Chvosty.
Tails je na to skvelý; nemusíte sa ničoho obávať, ani keď používate disk SSD. Vypnite ho a všetko je preč hneď, ako sa pamäť rozloží.
Whonix.
Všimnite si, že je možné spustiť Whonix v režime Live a nezanechať po vypnutí virtuálnych strojov žiadne stopy, zvážte prečítanie ich dokumentácie tu
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] a tu
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Hosťujúci operačný systém.
Vráťte sa k predchádzajúcej snímke v systéme Virtualbox (alebo v akomkoľvek inom softvéri pre virtuálne počítače, ktorý používate) a vykonajte príkaz Trim v počítači Mac pomocou nástroja Disk Utility tak, že znovu vykonáte prvú pomoc v hostiteľskom OS, ako je vysvetlené na konci nasledujúcej časti.
Hostiteľský OS.
Väčšinu informácií z tejto časti nájdete aj v tejto peknej príručke
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Karanténna databáza (používaná programom Gatekeeper a XProtect).
MacOS (až do systému Big Sur vrátane) uchováva karanténnu databázu SQL všetkých súborov, ktoré ste kedy stiahli z prehliadača. Táto databáza sa nachádza na adrese ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Sami sa do nej môžete dopytovať spustením nasledujúceho príkazu z terminálu: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Je zrejmé, že toto je zlatá baňa pre forenznú analýzu a mali by ste to zakázať:
- Spustite nasledujúci príkaz na úplné vymazanie databázy: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Spustite nasledujúci príkaz na uzamknutie súboru a zabránenie ďalšiemu zápisu histórie sťahovania doň: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Nakoniec môžete Gatekeeper úplne vypnúť aj zadaním nasledujúceho príkazu v termináli:
- sudo spctl --master-disable
Ďalšie informácie nájdete v tejto časti tejto príručky
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Okrem tejto praktickej databázy bude každý uložený súbor obsahovať aj podrobné atribúty súborového systému HFS+/APFS, ktoré napríklad ukazujú, kedy bol stiahnutý, s čím a odkiaľ.
Môžete si ich zobraziť jednoducho otvorením terminálu a zadaním mdls názov súboru a xattr -l názov súboru na ľubovoľnom stiahnutom súbore z ľubovoľného prehliadača.
Ak chcete takéto atribúty odstrániť, musíte to urobiť ručne z terminálu:
- Spustite xattr -d com.apple.metadata:kMDItemWhereFroms názov súboru na odstránenie pôvodu
- Môžete tiež jednoducho použiť -dr, aby ste to urobili rekurzívne na celom priečinku/disku
- Spustite xattr -d com.apple.quarantine názov súboru na odstránenie odkazu na karanténu
- Môžete tiež len použiť -dr na rekurzívne vykonanie v celom priečinku/disku
- Overte to spustením xattr --l názov súboru a nemal by sa zobraziť žiadny výstup
(Všimnite si, že spoločnosť Apple odstránila pohodlnú možnosť xattr -c, ktorá by odstránila všetky atribúty naraz, takže to budete musieť urobiť pre každý atribút každého súboru)
Tieto atribúty a záznamy zostanú zachované, aj keď vymažete históriu prehliadača, čo je samozrejme zlé pre súkromie (že?) a momentálne neviem o žiadnom vhodnom nástroji, ktorý by si s nimi poradil.
Našťastie existujú určité zmierňujúce opatrenia, ako sa tomuto problému vyhnúť, keďže tieto atribúty a záznamy nastavujú prehliadače. Otestoval som teda rôzne prehliadače (Na MacOS Catalina a Big Sur) a tu sú výsledky ku dňu vydania tohto návodu:
| Prehliadač | Položka v DB karantény | Atribút karanténneho súboru | Atribút súboru pôvodu |
|---|
| Safari (Normálne) | Áno | Áno | Áno |
| Safari (súkromné okno) | Nie | Nie | Nie |
| Firefox (normálne) | Áno | Áno | Áno |
| Firefox (Súkromné okno) | Nie | Nie | Nie |
| Chrome (Normálne) | Áno | Áno | Áno |
| Chrome (Súkromné okno) | Čiastočné (len časová značka) | Nie | Nie |
| Ungoogled-Chromium (Normálne) | Nie | Nie | Nie |
| Ungoogled-Chromium (Súkromné okno) | Nie | Nie | Nie |
| Odvážny (normálne) | Čiastočné (len časová značka) | Nie | Nie |
| Brave (súkromné okno) | Čiastočné (len časová značka) | Nie | Nie |
| Brave (okno Tor) | Čiastočné (len časová značka) | Nie | Nie |
| Prehliadač Tor | Nie | Nie | Nie |
Ako môžete sami vidieť, najjednoduchšie zmiernenie je jednoducho použiť Private Windows. Tie nezapisujú tieto atribúty pôvodu/karantény a neukladajú záznamy do databázy QuarantineEventsV2.
Vymazanie QuarantineEventsV2 je jednoduché, ako je vysvetlené vyššie. Odstránenie atribútov si vyžaduje určitú prácu.
Brave je jediný testovaný prehliadač, ktorý tieto atribúty v predvolenom nastavení pri bežných operáciách neukladá.
Rôzne artefakty.
Okrem toho systém MacOS uchováva rôzne protokoly o pripojených zariadeniach, pripojených zariadeniach, známych sieťach, analýzach, revíziách dokumentov...
V tejto časti príručky nájdete návod, kde takéto artefakty nájsť a ako ich odstrániť:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org].
Mnohé z nich sa dajú odstrániť pomocou rôznych komerčných nástrojov tretích strán, ale osobne by som odporúčal použiť bezplatný a dobre známy nástroj Onyx, ktorý nájdete tu:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Bohužiaľ, je to síce program s uzavretým zdrojovým kódom, ale je notársky overený, podpísaný a teší sa dlhoročnej dôvere.
Po vyčistení vynúťte operáciu Trim.
- Ak je váš súborový systém APFS, nemusíte sa o operáciu Trim starať, prebieha asynchrónne počas zápisu dát operačným systémom.
- Ak je váš súborový systém HFS+ (alebo akýkoľvek iný ako APFS), môžete na systémovej jednotke spustiť First Aid z programu Disk Utility, ktorý by mal vykonať operáciu Trim v detailoch(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (operačný systém Qubes).
Zohľadnite ich pokyny
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org].
Ak používate Whonix na operačnom systéme Qubes OS, zvážte, prosím, dodržiavanie niektorých ich pokynov:
Linux (iný ako Qubes).
OS pre hostí.
Vráťte sa k predchádzajúcej snímke virtuálneho počítača hosťa v aplikácii Virtualbox (alebo v akomkoľvek inom softvéri virtuálneho počítača, ktorý používate) a vykonajte príkaz trim na svojom notebooku pomocou príkazu fstrim --all. Tento nástroj je súčasťou balíka util-linux v Debiane/Ubuntu a vo Fedore by mal byť štandardne nainštalovaný. Potom prejdite na ďalšiu časť.
Hostiteľský operačný systém.
Za normálnych okolností by ste nemali mať žiadne stopy na čistenie v rámci hostiteľského operačného systému, pretože ak budete postupovať podľa tohto návodu, všetko budete robiť z virtuálneho počítača.
Napriek tomu možno budete chcieť vyčistiť niektoré protokoly. Stačí použiť tento praktický nástroj:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (návod na stránke, na stiahnutie prejdite na vydania, tento repozitár bol nedávno odstránený)
Po vyčistení sa uistite, že máte nainštalovaný nástroj fstrim (vo Fedore by mal byť predvolený) a v Debiane/Ubuntu je súčasťou balíka util-linux. Potom stačí spustiť fstrim --all v hostiteľskom operačnom systéme. Na SSD diskoch by to malo stačiť, ako bolo vysvetlené skôr.
Ako dodatočné opatrenie zvážte použitie programu Linux Kernel Guard
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org].
Windows.
Hosťujúci operačný systém.
Vráťte sa k predchádzajúcej snímke vo Virtualboxe (alebo v akomkoľvek inom softvéri virtuálneho počítača, ktorý používate) a vykonajte príkaz na orezanie systému Windows pomocou príkazu Optimize, ako je vysvetlené na konci nasledujúcej časti
Hostiteľský OS.
Teraz, keď ste vykonali niekoľko činností so svojimi virtuálnymi počítačmi alebo hostiteľským operačným systémom, mali by ste na chvíľu zahladiť stopy.
Väčšinu týchto krokov by ste nemali vykonávať na Decoy OS v prípade použitia hodnoverného popretia. Je to preto, že chcete, aby mal protivník k dispozícii vábiace/pravdepodobné stopy po rozumných, ale nie tajných činnostiach. Ak je všetko čisté, potom by ste mohli vzbudiť podozrenie.
Diagnostické údaje a telemetria.
Najprv sa zbavme všetkých diagnostických údajov, ktoré by tam ešte mohli byť:
(Ak používate systém Windows 10 AME, tento krok preskočte)
- Po každom použití zariadenia so systémom Windows prejdite do časti Nastavenia, Súkromie, Diagnostické údaje a spätná väzba a kliknite na položku Odstrániť.
Potom si znovu zoradíme adresy MAC vašich virtuálnych strojov a adresu Bluetooth vášho hostiteľského operačného systému.
- Po každom vypnutí vášho virtuálneho počítača so systémom Windows zmeňte jeho adresu MAC nabudúce tak, že prejdete do Virtualboxu > vyberiete virtuálny počítač > Nastavenia > Sieť > Rozšírené > Obnoviť adresu MAC.
- Po každom použití vášho hostiteľského OS Windows (váš VM by vôbec nemal mať Bluetooth) prejdite do Správcu zariadení, vyberte položku Bluetooth, Zakázať zariadenie a znovu zapnúť zariadenie (vynúti si to náhodné nastavenie adresy Bluetooth).
Protokoly udalostí.
Protokoly udalostí systému Windows uchovávajú množstvo rôznych informácií, ktoré by mohli obsahovať stopy vašich činností, ako sú pripojené zariadenia (vrátane napríklad zväzkov Veracrypt
NTFS294), vaše sieťové pripojenia, informácie o páde aplikácie a rôzne chyby. Tie je vždy najlepšie pravidelne čistiť. V operačnom systéme Decoy to nerobte.
- Spustite počítač, vyhľadajte položku Prehliadač udalostí a spustite ju:
- Prejdite do protokolov systému Windows.
- Vyberte a vymažte všetkých 5 protokolov pomocou pravého tlačidla myši.
História Veracrypt.
Veracrypt v predvolenom nastavení ukladá históriu nedávno pripojených zväzkov a súborov. Mali by ste zabezpečiť, aby Veracrypt nikdy neukladal Históriu. Opäť to nerobte v operačnom systéme Decoy, ak používate hodnoverné popieranie pre operačný systém. Históriu pripájania zväzku decoy potrebujeme uchovávať ako súčasť hodnoverného popierania.
- Spustite Veracrypt
- Uistite sa, že je začiarknuté políčko "Nikdy neukladá históriu" (toto políčko by nemalo byť začiarknuté v OS Decoy)
Teraz by ste mali vyčistiť históriu v rámci všetkých aplikácií, ktoré ste používali, vrátane histórie prehliadača, súborov cookie, uložených hesiel, relácií a histórie formulárov.
História prehliadača.
- (v prípade, že ste nepovolili čistenie pri ukončení)
- Prejdite do Nastavení
- Prejdite do časti Štíty
- Prejdite do položky Vyčistiť údaje o prehliadaní
- Vyberte možnosť Rozšírené
- Vyberte položku "Celý čas"
- Začiarknite všetky možnosti
- Vymazať údaje
- Tor Browser
- Stačí zavrieť prehliadač a všetko sa vyčistí
História Wi-Fi.
Teraz je čas vyčistiť históriu Wi-Fi, ku ktorej sa pripájate. Nanešťastie, systém Windows uchováva zoznam minulých sietí v registri, aj keď ste ich "zabudli" v nastaveniach Wi-Fi. Pokiaľ viem, žiadne nástroje ich zatiaľ nečistia (napríklad BleachBit alebo PrivaZer), takže to budete musieť urobiť ručne:
- Spustite Regedit pomocou tohto návodu: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- V rámci programu Regedit zadajte do adresného riadka toto: Počítač\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Vpravo uvidíte niekoľko priečinkov. Každý z týchto priečinkov je "kľúč". Každý z týchto kľúčov bude obsahovať informácie o vašej aktuálnej známej sieti Wi-Fi alebo o sieťach, ktoré ste používali v minulosti. Môžete ich preskúmať jeden po druhom a pozrieť si popis na pravej strane.
- Odstráňte všetky tieto kľúče.
Schránky.
Ako už bolo vysvetlené, Shellbags sú v podstate histórie prístupných zväzkov/súborov vo vašom počítači. Pamätajte, že shellbagy sú veľmi dobrým zdrojom informácií pre
forenznú analýzu287 a musíte ich vyčistiť. Najmä ak ste niekde pripojili nejaký "skrytý zväzok". Opäť platí, že by ste to nemali robiť v operačnom systéme Decoy.
- Nástroj Shellbag Analyzer & Cleaner si stiahnite z adresy https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org].
- Spustite ho
- Analyzujte stránku
- Kliknite na tlačidlo Clean a vyberte:
- Odstránené priečinky
- Priečinky v sieti / externých zariadeniach
- Výsledky vyhľadávania
- Vyberte rozšírené
- Začiarknite všetky možnosti okrem dvoch možností zálohovania (nezálohovať)
- Vyberte možnosť Čistenie SSD (ak máte SSD)
- Vyberte možnosť 1 priechod (všetko nula)
- Vyčistiť
Extra Tools Cleaning (Ďalšie nástroje na čistenie).
Po vyčistení týchto predchádzajúcich stôp by ste mali použiť aj nástroje tretích strán, ktoré možno použiť na vyčistenie rôznych stôp. Medzi ne patria aj stopy po odstránených súboroch/priečinkoch.
Pred pokračovaním si pozrite časť
Príloha H: Nástroje na čistenie systému Windows.
Privolajte program PrivaZer.
Tu sú uvedené kroky pre program PrivaZer:
- Stiahnite a nainštalujte program PrivaZer z adresy https://privazer.com/en/download.php [Archive.org].
- Po inštalácii spustite program PrivaZer
- Nepoužívajte ich sprievodcu
- Vyberte možnosť Pokročilý používateľ
- Vyberte možnosť Skenovať do hĺbky a vyberte cieľ
- Vyberte Všetko, čo chcete skenovať, a stlačte Skenovať
- Vyberte, čo chcete vyčistiť (preskočte časť s obalom, pretože na to ste použili iný nástroj)
- Ak používate disk SSD, mali by ste preskočiť časť čistenia voľného miesta a namiesto toho použiť len natívnu funkciu Windows Optimize (pozri nižšie), ktorá by mala byť viac než dostatočná. Túto funkciu by som použil len na jednotke HDD.
- (Ak ste vybrali čistenie voľného miesta) Vyberte položku Možnosti čistenia a uistite sa, že váš typ úložiska, ak je dobre rozpoznaný (HDD vs SSD).
- (Ak ste vybrali možnosť Free Space cleaning (Čistenie voľného miesta) v rámci Clean Options (Možnosti čistenia) (Pri tejto možnosti buďte opatrní, pretože vymaže všetko voľné miesto na vybranom oddiele, najmä ak používate operačný systém decoy OS. Nevymazávajte voľné miesto ani nič iné na druhom oddiele, pretože riskujete zničenie skrytého OS)
- Ak máte disk SSD:
- Zabezpečený prepis Karta: Osobne by som vybral len možnosť Normálne vymazanie + Orezanie (samotné Orezanie by malo stačiť). Zabezpečené mazanie s Trimovaním (1 prechod) by tu mohlo byť zbytočné a prehnané, ak máte v úmysle voľné miesto aj tak prepísať.
- Karta Voľné miesto: Osobne, a opäť "pre istotu", by som vybral možnosť Normálne vyčistenie, ktorá vyplní celé voľné miesto údajmi. Inteligentnému čisteniu veľmi nedôverujem, pretože v skutočnosti nevyplní celý voľný priestor SSD diskom s údajmi. Ale opäť si myslím, že to asi nie je potrebné a vo väčšine prípadov je to prehnané.
- Ak máte disk HDD:
- Zabezpečené prepisovanie Karta: Vybral by som len možnosť Zabezpečené vymazanie (1 priechod).
- Voľné miesto: Na jednotke HDD by som vybral len možnosť Smart Cleanup (Inteligentné čistenie), pretože nie je dôvod prepisovať sektory bez údajov.
- Vyberte položku Vyčistiť a vyberte si príchuť:
- Turbo Cleanup vykoná len bežné vymazanie (na HDD/SSD) a nevyčistí voľné miesto. Nie je bezpečný na HDD ani SSD disku.
- Rýchle čistenie vykoná bezpečné vymazanie (na HDD) a normálne vymazanie + orezanie (na SSD), ale nevyčistí voľné miesto. Myslím, že je to dostatočne bezpečné pre SSD, ale nie pre HDD.
- Normálne čistenie vykoná bezpečné vymazanie (na HDD) a normálne vymazanie + orezanie (na SSD) a potom vyčistí celé voľné miesto (Inteligentné čistenie na HDD a Úplné čistenie na SSD) a malo by byť bezpečné. Myslím, že táto možnosť je najlepšia pre HDD, ale úplne prehnaná pre SSD.
- Kliknite na tlačidlo Vyčistiť a počkajte, kým sa čistenie dokončí. Mohlo by to chvíľu trvať a zaplní sa vám celé voľné miesto údajmi.
Bleskovo sa vyčistí.
Tu sú kroky pre BleachBit:
- Získajte a nainštalujte najnovšiu verziu BleachBit tu: https: //www.bleachbit.org/download [Archive.org]
- Spustite BleachBit
- Vyčistite aspoň všetko v rámci týchto sekcií:
- Hĺbkové skenovanie
- Windows Defender
- Prieskumník Windows (vrátane Shellbagov)
- Systém
- Vyberte všetky ostatné stopy, ktoré chcete odstrániť z ich zoznamu
- Opäť, rovnako ako v prípade predchádzajúceho nástroja, by som nečistil voľné miesto na disku SSD, pretože si myslím, že natívny nástroj "optimalizácie" systému Windows je dostatočný (pozri nižšie) a že zaplnenie voľného miesta na disku SSD s povoleným trimovaním je úplne zbytočné a prehnané.
- Kliknite na tlačidlo Vyčistiť a počkajte. Bude to chvíľu trvať a zaplní sa vám celé voľné miesto údajmi na jednotkách HDD aj SSD.
Vynútenie trimovania pomocou funkcie Windows Optimize (pre disky SSD).
Pomocou tohto natívneho nástroja systému Windows 10 môžete jednoducho vyvolať Trim na disku SSD, čo by malo viac než stačiť na bezpečné vyčistenie všetkých odstránených súborov, ktoré by pri odstraňovaní nejakým spôsobom unikli nástroju Trim.
Stačí otvoriť Prieskumníka Windows, kliknúť pravým tlačidlom myši na systémový disk a kliknúť na položku Vlastnosti. Vyberte položku Nástroje. Kliknite na položku Optimalizovať a potom znova na položku Optimalizovať. Hotovo. Myslím, že to podľa môjho názoru pravdepodobne stačí.
