Опашки.
Tails е чудесен за това; няма за какво да се притеснявате, дори ако използвате SSD диск. Изключете го и всичко ще изчезне веднага щом паметта се разпадне.
Whonix.
Обърнете внимание, че е възможно да използвате Whonix в режим Live, без да оставяте следи при изключване на виртуалните машини, като прочетете документацията им тук
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] и тук
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Операционна система за гости.
Върнете се към предишна снимка на Virtualbox (или друг софтуер за виртуални машини, който използвате) и изпълнете команда Trim на вашия Mac с помощта на Disk Utility, като отново изпълните първа помощ на Host OS, както е обяснено в края на следващия раздел.
Хост ОС.
Повечето от информацията от този раздел може да бъде намерена и в това хубаво ръководство
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
База данни "Карантина" (използва се от Gatekeeper и XProtect).
MacOS (до и включително Big Sur) поддържа SQL база данни Quarantine за всички файлове, които някога сте изтеглили от браузър. Тази база данни се намира в ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Можете сами да направите справка в нея, като стартирате следната команда от терминала: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Очевидно е, че това е златна мина за криминалистиката и трябва да го забраните:
- Изпълнете следната команда, за да изчистите напълно базата данни: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Изпълнете следната команда, за да заключите файла и да предотвратите записването на по-нататъшна история на изтеглянията в него: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Накрая можете също така да деактивирате Gatekeeper напълно, като издадете следната команда в терминала:
- sudo spctl --master-disable
За допълнителна информация вижте този раздел на ръководството
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
В допълнение към тази удобна база данни, всеки запазен файл ще носи и подробни атрибути на файловата система HFS+/APFS, показващи например кога е бил изтеглен, с какво и откъде.
Можете да ги видите само като отворите терминал и въведете mdls filename и xattr -l filename за всеки изтеглен файл от всеки браузър.
За да премахнете тези атрибути, трябва да го направите ръчно от терминала:
- Изпълнете xattr -d com.apple.metadata:kMDItemWhereFroms filename, за да премахнете произхода
- Можете също така просто да използвате -dr, за да направите това рекурсивно за цялата папка/диск
- Изпълнете xattr -d com.apple.quarantine име на файла, за да премахнете препратката към карантината
- Можете също така просто да използвате -dr, за да го направите рекурсивно за цялата папка/диск
- Проверете, като стартирате xattr --l име на файл и не трябва да има изход
(Имайте предвид, че Apple премахна удобната опция xattr -c, която просто премахваше всички атрибути наведнъж, така че ще трябва да направите това за всеки атрибут на всеки файл)
Тези атрибути и записи ще останат, дори ако изчистите историята на браузъра си, а това очевидно е лошо за поверителността (нали?) и в момента не знам за удобен инструмент, който да се справи с тях.
За щастие има някои смекчаващи мерки за избягване на този проблем, тъй като тези атрибути и записи се задават от браузърите. И така, тествах различни браузъри (на MacOS Catalina и Big Sur) и ето резултатите към датата на това ръководство:
| Браузър | Вписване в карантинната база данни | Атрибут на карантинния файл | Атрибут на файла за произход |
|---|
| Safari (нормално) | Да | Да | Да |
| Safari (частен прозорец) | Не | Не | Не |
| Firefox (нормално) | Да | Да | Да |
| Firefox (частен прозорец) | Не | Не | Не |
| Chrome (нормален) | Да | Да | Да |
| Chrome (частен прозорец) | Частично (само времеви печат) | Не | Не |
| Ungoogled-Chromium (нормално) | Не | Не | Не |
| Ungoogled-Chromium (частен прозорец) | Не | Не | Не |
| Brave (нормален) | Частично (само времеви печат) | Не | Не |
| Brave (частен прозорец) | Частично (само времеви печат) | Не | Не |
| Brave (прозорец Tor) | Частично (само времеви печат) | Не | Не |
| Браузър Tor | Не | Не | Не |
Както можете да видите сами, най-лесното смекчаване е просто да използвате Private Windows. Те не записват тези атрибути за произход/карантина и не съхраняват записите в базата данни QuarantineEventsV2.
Изчистването на QuarantineEventsV2 е лесно, както е обяснено по-горе. Премахването на атрибутите изисква известна работа.
Brave е единственият тестван браузър, който не съхранява тези атрибути по подразбиране при нормална работа.
Различни артефакти.
Освен това MacOS съхранява различни дневници за монтирани устройства, свързани устройства, известни мрежи, анализи, ревизии на документи...
Вижте този раздел на това ръководство за указания къде да намерите и как да изтриете такива артефакти:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Много от тях могат да бъдат изтрити с помощта на някои различни комерсиални инструменти на трети страни, но аз лично бих препоръчал да използвате безплатния и добре познат Onyx, който можете да намерите тук:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. За съжаление, той е със затворен код, но е нотариално заверен, подписан и се ползва с доверие от много години.
Принудителна операция Trim след почистване.
- Ако файловата ви система е APFS, не е необходимо да се притеснявате за Trim, той се извършва асинхронно, докато операционната система записва данни.
- Ако файловата ви система е HFS+ (или друга, различна от APFS), можете да стартирате First Aid (Първа помощ) на системния диск от Disk Utility (Помощна програма за дискове), която трябва да извърши операция Trim (Трим) в детайли(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Моля, вземете предвид техните указания
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Ако използвате Whonix на Qubes OS, моля, помислете дали да не следвате някои от техните ръководства:
Linux (не Qubes).
Операционна система за гости.
Върнете се към предишна снимка на виртуалната машина за гости във Virtualbox (или друг софтуер за виртуална машина, който използвате) и изпълнете команда за изрязване на лаптопа, като използвате fstrim --all. Тази програма е част от пакета util-linux в Debian/Ubuntu и трябва да е инсталирана по подразбиране във Fedora. След това преминете към следващия раздел.
Хост операционна система.
Обикновено не би трябвало да имате следи за почистване в хост операционната система, тъй като правите всичко от виртуална машина, ако следвате това ръководство.
Въпреки това може да искате да почистите някои записи. Просто използвайте този удобен инструмент:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (инструкциите са на страницата, за изтегляне се насочете към изданията, това хранилище наскоро беше премахнато)
След почистването се уверете, че имате инсталирана помощната програма fstrim (би трябвало да е по подразбиране във Fedora) и част от пакета util-linux в Debian/Ubuntu. След това просто стартирайте fstrim --all на хост операционната система. Това би трябвало да е достатъчно при SSD дискове, както беше обяснено по-рано.
Обмислете използването на Linux Kernel Guard като допълнителна мярка
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Операционна система за гости.
Върнете се към предишна снимка на Virtualbox (или друг софтуер за виртуални машини, който използвате) и извършете команда за изрязване на Windows, като използвате Optimize, както е обяснено в края на следващия раздел
ОС на хоста.
Сега, след като сте извършили няколко дейности с вашите виртуални машини или хост ОС, трябва да отделите малко време, за да прикриете следите си.
Повечето от тези стъпки не трябва да се предприемат на Примамка OS в случай на използване на правдоподобно отричане. Това е така, защото искате да запазите примамливи/правдоподобни следи от разумни, но не и тайни дейности, достъпни за вашия противник. Ако всичко е чисто, тогава може да предизвикате подозрение.
Диагностични данни и телеметрия.
Първо нека се отървем от всички диагностични данни, които все още могат да съществуват:
(Пропуснете тази стъпка, ако използвате Windows 10 AME)
- След всяко използване на устройствата с Windows отидете в Настройки, Поверителност, Диагностика и обратна връзка и щракнете върху Изтриване.
След това нека отново да разпределим по случаен принцип MAC адресите на вашите виртуални машини и Bluetooth адреса на вашата хост операционна система.
- След всяко изключване на вашата виртуална машина с Windows променете нейния MAC адрес за следващия път, като влезете във Virtualbox > Изберете виртуалната машина > Настройки > Мрежа > Разширени > Обнови MAC адреса.
- След всяко използване на хост операционната система Windows (вашата виртуална машина не трябва да има Bluetooth изобщо), влезте в Device Manager (Мениджър на устройствата), изберете Bluetooth, Disable Device (Деактивиране на устройството) и Re-Enable device (Повторно активиране на устройството) (това ще наложи произволно определяне на Bluetooth адреса).
Дневници на събитията.
Дневниците за събития на Windows съхраняват много различна информация, която може да съдържа следи от вашите дейности, като например монтираните устройства (включително Veracrypt NTFS томове,
например294), мрежовите ви връзки, информация за сривове на приложения и различни грешки. Винаги е добре да ги почиствате редовно. Не правете това в операционната система Decoy.
- Стартирайте, потърсете Event Viewer (Преглед на събития) и стартирайте Event Viewer (Преглед на събития):
- Влезте в регистрите на Windows.
- Изберете и изчистете всички 5 регистъра, като щракнете с десния бутон на мишката.
История на Veracrypt.
По подразбиране Veracrypt запазва история на наскоро монтираните томове и файлове. Трябва да се уверите, че Veracrypt никога не записва История. Отново, не правете това на операционната система "Примамка", ако използвате правдоподобно отричане за операционната система. Трябва да запазим историята на монтиране на тома на примамката като част от правдоподобното отричане.
- Стартирайте Veracrypt
- Уверете се, че е поставена отметка в квадратчето "Никога не запазва историята" (не трябва да е поставена отметка в Decoy OS)
Сега трябва да изчистите историята във всяко приложение, което сте използвали, включително историята на браузъра, бисквитките, запазените пароли, сесиите и историята на формулярите.
История на браузъра.
- Brave (в случай че не сте активирали почистването при излизане)
- Влезте в Настройки
- Отидете в Щитове
- Отидете в Изчистване на данни за сърфиране
- Изберете Разширени
- Изберете "През цялото време"
- Отбележете всички опции
- Изчистване на данни
- Браузър Tor
- Просто затворете браузъра и всичко е изчистено
Wi-Fi история.
Сега е време да изчистите историята на Wi-Fi, към която се свързвате. За съжаление Windows продължава да съхранява списък с минали мрежи в регистъра, дори ако сте ги "забравили" в настройките на Wi-Fi. Доколкото ми е известно, все още няма помощни програми, които да ги почистват (например BleachBit или PrivaZer), така че ще трябва да го направите по ръчен начин:
- Стартирайте Regedit, като използвате този урок: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- В Regedit въведете това в адресната лента: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Там ще видите няколко папки вдясно. Всяка от тези папки е "ключ". Всеки от тези ключове ще съдържа информация за текущата ви известна Wi-Fi мрежа или за предишни мрежи, които сте използвали. Можете да ги разгледате един по един и да видите описанието в дясната страна.
- Изтрийте всички тези ключове.
Раковини.
Както беше обяснено по-рано, Shellbags са основно истории на достъпните томове/файлове на вашия компютър. Не забравяйте, че shellbags са много добри източници на информация за
криминалистиката287 и трябва да ги почистите. Особено ако сте монтирали някъде някакъв "скрит том". Отново, не трябва да правите това в операционната система Decoy.
- Изтеглете Shellbag Analyzer & Cleaner от https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org]
- Стартирайте го
- Анализирайте
- Щракнете върху Clean (Почистване) и изберете:
- Изтрити папки
- Папки в мрежата / външни устройства
- Резултати от търсенето
- Изберете разширени
- Поставете отметка на всички опции с изключение на двете опции за архивиране (не архивирайте)
- Изберете SSD cleanup (почистване на SSD) (ако имате SSD)
- Изберете 1 преминаване (Всички нули)
- Почистване
Допълнителни инструменти за почистване.
След почистването на тези предишни следи трябва да използвате и помощни програми на трети страни, които могат да се използват за почистване на различни следи. Те включват следите от файловете/папките, които сте изтрили.
Преди да продължите, направете справка с
Приложение Н: Инструменти за почистване на Windows.
PrivaZer.
Тук са описани стъпките за PrivaZer:
- Изтеглете и инсталирайте PrivaZer от https://privazer.com/en/download.php [Archive.org]
- Стартирайте PrivaZer след инсталацията
- Не използвайте техния съветник
- Изберете Advanced User
- Изберете Scan in Depth (Сканиране в дълбочина) и изберете целта си
- Изберете Всичко, което искате да сканирате, и натиснете Сканиране
- Изберете Какво искате да почистите (пропуснете частта с торбата с обвивки, тъй като сте използвали другата програма за това)
- Ако използвате SSD диск, трябва просто да пропуснете частта за почистване на свободното пространство и вместо това просто да използвате собствената функция Windows Optimize (вж. по-долу), която би трябвало да е повече от достатъчна. Бих използвал тази функция само за твърд диск.
- (Ако сте избрали почистване на свободното пространство) Изберете Clean Options (Опции за почистване) и се уверете, че вашият тип устройство за съхранение е добре разпознат (HDD срещу SSD).
- (Ако сте избрали Почистване на свободното пространство) В рамките на опцията Clean Options (Бъдете внимателни с тази опция, тъй като тя ще изтрие цялото свободно пространство на избрания дял, особено ако използвате операционна система за примамка. Не изтривайте свободното пространство или каквото и да е друго на втория дял, тъй като рискувате да унищожите скритата си ОС)
- Ако имате SSD диск:
- Secure Overwriting Tab: Лично аз бих избрал само нормално изтриване + подрязване (самото подрязване би трябвало да е достатъчно). Secure Deletion with Trim (1 преминаване) може да се окаже излишно и пресилено тук, ако така или иначе възнамерявате да презапишете свободното пространство.
- Таб "Свободно пространство": Лично аз, и отново "за да съм сигурен", бих избрал Нормално почистване, което ще запълни цялото свободно пространство с данни. Не се доверявам много на Smart Cleanup (Интелигентно почистване), тъй като то всъщност не запълва цялото свободно пространство на SSD диска с данни. Но отново смятам, че това вероятно не е необходимо и е излишно в повечето случаи.
- Ако имате твърд диск:
- Secure Overwriting (Защитено презаписване): Бих избрал само Secure Deletion (1 преминаване).
- Свободно пространство: Просто бих избрал Smart Cleanup (Интелигентно почистване), тъй като няма причина да се презаписват сектори без данни на HDD устройство.
- Изберете Clean (Почистване) и изберете своя вкус:
- Turbo Cleanup ще извърши само нормално изтриване (на HDD/SSD) и няма да почисти свободното пространство. То не е сигурно нито при HDD, нито при SSD.
- Quick Cleanup (Бързо почистване) ще извърши сигурно изтриване (на HDD) и нормално изтриване + подрязване (на SSD), но няма да почисти свободното пространство. Мисля, че това е достатъчно сигурно за SSD, но не и за HDD.
- Normal Cleanup (Нормално почистване) ще извърши сигурно изтриване (на HDD) и нормално изтриване + подрязване (на SSD) и след това ще почисти цялото свободно пространство (Smart Cleanup (Интелигентно почистване) на HDD и Full Cleanup (Пълно почистване) на SSD) и би трябвало да е сигурно. Смятам, че тази опция е най-добрата за HDD, но е напълно излишна за SSD.
- Щракнете върху Clean (Почистване) и изчакайте почистването да приключи. Може да отнеме известно време и ще запълни цялото ви свободно пространство с данни.
BleachBit.
Ето стъпките за BleachBit:
- Вземете и инсталирайте най-новата версия от BleachBit тук: https: //www.bleachbit.org/download [Archive.org]
- Стартирайте BleachBit
- Почистете поне всичко в рамките на тези раздели:
- Дълбоко сканиране
- Windows Defender
- Windows Explorer (включително Shellbags)
- Система
- Изберете всички други следи, които искате да премахнете, от техния списък
- Отново, както и при предишната програма, не бих почистил свободното пространство на SSD диск, защото смятам, че собствената програма на Windows за "оптимизиране" е достатъчна (вж. по-долу) и че запълването на свободното пространство на SSD диск с активиран тример е напълно излишно и ненужно.
- Щракнете върху Clean (Почистване) и изчакайте. Това ще отнеме известно време и ще запълни цялото ви свободно пространство с данни както на HDD, така и на SSD дисковете.
Принудително тримиране с Windows Optimize (за SSD дискове).
С тази родна помощна програма на Windows 10 можете просто да задействате Trim на вашия SSD диск, което би трябвало да е повече от достатъчно, за да почистите сигурно всички изтрити файлове, които по някакъв начин биха избегнали Trim при изтриването им.
Просто отворете Windows Explorer, щракнете с десния бутон на мишката върху системния си диск и щракнете върху Свойства. Изберете Инструменти. Щракнете върху Оптимизиране и след това отново върху Оптимизиране. Готови сте. Мисля, че това вероятно е достатъчно според мен.
