Whonix ceļš.
Izvēlieties savu host OS (OS, kas instalēta jūsu klēpjdatorā).
Šajā maršrutā tiks plaši izmantotas virtuālās mašīnas, tām būs nepieciešama uzņēmēja OS, lai palaistu virtualizācijas programmatūru. Šajā rokasgrāmatas daļā jums ir 3 ieteicamās izvēles:
- Jūsu izvēlētais Linux izplatītājs (izņemot Qubes OS).
- Windows 10 (vēlams Home edition, jo nav Bitlocker).
- MacOS (Catalina vai jaunāka versija)
Turklāt pastāv lielas izmaiņas, ka jūsu Mac ir vai ir bijis piesaistīts Apple kontam (iegādes brīdī vai pēc pierakstīšanās), un tāpēc tā unikālie aparatūras identifikatori var norādīt uz jums aparatūras identifikatoru noplūdes gadījumā.
Linux arī ne vienmēr ir labākā izvēle anonimitātei atkarībā no jūsu apdraudējuma modeļa. Tas ir tāpēc, ka, izmantojot Windows, mēs varēsim ērti izmantot ticamu noliegšanu (jeb noliedzamu šifrēšanu) operētājsistēmas līmenī. Windows diemžēl vienlaikus ir arī privātuma murgs, bet tā ir vienīgā (ērtā) iespēja izmantot OS mēroga ticamu noliegšanu. Windows telemetrija un telemetrijas bloķēšana ir arī plaši dokumentēta, kam vajadzētu mazināt daudzas problēmas.
Tātad, kas ir ticama noliegšana? Tā ir iespēja sadarboties ar pretinieku, kas pieprasa piekļuvi jūsu ierīcei/datiem, neatklājot savu patieso noslēpumu. Tas viss, izmantojot noliedzamu šifrēšanu.
Maigs likumīgs pretinieks varētu pieprasīt jūsu šifrēto klēpjdatora paroli. Sākotnēji jūs varētu atteikties izpaust jebkādu paroli (izmantojot savas "tiesības klusēt", "tiesības neuzrādīt sevi par vainīgu"), taču dažās valstīs tiek ieviesti likumi, kas atbrīvo no šādām tiesībām (jo teroristi un "padomā par bērniem"). Tādā gadījumā jums var nākties atklāt paroli vai, iespējams, jums draud cietumsods par necieņas izrādīšanu tiesai. Šajā situācijā jāiesaistās ticamam noliegumam (plausible deniability).
Tad jūs varētu atklāt paroli, bet šī parole dos piekļuvi tikai "ticamiem datiem" (viltus OS). Tiesu eksperti labi zinās, ka jums ir iespējams slēpt datus, taču viņiem nevajadzētu spēt to pierādīt
(ja jūs to darīsiet pareizi). Jūs būsiet sadarbojies, un izmeklētājiem būs piekļuve kaut kam, bet ne tam, ko jūs patiesībā vēlaties slēpt. Tā kā pierādīšanas pienākums būtu jāuzņemas viņu pusē, viņiem nebūs citu iespēju, kā vien jums ticēt, ja vien viņu rīcībā nebūs pierādījumu, ka jums ir slēpti dati.
Šo funkciju var izmantot operētājsistēmas līmenī (ticama operētājsistēma un slēpta operētājsistēma) vai failu līmenī, kad jums būs šifrētu failu konteiners (līdzīgi kā zip failā), kurā atkarībā no izmantotās šifrēšanas paroles tiks parādīti dažādi faili.
Tas arī nozīmē, ka jūs varat izveidot savu uzlabotu "ticamas noliegšanas" iestatījumu, izmantojot jebkuru uzņēmēja OS, piemēram, virtuālās mašīnas uzglabājot Veracrypt slēpto sējumu konteinerā (jāuzmanās no pēdām uzņēmēja OS tho, kas būtu jānotīra, ja uzņēmēja OS ir noturīga, skatiet sadaļu
Daži papildu pasākumi pret kriminālistiku vēlāk). Ir projekts, kā to panākt Tails sistēmā
(https://github.com/aforensics/HiddenVM [Archive.org]), kas padarītu jūsu host OS nepastāvīgu un izmantotu ticamu noliegšanu Tails sistēmā.
Windows gadījumā ticams noliegums ir arī iemesls, kāpēc ideālā gadījumā jums vajadzētu izmantot Windows 10 Home (nevis Pro). Tas ir tāpēc, ka Windows 10 Pro dabiski piedāvā pilna diska šifrēšanas sistēmu (Bitlocker), savukārt Windows 10 Home vispār nepiedāvā pilna diska šifrēšanu. Vēlāk mēs šifrēšanai izmantosim trešās puses atvērtā koda programmatūru, kas ļaus veikt pilna diska šifrēšanu operētājsistēmā Windows 10 Home. Tas sniegs jums labu (ticamu) attaisnojumu, lai izmantotu šo programmatūru. Savukārt šīs programmatūras izmantošana operētājsistēmā Windows 10 Pro būtu aizdomīga.
Piezīme par Linux: Kā ir ar Linux un ticamu noliegšanu? Jā, arī ar Linux ir iespējams panākt ticamu noliegšanu. Taču to ir sarežģīti iestatīt, un IMHO tam ir nepieciešams pietiekami augsts prasmju līmenis, lai, iespējams, jums nebūtu nepieciešams šis ceļvedis, kas jums palīdzētu to izmēģināt.
Diemžēl šifrēšana nav maģija, un ar to ir saistīti daži riski:
Ar šifrēšanu saistītie draudi.
5$ atslēga.
Atcerieties, ka šifrēšana ar vai bez ticamas noliegšanas iespējas nav sudraba lode, un spīdzināšanas gadījumā tā būs maz noderīga. Patiesībā, atkarībā no tā, kas būtu jūsu pretinieks (jūsu draudu modelis), varētu būt prātīgi vispār neizmantot Veracrypt (agrāk TrueCrypt), kā parādīts šajā demonstrācijā: https:
//defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].
Iespējamā noliegšana ir efektīva tikai pret "maigiem" likumīgiem pretiniekiem, kas neizmantos fiziskus līdzekļus.
Ja iespējams, izvairieties no ticamas noliegšanas programmatūras (piemēram, Veracrypt) izmantošanas, ja jūsu draudu modelī ir ietverti cieti pretinieki. Tāpēc Windows lietotājiem šādā gadījumā vajadzētu instalēt Windows Pro kā galveno operētājsistēmu un tā vietā izmantot Bitlocker.
Skatīt https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].
Evil-Maid uzbrukums.
Ļaunprātīgās kalpones uzbrukumi tiek veikti, kad kāds ķērās pie jūsu klēpjdatora, kamēr jūs neesat mājās. Lai instalētu, lai klonētu jūsu cieto disku, instalētu ļaunprātīgu programmatūru vai taustiņu reģistrētāju. Ja viņi var klonēt jūsu cieto disku, viņi var salīdzināt vienu jūsu cietā diska attēlu brīdī, kad to paņēma, kamēr jūs bijāt prombūtnē, ar cietā diska attēlu, kad to no jums konfiscēja. Ja jūs starplaikā atkal izmantojāt klēpjdatoru, kriminālistikas eksperti varētu pierādīt slēpto datu esamību, aplūkojot atšķirības starp abiem attēliem vietā, kurai vajadzētu būt tukšai/neizmantotai. Tas varētu sniegt pārliecinošus pierādījumus par slēpto datu esamību. Ja jūsu klēpjdatorā (programmatūrā vai aparatūrā) tiks instalēts taustiņu reģistrētājs vai ļaunprātīga programmatūra, viņi varēs vienkārši iegūt no jums paroli, lai vēlāk to izmantotu, kad to konfiscēs. Šādus uzbrukumus var veikt jūsu mājās, viesnīcā, robežšķērsošanas vietā vai jebkur, kur atstājat savas ierīces bez uzraudzības.
Šo uzbrukumu varat mazināt, veicot šādus pasākumus (kā ieteikts iepriekš):
- Lai nepieļautu fizisku piekļuvi klēpjdatora iekšējiem elementiem bez jūsu ziņas, izmantojiet pamataizsardzību pret viltojumiem (kā paskaidrots iepriekš). Tas novērsīs iespēju klonēt jūsu diskus un bez jūsu ziņas instalēt fizisku taustiņu reģistrētāju.
- Atslēgt visus USB pieslēgumus (kā paskaidrots iepriekš) ar paroli aizsargātā BIOS/UEFI. Arī tad viņi nevarēs tos ieslēgt (fiziski nepieejot pamatplatei, lai atiestatītu BIOS), lai ielādētu USB ierīci, kas varētu klonēt jūsu cieto disku vai instalēt uz programmatūru balstītu ļaunprātīgu programmatūru, kas varētu darboties kā taustiņu reģistrētājs.
- Iestatiet BIOS/UEFI/Firmware paroles, lai novērstu jebkādu nesankcionētu neautorizētas ierīces palaišanu.
- Dažās operētājsistēmās un šifrēšanas programmatūrā ir iespējama aizsardzība pret ļaunprātīgo palaidoni. Tas attiecas uz Windows/Veracrypt un QubeOS.
Aukstās palaišanas uzbrukums.
Aukstās palaišanas uzbrukumi ir viltīgāki nekā Evil Maid uzbrukums, bet var būt daļa no Evil Maid uzbrukuma, jo tam nepieciešams, lai pretinieks pārņemtu jūsu klēpjdatoru, kamēr jūs aktīvi izmantojat ierīci vai īsi pēc tam.
Ideja ir diezgan vienkārša, kā parādīts šajā videoklipā, pretinieks teorētiski varētu ātri ielādēt jūsu ierīci, izmantojot īpašu USB atslēgu, kas pēc ierīces izslēgšanas nokopētu tās RAM (atmiņas) saturu. Ja USB pieslēgvietas ir atspējotas vai ja viņiem šķiet, ka nepieciešams vairāk laika, viņi varētu to atvērt un "atdzesēt" atmiņu, izmantojot aerosolu vai citas ķīmiskas vielas (piemēram, šķidro slāpekli), kas novērš atmiņas sabrukšanu. Tad viņi varētu nokopēt atmiņas saturu analīzei. Šajā atmiņas kopijā varētu būt atslēga ierīces atšifrēšanai. Vēlāk mēs piemērosim dažus principus, lai tos mazinātu.
Ticamas noliegšanas gadījumā ir veikti daži kriminālistikas pētījumi par to, kā tehniski pierādīt slēpto datu klātbūtni ar vienkāršu kriminālistikas pārbaudi (bez Cold Boot/Evil Maid uzbrukuma), taču tos apstrīd citi pētījumi un Veracrypt uzturētājs, tāpēc es par tiem vēl pārāk neuztraucos.
Tiem pašiem pasākumiem, kas tiek izmantoti, lai mazinātu Evil Maid uzbrukumus, vajadzētu būt spēkā arī Cold Boot uzbrukumiem ar dažiem papildu pasākumiem:
- Ja operētājsistēma vai šifrēšanas programmatūra to atļauj, jāapsver iespēja šifrēt atslēgas arī operatīvajā atmiņā (tas ir iespējams ar Windows/Veracrypt, un tas tiks paskaidrots vēlāk).
- Lai novērstu šifrēšanas atslēgu palikšanu operatīvajā atmiņā, kad dators ir ieslēgts miega režīmā, jums vajadzētu ierobežot miega gaidīšanas režīma izmantošanu un tā vietā izmantot izslēgšanas vai hibernācijas režīmu. Tas ir tāpēc, ka miega režīms saglabās atmiņas jaudu, lai ātrāk atsāktu darbību. Tikai hibernācija un izslēgšana faktiski izdzēsīs atslēgu no atmiņas.
Skatīt arī
https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] un
https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].
Šeit ir arī daži interesanti rīki, kas jāņem vērā Linux lietotājiem, lai pret tiem aizsargātos:
Par miega režīmu, hibernāciju un izslēgšanu.
Ja vēlaties lielāku drošību, jums vajadzētu pilnībā izslēgt klēpjdatoru ikreiz, kad atstājat to bez uzraudzības vai aizverat vāku. Tas attīrīs un/vai atbrīvos operatīvo atmiņu un nodrošinās aizsardzību pret aukstās palaišanas uzbrukumiem. Tomēr tas var būt mazliet neērti, jo būs pilnībā jāpārstartē sistēma un jāievada tonna paroļu dažādās lietotnēs. Pārstartējiet dažādus virtuālos datorus un citas lietojumprogrammas. Tāpēc tā vietā varat izmantot arī hibernāciju (Qubes OS netiek atbalstīta). Tā kā viss disks ir šifrēts, hibernācijai pašai par sevi nevajadzētu radīt lielu drošības risku, bet tā tomēr izslēgs klēpjdatoru un iztīrīs atmiņu, vienlaikus ļaujot pēc tam ērti atsākt darbu.
Nekādā gadījumā nevajadzētu izmantot standarta miega funkciju, kas uzturēs datoru ieslēgtu un atmiņu darbināmu. Tas ir uzbrukuma vektors pret iepriekš aplūkotajiem ļaunās kalpones un aukstās palaišanas uzbrukumiem. Tas ir tāpēc, ka jūsu ieslēgtajā atmiņā ir diska šifrēšanas atslēgas (šifrētas vai nešifrētas), un tad tām var piekļūt prasmīgs pretinieks.
Šajā rokasgrāmatā vēlāk tiks sniegti norādījumi par to, kā iespējot hibernāciju dažādās resursdatora operētājsistēmās (izņemot Qubes OS), ja nevēlaties, lai katru reizi tiktu izslēgta.
Vietējā datu noplūde (pēdas) un kriminālistikas pārbaude.
Kā īsumā minēts iepriekš, tās ir datu noplūdes un pēdas no operētājsistēmas un lietojumprogrammām, kad datorā veicat kādu darbību. Tās galvenokārt attiecas uz šifrētiem failu konteineriem (ar vai bez ticamas noliegšanas iespējas), nevis uz operētājsistēmas mēroga šifrēšanu. Šādas noplūdes ir mazāk "svarīgas", ja ir šifrēta visa jūsu OS (ja neesat spiests atklāt paroli).
Teiksim, piemēram, jums ir Veracrypt šifrēta USB atslēga ar iespējamu noliegšanas iespēju. Atkarībā no paroles, ko izmantojat, pievienojot USB atslēgu, tā atvērs viltus mapi vai slepeno mapi. Šajās mapēs jums būs dokumenti/dati, kas ir atmaskošanas mapē, un slepenie dokumenti/dati, kas ir slepenajā mapē.
Visos gadījumos jūs (visticamāk) atvērsiet šīs mapes ar Windows Explorer, MacOS Finder vai jebkuru citu utilītu un darīsiet visu, ko esat iecerējis darīt. Varbūt jūs rediģēsiet dokumentu sensitīvajā mapē. Varbūt jūs meklēsiet dokumentu mapē. Varbūt dzēsīsit kādu no jutīgajām mapēm vai skatīsieties sensitīvu videoklipu, izmantojot VLC.
Visas šīs programmas un operētājsistēma var saglabāt žurnālus un pēdas par šo izmantošanu. Tas varētu ietvert pilnu mapes/failu/disku ceļu, laiku, kad tiem tika piekļūts, šo failu pagaidu kešatmiņas, "neseno" sarakstu katrā lietotnē, failu indeksēšanas sistēmu, kas varētu indeksēt disku, un pat miniatūras, kas varētu tikt ģenerētas.
Šeit ir daži šādu noplūžu piemēri:
Windows.
- Windows ShellBags, kas tiek glabāti Windows reģistrā, kurā tiek klusējot uzglabātas dažādas piekļūto apjomu/failu/mapju vēstures.
- Windows indeksēšana, kas pēc noklusējuma saglabā lietotāja mapē esošo failu pēdas.
- Nesenie saraksti (pazīstami arī kā lēciena saraksti) Windows un dažādās lietotnēs, kas saglabā nesen piekļūto dokumentu pēdas.
- Vēl daudz citu pēdu dažādos žurnālos, lūdzu, skatiet šo ērto interesanto plakātu, lai gūtu plašāku ieskatu: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org].
MacOS.
- Gatekeeper290 un XProtect, kas saglabā jūsu lejupielādes vēsturi vietējā datubāzē un failu atribūtus.
- Spotlight indeksēšana
- Pēdējo dokumentu saraksti dažādās lietotnēs, kas saglabā pēdas nesen piekļūto dokumentu izsekojumiem.
- Pagaidu mapes, kurās tiek saglabātas dažādas lietotņu un dokumentu izmantošanas pēdas.
- MacOS žurnāli
- ...
Linux.
- Linux Linux: Sliežu indeksēšana
- Bash vēsture
- USB žurnāli
- Pēdējo dokumentu saraksti dažādās lietotnēs, kas saglabā pēdas par nesen piekļūstamajiem dokumentiem.
- Linux žurnāli
- ...
Kriminālistikas eksperti varētu izmantot visas šīs noplūdes (skatiet
Vietējo datu noplūdes un kriminālistiku), lai pierādītu slēpto datu esamību un sagrautu jūsu mēģinājumus izmantot ticamu noliegumu un uzzināt par dažādām sensitīvām darbībām.
Tāpēc būs svarīgi piemērot dažādus pasākumus, lai nepieļautu, ka kriminālistikas speciālisti to dara, novēršot un attīrot šīs noplūdes/izsekojumus un, vēl svarīgāk, izmantojot visa diska šifrēšanu, virtualizāciju un kompartmentalizāciju.
Kriminālistikas eksperti nevar iegūt lokālo datu noplūdes no operētājsistēmas, kurai tie nevar piekļūt. Un jūs varēsiet notīrīt lielāko daļu šo pēdu, izdzēšot disku vai droši dzēšot savas virtuālās mašīnas (kas nav tik vienkārši, kā jums šķiet, SSD diskiem).
Daži tīrīšanas paņēmieni tomēr tiks aplūkoti šīs rokasgrāmatas daļā "Noslēpt pēdas" pašā tās beigās.
Datu noplūde tiešsaistē.
Neatkarīgi no tā, vai izmantojat vienkāršu šifrēšanu vai ticamas noliegšanas iespēju šifrēšanu. Pat tad, ja esat noslēpis savas pēdas pašā datorā. Joprojām pastāv tiešsaistes datu noplūdes risks, kas var atklāt slēpto datu klātbūtni.
Telemetrija ir jūsu ienaidnieks. Kā paskaidrots iepriekš šajā rokasgrāmatā, operētājsistēmu, kā arī lietotņu telemetrija var tiešsaistē nosūtīt satriecošus privātās informācijas apjomus.
Windows gadījumā šos datus varētu izmantot, piemēram, lai pierādītu, ka datorā ir slēpta operētājsistēma / sējums, un tie būtu viegli pieejami Microsoft. Tāpēc ir ārkārtīgi svarīgi ar visiem pieejamajiem līdzekļiem atspējot un bloķējot telemetriju. Neatkarīgi no tā, kādu operētājsistēmu izmantojat.
Secinājums.
Nekādā gadījumā nedrīkst veikt sensitīvas darbības no nešifrētas sistēmas. Un, pat ja tā ir šifrēta, iespējams, nekad nevajadzētu veikt sensitīvas darbības no pašas resursdatora OS. Tā vietā jāizmanto virtuālā mašīna, lai varētu efektīvi izolēt un nodalīt darbības un novērst vietējo datu noplūdi.
Ja jums ir nelielas zināšanas par Linux vai to nemaz nav, vai ja vēlaties izmantot OS plašu ticamu noliegšanu, es ieteiktu ērtības labad izvēlēties Windows (vai atgriezties pie Tails maršruta). Šī rokasgrāmata palīdzēs jums to pēc iespējas vairāk nostiprināt, lai novērstu noplūdes. Šī rokasgrāmata palīdzēs arī pēc iespējas vairāk nostiprināt MacOS un Linux, lai novērstu līdzīgas noplūdes.
Ja jūs neinteresē OS plaša ticama noliegšana un vēlaties iemācīties izmantot Linux, es noteikti ieteiktu izvēlēties Linux vai Qubes ceļu, ja jūsu aparatūra to atļauj.
Jebkurā gadījumā uzņēmēja OS nekad nevajadzētu izmantot, lai tieši veiktu sensitīvas darbības. Uzņēmēja OS tiks izmantota tikai savienošanai ar publisku Wi-Fi piekļuves punktu. Kamēr veicat sensitīvas darbības, tā tiks atstāta neizmantota, un ideālā gadījumā to nevajadzētu izmantot nekādām ikdienas darbībām.
Apsveriet arī iespēju izlasīt
https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]
