Tails.
O Tails é ótimo para isto; não tem de se preocupar com nada, mesmo que utilize uma unidade SSD. Desligue-o e tudo desaparecerá assim que a memória se deteriorar.
Whonix.
Note que é possível rodar o Whonix em modo Live sem deixar rastros quando você desliga as VMs, considere ler a documentação deles aqui
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] e aqui
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
SO convidado.
Reverta para um snapshot anterior no Virtualbox (ou qualquer outro software de VM que esteja a utilizar) e execute um comando Trim no seu Mac utilizando o Utilitário de Disco, executando novamente um first-aid no SO anfitrião, conforme explicado no final da próxima secção.
SO anfitrião.
A maior parte da informação desta secção pode também ser encontrada neste simpático guia
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Base de dados de quarentena (utilizada pelo Gatekeeper e pelo XProtect).
O MacOS (até e incluindo o Big Sur) mantém uma Base de Dados SQL de Quarentena de todos os ficheiros que alguma vez descarregou de um Browser. Esta base de dados está localizada em ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Pode consultá-la executando o seguinte comando a partir do terminal: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Obviamente, esta é uma mina de ouro para a investigação forense e deve ser desactivada:
- Execute o seguinte comando para limpar completamente a base de dados: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Execute o seguinte comando para bloquear o ficheiro e impedir que o histórico de transferências seja aí escrito: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Por último, também pode desativar completamente o Gatekeeper, emitindo o seguinte comando no terminal:
- sudo spctl --master-disable
Consulte esta secção deste guia para obter mais informações
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Em adição a esta conveniente base de dados, cada ficheiro guardado terá também atributos detalhados do sistema de ficheiros HFS+/APFS mostrando, por exemplo, quando foi descarregado, com o quê e de onde.
Pode ver estes atributos abrindo um terminal e escrevendo mdls filename e xattr -l filename em qualquer ficheiro descarregado a partir de qualquer browser.
Para remover esses atributos, terá de o fazer manualmente a partir do terminal:
- Execute xattr -d com.apple.metadata:kMDItemWhereFroms filename para remover a origem
- Também pode utilizar -dr para o fazer recursivamente numa pasta/disco inteiro
- Execute xattr -d com.apple.quarantine filename para remover a referência de quarentena
- Também pode utilizar simplesmente -dr para o fazer recursivamente numa pasta/disco inteiro
- Verifique executando xattr --l nome do ficheiro e não deverá haver qualquer saída
(Note que a Apple removeu a conveniente opção xattr -c que removeria todos os atributos de uma só vez, por isso terá de fazer isto para cada atributo em cada ficheiro)
Esses atributos e entradas permanecerão mesmo que você limpe o histórico do navegador e isso é obviamente ruim para a privacidade (certo?) e não tenho conhecimento de nenhuma ferramenta conveniente que lide com isso no momento.
Felizmente, existem algumas atenuações para evitar este problema em primeiro lugar, uma vez que estes atributos e entradas são definidos pelos navegadores. Por isso, testei vários navegadores (no MacOS Catalina e no Big Sur) e aqui estão os resultados até à data deste guia:
| Navegador | Entrada da BD de quarentena | Atributo do ficheiro de quarentena | Atributo do ficheiro de origem |
|---|
| Safari (Normal) | Sim | Sim | Sim |
| Safari (janela privada) | Não | Não | Não |
| Firefox (Normal) | Sim | Sim | Sim |
| Firefox (janela privada) | Não | Não | Não |
| Chrome (Normal) | Sim | Sim | Sim |
| Chrome (janela privada) | Parcial (apenas carimbo de data/hora) | Não | Não |
| Ungoogled-Chromium (Normal) | Não | Não | Não |
| Ungoogled-Chromium (janela privada) | Não | Não | Não |
| Brave (Normal) | Parcial (apenas carimbo de data/hora) | Não | Não |
| Brave (Janela privada) | Parcial (apenas carimbo de data/hora) | Não | Não |
| Brave (Janela Tor) | Parcial (apenas carimbo de data/hora) | Não | Não |
| Navegador Tor | Não | Não | Não |
Como pode ver por si próprio, a mitigação mais fácil é utilizar apenas o Private Windows. Eles não escrevem esses atributos de origem/quarentena e não armazenam as entradas no banco de dados QuarantineEventsV2.
Limpar o QuarantineEventsV2 é fácil, conforme explicado acima. Remover os atributos requer algum trabalho.
O Brave é o único navegador testado que não armazena esses atributos por padrão em operações normais.
Vários artefactos.
Além disso, o MacOS mantém vários registos de dispositivos montados, dispositivos ligados, redes conhecidas, análises, revisões de documentos...
Consulte esta secção deste guia para obter orientação sobre onde encontrar e como eliminar esses artefactos:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Muitos desses artefactos podem ser eliminados utilizando várias ferramentas comerciais de terceiros, mas eu recomendaria pessoalmente a utilização da conhecida e gratuita Onyx, que pode encontrar aqui:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Infelizmente, trata-se de uma ferramenta de código fechado, mas está registada, assinada e é de confiança há muitos anos.
Forçar uma operação Trim após a limpeza.
- Se o seu sistema de ficheiros for APFS, não precisa de se preocupar com o Trim, pois este ocorre de forma assíncrona à medida que o SO escreve dados.
- Se o seu sistema de ficheiros for HFS+ (ou qualquer outro que não o APFS), pode executar o First Aid na sua unidade de sistema a partir do Utilitário de Disco, que deverá executar uma operação Trim nos detalhes(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Por favor, considere as suas directrizes
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Se está a usar o Whonix no Qubes OS, por favor considere seguir alguns dos seus guias:
Linux (não-Qubes).
SO convidado.
Reverta para um snapshot anterior da VM Convidada no Virtualbox (ou qualquer outro software de VM que esteja a utilizar) e execute um comando trim no seu portátil utilizando fstrim --all. Este utilitário é parte do pacote util-linux no Debian/Ubuntu e deve ser instalado por padrão no Fedora. Depois passe para a próxima secção.
SO anfitrião.
Normalmente não deve ter vestígios para limpar dentro do SO anfitrião uma vez que está a fazer tudo a partir de uma VM se seguir este guia.
No entanto, pode querer limpar alguns registos. Basta usar esta ferramenta conveniente:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instruções na página, para fazer o download vá para os lançamentos, este repositório foi removido recentemente)
Após a limpeza, certifique-se de que tem o utilitário fstrim instalado (deve ser por defeito no Fedora) e parte do pacote util-linux no Debian/Ubuntu. Depois é só executar fstrim --all no SO hospedeiro. Isso deve ser suficiente em unidades SSD, conforme explicado anteriormente.
Considere o uso do Linux Kernel Guard como uma medida adicional
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
SO convidado.
Reverta para um instantâneo anterior no Virtualbox (ou qualquer outro software de VM que esteja a utilizar) e execute um comando de corte no Windows utilizando a opção Otimizar, conforme explicado no final da secção seguinte
Sistema operacional host.
Agora que já realizou uma série de actividades com as suas VMs ou com o SO anfitrião, deve reservar um momento para cobrir os seus rastos.
A maioria dessas etapas não deve ser realizada no Decoy OS em caso de uso de negação plausível. Isto porque se pretende manter os vestígios de actividades sensatas, mas não secretas, disponíveis para o adversário. Se tudo estiver limpo, pode levantar suspeitas.
Dados de diagnóstico e telemetria.
Primeiro, vamos livrar-nos de quaisquer dados de diagnóstico que ainda possam existir:
(Ignore este passo se estiver a utilizar o Windows 10 AME)
- Após cada utilização dos seus dispositivos Windows, aceda a Definições, Privacidade, Diagnóstico e Feedback e clique em Eliminar.
Em seguida, vamos re-randomizar os endereços MAC de suas máquinas virtuais e o endereço Bluetooth do seu sistema operacional host.
- Após cada encerramento da sua VM Windows, altere o seu endereço MAC para a próxima vez, acedendo a Virtualbox > Seleccione a VM > Definições > Rede > Avançado > Atualizar o endereço MAC.
- Após cada utilização do seu SO anfitrião Windows (a sua VM não deve ter Bluetooth), aceda ao Gestor de Dispositivos, seleccione Bluetooth, desactive o dispositivo e volte a activá-lo (isto forçará uma aleatorização do endereço Bluetooth).
Registos de eventos.
Os registos de eventos do Windows guardam várias informações que podem conter vestígios das suas actividades, como os dispositivos que foram montados (incluindo volumes Veracrypt NTFS, por
exemplo294), as suas ligações de rede, informações sobre falhas de aplicações e vários erros. É sempre melhor limpá-las regularmente. Não faça isto no SO Decoy.
- Inicie, procure por Event Viewer e abra o Event Viewer:
- Vá para os registos do Windows.
- Seleccione e limpe os 5 registos com o botão direito do rato.
Histórico do Veracrypt.
Por predefinição, o Veracrypt guarda um histórico dos volumes e ficheiros montados recentemente. Deve certificar-se de que o Veracrypt nunca guarda o Histórico. Novamente, não faça isso no Decoy OS se estiver usando negação plausível para o sistema operacional. Precisamos de manter o histórico de montagem do volume de engodo como parte da negação plausível.
- Iniciar o Veracrypt
- Certifique-se de que a caixa de verificação "Never saves history" (Nunca guardar o histórico) está selecionada (não deve estar selecionada no SO de engodo)
Agora deve limpar o histórico de qualquer aplicação que tenha utilizado, incluindo o histórico do navegador, os cookies, as palavras-passe guardadas, as sessões e o histórico de formulários.
Histórico do navegador.
- Brave (no caso de não ter ativado a limpeza ao sair)
- Aceder às Definições
- Aceder a Escudos
- Ir para Limpar dados de navegação
- Selecionar Avançado
- Seleccione "Todo o tempo"
- Verificar todas as opções
- Limpar dados
- Navegador Tor
- Basta fechar o Navegador e tudo fica limpo
Histórico de Wi-Fi.
Agora é altura de limpar o histórico da rede Wi-Fi a que se liga. Infelizmente, o Windows continua a armazenar uma lista de redes anteriores no registo, mesmo que as tenha "esquecido" nas definições de Wi-Fi. Tanto quanto sei, ainda não existe nenhum utilitário que limpe essas redes (BleachBit ou PrivaZer, por exemplo), pelo que terá de o fazer manualmente:
- Inicie o Regedit usando este tutorial: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- No Regedit, digite isso na barra de endereços: Computador\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Aí verá um conjunto de pastas à direita. Cada uma dessas pastas é uma "Chave". Cada uma dessas chaves contém informações sobre o seu Wi-Fi atual conhecido ou redes anteriores que utilizou. Pode explorá-las uma a uma e ver a descrição no lado direito.
- Eliminar todas essas chaves.
Shellbags.
Como explicado anteriormente, os Shellbags são basicamente históricos de volumes/ficheiros acedidos no seu computador. Lembre-se de que os shellbags são fontes de informação muito boas para a investigação
forense287 e precisa de os limpar. Especialmente se montou algum "volume oculto" em qualquer lugar. Novamente, não se deve fazer isso no Decoy OS.
- Descarregue o Shellbag Analyzer & Cleaner a partir de https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org]
- Inicie-o
- Analisar
- Clique em Limpar e seleccione:
- Pastas eliminadas
- Pastas na rede / Dispositivos externos
- Resultados da pesquisa
- Selecionar avançado
- Marque todas as opções, exceto as duas opções de cópia de segurança (não fazer cópia de segurança)
- Seleccione Limpeza SSD (se tiver um SSD)
- Selecionar 1 passagem (Tudo zero)
- Limpar
Ferramentas adicionais de limpeza.
Depois de limpar os vestígios anteriores, deve também utilizar utilitários de terceiros que podem ser utilizados para limpar vários vestígios. Estes incluem os vestígios dos ficheiros/pastas que eliminou.
Consulte o
Apêndice H: Ferramentas de limpeza do Windows antes de continuar.
PrivaZer.
Aqui estão os passos para o PrivaZer:
- Descarregue e instale o PrivaZer a partir de https://privazer.com/en/download.php [Archive.org]
- Executar o PrivaZer após a instalação
- Não use o assistente
- Seleccione Utilizador avançado
- Seleccione Scan in Depth e escolha o seu alvo
- Seleccione Everything you want to Scan (Tudo o que pretende analisar) e prima Scan (Analisar)
- Seleccione o que pretende limpar (ignore a parte do saco de plástico, uma vez que utilizou o outro utilitário para esse efeito)
- Se utilizar um SSD, deve saltar a parte da limpeza do espaço livre e utilizar a função nativa Otimizar do Windows (ver abaixo), que deve ser mais do que suficiente. Eu só usaria isso numa unidade de disco rígido.
- (Se tiver selecionado a limpeza do espaço livre) Seleccione Opções de limpeza e certifique-se de que o seu tipo de armazenamento foi bem detectado (HDD vs SSD).
- (Se tiver selecionado Limpeza de espaço livre) Em Opções de limpeza (Tenha cuidado com esta opção, pois irá apagar todo o espaço livre na partição selecionada, especialmente se estiver a executar o SO de engodo. Não apague o espaço livre ou qualquer outra coisa na segunda partição, pois corre o risco de destruir o SO oculto)
- Se tiver uma unidade SSD:
- Separador "Secure Overwriting": Pessoalmente, eu escolheria apenas a Eliminação normal + Recorte (o próprio Recorte deve ser suficiente). A Eliminação Segura com Recorte (1 passagem) pode ser redundante e um exagero se pretender substituir o espaço livre de qualquer forma.
- Separador Espaço livre: Pessoalmente, e mais uma vez "só para ter a certeza", seleccionaria a Limpeza normal, que preencherá todo o espaço livre com dados. Não confio muito na Limpeza inteligente, uma vez que não preenche efetivamente todo o espaço livre da SSD com dados. Mas, mais uma vez, penso que provavelmente não é necessário e é um exagero na maioria dos casos.
- Se tiver uma unidade de disco rígido:
- Separador Substituição Segura: Eu escolheria apenas Eliminação segura (1 passagem).
- Espaço livre: Eu escolheria apenas a Limpeza inteligente, uma vez que não há razão para substituir sectores sem dados numa unidade de disco rígido.
- Seleccione Limpar e escolha a sua opção:
- A Limpeza Turbo só efectua a eliminação normal (no HDD/SSD) e não limpa o espaço livre. Não é seguro num HDD nem num SSD.
- A Limpeza Rápida efectua uma eliminação segura (no HDD) e uma eliminação normal + corte (no SSD), mas não limpa o espaço livre. Penso que isto é suficientemente seguro para SSD, mas não para HDD.
- A opção Limpeza normal efectua uma eliminação segura (no HDD) e uma eliminação normal + corte (no SSD) e, em seguida, limpa todo o espaço livre (Limpeza inteligente no HDD e Limpeza total no SSD) e deve ser segura. Penso que esta opção é a melhor para o HDD, mas completamente exagerada para o SSD.
- Clique em Limpar e aguarde que a limpeza termine. Poderá demorar algum tempo e encherá todo o espaço livre com dados.
BleachBit.
Aqui estão os passos para o BleachBit:
- Obtenha e instale a versão mais recente do BleachBit aqui https://www.bleachbit.org/download [Archive.org]
- Executar o BleachBit
- Limpar pelo menos tudo o que se encontra nestas secções:
- Análise profunda
- Windows Defender
- Windows Explorer (incluindo Shellbags)
- Sistema
- Seleccione quaisquer outros vestígios que pretenda remover da lista
- Mais uma vez, tal como no caso do utilitário anterior, não limparia o espaço livre numa unidade SSD, pois penso que o utilitário "otimizar" nativo do Windows é suficiente (ver abaixo) e que preencher o espaço livre numa SSD com trim ativado é um exagero e desnecessário.
- Clique em Limpar e aguarde. Isso levará algum tempo e preencherá todo o seu espaço livre com dados nas unidades HDD e SSD.
Forçar um corte com o Windows Optimize (para unidades SSD).
Com este utilitário nativo do Windows 10, pode simplesmente ativar um Trim no seu SSD, o que deve ser mais do que suficiente para limpar com segurança todos os ficheiros eliminados que, de alguma forma, teriam escapado ao Trim quando os eliminou.
Basta abrir o Explorador do Windows, clicar com o botão direito do rato na unidade do sistema e clicar em Propriedades. Seleccione Tools (Ferramentas). Clique em Otimizar e depois em Otimizar novamente. Já está. Penso que, na minha opinião, isto é provavelmente suficiente.
