Cestou Whonixu.
Výber hostiteľského operačného systému (operačný systém nainštalovaný v prenosnom počítači).
Táto cesta bude vo veľkej miere využívať virtuálne stroje, budú vyžadovať hostiteľský OS na spustenie virtualizačného softvéru. V tejto časti príručky máte na výber 3 odporúčané možnosti:
- Vaša vybraná distribúcia Linuxu (okrem operačného systému Qubes)
- Windows 10 (najlepšie verzia Home kvôli absencii Bitlocker)
- MacOS (Catalina alebo vyššia verzia)
Okrem toho je vysoká pravdepodobnosť, že váš Mac je alebo bol viazaný na účet Apple (v čase nákupu alebo po prihlásení), a preto by jeho jedinečné hardvérové identifikátory mohli v prípade úniku hardvérových identifikátorov viesť späť k vám.
Linux tiež nemusí byť nevyhnutne najlepšou voľbou pre anonymitu v závislosti od modelu ohrozenia. Používanie systému Windows nám totiž umožní pohodlne používať Plausible Deniability (alias Popierateľné šifrovanie) jednoducho na úrovni operačného systému. Windows je bohužiaľ zároveň aj nočnou morou súkromia, ale je jedinou (pohodlnou) možnosťou na použitie plausible deniability na úrovni OS. Telemetria a blokovanie telemetrie systému Windows je tiež široko zdokumentované, čo by malo zmierniť mnohé problémy.
Čo je teda plausible deniability? Je to možnosť spolupracovať s protivníkom, ktorý žiada o prístup k vášmu zariadeniu/údajom, bez toho, aby ste odhalili svoje skutočné tajomstvo. To všetko s použitím Deniable Encryption (Popierateľné šifrovanie).
Mäkký zákonný protivník by mohol požiadať o vaše zašifrované heslo k notebooku. Spočiatku by ste mohli odmietnuť prezradiť akékoľvek heslo (s využitím svojho "práva nevypovedať", "práva neobviniť sa"), ale niektoré krajiny zavádzajú zákony, ktoré z týchto práv vynímajú (pretože teroristi a "myslia na deti"). V takom prípade budete možno musieť heslo prezradiť alebo vám možno hrozí väzenie za pohŕdanie súdom. V tomto prípade bude do hry vstupovať hodnoverné popieranie.
Potom by ste mohli odhaliť heslo, ale toto heslo umožní prístup len k "hodnoverným údajom" (klamlivý OS). Kriminalisti si budú dobre vedomí, že je možné, že máte skryté údaje, ale nemali by to byť schopní dokázať
(ak to urobíte správne). Budete spolupracovať a vyšetrovatelia budú mať prístup k niečomu, ale nie k tomu, čo chcete v skutočnosti skryť. Keďže dôkazné bremeno by malo ležať na ich strane, nebudú mať iné možnosti, ako vám uveriť, pokiaľ nebudú mať dôkaz, že máte skryté údaje.
Túto funkciu môžete použiť na úrovni operačného systému (hodnoverný operačný systém a skrytý operačný systém) alebo na úrovni súborov, kde budete mať zašifrovaný kontajner súborov (podobne ako súbor zip), v ktorom sa budú zobrazovať rôzne súbory v závislosti od použitého šifrovacieho hesla.
To tiež znamená, že by ste mohli nastaviť vlastné pokročilé nastavenie "hodnoverného popierania" pomocou ľubovoľného hostiteľského OS uložením napríklad virtuálnych strojov do kontajnera so skrytým zväzkom Veracrypt (pozor na stopy v hostiteľskom OS tho, ktoré by bolo potrebné vyčistiť, ak je hostiteľský OS trvalý, pozrite si časť
Niektoré ďalšie opatrenia proti kriminalistike neskôr). Existuje projekt na dosiahnutie tohto cieľa v rámci Tails
(https://github.com/aforensics/HiddenVM [Archive.org]), ktorý by zabezpečil, aby váš hostiteľský OS nebol perzistentný, a použil hodnoverné popretie v rámci Tails.
V prípade systému Windows je hodnoverné popretie tiež dôvodom, prečo by ste mali mať ideálne systém Windows 10 Home (a nie Pro). Systém Windows 10 Pro totiž natívne ponúka systém šifrovania celého disku (Bitlocker), zatiaľ čo systém Windows 10 Home neponúka žiadne šifrovanie celého disku. Neskôr budeme na šifrovanie používať softvér s otvoreným zdrojovým kódom tretej strany, ktorý umožní šifrovanie celého disku v systéme Windows 10 Home. To vám poskytne dobrú (hodnovernú) zámienku na použitie tohto softvéru. Zatiaľ čo používanie tohto softvéru v systéme Windows 10 Pro by bolo podozrivé.
Poznámka k systému Linux: Čo teda Linux a hodnoverné popieranie? Áno, aj v systéme Linux je možné dosiahnuť hodnoverné popretie. Je to však zložité na nastavenie a IMHO si to vyžaduje dostatočne vysokú úroveň zručností, takže pravdepodobne nepotrebujete túto príručku, ktorá by vám pomohla to vyskúšať.
Bohužiaľ, šifrovanie nie je mágia a sú s ním spojené určité riziká:
Hrozby pri šifrovaní.
Kľúč za 5 dolárov.
Nezabudnite, že šifrovanie s hodnoverným popretím alebo bez neho nie je strieborná guľka a v prípade mučenia bude málo užitočné. V skutočnosti, v závislosti od toho, kto by bol váš protivník (váš model hrozby), by mohlo byť rozumné vôbec nepoužívať Veracrypt (predtým TrueCrypt), ako je to ukázané v tejto ukážke:
https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].
Vierohodné popieranie je účinné len proti mäkkým zákonným protivníkom, ktorí sa neuchýlia k fyzickým prostriedkom.
Ak je to moţné, vyhnite sa pouţívaniu softvéru schopného hodnoverného popretia (ako je Veracrypt), ak váš model hrozby zahŕňa tvrdých protivníkov. Používatelia systému Windows by si teda v takom prípade mali nainštalovať systém Windows Pro ako hostiteľský operačný systém a namiesto neho používať Bitlocker.
Pozri https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]
Útok zlej slúžky.
Útoky zlých slúžok sa uskutočňujú vtedy, keď niekto manipuluje s vaším prenosným počítačom, keď ste neprítomní. Pre inštaláciu naklonovať váš pevný disk, nainštalovať škodlivý softvér alebo key logger. Ak sa im podarí naklonovať váš pevný disk, môžu porovnať jeden obraz vášho pevného disku v čase, keď ho vzali, kým ste boli preč, s pevným diskom, keď vám ho zhabali. Ak ste medzitým notebook opäť používali, forenzní experti by mohli dokázať existenciu skrytých údajov tým, že sa pozrú na rozdiely medzi oboma obrazmi v mieste, ktoré by malo byť prázdne/nevyužité. To by mohlo viesť k presvedčivým dôkazom o existencii skrytých údajov. Ak do vášho prenosného počítača nainštalujú program na zaznamenávanie kľúčov alebo škodlivý softvér (softvér alebo hardvér), budú môcť pri jeho zaistení jednoducho získať od vás heslo na neskoršie použitie. Takéto útoky sa môžu uskutočniť u vás doma, v hoteli, na hraničnom priechode alebo kdekoľvek, kde necháte svoje zariadenia bez dozoru.
Tento útok môžete zmierniť nasledujúcimi opatreniami (ako sa odporúčalo skôr):
- Majte základnú ochranu proti neoprávnenej manipulácii (ako bolo vysvetlené predtým), aby ste zabránili fyzickému prístupu k vnútorným častiam prenosného počítača bez vášho vedomia. Zabráni sa tak klonovaniu diskov a inštalácii fyzického záznamníka klávesov bez vášho vedomia.
- Zakážte všetky porty USB (ako už bolo vysvetlené) v rámci systému BIOS/UEFI chráneného heslom. Opäť ich nebudú môcť zapnúť (bez fyzického prístupu k základnej doske, aby resetovali BIOS) a spustiť zariadenie USB, ktoré by mohlo klonovať váš pevný disk alebo nainštalovať softvérový malvér, ktorý by mohol fungovať ako key logger.
- Nastavte heslá BIOS/UEFI/Firmware, aby ste zabránili akémukoľvek neoprávnenému spusteniu neautorizovaného zariadenia.
- Niektoré operačné systémy a šifrovací softvér majú zapnutú ochranu proti zneužitiu. To je prípad systémov Windows/Veracrypt a QubeOS.
Útok studeným štartom.
Útoky Cold Boot sú zložitejšie ako útok Evil Maid, ale môžu byť súčasťou útoku Evil Maid, pretože vyžadujú, aby sa protivník dostal k vášmu prenosnému počítaču počas aktívneho používania zariadenia alebo krátko po ňom.
Myšlienka je pomerne jednoduchá, ako je ukázané v tomto videu, protivník by teoreticky mohol rýchlo spustiť vaše zariadenie na špeciálnom kľúči USB, ktorý by skopíroval obsah RAM (pamäte) zariadenia po jeho vypnutí. Ak sú porty USB vypnuté alebo ak má pocit, že potrebuje viac času, mohol by ho otvoriť a "ochladiť" pamäť pomocou spreja alebo iných chemikálií (napríklad tekutého dusíka), čím by zabránil rozpadu pamäte. Potom by mohli skopírovať jej obsah na analýzu. Tento výpis pamäte by mohol obsahovať kľúč na dešifrovanie zariadenia. Neskôr uplatníme niekoľko zásad na ich zmiernenie.
V prípade Plausible Deniability (vierohodného popretia) existuje niekoľko forenzných štúdií o technickom preukázaní prítomnosti skrytých údajov jednoduchým forenzným skúmaním (bez Cold Boot/Evil Maid Attack), ktoré však boli spochybnené inými štúdiami a správcom Veracryptu, takže by som sa nimi zatiaľ príliš nezaoberal.
Rovnaké opatrenia, ktoré sa používajú na zmiernenie útokov Evil Maid, by mali platiť aj pre útoky Cold Boot s niektorými pridanými:
- Ak to váš operačný systém alebo šifrovací softvér umožňuje, mali by ste zvážiť šifrovanie kľúčov aj v pamäti RAM (je to možné v systéme Windows/Veracrypt a bude vysvetlené neskôr)
- Mali by ste obmedziť používanie pohotovostného režimu spánku a namiesto toho používať vypnutie alebo hibernáciu, aby ste zabránili tomu, že šifrovacie kľúče zostanú v pamäti RAM, keď sa počítač uspí. Spánkový režim totiž zachová výkon pamäte na rýchlejšie obnovenie činnosti. Iba hibernácia a vypnutie skutočne vymažú kľúč z pamäte.
Pozri tiež
https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] a
https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].
Tu je tiež niekoľko zaujímavých nástrojov, ktoré by mali používatelia Linuxu zvážiť na obranu proti nim:
O spánku, hibernácii a vypínaní.
Ak chcete dosiahnuť lepšiu bezpečnosť, mali by ste notebook úplne vypnúť vždy, keď ho necháte bez dozoru alebo zatvoríte veko. To by malo vyčistiť a/alebo uvoľniť pamäť RAM a poskytnúť zmiernenie proti útokom pri studenom štarte. Môže to však byť trochu nepohodlné, pretože budete musieť úplne reštartovať počítač a zadať množstvo hesiel do rôznych aplikácií. Reštartujte rôzne virtuálne počítače a iné aplikácie. Namiesto toho by ste teda mohli použiť aj hibernáciu (nie je podporovaná v operačnom systéme Qubes). Keďže celý disk je zašifrovaný, hibernácia by sama o sebe nemala predstavovať veľké bezpečnostné riziko, ale aj tak vypne notebook a vyčistí pamäť, pričom vám umožní potom pohodlne pokračovať v práci.
Čo by ste však nikdy nemali robiť, je používať štandardnú funkciu spánku, ktorá udrží počítač zapnutý a pamäť napájanú. Ide o vektor útoku proti útokom typu evil-maid a cold-boot, o ktorých sme už hovorili. V zapnutej pamäti sa totiž nachádzajú šifrovacie kľúče k vášmu disku (šifrované alebo nešifrované), ku ktorým by potom mohol získať prístup skúsený protivník.
Táto príručka neskôr poskytne návod, ako zapnúť hibernáciu na rôznych hostiteľských operačných systémoch (okrem Qubes OS), ak sa nechcete zakaždým vypínať.
Miestne úniky údajov (stopy) a forenzné skúmanie.
Ako už bolo stručne spomenuté, ide o úniky údajov a stopy z operačného systému a aplikácií pri vykonávaní akejkoľvek činnosti na počítači. Tieto sa väčšinou týkajú zašifrovaných kontajnerov so súbormi (s hodnoverným popretím alebo bez neho) než šifrovania celého operačného systému. Takéto úniky sú menej "dôležité", ak je zašifrovaný celý OS (ak nie ste nútení prezradiť heslo).
Povedzme, že máte napríklad zašifrovaný kľúč USB Veracrypt so zapnutou hodnovernou popierateľnosťou. V závislosti od hesla, ktoré použijete pri pripojení kľúča USB, sa otvorí vábivý priečinok alebo citlivý priečinok. V rámci týchto priečinkov budete mať dokumenty/údaje vo vábiacom priečinku a citlivé dokumenty/údaje v citlivom priečinku.
Vo všetkých prípadoch tieto priečinky (s najväčšou pravdepodobnosťou) otvoríte pomocou Prieskumníka systému Windows, Finderu systému MacOS alebo akéhokoľvek iného nástroja a urobíte všetko, čo ste plánovali urobiť. Možno budete upravovať dokument v rámci citlivého priečinka. Možno budete vyhľadávať dokument v rámci priečinka. Možno ho odstránite alebo si pozriete citlivé video pomocou VLC.
No všetky tieto aplikácie a váš operačný systém môžu uchovávať protokoly a stopy tohto používania. Môže to zahŕňať úplnú cestu k priečinku/súborom/diskom, čas, kedy sa k nim pristupovalo, dočasné vyrovnávacie pamäte týchto súborov, zoznamy "posledných" v jednotlivých aplikáciách, systém indexovania súborov, ktorý by mohol indexovať disk, a dokonca aj miniatúry, ktoré by sa mohli generovať
Tu je niekoľko príkladov takýchto únikov:
Windows.
- Windows ShellBags, ktoré sú uložené v registri systému Windows a v tichosti uchovávajú rôzne histórie prístupných zväzkov/súborov/priečinkov.
- Indexovanie systému Windows, ktoré štandardne uchováva stopy súborov prítomných v používateľskom priečinku.
- Nedávne zoznamy (alias zoznamy skokov) v systéme Windows a v rôznych aplikáciách, ktoré uchovávajú stopy po nedávno otvorených dokumentoch.
- Mnoho ďalších stôp v rôznych záznamoch, viac informácií nájdete na tomto zaujímavom plagáte: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]
MacOS.
- Gatekeeper290 a XProtect sledujúce históriu sťahovania v miestnej databáze a atribúty súborov.
- Indexovanie Spotlight
- Nedávne zoznamy v rôznych aplikáciách uchovávajúce stopy po nedávno otvorených dokumentoch.
- Dočasné priečinky uchovávajúce rôzne stopy používania aplikácií a dokumentov.
- Protokoly MacOS
- ...
Linux.
- Linux: indexovanie sledovačov
- História Bash
- Protokoly USB
- Posledné zoznamy v rôznych aplikáciách, ktoré uchovávajú stopy po nedávno prístupných dokumentoch.
- Protokoly Linuxu
- ...
Forenzní experti by mohli využiť všetky tieto úniky (pozrite si časť
Lokálne úniky údajov a forenzná expertíza) na preukázanie existencie skrytých údajov a na prekonanie vašich pokusov o použitie hodnoverného popierania a na zistenie vašich rôznych citlivých činností.
Preto bude dôležité uplatniť rôzne kroky, aby ste tomu zabránili forenzným expertom, a to prevenciou a čistením týchto únikov/stôp a predovšetkým používaním šifrovania celého disku, virtualizácie a kompartmentalizácie.
Forenzní pracovníci nemôžu získať lokálne úniky údajov z operačného systému, ku ktorému nemajú prístup. A väčšinu týchto stôp budete môcť vyčistiť vymazaním disku alebo bezpečným vymazaním virtuálnych počítačov (čo na diskoch SSD nie je také jednoduché, ako si myslíte).
Niektorými technikami čistenia sa napriek tomu budeme zaoberať v časti "Zahlaďte stopy" na samom konci tejto príručky.
Úniky údajov online.
Či už používate jednoduché šifrovanie alebo šifrovanie hodnoverného popierania. Aj v prípade, že ste zakryli stopy na samotnom počítači. Stále existuje riziko úniku údajov online, ktoré by mohlo odhaliť prítomnosť skrytých údajov.
Telemetria je váš nepriateľ. Ako už bolo vysvetlené v tejto príručke, telemetria operačných systémov, ale aj aplikácií môže odosielať ohromujúce množstvo súkromných informácií online.
V prípade systému Windows by sa tieto údaje mohli použiť napríklad na preukázanie existencie skrytého operačného systému / zväzku v počítači a boli by ľahko dostupné v spoločnosti Microsoft. Preto je mimoriadne dôležité, aby ste telemetriu zakázali a zablokovali všetkými dostupnými prostriedkami. Bez ohľadu na to, aký operačný systém používate.
Záver.
Nikdy by ste nemali vykonávať citlivé činnosti z nešifrovaného systému. A aj keď je šifrovaný, pravdepodobne by ste nikdy nemali vykonávať citlivé činnosti zo samotného hostiteľského operačného systému. Namiesto toho by ste mali používať virtuálny počítač, aby ste mohli účinne izolovať a rozdeliť svoje činnosti a zabrániť lokálnym únikom údajov.
Ak máte malé alebo žiadne znalosti o Linuxe alebo ak chcete použiť hodnoverné popieranie v rámci celého OS, odporúčam vám, aby ste kvôli pohodliu zvolili systém Windows (alebo sa vrátili k ceste Tails). Táto príručka vám pomôže čo najviac ho utvrdiť, aby ste zabránili únikom. Táto príručka vám tiež pomôže čo najviac utvrdiť MacOS a Linux, aby ste zabránili podobným únikom.
Ak nemáte záujem o plausible deniability v rámci celého operačného systému a chcete sa naučiť používať Linux, dôrazne odporúčam ísť cestou Linuxu alebo Qubes, ak to váš hardvér umožňuje.
V každom prípade by sa hostiteľský OS nikdy nemal používať na priame vykonávanie citlivých činností. Hostiteľský OS sa bude používať len na pripojenie k verejnému prístupovému bodu Wi-Fi. Počas vykonávania citlivých činností sa nebude používať a v ideálnom prípade by sa nemal používať na žiadne každodenné činnosti.
Zvážte aj prečítanie
stránky https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org].
