Repi.
Tails je odličen za to; nič vas ne skrbi, tudi če uporabljate pogon SSD. Če ga izklopite, bo vse izginilo takoj, ko bo pomnilnik razpadel.
Whonix.
Upoštevajte, da je mogoče Whonix zagnati v načinu Live, ki ne pušča nobenih sledi, ko zaprete virtualne stroje, preberite njihovo dokumentacijo tukaj
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] in tukaj
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Operacijski sistem za goste.
Vračanje na prejšnji posnetek v Virtualboxu (ali katerikoli drugi programski opremi za virtualne stroje, ki jo uporabljate) in izvedite ukaz Trim v računalniku Mac z uporabo programa Disk Utility, tako da ponovno izvedete prvo pomoč v gostiteljskem OS, kot je pojasnjeno na koncu naslednjega poglavja.
Gostiteljski operacijski sistem.
Večino informacij iz tega poglavja lahko najdete tudi v tem lepem vodniku
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Podatkovna baza karantene (ki jo uporabljata Gatekeeper in XProtect).
Operacijski sistem MacOS (do vključno sistema Big Sur) hrani karantensko podatkovno zbirko SQL vseh datotek, ki ste jih kdaj prenesli iz brskalnika. Ta zbirka podatkov se nahaja v ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Po njej lahko sami poizvedujete tako, da v terminalu zaženete naslednji ukaz: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
To je seveda zlata jama za forenzike in to morate onemogočiti:
- Izvedite naslednji ukaz, da popolnoma izbrišete zbirko podatkov: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Z naslednjim ukazom zaklenite datoteko in preprečite, da bi se vanjo zapisovala nadaljnja zgodovina prenosov: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Gatekeeperja lahko tudi popolnoma onemogočite z naslednjim ukazom v terminalu:
- sudo spctl --master-disable
Za dodatne informacije glejte ta del tega vodnika
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Poleg te priročne zbirke podatkov bo vsaka shranjena datoteka vsebovala tudi podrobne atribute datotečnega sistema HFS+/APFS, ki na primer kažejo, kdaj je bila prenesena, s čim in od kod.
Te si lahko ogledate tako, da odprete terminal in za vsako preneseno datoteko iz katerega koli brskalnika vnesete mdls ime datoteke in xattr -l ime datoteke.
Če želite takšne atribute odstraniti, morate to storiti ročno iz terminala:
- Za odstranitev izvora zaženite xattr -d com.apple.metadata:kMDItemWhereFroms ime datoteke
- Uporabite lahko tudi ukaz -dr, da to storite rekurzivno na celotni mapi/disku
- Zaženi xattr -d com.apple.quarantine ime datoteke, da odstraniš sklic na karanteno
- Uporabite lahko tudi ukaz -dr, da to storite rekurzivno v celotni mapi/disku
- Preverite tako, da zaženete xattr --l ime datoteke in ne bi smelo biti nobenega izpisa
(Upoštevajte, da je Apple odstranil priročno možnost xattr -c, ki je odstranila vse atribute naenkrat, zato boste morali to storiti za vsak atribut v vsaki datoteki)
Ti atributi in vnosi ostanejo, tudi če izbrišete zgodovino brskalnika, kar je seveda slabo za zasebnost (kajne?) in trenutno ne poznam nobenega priročnega orodja, ki bi jih lahko odpravilo.
Na srečo obstaja nekaj načinov, kako se izogniti tej težavi, saj te atribute in vnose določijo brskalniki. Zato sem preizkusil različne brskalnike (v operacijskih sistemih MacOS Catalina in Big Sur) in tukaj so rezultati na dan izida tega vodnika:
| Brskalnik | Vpis v karanteno DB | Atribut karantenske datoteke | Atribut izvorne datoteke |
|---|
| Safari (običajno) | Da | Da | Da |
| Safari (zasebno okno) | Ne | Ne | Ne |
| Firefox (običajno) | Da | Da | Da |
| Firefox (zasebno okno) | Ne | Ne | Ne |
| Chrome (običajno) | Da | Da | Da |
| Chrome (zasebno okno) | Delno (samo časovni žig) | Ne | Ne |
| Ungoogled-Chromium (običajno) | Ne | Ne | Ne |
| Ungoogled-Chromium (zasebno okno) | Ne | Ne | Ne |
| Pogumni (običajno) | Delno (samo časovni žig) | Ne | Ne |
| Brave (zasebno okno) | Delno (samo časovni žig) | Ne | Ne |
| Brave (okno Tor) | Delno (samo časovni žig) | Ne | Ne |
| Brskalnik Tor | Ne | Ne | Ne |
Kot lahko vidite sami, je najlažja ublažitev samo uporaba zasebnih oken. Ta ne zapisujejo teh atributov izvora/karantene in ne shranjujejo vnosov v podatkovno zbirko QuarantineEventsV2.
Brisanje baze QuarantineEventsV2 je enostavno, kot je razloženo zgoraj. Odstranjevanje atributov zahteva nekaj dela.
Brave je edini preizkušeni brskalnik, ki teh atributov privzeto ne shranjuje pri običajnem delovanju.
Različni artefakti.
Poleg tega MacOS hrani različne dnevnike o nameščenih napravah, povezanih napravah, znanih omrežjih, analitiki, revizijah dokumentov ...
V tem razdelku tega vodnika si oglejte navodila o tem, kje najti in kako izbrisati takšne artefakte:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Mnoge od teh lahko izbrišete z različnimi komercialnimi orodji tretjih oseb, vendar osebno priporočam uporabo brezplačnega in dobro znanega orodja Onyx, ki ga najdete tukaj:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Na žalost je zaprtokodno, vendar je notarsko overjeno, podpisano in že vrsto let uživa zaupanje.
Po čiščenju izvedite prisilno operacijo Trim.
- Če je vaš datotečni sistem APFS, vam ni treba skrbeti za operacijo Trim, saj poteka asinhrono, ko operacijski sistem zapisuje podatke.
- Če je vaš datotečni sistem HFS+ (ali kateri koli drug kot APFS), lahko na sistemskem pogonu iz pripomočka Disk Utility zaženete program First Aid, ki bi moral v podrobnostih izvesti operacijo Trim (https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Upoštevajte njihove smernice
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org].
Če uporabljate Whonix v operacijskem sistemu Qubes OS, upoštevajte nekaj njihovih navodil:
Linux (ne Qubes).
Operacijski sistem za goste.
Vračanje na prejšnji posnetek gostujočega virtualnega operacijskega sistema v Virtualboxu (ali kateri koli drugi programski opremi za virtualne računalnike, ki jo uporabljate) in izvedite ukaz trim na prenosnem računalniku z uporabo fstrim --all. Ta pripomoček je del paketa util-linux v Debian/Ubuntu in bi moral biti privzeto nameščen v Fedori. Nato preklopite na naslednje poglavje.
Gostiteljski operacijski sistem.
Običajno v gostiteljskem operacijskem sistemu ne bi smeli imeti sledi, ki bi jih bilo treba očistiti, saj vse opravljate iz virtualnega stroja, če sledite temu vodniku.
Kljub temu boste morda želeli očistiti nekaj dnevnikov. Uporabite to priročno orodje:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (navodila so na strani, za prenos se odpravite na izdajo, ta skladišče je bilo pred kratkim odstranjeno).
Po čiščenju se prepričajte, da imate nameščen pripomoček fstrim (v Fedori bi moral biti privzeto nameščen), v Debianu/Ubuntuju pa je del paketa util-linux. Nato v gostiteljskem operacijskem sistemu zaženite fstrim --all. To bi moralo zadostovati na pogonih SSD, kot je bilo pojasnjeno prej.
Razmislite o uporabi varovala Linuxovega jedra kot dodatnem ukrepu
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Operacijski sistem za goste.
Vračanje na prejšnji posnetek v Virtualboxu (ali kateri koli drugi programski opremi za virtualne stroje, ki jo uporabljate) in izvedite ukaz za obrezovanje v sistemu Windows z ukazom Optimize, kot je razloženo na koncu naslednjega poglavja.
Operacijski sistem gostitelja.
Zdaj, ko ste opravili več dejavnosti z VM ali gostiteljskim OS, si morate vzeti trenutek časa, da zakrijete sledi.
Večine teh korakov ne smete izvajati v operacijskem sistemu za vabo v primeru uporabe verjetnega zanikanja. To pa zato, ker želite, da so vabeče/verjetne sledi smiselnih, vendar ne tajnih dejavnosti na voljo vašemu nasprotniku. Če je vse čisto, potem lahko vzbudite sum.
Diagnostični podatki in telemetrija.
Najprej se znebimo vseh diagnostičnih podatkov, ki bi lahko še vedno obstajali:
(Če uporabljate Windows 10 AME, ta korak preskočite)
- Po vsaki uporabi naprav Windows pojdite v Nastavitve, Zasebnost, Diagnostika in povratne informacije ter kliknite Izbriši.
Nato ponovno naključno določimo naslove MAC vaših virtualnih strojev in naslov Bluetooth vašega gostiteljskega operacijskega sistema.
- Po vsakem izklopu vašega virtualnega stroja Windows spremenite njegov naslov MAC za naslednjič tako, da greste v Virtualbox > Izberite virtualni stroj > Nastavitve > Omrežje > Napredno > Osvežite naslov MAC.
- Po vsaki uporabi gostiteljskega operacijskega sistema Windows (vaš VM sploh ne bi smel imeti povezave Bluetooth) pojdite v Upravitelja naprav, izberite Bluetooth, onemogočite napravo in ponovno omogočite napravo (to bo izsililo naključno izbiro naslova Bluetooth).
Dnevniki dogodkov.
V dnevnikih dogodkov operacijskega sistema Windows je shranjenih veliko različnih informacij, ki lahko vsebujejo sledi vaših dejavnosti, kot so naprave, ki so bile nameščene (na primer vključno z zvezki Veracrypt
NTFS294), omrežne povezave, informacije o sesutju aplikacije in različne napake. Vedno je najbolje, da jih redno čistite. Tega ne počnite v operacijskem sistemu Decoy OS.
- Začni, poiščite Pregledovalnik dogodkov in zaženite pregledovalnik dogodkov:
- Pojdite v dnevnike sistema Windows.
- Z desnim klikom izberite in počistite vseh 5 dnevnikov.
Zgodovina Veracrypt.
Veracrypt privzeto shrani zgodovino nedavno nameščenih zvezkov in datotek. Prepričajte se, da Veracrypt nikoli ne shrani zgodovine. Tega ponovno ne počnite v operacijskem sistemu Decoy OS, če za ta operacijski sistem uporabljate verodostojno zanikanje. Zgodovino nameščanja volumna za vabo moramo shraniti kot del verjetnega zanikanja.
- Zagon programa Veracrypt
- Prepričajte se, da je potrditveno polje "Never saves history" (nikoli ne shranjuje zgodovine) označeno (v operacijskem sistemu Decoy OS ne sme biti označeno).
Zdaj morate očistiti zgodovino v vseh aplikacijah, ki ste jih uporabljali, vključno z zgodovino brskalnika, piškotki, shranjenimi gesli, sejami in zgodovino obrazcev.
Zgodovina brskalnika.
- Brave (če niste omogočili čiščenja ob izhodu)
- Pojdite v Nastavitve
- Pojdite v Ščiti
- Pojdite v možnost Počisti podatke o brskanju
- Izberite Napredno
- Izberite "Ves čas".
- Preverite vse možnosti
- Izbriši podatke
- Brskalnik Tor
- Samo zaprite brskalnik in vse je očiščeno.
Zgodovina Wi-Fi.
Zdaj je čas, da počistite zgodovino omrežja Wi-Fi, s katerim ste se povezali. Na žalost Windows v registru hrani seznam preteklih omrežij, tudi če ste jih "pozabili" v nastavitvah Wi-Fi. Kolikor mi je znano, jih še noben pripomoček ne čisti (na primer BleachBit ali PrivaZer), zato boste morali to storiti ročno:
- Zagon programa Regedit s tem priročnikom: https: //support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- V programu Regedit v naslovno vrstico vnesite naslednje: Računalnik\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Na desni strani boste videli več map. Vsaka od teh map je "ključ". Vsak od teh ključev bo vseboval informacije o trenutno znanih omrežjih Wi-Fi ali omrežjih, ki ste jih uporabljali v preteklosti. Raziskujete jih lahko enega za drugim in si ogledate opis na desni strani.
- Izbrišite vse te ključe.
Vrečke za lupine.
Kot je bilo pojasnjeno prej, so Shellbags v bistvu zgodovine dostopnih zvezkov/datotek v računalniku. Ne pozabite, da so shellbags zelo dober vir informacij za
forenzike287, zato jih morate očistiti. Zlasti če ste kamor koli namestili kakršen koli "skriti volumen". Tudi tega ne smete storiti v operacijskem sistemu Decoy OS.
- Prenesite program Shellbag Analyzer & Cleaner s spletne strani https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org]
- Zaženite ga
- Analizirajte
- Kliknite Čiščenje in izberite:
- Izbrisane mape
- Mape v omrežju / zunanjih napravah
- Rezultati iskanja
- Izberite napredne
- Označite vse možnosti, razen dveh možnosti za varnostno kopiranje (ne izdelujte varnostnih kopij).
- Izberite možnost Čiščenje SSD (če imate SSD)
- Izberite 1 prehod (Vse nič)
- Clean (Čiščenje)
Dodatna orodja Čiščenje.
Po čiščenju prejšnjih sledi uporabite tudi pripomočke tretjih oseb, s katerimi lahko očistite različne sledi. Mednje spadajo tudi sledi izbrisanih datotek/pomnilnikov.
Pred nadaljevanjem si oglejte
Dodatek H: Orodja za čiščenje sistema Windows.
PrivaZer.
Tukaj so opisani koraki za program PrivaZer:
- Prenesite in namestite program PrivaZer s spletne strani https://privazer.com/en/download.php [Archive.org]
- Po namestitvi zaženite program PrivaZer
- Ne uporabljajte njihovega čarovnika
- Izberite možnost Napredni uporabnik
- Izberite Scan in Depth in izberite cilj
- Izberite vse, kar želite pregledati, in pritisnite Skeniraj
- Izberite, kaj želite očistiti (preskočite del z vrečkami za lupine, saj ste za to uporabili drugo orodje)
- Če uporabljate SSD, preskočite del čiščenja prostega prostora in namesto tega uporabite samo izvirno funkcijo Windows Optimize (glej spodaj), ki bi morala biti več kot dovolj. To bi uporabil samo na pogonu HDD.
- (Če ste izbrali čiščenje prostega prostora) Izberite možnost Clean Options (Možnosti čiščenja) in se prepričajte, da je vaša vrsta pomnilnika dobro zaznana (HDD ali SSD).
- (Če ste izbrali čiščenje prostega prostora) V možnosti Clean Options (Bodite previdni s to možnostjo, saj bo izbrisala ves prosti prostor na izbrani particiji, še posebej, če uporabljate operacijski sistem Decoy OS. Ne brišite prostega prostora ali česar koli drugega na drugem razdelku, saj tvegate, da boste uničili skriti OS)
- Če imate pogon SSD:
- Varno prepisovanje zavihek: Osebno bi izbral le možnost Normalno brisanje + Obrezovanje (samo Obrezovanje bi moralo zadostovati). Varno brisanje z obrezovanjem (1 prehod) je morda tu odveč in pretirano, če nameravate tako ali tako prepisati prosti prostor.
- Zavihek Prosti prostor: Osebno bi izbral možnost Normalno čiščenje, ki bo celoten prosti prostor zapolnila s podatki. Pametnemu čiščenju ne zaupam preveč, saj s podatki dejansko ne zapolni celotnega prostega prostora SSD. Vendar spet menim, da to verjetno ni potrebno in je v večini primerov pretirano.
- Če imate disk HDD:
- Varno prepisovanje zavihek: Izbral bi samo možnost Varno brisanje (1 prehod).
- Prosti prostor: Izbral bi možnost Smart Cleanup (Pametno čiščenje), saj ni razloga za prepisovanje sektorjev brez podatkov na pogonu HDD.
- Izberite Clean (Čiščenje) in Izberite svoj okus:
- Turbo Cleanup bo opravil samo običajno brisanje (na HDD/SSD) in ne bo očistil prostega prostora. Ni varen niti na trdem disku niti na disku SSD.
- Hitro čiščenje bo izvedlo varno brisanje (na HDD) in normalno brisanje + obrezovanje (na SSD), vendar ne bo očistilo prostega prostora. Menim, da je to dovolj varno za SSD, ne pa tudi za HDD.
- Normalno čiščenje bo izvedlo varno brisanje (na HDD) in normalno brisanje + obrezovanje (na SSD), nato pa bo očistilo celoten prosti prostor (Smart Cleanup na HDD in Full Cleanup na SSD) in bi moralo biti varno. Menim, da je ta možnost najboljša za trdi disk, za SSD pa je popolnoma pretirana.
- Kliknite Čiščenje in počakajte, da se čiščenje konča. Lahko traja nekaj časa in bo s podatki zapolnilo ves prosti prostor.
BleachBit.
Tu so koraki za BleachBit:
- Pridobite in namestite najnovejšo različico BleachBit tukaj: https: //www.bleachbit.org/download [Archive.org]
- Zaženite BleachBit
- Očistite vsaj vse v teh razdelkih:
- Globoko pregledovanje
- Windows Defender
- Raziskovalec Windows (vključno s Shellbags)
- Sistem
- Izberite vse druge sledi, ki jih želite odstraniti s seznama
- Tako kot pri prejšnjem pripomočku tudi tu ne bi čistil prostega prostora na pogonu SSD, saj menim, da je domači pripomoček za optimizacijo v sistemu Windows dovolj (glej spodaj) in da je polnjenje prostega prostora na SSD z omogočenim obrezovanjem povsem pretirano in nepotrebno.
- Kliknite Čiščenje in počakajte. To bo trajalo nekaj časa in zapolnilo ves prosti prostor s podatki tako na pogonih HDD kot SSD.
Prisilite obrezovanje s programom Windows Optimize (za pogone SSD).
S tem nativnim pripomočkom Windows 10 lahko samo sprožite obrezovanje na disku SSD, kar bi moralo biti več kot dovolj za varno čiščenje vseh izbrisanih datotek, ki bi ob brisanju nekako ušle obrezovanju.
Samo odprite Raziskovalca Windows, desno kliknite na sistemski disk in kliknite Lastnosti. Izberite Orodja. Kliknite Optimizacija in nato še enkrat Optimizacija. Končali ste. Mislim, da je to po mojem mnenju dovolj.
