Guide till anonymitet på nätet (av https://anonymousplanet.org/)

Användningen sker på egen risk. Ta inte den här guiden som en slutgiltig sanning för allt, för det är den inte.
  • Introduktion:
  • Förstå några grunder för hur viss information kan leda tillbaka till dig och hur du kan mildra vissa:
    • Ditt nätverk:
      • Din IP-adress:
      • Dina DNS- och IP-förfrågningar:
      • Dina RFID-aktiverade enheter:
      • Wi-Fis- och Bluetooth-enheter runt omkring dig:
      • Skadliga / Rogue Wi-Fi-åtkomstpunkter:
      • Din anonymiserade Tor/VPN-trafik:
      • Vissa enheter kan spåras även när de är offline:
    • Dina hårdvaruidentifierare:
      • Din IMEI och IMSI (och i förlängningen ditt telefonnummer):
      • Din Wi-Fi eller Ethernet MAC-adress:
      • Din Bluetooth MAC-adress:
    • Din CPU:
    • Operativsystem och telemetritjänster för appar:
    • Dina smarta enheter i allmänhet:
    • Dig själv:
      • Dina metadata, inklusive din geografiska placering:
      • Ditt digitala fingeravtryck, fotavtryck och onlinebeteende:
      • Dina ledtrådar om ditt verkliga liv och OSINT:
      • Ditt ansikte, din röst, din biometri och dina bilder:
      • Nätfiske och social ingenjörskonst:
    • Skadlig kod, exploateringar och virus:
      • Skadlig kod i dina filer/dokument/e-postmeddelanden:
      • Skadlig kod och exploateringar i dina appar och tjänster:
      • Skadliga USB-enheter:
      • Skadlig programvara och bakdörrar i din hårdvara, firmware och operativsystem:
    • Dina filer, dokument, bilder och videor:
      • Egenskaper och metadata:
      • Vattenmärkning:
      • Pixeliserad eller suddig information:
    • Dina transaktioner med kryptovalutor:
    • Dina molnbaserade säkerhetskopierings-/synkroniseringstjänster:
    • Fingeravtryck från din webbläsare och enhet:
    • Lokala dataläckor och kriminalteknik:
    • Dålig kryptografi:
    • Ingen loggning men loggning ändå policyer:
    • Några avancerade riktade tekniker:
    • Några bonusresurser:
    • Anteckningar:
  • Allmänna förberedelser:
    • Välja din rutt:
      • Begränsningar i tid:
      • Budget/Materialbegränsningar:
      • Färdigheter:
      • Motståndare (hot):
    • Steg för alla rutter:
      • Skaffa ett anonymt telefonnummer:
      • Skaffa ett USB-minne:
      • Hitta några säkra platser med bra offentligt Wi-Fi:
    • TAILS-rutten:
      • Persistent Plausible Deniability med hjälp av Whonix inom TAILS:
    • Steg för alla andra rutter:
      • Skaffa en dedikerad bärbar dator för dina känsliga aktiviteter:
      • Några rekommendationer för bärbara datorer:
      • Bios/UEFI/Firmware-inställningar för din bärbara dator:
      • Fysiskt manipulationsskydd för din bärbara dator:
    • Whonix-rutten:
      • Välja ditt värd-OS (det OS som är installerat på din bärbara dator):
      • Linux Värd OS:
      • MacOS Värd OS:
      • Windows Värd OS:
      • Virtualbox på ditt värdoperativsystem:
      • Välj din anslutningsmetod:
      • Skaffa ett anonymt VPN/Proxy:
      • Whonix:
      • Tor över VPN:
      • Whonix Virtuella maskiner:
      • Välj din virtuella maskin för gästarbetsstation:
      • Linux virtuell maskin (Whonix eller Linux):
      • Windows 10 Virtuell maskin:
      • Android Virtuell maskin:
      • MacOS Virtuell maskin:
      • KeepassXC:
      • Installation av VPN-klient (kontant/Monero betalas):
      • (Valfritt) så att endast VM: erna kan komma åt internet medan de stänger av värdoperativsystemet för att förhindra läckage:
      • Sista steget:
    • Qubes-rutten:
      • Välj din anslutningsmetod:
      • Skaffa ett anonymt VPN/Proxy:
      • Installation:
      • Beteende vid stängning av locket:
      • Anslut till ett offentligt Wi-Fi:
      • Uppdatera Qubes OS:
      • Härdning av Qubes OS:
      • Konfigurera VPN ProxyVM:
      • Konfigurera en säker webbläsare inom Qube OS (valfritt men rekommenderas):
      • Konfigurera en Android VM:
      • KeePassXC:
  • Skapa dina anonyma online-identiteter:
    • Förstå de metoder som används för att förhindra anonymitet och verifiera identitet:
      • Captchas:
      • Verifiering via telefon:
      • Verifiering av e-post:
      • Kontroll av användaruppgifter:
      • Verifiering av ID-bevis:
      • IP-filter:
      • Fingeravtryck från webbläsare och enheter:
      • Mänsklig interaktion:
      • Moderering av användare:
      • Beteendeanalys:
      • Finansiella transaktioner:
      • Inloggning med någon plattform:
      • Live Ansiktsigenkänning och biometri (igen):
      • Manuella granskningar:
    • Komma igång online:
      • Skapa nya identiteter:
      • Systemet med riktiga namn:
      • Om betaltjänster:
      • Översikt:
      • Så här delar du filer eller chattar anonymt:
      • Redigera dokument/bilder/videor/audio på ett säkert sätt:
      • Kommunicera känslig information till olika kända organisationer:
      • Underhållsuppgifter:
  • Säkerhetskopiera ditt arbete på ett säkert sätt:
    • Säkerhetskopiering offline:
      • Säkerhetskopiering av utvalda filer:
      • Säkerhetskopior av hela disken/systemet:
    • Online-säkerhetskopior:
      • Filer:
      • Information:
    • Synkronisera dina filer mellan enheter Online:
  • Att dölja dina spår:
    • Förstå HDD vs SSD:
      • Utjämning av slitage.
      • Trimningsoperationer:
      • Skräpuppsamling:
      • Slutsats:
    • Hur du säkert torkar hela din bärbara dator / hårddiskar om du vill radera allt:
      • Linux (alla versioner inklusive Qubes OS):
      • Windows:
      • MacOS:
    • Hur man säkert raderar specifika filer / mappar / data på din HDD / SSD och tumminnen:
      • Windows:
      • Linux (ej Qubes OS):
      • Linux (Qubes OS):
      • MacOS:
    • Några ytterligare åtgärder mot kriminalteknik:
      • Ta bort metadata från filer/dokument/bilder:
      • TAILS:
      • Whonix:
      • MacOS:
      • Linux (Qubes OS):
      • Linux (ej Qubes):
      • Windows:
    • Ta bort vissa spår av dina identiteter på sökmotorer och olika plattformar:
      • Google:
      • Bing:
      • DuckDuckGo:
      • Yandex:
      • Qwant:
      • Yahoo Sök:
      • Baidu:
      • Wikipedia:
      • Archive.today:
      • Internet Archive:
  • Några lågteknologiska knep av den gamla skolan:
    • Dold kommunikation i vanlig syn:
    • Hur man upptäcker om någon har sökt igenom dina saker:
  • Några sista OPSEC-tankar:
  • Om du tror att du har blivit bränd:
    • Om du har lite tid:
    • Om du inte har någon tid:
  • En liten slutlig redaktionell anmärkning
 
Last edited by a moderator:

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Budget/Materialbegränsningar.


  • Du har bara en bärbar dator tillgänglig och har inte råd med något annat. Du använder den här bärbara datorn för antingen arbete, familj eller privata saker (eller både och):
    • Ditt bästa alternativ är att välja Tails-rutten.
  • Du har råd med en extra dedikerad oövervakad / oövervakad bärbar dator för dina känsliga aktiviteter:
    • Men den är gammal, långsam och har dåliga specifikationer (mindre än 6 GB RAM, mindre än 250 GB diskutrymme, gammal/ långsam CPU):
      • Du bör välja Tails-alternativet.
    • Den är inte så gammal och den har hyfsade specifikationer (minst 6 GB RAM, 250 GB diskutrymme eller mer, hyfsad CPU):
      • Du kan gå för Tails, Whonix-vägar.
    • Det är nytt och det har fantastiska specifikationer (mer än 8 GB RAM, > 250 GB diskutrymme, nyligen snabb CPU):
      • Du kan gå till vilken rutt som helst men jag skulle rekommendera Qubes OS om din hotmodell tillåter det.
    • Om det är en ARM-baserad M1 Mac:
      • Inte möjligt för närvarande av dessa skäl:
        • Virtualisering av x86-bilder på ARM M1 Mac-datorer är fortfarande begränsad till kommersiell programvara (Parallels) som inte stöds av Whonix ännu.
        • Virtualbox är inte tillgängligt för ARM-arkitektur ännu.
        • Whonix stöds inte på ARM-arkitektur ännu.
        • Tails stöds inte på ARM-arkitektur ännu.
        • Qubes OS stöds inte på ARM-arkitektur ännu.

Ditt enda alternativ på M1 Mac-datorer är förmodligen att hålla fast vid Tor Browses för tillfället. Men jag skulle gissa att om du har råd med en M1 Mac bör du förmodligen skaffa en dedikerad x86-bärbar dator för mer känsliga aktiviteter.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Kompetens.


  • Du har inga IT-kunskaper alls och innehållet i den här guiden ser ut som ett främmande språk för dig?
    • Du bör välja Tails-rutten (med undantag för avsnittet om ihållande plausibel förnekelse).
  • Du har vissa IT-kunskaper och förstår i stort sett den här guiden så här långt
    • Du bör välja Tails (inklusive avsnittet om ihållande plausibel förnekelse) eller Whonix.
  • Du har måttliga till höga IT-kunskaper och är redan bekant med en del av innehållet i den här guiden
    • Du kan välja vad du vill men jag skulle starkt rekommendera Qubes OS.
  • Du är en l33T-hacker, "det finns ingen sked", "kakan är en lögn", du har använt "doas" i åratal och "all din bas tillhör oss", och du har starka åsikter om systemd.
    • Den här guiden är egentligen inte avsedd för dig och kommer inte att hjälpa dig med din HardenedBSD på din härdade Libreboot-laptop ;-)

 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Motståndare (hot).


  • Om du främst är intresserad av kriminalteknisk undersökning av dina enheter:
    • Du bör välja Tails-vägen (med valfri ihållande plausibel förnekelse).
  • Om du främst oroar dig för avlägsna motståndare som kan avslöja din onlineidentitet på olika plattformar:
    • Du kan välja Whonix- eller Qubes OS-vägarna.
    • Du kan också gå med Tails (med valfri ihållande plausibel förnekelse).
  • Om du absolut vill ha systemomfattande plausibel förnekbarhet trots riskerna:
    • Du kan välja Tails-rutten inklusive avsnittet om ihållande plausibel förnekelse.
    • Du kan gå med Whonix Route (på Windows Host OS endast inom ramen för denna guide).
  • Om du befinner dig i en fientlig miljö där Tor/VPN-användning ensam är omöjlig/farlig/misstänksam:
    • Du kan gå med Tails-rutten (utan att använda Tor).
    • Du kan gå med Whonix eller Qubes OS-rutten (utan att faktiskt använda Whonix).

I samtliga fall bör du läsa dessa två sidor från Whonix-dokumentationen som ger dig en djupgående inblick i dina val:



Du kanske frågar dig själv: "Hur vet jag om jag befinner mig i en fientlig onlinemiljö där aktiviteter aktivt övervakas och blockeras?"


 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Steg för alla rutter.


Vänj dig vid att använda bättre lösenord.


Se Bilaga A2: Riktlinjer för lösenord och lösenfraser.


Skaffa ett anonymt telefonnummer.


Hoppa över det här steget om du inte har för avsikt att skapa anonyma konton på de flesta vanliga plattformar utan bara vill surfa anonymt eller om de plattformar du kommer att använda tillåter registrering utan telefonnummer.


Fysisk brännartelefon och förbetalt SIM-kort.


Skaffa en brännartelefon.


Det här är ganska enkelt. Lämna din smartphone avstängd eller stäng av den innan du går. Ha lite kontanter och gå till någon slumpmässig loppmarknad eller liten butik (helst en utan CCTV inuti eller utanför och samtidigt som du undviker att fotograferas / filmas) och köp bara den billigaste telefonen du kan hitta med kontanter och utan att tillhandahålla någon personlig information. Den behöver bara vara i funktionsdugligt skick.


Personligen skulle jag rekommendera att du skaffar en gammal "dumbphone" med ett löstagbart batteri (gammal Nokia om dina mobilnätverk fortfarande tillåter dem att ansluta eftersom vissa länder fasat ut 1G-2G helt). Detta för att undvika automatisk sändning/insamling av telemetri/diagnostiska data på själva telefonen. Du ska aldrig ansluta telefonen till något Wi-Fi.


Det är också viktigt att aldrig slå på den brännartelefonen (inte ens utan SIM-kortet) på någon geografisk plats som kan leda till dig (till exempel hemma eller på jobbet) och aldrig någonsin på samma plats som din andra kända smartphone (eftersom den har ett IMEI/IMSI som lätt leder till dig). Detta kan verka som en stor börda, men det är det inte eftersom dessa telefoner endast används under installations- och registreringsprocessen och för verifiering då och då.


Se bilaga N: Varning om smartphones och smarta enheter


Du bör testa att telefonen är i funktionsdugligt skick innan du går vidare till nästa steg. Men jag upprepar mig själv och säger igen att det är viktigt att du lämnar din smartphone hemma när du åker (eller stänger av den innan du åker om du måste behålla den) och att du testar telefonen på en slumpmässig plats som inte kan spåras tillbaka till dig (och återigen, gör det inte framför en CCTV, undvik kameror, var medveten om din omgivning). Inget behov av Wi-Fi på denna plats heller.


När du är säker på att telefonen fungerar, inaktivera Bluetooth, stäng av den (ta ut batteriet om du kan) och åk hem och återuppta dina normala aktiviteter. Gå till nästa steg.


Skaffa ett anonymt förbetalt SIM-kort.


Det här är den svåraste delen av hela guiden. Det är en SPOF (Single Point of Failure). De platser där du fortfarande kan köpa förbetalda SIM-kort utan ID-registrering blir alltmer begränsade på grund av olika regler för KYC-typ.


Så här är en lista över platser där du fortfarande kan få dem nu: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


Du bör kunna hitta en plats som inte är "för långt bort" och bara gå dit fysiskt för att köpa några förbetalda kort och påfyllningskuponger med kontanter. Kontrollera att ingen lag har antagits innan du åker som skulle göra registrering obligatorisk (om ovanstående wiki inte har uppdaterats). Försök att undvika övervakningskameror och glöm inte att köpa en påfyllningskupong med SIM-kortet (om det inte är ett paket) eftersom de flesta kontantkort kräver påfyllning innan de kan användas.


Se bilaga N: Varning för smartphones och smarta enheter


Dubbelkolla att mobiloperatörerna som säljer de förbetalda SIM-korten accepterar SIM-aktivering och påfyllning utan någon form av ID-registrering innan du åker dit. Helst ska de acceptera SIM-aktivering och påfyllning från det land du bor i.


Personligen skulle jag rekommendera GiffGaff i Storbritannien eftersom de är "prisvärda", inte kräver identifiering för aktivering och påfyllning och till och med tillåter dig att ändra ditt nummer upp till två gånger från deras webbplats. Ett förbetalt SIM-kort från GiffGaff ger dig därför 3 nummer som du kan använda för dina behov.


Stäng av telefonen efter aktivering/påfyllning och innan du går hem. Slå aldrig på den igen om du inte befinner dig på en plats som kan användas för att avslöja din identitet och om din smartphone inte är avstängd innan du går till den där "inte hemma"-platsen.


Telefonnummer online (mindre rekommenderat).


DISCLAIMER: Försök inte detta förrän du är klar med att skapa en säker miljö enligt en av de valda rutterna. Detta steg kräver onlineåtkomst och bör endast göras från ett anonymt nätverk. Gör inte detta från någon känd/osäker miljö. Hoppa över detta tills du har slutfört en av rutterna.


Det finns många kommersiella tjänster som erbjuder nummer för att ta emot SMS-meddelanden online, men de flesta av dessa har i princip ingen anonymitet/privatliv och kan inte vara till någon hjälp eftersom de flesta sociala medieplattformar sätter en gräns för hur många gånger ett telefonnummer kan användas för registrering.


Det finns vissa forum och subreddits (som r/phoneverification/) där användare kommer att erbjuda tjänsten att ta emot sådana SMS-meddelanden åt dig mot en liten avgift (med PayPal eller någon kryptobetalning). Tyvärr är dessa fulla av bedragare och mycket riskabla när det gäller anonymitet. Du bör inte använda dem under några omständigheter.


Hittills känner jag inte till någon ansedd tjänst som skulle erbjuda den här tjänsten och acceptera kontantbetalningar (till exempel via post) som vissa VPN-leverantörer. Men det finns några tjänster som tillhandahåller telefonnummer online och accepterar Monero som kan vara rimligt anonyma (men mindre rekommenderade än det fysiska sättet i föregående kapitel) som du kan överväga:



Det finns några andra möjligheter som listas här https://cryptwerk.com/companies/sms/xmr/ [Archive. org]. Använd på egen risk.


DISCLAIMER: Jag kan inte gå i god för någon av dessa leverantörer och därför kommer jag fortfarande att rekommendera att du gör det själv fysiskt. I det här fallet måste du förlita dig på Moneros anonymitet och du bör inte använda någon tjänst som kräver någon form av identifiering med din riktiga identitet. Vänligen läs denna Monero Disclaimer.



Därför är det IMHO förmodligen bara bekvämare, billigare och mindre riskabelt att bara få ett förbetalt SIM-kort från en av de fysiska platserna som fortfarande säljer dem kontant utan att kräva ID-registrering. Men det finns åtminstone ett alternativ om du inte har något annat alternativ.


Skaffa en USB-nyckel.


Skaffa minst ett eller två generiska USB-minnen i anständig storlek (minst 16 GB men jag rekommenderar 32 GB).


Vänligen köp eller använd inte gimmicky självkrypterande enheter som dessa: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org]


Vissa kan vara mycket effektiva men många är prylar som inte erbjuder något verkligt skydd.


Hitta några säkra platser med anständigt offentligt Wi-Fi.


Du måste hitta säkra platser där du kan göra dina känsliga aktiviteter med hjälp av ett offentligt tillgängligt Wi-Fi (utan någon konto- / ID-registrering, undvik CCTV).


Det kan vara var som helst som inte är direkt kopplat till dig (ditt hem/arbete) och där du kan använda Wi-Fi ett tag utan att bli störd. Men också en plats där du kan göra detta utan att bli "uppmärksammad" av någon.


Om du tycker att Starbucks är en bra idé kanske du ska tänka om:


  • De har förmodligen övervakningskameror i alla sina butiker och behåller inspelningarna under en okänd tid.
  • Du måste köpa en kaffe för att få Wi-Fi-åtkomstkoden i de flesta. Om du betalar kaffet med en elektronisk metod kommer de att kunna koppla din Wi-Fi-åtkomst till din identitet.

Situationsmedvetenhet är nyckeln och du bör ständigt vara medveten om din omgivning och undvika turistplatser som det plågades av Ebola. Du vill undvika att dyka upp på någon bild / video av någon medan någon tar en selfie, gör en TikTok-video eller lägger upp någon resebild på sin Instagram. Om du gör det, kom ihåg att chansen är stor att dessa bilder hamnar online (offentligt eller privat) med fullständiga metadata kopplade till dem (tid/datum/geolokalisering) och ditt ansikte. Kom ihåg att dessa kan och kommer att indexeras av Facebook/Google/Yandex/Apple och förmodligen alla tre brevbyråerna.


Även om detta ännu inte kommer att vara tillgängligt för dina lokala poliser, kan det vara inom en snar framtid.


Du kommer helst att behöva en uppsättning av 3-5 olika platser som denna för att undvika att använda samma plats två gånger. Flera resor kommer att krävas under veckorna för de olika stegen i den här guiden.


Du kan också överväga att ansluta till dessa platser från ett säkert avstånd för extra säkerhet. Se Bilaga Q: Använda antenn med lång räckvidd för att ansluta till offentliga Wi-Fis från ett säkert avstånd.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Rutten för svansar.


Den här delen av guiden hjälper dig att konfigurera Tails om något av följande är sant:


  • Du har inte råd med en dedikerad bärbar dator
  • Din dedikerade bärbara dator är för gammal och för långsam
  • Du har mycket låg IT-kompetens
  • Du bestämmer dig ändå för att använda Tails

Tails står för The Amnesic Incognito Live System. Det är ett startbart Live-operativsystem som körs från en USB-nyckel som är utformad för att inte lämna några spår och tvinga alla anslutningar genom Tor-nätverket.


Du sätter ganska mycket in Tails USB-nyckel i din bärbara dator, startar från den och du har ett komplett operativsystem som körs med integritet och anonymitet i åtanke. Så snart du stänger av datorn kommer allt att vara borta om du inte har sparat det någonstans.


Tails är ett mycket enkelt sätt att komma igång på nolltid med det du har och utan mycket inlärning. Det finns omfattande dokumentation och handledning.


VARNING: Tails är inte alltid uppdaterad med deras medföljande programvara. Och inte alltid uppdaterad med Tor Browser-uppdateringarna heller. Du bör alltid se till att du använder den senaste versionen av Tails och du bör vara extremt försiktig när du använder medföljande appar inom Tails som kan vara sårbara för exploateringar och avslöja dinplats265.


Det har dock några nackdelar:


  • Tails använder Tor och därför kommer du att använda Tor för att komma åt alla resurser på internet. Bara detta gör dig misstänkt för de flesta plattformar där du vill skapa anonyma konton (detta förklaras mer i detalj senare).
  • Din internetleverantör (oavsett om det är din eller någon offentlig Wi-Fi) kommer också att se att du använder Tor och detta kan göra dig misstänksam i sig.
  • Tails innehåller inte (nativt) någon av de programvaror du kanske vill använda senare, vilket kommer att komplicera saker ganska mycket om du vill köra vissa specifika saker (Android Emulators till exempel).
  • Tails använder Tor Browser som även om den är mycket säker kommer att upptäckas också av de flesta plattformar och kommer att hindra dig från att skapa anonyma identiteter på många plattformar.
  • Tails kommer inte att skydda dig mer från 5 $ wrench8.
  • Tor i sig kanske inte räcker för att skydda dig från en motståndare med tillräckligt med resurser som förklarats tidigare.

Viktig anmärkning: Om din bärbara dator är övervakad/övervakad och vissa lokala begränsningar finns, läs Bilaga U: Hur man kringgår (vissa) lokala begränsningar på övervakade datorer.


Du bör också läsa Tails dokumentation, varningar och begränsningar innan du går vidare https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


Med hänsyn till allt detta och det faktum att deras dokumentation är bra, kommer jag bara att omdirigera dig till deras välgjorda och väl underhållna handledning:


https://tails.boum.org/install/index.en.html [Archive.org], välj din smak och fortsätt.


När du är klar och har en fungerande Tails på din bärbara dator, gå till Skapa dina anonyma onlineidentiteter steg mycket längre i den här guiden.


Om du har problem med att komma åt Tor på grund av censur eller andra problem kan du försöka använda Tor Bridges genom att följa denna Tails-handledning: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] och hitta mer information om dessa på Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive.org]


Om du tycker att det är farligt/misstänksamt att bara använda Tor, se Bilaga P: Få tillgång till internet så säkert som möjligt när Tor/VPN inte är ett alternativ
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Persistent Plausible Deniability med hjälp av Whonix within Tails.


Överväg att kontrollera projektet https://github.com/aforensics/HiddenVM [Archive.org] för Tails.


Det här projektet är en smart idé om en fristående VM-lösning med ett klick som du kan lagra på en krypterad disk med hjälp av plausibel förnekelse256 (se Whonix-rutten: första kapitlen och även för några förklaringar om plausibel förnekelse , samt avsnittet Hur du säkert raderar specifika filer / mappar / data på din HDD / SSD och Thumb-enheter: i slutet av den här guiden för mer förståelse).


Detta skulle göra det möjligt att skapa ett hybridsystem som blandar Tails med virtualiseringsalternativen i Whonix-rutten i den här guiden.
2021 08 04 17 12


Obs: Se Välj din anslutningsmetod i Whonix-rutten för fler förklaringar om Stream Isolation


Kort och gott:


  • Du kan köra icke-beständiga Tails från en USB-nyckel (enligt deras rekommendationer)
  • Du kan lagra beständiga virtuella datorer i en sekundär behållare som kan krypteras normalt eller med hjälp av Veracrypt-funktionen för trovärdig förnekelse (dessa kan till exempel vara Whonix virtuella datorer eller någon annan).
  • Du drar nytta av den extra Tor Stream Isolation-funktionen (se Tor över VPN för mer information om strömisolering).

I så fall, som projektet beskriver det, bör det inte finnas några spår av någon av dina aktiviteter på din dator och det känsliga arbetet kan utföras från virtuella datorer som lagras i en dold behållare som inte lätt ska kunna upptäckas av en mjuk motståndare.


Det här alternativet är särskilt intressant för att "resa lätt" och för att mildra kriminaltekniska attacker samtidigt som du behåller uthållighet i ditt arbete. Du behöver bara 2 USB-nycklar (en med Tails och en med en Veracrypt-behållare som innehåller persistent Whonix). Den första USB-nyckeln verkar bara innehålla Tails och den andra USB-nyckeln verkar bara innehålla slumpmässigt skräp men kommer att ha en decoy-volym som du kan visa för plausibel förnekelse.


Du kanske också undrar om detta kommer att resultera i en "Tor över Tor" -inställning, men det gör det inte. Whonix VM:er kommer att komma åt nätverket direkt via clearnet och inte via Tails Onion Routing.


I framtiden kan detta också stödjas av Whonix-projektet själva, vilket förklaras här: https://www.whonix.org/wiki/Whonix-Host [Archive.org] men det rekommenderas ännu inte för slutanvändare .


Kom ihåg att kryptering med eller utan rimligt förnekande inte är en silverkula och kommer att vara till liten nytta i händelse av tortyr. Beroende på vem din motståndare skulle vara (din hotmodell) kan det faktiskt vara klokt att inte använda Veracrypt (tidigare TrueCrypt) alls, vilket visas i denna demonstration: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Trovärdig förnekelse är endast effektiv mot mjuka lagliga motståndare som inte kommer att använda sig av fysiska medel.


Se https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis
[Wikiless] [Archive.org]


FÖRSIKTIGHET: Se Bilaga K: Överväganden för användning av externa SSD-enheter och Förstå HDD vs SSD -avsnitt om du överväger att lagra sådana dolda virtuella datorer på en extern SSD-enhet:


  • Använd inte dolda volymer på SSD-enheter eftersom detta inte stöds/rekommenderas av Veracrypt.
  • Använd istället filbehållare istället för krypterade volymer.
  • Se till att du vet hur du rengör data från en extern SSD-enhet på rätt sätt.

Här är min guide om hur man uppnår detta:


Första körningen.


  • Ladda ner den senaste HiddenVM-utgåvan från https://github.com/aforensics/HiddenVM/releases [Archive.org]
  • Ladda ner den senaste Whonix XFCE-versionen från https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
  • Förbered en USB-nyckel / hårddisk med Veracrypt
    • Skapa en dold volym på USB / Key Drive (jag skulle rekommendera minst 16 GB för den dolda volymen)
    • I den yttre volymen placerar du några lockfiler
    • I den dolda volymen placerar du HiddenVM appimage-filen
    • I den dolda volymen placerar du Whonix XFCE ova-filen
  • Starta upp i Tails
  • Ställ in tangentbordslayouten som du vill ha den.
  • Välj Additional Settings och ange ett administratörslösenord (root) (behövs för att installera HiddenVM)
  • Starta Tails
  • Anslut till ett säkert wi-fi (detta är ett nödvändigt steg för att resten ska fungera)
  • Gå in i Verktyg och Lås upp din Veracrypt (dolda) volym (glöm inte att markera kryssrutan för dold volym)
  • Starta HiddenVM-appimagen
  • När du uppmanas att välja en mapp väljer du roten till den dolda volymen (där Whonix OVA- och HiddenVM-appbildfilerna finns).
  • Låt det göra sin sak (Detta kommer i princip att installera Virtualbox inom Tails med ett klick)
  • När det är klart bör det automatiskt starta Virtualbox Manager.
  • Importera Whonix OVA-filer (se Whonix Virtual Machines:)

Observera att om du under importen har problem som "NS_ERROR_INVALID_ARG (0x80070057)", beror det förmodligen på att det inte finns tillräckligt med diskutrymme på din dolda volym för Whonix. Whonix själva rekommenderar 32 GB ledigt utrymme men det är förmodligen inte nödvändigt och 10 GB bör räcka till en början. Du kan försöka arbeta runt det här felet genom att byta namn på Whonix * .OVA-filen till * .TAR och dekomprimera den i Tails. När du är klar med dekomprimeringen tar du bort OVA-filen och importerar de andra filerna med importguiden. Den här gången kanske det fungerar.


Efterföljande körningar.


  • Starta upp i Tails
  • Anslut till Wi-Fi
  • Lås upp din dolda volym
  • Starta HiddenVM-appen
  • Detta bör automatiskt öppna VirtualBox-hanteraren och visa dina tidigare virtuella datorer från första körningen
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Steg för alla andra vägar.


Skaffa en särskild bärbar dator för dina känsliga aktiviteter.


Helst bör du skaffa en särskild bärbar dator som inte kan knytas till dig på något enkelt sätt (helst betalas med kontanter anonymt och med samma försiktighetsåtgärder som tidigare nämnts för telefonen och SIM-kortet). Det rekommenderas men är inte obligatoriskt eftersom den här guiden hjälper dig att härda din bärbara dator så mycket som möjligt för att förhindra dataläckage på olika sätt. Det kommer att finnas flera försvarslinjer som står mellan dina onlineidentiteter och dig själv som bör förhindra att de flesta motståndare avanonymiserar dig förutom statliga / globala aktörer med betydande resurser.


Denna bärbara dator bör helst vara en ren nyinstallerad bärbar dator (som kör Windows, Linux eller MacOS), ren från dina normala dagliga aktiviteter och offline (aldrig ansluten till nätverket ännu). När det gäller en Windows-bärbar dator, och om du använde den innan en sådan ren installation, bör den inte heller aktiveras (ominstalleras utan en produktnyckel). Särskilt när det gäller MacBooks bör den aldrig ha varit knuten till din identitet tidigare på något sätt. Så köp begagnat med kontanter från en okänd främling som inte känner till din identitet


Detta är för att mildra vissa framtida problem i händelse av online-läckor (inklusive telemetri från ditt operativsystem eller appar) som kan äventyra alla unika identifierare av den bärbara datorn när du använder den (MAC-adress, Bluetooth-adress och produktnyckel ...). Men också för att undvika att spåras tillbaka om du behöver göra dig av med den bärbara datorn.


Om du har använt den här bärbara datorn tidigare för olika ändamål (t.ex. i din dagliga verksamhet) är alla dess hårdvaruidentifierare förmodligen kända och registrerade av Microsoft eller Apple. Om någon av dessa identifierare senare äventyras (av skadlig kod, telemetri, exploateringar, mänskliga fel ...) kan de leda tillbaka till dig.


Den bärbara datorn ska ha minst 250 GB diskutrymme och minst 6 GB (helst 8 GB eller 16 GB) RAM-minne och ska kunna köra ett par virtuella maskiner samtidigt. Den bör ha ett fungerande batteri som räcker i några timmar.


Den här bärbara datorn kan ha en hårddisk (7200 rpm) eller en SSD/NVMe-enhet. Båda alternativen har sina fördelar och problem som kommer att beskrivas närmare senare.


Alla framtida onlinesteg som utförs med den här bärbara datorn bör helst göras från ett säkert nätverk, till exempel ett offentligt Wi-Fi på en säker plats (se Hitta några säkra platser med anständigt offentligt Wi-Fi). Men flera steg måste tas offline först.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Några rekommendationer för bärbara datorer.


Om du har råd kan du överväga att skaffa en bärbar Purism Librem-dator(https://puri.sm [Archive. org]) eller System76-dator(https://system76.com/ [Archive.org]) när du använder Coreboot (där Intel IME är inaktiverat från fabriken).


I andra fall skulle jag starkt rekommendera att du skaffar bärbara datorer i affärskvalitet (vilket inte betyder bärbara datorer i konsument- / spelkvalitet) om du kan. Till exempel några ThinkPad från Lenovo (min personliga favorit). Här är listor över bärbara datorer som för närvarande stöder Libreboot och andra där du kan flasha Coreboot själv (som gör att du kan inaktivera Intel IME eller AMD PSP):



Detta beror på att dessa bärbara företagsdatorer vanligtvis erbjuder bättre och mer anpassningsbara säkerhetsfunktioner (särskilt i BIOS / UEFI-inställningarna) med längre stöd än de flesta bärbara konsumentdatorer (Asus, MSI, Gigabyte, Acer ...). De intressanta funktionerna att leta efter är IMHO:


  • Bättre anpassade Secure Boot-inställningar (där du selektivt kan hantera alla nycklar och inte bara använda standardnycklarna)
  • HDD/SSD-lösenord utöver bara BIOS/UEFI-lösenord.
  • AMD-bärbara datorer kan vara mer intressanta eftersom vissa ger möjlighet att inaktivera AMD PSP (AMD-motsvarigheten till Intel IME) från BIOS / UEFI-inställningarna som standard. Och eftersom AFAIK, AMD PSP granskades och i motsats till IME inte visade sig ha några "onda" funktioner. Men om du går för Qubes OS Route överväga Intel eftersom de inte stöder AMD med sitt anti-evil-maid-system.
  • Secure Wipe-verktyg från BIOS (särskilt användbart för SSD/NVMe-enheter, se Bilaga M: BIOS/UEFI-alternativ för att torka diskar i olika märken).
  • Bättre kontroll över inaktivering/aktivering av utvalda kringutrustningar (USB-portar, Wi-Fis, Bluetooth, kamera, mikrofon ...).
  • Bättre säkerhetsfunktioner med virtualisering.
  • Inbyggt skydd mot manipulering.
  • Längre stöd med BIOS/UEFI-uppdateringar (och efterföljande säkerhetsuppdateringar för BIOS/UEFI).
  • Vissa stöds av Libreboot
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Bios/UEFI/Firmware Inställningar för din bärbara dator.


PC.


Dessa inställningar kan nås via startmenyn på din bärbara dator. Här är en bra handledning från HP som förklarar alla sätt att komma åt BIOS på olika datorer: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org]


Vanligtvis trycker du på en specifik tangent (F1, F2 eller Del) vid start (före ditt operativsystem).


När du väl är där inne måste du tillämpa några rekommenderade inställningar:


  • Inaktivera Bluetooth helt om du kan.
  • Avaktivera biometri (fingeravtrycksläsare) om du har någon om du kan. Du kan dock lägga till en biometrisk extra kontroll för att bara starta (före start) men inte för att komma åt BIOS / UEFI-inställningarna.
  • Inaktivera webbkameran och mikrofonen om du kan.
  • Aktivera BIOS/UEFI-lösenord och använd en lång lösenfras istället för ett lösenord (om du kan) och se till att detta lösenord krävs för:
    • Få åtkomst till BIOS/UEFI-inställningarna själva
    • Ändra startordningen
    • Uppstart/påslagning av enheten
  • Aktivera HDD/SSD-lösenord om funktionen är tillgänglig. Den här funktionen lägger till ett annat lösenord på själva hårddisken/SSD:n (inte i BIOS/UEFI-firmware) som förhindrar att hårddisken/SSD:n används i en annan dator utan lösenordet. Observera att denna funktion också är specifik för vissa tillverkare och kan kräva specifik programvara för att låsa upp disken från en helt annan dator.
  • Förhindra åtkomst till startalternativen (startordningen) utan att ange BIOS/UEFI-lösenordet om du kan.
  • Inaktivera USB/HDMI eller någon annan port (Ethernet, Firewire, SD-kort ...) om du kan.
  • Inaktivera Intel ME om du kan.
  • Inaktivera AMD PSP om du kan (AMD:s motsvarighet till IME , se Din CPU)
  • Avaktivera Secure Boot om du tänker använda QubesOS eftersom de inte stöder det från början. Behåll den på om du tänker använda Linux/Windows.
  • Kontrollera om BIOS för din bärbara dator har ett säkert raderingsalternativ för din HDD/SSD som kan vara praktiskt vid behov.

Aktivera dem endast om du behöver använda dem och inaktivera dem igen efter användning. Detta kan bidra till att mildra vissa attacker om din bärbara dator beslagtas medan den är låst men fortfarande påslagen ELLER om du var tvungen att stänga av den ganska snabbt och någon tog den i besittning (detta ämne kommer att förklaras senare i den här guiden).


Om säker start.


Så vad är Secure Boot Kort sagt är det en UEFI-säkerhetsfunktion som är utformad för att förhindra att din dator startar ett operativsystem från vilket startladdaren inte signerades av specifika nycklar som lagras i UEFI-firmware på din bärbara dator.


När operativsystemet (eller bootloadern) stöder det kan du lagra nycklarna till bootloadern i UEFI-firmware och på så sätt förhindra att ett obehörigt operativsystem startas (t.ex. ett USB-minne med live OS eller liknande).


Secure Boot-inställningarna skyddas av det lösenord som du ställer in för att komma åt BIOS/UEFI-inställningarna. Om du har det lösenordet kan du inaktivera Secure Boot och tillåta osignerade operativsystem att starta på ditt system. Detta kan hjälpa till att minska vissa Evil-Maid-attacker (förklaras senare i den här guiden).


I de flesta fall är Secure Boot inaktiverat som standard eller aktiverat men i "setup"-läge, vilket gör att alla system kan starta. För att Secure Boot ska fungera måste ditt operativsystem stödja det och sedan signera sin bootloader och skicka dessa signeringsnycklar till din UEFI-firmware. Efter det måste du gå till BIOS/UEFI-inställningarna och spara dessa nycklar från operativsystemet och ändra Secure Boot från setup till användarläge (eller anpassat läge i vissa fall).


Efter att ha gjort det steget kommer endast de operativsystem från vilka din UEFI-firmware kan verifiera bootloaderns integritet att kunna starta.


De flesta bärbara datorer har redan några standardnycklar lagrade i de säkra startinställningarna. Vanligtvis de från tillverkaren själv eller från vissa företag som Microsoft. Detta innebär att det som standard alltid kommer att vara möjligt att starta vissa USB-diskar även med säker start. Dessa inkluderar Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla och många andra. Secure Boot stöds dock inte alls av QubesOS vid denna tidpunkt.


I vissa bärbara datorer kan du hantera dessa nycklar och ta bort dem du inte vill ha med ett "anpassat läge" för att bara auktorisera din egen bootloader som du kan signera själv om du verkligen vill.


Så, vad skyddar Secure Boot dig från? Det skyddar din bärbara dator från att starta osignerade bootloaders (av OS-leverantören) med till exempel injicerad skadlig kod.


Vad skyddar Secure Boot dig inte från?


  • Secure Boot krypterar inte din disk och en motståndare kan fortfarande bara ta bort disken från din bärbara dator och extrahera data från den med hjälp av en annan maskin. Secure Boot är därför värdelöst utan fullständig diskkryptering.
  • Secure Boot skyddar dig inte från en signerad bootloader som skulle kunna äventyras och signeras av tillverkaren själv (Microsoft till exempel när det gäller Windows). De flesta vanliga Linux-distributioner är signerade nuförtiden och startar med Secure Boot aktiverat.
  • Secure Boot kan ha brister och exploatera som alla andra system. Om du kör en gammal bärbar dator som inte drar nytta av nya BIOS/UEFI-uppdateringar kan dessa inte åtgärdas.

Dessutom finns det ett antal attacker som skulle kunna vara möjliga mot Secure Boot, vilket förklaras (på djupet) i dessa tekniska videor:



Så det kan vara användbart som en extra åtgärd mot vissa motståndare men inte alla. Secure Boot i sig krypterar inte din hårddisk. Det är ett extra lager men det är det.


Jag rekommenderar fortfarande att du behåller det om du kan.



Mac.


Ta en stund att ställa in ett firmware-lösenord enligt handledningen här: https://support.apple.com/en-au/HT204455 [Archive.org]


Du bör också aktivera återställningsskydd för firmware-lösenord (tillgängligt från Catalina) enligt dokumentationen här: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Denna funktion kommer att minska möjligheten för vissa motståndare att använda hårdvaruhack för att inaktivera / kringgå ditt firmware-lösenord. Observera att detta också kommer att förhindra Apple själva från att få tillgång till den fasta programvaran vid reparation.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Fysiskt manipulationsskydda din bärbara dator.


Vid något tillfälle kommer du oundvikligen att lämna din bärbara dator ensam någonstans. Du kommer inte att sova med den och ta med dig den överallt varje dag. Du bör göra det så svårt som möjligt för någon att manipulera den utan att du märker det. Detta är mest användbart mot vissa begränsade motståndare som inte kommer att använda en skiftnyckel på 5 $ mot dig.


Det är viktigt att veta att det är trivialt enkelt för vissa specialister att installera en nyckelloggare i din bärbara dator, eller att bara göra en klonkopia av din hårddisk som senare kan göra det möjligt för dem att upptäcka förekomsten av krypterad data i den med hjälp av kriminaltekniska tekniker (mer om det senare).


Här är en bra billig metod för att göra din bärbara dator manipuleringssäker med hjälp av nagellack (med glitter) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (med bilder).


Även om det här är en bra billig metod kan det också väcka misstankar eftersom det är ganska "märkbart" och kanske bara avslöjar att du "har något att dölja". Det finns alltså mer subtila sätt att uppnå samma resultat. Du kan också till exempel göra en nära makrofotografering av de bakre skruvarna på din bärbara dator eller bara använda en mycket liten mängd ljusvax i en av skruvarna som bara kan se ut som vanlig smuts. Du kan sedan kontrollera om det är manipulerat genom att jämföra fotografierna av skruvarna med nya. Deras orientering kan ha ändrats lite om din motståndare inte var tillräckligt försiktig (dra åt dem exakt på samma sätt som de var tidigare). Eller så kan vaxet i botten av ett skruvhuvud ha skadats jämfört med tidigare.
2021 08 05 07 49

Samma teknik kan användas med USB-portar där du bara kan lägga en liten mängd stearin i kontakten som skulle skadas om du sätter in en USB-nyckel i den.


I mer riskfyllda miljöer bör du kontrollera din bärbara dator för manipulering innan du använder den regelbundet.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Whonix-rutten.


Välj ditt värd-OS (det OS som är installerat på din bärbara dator).


Den här rutten kommer att använda virtuella maskiner i stor utsträckning, och de kräver ett värdoperativsystem för att köra virtualiseringsprogramvaran. Du har 3 rekommenderade val i den här delen av guiden:


  • Din valda Linux-distribution (exklusive Qubes OS)
  • Windows 10 (helst Home Edition på grund av avsaknaden av Bitlocker)
  • MacOS (Catalina eller högre)

Dessutom är risken stor att din Mac är eller har varit knuten till ett Apple-konto (vid köptillfället eller efter inloggning) och därför kan dess unika hårdvaruidentifierare leda tillbaka till dig i händelse av läckage av hårdvaruidentifierare.


Linux är inte heller nödvändigtvis det bästa valet för anonymitet beroende på din hotmodell. Detta beror på att användning av Windows gör det möjligt för oss att enkelt använda Plausible Deniability (aka Deniable Encryption) enkelt på OS-nivå. Windows är också tyvärr samtidigt en mardröm för privatlivet men är det enda (praktiska) alternativet för att använda OS-brett plausibelt förnekande. Windows telemetri och telemetriblockering är också allmänt dokumenterad vilket bör mildra många problem.


Så, vad är plausibel förnekbarhet? Det är möjligheten för dig att samarbeta med en motståndare som begär åtkomst till din enhet/data utan att avslöja din sanna hemlighet. Allt detta med hjälp av förnekbar kryptering.


En mjuk laglig motståndare kan be om ditt krypterade lösenord för bärbar dator. Till en början kan du vägra att lämna ut något lösenord (med hjälp av din "rätt att tiga", "rätt att inte belasta dig själv") men vissa länder inför lagar som undantar detta från sådana rättigheter (på grund av terrorister och "tänk på barnen"). I så fall kan du bli tvungen att avslöja lösenordet eller kanske dömas till fängelse för domstolstrots. Det är här plausibel förnekbarhet kommer att spela in.


Du kan då avslöja ett lösenord, men det lösenordet ger bara tillgång till "trovärdiga data" (ett låtsas-OS). Kriminalteknikerna kommer att vara väl medvetna om att det är möjligt för dig att ha dolt data men bör inte kunna bevisa detta (om du gör detta rätt). Du kommer att ha samarbetat och utredarna kommer att ha tillgång till något, men inte det du faktiskt vill dölja. Eftersom bevisbördan ligger på deras sida kommer de inte att ha något annat val än att tro på dig om de inte har bevis för att du har dolda data.


Den här funktionen kan användas på OS-nivå (ett troligt OS och ett dolt OS) eller på filnivå där du har en krypterad filbehållare (liknande en zip-fil) där olika filer visas beroende på det krypteringslösenord du använder.


Detta innebär också att du kan skapa din egen avancerade "plausibel förnekelse"-konfiguration med hjälp av valfritt värdoperativsystem genom att lagra t.ex. virtuella maskiner på en dold Veracrypt-volymbehållare (var försiktig med spår i värdoperativsystemet som måste rensas om värdoperativsystemet är beständigt, se avsnittet Några ytterligare åtgärder mot kriminalteknik senare). Det finns ett projekt för att uppnå detta inom Tails(https://github.com/aforensics/HiddenVM [Archive.org]) som skulle göra ditt Host OS icke beständigt och använda plausibel förnekbarhet inom Tails.


När det gäller Windows är plausibel deniability också anledningen till att du helst bör ha Windows 10 Home (och inte Pro). Detta beror på att Windows 10 Pro nativt erbjuder ett fulldiskkrypteringssystem (Bitlocker) där Windows 10 Home inte erbjuder någon fulldiskkryptering alls. Vi kommer senare att använda en tredjeparts programvara med öppen källkod för kryptering som tillåter fulldiskkryptering på Windows 10 Home. Detta ger dig en bra (trovärdig) ursäkt för att använda denna programvara. Att använda den här programvaran på Windows 10 Pro skulle vara misstänksamt.


Notera om Linux: Så, hur är det med Linux och trovärdig förnekbarhet? Ja, det är faktiskt möjligt att uppnå plausibel förnekelse med Linux också. Men det är komplicerat att konfigurera och IMHO kräver en skicklighetsnivå som är tillräckligt hög för att du förmodligen inte behöver den här guiden för att hjälpa dig att prova det.


Tyvärr är kryptering inte magi och det finns vissa risker involverade:


Hot med kryptering.


Skiftnyckeln för 5 dollar.


Kom ihåg att kryptering med eller utan plausibel förnekbarhet inte är en silverkula och kommer att vara till liten nytta i händelse av tortyr. Beroende på vem din motståndare skulle vara (din hotmodell) kan det faktiskt vara klokt att inte använda Veracrypt (tidigare TrueCrypt) alls, vilket visas i denna demonstration: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Troligt förnekande är endast effektivt mot mjuka, laglydiga motståndare som inte kommer att ta till fysiska medel. Undvik, om möjligt, att använda programvara som kan användas för plausibel förnekelse (t.ex. Veracrypt) om din hotmodell inkluderar hårda motståndare. Windows-användare bör i så fall installera Windows Pro som Host OS och använda Bitlocker i stället.


Se https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]


Evil-Maid-attack.


Evil Maid Attacks utförs när någon manipulerar med din bärbara dator medan du är borta. För att installera för att klona din hårddisk, installera skadlig kod eller en nyckelloggare. Om de kan klona din hårddisk kan de jämföra en bild av din hårddisk vid den tidpunkt då de tog den medan du var borta med hårddisken när de beslagtar den från dig. Om du använde den bärbara datorn igen däremellan kan kriminaltekniker kanske bevisa att det finns dolda data genom att titta på variationerna mellan de två bilderna i vad som borde vara ett tomt/ oanvänt utrymme. Detta kan leda till starka bevis för att det finns dolda data. Om de installerar en key logger eller skadlig kod i din bärbara dator (programvara eller hårdvara) kan de helt enkelt få lösenordet från dig för senare användning när de beslagtar den. Sådana attacker kan ske i ditt hem, på ditt hotell, vid en gränsövergång eller var som helst där du lämnar dina enheter obevakade.


Du kan motverka den här attacken genom att göra följande (enligt tidigare rekommendationer):


  • Ha ett grundläggande manipulationsskydd (som förklarats tidigare) för att förhindra fysisk åtkomst till den bärbara datorns interna delar utan din vetskap. Detta kommer att förhindra dem från att klona dina diskar och installera en fysisk nyckelloggare utan din vetskap.
  • Inaktivera alla USB-portar (som förklarats tidigare) i ett lösenordsskyddat BIOS/UEFI. Återigen, de kommer inte att kunna slå på dem (utan att fysiskt komma åt moderkortet för att återställa BIOS) för att starta en USB-enhet som kan klona din hårddisk eller installera en mjukvarubaserad skadlig kod som kan fungera som en nyckelloggare.
  • Konfigurera BIOS/UEFI/Firmware-lösenord för att förhindra obehörig start av en obehörig enhet.
  • Vissa operativsystem och krypteringsprogram har ett anti-EvilMaid-skydd som kan aktiveras. Detta är fallet med Windows/Veracrypt och QubeOS.

Attack med kall start.


Cold Boot-attacker är knepigare än Evil Maid-attacken men kan vara en del av en Evil Maid-attack eftersom det kräver att en motståndare kommer i besittning av din bärbara dator medan du aktivt använder din enhet eller kort därefter.


Idén är ganska enkel, som visas i den här videon, kan en motståndare teoretiskt sett snabbt starta upp din enhet på en speciell USB-nyckel som kopierar innehållet i enhetens RAM (minnet) efter att du har stängt av den. Om USB-portarna är inaktiverade eller om de känner att de behöver mer tid, kan de öppna den och "kyla ner" minnet med hjälp av en spray eller andra kemikalier (flytande kväve till exempel) som förhindrar att minnet förfaller. De skulle då kunna kopiera innehållet för analys. Denna minnesdump kan innehålla nyckeln till att dekryptera din enhet. Vi kommer senare att tillämpa några principer för att mildra dessa.


När det gäller Plausible Deniability har det gjorts några kriminaltekniska studier om att tekniskt bevisa närvaron av dolda data med en enkel kriminalteknisk undersökning (utan en Cold Boot / Evil Maid Attack) men dessa har ifrågasatts av andra studier och av underhållaren av Veracrypt så jag skulle inte oroa mig för mycket för dem ännu.


Samma åtgärder som används för att mildra Evil Maid-attacker bör vara på plats för Cold Boot-attacker med några tillagda:


  • Om ditt operativsystem eller krypteringsprogram tillåter det, bör du överväga att kryptera nycklarna i RAM också (detta är möjligt med Windows / Veracrypt och kommer att förklaras senare)
  • Du bör begränsa användningen av Sleep stand-by och istället använda Shutdown eller Hibernate för att förhindra att krypteringsnycklarna stannar kvar i RAM när datorn går i viloläge. Detta beror på att sömn kommer att upprätthålla ström till ditt minne för att återuppta din aktivitet snabbare. Endast viloläge och avstängning kommer faktiskt att rensa nyckeln från minnet.

Se även https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] och https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org]


Här finns också några intressanta verktyg som Linux-användare kan överväga för att försvara sig mot dessa:



Om sömn, viloläge och avstängning.


Om du vill ha bättre säkerhet bör du stänga av din bärbara dator helt varje gång du lämnar den obevakad eller stänger locket. Detta bör rengöra och/eller frigöra RAM-minnet och ge skydd mot cold boot-attacker. Detta kan dock vara lite obekvämt eftersom du måste starta om helt och skriva in massor av lösenord i olika appar. Starta om olika VM och andra appar. Så i stället kan du också använda viloläge i stället (stöds inte på Qubes OS). Eftersom hela disken är krypterad bör viloläge i sig inte utgöra någon stor säkerhetsrisk men kommer ändå att stänga av din bärbara dator och rensa minnet samtidigt som du bekvämt kan återuppta ditt arbete efteråt. Vad du aldrig bör göra är att använda standardfunktionen för viloläge, som håller datorn påslagen och minnet igång. Detta är en attackvektor mot evil-maid och cold-boot-attacker som diskuterats tidigare. Detta beror på att det påslagna minnet innehåller krypteringsnycklarna till disken (krypterade eller ej) och att en skicklig motståndare kan komma åt dem.


Den här guiden kommer senare att ge vägledning om hur du aktiverar viloläge på olika värdoperativsystem (utom Qubes OS) om du inte vill stänga av varje gång.


Lokala dataläckage (spår) och kriminalteknisk undersökning.


Som nämnts kort tidigare är detta dataläckage och spår från ditt operativsystem och dina appar när du utför någon aktivitet på din dator. Dessa gäller främst krypterade filbehållare (med eller utan plausibel förnekelse) än OS-omfattande kryptering. Sådana läckor är mindre "viktiga" om hela operativsystemet är krypterat (om du inte är tvungen att avslöja lösenordet).


Låt oss till exempel säga att du har en Veracrypt-krypterad USB-nyckel med plausibel deniability aktiverad. Beroende på vilket lösenord du använder när du monterar USB-nyckeln öppnas en lockmapp eller den känsliga mappen. I dessa mappar kommer du att ha falska dokument/data i den falska mappen och känsliga dokument/data i den känsliga mappen.


I alla fall kommer du (troligen) att öppna dessa mappar med Windows Explorer, MacOS Finder eller något annat verktyg och göra vad du planerade att göra. Kanske kommer du att redigera ett dokument i den känsliga mappen. Kanske kommer du att söka efter ett dokument i mappen. Kanske kommer du att radera ett eller titta på en känslig video med VLC.


Tja, alla dessa appar och ditt operativsystem kan hålla loggar och spår av den användningen. Detta kan inkludera den fullständiga sökvägen till mappen/filerna/enheterna, tiden då de öppnades, tillfälliga cacheminnen för dessa filer, "senaste"-listorna i varje app, filindexeringssystemet som kan indexera enheten och till och med miniatyrbilder som kan genereras


Här är några exempel på sådana läckor:


Windows.


  • Windows ShellBags som lagras i Windows-registret och som i tysthet lagrar olika historik över åtkomna volymer/filer/mappar.
  • Windows-indexering som håller spår av filerna som finns i din användarmapp som standard.
  • Senaste listor (även kallade Jump Lists) i Windows och olika appar som håller spår av nyligen öppnade dokument.
  • Många fler spår i olika loggar, se den här praktiska intressanta affischen för mer insikt: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.


  • Gatekeeper290 och XProtect håller reda på din nedladdningshistorik i en lokal databas och filattribut.
  • Spotlight-indexering
  • Senaste listor i olika appar som håller spår av nyligen åtkomna dokument.
  • Temporära mappar som håller olika spår av appanvändning och dokumentanvändning.
  • MacOS loggar
  • ...

Linux.


  • Indexering av spårare
  • Bash-historik
  • USB-loggar
  • Senaste listor i olika appar som håller spår av nyligen öppnade dokument.
  • Linux-loggar
  • ...

Forensics kan använda alla dessa läckor (se Lokala dataläckor och Forensics) för att bevisa att det finns dolda data och besegra dina försök att använda plausibel förnekelse och ta reda på dina olika känsliga aktiviteter.


Det är därför viktigt att vidta olika åtgärder för att förhindra att kriminaltekniker gör detta genom att förhindra och rensa dessa läckor/spår och framför allt genom att använda kryptering av hela disken, virtualisering och uppdelning i fack.


Forensics kan inte extrahera lokala dataläckage från ett operativsystem som de inte kan komma åt. Och du kommer att kunna rensa de flesta av dessa spår genom att torka enheten eller genom att säkert radera dina virtuella maskiner (vilket inte är så lätt som du tror på SSD-enheter).


Vissa rengöringstekniker kommer ändå att täckas i delen "Täck dina spår" i den här guiden i slutet.


Dataläckage online.


Oavsett om du använder enkel kryptering eller plausibel förnekbarhetskryptering. Även om du har täckt dina spår på själva datorn. Det finns fortfarande en risk för dataläckage online som kan avslöja förekomsten av dolda data.


Telemetri är din fiende. Som förklarats tidigare i den här guiden kan telemetri från operativsystem men också från appar skicka svindlande mängder privat information online.


När det gäller Windows kan dessa data t.ex. användas för att bevisa att det finns ett dolt operativsystem/volym på en dator och skulle vara lättillgängliga hos Microsoft. Därför är det oerhört viktigt att du inaktiverar och blockerar telemetri med alla medel du har till ditt förfogande. Oavsett vilket operativsystem du använder.


Slutsats.


Du bör aldrig utföra känsliga aktiviteter från ett icke-krypterat system. Och även om det är krypterat bör du förmodligen aldrig utföra känsliga aktiviteter från själva värdoperativsystemet. Istället bör du använda en virtuell dator för att effektivt kunna isolera och dela upp dina aktiviteter och förhindra lokala dataläckage.


Om du har liten eller ingen kunskap om Linux eller om du vill använda OS-bred plausibel förnekbarhet, skulle jag rekommendera att du går till Windows (eller tillbaka till Tails-rutten) för enkelhets skull. Den här guiden hjälper dig att härda den så mycket som möjligt för att förhindra läckor. Den här guiden hjälper dig också att härda MacOS och Linux så mycket som möjligt för att förhindra liknande läckor.


Om du inte har något intresse för OS-bred plausibel förnekbarhet och vill lära dig att använda Linux, skulle jag starkt rekommendera att du går till Linux eller Qubes-rutten om din hårdvara tillåter det.


I samtliga fall bör värdoperativsystemet aldrig användas för att utföra känsliga aktiviteter direkt. Värdoperativsystemet kommer endast att användas för att ansluta till en offentlig Wi-Fi-åtkomstpunkt. Det kommer att lämnas oanvänt medan du utför känsliga aktiviteter och bör helst inte användas för några av dina dagliga aktiviteter.


Överväg också att läsa https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Linux värd OS.


Som tidigare nämnts rekommenderar jag inte att du använder din vanliga bärbara dator för mycket känsliga aktiviteter. Eller åtminstone rekommenderar jag inte att du använder ditt operativsystem på plats för dessa. Om du gör det kan det leda till oönskade dataläckor som kan användas för att avanonymisera dig. Om du har en dedikerad bärbar dator för detta bör du installera om ett nytt rent operativsystem. Om du inte vill torka av din bärbara dator och börja om, bör du överväga Tails-rutten eller fortsätta på egen risk.


Jag rekommenderar också att du gör den första installationen helt offline för att undvika dataläckage.


Du bör alltid komma ihåg att trots ryktet är Linux mainstream-distributioner (Ubuntu till exempel) inte nödvändigtvis bättre på säkerhet än andra system som MacOS och Windows. Se den här referensen för att förstå varför https://madaidans-insecurities.github.io/linux.html [Archive.org].


Fullständig diskkryptering.


Det finns två möjligheter här med Ubuntu:



För andra distros måste du dokumentera dig själv men det kommer sannolikt att vara liknande. Kryptering under installationen är bara mycket enklare i samband med den här guiden.


Avvisa/inaktivera all telemetri.



Inaktivera allt onödigt.



Viloläge.


Som förklarats tidigare bör du inte använda sömnfunktionerna utan stänga av eller försätta din bärbara dator i viloläge för att mildra vissa evil-maid- och cold-boot-attacker. Tyvärr är den här funktionen inaktiverad som standard på många Linux-distros inklusive Ubuntu. Det är möjligt att aktivera den men det kanske inte fungerar som förväntat. Följ denna information på egen risk. Om du inte vill göra detta bör du aldrig använda vilolägesfunktionen utan stänga av datorn (och förmodligen ställa in lockets stängningsbeteende till att stänga av datorn i stället för att sova).


Följ någon av dessa handledningar för att aktivera Hibernate:



När Hibernate är aktiverat ändrar du beteendet så att din bärbara dator går i viloläge när du stänger locket genom att följa denna handledning för Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] och denna handledning för Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org]


Tyvärr kommer detta inte att rensa nyckeln från minnet direkt från minnet när du går i viloläge. För att undvika detta på bekostnad av viss prestanda kan du överväga att kryptera swap-filen genom att följa denna handledning: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Dessa inställningar bör mildra cold boot-attacker om du kan gå i viloläge tillräckligt snabbt.


Aktivera randomisering av MAC-adresser.



Att härda Linux.


Som en lätt introduktion för nya Linux-användare kan du överväga
[Invidious]


För mer djupgående och avancerade alternativ, se:



Konfigurera en säker webbläsare.


Se Bilaga G: Säker webbläsare på värdoperativsystemet
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

MacOS värd OS.


Obs: För närvarande har den här guiden inte stöd för ARM M1 MacBooks (ännu). Detta beror på att Virtualbox inte stöder denna arkitektur ännu. Det kan dock vara möjligt om du använder kommersiella verktyg som VMWare eller Parallels men de omfattas inte av den här guiden.


Som tidigare nämnts rekommenderar jag inte att du använder din dagliga bärbara dator för mycket känsliga aktiviteter. Eller åtminstone rekommenderar jag inte att du använder ditt operativsystem på plats för dessa. Om du gör det kan det leda till oönskade dataläckage som kan användas för att avanonymisera dig. Om du har en dedikerad bärbar dator för detta bör du installera om ett nytt rent operativsystem. Om du inte vill torka av din bärbara dator och börja om, bör du överväga Tails-rutten eller fortsätta på egen risk.


Jag rekommenderar också att du gör den första installationen helt offline för att undvika dataläckage.


Logga aldrig in med ditt Apple-konto med den Mac-enheten.


Under installationen.


  • Håll dig offline
  • Inaktivera alla förfrågningar om datadelning när du uppmanas till det, inklusive platstjänster
  • Logga inte in med Apple
  • Aktivera inte Siri

Härda MacOS.


Som en lätt introduktion för nya MacOS-användare kan du överväga
[Invidious] [Invidious


För att gå mer på djupet med att säkra och härda ditt MacOS rekommenderar jag att du läser den här GitHub-guiden som bör täcka många av frågorna: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Här är de grundläggande stegen du bör ta efter din offlineinstallation:


Aktivera firmware-lösenord med alternativet "disable-reset-capability".


Först bör du ställa in ett firmware-lösenord enligt den här guiden från Apple: https://support.apple.com/en-us/HT204455 [Archive.org]


Tyvärr är vissa attacker fortfarande möjliga och en motståndare kan inaktivera detta lösenord, så du bör också följa den här guiden för att förhindra att inaktivera firmware-lösenordet från någon inklusive Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Aktivera viloläge istället för sömn.


Återigen är detta för att förhindra vissa kallstart- och onda jungfruattacker genom att stänga av ditt RAM-minne och rengöra krypteringsnyckeln när du stänger locket. Du bör alltid antingen gå i viloläge eller stänga av. På MacOS har vilolägesfunktionen till och med ett speciellt alternativ för att specifikt rensa krypteringsnyckeln från minnet när du går i viloläge (medan du kanske måste vänta på att minnet ska förfalla på andra operativsystem). Återigen finns det inga enkla alternativ för att göra detta i inställningarna, så istället måste vi göra detta genom att köra några kommandon för att aktivera viloläge:


  • Öppna en terminal
  • Kör: sudo pmset -a destroyfvkeyonstandby 1
    • Detta kommando kommer att instruera MacOS att förstöra Filevault-nyckeln i standby (viloläge)
  • Kör: sudo pmset -a hibernatemode 25
    • Detta kommando instruerar MacOS att stänga av minnet under viloläge istället för att göra ett hybridviloläge som håller minnet påslaget. Det kommer att resultera i långsammare uppvaknanden men kommer att öka batteritiden.

När du nu stänger locket på din MacBook bör den gå i viloläge istället för att sova och minska försöken att utföra kallstartsattacker.


Dessutom bör du ställa in en automatisk viloläge (Inställningar > Energi) så att din MacBook går i viloläge automatiskt om den lämnas utan uppsikt.


Inaktivera onödiga tjänster.


Inaktivera vissa onödiga inställningar i inställningarna:


  • Inaktivera Bluetooth
  • Inaktivera kameran och mikrofonen
  • Inaktivera platstjänster
  • Inaktivera Airdrop
  • Avaktivera indexering

Förhindra Apple OCSP-samtal.


Dessa är de ökända "oblockerbara telemetri" -samtalen från MacOS Big Sur som beskrivs här: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Du kan blockera OCSP-rapportering genom att ge följande kommando i Terminal:


  • sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Men du bör förmodligen dokumentera dig själv om den faktiska frågan innan du agerar. Den här sidan är en bra plats att börja på: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Upp till dig verkligen. Jag skulle blockera det eftersom jag inte vill ha någon telemetri alls från mitt operativsystem till moderskeppet utan mitt specifika samtycke. Ingen av dem.


Aktivera full diskkryptering (Filevault).


Du bör aktivera full diskkryptering på din Mac med Filevault enligt den här delen av guiden: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Var försiktig när du aktiverar. Lagra inte återställningsnyckeln hos Apple om du uppmanas till det (bör inte vara ett problem eftersom du bör vara offline i detta skede). Du vill inte att en tredje part ska ha din återställningsnyckel uppenbarligen.


Randomisering av MAC-adresser.


Tyvärr erbjuder MacOS inte ett inbyggt bekvämt sätt att randomisera din MAC-adress och därför måste du göra detta manuellt. Detta kommer att återställas vid varje omstart och du måste göra om det varje gång för att säkerställa att du inte använder din faktiska MAC-adress när du ansluter till olika Wi-Fis


Du kan göra det genom att ange följande kommandon i terminalen (utan parenteser):


  • (Stäng av Wi-Fi) networksetup -setairportpower en0 off
  • (Ändra MAC-adressen) sudo ifconfig en0 ether 88:63:11:11:11:11:11
  • (Slå på Wi-Fi igen) networksetup -setairportpower en0 on

Konfigurera en säker webbläsare.


Se Bilaga G: Säker webbläsare på värdoperativsystemet


Windows värd OS.


Som tidigare nämnts rekommenderar jag inte att du använder din dagliga bärbara dator för mycket känsliga aktiviteter. Eller åtminstone rekommenderar jag inte att du använder ditt OS på plats för dessa. Om du gör det kan det leda till oönskade dataläckor som kan användas för att avanonymisera dig. Om du har en dedikerad bärbar dator för detta bör du installera om ett nytt rent operativsystem. Om du inte vill torka av din bärbara dator och börja om, bör du överväga Tails-rutten eller fortsätta på egen risk.


Jag rekommenderar också att du gör den första installationen helt offline för att undvika dataläckage.


Installation.


Du bör följa Bilaga A: Windows-installation


Som en lätt introduktion kan du överväga att titta på
[Invidious]


Aktivera randomisering av MAC-adress.


Du bör slumpa din MAC-adress enligt vad som förklarats tidigare i den här guiden:


Gå till Inställningar > Nätverk & Internet > Wi-Fi > Aktivera slumpmässiga hårdvaruadresser


Alternativt kan du använda den här gratisprogramvaran: https://technitium.com/tmac/ [Archive.org]


Konfigurera en säker webbläsare.


Se Bilaga G: Säker webbläsare på värdoperativsystemet


Aktivera några ytterligare sekretessinställningar på ditt värdoperativsystem.


Se Bilaga B: Ytterligare sekretessinställningar för Windows


Kryptering av Windows Host OS.


Om du tänker använda systemomfattande plausibel förnekelse.


Veracrypt är den programvara jag kommer att rekommendera för fullständig diskkryptering, filkryptering och plausibel deniability. Det är en gaffel av den välkända men avskrivna och ounderhållna TrueCrypt. Den kan användas för


  • Enkel kryptering av hela disken (din hårddisk är krypterad med en lösenfras).
  • Full Disk-kryptering med plausibel förnekbarhet (detta innebär att beroende på lösenfrasen som anges vid start, kommer du antingen att starta ett lockande OS eller ett dolt OS).
  • Enkel kryptering av filbehållare (det är en stor fil som du kommer att kunna montera i Veracrypt som om det vore en extern enhet för att lagra krypterade filer i).
  • Filbehållare med plausibel förnekelse (det är samma stora fil men beroende på lösenfrasen du använder när du monterar den kommer du antingen att montera en "dold volym" eller "decoy-volymen").

Det är mig veterligen den enda (bekväma och användbara av alla) gratis, öppen källkod och öppet granskad krypteringsprogramvara som också ger plausibel förnekelse för allmän användning och den fungerar med Windows Home Edition.


Gå vidare och ladda ner och installera Veracrypt från: https://www.veracrypt.fr/en/Downloads.html [Archive.org]


Efter installationen kan du ta en stund att granska följande alternativ som hjälper till att mildra vissa attacker:


  • Kryptera minnet med ett Veracrypt-alternativ (inställningar > prestanda/drivrutinsalternativ > kryptera RAM) till en kostnad av 5-15% prestanda. Den här inställningen inaktiverar också viloläge (som inte aktivt rensar nyckeln vid viloläge) och krypterar istället minnet helt och hållet för att mildra vissa kallstartsattacker.
  • Aktivera alternativet Veracrypt för att rensa nycklarna från minnet om en ny enhet sätts in (system > inställningar > säkerhet > rensa nycklar från minnet om en ny enhet sätts in). Detta kan vara till hjälp om ditt system beslagtas medan det fortfarande är påslaget (men låst).
  • Aktivera alternativet Veracrypt för att montera volymer som flyttbara volymer (Inställningar > Preferenser > Montera volym som flyttbart media). Detta kommer att förhindra Windows från att skriva några loggar om dina monteringar i händelseloggarna och förhindra vissa lokala dataläckor.
  • Var försiktig och ha en god situationsmedvetenhet om du känner att något är konstigt. Stäng av din bärbara dator så fort som möjligt.
  • Även om Veracrypt nyare versioner stöder Secure Boot, skulle jag rekommendera att inaktivera det från BIOS eftersom jag föredrar Veracrypt Anti-Evil Maid-system framför Secure Boot.

Om du inte vill använda krypterat minne (eftersom prestanda kan vara ett problem) bör du åtminstone aktivera viloläge istället för sömn. Detta kommer inte att rensa nycklarna från minnet (du är fortfarande sårbar för cold boot-attacker) men bör åtminstone mildra dem något om ditt minne har tillräckligt med tid att förfalla.


Mer information senare i Väg A och B: Enkel kryptering med Veracrypt (Windows-handledning).


Om du inte har för avsikt att använda systemomfattande plausibel förnekelse.


I det här fallet kommer jag att rekommendera att du använder BitLocker istället för Veracrypt för fullständig diskkryptering. Anledningen är att BitLocker inte erbjuder någon möjlighet till plausibel förnekelse i motsats till Veracrypt. En hård motståndare har då inget incitament att fortsätta med sitt "förstärkta" förhör om du avslöjar lösenfrasen.


Normalt sett borde du ha installerat Windows Pro i det här fallet och BitLocker-installationen är ganska enkel.


I princip kan du följa instruktionerna här: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


Men här är stegen:


  • Klicka på Windows-menyn
  • Skriv "Bitlocker"
  • Klicka på "Hantera Bitlocker"
  • Klicka på "Slå på Bitlocker" på din systemdisk
  • Följ instruktionerna
    • Spara inte återställningsnyckeln till ett Microsoft-konto om du uppmanas att göra det.
    • Spara bara återställningsnyckeln på en extern krypterad enhet. Om du vill kringgå detta kan du skriva ut återställningsnyckeln med Microsoft Print to PDF-skrivaren och spara nyckeln i mappen Dokument.
    • Kryptera hela enheten (kryptera inte bara det använda diskutrymmet).
    • Använd "Nytt krypteringsläge"
    • Kör BitLocker-kontrollen
    • Starta om
  • Krypteringen bör nu ha startat i bakgrunden (du kan kontrollera detta genom att klicka på Bitlocker-ikonen längst ned till höger i aktivitetsfältet).

Aktivera viloläge (valfritt).


Återigen, som förklarats tidigare. Du bör aldrig använda sömnfunktionen för att mildra vissa kallstart- och evil-maid-attacker. Istället bör du stänga av eller gå i viloläge. Du bör därför växla din bärbara dator från viloläge till viloläge när du stänger locket eller när din bärbara dator går i viloläge.


(Observera att du inte kan aktivera viloläge om du tidigare har aktiverat RAM-kryptering i Veracrypt)


Anledningen är att viloläge faktiskt kommer att stänga av din bärbara dator helt och rengöra minnet. Sömn å andra sidan kommer att lämna minnet påslaget (inklusive din dekrypteringsnyckel) och kan göra din bärbara dator sårbar för kallstartattacker.


Som standard kanske Windows 10 inte erbjuder dig den här möjligheten så du bör aktivera den genom att följa denna Microsoft-handledning: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]


  • Öppna en administratörs kommandotolk (högerklicka på Kommandotolken och "Kör som administratör")
  • Kör: powercfg.exe /hibernate on
  • Kör nu det extra kommandot: **powercfg / h / typ full **
    • Detta kommando kommer att se till att ditt viloläge är fullt och kommer att rengöra minnet helt (inte säkert tho).

Efter det bör du gå in i dina ströminställningar:


  • Öppna Kontrollpanelen
  • Öppna System & Säkerhet
  • Öppna Energialternativ
  • Öppna "Välj vad strömbrytaren gör"
  • Ändra allt från viloläge till viloläge eller avstängning
  • Gå tillbaka till Energialternativ
  • Välj Ändra planinställningar
  • Välj Avancerade inställningar för strömförsörjning
  • Ändra alla vilovärden för varje Power Plan till 0 (Aldrig)
  • Se till att Hybrid Sleep är Av för varje Power Plan
  • Aktivera viloläge efter den tid du vill ha
  • Inaktivera alla väckningstimer

Bestäm vilken underväg du ska ta.


Nu måste du välja nästa steg mellan två alternativ:


  • Rutt A: Enkel kryptering av ditt nuvarande operativsystem
    • Fördelar:
      • Kräver inte att du torkar av din bärbara dator
      • Inga problem med lokala dataläckage
      • Fungerar bra med en SSD-enhet
      • Fungerar med alla operativsystem
      • Enkelt
    • Nackdelar:
      • Du kan bli tvingad av motståndare att avslöja ditt lösenord och alla dina hemligheter och kommer inte att ha någon trovärdig förnekbarhet.
      • Risk för dataläckage online
  • Väg B: Enkel kryptering av ditt nuvarande operativsystem med senare användning av plausibel förnekbarhet på själva filerna:
    • Fördelar:
      • Kräver inte att du torkar din bärbara dator
      • Fungerar bra med en SSD-enhet
      • Fungerar med alla operativsystem
      • Trovärdig förnekbarhet möjlig med "mjuka" motståndare
    • Nackdelar:
      • Fara för dataläckage online
      • Risk för lokala dataläckor (som leder till mer arbete för att städa upp dessa läckor)
  • Väg C: Kryptering av operativsystemet med troligt förnekande (du kommer att ha ett "dolt operativsystem" och ett "falskt operativsystem" som körs på den bärbara datorn):
    • Fördelar:
      • Inga problem med lokala dataläckage
      • Trolig förnekbarhet möjlig med "mjuka" motståndare
    • Nackdelar:
      • Kräver Windows (den här funktionen stöds inte "enkelt" på Linux).
      • Risk för dataläckage online
      • Kräver fullständig torkning av din bärbara dator
      • Ingen användning med en SSD-enhet på grund av kravet på att inaktivera Trim Operations. Detta kommer att allvarligt försämra SSD-enhetens prestanda/hälsa över tid.

Som du kan se erbjuder Route C bara två integritetsfördelar jämfört med de andra och det kommer bara att vara till nytta mot en mjuk laglig motståndare. Kom ihåg https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org ].


Det är upp till dig att bestämma vilken väg du ska ta. Väg A är ett minimum.


Se alltid till att kontrollera om det finns nya versioner av Veracrypt ofta för att säkerställa att du drar nytta av de senaste korrigeringarna. Kontrollera detta särskilt innan du tillämpar stora Windows-uppdateringar som kan bryta Veracrypts bootloader och skicka dig in i en bootloop.


OBSERVERA ATT VERACRYPT SOM STANDARD ALLTID FÖRESLÅR ETT SYSTEMLÖSENORD I QWERTY (visa lösenordet som ett test). Detta kan orsaka problem om din startinmatning använder din bärbara dators tangentbord (AZERTY till exempel) eftersom du kommer att ha konfigurerat ditt lösenord i QWERTY och kommer att mata in det vid starttid i AZERTY. Så se till att du kontrollerar när du gör teststarten vilken tangentbordslayout ditt BIOS använder. Du kan misslyckas med att logga in bara på grund av QWERTY/AZERTY-förväxlingen. Om ditt BIOS startar med AZERTY måste du skriva in lösenordet i QWERTY i Veracrypt.



Väg A och B: Enkel kryptering med hjälp av Veracrypt (Windows-handledning)


Hoppa över detta steg om du använde BitLocker istället tidigare.


Du behöver inte ha en hårddisk för den här metoden och du behöver inte inaktivera Trim på den här vägen. Trimläckor kommer endast att vara till nytta för kriminalteknik för att upptäcka förekomsten av en dold volym men kommer inte att vara till stor nytta annars.


Den här vägen är ganska enkel och kommer bara att kryptera ditt nuvarande operativsystem på plats utan att förlora några data. Var noga med att läsa alla texter som Veracrypt visar dig så att du har en fullständig förståelse för vad som händer.


  • Starta VeraCrypt
  • Gå in i inställningar:
    • Inställningar > Prestanda/drivrutinsalternativ > Kryptera RAM
    • System > Inställningar > Säkerhet > Rensa nycklar från minnet om en ny enhet sätts in
    • System > Inställningar > Windows > Aktivera säkert skrivbord
  • Välj System
  • Välj Kryptera systempartition/-enhet
  • Välj Normal (enkel)
  • Välj Enkel start
  • Välj AES som krypteringsalgoritm (klicka på testknappen om du vill jämföra hastigheterna)
  • Välj SHA-512 som hashalgoritm (för varför inte)
  • Ange en stark lösenfras (ju längre desto bättre, kom ihåg Bilaga A2: Riktlinjer för lösenord och lösenfraser)
  • Samla in lite entropi genom att slumpmässigt flytta runt markören tills fältet är fullt
  • Klicka på Nästa när skärmen Generated Keys visas
  • Att rädda disken eller inte rädda disken, det är upp till dig. Jag rekommenderar att du gör en (för säkerhets skull), men se till att förvara den utanför din krypterade enhet (t.ex. en USB-nyckel, eller vänta och se slutet av den här guiden för vägledning om säkra säkerhetskopior). Denna räddningsdisk lagrar inte din lösenfras och du behöver den fortfarande för att använda den.
  • Torka av läge:
    • Om du ännu inte har några känsliga data på den här bärbara datorn väljer du Ingen
    • Om du har känsliga data på en SSD bör Trim ensam ta hand om det, men jag skulle rekommendera 1 pass (slumpmässiga data) bara för att vara säker.
    • Om du har känsliga data på en hårddisk finns det ingen Trim och jag skulle rekommendera minst 1-pass.
  • Testa din installation. Veracrypt kommer nu att starta om ditt system för att testa bootloader före kryptering. Detta test måste godkännas för att krypteringen ska gå vidare.
  • Efter att din dator startats om och testet är godkänt. Du kommer att uppmanas av Veracrypt att starta krypteringsprocessen.
  • Starta krypteringen och vänta på att den ska slutföras.
  • Du är klar, hoppa över Route B och gå till nästa steg.

Det kommer att finnas ett annat avsnitt om att skapa krypterade filbehållare med Plausible Deniability på Windows.


Väg B: Plausible Deniability-kryptering med ett dolt operativsystem (endast Windows)


Detta stöds endast i Windows.


Detta rekommenderas endast på en HDD-enhet. Detta rekommenderas inte på en SSD-enhet.


Ditt dolda operativsystem ska inte aktiveras (med en MS-produktnyckel). Därför kommer denna rutt att rekommendera och vägleda dig genom en fullständig ren installation som kommer att radera allt på din bärbara dator.



Läs Veracrypt-dokumentationen https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Processen för att skapa en del av det dolda operativsystemet) och https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Säkerhetskrav och försiktighetsåtgärder som gäller dolda volymer ).


Så här ser ditt system ut när den här processen är klar:
2021 08 05 08 01


(Illustration från Veracrypt Documentation, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org])


Som du kan se kräver den här processen att du har två partitioner på hårddisken från början.


Den här processen kommer att göra följande:


  • Kryptera din andra partition (den yttre volymen) som kommer att se ut som en tom oformaterad disk från det falska operativsystemet.
  • Du får möjlighet att kopiera en del av det falska innehållet till den yttre volymen.
    • Det är här du kommer att kopiera din decoy Anime / Porn-samling från någon extern hårddisk till den yttre volymen.
  • Skapa en dold volym inom den yttre volymen på den andra partitionen. Det är här det dolda operativsystemet kommer att finnas.
  • Klona din Windows 10-installation som för närvarande körs på den dolda volymen.
  • Torka av ditt Windows 10 som körs för närvarande.
  • Detta innebär att ditt nuvarande Windows 10 kommer att bli det dolda Windows 10 och att du måste installera om ett nytt Windows 10 OS.

Obligatoriskt om du har en SSD-enhet och du fortfarande vill göra detta mot rekommendationen: Inaktivera SSD Trim i Windows (återigen rekommenderas detta INTE alls eftersom det är mycket misstänkt att inaktivera Trim i sig. Som nämnts tidigare kommer inaktivering av Trim att minska livslängden på din SSD-enhet och kommer att påverka dess prestanda avsevärt över tiden (din bärbara dator blir långsammare och långsammare under flera månaders användning tills den blir nästan oanvändbar, du måste sedan rengöra enheten och installera om allt). Men du måste göra det för att förhindra dataläckage som kan göra det möjligt för kriminaltekniker att besegra din rimliga förnekbarhet. Det enda sättet att komma runt detta för tillfället är att ha en bärbar dator med en klassisk HDD-enhet istället.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Steg 1: Skapa en USB-nyckel för installation av Windows 10


Se Bilaga C: Skapande av installationsmedia för Windows och välj USB-nyckelalternativet.


Steg 2: Starta USB-nyckeln och starta installationsprocessen för Windows 10 (dolt operativsystem)



Steg 3: Sekretessinställningar (dolt operativsystem)


Se Bilaga B: Ytterligare sekretessinställningar för Windows


Steg 4: Veracrypt installation och krypteringsprocessen startar (Dold OS)


Kom ihåg att läsa https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Anslut inte det här operativsystemet till ditt kända Wi-Fi. Du bör ladda ner Veracrypt-installationsprogrammet från en annan dator och kopiera installationsprogrammet hit med hjälp av en USB-nyckel.


  • Installera Veracrypt
  • Starta Veracrypt
  • Gå in i Inställningar:
    • Inställningar > Prestanda/drivrutinsalternativ > Kryptera RAM(observera att detta alternativ inte är kompatibelt med viloläge för din bärbara dator och innebär att du måste stänga av helt)
    • System > Inställningar > Säkerhet > Rensa nycklar från minnet om en ny enhet sätts in
    • System > Inställningar > Windows > Aktivera säkert skrivbord
  • Gå in i System och välj Skapa dolt operativsystem
  • Läs alla anvisningar noggrant
  • Välj Single-Boot om du uppmanas till det
  • Skapa den yttre volymen med hjälp av AES och SHA-512.
  • Använd allt tillgängligt utrymme på den andra partitionen för den yttre volymen
  • Använd en stark lösenfras (kom ihåg Bilaga A2: Riktlinjer för lösenord och lösenfraser)
  • Välj ja till stora filer
  • Skapa lite entropi genom att flytta runt musen tills fältet är fullt och välj NTFS (välj inte exFAT eftersom vi vill att den yttre volymen ska se "normal" ut och NTFS är normalt).
  • Formatera den yttre volymen
  • Öppna den yttre volymen:
    • I det här skedet bör du kopiera lockdata till den yttre volymen. Så du borde ha några känsliga men inte så känsliga filer / mappar att kopiera dit. Om du behöver avslöja ett lösenord till den här volymen. Detta är ett bra ställe för din Anime / Mp3 / Movies / Porn-samling.
    • Jag rekommenderar att du inte fyller den yttre volymen för mycket eller för lite (ca 40%). Kom ihåg att du måste lämna tillräckligt med utrymme för det dolda operativsystemet (som kommer att ha samma storlek som den första partitionen du skapade under installationen).
  • Använd en stark lösenfras för den dolda volymen (uppenbarligen en annan än den för den yttre volymen).
  • Nu ska du skapa den dolda volymen, välj AES och SHA-512
  • Fyll entropifältet fram till slutet med slumpmässiga musrörelser
  • Formatera den dolda volymen
  • Fortsätt med kloningen
  • Veracrypt kommer nu att starta om och klona Windows där du startade den här processen till den dolda volymen. Detta Windows kommer att bli ditt dolda operativsystem.
  • När kloningen är klar kommer Veracrypt att starta om i det dolda systemet
  • Veracrypt kommer att informera dig om att det dolda systemet nu är installerat och sedan uppmana dig att radera det ursprungliga operativsystemet (det du installerade tidigare med USB-nyckeln).
  • Använd 1-Pass Wipe och fortsätt.
  • Nu kommer ditt dolda operativsystem att installeras, fortsätt till nästa steg

Steg 5: Starta om och starta USB-nyckeln och starta installationsprocessen för Windows 10 igen (Decoy OS)


Nu när det dolda operativsystemet är helt installerat måste du installera ett Decoy OS.


  • Sätt in USB-nyckeln i din bärbara dator
  • Se Bilaga A: Windows-installation och fortsätt med att installera Windows 10 Home igen (installera inte en annan version utan håll dig till Home).

Steg 6: Sekretessinställningar (Decoy OS)


Se Bilaga B: Ytterligare sekretessinställningar för Windows


Steg 7: Veracrypt-installation och krypteringsprocessstart (Decoy OS)


Nu ska vi kryptera Decoy OS:


  • Installera Veracrypt
  • Starta VeraCrypt
  • Välj System
  • Välj Kryptera systempartition / enhet
  • Välj Normal (enkel)
  • Välj Single-Boot
  • Välj AES som krypteringsalgoritm (klicka på testknappen om du vill jämföra hastigheterna)
  • Välj SHA-512 som hashalgoritm (för varför inte)
  • Ange ett kort svagt lösenord (ja, det här är allvarligt, gör det, det kommer att förklaras senare).
  • Samla in lite entropi genom att slumpmässigt flytta runt markören tills fältet är fullt
  • Klicka på Nästa när skärmen Generated Keys visas
  • Att rädda disk eller inte rädda disk, ja det är upp till dig. Jag rekommenderar att du gör en (för säkerhets skull), men se till att förvara den utanför din krypterade enhet (t.ex. en USB-nyckel, eller vänta och se slutet av den här guiden för vägledning om säkra säkerhetskopior). Denna räddningsdisk lagrar inte din lösenfras och du behöver den fortfarande för att använda den.
  • Torka av läge: Välj 1-Pass bara för att vara på den säkra sidan
  • Förtesta din installation. Veracrypt kommer nu att starta om ditt system för att testa startladdaren före kryptering. Detta test måste godkännas för att krypteringen ska gå framåt.
  • När datorn har startats om och testet är godkänt. Du kommer att uppmanas av Veracrypt att starta krypteringsprocessen.
  • Starta krypteringen och vänta på att den ska slutföras.
  • Ditt Decoy OS är nu redo att användas.

Steg 8: Testa din installation (Starta i båda)


Dags att testa din installation.


  • Starta om och mata in din Hidden OS-passfras, du bör starta i Hidden OS.
  • Starta om och mata in din lösenfras för Decoy OS, du ska starta i Decoy OS.
  • Starta Veracrypt på Decoy OS och montera den andra partitionen med hjälp av Outer Volume Passphrase (montera den som skrivskyddad genom att gå in i Mount Options och välja Read-Only) och den ska montera den andra partitionen som en skrivskyddad som visar dina decoy-data (din Anime / Porn-samling). Du monterar den som skrivskyddad nu eftersom om du skulle skriva data på den, kan du åsidosätta innehållet från ditt dolda operativsystem.

Steg 9: Ändra decoy-data på din yttre volym på ett säkert sätt


Innan du går till nästa steg bör du lära dig hur du monterar din yttre volym på ett säkert sätt för att skriva innehåll på den. Detta förklaras också i denna officiella Veracrypt-dokumentation https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org]


Du bör göra detta från en säker betrodd plats.


I grund och botten kommer du att montera din yttre volym samtidigt som du tillhandahåller den dolda volymens lösenfras inom monteringsalternativen för att skydda den dolda volymen från att skrivas över. Veracrypt kommer då att låta dig skriva data till den yttre volymen utan att riskera att skriva över data på den dolda volymen.


Denna åtgärd kommer inte att montera den dolda volymen och bör förhindra skapandet av kriminaltekniska bevis som kan leda till upptäckten av det dolda operativsystemet. Medan du utför den här åtgärden kommer dock båda lösenorden att lagras i RAM-minnet och därför kan du fortfarande vara mottaglig för en Cold-Boot-attack. För att mildra detta, se till att du har möjlighet att kryptera ditt RAM-minne också.


  • Öppna Veracrypt
  • Välj din andra partition
  • Klicka på Mount
  • Klicka på Monteringsalternativ
  • Markera "Skydda den dolda volymen ..." Alternativ
  • Ange lösenordsfras för det dolda operativsystemet
  • Klicka på OK
  • Ange lösenfrasen för den yttre volymen
  • Klicka på OK
  • Du bör nu kunna öppna och skriva till din Outer-volym för att ändra innehållet (kopiera/flytta/radera/redigera...)

Steg 10: Lämna några kriminaltekniska bevis på din yttre volym (med decoy-data) inom ditt Decoy OS


Vi måste göra Decoy OS så trovärdigt som möjligt. Vi vill också att din motståndare ska tro att du inte är så smart.


Därför är det viktigt att frivilligt lämna några kriminaltekniska bevis på ditt Decoy Content inom ditt Decoy OS. Dessa bevis kommer att låta kriminaltekniska undersökare se att du monterade din Outer Volume ofta för att komma åt dess innehåll.


Här är bra tips för att lämna några kriminaltekniska bevis:


  • Spela upp innehållet från den yttre volymen från ditt Decoy OS (med hjälp av VLC till exempel). Var noga med att hålla en historia av dem.
  • Redigera dokument och arbeta i dem.
  • Aktivera filindexering igen på Decoy OS och inkludera den monterade yttre volymen.
  • Avmontera den och montera den ofta för att titta på lite innehåll.
  • Kopiera lite innehåll från din yttre volym till ditt Decoy OS och ta sedan bort det osäkert (lägg det bara i papperskorgen).
  • Ha en Torrent-klient installerad på Decoy OS använd den då och då för att ladda ner några liknande saker som du kommer att lämna på Decoy OS.
  • Du kan ha en VPN-klient installerad på Decoy OS med en känd VPN av din (icke-kontant betald).

Lägg inte något misstänkt på Decoy OS som t.ex:


  • Den här guiden
  • Alla länkar till den här guiden
  • Någon misstänkt anonymitetsprogramvara som Tor Browser

Anmärkningar.


Kom ihåg att du behöver giltiga ursäkter för att detta scenario med trovärdig förnekelse ska fungera:


Ta lite tid att läsa igen "Möjliga förklaringar till förekomsten av två Veracrypt-partitioner på en enda enhet" i Veracrypt-dokumentationen här https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


  • Du använder Veracrypt eftersom du använder Windows 10 Home som inte har Bitlocker men ändå ville ha integritet.
  • Du har två partitioner eftersom du ville separera systemet och data för enkel organisation och för att någon Geek-vän sa till dig att detta var bättre för prestanda.
  • Du har använt ett svagt lösenord för enkel bekväm start på systemet och en stark lång lösenfras på den yttre volymen eftersom du var för lat för att skriva en stark lösenfras vid varje start.
  • Du krypterade den andra partitionen med ett annat lösenord än systemet eftersom du inte vill att någon i din omgivning ska se dina saker. Och så ville du inte att dessa data skulle vara tillgängliga för någon.

Var försiktig med detta:


  • Du bör aldrig montera den dolda volymen från Decoy OS (ALDRIG NÅGONSIN). Om du gjorde detta kommer det att skapa kriminaltekniska bevis för den dolda volymen i Decoy OS som kan äventyra ditt försök till plausibel förnekbarhet. Om du ändå gjorde detta (avsiktligt eller av misstag) från Decoy OS finns det sätt att radera kriminaltekniska bevis som kommer att förklaras senare i slutet av denna guide.
  • Använd aldrig någonsin Decoy OS från samma nätverk (offentligt Wi-Fi) som det dolda operativsystemet.
  • När du monterar den yttre volymen från Decoy OS, skriv inte några data i den yttre volymen eftersom detta kan åsidosätta det som ser ut som tomt utrymme men i själva verket är ditt dolda operativsystem. Du bör alltid montera den som skrivskyddad.
  • Om du vill ändra Decoy-innehållet på den yttre volymen bör du använda en Live OS USB-nyckel som kör Veracrypt.
  • Observera att du inte kommer att använda det dolda operativsystemet för att utföra känsliga aktiviteter, detta kommer att göras senare från en VM inom det dolda operativsystemet. Det dolda operativsystemet är endast avsett att skydda dig från en mjuk motståndare som kan få tillgång till din bärbara dator och tvinga dig att avslöja ditt lösenord.
  • Var försiktig med alla ingrepp i din bärbara dator. Evil-Maid Attacks kan avslöja ditt dolda operativsystem.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Virtualbox på ditt värdoperativsystem.


Kom ihåg Bilaga W: Virtualisering.


Detta steg och följande steg ska göras från värdoperativsystemet. Detta kan antingen vara ditt värdoperativsystem med enkel kryptering (Windows/Linux/MacOS) eller ditt dolda operativsystem med trovärdig förnekelse (endast Windows).


I den här rutten kommer vi att använda den kostnadsfria Oracle Virtualbox-programvaran i stor utsträckning. Detta är en virtualiseringsprogramvara där du kan skapa virtuella maskiner som emulerar en dator som kör ett specifikt operativsystem (om du vill använda något annat som Xen, Qemu, KVM eller VMWARE, gör det gärna, men den här delen av guiden täcker Virtualbox endast för enkelhets skull).


Så du bör vara medveten om att Virtualbox inte är den virtualiseringsprogramvara som har den bästa meritlistan när det gäller säkerhet och att vissa av de rapporterade problemen inte har åtgärdats helt till dags dato och om du använder Linux med lite mer tekniska färdigheter bör du överväga att använda KVM istället genom att följa guiden som finns på Whonix här https://www.whonix.org/wiki/KVM [Archive.org] och här https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive. org ]


Vissa åtgärder bör vidtas i samtliga fall:


Alla dina känsliga aktiviteter kommer att göras från en virtuell gästmaskin som kör Windows 10 Pro (inte Home den här gången), Linux eller MacOS.


Detta har några fördelar som i hög grad hjälper dig att förbli anonym:


  • Det bör förhindra att gäst-VM OS (Windows/Linux/MacOS), appar och all telemetri inom VM:erna får direkt åtkomst till din hårdvara. Även om din virtuella dator blir infekterad av skadlig kod ska den skadliga koden inte kunna komma åt den virtuella datorn och infektera din faktiska bärbara dator.
  • Det kommer att göra det möjligt för oss att tvinga all nätverkstrafik från din klient-VM att köras genom en annan Gateway-VM som kommer att rikta (torifiera) all trafik mot Tor-nätverket. Detta är en "kill switch" för nätverket. Din virtuella dator kommer att förlora sin nätverksanslutning helt och gå offline om den andra virtuella datorn förlorar sin anslutning till Tor-nätverket.
  • VM själv som bara har internetanslutning via en Tor Network Gateway kommer att ansluta till din kontantbetalda VPN-tjänst via Tor.
  • DNS-läckor kommer att vara omöjliga eftersom den virtuella datorn är i ett isolerat nätverk som måste gå igenom Tor oavsett vad.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Välj din anslutningsmetod.


Det finns 7 möjligheter inom denna rutt:


  • Rekommenderad och föredragen:
    • Använd enbart Tor (Användare > Tor > Internet)
    • Använd VPN över Tor (Användare > Tor > VPN > Internet) i specifika fall
  • Möjligt om sammanhanget kräver det:
    • Använd VPN över Tor över VPN (Användare > VPN > Tor > VPN > Internet)
    • Använd Tor över VPN (Användare > VPN > Tor > Internet)
  • Rekommenderas inte och är riskabelt:
    • Använd enbart VPN (Användare > VPN > Internet)
    • Använd VPN över VPN (Användare > VPN > VPN > Internet)
  • Rekommenderas inte och är mycket riskabelt (men möjligt)
    • Inget VPN och ingen Tor (Användare > Internet)
2021 08 05 08 06

Endast Tor.


Detta är den föredragna och mest rekommenderade lösningen.
2021 08 05 08 06 1

Med den här lösningen går hela ditt nätverk genom Tor och det bör vara tillräckligt för att garantera din anonymitet i de flesta fall.


Det finns dock en stor nackdel: Vissa tjänster blockerar/förbjuder Tor Exit-noder helt och hållet och tillåter inte att konton skapas från dessa.


För att mildra detta kan du behöva överväga nästa alternativ: VPN över Tor men överväga vissa risker förknippade med det som förklaras i nästa avsnitt.


VPN/Proxy över Tor.


Den här lösningen kan ge vissa fördelar i vissa specifika fall jämfört med att bara använda Tor där det skulle vara omöjligt att komma åt destinationstjänsten från en Tor Exit-nod. Detta beror på att många tjänster helt enkelt kommer att förbjuda, hindra eller blockera Tor (se https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Som du kan se i den här illustrationen, om dina kontanter (föredragna) / Monero betalda VPN / Proxy komprometteras av en motståndare (trots deras sekretesspolicy och policyer för icke-loggning), kommer de bara att hitta ett anonymt kontant / Monero betalt VPN / Proxy-konto som ansluter till sina tjänster från en Tor Exit-nod.
2021 08 05 08 07

Om en motståndare på något sätt lyckas kompromissa med Tor-nätverket också, kommer de bara att avslöja IP: n för ett slumpmässigt offentligt Wi-Fi som inte är knutet till din identitet.


Om en motståndare på något sätt äventyrar ditt VM OS (till exempel med skadlig kod eller exploatering), kommer de att fångas inom Whonix interna nätverk och bör inte kunna avslöja IP: n för det offentliga Wi-Fi.


Denna lösning har dock en stor nackdel att ta hänsyn till: Interferens med Tor Stream Isolation.


Stream isolation är en begränsningsteknik som används för att förhindra vissa korrelationsattacker genom att ha olika Tor-kretsar för varje applikation. Här är en illustration som visar vad strömisolering är:
2021 08 05 08 08

(Illustration från Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy över Tor faller på höger sida, vilket innebär att användning av en VPN/Proxy över Tor tvingar Tor att använda en krets för alla aktiviteter istället för flera kretsar för varje. Detta innebär att användning av ett VPN/Proxy över Tor kan minska effektiviteten hos Tor i vissa fall och bör därför endast användas i vissa specifika fall:


  • När din destinationstjänst inte tillåter Tor Exit-noder.
  • När du inte har något emot att använda en delad Tor-krets för olika tjänster. Som till exempel för att använda olika autentiserade tjänster.

Du bör dock överväga att inte använda den här metoden när ditt mål bara är att surfa slumpmässigt på olika oautentiserade webbplatser eftersom du inte kommer att dra nytta av Stream Isolation och detta kan göra korrelationsattacker enklare över tid för en motståndare mellan var och en av dina sessioner (se Din anonymiserade Tor/VPN-trafik). Om ditt mål däremot är att använda samma identitet vid varje session på samma autentiserade tjänster, minskar värdet av Stream Isolation eftersom du kan korreleras på andra sätt.


Du bör också veta att Stream Isolation inte nödvändigtvis är konfigurerad som standard på Whonix Workstation. Den är endast förkonfigurerad för vissa program (inklusive Tor Browser).


Observera också att Stream Isolation inte nödvändigtvis ändrar alla noder i din Tor-krets. Ibland kan den bara ändra en eller två. I många fall kommer Stream Isolation (t.ex. i Tor Browser) bara att ändra relänoden (mittnoden) och utgångsnoden medan samma vaktnod (ingångsnoden) behålls.


Mer information på:



Tor över VPN.


Du kanske undrar: Tja, vad sägs om att använda Tor över VPN istället för VPN över Tor? Tja, jag skulle inte nödvändigtvis göra det:


  • Nackdelar
    • Din VPN-leverantör är bara en annan ISP som då kommer att känna till din ursprungliga IP och kommer att kunna avanonymisera dig om det behövs. Vi litar inte på dem. Jag föredrar en situation där din VPN-leverantör inte vet vem du är. Det tillför inte mycket när det gäller anonymitet.
    • Detta skulle resultera i att du ansluter till olika tjänster med hjälp av IP-adressen för en Tor Exit Node som är förbjuden/flaggad på många ställen. Det hjälper inte när det gäller bekvämlighet.
  • Fördelar med Tor:
    • Den största fördelen är verkligen att om du befinner dig i en fientlig miljö där Tor-åtkomst är omöjlig / farlig / misstänkt men VPN är okej.
    • Denna metod bryter inte heller Tor Stream-isolering.

Observera att om du har problem med att komma åt Tor-nätverket på grund av blockering/censur kan du försöka använda Tor Bridges. Se bilaga X: Använda Tor-bryggor i fientliga miljöer.


Det är också möjligt att överväga VPN över Tor över VPN (Användare > VPN > Tor > VPN > Internet) med hjälp av två kontant/Monero-betalda VPN istället. Detta innebär att du ansluter Host OS till ett första VPN från ditt offentliga Wi-Fi, sedan ansluter Whonix till Tor och slutligen ansluter din VM till ett andra VPN över Tor över VPN (se https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Detta kommer naturligtvis att ha en betydande prestandapåverkan och kan vara ganska långsam men jag tror att Tor är nödvändigt någonstans för att uppnå rimlig anonymitet.


Att uppnå detta tekniskt är enkelt inom denna rutt, du behöver två separata anonyma VPN-konton och måste ansluta till den första VPN från Host OS och följa rutten.


Slutsats: Gör bara detta om du tycker att det är riskabelt/omöjligt att använda Tor ensam men VPN är okej. Eller bara för att du kan och så varför inte.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Endast VPN.


Denna rutt kommer inte att förklaras eller rekommenderas.


Om du kan använda VPN bör du kunna lägga till ett Tor-lager över det. Och om du kan använda Tor kan du lägga till en anonym VPN över Tor för att få den föredragna lösningen.


Att bara använda en VPN eller till och med en VPN över VPN är ingen mening eftersom de kan spåras tillbaka till dig över tiden. En av VPN-leverantörerna kommer att känna till din verkliga ursprungs-IP (även om det är i ett säkert offentligt utrymme) och även om du lägger till en över den, kommer den andra fortfarande att veta att du använde den andra första VPN-tjänsten. Detta kommer bara att försena din de-anonymisering något. Ja, det är ett extra lager ... men det är ett ihållande centraliserat extra lager och du kan avanonymiseras över tiden. Detta är bara att kedja 3 Internetleverantörer som alla är föremål för lagliga förfrågningar.


För mer information, vänligen se följande referenser:



I samband med denna guide krävs Tor någonstans för att uppnå rimlig och säker anonymitet och du bör använda det om du kan.


Inget VPN/Tor.


Om du inte kan använda VPN eller Tor där du befinner dig, befinner du dig förmodligen i en mycket fientlig miljö där övervakning och kontroll är mycket hög.


Gör det bara inte, det är inte värt det och för riskabelt IMHO. Du kan avanonymiseras nästan omedelbart av alla motiverade motståndare som kan komma till din fysiska plats på några minuter.


Glöm inte att kolla tillbaka på Motståndare (hot) och Bilaga S: Kontrollera ditt nätverk för övervakning/censur med hjälp av OONI.


Om du absolut inte har något annat alternativ och fortfarande vill göra något, se Bilaga P: Få tillgång till internet så säkert som möjligt när Tor/VPN inte är ett alternativ (på egen risk) och överväga The Tails-rutten istället.


Slutsats.

2021 08 05 08 11

Tyvärr kommer enbart användning av Tor att väcka misstankar hos många destinationers plattformar. Du kommer att möta många hinder (captchas, fel, svårigheter att registrera dig) om du bara använder Tor. Om du använder Tor där du befinner dig kan du dessutom hamna i trubbel bara för det. Men Tor är fortfarande den bästa lösningen för anonymitet och måste finnas någonstans för anonymitet.


  • Om din avsikt är att skapa ihållande delade och autentiserade identiteter på olika tjänster där åtkomst från Tor är svår, rekommenderar jag alternativet VPN över Tor (eller VPN över Tor över VPN om det behövs). Det kan vara lite mindre säkert mot korrelationsattacker på grund av att Tor Stream-isolering bryts men ger mycket bättre bekvämlighet när det gäller åtkomst till online-resurser än att bara använda Tor. Det är en "acceptabel" avvägning IMHP om du är tillräckligt försiktig med din identitet.
  • Om din avsikt dock bara är att surfa på slumpmässiga tjänster anonymt utan att skapa specifika delade identiteter, använda tor-vänliga tjänster; eller om du inte vill acceptera den avvägningen i det föregående alternativet. Då rekommenderar jag att du använder Tor Only-rutten för att behålla alla fördelar med Stream Isolation (eller Tor över VPN om du behöver).
  • Om kostnaden är ett problem rekommenderar jag Tor Only-alternativet om det är möjligt.
  • Om både Tor- och VPN-åtkomst är omöjligt eller farligt har du inget annat val än att förlita dig på offentliga wi-fi på ett säkert sätt. Se Bilaga P: Få tillgång till internet så säkert som möjligt när Tor och VPN inte är ett alternativ

För mer information kan du också se diskussionerna här som kan hjälpa dig att fatta ett beslut:


 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Skaffa ett anonymt VPN/Proxy.


Hoppa över det här steget om du bara vill använda Tor.


Se Bilaga O: Skaffa ett anonymt VPN/Proxy


Whonix.


Hoppa över det här steget om du inte kan använda Tor.


Den här rutten kommer att använda virtualisering och Whonix309 som en del av anonymiseringsprocessen. Whonix är en Linux-distribution som består av två virtuella maskiner:


  • Whonix Workstation (detta är en VM där du kan utföra känsliga aktiviteter)
  • Whonix Gateway (den här virtuella maskinen upprättar en anslutning till Tor-nätverket och dirigerar all nätverkstrafik från arbetsstationen genom Tor-nätverket).

Denna guide kommer därför att föreslå två varianter av denna rutt:


  • Den enda Whonix-rutten där all trafik dirigeras genom Tor-nätverket (endast Tor eller Tor över VPN).
2021 08 05 08 13

En Whonix-hybridväg där all trafik dirigeras genom en kontant (föredragen)/Monero-betald VPN över Tor-nätverket (VPN över Tor eller VPN över Tor över VPN).

2021 08 05 08 13 1

Du kommer att kunna bestämma vilken smak du ska använda baserat på mina rekommendationer. Jag rekommenderar den andra som förklarats tidigare.


Whonix är väl underhållen och har omfattande och otroligt detaljerad dokumentation.


En anteckning om Virtualbox Snapshots.


Senare kommer du att skapa och köra flera virtuella maskiner inom Virtualbox för dina känsliga aktiviteter. Virtualbox tillhandahåller en funktion som kallas "Snapshots" som gör det möjligt att spara tillståndet för en VM vid vilken tidpunkt som helst. Om du av någon anledning senare vill gå tillbaka till det tillståndet kan du när som helst återställa den ögonblicksbilden.


Jag rekommenderar starkt att du använder den här funktionen genom att skapa en ögonblicksbild efter den första installationen / uppdateringen av varje VM. Denna ögonblicksbild bör göras innan de används för någon känslig / anonym aktivitet.


Detta gör att du kan förvandla dina virtuella datorer till ett slags disponibla "Live Operating Systems" (som Tails diskuterade tidigare). Det betyder att du kommer att kunna radera alla spår av dina aktiviteter inom en VM genom att återställa en ögonblicksbild till ett tidigare tillstånd. Naturligtvis kommer detta inte att vara "lika bra" som Tails (där allt lagras i minnet) eftersom det kan finnas spår av denna aktivitet kvar på hårddisken. Forensiska studier har visat att det går att återskapa data från en återställd VM. Lyckligtvis finns det sätt att ta bort dessa spår efter radering eller återgång till en tidigare ögonblicksbild. Sådana tekniker kommer att diskuteras i avsnittet Några ytterligare åtgärder mot kriminalteknik i den här guiden.


Ladda ner Virtualbox och Whonix-verktyg.


Du bör ladda ner några saker i värdoperativsystemet.



Detta avslutar förberedelserna och du bör nu vara redo att börja konfigurera den slutliga miljön som kommer att skydda din anonymitet online.


Virtualbox Härdningsrekommendationer.


För bästa möjliga säkerhet bör du följa de rekommendationer som ges här för varje Virtualbox Virtual Machine https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:


  • Avaktivera ljud.
  • Aktivera inte delade mappar.
  • Aktivera inte 2D-acceleration. Den här görs genom att köra följande kommando VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
  • Aktivera inte 3D-acceleration.
  • Aktivera inte den seriella porten.
  • Ta bort diskettenheten.
  • Ta bort CD/DVD-enheten.
  • Aktivera inte fjärrskärmsservern.
  • Aktivera PAE/NX (NX är en säkerhetsfunktion).
  • Inaktivera ACPI (Advanced Configuration and Power Interface). Detta görs genom att köra följande kommando VBoxManage modifyvm "vm-id" --acpi on|off
  • Anslut inte USB-enheter.
  • Inaktivera USB-kontrollern som är aktiverad som standard. Ställ in pekningsenheten till "PS/2 Mouse", annars kommer ändringarna att återgå.

Slutligen, följ också denna rekommendation för att desynkronisera klockan du är din VM jämfört med ditt värd OS https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


Denna förskjutning bör ligga inom ett intervall på 60000 millisekunder och bör vara olika för varje VM och här är några exempel (som senare kan tillämpas på alla VM):


  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Överväg också att tillämpa dessa begränsningar från VirtualBox för att mildra Spectre / Meltdown-sårbarheter genom att köra detta kommando från VirtualBox-programkatalogen. Alla dessa beskrivs här: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (var medveten om att dessa kan påverka prestandan hos dina virtuella datorer allvarligt men bör göras för bästa säkerhet).


Slutligen bör du överväga säkerhetsråden från Virtualbox själva här https://www.virtualbox.org/manual/ch13.html [Archive.org]
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Tor över VPN.


Hoppa över det här steget om du inte tänker använda Tor over VPN och bara tänker använda Tor eller inte kan använda det.


Om du tänker använda Tor över VPN av någon anledning. Du måste först konfigurera en VPN-tjänst på ditt värdoperativsystem.


Kom ihåg att jag i det här fallet rekommenderar att du har två VPN-konton. Båda betalas med kontanter/Monero (se Bilaga O: Skaffa en anonym VPN/Proxy). Ett kommer att användas i Host OS för den första VPN-anslutningen. Det andra kan användas i VM för att uppnå VPN över Tor över VPN (Användare > VPN > Tor > VPN).


Om du bara tänker använda Tor over VPN behöver du bara ett VPN-konto.


Se Bilaga R: Installera ett VPN på din VM eller Host OS för instruktioner .
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,658
Solutions
2
Reaction score
1,789
Points
113
Deals
666

Whonix virtuella maskiner.


Hoppa över detta steg om du inte kan använda Tor.



Kom ihåg i detta skede att om du har problem med att ansluta till Tor på grund av censur eller blockering, bör du överväga att ansluta med Bridges som förklaras i denna handledning https://www.whonix.org/wiki/Bridges [Archive.org].



Viktig anmärkning: Du bör också läsa dessa mycket bra rekommendationer där borta https://www.whonix.org/wiki/DoNot [Archive.org] eftersom de flesta av dessa principer också kommer att gälla för den här guiden. Du bör också läsa deras allmänna dokumentation här https://www.whonix.org/wiki/Documentation [Archive.org] som också kommer att ge massor av råd som den här guiden.
 
Top