Ghid pentru anonimatul online (de la https://anonymousplanet.org/)

Utilizați pe propriul risc. Vă rugăm să nu luați acest ghid ca un adevăr definitiv pentru toate, deoarece nu este.

Spoiler: Tabla de conținut

• Introducere:
• Înțelegerea unor noțiuni de bază despre modul în care unele informații te pot conduce înapoi la tine și cum să le atenuezi pe unele:
  • Rețeaua ta:
    • Adresa dvs. IP:
    • DNS-ul și solicitările IP:
    • Dispozitivele RFID activate:
    • Dispozitivele Wi-Fis și Bluetooth din jurul dumneavoastră:
    • Punctele de acces Wi-Fi rău intenționate/răutăcioase:
    • Traficul dvs. Tor/VPN anonimizat:
    • Unele dispozitive pot fi urmărite chiar și atunci când sunt offline:
  • Identificatorii dvs. hardware:
    • IMEI și IMSI (și, prin extensie, numărul dvs. de telefon):
    • Adresa MAC Wi-Fi sau Ethernet:
    • Adresa MAC Bluetooth:
  • Procesorul dumneavoastră:
  • Sistemele dvs. de operare și aplicațiile serviciilor de telemetrie:
  • Dispozitivele dvs. inteligente în general:
  • Voi înșivă:
    • Metadatele dvs., inclusiv geo-localizarea dvs:
    • Amprenta dvs. digitală, amprenta și comportamentul dvs. online:
    • Indicii despre viața dvs. reală și OSINT:
    • Fața, vocea, elementele biometrice și imaginile dvs:
    • Phishing și inginerie socială:
  • Malware, exploatări și viruși:
    • Malware în fișierele/documentele/e-mail-urile dumneavoastră:
    • Malware și exploatări în aplicațiile și serviciile dvs:
    • Dispozitive USB malițioase:
    • Malware și backdoors în firmware-ul hardware și sistemul dvs. de operare:
  • Fișierele, documentele, imaginile și clipurile dvs. video:
    • Proprietăți și metadate:
    • Filigranele:
    • Informații pixelizate sau încețoșate:
  • Tranzacțiile dvs. în criptomonede:
  • Serviciile dvs. de backup/sincronizare în cloud:
  • Browserul și amprentele dispozitivelor dvs:
  • Scurgeri de date locale și criminalistică:
  • Criptografie proastă:
  • Fără logare, dar cu politici de logare oricum:
  • Câteva tehnici țintite avansate:
  • Unele resurse bonus:
  • Note:
• Pregătiri generale:
  • Alegerea traseului:
    • Limitări de timp:
    • Limitări de buget/materiale:
    • Aptitudini:
    • Adversari (amenințări):
  • Pași pentru toate rutele:
    • Obțineți un număr de telefon anonim:
    • Obțineți o cheie USB:
    • Găsiți câteva locuri sigure cu Wi-Fi public decent:
  • Ruta TAILS:
    • Deniabilitate plauzibilă persistentă folosind Whonix în cadrul TAILS:
  • Pași pentru toate celelalte rute:
    • Obțineți un laptop dedicat activităților dumneavoastră sensibile:
    • Câteva recomandări privind laptopurile:
    • Setările Bios/UEFI/Firmware ale laptopului dumneavoastră:
    • Protejați-vă fizic laptopul împotriva sabotajelor:
  • Ruta Whonix:
    • Alegerea sistemului de operare gazdă (sistemul de operare instalat pe laptop):
    • Linux Sistem de operare gazdă:
    • MacOS Sistem de operare gazdă:
    • SO gazdă Windows:
    • Virtualbox pe sistemul dvs. de operare gazdă:
    • Alegeți metoda de conectivitate:
    • Obțineți un VPN/Proxy anonim:
    • Whonix:
    • Tor peste VPN:
    • Whonix Mașini virtuale:
    • Alegeți mașina virtuală pentru stația de lucru invitată:
    • Mașină virtuală Linux (Whonix sau Linux):
    • Windows 10 Mașină virtuală:
    • Android Mașină virtuală:
    • MacOS Mașină virtuală:
    • KeepassXC:
    • Instalarea clientului VPN (plătit în numerar/Monero):
    • (Opțional) permițând doar mașinilor virtuale să acceseze internetul, tăind în același timp sistemul de operare gazdă pentru a preveni orice scurgere:
    • Etapa finală:
  • Ruta Qubes:
    • Alegeți metoda dvs. de conectivitate:
    • Obțineți un VPN/Proxy anonim:
    • Instalare:
    • Comportamentul de închidere a capacului:
    • Conectați-vă la un Wi-Fi public:
    • Actualizarea sistemului de operare Qubes:
    • Întărirea sistemului de operare Qubes:
    • Configurarea VPN-ului ProxyVM:
    • Configurați un browser sigur în cadrul Qube OS (opțional, dar recomandat):
    • Configurați o VM Android:
    • KeePassXC:
• Crearea identităților dvs. online anonime:
  • Înțelegerea metodelor utilizate pentru a preveni anonimatul și a verifica identitatea:
    • Captchas:
    • Verificarea telefonului:
    • Verificarea prin e-mail:
    • Verificarea detaliilor utilizatorului:
    • Verificarea dovezii de identitate:
    • Filtre IP:
    • Amprentarea browserului și a dispozitivului:
    • Interacțiunea umană:
    • Moderarea utilizatorilor:
    • Analiza comportamentală:
    • Tranzacții financiare:
    • Autentificare cu o anumită platformă:
    • Recunoaștere facială live și biometrie (din nou):
    • Recenzii manuale:
  • Conectarea:
    • Crearea de noi identități:
    • Sistemul numelor reale:
    • Despre serviciile plătite:
    • Prezentare generală:
    • Cum să partajați fișiere sau să discutați anonim:
    • Redactarea documentelor/imaginilor/video/audio în siguranță:
    • Comunicarea de informații sensibile către diverse organizații cunoscute:
    • Sarcini de întreținere:
• Copierea de rezervă în siguranță a activității dvs:
  • Salvări offline:
    • Copii de rezervă ale fișierelor selectate:
    • Copii de siguranță pentru întregul disc/sistem:
  • Backup-uri online:
    • Fișiere:
    • Informații:
  • Sincronizarea fișierelor între dispozitive Online:
• Acoperirea urmelor:
  • Înțelegerea dintre HDD și SSD:
    • Nivelarea uzurii.
    • Operații de tăiere:
    • Colectarea gunoiului:
    • Concluzii:
  • Cum să ștergeți în siguranță întregul dvs. laptop/discuri dacă doriți să ștergeți totul:
    • Linux (toate versiunile, inclusiv Qubes OS):
    • Windows:
    • MacOS:
  • Cum să ștergeți în siguranță anumite fișiere/foldere/date de pe HDD/SSD și unități Thumb:
    • Windows:
    • Linux (fără Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Câteva măsuri suplimentare împotriva expertizei criminalistice:
    • Eliminarea metadatelor din fișiere/documente/fotografii:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (non-Qubes):
    • Windows:
  • Eliminarea unor urme ale identității dvs. pe motoarele de căutare și pe diverse platforme:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Câteva trucuri low-tech de școală veche:
  • Comunicații ascunse în văzul tuturor:
  • Cum să vă dați seama dacă cineva a căutat în lucrurile dumneavoastră:
• Câteva ultime gânduri OPSEC:
• Dacă credeți că v-ați ars:
  • Dacă aveți ceva timp:
  • Dacă nu aveți timp:
• O mică notă editorială finală

 

[HEISENBERG]

Limitări bugetare/materiale.

• Aveți la dispoziție un singur laptop și nu vă puteți permite nimic altceva. Folosiți acest laptop fie pentru muncă, fie pentru familie, fie pentru lucrurile personale (sau pentru ambele):
  
  • Cea mai bună opțiune a dvs. este să optați pentru ruta Tails.
• Vă puteți permite un laptop de rezervă dedicat nesupravegheat/nemonitorizat pentru activitățile dumneavoastră sensibile:
  
  • Dar este vechi, lent și are specificații proaste (mai puțin de 6 GB de memorie RAM, mai puțin de 250 GB spațiu pe disc, procesor vechi/ lent):
    
    • Ar trebui să mergeți pe ruta Tails.
  • Nu este atât de vechi și are specificații decente (cel puțin 6 GB de RAM, 250 GB de spațiu pe disc sau mai mult, CPU decent):
    
    • Ai putea merge pe rutele Tails, Whonix.
  • Este nou și are specificații excelente (mai mult de 8GB de RAM, >250GB de spațiu pe disc, CPU rapid recent):
    
    • Puteți opta pentru orice rută, dar aș recomanda sistemul de operare Qubes dacă modelul de amenințare vi-l permite.
  • Dacă este un Mac M1 bazat pe ARM:
    
    • Nu este posibil în prezent din aceste motive:
      
      • Virtualizarea imaginilor x86 pe Mac-urile ARM M1 este încă limitată la software-ul comercial (Parallels) care nu este încă acceptat de Whonix.
      • Virtualbox nu este încă disponibil pentru arhitectura ARM.
      • Whonix nu este încă acceptat pe arhitectura ARM.
      • Tails nu este încă acceptat pe arhitectura ARM.
      • Qubes OS nu este încă acceptat pe arhitectura ARM.

Singura opțiune pe Mac-urile M1 este probabil să rămâneți cu Tor Browses pentru moment. Dar cred că, dacă vă permiteți un Mac M1, ar trebui probabil să vă cumpărați un laptop x86 dedicat pentru activități mai sensibile.

 

[HEISENBERG]

Competențe.

• Nu aveți niciun fel de competențe IT, conținutul acestui ghid vi se pare o limbă străină?
  
  • Ar trebui să urmați traseul Pajură (cu excepția secțiunii de negare plauzibilă persistentă).
• Aveți unele competențe IT și înțelegeți în mare parte acest ghid până acum
  
  • Ar trebui să alegi rutele Tails (inclusiv secțiunea de negare plauzibilă persistentă) sau Whonix.
• Aveți competențe IT moderate până la ridicate și sunteți deja familiarizat cu o parte din conținutul acestui ghid
  
  • Ați putea alege orice, dar vă recomand cu tărie Qubes OS.
• Sunteți un hacker l33T, "nu există nicio lingură", "tortul este o minciună", utilizați "doas" de ani de zile și "toată baza dvs. ne aparține" și aveți opinii ferme cu privire la systemd.
  
  • Acest ghid nu este cu adevărat destinat pentru dvs. și nu vă va ajuta cu HardenedBSD pe laptopul dvs. Hardened Libreboot ;-)

 

[HEISENBERG]

Adversari (amenințări).

• Dacă principala dvs. preocupare este examinarea criminalistică a dispozitivelor dvs:
  
  • Ar trebui să mergeți pe ruta Tails (cu negare plauzibilă persistentă opțională).
• Dacă principalele dvs. preocupări sunt adversarii aflați la distanță care v-ar putea descoperi identitatea online pe diverse platforme:
  
  • Ați putea alege rutele Whonix sau Qubes OS.
  • De asemenea, ați putea opta pentru Tails (cu negare plauzibilă persistentă opțională).
• Dacă doriți neapărat o negare plauzibilă la nivelul întregului sistem, în ciuda riscurilor:
  
  • Ați putea alege ruta Tails, inclusiv secțiunea de negare plauzibilă persistentă.
  • Puteți alege ruta Whonix (numai pe sistemul de operare gazdă Windows în cadrul acestui ghid).
• Dacă vă aflați într-un mediu ostil în care utilizarea Tor/VPN singură este imposibilă/periculoasă/suspectă:
  
  • Puteți alege ruta Tails (fără a utiliza Tor).
  • Puteți alege ruta Whonix sau Qubes OS (fără a utiliza de fapt Whonix).

În toate cazurile, ar trebui să citiți aceste două pagini din documentația Whonix, care vă vor oferi informații detaliate cu privire la opțiunile dvs:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

S-ar putea să vă întrebați: "De unde știu dacă mă aflu într-un mediu online ostil în care activitățile sunt monitorizate și blocate în mod activ?"

• Mai întâi citiți mai multe despre asta la EFF aici: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org]
• Verificați și dumneavoastră câteva date aici, pe site-ul web OONI (Open Observatory of Network Interference) al proiectului Tor: https://explorer.ooni.org/ [Archive.org]
• Aruncați o privire la https://censoredplanet.org/ [Archive.org] și vedeți dacă au date despre țara dumneavoastră.
• Testați singuri folosind OONI (acest lucru poate fi riscant într-un mediu ostil).

 

[HEISENBERG]

Pași pentru toate rutele.

Obișnuiți-vă să utilizați parole mai bune.

Consultați apendicele A2: Orientări privind parolele și frazele de acces.

Obțineți un număr de telefon anonim.

Săriți peste acest pas dacă nu intenționați să creați conturi anonime pe majoritatea platformelor principale, ci doriți doar navigarea anonimă sau dacă platformele pe care le veți utiliza permit înregistrarea fără număr de telefon.

Telefon Burner fizic și cartelă SIM preplătită.

Obțineți un telefon de unică folosință.

Acest lucru este destul de ușor. Lăsați smartphone-ul închis sau opriți-l înainte de plecare. Luați niște bani și mergeți la o piață de vechituri sau la un magazin mic la întâmplare (în mod ideal unul fără camere de supraveghere în interior sau în exterior și evitând să fiți fotografiat/filmat) și cumpărați cel mai ieftin telefon pe care îl puteți găsi cu bani gheață și fără să furnizați nicio informație personală. Trebuie doar să fie în stare de funcționare.


Personal, v-aș recomanda să cumpărați un "dumbphone" vechi cu baterie detașabilă (Nokia vechi, dacă rețelele dvs. de telefonie mobilă încă permit conectarea acestora, deoarece unele țări au eliminat complet 1G-2G). Aceasta pentru a evita trimiterea/colectarea automată a oricăror date de telemetrie/diagnostic pe telefonul în sine. Nu trebuie să conectați niciodată telefonul la niciun Wi-Fi.


De asemenea, va fi esențial să nu porniți niciodată acel telefon de unică folosință (nici măcar fără cartela SIM) în nicio locație geografică care ar putea duce la dumneavoastră (acasă/la locul de muncă, de exemplu) și niciodată în aceeași locație cu celălalt smartphone cunoscut (deoarece acesta are un IMEI/IMSI care va duce cu ușurință la dumneavoastră). Acest lucru ar putea părea o povară mare, dar nu este, deoarece aceste telefoane sunt utilizate doar în timpul procesului de configurare/înregistrare și pentru verificare din când în când.


A se vedea apendicele N: Avertisment cu privire la smartphone-uri și dispozitive inteligente


Trebuie să testați dacă telefonul este în stare de funcționare înainte de a trece la pasul următor. Dar mă voi repeta și voi preciza din nou că este important să lăsați smartphone-ul acasă atunci când plecați (sau să îl opriți înainte de plecare dacă trebuie să îl păstrați) și să testați telefonul într-un loc aleatoriu care nu poate fi urmărit până la dumneavoastră (și din nou, nu faceți acest lucru în fața unei camere de supraveghere, evitați camerele, fiți atenți la împrejurimi). Nu este nevoie nici de Wi-Fi în acest loc.


Când sunteți sigur că telefonul este în stare de funcționare, dezactivați Bluetooth, apoi opriți-l (scoateți bateria dacă puteți) și mergeți acasă și reluați-vă activitățile normale. Treceți la pasul următor.

Obțineți o cartelă SIM preplătită anonimă.

Aceasta este cea mai dificilă parte a întregului ghid. Este un SPOF (Single Point of Failure). Locurile în care mai puteți cumpăra cartele SIM preplătite fără înregistrarea identității devin din ce în ce mai limitate din cauza diverselor reglementări de tip KYC.


Iată așadar o listă a locurilor de unde le mai puteți obține acum: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


Ar trebui să puteți găsi un loc care nu este "prea departe" și să mergeți acolo fizic pentru a cumpăra câteva cartele preplătite și vouchere de reîncărcare cu numerar. Înainte de a pleca, verificați dacă nu a fost adoptată nicio lege care ar face înregistrarea obligatorie (în cazul în care wiki-ul de mai sus nu a fost actualizat). Încercați să evitați camerele de supraveghere și să nu uitați să cumpărați un voucher de reîncărcare împreună cu cartela SIM (dacă nu este un pachet), deoarece majoritatea cartelelor preplătite necesită o reîncărcare înainte de utilizare.


A se vedea apendicele N: Avertisment privind smartphone-urile și dispozitivele inteligente


Înainte de a merge acolo, verificați de două ori dacă operatorii de telefonie mobilă care vând cartele SIM preplătite acceptă activarea și reîncărcarea SIM fără niciun fel de înregistrare a identității. În mod ideal, aceștia ar trebui să accepte activarea și reîncărcarea SIM din țara în care locuiți.


Personal, aș recomanda GiffGaff în Regatul Unit, deoarece sunt "accesibile", nu necesită identificare pentru activare și reîncărcare și vă permit chiar să vă schimbați numărul de până la 2 ori de pe site-ul lor. Prin urmare, o cartelă SIM preplătită GiffGaff vă va oferi 3 numere pe care să le utilizați în funcție de nevoile dvs.


Opriți telefonul după activare/încărcare și înainte de a pleca acasă. Nu îl mai porniți niciodată, cu excepția cazului în care nu vă aflați într-un loc care poate fi folosit pentru a vă dezvălui identitatea și cu excepția cazului în care smartphone-ul este oprit înainte de a merge în acel loc "care nu este casa dumneavoastră".

Număr de telefon online (mai puțin recomandat).

AVERTISMENT: Nu încercați acest lucru până când nu ați terminat de configurat un mediu securizat în conformitate cu una dintre rutele selectate. Acest pas va necesita acces online și ar trebui să fie făcut numai dintr-o rețea anonimă. Nu efectuați această operațiune din niciun mediu cunoscut/nesecurizat. Săriți peste această etapă până când ați terminat una dintre rute.


Există multe servicii comerciale care oferă numere pentru a primi mesaje SMS online, dar majoritatea acestora nu au practic niciun caracter anonim/privat și nu pot fi de niciun ajutor, deoarece majoritatea platformelor de socializare impun o limită cu privire la de câte ori poate fi utilizat un număr de telefon pentru înregistrare.


Există unele forumuri și subreddits (cum ar fi r/phoneverification/) în care utilizatorii vor oferi serviciul de a primi astfel de mesaje SMS pentru dvs. pentru o mică taxă (utilizând PayPal sau o altă plată cripto). Din păcate, acestea sunt pline de escroci și foarte riscante în ceea ce privește anonimatul. Nu ar trebui să le folosiți sub nicio formă.


Până în prezent, nu cunosc niciun serviciu de încredere care să ofere acest serviciu și să accepte plăți în numerar (prin poștă, de exemplu), precum unii furnizori VPN. Dar există câteva servicii care oferă numere de telefon online și acceptă Monero, care ar putea fi rezonabil de anonime (dar mai puțin recomandate decât modalitatea fizică din capitolul anterior) pe care le-ați putea lua în considerare:

• Recomandate: Nu necesită nicio identificare (nici măcar e-mail):
  
  • (cu sediul în Regatul Unit, se pare că nu este disponibil la momentul redactării prezentului document) https://dtmf.io/ [Archive.org] preferat deoarece oferă chiar și o adresă de serviciu ascunsă pentru acces direct prin rețeaua Tor la http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/
  • (cu sediul în Islanda) https://crypton.sh [Archive.org]
  • (cu sediul în Ucraina) https://virtualsim.net/ [Archive.org]
• Necesită identificare (e-mail valabil):
  
  • (cu sediul în Germania) https://www.sms77.io/ [Archive.org]
  • (cu sediul în Rusia) https://onlinesim.ru/ [Archive.org]

Există și alte posibilități enumerate aici https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Utilizați-le pe propriul risc.


DISCLAIMER: Nu pot garanta pentru niciunul dintre acești furnizori și, prin urmare, vă voi recomanda în continuare să o faceți dumneavoastră fizic. În acest caz, va trebui să vă bazați pe anonimatul Monero și nu ar trebui să utilizați niciun serviciu care necesită orice fel de identificare folosind identitatea dvs. reală. Vă rugăm să citiți acest Monero Disclaimer.


Prin urmare, IMHO, este probabil mai convenabil, mai ieftin și mai puțin riscant să obțineți o cartelă SIM preplătită de la unul dintre locurile fizice care încă le vând pe bani gheață fără a solicita înregistrarea identității. Dar cel puțin există o alternativă dacă nu aveți altă opțiune.

Obțineți o cheie USB.

Procurați-vă cel puțin una sau două chei USB generice de dimensiuni decente (cel puțin 16 GB, dar aș recomanda 32 GB).


Vă rugăm să nu cumpărați sau să nu utilizați dispozitive sofisticate de autocriptare precum acestea: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org]


Unele ar putea fi foarte eficiente, dar multe sunt gadgeturi sofisticate care nu oferă nicio protecție reală.

Găsiți locuri sigure cu Wi-Fi public decent.

Trebuie să găsiți locuri sigure în care să vă puteți desfășura activitățile sensibile folosind un Wi-Fi accesibil publicului (fără înregistrarea unui cont/ID, evitând camerele de supraveghere).


Acesta poate fi un loc care nu va fi legat de dvs. în mod direct (casă/loc de muncă) și unde puteți utiliza Wi-Fi-ul pentru o perioadă fără a fi deranjat. Dar, de asemenea, un loc unde puteți face acest lucru fără a fi "observat" de nimeni.


Dacă credeți că Starbucks este o idee bună, puteți să vă mai gândiți:

• Probabil că au camere de supraveghere în toate magazinele lor și păstrează aceste înregistrări pentru o perioadă de timp necunoscută.
• Va trebui să cumpărați o cafea pentru a obține codul de acces Wi-Fi în majoritatea. Dacă plătiți această cafea cu o metodă electronică, ei vor putea lega accesul Wi-Fi de identitatea dumneavoastră.

Conștientizarea situației este esențială și trebuie să fiți în permanență conștienți de împrejurimi și să evitați locurile turistice ca și cum ar fi fost afectate de Ebola. Vreți să evitați să apăreți pe orice fotografie/video al cuiva în timp ce cineva își face un selfie, face un videoclip TikTok sau postează o fotografie de călătorie pe Instagram. Dacă o faceți, nu uitați că sunt șanse mari ca acele imagini să ajungă online (public sau privat) cu metadatele complete atașate la ele (ora/data/geolocația) și cu fața dvs. Amintiți-vă că acestea pot fi și vor fi indexate de Facebook/Google/Yandex/Apple și probabil de toate cele 3 agenții de scrisori.


Deși acest lucru nu va fi încă disponibil ofițerilor dvs. de poliție locali, ar putea fi în viitorul apropiat.


În mod ideal, veți avea nevoie de un set de 3-5 locuri diferite de acest gen pentru a evita utilizarea aceluiași loc de două ori. Vor fi necesare mai multe călătorii pe parcursul săptămânilor pentru diferitele etape din acest ghid.


De asemenea, ați putea lua în considerare conectarea la aceste locuri de la o distanță sigură pentru o securitate sporită. Consultați apendicele Q: Utilizarea unei antene cu rază lungă de acțiune pentru a vă conecta la Wi-Fis publice de la o distanță sigură.

 

[HEISENBERG]

Traseul cozii.

Această parte a ghidului vă va ajuta în configurarea Tails dacă una dintre următoarele situații este adevărată:

• Nu vă puteți permite un laptop dedicat
• Laptopul dvs. dedicat este prea vechi și prea lent
• Aveți competențe IT foarte reduse
• Vă decideți oricum să folosiți Tails

Tails vine de la The Amnesic Incognito Live System. Este un sistem de operare live bootabil care rulează de pe o cheie USB, conceput pentru a nu lăsa urme și pentru a forța toate conexiunile prin rețeaua Tor.


Practic, introduceți cheia USB Tails în laptop, porniți de pe ea și aveți un sistem de operare complet care rulează având în vedere confidențialitatea și anonimatul. Imediat ce închideți computerul, totul va dispărea, cu excepția cazului în care l-ați salvat undeva.


Tails este o modalitate foarte ușoară de a porni în cel mai scurt timp cu ceea ce aveți și fără prea multă învățare. Are o documentație extinsă și tutoriale.


AVERTISMENT: Tails nu este întotdeauna actualizat cu software-ul inclus în pachet. De asemenea, nu este întotdeauna actualizat cu actualizările browserului Tor. Ar trebui să vă asigurați întotdeauna că utilizați cea mai recentă versiune a Tails și ar trebui să fiți extrem de precauți atunci când utilizați aplicații incluse în Tails care ar putea fi vulnerabile la exploatări și ar putea dezvălui locațiadumneavoastră265.


Cu toate acestea, are unele dezavantaje:

• Tails utilizează Tor și, prin urmare, veți utiliza Tor pentru a accesa orice resursă de pe internet. Doar acest lucru vă va face suspect pentru majoritatea platformelor pe care doriți să creați conturi anonime (acest lucru va fi explicat mai în detaliu mai târziu).
• Furnizorul dvs. de servicii Internet (fie că este al dvs. sau un Wi-Fi public) va vedea, de asemenea, că utilizați Tor și acest lucru vă poate face suspect în sine.
• Tails nu include (în mod nativ) unele dintre programele pe care ați putea dori să le utilizați mai târziu, ceea ce va complica lucrurile destul de mult dacă doriți să rulați anumite lucruri specifice (emulatoare Android, de exemplu).
• Tails utilizează browserul Tor care, deși este foarte sigur, va fi detectat și de majoritatea platformelor și vă va împiedica să creați identități anonime pe multe platforme.
• Tails nu vă va proteja mai mult de cei 5$ wrench8.
• Tor în sine s-ar putea să nu fie suficient pentru a vă proteja de un adversar cu suficiente resurse, așa cum am explicat mai devreme.

Notă importantă: Dacă laptopul dvs. este monitorizat/supravegheat și există unele restricții locale, vă rugăm să citiți Anexa U: Cum să ocoliți (unele) restricții locale pe computerele supravegheate.


De asemenea, trebuie să citiți documentația, avertismentele și limitările Tails, înainte de a merge mai departe https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


Luând în considerare toate acestea și faptul că documentația lor este excelentă, vă voi redirecționa doar către tutorialul lor bine realizat și bine întreținut:


https://tails.boum.org/install/index.en.html [Archive.org], alegeți gustul dvs. și continuați.


Când ați terminat și aveți un Tails funcțional pe laptop, mergeți la pasul Crearea identităților dvs. online anonime mult mai departe în acest ghid.


Dacă aveți probleme cu accesarea Tor din cauza cenzurii sau a altor probleme, puteți încerca să utilizați Tor Bridges urmând acest tutorial Tails: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] și găsiți mai multe informații despre acestea pe Documentația Tor https://2019.www.torproject.org/docs/bridges [Archive.org]


Dacă credeți că utilizarea exclusivă a Tor este periculoasă/suspicioasă, consultați Anexa P: Accesarea internetului în condiții cât mai sigure atunci când Tor/VPN nu este o opțiune

 

[HEISENBERG]

Deniabilitate plauzibilă persistentă utilizând Whonix în cadrul Tails.

Luați în considerare verificarea proiectului https://github.com/aforensics/HiddenVM [Archive.org] pentru Tails.


Acest proiect este o idee inteligentă de soluție VM autonomă cu un singur clic, pe care o puteți stoca pe un disc criptat utilizând deniabilitatea plauzibilă256 (consultați The Whonix route: primele capitole și, de asemenea, pentru câteva explicații despre deniabilitatea plauzibilă, precum și secțiunea How to securely delete specific files/folders/data on your HDD/SSD and Thumb drives: de la sfârșitul acestui ghid pentru o mai bună înțelegere).


Acest lucru ar permite crearea unui sistem hibrid care combină Tails cu opțiunile de virtualizare ale rutei Whonix din acest ghid.

Notă: Consultați secțiunea Alegeți metoda de conectivitate în ruta Whonix pentru mai multe explicații despre Stream Isolation


Pe scurt:

• Ați putea rula Tails non-persistente de pe o cheie USB (urmând recomandările lor)
• Ați putea stoca VM-uri persistente într-un conținut secundar care ar putea fi criptat în mod normal sau utilizând funcția de negare plauzibilă Veracrypt (acestea ar putea fi VM-uri Whonix, de exemplu, sau oricare altele).
• Beneficiați de funcția suplimentară Tor Stream Isolation (consultați Tor over VPN pentru mai multe informații despre izolarea fluxului).

În acest caz, conform proiectului, nu ar trebui să existe nicio urmă a activităților dvs. pe computer, iar activitatea sensibilă ar putea fi efectuată din VM-uri stocate într-un container ascuns care nu ar trebui să poată fi descoperit cu ușurință de un adversar ușor.


Această opțiune este deosebit de interesantă pentru a "călători ușor" și pentru a atenua atacurile criminalistice, păstrând în același timp persistența asupra muncii dvs. Aveți nevoie doar de 2 chei USB (una cu Tails și una cu un container Veracrypt care conține Whonix persistent). Prima cheie USB va părea să conțină doar Tails, iar a doua USB va părea să conțină doar gunoi aleatoriu, dar va avea un volum momeală pe care îl puteți arăta pentru o negare plauzibilă.


De asemenea, v-ați putea întreba dacă acest lucru va duce la o configurare "Tor peste Tor", dar nu va fi așa. VM-urile Whonix vor accesa rețeaua direct prin clearnet și nu prin Tails Onion Routing.


În viitor, acest lucru ar putea fi susținut și de proiectul Whonix, după cum se explică aici: https://www.whonix.org/wiki/Whonix-Host [Archive.org], dar nu este încă recomandat utilizatorilor finali.


Amintiți-vă că criptarea, cu sau fără negare plauzibilă, nu este un glonț de argint și nu va fi de mare folos în caz de tortură. De fapt, în funcție de cine ar fi adversarul dvs. (modelul dvs. de amenințare), ar putea fi înțelept să nu utilizați deloc Veracrypt (fostul TrueCrypt), așa cum se arată în această demonstrație: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Negarea plauzibilă este eficientă numai împotriva adversarilor legali care nu vor recurge la mijloace fizice.


A se vedea https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]


ATENȚIE: Vă rugăm să consultați Apendicele K: Considerații privind utilizarea unităților SSD externe și secțiunile Înțelegerea secțiunilor HDD vs SSD dacă aveți în vedere stocarea unor astfel de VM-uri ascunse pe o unitate SSD externă:

• Nu utilizați volume ascunse pe unități SSD deoarece acest lucru nu este acceptat/recomandat de Veracrypt.
• Utilizați în schimb containere de fișiere în locul volumelor criptate.
• Asigurați-vă că știți cum să curățați corect datele de pe o unitate SSD externă.

Aici este ghidul meu despre cum să realizați acest lucru:

Prima execuție.

• Descărcați cea mai recentă versiune HiddenVM de la https://github.com/aforensics/HiddenVM/releases [Archive.org]
• Descărcați cea mai recentă versiune Whonix XFCE de la https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
• Pregătiți o cheie/unitate USB cu Veracrypt
  
  • Creați un volum ascuns pe unitatea USB/cheie (aș recomanda cel puțin 16 GB pentru volumul ascuns)
  • În volumul exterior, plasați câteva fișiere momeală
  • În volumul ascuns, plasați fișierul appimage HiddenVM
  • În volumul ascuns, plasați fișierul Whonix XFCE ova
• Porniți în Tails
• Configurați aspectul tastaturii după cum doriți.
• Selectați Additional Settings și setați o parolă de administrator (root) (necesară pentru instalarea HiddenVM)
• Porniți Tails
• Conectați-vă la un wi-fi sigur (acesta este un pas necesar pentru ca restul să funcționeze)
• Intrați în Utilities și deblocați volumul Veracrypt (ascuns) (nu uitați să bifați caseta de selectare a volumului ascuns)
• Lansați imaginea aplicației HiddenVM
• Când vi se solicită să selectați un dosar, selectați rădăcina volumului ascuns (unde se află fișierele Whonix OVA și HiddenVM app image).
• Lăsați-l să își facă treaba (acest lucru va instala practic Virtualbox în Tails cu un singur clic)
• Când se termină, ar trebui să pornească automat Virtualbox Manager.
• Importați fișierele Whonix OVA (consultați Mașini virtuale Whonix:)

Atenție, dacă în timpul importului întâmpinați probleme precum "NS_ERROR_INVALID_ARG (0x80070057)", acest lucru se datorează probabil faptului că nu există suficient spațiu pe disc pe volumul dvs. ascuns pentru Whonix. Chiar și Whonix recomandă 32 GB de spațiu liber, dar probabil că nu este necesar și 10 GB ar trebui să fie suficienți pentru început. Puteți încerca să evitați această eroare redenumind fișierul Whonix *.OVA în *.TAR și decomprimându-l în Tails. După ce ați terminat cu decompresia, ștergeți fișierul OVA și importați celelalte fișiere cu expertul Import. De data aceasta s-ar putea să funcționeze.

Run-uri ulterioare.

• Porniți în Tails
• Conectați-vă la Wi-Fi
• Deblocați volumul ascuns
• Lansați aplicația HiddenVM
• Aceasta ar trebui să deschidă automat managerul VirtualBox și să afișeze VM-urile anterioare de la prima rulare

 

[HEISENBERG]

Pași pentru toate celelalte rute.

Obțineți un laptop dedicat pentru activitățile dvs. sensibile.

În mod ideal, ar trebui să obțineți un laptop dedicat care să nu vă fie legat în niciun fel ușor (în mod ideal, plătit cu numerar în mod anonim și folosind aceleași precauții menționate anterior pentru telefon și cartela SIM). Este recomandat, dar nu obligatoriu, deoarece acest ghid vă va ajuta să vă întăriți laptopul cât mai mult posibil pentru a preveni scurgerile de date prin diverse mijloace. Între identitățile dvs. online și dvs. vor exista mai multe linii de apărare care ar trebui să împiedice majoritatea adversarilor să vă de-anonimizeze, în afară de actorii statali/globali cu resurse considerabile.


În mod ideal, acest laptop ar trebui să fie un laptop curat, proaspăt instalat (care rulează Windows, Linux sau MacOS), fără activități zilnice obișnuite și offline (nu a fost încă conectat la rețea). În cazul unui laptop cu Windows, și dacă l-ați folosit înainte de o astfel de instalare curată, acesta nu ar trebui, de asemenea, să fie activat (reinstalat fără o cheie de produs). În special în cazul MacBook-urilor, acesta nu ar trebui să fi fost legat de identitatea dvs. înainte în niciun fel. Așadar, cumpărați la mâna a doua cu bani gheață de la un străin necunoscut care nu vă cunoaște identitatea


Acest lucru este pentru a atenua unele probleme viitoare în cazul scurgerilor online (inclusiv telemetria din sistemul de operare sau aplicațiile dvs.) care ar putea compromite orice identificatori unici ai laptopului în timpul utilizării acestuia (adresa MAC, adresa Bluetooth și cheia de produs ...). Dar, de asemenea, pentru a evita să fiți urmărit în cazul în care trebuie să vă debarasați de laptop.


Dacă ați mai utilizat acest laptop în scopuri diferite (cum ar fi activitățile dvs. zilnice), toți identificatorii hardware ai acestuia sunt probabil cunoscuți și înregistrați de Microsoft sau Apple. Dacă, ulterior, oricare dintre aceste identificatoare este compromis (prin malware, telemetrie, exploatări, erori umane ...), acestea ar putea duce la dumneavoastră.


Laptopul trebuie să aibă cel puțin 250 GB de spațiu pe disc , cel puțin 6 GB (ideal 8 GB sau 16 GB) de memorie RAM și trebuie să poată rula câteva mașini virtuale în același timp. Ar trebui să aibă o baterie funcțională care să dureze câteva ore.


Acest laptop ar putea avea un HDD (7200rpm) sau o unitate SSD/NVMe. Ambele posibilități au avantajele și problemele lor, care vor fi detaliate ulterior.


În mod ideal, toți pașii online efectuați în viitor cu acest laptop ar trebui să se facă dintr-o rețea sigură, cum ar fi un Wi-Fi public într-un loc sigur (a se vedea Găsiți câteva locuri sigure cu Wi-Fi public decent). Dar mai mulți pași vor trebui să fie făcuți mai întâi offline.

 

[HEISENBERG]

Câteva recomandări privind laptopurile.

Dacă vă puteți permite, ați putea lua în considerare achiziționarea unui laptop Purism Librem(https://puri.sm [Archive.org]) sau a laptopurilor System76(https://system76.com/ [Archive.org]) în timp ce utilizați Coreboot (în care Intel IME este dezactivat din fabrică).


În alte cazuri, aș recomanda cu tărie să achiziționați laptopuri de tip Business grade (adică nu laptopuri de tip consumer/gaming grade) dacă puteți. De exemplu, unele ThinkPad de la Lenovo (preferatul meu personal). Aici sunt liste de laptopuri care suportă în prezent Libreboot și altele în care puteți flash Coreboot singur (care vă va permite să dezactivați Intel IME sau AMD PSP):

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

Acest lucru se datorează faptului că aceste laptopuri de afaceri oferă, de obicei, caracteristici de securitate mai bune și mai personalizabile (în special în setările BIOS/UEFI) cu suport mai lung decât majoritatea laptopurilor de consum (Asus, MSI, Gigabyte, Acer...). Caracteristicile interesante pe care trebuie să le căutați sunt IMHO:

• Setări Secure Boot personalizate mai bune (în care puteți gestiona selectiv toate cheile și nu doar să le utilizați pe cele standard)
• Parole pentru HDD/SSD în plus față de parolele BIOS/UEFI.
• Laptopurile AMD ar putea fi mai interesante, deoarece unele oferă posibilitatea de a dezactiva implicit AMD PSP (echivalentul AMD al Intel IME) din setările BIOS/UEFI. Și, pentru că AFAIK, AMD PSP a fost auditat și, spre deosebire de IME, nu s-a constatat că ar avea vreo funcționalitate "malefică". Cu toate acestea, dacă optați pentru sistemul de operare Qubes OS Route luați în considerare Intel, deoarece nu sprijină AMD cu sistemul lor anti-diavol.
• Instrumente Secure Wipe din BIOS (utile în special pentru unitățile SSD/NVMe, a se vedea apendicele M: opțiuni BIOS/UEFI pentru ștergerea discurilor în diferite mărci).
• Un control mai bun asupra dezactivării/activării anumitor periferice (porturi USB, Wi-Fis, Bluetooth, cameră foto, microfon ...).
• Caracteristici de securitate mai bune cu virtualizarea.
• Protecții native împotriva falsificării.
• Suport mai lung cu actualizările BIOS/UEFI (și actualizările ulterioare de securitate BIOS/UEFI).
• Unele sunt acceptate de Libreboot

 

[HEISENBERG]

Setările Bios/UEFI/Firmware ale laptopului dvs.

PC.

Aceste setări pot fi accesate prin meniul de pornire al laptopului. Iată un tutorial bun de la HP care explică toate modalitățile de accesare a BIOS-ului pe diverse computere: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org]


De obicei, modul de accesare este apăsarea unei anumite taste (F1, F2 sau Del) la pornire (înainte de sistemul de operare).


Odată ce ați intrat acolo, va trebui să aplicați câteva setări recomandate:

• Dezactivați complet Bluetooth dacă puteți.
• Dezactivați elementele biometrice (scanere de amprente) dacă aveți, dacă puteți. Cu toate acestea, ați putea adăuga o verificare biometrică suplimentară doar pentru bootare (pre-boot), dar nu și pentru accesarea setărilor BIOS/UEFI.
• Dezactivați camera web și microfonul, dacă puteți.
• Activați parola BIOS/UEFI și utilizați o frază de acces lungă în locul unei parole (dacă puteți) și asigurați-vă că această parolă este obligatorie pentru:
  
  • Accesarea setărilor BIOS/UEFI în sine
  • Schimbarea ordinii de pornire
  • pornirea/pornirea dispozitivului
• Activați parola HDD/SSD dacă funcția este disponibilă. Această caracteristică va adăuga o altă parolă pe HDD/SSD în sine (nu în firmware-ul BIOS/UEFI) care va împiedica utilizarea acestui HDD/SSD într-un alt computer fără parolă. Rețineți că această caracteristică este, de asemenea, specifică anumitor producători și ar putea necesita un software specific pentru a debloca acest disc de pe un computer complet diferit.
• Preveniți accesul la opțiunile de pornire (ordinea de pornire) fără a furniza parola BIOS/UEFI, dacă puteți.
• Dezactivați USB/HDMI sau orice alt port (Ethernet, Firewire, card SD ...) dacă este posibil.
• Dezactivați Intel ME dacă puteți.
• Dezactivați AMD PSP dacă puteți (echivalentul AMD pentru IME, consultați CPU)
• Dezactivați Secure Boot dacă intenționați să utilizați QubesOS, deoarece acesta nu îl acceptă din fabrică. Țineți-l activat dacă intenționați să utilizați Linux/Windows.
• Verificați dacă BIOS-ul laptopului dvs. are o opțiune de ștergere securizată pentru HDD/SSD care ar putea fi convenabilă în caz de nevoie.

Activați-le numai în caz de "necesitate" și dezactivați-le din nou după utilizare. Acest lucru poate ajuta la atenuarea unor atacuri în cazul în care laptopul dvs. este confiscat în timp ce este blocat, dar încă pornit SAU dacă a trebuit să îl închideți destul de repede și cineva a intrat în posesia sa (acest subiect va fi explicat mai târziu în acest ghid).

Despre Secure Boot.

Deci, ce este Secure Boot Pe scurt, este o caracteristică de securitate UEFI concepută pentru a împiedica computerul să pornească un sistem de operare al cărui bootloader nu a fost semnat prin chei specifice stocate în firmware-ul UEFI al laptopului.


Practic, atunci când sistemul de operare (sau încărcătorul de boot) îl acceptă, puteți stoca cheile încărcătorului de boot în firmware-ul UEFI și acest lucru va împiedica pornirea oricărui sistem de operare neautorizat (cum ar fi un USB cu sistem de operare live sau ceva similar).


Setările Secure Boot sunt protejate de parola pe care o configurați pentru a accesa setările BIOS/UEFI. Dacă aveți parola respectivă, puteți dezactiva Secure Boot și permite sistemelor de operare nesemnalizate să pornească pe sistemul dvs. Acest lucru poate ajuta la atenuarea unor atacuri Evil-Maid (explicate mai târziu în acest ghid).


În majoritatea cazurilor, Secure Boot este dezactivat în mod implicit sau este activat, dar în modul "configurare", ceea ce va permite oricărui sistem să pornească. Pentru ca Secure Boot să funcționeze, sistemul dvs. de operare trebuie să îl suporte și apoi să își semneze bootloader-ul și să transmită aceste chei de semnare către firmware-ul UEFI. După aceea, va trebui să accesați setările BIOS/UEFI și să salvați aceste chei de la sistemul de operare și să schimbați Secure Boot din modul de configurare în modul utilizator (sau modul personalizat în unele cazuri).


După efectuarea acestui pas, numai sistemele de operare din care firmware-ul UEFI poate verifica integritatea bootloader-ului vor putea porni.


Majoritatea laptopurilor vor avea unele chei implicite deja stocate în setările de boot securizat. De obicei, cele de la producătorul însuși sau de la unele companii cum ar fi Microsoft. Deci, acest lucru înseamnă că, în mod implicit, va fi întotdeauna posibil să bootăm unele discuri USB chiar și cu secure boot. Acestea includ Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla și multe altele. Secure Boot nu este însă acceptat deloc de QubesOS în acest moment.


În unele laptopuri, puteți gestiona aceste chei și să le eliminați pe cele pe care nu le doriți cu un "mod personalizat" pentru a vă autoriza doar propriul bootloader pe care l-ați putea semna singur dacă doriți cu adevărat.


Așadar, de ce vă protejează Secure Boot? Vă va proteja laptopul de pornirea unor bootloaderi nesemnați (de către furnizorul de sistem de operare) cu, de exemplu, malware injectat.


De ce nu vă protejează Secure Boot?

• Secure Boot nu criptează discul, iar un adversar poate, în continuare, să scoată discul din laptop și să extragă date de pe el folosind un alt aparat. Prin urmare, Secure Boot este inutilă fără criptarea completă a discului.
• Secure Boot nu vă protejează de un bootloader semnat care ar fi compromis și semnat chiar de producător (Microsoft, de exemplu, în cazul Windows). Majoritatea distribuțiilor Linux obișnuite sunt semnate în prezent și vor porni cu Secure Boot activat.
• Secure Boot poate avea defecte și exploatări ca orice alt sistem. Dacă utilizați un laptop vechi care nu beneficiază de noile actualizări BIOS/UEFI, acestea pot fi lăsate nerezolvate.

În plus, există un număr de atacuri care ar putea fi posibile împotriva Secure Boot, după cum se explică (în detaliu) în aceste videoclipuri tehnice:

• Defcon 22,
  [Invidios]
• BlackHat 2016,
  [Invidios]

Deci, poate fi utilă ca măsură suplimentară împotriva anumitor adversari, dar nu împotriva tuturor. Secure Boot în sine nu criptează hard disk-ul. Este un strat suplimentar, dar asta este tot.


Vă recomand totuși să îl păstrați activat dacă puteți.

Mac.

Luați-vă un moment pentru a seta o parolă de firmware în conformitate cu tutorialul de aici: https://support.apple.com/en-au/HT204455 [Archive.org]


De asemenea, trebuie să activați protecția de resetare a parolei firmware-ului (disponibilă de la Catalina) conform documentației de aici: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Această caracteristică va reduce posibilitatea unor adversari de a utiliza hack-uri hardware pentru a dezactiva/abuza parola firmware-ului. Rețineți că acest lucru va împiedica și Apple să acceseze firmware-ul în caz de reparație.

 

[HEISENBERG]

Protejați-vă fizic laptopul.

La un moment dat, inevitabil veți lăsa laptopul singur undeva. Nu veți dormi cu el și nu îl veți lua peste tot în fiecare zi. Ar trebui să faceți în așa fel încât să fie cât mai greu pentru oricine să îl manipuleze fără ca dvs. să observați. Acest lucru este util mai ales împotriva unor adversari limitați care nu vor folosi o cheie de 5$ împotriva ta.


Este important de știut că este foarte ușor pentru unii specialiști să instaleze un înregistrator de taste în laptopul dvs. sau pur și simplu să facă o copie clonată a hard disk-ului dvs. care le-ar putea permite ulterior să detecteze prezența datelor criptate în acesta folosind tehnici criminalistice (mai multe despre asta mai târziu).


Iată o metodă bună și ieftină de a vă face laptopul inviolabil folosind lac de unghii (cu sclipici) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (cu imagini).


Deși aceasta este o metodă bună și ieftină, ar putea, de asemenea, să ridice suspiciuni, deoarece este destul de "vizibilă" și ar putea dezvălui că "aveți ceva de ascuns". Așadar, există modalități mai subtile de a obține același rezultat. De exemplu, ați putea, de asemenea, să faceți o fotografie macro de aproape a șuruburilor din spate ale laptopului sau să folosiți o cantitate foarte mică de ceară de lumânare în interiorul unuia dintre șuruburi, care ar putea arăta doar ca murdăria obișnuită. Ați putea apoi să verificați dacă au fost falsificate comparând fotografiile șuruburilor cu cele noi. Orientarea acestora s-ar fi putut schimba puțin dacă adversarul dvs. nu a fost suficient de atent (strângându-le exact la fel ca înainte). Sau ceara din partea de jos a capului unui șurub ar fi putut fi deteriorată în comparație cu înainte.

Aceleași tehnici pot fi utilizate și în cazul porturilor USB, unde ați putea pune doar o cantitate infimă de ceară de lumânare în interiorul mufei care ar fi deteriorată prin introducerea unei chei USB în ea.


În mediile mai riscante, verificați dacă laptopul dvs. a fost sabotat înainte de a-l utiliza în mod regulat.

 

[HEISENBERG]

Ruta Whonix.

Alegerea sistemului de operare gazdă (sistemul de operare instalat pe laptop).

Această rută va utiliza pe scară largă mașinile virtuale, care vor necesita un sistem de operare gazdă pentru a rula software-ul de virtualizare. Aveți 3 opțiuni recomandate în această parte a ghidului:

• Distribuția Linux aleasă de dvs. (cu excepția sistemului de operare Qubes)
• Windows 10 (de preferință ediția Home din cauza absenței Bitlocker)
• MacOS (Catalina sau superior)

În plus, sunt mari șansele ca Mac-ul dvs. să fie sau să fi fost legat de un cont Apple (în momentul achiziționării sau după autentificare) și, prin urmare, identificatorii săi hardware unici ar putea duce la dvs. în cazul unei scurgeri de identificatori hardware.


De asemenea, Linux nu este neapărat cea mai bună alegere pentru anonimat, în funcție de modelul dumneavoastră de amenințare. Acest lucru se datorează faptului că utilizarea Windows ne va permite să folosim în mod convenabil Plausible Deniability (aka Deniable Encryption) cu ușurință la nivelul sistemului de operare. Windows este, de asemenea, din păcate, în același timp, un coșmar în materie de confidențialitate, dar este singura opțiune (convenabilă) pentru utilizarea negării plauzibile la nivelul sistemului de operare. Telemetria Windows și blocarea telemetriei sunt, de asemenea, documentate pe scară largă, ceea ce ar trebui să atenueze multe probleme.


Deci, ce este negarea plauzibilă? Este capacitatea de a coopera cu un adversar care solicită acces la dispozitivul/datele dvs. fără a vă dezvălui adevăratul secret. Toate acestea folosind criptarea negabilă.


Un adversar legal ar putea să vă ceară parola criptată a laptopului. La început ați putea refuza să furnizați orice parolă (folosindu-vă de "dreptul de a păstra tăcerea", "dreptul de a nu vă incrimina"), însă unele țări implementează legi care exceptează acest lucru de la aceste drepturi (din cauza teroriștilor și a "gândiți-vă la copii"). În acest caz, s-ar putea să trebuiască să dezvăluiți parola sau poate să faceți închisoare pentru sfidarea instanței. Aici va intra în joc negarea plauzibilă.


În acest caz, ați putea dezvălui o parolă, dar acea parolă va da acces doar la "date plauzibile" (un sistem de operare momeală). Criminaliștii vor fi conștienți de faptul că este posibil să fi ascuns date, dar nu ar trebui să poată dovedi acest lucru (dacă faceți acest lucru corect). Veți fi cooperat, iar investigatorii vor avea acces la ceva, dar nu la ceea ce doriți de fapt să ascundeți. Întrucât sarcina probei ar trebui să le revină lor, nu vor avea de ales decât să vă creadă, cu excepția cazului în care au o dovadă că aveți date ascunse.


Această caracteristică poate fi utilizată la nivelul sistemului de operare (un sistem de operare plauzibil și un sistem de operare ascuns) sau la nivelul fișierelor, unde veți avea un container de fișiere criptate (similar unui fișier zip) în care vor fi afișate fișiere diferite în funcție de parola de criptare utilizată.


Acest lucru înseamnă, de asemenea, că puteți să vă creați propria configurație avansată de "negare plauzibilă" utilizând orice sistem de operare gazdă prin stocarea, de exemplu, a mașinilor virtuale într-un container de volum ascuns Veracrypt (atenție la urmele din sistemul de operare gazdă care ar trebui curățate dacă sistemul de operare gazdă este persistent, a se vedea secțiunea " Unele măsuri suplimentare împotriva expertizei criminalistice " mai târziu). Există un proiect pentru a realiza acest lucru în cadrul Tails(https://github.com/aforensics/HiddenVM [Archive.org]) care ar face ca sistemul de operare gazdă să nu fie persistent și ar utiliza deniabilitatea plauzibilă în cadrul Tails.


În cazul Windows, negarea plauzibilă este, de asemenea, motivul pentru care ar fi ideal să aveți Windows 10 Home (și nu Pro). Acest lucru se datorează faptului că Windows 10 Pro oferă în mod nativ un sistem de criptare a întregului disc (Bitlocker), în timp ce Windows 10 Home nu oferă deloc criptare a întregului disc. Vom utiliza ulterior un software open-source terț pentru criptare care va permite criptarea completă a discului pe Windows 10 Home. Acest lucru vă va oferi o scuză bună (plauzibilă) pentru a utiliza acest software. În timp ce utilizarea acestui software pe Windows 10 Pro ar fi suspectă.


Notă despre Linux: Deci, cum rămâne cu Linux și negarea plauzibilă? Da, este oarecum posibil să obțineți o negare plauzibilă și cu Linux. Dar este complicat de configurat și IMHO necesită un nivel de calificare suficient de ridicat încât probabil că nu aveți nevoie de acest ghid pentru a vă ajuta să încercați.


Din păcate, criptarea nu este magică și există unele riscuri implicate:

Amenințări cu criptarea.

Cheia de 5$.

Amintiți-vă că criptarea, cu sau fără negare plauzibilă, nu este un glonț de argint și nu va fi de mare folos în caz de tortură. De fapt, în funcție de cine ar fi adversarul dvs. (modelul dvs. de amenințare), ar putea fi înțelept să nu utilizați deloc Veracrypt (fostul TrueCrypt), așa cum se arată în această demonstrație: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Negarea plauzibilă este eficientă numai împotriva adversarilor legali care nu vor recurge la mijloace fizice. Evitați, dacă este posibil, utilizarea unui software capabil de negare plauzibilă (cum ar fi Veracrypt) dacă modelul dumneavoastră de amenințare include adversari duri. Astfel, utilizatorii Windows ar trebui în acest caz să instaleze Windows Pro ca sistem de operare gazdă și să utilizeze în schimb Bitlocker.


A se vedea https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

Atacul Evil-Maid.

Atacurile Evil Maid sunt efectuate atunci când cineva umblă la laptopul dvs. în timp ce sunteți plecat. Pentru a instala să vă cloneze hard disk-ul, instalați malware sau un key logger. Dacă vă pot clona hard disk-ul, pot compara o imagine a hard disk-ului în momentul în care l-au luat în timp ce erați plecat cu hard disk-ul în momentul în care vi-l confiscă. Dacă ați folosit din nou laptopul între timp, criminaliștii ar putea dovedi existența datelor ascunse observând variațiile dintre cele două imagini în ceea ce ar trebui să fie un spațiu gol/neutilizat. Acest lucru ar putea conduce la dovezi solide ale existenței unor date ascunse. În cazul în care instalează un înregistrator de taste sau un malware în laptopul dumneavoastră (software sau hardware), aceștia vor putea obține pur și simplu parola de la dumneavoastră pentru a o utiliza ulterior, atunci când îl vor confisca. Astfel de atacuri pot fi efectuate acasă, la hotel, la un punct de trecere a frontierei sau oriunde vă lăsați dispozitivele nesupravegheate.


Puteți atenua acest atac făcând următoarele (așa cum am recomandat anterior):

• Dispuneți de o protecție de bază împotriva manipulării (așa cum am explicat anterior) pentru a preveni accesul fizic la componentele interne ale laptopului fără știrea dumneavoastră. Acest lucru îi va împiedica să vă cloneze discurile și să instaleze un înregistrator de taste fizic fără știrea dumneavoastră.
• Dezactivați toate porturile USB (după cum s-a explicat anterior) în cadrul unui BIOS/UEFI protejat prin parolă. Din nou, aceștia nu vor putea să le pornească (fără a accesa fizic placa de bază pentru a reseta BIOS-ul) pentru a porni un dispozitiv USB care ar putea să vă cloneze hard disk-ul sau să instaleze un malware bazat pe software care ar putea acționa ca un key logger.
• Configurați parole BIOS/UEFI/Firmware pentru a preveni orice pornire neautorizată a unui dispozitiv neautorizat.
• Unele sisteme de operare și software de criptare au protecție anti-EvilMaid care poate fi activată. Acesta este cazul Windows/Veracrypt și QubeOS.

Atac Cold-Boot.

Atacurile Cold Boot sunt mai dificile decât atacul Evil Maid, dar pot face parte dintr-un atac Evil Maid, deoarece necesită ca un adversar să intre în posesia laptopului dumneavoastră în timp ce utilizați activ dispozitivul sau la scurt timp după aceea.


Ideea este destul de simplă, după cum se arată în acest videoclip, un adversar ar putea, teoretic, să vă pornească rapid dispozitivul cu o cheie USB specială care ar copia conținutul RAM (memoria) dispozitivului după ce l-ați oprit. Dacă porturile USB sunt dezactivate sau dacă simte că are nevoie de mai mult timp, ar putea să-l deschidă și să "răcească" memoria folosind un spray sau alte substanțe chimice (azot lichid, de exemplu), împiedicând memoria să se descompună. Apoi ar putea copia conținutul acesteia pentru a-l analiza. Această descărcare de memorie ar putea conține cheia pentru decriptarea dispozitivului dumneavoastră. Vom aplica ulterior câteva principii pentru a atenua aceste riscuri.


În cazul Plausible Deniability, au existat unele studii criminalistice cu privire la dovedirea tehnică a prezenței datelor ascunse printr-o simplă examinare criminalistică (fără un atac de tip Cold Boot/Evil Maid), însă acestea au fost contestate de alte studii și de deținătorul Veracrypt, așa că nu mi-aș face încă prea multe griji cu privire la acestea.


Aceleași măsuri utilizate pentru atenuarea atacurilor Evil Maid ar trebui să fie aplicate și în cazul atacurilor Cold Boot, cu unele în plus:

• Dacă sistemul de operare sau software-ul de criptare permite acest lucru, ar trebui să luați în considerare criptarea cheilor și în RAM (acest lucru este posibil cu Windows/Veracrypt și va fi explicat mai târziu)
• Ar trebui să limitați utilizarea Sleep stand-by și să utilizați în schimb Shutdown sau Hibernate pentru a preveni rămânerea cheilor de criptare în RAM atunci când computerul intră în sleep. Acest lucru se datorează faptului că starea de repaus va menține alimentarea memoriei pentru reluarea activității mai rapid. Numai hibernarea și închiderea vor șterge efectiv cheia din memorie.

Consultați și https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] și https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org]


Aici sunt, de asemenea, câteva instrumente interesante de luat în considerare pentru utilizatorii Linux pentru a se apăra împotriva acestora:

• https://github.com/0xPoly/Centry [Archive.org] (din păcate, se pare că nu este întreținut, așa că am făcut o bifurcare și o actualizare a cererii de tragere pentru Veracrypt https://github.com/AnonymousPlanet/Centry [Archive.org] care ar trebui să funcționeze în continuare)
• https://github.com/hephaest0s/usbkill [Archive.org] (din păcate, se pare că nu este întreținut)
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (sistem de operare Qubes, numai CPU Intel) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

Despre Sleep, Hibernation și Shutdown.

Dacă doriți o securitate mai bună, ar trebui să închideți complet laptopul de fiecare dată când îl lăsați nesupravegheat sau când închideți capacul. Acest lucru ar trebui să curețe și/sau să elibereze memoria RAM și să ofere atenuări împotriva atacurilor de pornire la rece. Cu toate acestea, acest lucru poate fi un pic incomod, deoarece va trebui să reporniți complet și să introduceți o mulțime de parole în diverse aplicații. Reporniți diverse VM-uri și alte aplicații. Deci, în schimb, ați putea utiliza și hibernarea (nu este acceptată pe Qubes OS). Deoarece întregul disc este criptat, hibernarea în sine nu ar trebui să reprezinte un risc mare de securitate, dar vă va opri totuși laptopul și va goli memoria, permițându-vă în același timp să vă reluați în mod convenabil activitatea după aceea. Ceea ce nu ar trebui să faceți niciodată este să utilizați funcția standard de sleep, care va menține computerul pornit și memoria alimentată. Acesta este un vector de atac împotriva atacurilor evil-maid și cold-boot discutate anterior. Acest lucru se datorează faptului că memoria pornită deține cheile de criptare ale discului (criptat sau nu) și ar putea fi accesată de un adversar abil.


Acest ghid va oferi ulterior îndrumări cu privire la modul de activare a hibernării pe diferite sisteme de operare gazdă (cu excepția sistemului de operare Qubes) dacă nu doriți să vă opriți de fiecare dată.

Scurgerile de date locale (urme) și examinarea criminalistică.

După cum am menționat pe scurt mai devreme, acestea sunt scurgeri de date și urme de la sistemul de operare și aplicații atunci când efectuați orice activitate pe computer. Acestea se aplică mai ales containerelor de fișiere criptate (cu sau fără negare plauzibilă) decât criptării la nivelul întregului sistem de operare. Astfel de scurgeri sunt mai puțin "importante" dacă întregul sistem de operare este criptat (dacă nu sunteți obligat să dezvăluiți parola).


Să presupunem, de exemplu, că aveți o cheie USB criptată cu Veracrypt, cu posibilitatea de negare plauzibilă activată. În funcție de parola pe care o utilizați la montarea cheii USB, aceasta va deschide un folder momeală sau folderul sensibil. În cadrul acestor foldere, veți avea documente/date false în folderul fals și documente/date sensibile în folderul sensibil.


În toate cazurile, veți deschide (cel mai probabil) aceste foldere cu Windows Explorer, MacOS Finder sau orice alt utilitar și veți face ceea ce ați planificat să faceți. Poate că veți edita un document din folderul sensibil. Poate că veți căuta un document în cadrul folderului. Poate că veți șterge unul sau veți viziona un videoclip sensibil utilizând VLC.


Ei bine, toate aceste aplicații și sistemul dvs. de operare ar putea păstra jurnale și urme ale acestei utilizări. Acestea ar putea include calea completă a folderului/fișierelor/unităților, ora la care acestea au fost accesate, memoria cache temporară a fișierelor respective, listele "recente" din fiecare aplicație, sistemul de indexare a fișierelor care ar putea indexa unitatea și chiar miniaturi care ar putea fi generate


Iată câteva exemple de astfel de scurgeri:

Windows.

• Windows ShellBags care sunt stocate în Registrul Windows stocând în tăcere diverse istorii ale volumelor/fișierelor/dosarelor accesate.
• Indexarea Windows care păstrează în mod implicit urme ale fișierelor prezente în folderul de utilizator.
• Listele recente (aka Jump Lists) din Windows și diverse aplicații care păstrează urme ale documentelor accesate recent.
• Multe alte urme în diverse jurnale, vă rugăm să consultați acest poster interesant pentru mai multe informații: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.

• Gatekeeper290 și XProtect țin evidența istoricului descărcărilor într-o bază de date locală și a atributelor fișierelor.
• Indexarea Spotlight
• Liste recente în diverse aplicații care păstrează urmele documentelor accesate recent.
• Dosarele temporare păstrează diverse urme ale utilizării aplicațiilor și ale utilizării documentelor.
• Jurnale MacOS
• ...

Linux.

• Indexare Tracker
• Istoric Bash
• Jurnale USB
• Liste recente în diverse aplicații care păstrează urme ale documentelor accesate recent.
• Jurnale Linux
• ...

Criminaliștii ar putea utiliza toate aceste scurgeri (a se vedea Scurgeri de date locale și criminalistică) pentru a dovedi existența datelor ascunse și pentru a vă înfrânge încercările de a folosi negarea plauzibilă și de a afla despre diferitele dvs. activități sensibile.


Prin urmare, va fi important să aplicați diverse măsuri pentru a împiedica criminaliștii să facă acest lucru prin prevenirea și curățarea acestor scurgeri/urme și, mai important, prin utilizarea criptării întregului disc, a virtualizării și a compartimentării.


Criminaliștii nu pot extrage scurgeri de date locale dintr-un sistem de operare pe care nu îl pot accesa. Și veți putea curăța majoritatea acestor urme prin ștergerea unității sau prin ștergerea în siguranță a mașinilor virtuale (ceea ce nu este atât de ușor pe cât credeți pe unitățile SSD).


Unele tehnici de curățare vor fi totuși abordate în partea "Acoperă-ți urmele" a acestui ghid, chiar la final.

Scurgeri de date online.

Indiferent dacă utilizați o criptare simplă sau o criptare cu negare plauzibilă. Chiar dacă v-ați acoperit urmele pe computerul în sine. Există totuși riscul unor scurgeri de date online care ar putea dezvălui prezența datelor ascunse.


Telemetria este inamicul dumneavoastră. După cum s-a explicat anterior în acest ghid, telemetria sistemelor de operare, dar și a aplicațiilor poate trimite online cantități uluitoare de informații private.


În cazul Windows, aceste date ar putea fi utilizate, de exemplu, pentru a dovedi existența unui sistem de operare / volum ascuns pe un computer și ar fi ușor disponibile la Microsoft. Prin urmare, este extrem de important să dezactivați și să blocați telemetria cu toate mijloacele pe care le aveți la dispoziție. Indiferent de sistemul de operare pe care îl utilizați.

Concluzie.

Nu ar trebui să desfășurați niciodată activități sensibile de pe un sistem necriptat. Și chiar dacă acesta este criptat, probabil că nu ar trebui să desfășurați niciodată activități sensibile de pe sistemul de operare gazdă în sine. În schimb, ar trebui să utilizați o mașină virtuală pentru a putea să vă izolați și să vă compartimentalizați eficient activitățile și pentru a preveni scurgerile locale de date.


Dacă aveți cunoștințe reduse sau inexistente despre Linux sau dacă doriți să utilizați o negare plauzibilă la nivelul întregului sistem de operare, v-aș recomanda să optați pentru Windows (sau să reveniți la ruta Tails) pentru comoditate. Acest ghid vă va ajuta să-l întăriți cât mai mult posibil pentru a preveni scurgerile. Acest ghid vă va ajuta, de asemenea, să întăriți MacOS și Linux cât mai mult posibil pentru a preveni scurgeri similare.


Dacă nu sunteți interesat de o negare plauzibilă la nivelul întregului sistem de operare și doriți să învățați să utilizați Linux, vă recomand cu tărie să alegeți Linux sau ruta Qubes dacă hardware-ul dvs. permite acest lucru.


În toate cazurile, sistemul de operare gazdă nu ar trebui să fie utilizat niciodată pentru a desfășura activități sensibile în mod direct. Sistemul de operare gazdă va fi utilizat doar pentru conectarea la un punct de acces Wi-Fi public. Acesta va fi lăsat neutilizat în timp ce desfășurați activități sensibile și, în mod ideal, nu ar trebui să fie utilizat pentru niciuna dintre activitățile dumneavoastră zilnice.


Luați în considerare și lectura https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]

 

[HEISENBERG]

Sistemul de operare gazdă Linux.

După cum am menționat mai devreme, nu recomand utilizarea laptopului zilnic pentru activități foarte sensibile. Sau, cel puțin, nu vă recomand să folosiți sistemul dvs. de operare obișnuit pentru acestea. Acest lucru ar putea duce la scurgeri nedorite de date care ar putea fi utilizate pentru a vă de-anonimiza. Dacă aveți un laptop dedicat pentru acest lucru, ar trebui să reinstalați un sistem de operare proaspăt și curat. Dacă nu doriți să vă ștergeți laptopul și să o luați de la capăt, ar trebui să luați în considerare ruta Tails sau să procedați pe propria răspundere.


De asemenea, vă recomand să faceți instalarea inițială complet offline pentru a evita orice scurgere de date.


Ar trebui să vă amintiți întotdeauna că, în ciuda reputației, distribuțiile principale Linux (Ubuntu, de exemplu) nu sunt neapărat mai bune la capitolul securitate decât alte sisteme, cum ar fi MacOS și Windows. Consultați această referință pentru a înțelege de ce https://madaidans-insecurities.github.io/linux.html [Archive.org].

Criptarea completă a discului.

Există două posibilități aici cu Ubuntu:

• (Recomandată și ușoară) Criptarea ca parte a procesului de instalare: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Acest proces necesită ștergerea completă a întregii unități (instalare curată).
  • Trebuie doar să bifați opțiunea "Encrypt the new Ubuntu installation for security"
• (Tedious but possible) Criptarea după instalare: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

Pentru alte distribuții, va trebui să vă documentați, dar probabil va fi similar. Criptarea în timpul instalării este doar mult mai ușoară în contextul acestui ghid.

Respingeți/dezactivați orice telemetrie.

• În timpul instalării, asigurați-vă doar că nu permiteți nicio colectare de date dacă vi se solicită.
• Dacă nu sunteți sigur, asigurați-vă doar că nu ați activat nicio telemetrie și urmați acest tutorial dacă este necesar https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org]
• Orice altă distribuție: Va trebui să vă documentați și să aflați singur cum să dezactivați telemetria, dacă există.

Dezactivați tot ce nu este necesar.

• Dezactivați Bluetooth dacă este activat urmând acest ghid https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] sau emițând următoarea comandă:
  
  • sudo systemctl disable bluetooth.service --force
• Dezactivați indexarea dacă este activată în mod implicit (Ubuntu >19.04) urmând acest ghid https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] sau emițând următoarele comenzi:
  
  • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Puteți ignora în siguranță orice eroare care spune că un anumit serviciu nu există
  • sudo tracker reset -hard

Hibernare.

După cum am explicat anterior, nu ar trebui să utilizați funcțiile de sleep, ci să închideți sau să hibernați laptopul pentru a atenua unele atacuri de tip evil-maid și cold-boot. Din păcate, această caracteristică este dezactivată implicit pe multe distribuții Linux, inclusiv Ubuntu. Este posibil să o activați, dar s-ar putea să nu funcționeze conform așteptărilor. Urmați aceste informații pe propriul risc. Dacă nu doriți să faceți acest lucru, nu ar trebui să utilizați niciodată funcția sleep și să opriți în schimb (și probabil să setați comportamentul de închidere a capacului la oprire în loc de sleep).


Urmați unul dintre aceste tutoriale pentru a activa Hibernate:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

După ce Hibernate este activat, modificați comportamentul astfel încât laptopul dvs. să hiberneze atunci când închideți capacul, urmând acest tutorial pentru Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] și acest tutorial pentru Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org]


Din păcate, acest lucru nu va curăța cheia din memorie direct din memorie la hibernare. Pentru a evita acest lucru cu prețul unor performanțe, ați putea lua în considerare criptarea fișierului swap urmând acest tutorial: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Aceste setări ar trebui să atenueze atacurile de pornire la rece dacă puteți hiberna suficient de repede.

Activați randomizarea adresei MAC.

• Ubuntu, urmați acești pași https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Orice altă distro: va trebui să găsiți singur documentația, dar ar trebui să fie destul de asemănătoare cu tutorialul Ubuntu.
• Luați în considerare acest tutorial care ar trebui să funcționeze în continuare: https://josh.works/shell-script-basics-change-mac-address [Archive.org]

Hardening Linux.

Ca o introducere ușoară pentru noii utilizatori Linux, luați în considerare

[Invidios]


Pentru opțiuni mai aprofundate și avansate, consultați:

• Acest ghid excelent: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Această resursă wiki excelentă: https://wiki.archlinux.org/title/Security [Archive.org]
• Aceste scripturi excelente bazate pe ghidul și wiki-ul de mai sus: https://codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Configurarea unui browser sigur.

Consultați apendicele G: Browser sigur pe sistemul de operare gazdă

 

[HEISENBERG]

Sistemul de operare gazdă MacOS.

Notă: În acest moment, acest ghid nu va suporta MacBook-urile ARM M1 (încă). Datorită faptului că Virtualbox nu suportă încă această arhitectură. Totuși, ar putea fi posibil dacă utilizați instrumente comerciale precum VMWare sau Parallels, dar acestea nu sunt acoperite în acest ghid.


După cum am menționat anterior, nu recomand utilizarea laptopului zilnic pentru activități foarte sensibile. Sau, cel puțin, nu vă recomand să utilizați sistemul de operare în uz pentru acestea. A face acest lucru ar putea duce la scurgeri nedorite de date care ar putea fi folosite pentru a vă de-anonimiza. Dacă aveți un laptop dedicat pentru acest lucru, ar trebui să reinstalați un sistem de operare proaspăt și curat. Dacă nu doriți să vă ștergeți laptopul și să o luați de la capăt, ar trebui să luați în considerare ruta Tails sau să procedați pe propria răspundere.


De asemenea, vă recomand să faceți instalarea inițială complet offline pentru a evita orice scurgere de date.


Nu vă conectați niciodată cu contul Apple folosind acel Mac.

În timpul instalării.

• Rămâneți offline
• Dezactivați toate cererile de partajare a datelor atunci când vi se solicită, inclusiv serviciile de localizare
• Nu vă autentificați cu Apple
• Nu activați Siri

Consolidarea MacOS.

Ca o introducere ușoară pentru noii utilizatori MacOS, luați în considerare

[Invidios]


Acum, pentru a merge mai profund în securizarea și întărirea MacOS, vă recomand să citiți acest ghid GitHub care ar trebui să acopere multe dintre probleme: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Aici sunt pașii de bază pe care ar trebui să îi urmați după instalarea offline:

Activați parola firmware-ului cu opțiunea "disable-reset-capability".

În primul rând ar trebui să configurați o parolă de firmware urmând acest ghid de la Apple: https://support.apple.com/en-us/HT204455 [Archive.org]


Din păcate, unele atacuri sunt încă posibile și un adversar ar putea dezactiva această parolă, astfel încât ar trebui să urmați și acest ghid pentru a preveni dezactivarea parolei firmware de către oricine, inclusiv Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]

Activați hibernarea în loc de somn.

Din nou, aceasta este pentru a preveni unele atacuri de tip cold-boot și evil-maid prin oprirea RAM-ului și curățarea cheii de criptare atunci când închideți capacul. Întotdeauna ar trebui să faceți fie hibernare, fie închidere. Pe MacOS, funcția de hibernare are chiar și o opțiune specială pentru a șterge în mod specific cheia de criptare din memorie în timpul hibernării (în timp ce pe alte sisteme de operare s-ar putea să trebuiască să așteptați ca memoria să se degradeze). Încă o dată, nu există opțiuni ușoare pentru a face acest lucru în cadrul setărilor, astfel încât, în schimb, va trebui să facem acest lucru prin rularea câtorva comenzi pentru a activa hibernarea:

• Deschideți un terminal
• Executați: sudo pmset -a destroyfvkeyonstandby 1
  
  • Această comandă va instrui MacOS să distrugă cheia Filevault on Standby (sleep)
• Executați: sudo pmset -a hibernatemode 25
  
  • Această comandă va instrui MacOS să oprească memoria în timpul stării de veghe în loc să facă o hibernare hibridă care menține memoria pornită. Aceasta va duce la treziri mai lente, dar va crește durata de viață a bateriei.

Acum, când închideți capacul MacBook-ului, acesta ar trebui să hiberneze în loc să doarmă și să atenueze încercările de a efectua atacuri de tip cold-boot.


În plus, ar trebui să configurați și o oprire automată (Setări > Energie) pentru ca MacBook-ul dvs. să hiberneze automat dacă este lăsat nesupravegheat.

Dezactivați serviciile inutile.

Dezactivați unele setări inutile în cadrul setărilor:

• Dezactivați Bluetooth
• Dezactivați camera foto și microfonul
• Dezactivați serviciile de localizare
• Dezactivați Airdrop
• Dezactivați indexarea

Prevenirea apelurilor Apple OCSP.

Acestea sunt apelurile infame de "telemetrie deblocabilă" din MacOS Big Sur dezvăluite aici: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Ați putea bloca raportarea OCSP prin emiterea următoarei comenzi în Terminal:

• sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Dar probabil ar trebui să vă documentați cu privire la problema reală înainte de a acționa. Această pagină este un loc bun de început: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Depinde de dvs. cu adevărat. Eu l-aș bloca pentru că nu vreau niciun fel de telemetrie de la sistemul meu de operare la nava-mamă fără consimțământul meu specific. Niciunul.

Activați criptarea integrală a discului (Filevault).

Ar trebui să activați criptarea completă a discului pe Mac utilizând Filevault în conformitate cu această parte a ghidului: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Aveți grijă la activare. Nu stocați cheia de recuperare la Apple dacă vi se solicită (nu ar trebui să fie o problemă, deoarece ar trebui să fiți offline în această etapă). Evident, nu doriți ca o terță parte să aibă cheia dvs. de recuperare.

Randomizarea adresei MAC.

Din păcate, MacOS nu oferă o modalitate nativă convenabilă de randomizare a adresei MAC și, prin urmare, va trebui să faceți acest lucru manual. Aceasta va fi resetată la fiecare repornire și va trebui să o refaceți de fiecare dată pentru a vă asigura că nu vă folosiți adresa MAC reală atunci când vă conectați la diverse Wi-Fis


Puteți face acest lucru prin emiterea următoarelor comenzi în terminal (fără paranteze):

• (Dezactivați Wi-Fi-ul) networksetup -setairportpower en0 off
• (Modificați adresa MAC) sudo ifconfig en0 ether 88:63:11:11:11:11:11
• (Reporniți Wi-Fi) networksetup -setairportpower en0 on

Configurarea unui browser sigur.

Consultați apendicele G: Browser sigur pe sistemul de operare gazdă

Sistemul de operare gazdă Windows.

După cum am menționat anterior, nu vă recomand să utilizați laptopul de zi cu zi pentru activități foarte sensibile. Sau, cel puțin, nu vă recomand să utilizați sistemul de operare intern pentru aceste activități. Acest lucru ar putea duce la scurgeri nedorite de date care ar putea fi utilizate pentru a vă de-anonimiza. Dacă aveți un laptop dedicat pentru acest lucru, ar trebui să reinstalați un sistem de operare proaspăt și curat. Dacă nu doriți să vă ștergeți laptopul și să o luați de la capăt, ar trebui să luați în considerare ruta Tails sau să procedați pe propria răspundere.


De asemenea, vă recomand să faceți instalarea inițială complet offline pentru a evita orice scurgere de date.

Instalare.

Trebuie să urmați Anexa A: Instalarea Windows


Ca o introducere ușoară, luați în considerare vizionarea

[Invidios]

Activați randomizarea adresei MAC.

Ar trebui să vă randomizați adresa MAC așa cum s-a explicat mai devreme în acest ghid:


Intrați în Setări > Rețea și internet > Wi-Fi > Activați adresele hardware aleatorii


Alternativ, puteți utiliza acest software gratuit: https://technitium.com/tmac/ [Archive.org]

Configurarea unui browser sigur.

Consultați apendicele G: Browser sigur pe sistemul de operare gazdă

Activați unele setări suplimentare de confidențialitate pe sistemul de operare gazdă.

Consultați apendicele B: Setări suplimentare de confidențialitate Windows

Criptarea sistemului de operare gazdă Windows.

Dacă intenționați să utilizați o negare plauzibilă la nivelul întregului sistem.

Veracrypt este software-ul pe care îl voi recomanda pentru criptarea întregului disc, criptarea fișierelor și negare plauzibilă. Este o bifurcație a binecunoscutului, dar depreciat și neîntreținutului TrueCrypt. Acesta poate fi utilizat pentru

• Criptarea simplă a discului complet (hard disk-ul dvs. este criptat cu o singură frază de acces).
• Criptarea întregului disc cu negare plauzibilă (aceasta înseamnă că, în funcție de fraza de acces introdusă la pornire, veți porni fie un sistem de operare fals, fie un sistem de operare ascuns).
• Criptare simplă a containerului de fișiere (este un fișier mare pe care îl veți putea monta în Veracrypt ca și cum ar fi o unitate externă pentru a stoca fișiere criptate).
• Container de fișiere cu negare plauzibilă (este același fișier mare, dar în funcție de fraza de pasiune pe care o utilizați atunci când îl montați, veți monta fie un "volum ascuns", fie "volumul momeală").

Este, după cunoștințele mele, singurul software de criptare gratuit, open-source și auditat deschis (convenabil și utilizabil de către oricine) care oferă, de asemenea, o negare plauzibilă pentru utilizare generală și funcționează cu Windows Home Edition.


Descărcați și instalați Veracrypt de la: https://www.veracrypt.fr/en/Downloads.html [Archive.org]


După instalare, vă rugăm să analizați următoarele opțiuni care vă vor ajuta să atenuați unele atacuri:

• Criptați memoria cu o opțiune Veracrypt (setări > performanță/opțiuni driver > criptare RAM) cu un cost de 5-15% performanță. Această setare va dezactiva, de asemenea, hibernarea (care nu șterge în mod activ cheia în timpul hibernării) și, în schimb, va cripta memoria cu totul pentru a atenua unele atacuri de tip cold-boot.
• Activați opțiunea Veracrypt pentru a șterge cheile din memorie dacă este introdus un dispozitiv nou (sistem > setări > securitate > șterge cheile din memorie dacă este introdus un dispozitiv nou). Acest lucru ar putea fi util în cazul în care sistemul dvs. este confiscat în timp ce este încă pornit (dar blocat).
• Activați opțiunea Veracrypt pentru a monta volumele ca volume amovibile (Setări > Preferințe > Montarea volumului ca mediu amovibil). Acest lucru va împiedica Windows să scrie unele jurnale despre montările dvs. în jurnalele de evenimente și va preveni unele scurgeri de date locale.
• Fiți atenți și aveți o bună conștientizare a situației, dacă simțiți ceva ciudat. Închideți laptopul cât mai repede posibil.
• Deși versiunile mai noi Veracrypt suportă Secure Boot, aș recomanda dezactivarea acestuia din BIOS, deoarece prefer sistemul Veracrypt Anti-Evil Maid în locul Secure Boot.

Dacă nu doriți să utilizați memorie criptată (deoarece performanța ar putea fi o problemă), ar trebui să activați cel puțin hibernarea în loc de sleep. Acest lucru nu va șterge cheile din memorie (sunteți în continuare vulnerabil la atacurile de pornire la rece), dar cel puțin ar trebui să le atenueze într-o oarecare măsură dacă memoria dumneavoastră are suficient timp să se deterioreze.


Mai multe detalii mai târziu în Ruta A și B: Criptare simplă utilizând Veracrypt (tutorial Windows).

Dacă nu intenționați să utilizați o negare plauzibilă la nivelul întregului sistem.

Pentru acest caz, voi recomanda utilizarea BitLocker în loc de Veracrypt pentru criptarea completă a discului. Raționamentul este că BitLocker nu oferă o posibilitate de negare plauzibilă, spre deosebire de Veracrypt. Un adversar dur nu are niciun motiv să continue interogatoriul său "îmbunătățit" dacă dezvăluiți fraza de acces.


În mod normal, ar trebui să aveți instalat Windows Pro în acest caz, iar configurarea BitLocker este destul de simplă.


Practic, puteți urma instrucțiunile de aici: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


Dar iată care sunt pașii:

• Faceți clic pe meniul Windows
• Tastați "Bitlocker"
• Faceți clic pe "Manage Bitlocker"
• Faceți clic pe "Activare Bitlocker" pe unitatea de sistem
• Urmați instrucțiunile
  
  • Nu salvați cheia de recuperare într-un cont Microsoft dacă vi se solicită acest lucru.
  • Salvați cheia de recuperare numai pe o unitate criptată externă. Pentru a evita acest lucru, imprimați cheia de recuperare utilizând imprimanta Microsoft Print to PDF și salvați cheia în folderul Documents.
  • Criptați întreaga unitate (nu criptați doar spațiul de disc utilizat).
  • Utilizați "New Encryption Mode"
  • Rulați verificarea BitLocker
  • Reporniți
• Criptarea ar trebui să înceapă acum în fundal (puteți verifica făcând clic pe pictograma Bitlocker din partea dreaptă jos a barei de activități).

Activați hibernarea (opțional).

Din nou, așa cum am explicat mai devreme. Nu ar trebui să utilizați niciodată funcția de sleep pentru a atenua unele atacuri de tip cold-boot și evil-maid. În schimb, ar trebui să închideți sau să hibernați. Prin urmare, ar trebui să comutați laptopul de la adormire la hibernare atunci când închideți capacul sau când laptopul intră în stare de repaus.


(Rețineți că nu puteți activa hibernarea dacă ați activat anterior criptarea RAM în cadrul Veracrypt)


Motivul este că hibernarea va opri de fapt laptopul complet și va curăța memoria. Somnul, pe de altă parte, va lăsa memoria pornită (inclusiv cheia dvs. de decriptare) și v-ar putea lăsa laptopul vulnerabil la atacurile de pornire la rece.


În mod implicit, este posibil ca Windows 10 să nu vă ofere această posibilitate, așa că ar trebui să o activați urmând acest tutorial Microsoft: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]

• Deschideți un prompt de comandă pentru administrator (faceți clic dreapta pe Prompt de comandă și "Run as Administrator")
• Rulați: powercfg.exe /hibernate on
• Acum rulați comanda suplimentară: **powercfg /h /type full**
  
  • Această comandă se va asigura că modul dvs. de hibernare este complet și va curăța complet memoria (nu sigur tho).

După aceea ar trebui să intrați în setările de alimentare:

• Deschideți Panoul de control
• Deschideți Sistemul și securitatea
• Deschideți Opțiuni de alimentare
• Deschideți "Alegeți ce face butonul de alimentare"
• Schimbați totul de la sleep la hibernare sau închidere
• Reveniți la Opțiuni de alimentare
• Selectați Change Plan Settings
• Selectați Setări avansate de alimentare
• Modificați toate valorile Sleep pentru fiecare plan de alimentare la 0 (niciodată)
• Asigurați-vă că opțiunea Hybrid Sleep este dezactivată pentru fiecare plan de alimentare
• Activați Hibernarea după timpul dorit
• Dezactivați toate temporizatoarele de trezire

Decideți ce rută secundară veți urma.

Acum va trebui să alegeți pasul următor între două opțiuni:

• Ruta A: Criptarea simplă a sistemului dvs. de operare actual
  
  • Avantaje:
    
    • Nu necesită ștergerea laptopului
    • Nu există probleme cu scurgerile de date locale
    • Funcționează bine cu o unitate SSD
    • Funcționează cu orice sistem de operare
    • Simplu
  • Contra:
    
    • Ați putea fi constrâns de un adversar să vă dezvăluiți parola și toate secretele și nu veți avea nicio negare plauzibilă.
    • Pericol de scurgeri de date online
• Calea B: Criptarea simplă a sistemului de operare actual, cu utilizarea ulterioară a unei negații plauzibile asupra fișierelor în sine:
  
  • Avantaje:
    
    • Nu necesită ștergerea laptopului
    • Funcționează bine cu o unitate SSD
    • Funcționează cu orice sistem de operare
    • Este posibilă o negare plauzibilă în cazul adversarilor "blânzi"
  • Contra:
    
    • Pericol de scurgeri de date online
    • Pericol de scurgeri de date locale (care va duce la mai multă muncă pentru a curăța aceste scurgeri)
• Ruta C: Deniabilitate plauzibilă Criptarea sistemului de operare (veți avea un "sistem de operare ascuns" și un "sistem de operare momeală" care rulează pe laptop):
  
  • Avantaje:
    
    • Nu există probleme cu scurgerile de date locale
    • Negarea plauzibilă este posibilă în cazul adversarilor "blânzi"
  • Contra:
    
    • Necesită Windows (această caracteristică nu este "ușor" suportată pe Linux).
    • Pericolul scurgerilor de date online
    • Necesită ștergerea completă a laptopului dvs.
    • Nu se utilizează cu o unitate SSD din cauza cerinței de dezactivare a operațiunilor Trim. Acest lucru va degrada grav performanța/sănătatea unității dvs. SSD în timp.

După cum puteți vedea, ruta C oferă doar două avantaje în materie de confidențialitate față de celelalte și va fi utilă doar împotriva unui adversar legal. Nu uitați https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Decizia cu privire la ruta pe care o veți urma depinde de dumneavoastră. Ruta A este un minim.


Asigurați-vă întotdeauna că verificați frecvent noile versiuni ale Veracrypt pentru a vă asigura că beneficiați de cele mai recente patch-uri. Verificați în special acest lucru înainte de a aplica actualizări Windows importante care ar putea întrerupe bootloader-ul Veracrypt și v-ar putea trimite într-o buclă de boot.


REȚINEȚI CĂ DEFAULT VERACRYPT VA PROPUNE ÎNTOTDEAUNA O PAROLA DE SISTEM ÎN QWERTY (afișează parola ca test). Acest lucru poate cauza probleme în cazul în care la pornire se utilizează tastatura laptopului (AZERTY, de exemplu), deoarece ați configurat parola în QWERTY și o veți introduce la pornire în AZERTY. Prin urmare, asigurați-vă că verificați, atunci când efectuați testul de pornire, ce configurație de tastatură utilizează BIOS-ul dumneavoastră. S-ar putea să nu reușiți să vă autentificați doar din cauza confuziei QWERTY/AZERTY. Dacă BIOS-ul dvs. pornește utilizând AZERTY, va trebui să introduceți parola în QWERTY în cadrul Veracrypt.

Ruta A și B: Criptare simplă utilizând Veracrypt (tutorial Windows)

Săriți peste acest pas dacă ați utilizat BitLocker în schimb mai devreme.


Nu trebuie să aveți un HDD pentru această metodă și nu trebuie să dezactivați Trim pe această rută. Scurgerile Trim vor fi utile doar pentru criminaliști în detectarea prezenței unui volum ascuns, dar nu vor fi de mare folos în rest.


Această rută este destul de simplă și vă va cripta doar sistemul de operare actual pe loc, fără a pierde niciun fel de date. Asigurați-vă că citiți toate textele pe care Veracrypt vi le prezintă, astfel încât să înțelegeți pe deplin ce se întâmplă.

• Lansați VeraCrypt
• Intrați în Setări:
  
  • Setări > Opțiuni de performanță/driver > Criptare RAM
  • Sistem > Setări > Securitate > Ștergeți cheile din memorie dacă este introdus un dispozitiv nou
  • Sistem > Setări > Windows > Activați Secure Desktop
• Selectați Sistem
• Selectați Encrypt System Partition/Drive
• Selectați Normal (Simplu)
• Selectați Single-Boot
• Selectați AES ca Algoritm de criptare (faceți clic pe butonul de testare dacă doriți să comparați vitezele)
• Selectați SHA-512 ca algoritm de hash (pentru că de ce nu)
• Introduceți o frază de acces puternică (cu cât este mai lungă, cu atât mai bine, amintiți-vă de apendicele A2: Orientări privind parolele și frazele de acces)
• Colectați puțină entropie prin deplasarea aleatorie a cursorului până când bara este plină
• Faceți clic pe Next (Următorul) în ecranul Generated Keys (Chei generate)
• A salva sau a nu salva discul, ei bine, asta depinde de dvs. Vă recomand să creați unul (pentru orice eventualitate), dar asigurați-vă că îl stocați în afara unității criptate (cheie USB, de exemplu, sau așteptați și consultați sfârșitul acestui ghid pentru sfaturi privind backup-urile sigure). Acest disc de salvare nu va stoca fraza dvs. de acces și tot veți avea nevoie de ea pentru a o utiliza.
• Modul de ștergere:
  
  • Dacă nu aveți încă date sensibile pe acest laptop, selectați None
  • Dacă aveți date sensibile pe un SSD, Trim singur ar trebui să se ocupe de ele, dar aș recomanda 1 trecere (date aleatorii) doar pentru a fi sigur.
  • Dacă aveți date sensibile pe un HDD, nu există Trim și aș recomanda cel puțin 1 trecere.
• Testați configurația. Veracrypt vă va reporni acum sistemul pentru a testa bootloader-ul înainte de criptare. Acest test trebuie să treacă pentru ca criptarea să meargă mai departe.
• După ce computerul dvs. a repornit și testul este trecut. Veracrypt vă va solicita să începeți procesul de criptare.
• Porniți criptarea și așteptați să se finalizeze.
• Ați terminat, săriți peste ruta B și treceți la pașii următori.

Va exista o altă secțiune privind crearea de containere de fișiere criptate cu Plausible Deniability pe Windows.

Traseul B: Criptarea Plausible Deniability cu un sistem de operare ascuns (numai Windows)

Această opțiune este acceptată numai pe Windows.


Este recomandată numai pe o unitate HDD. Nu este recomandată pe o unitate SSD.


Sistemul de operare ascuns nu ar trebui să fie activat (cu o cheie de produs MS). Prin urmare, această rută vă va recomanda și vă va ghida printr-o instalare complet curată care va șterge totul de pe laptop.


Citiți documentația Veracrypt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Procesul de creare a părții sistemului de operare ascuns) și https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Cerințe și precauții de securitate referitoare la volumele ascunse).


Iată cum va arăta sistemul dvs. după ce acest proces este finalizat:

(Ilustrație din documentația Veracrypt, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org])


După cum puteți vedea, acest proces necesită să aveți de la început două partiții pe hard disk.


Acest proces va face următoarele:

• va cripta a doua partiție (volumul exterior), care va arăta ca un disc gol neformatat din sistemul de operare momeală.
• Vă va oferi posibilitatea de a copia o parte din conținutul decoy în volumul exterior.
  
  • Aici veți copia colecția falsă de anime-uri/filme de pe un hard disk extern pe volumul exterior.
• Creați un volum ascuns în cadrul volumului exterior al celei de-a doua partiții. Aici va locui sistemul de operare ascuns.
• Clonați instalarea Windows 10 care rulează în prezent pe volumul ascuns.
• Ștergeți Windows 10 care rulează în prezent.
• Acest lucru înseamnă că Windows 10 actual va deveni Windows 10 ascuns și că va trebui să reinstalați un sistem de operare Windows 10 fals nou.

Obligatoriu dacă aveți o unitate SSD și doriți totuși să faceți acest lucru împotriva recomandării: Dezactivați SSD Trim în Windows (din nou, acest lucru NU este recomandat deloc, deoarece dezactivarea Trim în sine este foarte suspectă). de asemenea, după cum am menționat mai devreme, dezactivarea Trim va reduce durata de viață a unității SSD și va afecta semnificativ performanța acesteia în timp (laptopul dvs. va deveni din ce în ce mai lent pe parcursul mai multor luni de utilizare până când va deveni aproape inutilizabil, va trebui apoi să curățați unitatea și să reinstalați totul). Dar trebuie să faceți acest lucru pentru a preveni scurgerile de date care ar putea permite criminaliștilor să vă înfrângă negația plauzibilă. Singura modalitate de a evita acest lucru în acest moment este de a avea un laptop cu o unitate HDD clasică în schimb.

 

[HEISENBERG]

Pasul 1: Creați o cheie USB pentru instalarea Windows 10

Consultați Apendicele C: Crearea mediilor de instalare Windows și mergeți pe ruta cheii USB.

Pasul 2: Porniți cheia USB și începeți procesul de instalare a Windows 10 (sistem de operare ascuns)

• Introduceți cheia USB în laptop
• Consultați Apendicele A: Instalarea Windows și procedați la instalarea Windows 10 Home.

Pasul 3: Setări de confidențialitate (sistem de operare ascuns)

Consultați apendicele B: Setări suplimentare de confidențialitate Windows

Pasul 4: Instalarea Veracrypt și începerea procesului de criptare (sistem de operare ascuns)

Nu uitați să citiți https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Nu conectați acest sistem de operare la rețeaua Wi-Fi cunoscută. Trebuie să descărcați programul de instalare Veracrypt de pe un alt computer și să copiați programul de instalare aici folosind o cheie USB.

• Instalarea Veracrypt
• Porniți Veracrypt
• Intrați în Setări:
  
  • Settings > Performance/driver options > Encrypt RAM(rețineți că această opțiune nu este compatibilă cu Hibernarea laptopului dvs. și înseamnă că va trebui să vă opriți complet)
  • Sistem > Setări > Securitate > Ștergeți cheile din memorie dacă este introdus un dispozitiv nou
  • Sistem > Setări > Windows > Activați Desktop securizat
• Intrați în Sistem și selectați Creare sistem de operare ascuns
• Citiți cu atenție toate solicitările
• Selectați Single-Boot dacă vi se solicită
• Creați volumul exterior utilizând AES și SHA-512.
• Utilizați tot spațiul disponibil pe a doua partiție pentru Outer Volume
• Utilizați o frază de acces puternică (amintiți-vă de apendicele A2: Orientări pentru parole și fraze de acces)
• Selectați da pentru fișiere mari
• Creați ceva Entropy mișcând mouse-ul până când bara este plină și selectați NTFS (nu selectați exFAT deoarece dorim ca acest volum extern să arate "normal", iar NTFS este normal).
• Formatați volumul exterior
• Deschideți volumul exterior:
  
  • În această etapă, ar trebui să copiați datele momeală pe volumul exterior. Astfel, ar trebui să aveți câteva fișiere/foldere sensibile, dar nu atât de sensibile, pe care să le copiați acolo. În cazul în care trebuie să dezvăluiți o parolă pentru acest volum. Acesta este un loc bun pentru colecția dvs. de Anime/Mp3/Movies/Porn.
  • Vă recomand să nu umpleți volumul exterior prea mult sau prea puțin (aproximativ 40%). Nu uitați că trebuie să lăsați suficient spațiu pentru sistemul de operare ascuns (care va avea aceeași dimensiune ca prima partiție pe care ați creat-o în timpul instalării).
• Utilizați o frază de acces puternică pentru volumul ascuns (evident, una diferită de cea pentru volumul exterior).
• Acum veți crea volumul ascuns, selectați AES și SHA-512
• Umpleți bara de entropie până la sfârșit cu mișcări aleatorii ale mouse-ului
• Formatați volumul ascuns
• Continuați cu clonarea
• Veracrypt va reporni acum și va clona Windows-ul în care ați început acest proces în volumul ascuns. Acest Windows va deveni sistemul dvs. de operare ascuns.
• Când clonarea este completă, Veracrypt va reporni în cadrul sistemului ascuns
• Veracrypt vă va informa că sistemul ascuns este acum instalat și apoi vă va solicita să ștergeți sistemul de operare original (cel pe care l-ați instalat anterior cu cheia USB).
• Utilizați 1-Pass Wipe și continuați.
• Acum sistemul dvs. de operare ascuns va fi instalat, treceți la pasul următor

Pasul 5: Reporniți și porniți cheia USB și începeți din nou procesul de instalare a Windows 10 (sistemul de operare ascuns)

Acum că sistemul de operare ascuns este complet instalat, va trebui să instalați un sistem de operare de tip Decoy.

• Introduceți cheia USB în laptop
• Consultați Anexa A: Instalarea Windows și continuați cu instalarea Windows 10 Home din nou (nu instalați o versiune diferită și rămâneți la Home).

Pasul 6: Setări de confidențialitate (sistem de operare fals)

Consultați apendicele B: Setări suplimentare de confidențialitate Windows

Pasul 7: Instalarea Veracrypt și începerea procesului de criptare (Decoy OS)

Acum vom cripta sistemul de operare Decoy:

• Instalarea Veracrypt
• Lansați VeraCrypt
• Selectați Sistemul
• Selectați Encrypt System Partition/Drive
• Selectați Normal (Simplu)
• Selectați Single-Boot
• Selectați AES ca Algoritm de criptare (faceți clic pe butonul de testare dacă doriți să comparați vitezele)
• Selectați SHA-512 ca algoritm de hash (pentru că de ce nu)
• Introduceți o parolă scurtă și slabă (da, acest lucru este serios, faceți-o, va fi explicată mai târziu).
• Colectați puțină entropie prin deplasarea aleatorie a cursorului până când bara este plină
• Faceți clic pe Next (Următorul) în ecranul Generated Keys (Chei generate)
• Să salvați sau să nu salvați discul, ei bine, asta depinde de dvs. Vă recomand să creați unul (pentru orice eventualitate), dar asigurați-vă că îl stocați în afara unității criptate (cheie USB, de exemplu, sau așteptați și consultați sfârșitul acestui ghid pentru sfaturi privind backup-urile sigure). Acest disc de salvare nu va stoca fraza dvs. de acces și tot veți avea nevoie de ea pentru a o utiliza.
• Modul de ștergere: Selectați 1-Pass doar pentru a fi siguri
• Pretestați configurația. Veracrypt va reporni acum sistemul pentru a testa bootloader-ul înainte de criptare. Acest test trebuie să treacă pentru ca criptarea să meargă mai departe.
• După ce computerul dvs. a repornit și testul este trecut. Veracrypt vă va solicita să începeți procesul de criptare.
• Porniți criptarea și așteptați finalizarea acesteia.
• Sistemul dvs. de operare Decoy este acum gata de utilizare.

Pasul 8: Testați configurația (Boot în ambele)

Este timpul să vă testați configurația.

• Reporniți și introduceți fraza de acces a sistemului de operare ascuns, ar trebui să porniți în sistemul de operare ascuns.
• Reporniți și introduceți fraza de acces a sistemului de operare Decoy, ar trebui să porniți în sistemul de operare Decoy.
• Lansați Veracrypt pe sistemul de operare înșelător și montați a doua partiție utilizând fraza de acces a volumului exterior (montați-o ca read-only, intrând în Mount Options și selectând Read-Only) și ar trebui să monteze a doua partiție ca read-only, afișând datele înșelătoare (colecția dvs. de animații/filme). Acum o montați ca read-only deoarece, dacă ați scrie date pe ea, ați putea anula conținutul din sistemul de operare ascuns.

Pasul 9: Modificarea în siguranță a datelor momeală de pe volumul exterior

Înainte de a trece la pasul următor, ar trebui să învățați cum să vă montați volumul extern în siguranță pentru a scrie conținut pe acesta. Acest lucru este explicat și în această documentație oficială Veracrypt https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org]


Ar trebui să faceți acest lucru dintr-un loc sigur și de încredere.


Practic, veți monta volumul exterior, furnizând în același timp fraza de acces a volumului ascuns în cadrul opțiunilor de montare pentru a proteja volumul ascuns împotriva suprascrierii. Veracrypt vă va permite apoi să scrieți date pe volumul exterior fără a risca să suprascrieți datele de pe volumul ascuns.


Această operațiune nu va monta efectiv volumul ascuns și ar trebui să prevină crearea oricăror dovezi criminalistice care ar putea duce la descoperirea sistemului de operare ascuns. Cu toate acestea, în timp ce efectuați această operațiune, ambele parole vor fi stocate în memoria RAM și, prin urmare, ați putea fi în continuare susceptibil la un atac Cold-Boot. Pentru a atenua acest lucru, asigurați-vă că aveți opțiunea de a vă cripta și memoria RAM.

• Deschideți Veracrypt
• Selectați a doua partiție
• Faceți clic pe Mount (Montare)
• Faceți clic pe Mount Options (Opțiuni de montare)
• Bifați opțiunea "Protect the Hidden volume..." Opțiune
• Introduceți fraza de acces a sistemului de operare ascuns
• Faceți clic pe OK
• Introduceți fraza de acces a volumului exterior
• Faceți clic pe OK
• Acum ar trebui să puteți deschide și scrie în volumul exterior pentru a modifica conținutul (copiere/movare/ștergere/editare...)

Pasul 10: Lăsați câteva dovezi criminalistice ale volumului exterior (cu datele false) în cadrul sistemului de operare fals

Trebuie să facem sistemul de operare Momeală cât mai plauzibil posibil. De asemenea, dorim ca adversarul dvs. să creadă că nu sunteți atât de inteligent.


Prin urmare, este important să lăsați în mod voluntar unele dovezi criminalistice ale conținutului dvs. amăgitor în cadrul sistemului de operare amăgitor. Aceste dovezi vor permite examinatorilor criminaliști să vadă că ați montat frecvent volumul exterior pentru a accesa conținutul acestuia.


Iată câteva sfaturi bune pentru a lăsa unele dovezi criminalistice:

• Redați conținutul de pe Outer Volume din sistemul de operare Decoy (utilizând VLC, de exemplu). Asigurați-vă că păstrați un istoric al acestora.
• Editați documente și lucrați în ele.
• Activați din nou indexarea fișierelor pe sistemul de operare Decoy și includeți volumul extern montat.
• Demontați-l și montați-l frecvent pentru a viziona ceva conținut.
• Copiați conținut din volumul exterior în sistemul de operare de tip Decoy și apoi ștergeți-l în mod nesigur (puneți-l în coșul de reciclare).
• Instalați un client Torrent pe sistemul de operare de tip Decoy și utilizați-l din când în când pentru a descărca conținuturi similare pe care le veți lăsa pe sistemul de operare Decoy.
• Ați putea instala un client VPN pe sistemul de operare Decoy cu un VPN cunoscut al dumneavoastră (plătit fără numerar).

Nu puneți nimic suspect pe sistemul de operare Decoy, cum ar fi:

• Acest ghid
• Orice link către acest ghid
• Orice software de anonimat suspect, cum ar fi Tor Browser

Note.

Amintiți-vă că veți avea nevoie de scuze valide pentru ca acest scenariu de negare plauzibilă să funcționeze:


Luați-vă ceva timp pentru a citi din nou "Explicații posibile pentru existența a două partiții Veracrypt pe o singură unitate" din documentația Veracrypt aici https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]

• Utilizați Veracrypt deoarece utilizați Windows 10 Home care nu dispune de Bitlocker, dar totuși ați dorit confidențialitate.
• Aveți două partiții pentru că ați dorit să separați sistemul și datele pentru o organizare ușoară și pentru că un prieten tocilar v-a spus că acest lucru este mai bun pentru performanță.
• Ați folosit o parolă slabă pentru o pornire convenabilă a sistemului și o frază de acces lungă și puternică pentru volumul extern, deoarece v-a fost prea lene să tastați o frază de acces puternică la fiecare pornire.
• Ați criptat a doua Partiție cu o parolă diferită de cea a Sistemului deoarece nu doriți ca nimeni din anturajul dvs. să vă vadă lucrurile. Și astfel, nu ați vrut ca acele date să fie disponibile pentru oricine.

Fiți atenți:

• Nu trebuie să montați niciodată volumul ascuns din sistemul de operare înșelător (NICIODATĂ NICIODATĂ). Dacă faceți acest lucru, veți crea dovezi criminalistice ale volumului ascuns în cadrul sistemului de operare amăgitor, care ar putea pune în pericol încercarea dumneavoastră de negare plauzibilă. Dacă ați făcut acest lucru oricum (intenționat sau din greșeală) de la sistemul de operare Momeală, există modalități de ștergere a probelor criminalistice care vor fi explicate mai târziu, la sfârșitul acestui ghid.
• Niciodată să nu utilizați SO-ul momeală din aceeași rețea (Wi-Fi public) ca și SO-ul ascuns.
• Atunci când montați volumul exterior de la sistemul de operare de tip momeală, nu scrieți niciun fel de date în volumul exterior, deoarece acest lucru ar putea anula ceea ce pare a fi spațiu gol, dar este de fapt sistemul de operare ascuns. Ar trebui să îl montați întotdeauna ca fiind numai pentru citire.
• Dacă doriți să modificați conținutul Decoy al volumului exterior, trebuie să utilizați o cheie USB cu sistem de operare live care va rula Veracrypt.
• Rețineți că nu veți utiliza sistemul de operare ascuns pentru a efectua activități sensibile, acest lucru se va face mai târziu dintr-o mașină virtuală din cadrul sistemului de operare ascuns. Sistemul de operare ascuns este menit doar să vă protejeze de un adversar soft care ar putea obține acces la laptop și să vă oblige să vă dezvăluiți parola.
• Fiți atenți la orice manipulare a laptopului dumneavoastră. Atacurile Evil-Maid vă pot dezvălui sistemul de operare ascuns.

 

[HEISENBERG]

Virtualbox pe sistemul de operare gazdă.

Amintiți-vă de apendicele W: Virtualizare.


Acest pas și următorii pași ar trebui să fie efectuați din cadrul sistemului de operare gazdă. Acesta poate fi sistemul de operare gazdă cu criptare simplă (Windows/Linux/MacOS) sau sistemul de operare ascuns cu negare plauzibilă (numai Windows).


În acest traseu, vom utiliza pe scară largă software-ul gratuit Oracle Virtualbox. Acesta este un software de virtualizare în care puteți crea mașini virtuale care emulează un computer care rulează un anumit sistem de operare (dacă doriți să utilizați altceva, cum ar fi Xen, Qemu, KVM sau VMWARE, nu ezitați să faceți acest lucru, dar această parte a ghidului se referă doar la Virtualbox pentru comoditate).


Așadar, trebuie să fiți conștienți de faptul că Virtualbox nu este software-ul de virtualizare cu cel mai bun istoric în ceea ce privește securitatea, iar unele dintre problemele raportate nu au fost complet rezolvate până la această dată, iar dacă utilizați Linux cu ceva mai multe competențe tehnice, ar trebui să luați în considerare utilizarea KVM în schimb, urmând ghidul disponibil la Whonix aici https://www.whonix.org/wiki/KVM [Archive.org] și aici https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org]


În toate cazurile ar trebui luate unele măsuri:


Toate activitățile dvs. sensibile vor fi efectuate din cadrul unei mașini virtuale invitate care rulează Windows 10 Pro (nu Home de această dată), Linux sau MacOS.


Acest lucru are câteva avantaje care vă vor ajuta foarte mult să rămâneți anonimi:

• Ar trebui să împiedice sistemul de operare al mașinii virtuale invitate (Windows/Linux/MacOS), aplicațiile și orice telemetrie din cadrul mașinilor virtuale să acceseze direct hardware-ul dvs. Chiar dacă VM-ul dvs. este compromis de malware, acest malware nu ar trebui să poată accesa VM-ul și să vă compromită laptopul real.
• Aceasta ne va permite să forțăm tot traficul de rețea din VM client să treacă printr-o altă VM gateway care va direcționa (torifică) tot traficul către rețeaua Tor. Acesta este un "kill switch" de rețea. VM-ul dvs. își va pierde complet conectivitatea la rețea și va rămâne offline dacă celălalt VM își pierde conexiunea la rețeaua Tor.
• Mașina virtuală care are conectivitate la internet doar prin intermediul unui gateway de rețea Tor se va conecta la serviciul VPN plătit în numerar prin Tor.
• Scurgerile DNS vor fi imposibile deoarece VM se află într-o rețea izolată care trebuie să treacă prin Tor, indiferent de situație.

 

[HEISENBERG]

Alegeți metoda dvs. de conectivitate.

Există 7 posibilități în cadrul acestei rute:

• Recomandată și preferată:
  
  • Utilizați Tor singur (Utilizator > Tor > Internet)
  • Utilizați VPN peste Tor (Utilizator > Tor > VPN > Internet) în cazuri specifice
• Posibil, dacă este necesar în funcție de context:
  
  • Utilizați VPN peste Tor peste VPN (Utilizator > VPN > Tor > VPN > Internet)
  • Utilizați Tor peste VPN (Utilizator > VPN > Tor > Internet)
• Nerecomandat și riscant:
  
  • Utilizați doar VPN (Utilizator > VPN > Internet)
  • Utilizați VPN peste VPN (Utilizator > VPN > VPN > Internet)
• Nerecomandat și foarte riscant (dar posibil)
  
  • Fără VPN și fără Tor (Utilizator > Internet)

Numai Tor.

Aceasta este soluția preferată și cea mai recomandată.

Cu această soluție, toată rețeaua dvs. trece prin Tor și ar trebui să fie suficientă pentru a vă garanta anonimatul în majoritatea cazurilor.


Există însă un dezavantaj principal: unele servicii blochează/interzic complet nodurile Tor Exit și nu vor permite crearea de conturi de la acestea.


Pentru a atenua acest lucru, s-ar putea să trebuiască să luați în considerare următoarea opțiune: VPN over Tor, dar luați în considerare unele riscuri asociate cu aceasta, explicate în secțiunea următoare.

VPN/Proxy peste Tor.

Această soluție poate aduce unele beneficii în anumite cazuri specifice față de utilizarea exclusivă a Tor, atunci când accesarea serviciului de destinație ar fi imposibilă de la un nod Tor Exit. Acest lucru se datorează faptului că multe servicii vor interzice, împiedica sau bloca pur și simplu Tor ( a se vedea https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


După cum puteți vedea în această ilustrație, dacă VPN-ul/Proxy plătit cu bani (preferat)/Monero este compromis de un adversar (în ciuda declarației de confidențialitate și a politicilor de ne-registrare), acesta va găsi doar un cont VPN/Proxy anonim plătit cu bani/Monero care se conectează la serviciile sale de la un nod de ieșire Tor.

Dacă un adversar reușește cumva să compromită și rețeaua Tor, acesta va dezvălui doar IP-ul unui Wi-Fi public aleatoriu care nu este legat de identitatea dumneavoastră.


Dacă un adversar vă compromite cumva sistemul de operare VM (cu un malware sau un exploit, de exemplu), acesta va fi prins în rețeaua internă a Whonix și nu ar trebui să poată dezvălui IP-ul Wi-Fi-ului public.


Această soluție are totuși un dezavantaj principal de luat în considerare: Interferența cu izolarea fluxului Tor.


Izolarea fluxului este o tehnică de atenuare utilizată pentru a preveni unele atacuri de corelare prin existența unor circuite Tor diferite pentru fiecare aplicație. Iată o ilustrație pentru a arăta ce este izolarea fluxului:

(Ilustrație de la Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy over Tor se încadrează pe partea dreaptă, ceea ce înseamnă că utilizarea unui VPN/Proxy over Tor forțează Tor să utilizeze un singur circuit pentru toate activitățile în loc de mai multe circuite pentru fiecare. Aceasta înseamnă că utilizarea unui VPN/Proxy peste Tor poate reduce oarecum eficiența Tor în anumite cazuri și, prin urmare, ar trebui utilizată numai pentru anumite cazuri specifice:

• Atunci când serviciul dvs. de destinație nu permite nodurile de ieșire Tor.
• Atunci când nu vă deranjează să utilizați un circuit Tor partajat pentru diverse servicii. Cum ar fi, de exemplu, pentru utilizarea diferitelor servicii autentificate.

Cu toate acestea, ar trebui să vă gândiți să nu utilizați această metodă atunci când scopul dvs. este doar de a naviga aleatoriu pe diverse site-uri web neautentificate, deoarece nu veți beneficia de izolarea fluxului și acest lucru ar putea facilita în timp atacurile de corelare pentru un adversar între fiecare dintre sesiunile dvs. (a se vedea Traficul dvs. Tor/VPN anonimizat). Cu toate acestea, dacă obiectivul dvs. este să utilizați aceeași identitate la fiecare sesiune pe aceleași servicii autentificate, valoarea izolării fluxului este mai mică, deoarece puteți fi corelat prin alte mijloace.


De asemenea, trebuie să știți că Stream Isolation nu este neapărat configurată implicit pe Whonix Workstation. Aceasta este preconfigurată doar pentru anumite aplicații (inclusiv Tor Browser).


De asemenea, rețineți că izolarea fluxului nu modifică neapărat toate nodurile din circuitul Tor. Uneori poate schimba doar unul sau două. În multe cazuri, izolarea fluxului (de exemplu, în cadrul browserului Tor) va schimba doar nodul releu (intermediar) și nodul de ieșire, păstrând același nod de gardă (intrare).


Mai multe informații la:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor peste VPN.

S-ar putea să vă întrebați: Ei bine, ce ziceți să folosiți Tor peste VPN în loc de VPN peste Tor? Ei bine, eu nu aș face-o neapărat:

• Dezavantaje
  
  • Furnizorul dvs. de VPN este doar un alt ISP care va cunoaște apoi IP-ul dvs. de origine și va putea să vă de-anonimizeze dacă este necesar. Nu avem încredere în ei. Prefer o situație în care furnizorul dvs. de VPN nu știe cine sunteți. Nu adaugă prea multe în ceea ce privește anonimatul.
  • Acest lucru ar duce la conectarea dvs. la diverse servicii utilizând IP-ul unui nod de ieșire Tor care sunt interzise/marcate în multe locuri. Nu ajută în ceea ce privește confortul.
• Avantaje:
  
  • Principalul avantaj într-adevăr este că dacă vă aflați într-un mediu ostil în care accesul Tor este imposibil/periculos/suspicios, dar VPN-ul este în regulă.
  • De asemenea, această metodă nu rupe izolarea Tor Stream.

Notă, dacă aveți probleme cu accesarea rețelei Tor din cauza blocării/cenzurii, ați putea încerca să utilizați Tor Bridges. Consultați apendicele X: Utilizarea podurilor Tor în medii ostile.


De asemenea, este posibil să luați în considerare VPN peste Tor peste VPN (Utilizator > VPN > Tor > VPN > Internet) folosind în schimb două VPN-uri plătite cu bani/Monero. Aceasta înseamnă că veți conecta sistemul de operare gazdă la un prim VPN de la Wi-Fi-ul public, apoi Whonix se va conecta la Tor și, în final, VM-ul se va conecta la un al doilea VPN peste Tor peste VPN ( a se vedea https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Acest lucru va avea, desigur, un impact semnificativ asupra performanței și ar putea fi destul de lent, dar cred că Tor este necesar undeva pentru a obține un anonimat rezonabil.


Obținerea acestui lucru din punct de vedere tehnic este ușoară în cadrul acestui traseu, aveți nevoie de două conturi VPN anonime separate și trebuie să vă conectați la primul VPN de la sistemul de operare gazdă și să urmați traseul.


Concluzie: Faceți acest lucru doar dacă credeți că utilizarea Tor singură este riscantă/imposibilă, dar VPN-urile sunt în regulă. Sau doar pentru că puteți și de ce nu.

 

[HEISENBERG]

Numai VPN.

Această rută nu va fi explicată și nici recomandată.


Dacă puteți utiliza VPN-uri, atunci ar trebui să puteți adăuga un strat Tor peste acesta. Și dacă puteți utiliza Tor, atunci puteți adăuga un VPN anonim peste Tor pentru a obține soluția preferată.


Nu are sens să folosiți doar un VPN sau chiar un VPN peste VPN, deoarece acestea pot fi urmărite în timp până la dumneavoastră. Unul dintre furnizorii VPN va cunoaște IP-ul dvs. real de origine (chiar dacă este într-un spațiu public sigur) și chiar dacă adăugați unul peste acesta, al doilea va ști în continuare că ați folosit primul serviciu VPN. Acest lucru va întârzia doar puțin dezanonimizarea dvs. Da, este un strat adăugat ... dar este un strat adăugat centralizat persistent și puteți fi de-anonimizat în timp. Este vorba doar de înlănțuirea a 3 ISP-uri care fac toate obiectul unor cereri legale.


Pentru mai multe informații, vă rugăm să consultați următoarele referințe:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

În contextul acestui ghid, Tor este necesar undeva pentru a obține un anonimat rezonabil și sigur și ar trebui să-l utilizați dacă puteți.

Fără VPN/Tor.

Dacă nu puteți utiliza VPN sau Tor acolo unde vă aflați, probabil vă aflați într-un mediu foarte ostil, unde supravegherea și controlul sunt foarte ridicate.


Pur și simplu nu o faceți, nu merită și este prea riscant IMHO. Puteți fi dezanonimizat aproape instantaneu de orice adversar motivat care ar putea ajunge la locația dvs. fizică în câteva minute.


Nu uitați să revedeți Adversarii (amenințările) și Anexa S: Verificați dacă rețeaua dvs. este supravegheată/cenzurată cu ajutorul OONI.


Dacă nu aveți absolut nicio altă opțiune și doriți totuși să faceți ceva, consultați Apendicele P: Accesarea internetului în cel mai sigur mod posibil atunci când Tor/VPN nu este o opțiune (pe propriul risc) și luați în considerare ruta The Tails în schimb.

Concluzie.

Din păcate, utilizarea Tor singură va ridica suspiciunea platformelor multor destinații. Vă veți confrunta cu multe obstacole (captchas, erori, dificultăți de înscriere) dacă folosiți doar Tor. În plus, utilizarea Tor acolo unde vă aflați ar putea să vă pună în dificultate doar pentru asta. Dar Tor rămâne cea mai bună soluție pentru anonimat și trebuie să fie undeva pentru anonimat.

• Dacă intenția dvs. este să creați identități partajate și autentificate persistente pe diverse servicii unde accesul din Tor este dificil, vă recomand opțiunea VPN over Tor (sau VPN over Tor over VPN dacă este necesar). S-ar putea să fie un pic mai puțin sigură împotriva atacurilor de corelare din cauza ruperii izolării fluxului Tor, dar oferă un confort mult mai bun în accesarea resurselor online decât simpla utilizare a Tor. Este un compromis "acceptabil" IMHP dacă sunteți suficient de atent cu identitatea dumneavoastră.
• Cu toate acestea, dacă intenția dvs. este doar de a naviga anonim prin servicii aleatorii fără a crea identități partajate specifice, utilizând servicii prietenoase cu Tor; sau dacă nu doriți să acceptați acest compromis în opțiunea anterioară. Atunci vă recomand să utilizați doar ruta Tor pentru a beneficia de toate avantajele izolării fluxului (sau Tor prin VPN, dacă este necesar).
• Dacă costul este o problemă, recomand opțiunea Doar Tor, dacă este posibil.
• Dacă atât accesul Tor, cât și accesul VPN sunt imposibile sau periculoase, atunci nu aveți de ales decât să vă bazați în siguranță pe wi-fis publice. Consultați apendicele P: Accesarea internetului în condiții cât mai sigure atunci când Tor și VPN-urile nu sunt o opțiune

Pentru mai multe informații, puteți vedea, de asemenea, discuțiile de aici care v-ar putea ajuta să vă decideți:

• Proiectul Tor: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Documentația Tails:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Documentația Whonix (în această ordine):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Câteva lucrări pe această temă:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Obțineți un VPN/Proxy anonim.

Săriți peste acest pas dacă doriți să utilizați doar Tor.


Consultați apendicele O: Obțineți un VPN/Proxy anonim

Whonix.

Săriți peste acest pas dacă nu puteți utiliza Tor.


Această rută va utiliza Virtualizarea și Whonix309 ca parte a procesului de anonimizare. Whonix este o distribuție Linux compusă din două mașini virtuale:

• Stația de lucru Whonix (aceasta este o VM în care puteți desfășura activități sensibile)
• Whonix Gateway (această VM va stabili o conexiune la rețeaua Tor și va direcționa tot traficul de rețea de la stația de lucru prin rețeaua Tor).

Prin urmare, acest ghid va propune 2 variante ale acestei rute:

• Ruta exclusiv Whonix, în care tot traficul este direcționat prin rețeaua Tor (Tor Only sau Tor over VPN).

O rută hibridă Whonix în care tot traficul este direcționat printr-un VPN plătit în numerar (preferabil)/Monero prin rețeaua Tor (VPN prin Tor sau VPN prin Tor prin VPN).

Veți putea decide ce aromă să utilizați pe baza recomandărilor mele. O recomand pe cea de-a doua, așa cum am explicat anterior.


Whonix este bine întreținut și are o documentație extinsă și incredibil de detaliată.

O notă cu privire la Snapshots Virtualbox.

Mai târziu, veți crea și veți rula mai multe mașini virtuale în cadrul Virtualbox pentru activitățile dvs. sensibile. Virtualbox oferă o caracteristică numită "Snapshots" care permite salvarea stării unei VM în orice moment. Dacă, ulterior, din orice motiv, doriți să reveniți la acea stare, puteți restaura instantaneul în orice moment.


Vă recomand insistent să folosiți această caracteristică prin crearea unui snapshot după instalarea/actualizarea inițială a fiecărei VM. Acest instantaneu ar trebui realizat înainte de utilizarea lor pentru orice activitate sensibilă/anonimă.


Acest lucru vă va permite să vă transformați VM-urile într-un fel de "sisteme de operare live" de unică folosință (precum Tails discutat mai devreme). Aceasta înseamnă că veți putea șterge toate urmele activităților dvs. din cadrul unei VM prin restaurarea unui instantaneu la o stare anterioară. Desigur, acest lucru nu va fi "la fel de bun" ca Tails (unde totul este stocat în memorie), deoarece ar putea exista urme ale acestei activități lăsate pe hard disk. Studiile criminalistice au demonstrat capacitatea de a recupera date dintr-o mașină virtuală reversată. Din fericire, vor exista modalități de a elimina aceste urme după ștergere sau revenire la un snapshot anterior. Astfel de tehnici vor fi discutate în secțiunea Unele măsuri suplimentare împotriva criminalisticii din acest ghid.

Descărcați utilitarele Virtualbox și Whonix.

Ar trebui să descărcați câteva lucruri în cadrul sistemului de operare gazdă.

• Cea mai recentă versiune a instalatorului Virtualbox în funcție de sistemul de operare gazdă https://www.virtualbox.org/wiki/Downloads [Archive.org]
• (Săriți peste aceasta dacă nu puteți utiliza Tor nativ sau printr-un VPN) Cel mai recent fișier Whonix OVA de la https://www.whonix.org/wiki/Download [Archive.org] în funcție de preferințele dvs. (Linux/Windows, cu o interfață de desktop XFCE pentru simplitate sau doar cu clientul text pentru utilizatorii avansați)

Aceasta va încheia pregătirile și ar trebui să fiți acum gata să începeți configurarea mediului final care vă va proteja anonimatul online.

Recomandări de întărire a Virtualbox.

Pentru o securitate ideală, ar trebui să urmați recomandările furnizate aici pentru fiecare mașină virtuală Virtualbox https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Dezactivați Audio.
• Nu activați folderele partajate.
• Nu activați accelerarea 2D. Aceasta se face executând următoarea comandă VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• Nu activați accelerarea 3D.
• Nu activați portul serial.
• Scoateți unitatea Floppy.
• Îndepărtați unitatea CD/DVD.
• Nu activați serverul de afișare la distanță.
• Activați PAE/NX (NX este o caracteristică de securitate).
• Dezactivați Advanced Configuration and Power Interface (ACPI). Aceasta se face executând următoarea comandă VBoxManage modifyvm "vm-id" --acpi on|off
• Nu atașați dispozitive USB.
• Dezactivați controlerul USB care este activat în mod implicit. Setați Pointing Device la "PS/2 Mouse" sau modificările vor reveni.

În cele din urmă, urmați, de asemenea, această recomandare pentru a desincroniza ceasul pe care îl aveți VM în comparație cu sistemul de operare gazdă https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


Acest decalaj ar trebui să se încadreze într-un interval de 60000 milisecunde și ar trebui să fie diferit pentru fiecare VM, iar aici sunt câteva exemple (care pot fi aplicate ulterior la orice VM):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

De asemenea, luați în considerare aplicarea acestor atenuări din VirtualBox pentru a atenua vulnerabilitățile Spectre/Meltdown prin rularea acestei comenzi din directorul de programe VirtualBox. Toate acestea sunt descrise aici: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (fiți conștienți de faptul că acestea pot avea un impact sever asupra performanței mașinilor virtuale, dar ar trebui aplicate pentru o securitate optimă).


În cele din urmă, luați în considerare sfaturile de securitate oferite chiar de VirtualBox aici: https://www.virtualbox.org/manual/ch13.html [Archive.org]

 

[HEISENBERG]

Tor peste VPN.

Săriți peste acest pas dacă nu intenționați să utilizați Tor over VPN și intenționați să utilizați doar Tor sau nu puteți.


Dacă intenționați să utilizați Tor prin VPN din orice motiv. Mai întâi trebuie să configurați un serviciu VPN pe sistemul de operare gazdă.


Amintiți-vă că, în acest caz, vă recomand să aveți două conturi VPN. Ambele plătite cu numerar/Monero ( a se vedea apendicele O: Obțineți un VPN/Proxy anonim). Unul va fi utilizat în sistemul de operare gazdă pentru prima conexiune VPN. Celălalt ar putea fi utilizat în VM pentru a realiza VPN peste Tor peste VPN (Utilizator > VPN > Tor > VPN).


Dacă intenționați să utilizați doar Tor prin VPN, aveți nevoie de un singur cont VPN.


Pentru instrucțiuni, consultați Anexa R: Instalarea unui VPN pe VM sau pe sistemul de operare gazdă.

 

[HEISENBERG]

Mașini virtuale Whonix.

Săriți peste acest pas dacă nu puteți utiliza Tor.

• Porniți Virtualbox pe sistemul de operare gazdă.
• Importați fișierul Whonix în Virtualbox urmând instrucțiunile de pe https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
• Porniți VM-urile Whonix

Amintiți-vă în această etapă că, dacă aveți probleme de conectare la Tor din cauza cenzurii sau a blocării, ar trebui să luați în considerare conectarea folosind Bridges, așa cum se explică în acest tutorial https://www.whonix.org/wiki/Bridges [Archive.org].

• Actualizați VM-urile Whonix urmând instrucțiunile de pe https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org]
• Opriți VM-urile Whonix
• Luați un instantaneu al VM-urilor Whonix actualizate în Virtualbox (selectați o VM și faceți clic pe butonul Take Snapshot). Mai multe detalii despre acest lucru mai târziu.
• Treceți la pasul următor

Notă importantă: Ar trebui să citiți și aceste recomandări foarte bune de acolo https://www.whonix.org/wiki/DoNot [Archive.org] , deoarece majoritatea acestor principii se vor aplica și acestui ghid. De asemenea, ar trebui să citiți documentația generală de aici https://www.whonix.org/wiki/Documentation [Archive.org], care va oferi, de asemenea, o mulțime de sfaturi ca în acest ghid.