tuomet kietas priešininkas neturi paskatų tęsti savo "sustiprinto" tardymo, jei atskleisite slaptažodį.


Paprastai šiuo atveju turėtumėte būti įdiegę "Windows Pro", o "BitLocker" sąranka yra gana paprasta.


Iš esmės galite vadovautis instrukcijomis čia: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org].


Tačiau čia pateikiami šie žingsniai:

• Spustelėkite "Windows" meniu
• Įveskite "Bitlocker"
• Spustelėkite "Tvarkyti "Bitlocker"
• Spustelėkite "Turn On Bitlocker" (įjungti "Bitlocker") savo sisteminiame diske
• Vykdykite instrukcijas
  
  • Neišsaugokite atkūrimo rakto "Microsoft" paskyroje, jei būsite paraginti.
  • Atkūrimo raktą išsaugokite tik išoriniame užšifruotame diske. Norėdami to apeiti, atsispausdinkite atkūrimo raktą naudodami "Microsoft Print to PDF" spausdintuvą ir išsaugokite raktą aplanke Dokumentai.
  • Užšifruokite visą diską (neužšifruokite tik naudojamos disko vietos).
  • Naudokite "New Encryption Mode" (naują šifravimo režimą)
  • Paleiskite "BitLocker" patikrinimą
  • Perkraukite
• Šifravimas dabar turėtų ne prasidėti fone (galite patikrinti spustelėję "BitLocker" piktogramą užduočių juostos apatinėje dešinėje pusėje).

Įjunkite hibernaciją (neprivaloma).

Vėlgi, kaip paaiškinta anksčiau. Niekada neturėtumėte naudoti miego funkcijos, kad sušvelnintumėte kai kurias šaltosios įkrovos ir piktavalių atakas. Vietoj to turėtumėte išjungti arba užmigdyti. Todėl nešiojamąjį kompiuterį turėtumėte perjungti į miego režimą, kai uždarote dangtį arba kai nešiojamasis kompiuteris pereina į miego režimą.


(Atkreipkite dėmesį, kad negalite įjungti užmigdymo režimo, jei prieš tai "Veracrypt" programoje įjungėte RAM šifravimą).


Priežastis yra ta, kad hibernacija iš tikrųjų visiškai išjungs jūsų nešiojamąjį kompiuterį ir išvalys atmintį. Kita vertus, miego režimas paliks įjungtą atmintį (įskaitant jūsų dešifravimo raktą) ir nešiojamasis kompiuteris gali būti pažeidžiamas šaltosios įkrovos atakomis.


Pagal numatytuosius nustatymus "Windows 10" gali nesuteikti šios galimybės, todėl turėtumėte ją įjungti vadovaudamiesi šia "Microsoft" instrukcija: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]

• Atidarykite administratoriaus komandinę eilutę (dešiniuoju pelės klavišu spustelėkite "Command Prompt" ir "Run as Administrator")
• Paleiskite: powercfg.exe /hibernate on
• Dabar paleiskite papildomą komandą: **powercfg /h /type full**
  
  • Ši komanda užtikrins, kad jūsų hibernacijos režimas būtų pilnas, ir visiškai išvalys atmintį (ne saugiai tho).

Po to turėtumėte eiti į savo maitinimo nustatymus:

• Atidarykite valdymo skydelį
• Atidarykite Sistema ir saugumas
• Atidarykite Maitinimo parinktys
• Atidarykite "Choose what the power button does" (Pasirinkti, ką daro maitinimo mygtukas)
• Pakeiskite viską iš miego režimo į hibernaciją arba išjungimą
• Grįžkite į maitinimo parinktis
• Pasirinkite Keisti plano nustatymus
• Pasirinkite Išplėstiniai maitinimo nustatymai
• Pakeiskite visas kiekvieno maitinimo plano miego reikšmes į 0 (niekada)
• Įsitikinkite, kad kiekvieno maitinimo plano hibridinis miegas yra išjungtas
• Įjunkite Hibernate After the time you would like
• Išjunkite visus žadinimo laikmačius

Nuspręskite, kurį submaršrutą pasirinksite.

Dabar turėsite pasirinkti kitą žingsnį iš dviejų galimybių:

• A maršrutas: Paprastas dabartinės OS šifravimas
  
  • Privalumai:
    
    • Nereikalauja ištrinti nešiojamojo kompiuterio
    • Nėra vietos duomenų nutekėjimo problemos
    • Puikiai veikia su SSD disku
    • Veikia su bet kuria operacine sistema
    • Paprasta
  • Trūkumai:
    
    • Priešininkas gali priversti jus atskleisti slaptažodį ir visas savo paslaptis, ir jūs neturėsite jokių galimybių tai paneigti.
    • Duomenų nutekėjimo internete pavojus
• B maršrutas: paprastas dabartinės OS šifravimas, vėliau naudojant tikėtiną paneigimą dėl pačių failų:
  
  • Privalumai:
    
    • Nereikalauja ištrinti nešiojamojo kompiuterio
    • Puikiai veikia su SSD disku
    • Veikia su bet kuria operacine sistema
    • Įmanoma įtikinamai paneigti "minkštus" priešininkus
  • Trūkumai:
    
    • Duomenų nutekėjimo internete pavojus
    • Vietinių duomenų nutekėjimo pavojus (dėl to reikės daugiau darbo juos išvalyti)
• C būdas: tikėtinas paneigimas Operacinės sistemos šifravimas (nešiojamajame kompiuteryje bus naudojama "paslėpta OS" ir "apgaulinga OS"):
  
  • Privalumai:
    
    • Duomenų nutekėjimo problemų nėra
    • Tikėtinas paneigimas galimas su "švelniais" priešininkais
  • Trūkumai:
    
    • Reikalinga "Windows" (ši funkcija "Linux" sistemoje "lengvai" nepalaikoma).
    • Duomenų nutekėjimo internete pavojus
    • Reikalingas visiškas nešiojamojo kompiuterio ištrynimas
    • Negalima naudoti su SSD disku dėl reikalavimo išjungti "Trim Operations". Tai laikui bėgant labai pablogins jūsų SSD disko našumą / sveikatą.

Kaip matote, C maršrutas turi tik du privatumo privalumus, palyginti su kitais, ir jis bus naudingas tik prieš švelnų teisėtą priešininką. Atminkite https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Sprendimą, kurį maršrutą pasirinksite, galite priimti patys. A maršrutas yra minimalus.


Visada būtinai dažnai tikrinkite naujas "Veracrypt" versijas, kad užtikrintumėte, jog naudositės naujausiais pataisymais. Ypač tai patikrinkite prieš taikydami didelius "Windows" atnaujinimus, kurie gali sugadinti "Veracrypt" įkroviklį ir įjungti įkrovos kilpą.


ATKREIPKITE DĖMESĮ, KAD PAGRĮSTAI VERACRYPT VISADA SISTEMOS PAVADUOTOJUI PASIŪLO KLAUSIMĄ (rodykite slaptažodį kaip testą). Dėl to gali kilti problemų, jei įkrovos įvestis atliekama naudojant nešiojamojo kompiuterio klaviatūrą (pvz., AZERTY), nes slaptažodį nustatysite QWERTY klaviatūra ir įkrovos metu jį įvesite AZERTY klaviatūra. Todėl atlikdami bandomąją įkrovą būtinai patikrinkite, kokį klaviatūros išdėstymą naudoja jūsų BIOS. Jums gali nepavykti prisijungti vien dėl to, kad QWERTY / AZERTY klaviatūra supainiota. Jei jūsų BIOS paleidžiama naudojant AZERTY klaviatūrą, "Veracrypt" programoje slaptažodį turėsite įvesti QWERTY klaviatūra.

A ir B maršrutai: paprastas šifravimas naudojant "Veracrypt" (Windows pamoka)

Praleiskite šį žingsnį, jei anksčiau vietoj jo naudojote "BitLocker".


Šiam metodui nebūtina turėti HDD ir šiame maršrute nereikia išjungti "Trim". Trim nutekėjimas bus naudingas tik kriminalistams nustatant, ar yra paslėptas tomas, bet kitaip nebus labai naudingas.


Šis būdas yra gana paprastas ir tiesiog užšifruos dabartinę operacinę sistemą vietoje, neprarandant jokių duomenų. Būtinai perskaitykite visus "Veracrypt" rodomus tekstus, kad visiškai suprastumėte, kas vyksta.

• Paleiskite "VeraCrypt
• Eikite į Nustatymai:
  
  • Įeikite į "Settings" > "Performance/driver options" > "Encrypt RAM".
  • Sistema > Nustatymai > Saugumas > Išvalyti raktus iš atminties, jei įdedamas naujas įrenginys
  • Sistema > Nustatymai > Windows > Įjungti saugų darbalaukį
• Pasirinkite Sistema
• Pasirinkite Šifruoti sistemos skaidinį / diską
• Pasirinkite Normalus (paprastas)
• Pasirinkite Single-Boot
• Pasirinkite AES kaip šifravimo algoritmą (jei norite palyginti spartą, spustelėkite testo mygtuką)
• Pasirinkite SHA-512 kaip šifravimo algoritmą (nes kodėl gi ne)
• Įveskite stiprią slaptažodžių frazę (kuo ilgesnę, tuo geriau, nepamirškite A2 priedo "Slaptažodžių ir slaptažodžių gairės")
• Surinkite šiek tiek entropijos, atsitiktinai judindami žymeklį, kol juosta bus pilna
• Spustelėkite Toliau, kai bus rodomas generuojamų raktų ekranas
• Gelbėti diską ar negelbėti, na, tai priklauso nuo jūsų. Rekomenduoju tokį diską pasidaryti (tam tikram atvejui), tik įsitikinkite, kad jis saugomas ne užšifruotame diske (pavyzdžiui, USB raktas arba palaukite ir žr. šio vadovo pabaigoje rekomendacijas dėl saugių atsarginių kopijų). Šiame gelbėjimo diske nebus saugoma jūsų slaptažodžių frazė, o jums jos vis tiek reikės, kad galėtumėte juo naudotis.
• Valymo režimas:
  
  • Jei šiame nešiojamajame kompiuteryje dar neturite jokių slaptų duomenų, pasirinkite None (nėra).
  • Jei SSD diske turite slaptų duomenų, vien tik "Trim" turėtų jais pasirūpinti, tačiau rekomenduočiau atlikti 1 perėjimą (atsitiktiniai duomenys), kad būtumėte tikri.
  • Jei HDD yra jautrių duomenų, "Trim" nėra, todėl rekomenduočiau atlikti bent 1 perėjimą.
• Išbandykite savo sąranką. Dabar "Veracrypt" perkraus jūsų sistemą, kad išbandytų įkroviklį prieš šifravimą. Šis testas turi būti sėkmingas, kad šifravimas būtų tęsiamas.
• Perkrovus kompiuterį ir išlaikius testą. "Veracrypt" paragins jus pradėti šifravimo procesą.
• Pradėkite šifravimą ir palaukite, kol jis bus baigtas.
• Baigėte, praleiskite B maršrutą ir pereikite prie kitų žingsnių.

Bus kitas skyrius apie šifruotų failų konteinerių kūrimą naudojant "Plausible Deniability" (tikėtinas paneigimas) "Windows" sistemoje.

B maršrutas: tikėtino paneigimo šifravimas su paslėpta operacine sistema (tik "Windows")

Šis būdas palaikomas tik "Windows" sistemoje.


Tai rekomenduojama daryti tik standžiajame diske. Tai nerekomenduojama SSD diske.


Jūsų paslėpta OS neturėtų būti aktyvuota (su MS produkto raktu). Todėl šiuo maršrutu bus rekomenduojamas ir vedamas visiškai švarus diegimas, kurio metu bus ištrinti visi nešiojamajame kompiuteryje esantys duomenys.


Perskaitykite "Veracrypt" dokumentaciją https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Paslėptos operacinės sistemos kūrimo procesas ) ir https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Saugumo reikalavimai ir atsargumo priemonės, susijusios su paslėptais tomais).


Štai kaip atrodys jūsų sistema, kai šis procesas bus baigtas:

(Iliustracija iš Veracrypt dokumentacijos, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]) .


Kaip matote, šis procesas reikalauja, kad nuo pat pradžių kietajame diske būtų du skirsniai.


Šis procesas atliks šiuos veiksmus:

• Užšifruokite antrąjį skirsnį (išorinį tomą), kuris atrodys kaip tuščias nesuformatuotas diskas iš apgaulingos operacinės sistemos.
• Pasiūlys jums nukopijuoti tam tikrą apgaulės turinį išoriniame tome.
  
  • Čia nukopijuosite savo apgaulingą Anime/Porn kolekciją iš išorinio kietojo disko į išorinį tomą.
• Sukurkite paslėptą tomą to antrojo skirsnio išoriniame tome. Čia bus paslėpta operacinė sistema.
• Į paslėptąjį tomą klonuokite šiuo metu veikiančią "Windows 10" instaliaciją.
• Nuvalykite šiuo metu veikiančią "Windows 10".
• Tai reiškia, kad jūsų dabartinė "Windows 10" taps paslėpta "Windows 10" ir kad turėsite iš naujo įdiegti naują "Windows 10" OS.

Privaloma, jei turite SSD diską ir vis dar norite tai atlikti nesilaikydami rekomendacijos:Be to, kaip minėta anksčiau, išjungus "Trim" sutrumpės jūsų SSD disko naudojimo laikas ir laikui bėgant tai turės didelės įtakos jo našumui (nešiojamasis kompiuteris per kelis naudojimo mėnesius taps vis lėtesnis ir lėtesnis, kol taps beveik nenaudojamas, tada turėsite išvalyti diską ir viską įdiegti iš naujo). Tačiau privalote tai padaryti, kad išvengtumėte duomenų nutekėjimo, dėl kurio kriminalistai galėtų sužlugdyti jūsų tikėtiną paneigimą. Šiuo metu vienintelis būdas tai apeiti - vietoj to turėti nešiojamąjį kompiuterį su klasikiniu HDD disku.

 

[HEISENBERG]

1 veiksmas: sukurkite "Windows 10" diegimo USB raktą

Žr. priedą C: "Windows" diegimo laikmenos kūrimas ir eikite USB rakto keliu.

2 veiksmas: įkraukite USB raktą ir pradėkite "Windows 10" diegimo procesą (paslėpta OS).

• Įdėkite USB raktą į nešiojamąjį kompiuterį
• Žr. priedėlį A: "Windows" diegimas ir pereikite prie "Windows 10 Home" diegimo.

3 veiksmas: privatumo nustatymai (paslėpta OS)

Žr. priedą B: "Windows" papildomi privatumo nustatymai

4 veiksmas: "Veracrypt" diegimo ir šifravimo proceso pradžia (paslėpta OS)

Nepamirškite perskaityti https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Neprisijunkite šios OS prie žinomo "Wi-Fi". Turėtumėte atsisiųsti "Veracrypt" diegimo programą iš kito kompiuterio ir nukopijuoti ją čia naudodami USB raktą.

• Įdiekite "Veracrypt
• Paleiskite "Veracrypt
• Eikite į Nustatymai:
  
  • Atkreipkite dėmesį, kad ši parinktis nesuderinama su nešiojamojo kompiuterio hibernacija ir reiškia, kad turėsite visiškai išjungti kompiuterį.
  • Sistema > Nustatymai > Saugumas > Išvalyti raktus iš atminties, jei įdedamas naujas įrenginys
  • Sistema > Nustatymai > Windows > Įjungti saugų darbalaukį
• Eikite į "System" ir pasirinkite "Create Hidden Operating System" (sukurti paslėptą operacinę sistemą)
• Atidžiai perskaitykite visus raginimus
• Pasirinkite Single-Boot (vieno įkrovimo), jei bus paprašyta
• Sukurkite išorinį tomą naudodami AES ir SHA-512.
• Išoriniam tomeliui naudokite visą antrajame skirsnyje esančią laisvą vietą
• Naudokite stiprią slaptažodžių frazę (nepamirškite A2 priedo "Slaptažodžių ir slaptažodžių frazių gairės")
• Pasirinkite Yes to Large Files (taip dideliems failams)
• Sukurkite šiek tiek entropijos judindami pelę, kol juosta bus pilna, ir pasirinkite NTFS (nesirinkite exFAT, nes norime, kad šis išorinis tomas atrodytų "normaliai", o NTFS yra normali).
• Suformatuokite išorinį tomą
• Atidarykite išorinį tomą:
  
  • Šiame etape į išorinį tomą turėtumėte nukopijuoti viliojančius duomenis. Taigi, turėtumėte ten nukopijuoti keletą jautrių, bet ne tokių jautrių failų / aplankų. Tuo atveju, jei reikia atskleisti šio tomelio slaptažodį. Tai gera vieta jūsų Anime/Mp3/Movies/Porn kolekcijai.
  • Rekomenduoju neužpildyti išorinio tūrio per daug arba per mažai (apie 40 %). Nepamirškite, kad turite palikti pakankamai vietos paslėptai operacinei sistemai (ji bus tokio pat dydžio kaip ir pirmasis skirsnis, kurį sukūrėte diegimo metu).
• Paslėptajam tome naudokite stiprią slaptažodžių frazę (aišku, kitokią nei išoriniam tome).
• Dabar sukursite paslėptąjį tomą, pasirinkite AES ir SHA-512
• Užpildykite entropijos juostą iki galo atsitiktiniais pelės judesiais
• Suformatuokite paslėptąjį tomą
• Tęskite klonavimą
• Dabar "Veracrypt" paleis iš naujo ir "Windows", kuriame pradėjote šį procesą, klonuos į Paslėptąjį tomą. Šis "Windows" taps jūsų paslėpta operacine sistema.
• Kai klonavimas bus baigtas, "Veracrypt" iš naujo įsijungs paslėptoje sistemoje
• Veracrypt informuos jus, kad dabar įdiegta paslėpta sistema, ir tada paragins jus ištrinti originalią OS (tą, kurią anksčiau įdiegėte su USB raktu).
• Naudokite "1-Pass Wipe" ir tęskite.
• Dabar jūsų paslėpta OS bus įdiegta, pereikite prie kito veiksmo

5 veiksmas: perkraukite ir paleiskite USB raktą ir vėl pradėkite "Windows 10" diegimo procesą (apgaulinga OS).

Dabar, kai paslėpta OS yra visiškai įdiegta, jums reikės įdiegti viliojančią OS.

• Įdėkite USB raktą į nešiojamąjį kompiuterį
• Žr. priedą A: "Windows" diegimas ir vėl pradėkite diegti "Windows 10 Home" (neįdiekite kitos versijos ir laikykitės "Home").

6 veiksmas: privatumo nustatymai ("Decoy OS")

Žr. priedą B: "Windows" papildomi privatumo nustatymai

7 veiksmas: "Veracrypt" diegimo ir šifravimo proceso pradžia (Decoy OS)

Dabar užšifruosime "Decoy OS":

• Įdiekite "Veracrypt
• Paleiskite "VeraCrypt
• Pasirinkite System
• Pasirinkite Encrypt System Partition/Drive
• Pasirinkite Normalus (paprastas)
• Pasirinkite Single-Boot
• Pasirinkite AES kaip šifravimo algoritmą (jei norite palyginti spartą, spustelėkite testo mygtuką)
• Pasirinkite SHA-512 kaip šifravimo algoritmą (nes kodėl gi ne)
• Įveskite trumpą silpną slaptažodį (taip, tai rimta, padarykite tai, tai bus paaiškinta vėliau).
• Surinkite šiek tiek entropijos atsitiktinai judindami žymeklį, kol juosta bus pilna
• Spustelėkite Toliau, kai bus rodomas generuojamų raktų ekranas
• Gelbėti diską ar negelbėti disko, na, tai priklauso nuo jūsų. Rekomenduoju tokį diską pasidaryti (tik tam atvejui), tik įsitikinkite, kad jį laikote ne užšifruotame diske (pavyzdžiui, USB raktą arba palaukite ir žr. šio vadovo pabaigoje rekomendacijas dėl saugių atsarginių kopijų). Šiame gelbėjimo diske nebus saugoma jūsų slaptažodžių frazė, o jums vis tiek reikės jos, kad galėtumėte juo naudotis.
• Išvalymo režimas: Pasirinkite 1 slaptažodį, kad būtų saugu.
• Iš anksto išbandykite savo sąranką. Dabar "Veracrypt" perkraus jūsų sistemą, kad išbandytų įkroviklį prieš šifravimą. Šis testas turi būti sėkmingas, kad šifravimas būtų tęsiamas.
• Kai kompiuteris perkraunamas ir testas išlaikomas. "Veracrypt" paragins jus pradėti šifravimo procesą.
• Pradėkite šifravimą ir palaukite, kol jis bus baigtas.
• Dabar jūsų "Decoy OS" yra paruošta naudojimui.

8 veiksmas: Išbandykite savo sąranką (įkrovos abiem būdais)

Laikas išbandyti savo sąranką.

• Perkraukite kompiuterį ir įveskite paslėptosios OS slaptažodį, turėtumėte įkrauti paslėptąją OS.
• Perkraukite kompiuterį ir įveskite "Decoy OS" slaptažodį, turėtumėte įkrauti "Decoy OS".
• Paleiskite "Veracrypt" "Decoy OS" ir prijunkite antrąjį skirsnį naudodami išorinio tūrio slaptažodį (prijunkite jį tik skaitymui, eidami į "Mount Options" ir pasirinkdami "Read-Only"), ir jis turėtų prijungti antrąjį skirsnį kaip tik skaitymui skirtą skirsnį, kuriame bus rodomi jūsų "Decoy" duomenys (jūsų Anime/Porn kolekcija). Dabar jį montuojate tik skaitymui, nes jei į jį įrašytumėte duomenis, galėtumėte pakeisti paslėptos OS turinį.

9 veiksmas: saugiai pakeiskite išoriniame tome esančius viliojančius duomenis

Prieš pereidami prie kito žingsnio, turėtumėte sužinoti, kaip saugiai prijungti išorinį tomą, kad galėtumėte į jį įrašyti turinį. Tai taip pat paaiškinta šioje oficialioje "Veracrypt" dokumentacijoje https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org]


Tai turėtumėte daryti iš saugios patikimos vietos.


Iš esmės ketinate prijungti išorinį tomą, kartu nurodydami paslėpto tomo slaptažodį per prijungimo parinktis, kad apsaugotumėte paslėptą tomą nuo perrašymo. Tada "Veracrypt" leis įrašyti duomenis į išorinį tomą nerizikuojant perrašyti jokių paslėptojo tomo duomenų.


Ši operacija faktiškai neprisijungs paslėptojo tūrio ir turėtų užkirsti kelią bet kokiems teismo ekspertizės įrodymams, kurie galėtų padėti aptikti paslėptąją operacinę sistemą. Tačiau kol atliksite šią operaciją, abu slaptažodžiai bus saugomi operatyviojoje atmintyje, todėl vis dar galite būti pažeidžiami šaltojo įkrovimo atakos. Kad tai sušvelnintumėte, būtinai turėkite galimybę šifruoti ir operatyviąją atmintį.

• Atidarykite "Veracrypt
• Pasirinkite antrąjį skirsnį
• Spustelėkite Mount
• Spustelėkite Mount Options
• Pažymėkite "Protect the Hidden volume..." Pasirinktis
• Įveskite paslėptos OS slaptažodį
• Spustelėkite OK
• Įveskite išorinio tomo slaptažodį
• Spustelėkite OK
• Dabar turėtumėte galėti atidaryti ir įrašyti į išorinį tomą, kad pakeistumėte jo turinį (kopijuoti / perkelti / ištrinti / redaguoti...)

10 veiksmas: Palikite išorinio tūrio (su apgaulingais duomenimis) kriminalistinių įrodymų savo apgaulingoje operacinėje sistemoje

Privalome padaryti, kad "viliojimo" OS būtų kuo labiau tikėtina. Taip pat norime, kad jūsų priešininkas manytų, jog nesate tokie protingi.


Todėl svarbu savanoriškai palikti tam tikrus teismo ekspertizės įrodymus apie savo masalo turinį masalo OS. Šie įrodymai leis kriminalistams pamatyti, kad dažnai prijungdavote išorinį tomą, kad galėtumėte pasiekti jo turinį.


Štai geri patarimai, kaip palikti keletą kriminalistinių įrodymų:

• Paleiskite išorinio tomelio turinį iš savo išorinės OS (pavyzdžiui, naudodami VLC). Būtinai išsaugokite jų istoriją.
• Redaguokite dokumentus ir dirbkite juose.
• Vėl įjunkite failų indeksavimą "Decoy OS" ir įtraukite prijungtą išorinį tomą.
• Atmontuokite jį ir dažnai montuokite, kad galėtumėte žiūrėti kokį nors Turinį.
• Nukopijuokite tam tikrą turinį iš išorinio tūrio į "Decoy OS" ir nesaugiai jį ištrinkite (tiesiog įdėkite į šiukšliadėžę).
• Turėkite "Torrent" klientą, įdiegtą "Decoy OS", kartkartėmis naudokite jį norėdami atsisiųsti panašios medžiagos, kurią paliksite "Decoy OS".
• Galite turėti "Decoy OS" įdiegtą VPN klientą su žinomu jūsų VPN (mokamas ne grynaisiais pinigais).

Neįdėkite į "Decoy OS" nieko įtartino, pvz:

• šio vadovo
• Bet kokių nuorodų į šį vadovą
• Bet kokios įtartinos anonimiškumo programinės įrangos, pavyzdžiui, "Tor Browser

Pastabos.

Nepamirškite, kad norint, jog šis tikėtino paneigimo scenarijus suveiktų, jums reikės pagrįstų pasiteisinimų:


Skirkite šiek tiek laiko ir dar kartą perskaitykite "Veracrypt" dokumentacijos "Galimi paaiškinimai dėl dviejų "Veracrypt" skirsnių egzistavimo viename diske" čia https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]

• Naudojate "Veracrypt", nes naudojate "Windows 10 Home", kurioje nėra "Bitlocker" funkcijos, bet vis tiek norėjote privatumo.
• Turite du skirsnius, nes norėjote atskirti Sistemą ir Duomenis, kad būtų lengviau juos tvarkyti, ir todėl, kad kažkoks draugas Geekas pasakė, kad tai geriau veikia.
• Naudojote silpną slaptažodį, kad būtų lengva patogiai įkrauti Sistemą, o išoriniame tome - stiprią ilgą slaptažodžių frazę, nes tingėjote įvesti stiprią slaptažodžių frazę kiekvieno įkrovimo metu.
• Antrąjį skirsnį užšifravote kitu slaptažodžiu nei Sistemą, nes nenorite, kad kas nors iš jūsų aplinkos matytų jūsų daiktus. Taigi nenorėjote, kad tie duomenys būtų kam nors prieinami.

Būkite atsargūs:

• Niekada neturėtumėte prijungti paslėpto tomelio iš apgaulingos OS (NIEKADA NIEKADA). Jei tai padarysite, bus sukurta kriminalistinių įrodymų apie paslėptą tomą "apgaulės" OS, o tai gali pakenkti jūsų bandymui įtikinamai paneigti. Jei vis dėlto tai padarėte (tyčia ar per klaidą) iš "Decoy OS", yra būdų, kaip ištrinti teismo ekspertizės įrodymus, kurie bus paaiškinti vėliau, šio vadovo pabaigoje.
• Niekada nenaudokite "Decoy OS" iš to paties tinklo (viešojo "Wi-Fi") kaip ir paslėptos OS.
• Kai prijungiate išorinį tomą iš "Decoy OS", neįrašykite į išorinį tomą jokių duomenų, nes jie gali užgožti tai, kas atrodo kaip tuščia vieta, bet iš tikrųjų yra jūsų paslėpta OS. Visada turėtumėte jį prijungti tik skaitymui.
• Jei norite pakeisti išorinio tomo "Decoy" turinį, turėtumėte naudoti "Live OS" USB raktą, kuriame bus paleistas "Veracrypt".
• Atkreipkite dėmesį, kad nenaudosite paslėptosios OS neskelbtiniems veiksmams atlikti, tai bus daroma vėliau iš paslėptosios OS virtualiosios mašinos. Paslėptosios OS paskirtis - tik apsaugoti jus nuo švelnaus priešininko, kuris galėtų gauti prieigą prie jūsų nešiojamojo kompiuterio ir priversti jus atskleisti slaptažodį.
• Būkite atsargūs dėl bet kokio kišimosi į nešiojamąjį kompiuterį. Piktavalių atakos gali atskleisti jūsų paslėptą OS.

 

[HEISENBERG]

Virtualbox jūsų pagrindinėje operacinėje sistemoje.

Prisiminkite W priedą: Virtualizacija.


Šį ir kitus veiksmus reikėtų atlikti iš priimančiosios OS. Tai gali būti jūsų priimančioji OS su paprastu šifravimu (Windows/Linux/MacOS) arba jūsų paslėpta OS su tikėtinu paneigimu (tik Windows).


Šiame maršrute plačiai naudosime nemokamą "Oracle Virtualbox" programinę įrangą. Tai virtualizavimo programinė įranga, kuria galite kurti virtualias mašinas, emuliuojančias kompiuterį, kuriame veikia tam tikra OS (jei norite naudoti ką nors kita, pavyzdžiui, "Xen", "Qemu", KVM ar VMWARE, galite tai daryti, tačiau šioje vadovo dalyje patogumo dėlei aptariama tik "Virtualbox").


Taigi turėtumėte žinoti, kad "Virtualbox" nėra pati geriausia virtualizavimo programinė įranga saugumo požiūriu, o kai kurios problemos, apie kurias buvo pranešta, iki šiol nėra visiškai išspręstos, todėl jei naudojate "Linux" ir turite šiek tiek daugiau techninių įgūdžių, turėtumėte apsvarstyti galimybę vietoj jos naudoti KVM, vadovaudamiesi "Whonix" esančiu vadovu čia https://www.whonix.org/wiki/KVM [Archive.org] ir čia https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


Visais atvejais reikėtų imtis tam tikrų veiksmų:


Visi jūsų neskelbtini veiksmai bus atliekami svečioje virtualioje mašinoje, kurioje veikia "Windows 10 Pro" (šį kartą ne "Home"), "Linux" arba "MacOS".


Tai turi keletą privalumų, kurie labai padės jums išlikti anonimiškiems:

• Tai turėtų užkirsti kelią svečios virtualios mašinos operacinei sistemai ("Windows" / "Linux" / "MacOS"), programoms ir bet kokiai telemetrijai virtualiose mašinose tiesiogiai pasiekti jūsų aparatinę įrangą. Net jei į jūsų virtualiąją mašiną patenka kenkėjiška programinė įranga, ji neturėtų galėti patekti į virtualiąją mašiną ir pakenkti jūsų tikrajam nešiojamajam kompiuteriui.
• Tai leis mums priversti visą tinklo srautą iš jūsų kliento virtualios mašinos paleisti per kitą vartų virtualią mašiną, kuri visą srautą nukreips (torifikuos) į "Tor" tinklą. Tai yra tinklo "žudymo jungiklis". Jūsų virtualioji mašina visiškai praras tinklo ryšį ir išeis iš tinklo, jei kita virtualioji mašina praras ryšį su "Tor" tinklu.
• Pati virtualioji mašina, turinti interneto ryšį tik per "Tor" tinklo šliuzą, per "Tor" ryšį prisijungs prie jūsų grynaisiais pinigais apmokamos VPN paslaugos.
• DNS nutekėjimas bus neįmanomas, nes virtualioji mašina yra izoliuotame tinkle, kuris bet kokiu atveju turi eiti per "Tor".

 

[HEISENBERG]

Pasirinkite savo ryšio metodą.

Šiame maršrute yra 7 galimybės:

• Rekomenduojamas ir pageidaujamas:
  
  • Naudokite tik "Tor" (Vartotojas > Tor > Internetas)
  • Tam tikrais atvejais naudokite VPN per "Tor" (Vartotojas > Tor > VPN > Internetas)
• Galima, jei to reikalauja kontekstas:
  
  • Naudoti VPN per "Tor" per VPN (Naudotojas > VPN > "Tor" > "Tor" > VPN > Internetas)
  • Naudoti "Tor" per VPN (Naudotojas > VPN > Tor > Internetas)
• Nerekomenduojama ir rizikinga:
  
  • Naudoti tik VPN (Naudotojas > VPN > Internetas)
  • Naudoti VPN per VPN (Naudotojas > VPN > VPN > VPN > Internetas)
• Nerekomenduojama ir labai rizikinga (bet įmanoma)
  
  • Be VPN ir "Tor" (Naudotojas > Internetas)

Tik "Tor".

Šis sprendimas yra geriausias ir labiausiai rekomenduojamas.

Naudojant šį sprendimą visas jūsų tinklas eina per "Tor" ir daugeliu atvejų to turėtų pakakti anonimiškumui užtikrinti.


Yra vienas pagrindinis trūkumas: kai kurios paslaugos blokuoja "Tor Exit" mazgus ir neleidžia iš jų kurti paskyrų.


Norint sušvelninti šią problemą, gali tekti apsvarstyti kitą variantą: VPN per "Tor", tačiau atsižvelkite į tam tikrą su tuo susijusią riziką, paaiškintą kitame skyriuje.

VPN / proxy per "Tor".

Šis sprendimas gali būti naudingas tam tikrais konkrečiais atvejais, palyginti su "Tor" naudojimu, kai iš "Tor Exit" mazgo nebūtų galima pasiekti tikslinės paslaugos. Taip yra todėl, kad daugelis paslaugų tiesiog uždraus, trukdys arba blokuos "Tor" ( žr. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Kaip matote šioje iliustracijoje, jei jūsų grynaisiais pinigais (pageidautina)/Monero apmokėtą VPN/Proxy kompromituos priešininkas (nepaisant jų privatumo pareiškimo ir neregistravimo politikos), jis ras tik anoniminę grynaisiais pinigais/Monero apmokėtą VPN/Proxy paskyrą, prisijungusią prie jų paslaugų iš "Tor Exit" mazgo.

Jei priešininkui kaip nors pavyks įsilaužti ir į "Tor" tinklą, jis atskleis tik atsitiktinio viešojo "Wi-Fi" IP, nesusijusio su jūsų tapatybe.


Jei priešininkas kažkokiu būdu pažeis jūsų VM OS (pvz., naudodamas kenkėjišką programinę įrangą arba išnaudojimą), jis bus įkalintas "Whonix" vidiniame tinkle ir negalės atskleisti viešojo "Wi-Fi" IP.


Tačiau šis sprendimas turi vieną pagrindinį trūkumą: Tor srauto izoliavimo trukdžius.


Srauto izoliavimas - tai mažinimo metodas, naudojamas siekiant išvengti kai kurių koreliacijos atakų, kai kiekvienai programai naudojamos skirtingos "Tor" grandinės. Čia pateikiama iliustracija, rodanti, kas yra srauto izoliavimas:

(Iliustracija iš Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN ir (arba) proxy per "Tor" yra dešinėje pusėje, t. y. naudojant VPN ir (arba) proxy per "Tor", "Tor" priverčia naudoti vieną grandinę visoms veikloms, o ne kelias grandines kiekvienai iš jų. Tai reiškia, kad kai kuriais atvejais naudojant VPN / proxy per "Tor" gali šiek tiek sumažėti "Tor" veiksmingumas, todėl jį reikėtų naudoti tik tam tikrais specifiniais atvejais:

• Kai jūsų paskirties tarnyba neleidžia naudoti "Tor" išėjimo mazgų.
• Kai neprieštaraujate, kad įvairioms paslaugoms būtų naudojama bendra "Tor" grandinė. Pavyzdžiui, norint naudotis įvairiomis autentifikuotomis paslaugomis.

Tačiau turėtumėte apsvarstyti galimybę nenaudoti šio metodo, kai jūsų tikslas yra tiesiog naršyti atsitiktines įvairias nepatvirtintas svetaines, nes jums nebus naudinga srauto izoliacija, o tai laikui bėgant priešininkui gali palengvinti koreliacijos atakas tarp kiekvieno jūsų seanso (žr. skyrių Jūsų anonimizuotas "Tor" / VPN srautas). Tačiau jei jūsų tikslas yra kiekvienoje sesijoje naudoti tą pačią tapatybę tose pačiose autentifikuotose paslaugose, srauto izoliavimo nauda sumažėja, nes jus galima susieti kitais būdais.


Taip pat turėtumėte žinoti, kad "Whonix Workstation" programoje "Stream Isolation" nebūtinai yra sukonfigūruotas pagal numatytuosius nustatymus. Jis iš anksto sukonfigūruotas tik kai kurioms programoms (įskaitant "Tor Browser").


Taip pat atkreipkite dėmesį, kad "Stream Isolation" nebūtinai pakeičia visus jūsų "Tor" grandinės mazgus. Kartais ji gali pakeisti tik vieną ar du. Daugeliu atvejų "Stream Isolation" (pavyzdžiui, "Tor Browser" programoje) pakeičia tik perdavimo (vidurinį) ir išėjimo mazgą, o apsauginis (įėjimo) mazgas lieka tas pats.


Daugiau informacijos rasite adresu:

• Daugiau informacijos:https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor per VPN.

Jums gali kilti klausimas: O kaip dėl to, kad vietoj VPN per "Tor" būtų naudojamas "Tor" per "Tor"? Na, aš nebūtinai taip daryčiau:

• Trūkumai
  
  • Jūsų VPN paslaugų teikėjas yra tik dar vienas interneto paslaugų teikėjas, kuris žinos jūsų kilmės IP ir prireikus galės panaikinti jūsų anonimiškumą. Mes jais nepasitikime. Man priimtinesnė situacija, kai jūsų VPN paslaugų teikėjas nežino, kas esate. Tai nedaug prisideda prie anonimiškumo.
  • Dėl to prie įvairių paslaugų jungtumėtės naudodami "Tor" išėjimo mazgo IP, kuris daugelyje vietų yra uždraustas / pažymėtas. Tai nepadeda patogumo požiūriu.
• Privalumai:
  
  • Pagrindinis privalumas iš tikrųjų yra tas, kad jei esate priešiškoje aplinkoje, kur "Tor" prieiga neįmanoma / pavojinga / įtartina, bet VPN yra gerai.
  • Šis metodas taip pat nepažeidžia "Tor Stream" izoliacijos.

Atkreipkite dėmesį, kad jei turite problemų su prieiga prie "Tor" tinklo dėl blokavimo / cenzūros, galite pabandyti naudoti "Tor" tiltus. Žr. X priedą: Tor tiltų naudojimą priešiškoje aplinkoje.


Taip pat galima apsvarstyti galimybę vietoj "Tor" tinklo per "Tor" tinklą (Vartotojas > VPN > Tor > VPN > VPN > Internetas) naudoti du grynaisiais pinigais / Monero mokamus VPN. Tai reiškia, kad prie pirmojo VPN iš viešojo "Wi-Fi" prijungsite kompiuterio OS, tada "Whonix" prisijungs prie "Tor" ir galiausiai jūsų virtualioji mašina prisijungs prie antrojo VPN per "Tor" per VPN ( žr. https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Tai, žinoma, turės didelį poveikį našumui ir gali būti gana lėta, tačiau manau, kad Tor kažkur reikalingas norint pasiekti pagrįstą anonimiškumą.


Techniškai tai pasiekti per šį maršrutą nesudėtinga, jums reikia dviejų atskirų anoniminių VPN paskyrų ir turite prisijungti prie pirmojo VPN iš priimančiosios OS ir laikytis maršruto.


Išvada: Jei manote, kad vien tik "Tor" naudojimas yra rizikingas / neįmanomas, bet VPN yra gerai. Arba tiesiog todėl, kad galite ir kodėl gi ne.

 

[HEISENBERG]

Naudojamas tik VPN.

Šis maršrutas nebus nei aiškinamas, nei rekomenduojamas.


Jei galite naudoti VPN, tuomet turėtumėte sugebėti ant jo uždėti "Tor" sluoksnį. O jei galite naudoti "Tor", tuomet galite virš "Tor" pridėti anoniminį VPN, kad gautumėte pageidaujamą sprendimą.


Naudoti tik VPN ar net VPN virš VPN nėra prasmės, nes laikui bėgant jie gali būti atsekti. Vienas iš VPN teikėjų žinos jūsų tikrąjį kilmės IP (net jei jis yra saugioje viešoje erdvėje) ir net jei pridėsite vieną per jį, antrasis vis tiek žinos, kad naudojotės ta kita pirmąja VPN paslauga. Tai tik šiek tiek atitolins jūsų nuasmeninimą. Taip, tai papildomas sluoksnis... bet tai nuolatinis centralizuotas papildomas sluoksnis, todėl laikui bėgant galite būti deanonimizuoti. Tai yra tik 3 interneto paslaugų teikėjų, kuriems visiems taikomi teisėti prašymai, grandininis sujungimas.


Daugiau informacijos rasite šiose nuorodose:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

Šio vadovo kontekste "Tor" yra reikalinga vieta, kur galima pasiekti pagrįstą ir saugų anonimiškumą, todėl turėtumėte ja naudotis, jei tik galite.

Jokio VPN / Tor nėra.

Jei ten, kur esate, negalite naudoti nei VPN, nei "Tor", tikriausiai esate labai priešiškoje aplinkoje, kur labai griežtai stebima ir kontroliuojama.


Tiesiog nenaudokite, to daryti neverta ir per daug rizikinga IMHO. Jus beveik akimirksniu gali deanonimizuoti bet koks motyvuotas priešininkas, kuris per kelias minutes galėtų sužinoti jūsų fizinę buvimo vietą.


Nepamirškite grįžti prie temos " Priešininkai (grėsmės)" ir S priedo "Patikrinkite, ar jūsų tinklas nėra stebimas / cenzūruojamas naudojant OONI".


Jei visiškai neturite kitos išeities ir vis tiek norite ką nors daryti, žr. priedą P: Kaip saugiau pasiekti internetą, kai "Tor" / VPN nėra galimybės (savo rizika), ir vietoj to apsvarstykite "The Tails" maršrutą.

Išvados.

Deja, vien "Tor" naudojimas sukels daugelio paskirties vietų platformų įtarimą. Jei naudosite tik "Tor", susidursite su daugybe kliūčių (captchas, klaidos, sunkumai registruojantis). Be to, naudodamiesi "Tor" ten, kur esate, vien dėl to galite turėti problemų. Tačiau "Tor" išlieka geriausiu anonimiškumo sprendimu ir turi būti kur nors anonimiškas.

• Jei ketinate sukurti nuolatines bendras ir autentifikuotas tapatybes įvairiose tarnybose, kuriose sunku pasiekti iš "Tor", rekomenduoju VPN per "Tor" parinktį (arba, jei reikia, VPN per "Tor" per VPN). Jis gali būti šiek tiek mažiau saugus nuo koreliacijos atakų dėl "Tor" srauto izoliacijos pažeidimo, tačiau suteikia daug didesnį patogumą naudotis interneto ištekliais nei tiesiog naudojant "Tor". Tai "priimtinas" kompromisas IMHP, jei esate pakankamai atsargūs su savo tapatybe.
• Tačiau jei jūsų tikslas yra tiesiog anonimiškai naršyti atsitiktines paslaugas nesukuriant konkrečių bendrų tapatybių, naudojantis "Tor" draugiškomis paslaugomis; arba jei nenorite sutikti su ankstesniame variante nurodytu kompromisu. Tada rekomenduoju naudoti tik "Tor" maršrutą, kad išsaugotumėte visus srauto izoliavimo privalumus (arba "Tor" per VPN, jei reikia).
• Jei kaina yra problema, jei įmanoma, rekomenduoju rinktis tik "Tor" variantą.
• Jei tiek "Tor", tiek VPN prieiga neįmanoma arba pavojinga, tuomet neturite kito pasirinkimo, kaip tik saugiai pasikliauti viešuoju "Wi-fis". Žr. priedą P: Kuo saugesnė prieiga prie interneto, kai "Tor" ir VPN nėra galimybės.

Daugiau informacijos taip pat galite rasti čia esančiose diskusijose, kurios gali padėti apsispręsti jums patiems:

• Tor projektas: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Tails dokumentacija:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Whonix dokumentacija (šia tvarka):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Kai kurie dokumentai šiuo klausimu:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Gaukite anoniminį VPN / proxy serverį.

Šį žingsnį praleiskite, jei norite naudoti tik "Tor".


Žr. priedą O: Įsigykite anoniminį VPN / proxy serverį.

Whonix.

Šį veiksmą praleiskite, jei negalite naudoti "Tor".


Šiame maršrute kaip anonimizavimo proceso dalis bus naudojama virtualizacija ir "Whonix309 ". Whonix yra Linux distribucija, sudaryta iš dviejų virtualių mašinų:

• Whonix Workstation (tai virtualioji mašina, kurioje galite vykdyti neskelbtiną veiklą).
• Whonix Gateway (ši virtualioji mašina užmegs ryšį su "Tor" tinklu ir visą tinklo duomenų srautą iš darbo vietos nukreips per "Tor" tinklą).

Todėl šiame vadove bus siūlomi 2 šio maršruto variantai:

• Tik "Whonix" maršrutas, kai visas duomenų srautas nukreipiamas per "Tor" tinklą (tik "Tor" arba "Tor over VPN").

"Whonix" hibridinis maršrutas, kai visas srautas nukreipiamas per grynaisiais pinigais (pageidautina) / "Monero" apmokamą VPN per "Tor" tinklą (VPN per "Tor" arba VPN per "Tor" per VPN).

Galėsite nuspręsti, kurį skonį naudoti, remdamiesi mano rekomendacijomis. Aš rekomenduoju antrąjį, kaip paaiškinta anksčiau.


Whonix yra gerai prižiūrimas ir turi išsamią ir neįtikėtinai išsamią dokumentaciją.

Pastaba dėl "Virtualbox" momentinių kopijų.

Vėliau "Virtualbox" sukursite ir paleisite kelias virtualias mašinas, skirtas jautriai veiklai. Virtualbox suteikia funkciją, vadinamą "Snapshots", kuri leidžia išsaugoti virtualios mašinos būseną bet kuriuo metu. Jei vėliau dėl kokių nors priežasčių norėsite grįžti į tą būseną, bet kuriuo metu galėsite atkurti tą momentinę nuotrauką.


Primygtinai rekomenduoju pasinaudoti šia funkcija ir sukurti momentinę nuotrauką po kiekvienos virtualios mašinos pirminio įdiegimo / atnaujinimo. Ši momentinė nuotrauka turėtų būti daroma prieš jas naudojant bet kokiai neskelbtinai / anoniminei veiklai.


Taip galėsite savo virtualias mašinas paversti savotiškomis vienkartinėmis "gyvomis operacinėmis sistemomis" (kaip anksčiau aptartos "uodegos"). Tai reiškia, kad galėsite ištrinti visus savo veiklos virtualioje mašinoje pėdsakus, atkurdami momentinę kopiją į ankstesnę būseną. Žinoma, tai nebus "taip gerai", kaip "Tails" (kur viskas saugoma atmintyje), nes standžiajame diske gali likti šios veiklos pėdsakų. Kriminalistiniai tyrimai parodė, kad galima atkurti duomenis iš atstatytos virtualios mašinos. Laimei, bus būdų, kaip pašalinti šiuos pėdsakus po ištrynimo arba grįžimo į ankstesnę momentinę nuotrauką. Tokie būdai bus aptarti šio vadovo skyriuje " Kai kurios papildomos priemonės prieš kriminalistiką".

Atsisiųskite "Virtualbox" ir "Whonix" pagalbines programas.

Turėtumėte atsisiųsti keletą dalykų pagrindinėje operacinėje sistemoje.

• Naujausią "Virtualbox" diegimo programos versiją pagal jūsų priimančiąją OS https://www.virtualbox.org/wiki/Downloads [Archive.org]
• (Jei negalite naudoti "Tor" per VPN, praleiskite šį punktą) Naujausią "Whonix" OVA failą iš https://www.whonix.org/wiki/Download [Archive.org] pagal savo pageidavimus (Linux / Windows, su darbalaukio sąsaja XFCE, kad būtų paprasčiau, arba tik su teksto kliente pažengusiems naudotojams).

Taip baigsite pasiruošimo darbus ir dabar turėtumėte būti pasirengę pradėti kurti galutinę aplinką, kuri saugos jūsų anonimiškumą internete.

"Virtualbox" sukietinimo rekomendacijos.

Archyvas.org]:

• Išjunkite garso įrašą.
• Neįjunkite bendrųjų aplankų.
• Neįjunkite 2D spartinimo. Tai atliekama vykdant šią komandą VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• Neįjunkite 3D spartinimo.
• Neįjunkite nuosekliojo prievado.
• Išimkite diskinį kaupiklį.
• Išimkite CD/DVD įrenginį.
• Neįjunkite nuotolinio rodymo serverio.
• Įjunkite PAE/NX (NX yra saugumo funkcija).
• Išjunkite išplėstinę konfigūracijos ir maitinimo sąsają (ACPI). Tai atliekama vykdant šią komandą VBoxManage modifyvm "vm-id" --acpi on|off
• Neprisijunkite USB įrenginių.
• Išjunkite USB valdiklį, kuris įjungtas pagal numatytuosius nustatymus. Nustatykite rodymo įrenginį į "PS/2 Mouse", kitaip pakeitimai bus grąžinti.

Galiausiai taip pat vadovaukitės šia rekomendacija, kad jūsų virtualiosios mašinos laikrodis būtų nusinchronizuojamas, palyginti su priimančiosios OS laikrodžiu https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


Šis poslinkis turėtų būti 60000 milisekundžių intervale ir kiekvienai VM turėtų būti skirtingas, o čia pateikiama keletas pavyzdžių (kuriuos vėliau galima pritaikyti bet kuriai VM):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Taip pat apsvarstykite galimybę taikyti šias "Spectre" / "Meltdown" pažeidžiamumo mažinimo priemones iš "VirtualBox" programos katalogo paleisdami šią komandą. Visos jos aprašytos čia: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (turėkite omenyje, kad jos gali smarkiai paveikti jūsų virtualiųjų mašinų našumą, tačiau jas reikėtų atlikti siekiant užtikrinti geriausią saugumą).


Galiausiai apsvarstykite pačių "Virtualbox" saugumo patarimus: https: //www.virtualbox.org/manual/ch13.html [Archive.org].

 

[HEISENBERG]

Tor per VPN.

Šį veiksmą praleiskite, jei neketinate naudoti "Tor over VPN" ir ketinate naudoti tik "Tor" arba negalite naudoti "Tor".


Jei dėl kokių nors priežasčių ketinate naudoti "Tor over VPN". Pirmiausia turite sukonfigūruoti VPN paslaugą savo pagrindinėje OS.


Atminkite, kad šiuo atveju rekomenduoju turėti dvi VPN paskyras. Abi apmokėtas grynaisiais pinigais / Monero (žr. priedą O: Įsigykite anoniminį VPN / proxy). Viena jų bus naudojama priimančiojoje OS pirmajam VPN ryšiui. Kita gali būti naudojama virtualioje mašinoje, kad būtų pasiektas VPN per "Tor" per VPN (Vartotojas > VPN > Tor > VPN).


Jei ketinate naudoti tik "Tor" per VPN, jums reikia tik vienos VPN paskyros.


Instrukcijos pateikiamos R priede "VPN diegimas virtualioje mašinoje arba priimančiojoje OS".

 

[HEISENBERG]

Whonix virtualios mašinos.

Praleiskite šį veiksmą, jei negalite naudoti "Tor".

• Paleiskite "Virtualbox" savo pagrindinėje operacinėje sistemoje.
• Importuokite "Whonix" failą į "Virtualbox" vadovaudamiesi instrukcijomis, pateiktomis svetainėje https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Paleiskite "Whonix" virtualias mašinas

Šiame etape nepamirškite, kad jei dėl cenzūros ar blokavimo turite problemų jungiantis prie "Tor", turėtumėte apsvarstyti galimybę prisijungti naudojant "Bridges", kaip paaiškinta šioje instrukcijoje https://www.whonix.org/wiki/Bridges [Archive.org].

• Atnaujinkite "Whonix" virtualias mašinas, vadovaudamiesi instrukcijomis, pateiktomis https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org].
• Išjunkite "Whonix" virtualiąsias mašinas
• Atnaujintų "Whonix" virtualiųjų mašinų "Virtualbox" programoje padarykite momentinę nuotrauką (pasirinkite virtualiąją mašiną ir spustelėkite mygtuką Take Snapshot). Daugiau apie tai vėliau.
• Pereikite prie kito žingsnio

Svarbi pastaba: taip pat turėtumėte perskaityti šias labai geras rekomendacijas https://www.whonix.org/wiki/DoNot [Archive.org], nes dauguma šių principų bus taikomi ir šiame vadove. Taip pat turėtumėte perskaityti jų bendrąją dokumentaciją čia https://www.whonix.org/wiki/Documentation [Archive.org] , kurioje taip pat bus pateikta daugybė patarimų, kaip ir šiame vadove.