Haler.
Tails er fantastisk til dette; du har intet at bekymre dig om, selv om du bruger et SSD-drev. Hvis du lukker den ned, er det hele væk, så snart hukommelsen forsvinder.
Whonix.
Bemærk, at det er muligt at køre Whonix i Live-tilstand uden at efterlade spor, når du lukker VM'erne ned, overvej at læse deres dokumentation her
https://www.whonix.org/wiki/VM_Live_Mode [Archive.
org] og her
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [
Archive.org].
MacOS.
Gæste-OS.
Gå tilbage til et tidligere snapshot på Virtualbox (eller enhver anden VM-software, du bruger), og udfør en Trim-kommando på din Mac ved hjælp af Disk Utility ved at udføre en førstehjælp på Host OS igen som forklaret i slutningen af næste afsnit.
Værts-OS.
Det meste af informationen fra dette afsnit kan også findes i denne fine guide
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Karantænedatabase (bruges af Gatekeeper og XProtect).
MacOS (til og med Big Sur) har en karantæne-SQL-database med alle de filer, du nogensinde har downloadet fra en browser. Denne database findes i ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Du kan selv søge i den ved at køre følgende kommando fra terminalen: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Dette er naturligvis en guldgrube for kriminalteknikere, og du bør deaktivere det:
- Kør følgende kommando for at rydde databasen helt: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Kør følgende kommando for at låse filen og forhindre yderligere downloadhistorik i at blive skrevet der: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Endelig kan du også deaktivere Gatekeeper helt ved at udstede følgende kommando i terminalen:
- sudo spctl --master-disable
Se dette afsnit i vejledningen for yderligere information
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Ud over denne praktiske database vil hver gemt fil også have detaljerede HFS+/APFS-attributter, der f.eks. viser, hvornår den blev downloadet, med hvad og hvorfra.
Du kan se dem ved at åbne en terminal og skrive mdls filnavn og xattr -l filnavn på en hvilken som helst downloadet fil fra en hvilken som helst browser.
Hvis du vil fjerne sådanne attributter, skal du gøre det manuelt fra terminalen:
- Kør xattr -d com.apple.metadata:kMDItemWhereFroms filnavn for at fjerne oprindelsen
- Du kan også bare bruge -dr til at gøre det rekursivt på en hel mappe/disk
- Kør xattr -d com.apple.quarantine filnavn for at fjerne karantænereferencen
- Du kan også bare bruge -dr til at gøre det rekursivt på en hel mappe/disk
- Bekræft ved at køre xattr --l filnavn, og der bør ikke være noget output
(Bemærk, at Apple har fjernet den praktiske xattr -c-indstilling, der bare fjerner alle attributter på én gang, så du bliver nødt til at gøre det for hver attribut på hver fil)
Disse attributter og poster bliver hængende, selv om du rydder din browserhistorik, og det er naturligvis dårligt for privatlivets fred (ikke?), og jeg kender ikke noget praktisk værktøj, der kan håndtere dem i øjeblikket.
Heldigvis er der nogle muligheder for at undgå dette problem i første omgang, da disse attributter og poster indstilles af browserne. Så jeg testede forskellige browsere (på MacOS Catalina og Big Sur), og her er resultaterne pr. datoen for denne vejledning:
| Browser | Karantæne DB-indgang | Attribut for karantænefil | Oprindelsesfil-attribut |
|---|
| Safari (normal) | Safari (Normal) Ja | Ja (Normal) | Safari (privat vindue) Ja |
| Safari (privat vindue) | Nej | Nej | Nej, nej |
| Firefox (normal) | Ja, ja | Ja Ja | Nej |
| Firefox (privat vindue) | Nej | Nej, nej | Nej, nej |
| Chrome (normal) | Ja, ja | Ja, ja | Ja |
| Chrome (privat vindue) | Delvis (kun tidsstempel) | nej | nej |
| Ungoogled-Chromium (normal) | Nej Nej | Nej Nej | nej |
| Ungoogled-Chromium (privat vindue) | Nej Nej | Nej Nej | Nej |
| Modig (normal) | Delvis (kun tidsstempel) | Nej, nej | nej |
| Modig (privat vindue) | Delvis (kun tidsstempel) | nej | nej |
| Modig (Tor-vindue) | Delvis (kun tidsstempel) | nej | nej |
| Tor-browser | Nej, nej | nej | Nej Nej |
Som du selv kan se, er den nemmeste afhjælpning bare at bruge Private Windows. De skriver ikke disse oprindelses-/karantæneattributter og gemmer ikke posterne i QuarantineEventsV2-databasen.
Det er nemt at rydde QuarantineEventsV2 som forklaret ovenfor. Det kræver lidt arbejde at fjerne attributterne.
Brave er den eneste testede browser, der ikke gemmer disse attributter som standard i normal drift.
Forskellige artefakter.
Derudover gemmer MacOS forskellige logfiler over monterede enheder, tilsluttede enheder, kendte netværk, analyser, dokumentrevisioner ...
Se dette afsnit i denne vejledning for at få vejledning i, hvor man kan finde og slette sådanne artefakter: https:
//github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Mange af dem kan slettes ved hjælp af forskellige kommercielle tredjepartsværktøjer, men jeg vil personligt anbefale at bruge det gratis og velkendte Onyx, som du kan finde her: https:
//www.titanium-software.fr/en/onyx.html [Archive.org]. Desværre er det closed source, men det er notariseret, signeret og har været pålideligt i mange år.
Gennemtving en Trim-operation efter rengøring.
- Hvis dit filsystem er APFS, behøver du ikke at bekymre dig om Trim, det sker asynkront, når operativsystemet skriver data.
- Hvis dit filsystem er HFS+ (eller noget andet end APFS), kan du køre First Aid på dit systemdrev fra Diskværktøjet, som bør udføre en Trim-operation i detaljerne (https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Overvej venligst deres retningslinjer
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Hvis du bruger Whonix på Qubes OS, bør du overveje at følge nogle af deres vejledninger:
Linux (ikke Qubes).
Gæste-OS.
Gå tilbage til et tidligere snapshot af gæste-VM'en i Virtualbox (eller enhver anden VM-software, du bruger), og udfør en trim-kommando på din bærbare computer ved hjælp af fstrim --all. Dette værktøj er en del af util-linux-pakken på Debian/Ubuntu og bør være installeret som standard på Fedora. Skift derefter til næste afsnit.
Værts-OS.
Normalt bør du ikke have spor at rense i værts-OS'et, da du gør alt fra en VM, hvis du følger denne vejledning.
Ikke desto mindre vil du måske gerne rense nogle logfiler. Bare brug dette praktiske værktøj: https:
//web.archive.org/web/https://github.com/sundowndev/go-covermyass (instruktioner på siden, for at downloade skal du gå til udgivelserne, dette arkiv blev for nylig fjernet)
Når du har ryddet op, skal du sørge for at have fstrim-værktøjet installeret (det burde være standard på Fedora) og en del af util-linux-pakken på Debian/Ubuntu. Så skal du bare køre fstrim --all på værts-OS'et. Dette burde være tilstrækkeligt på SSD-drev som forklaret tidligere.
Overvej at bruge Linux Kernel Guard som en ekstra foranstaltning
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Gæste-OS.
Gå tilbage til et tidligere snapshot i Virtualbox (eller enhver anden VM-software, du bruger), og udfør en trimkommando på din Windows ved hjælp af Optimize som forklaret i slutningen af næste afsnit.
Værts-OS.
Nu hvor du har haft en masse aktiviteter med dine VM'er eller dit Host OS, bør du bruge et øjeblik på at dække dine spor.
De fleste af disse trin bør ikke udføres på Decoy OS i tilfælde af brug af plausibel benægtelse. Det skyldes, at du ønsker at holde lokkedue/plausible spor af fornuftige, men ikke hemmelige aktiviteter tilgængelige for din modstander. Hvis alt er rent, kan du vække mistanke.
Diagnostiske data og telemetri.
Lad os først fjerne alle diagnostiske data, der stadig kan være der:
(Spring dette trin over, hvis du bruger Windows 10 AME)
- Efter hver brug af dine Windows-enheder skal du gå ind i Indstillinger, Privatliv, Diagnosticering og feedback og klikke på Slet.
Lad os derefter randomisere MAC-adresserne på dine virtuelle maskiner og Bluetooth-adressen på dit Host OS.
- Efter hver nedlukning af din Windows VM skal du ændre dens MAC-adresse til næste gang ved at gå ind i Virtualbox > Vælg VM > Indstillinger > Netværk > Avanceret > Opdater MAC-adressen.
- Efter hver brug af dit Host OS Windows (din VM bør slet ikke have Bluetooth), skal du gå ind i Enhedshåndtering, vælge Bluetooth, deaktivere enheden og aktivere enheden igen (dette vil fremtvinge en randomisering af Bluetooth-adressen).
Hændelseslogs.
Windows' hændelseslogge gemmer mange forskellige oplysninger, som kan indeholde spor af dine aktiviteter, f.eks. de enheder, der blev monteret (inklusive Veracrypt NTFS-volumener, f.eks.
294), dine netværksforbindelser, oplysninger om app-nedbrud og forskellige fejl. Det er altid bedst at rydde op i dem regelmæssigt. Gør ikke dette på Decoy OS.
- Start, søg efter Event Viewer, og start Event Viewer:
- Gå ind i Windows-logfiler.
- Vælg og ryd alle 5 logfiler ved at højreklikke.
Veracrypt-historik.
Som standard gemmer Veracrypt en historik over nyligt monterede diskenheder og filer. Du bør sørge for, at Veracrypt aldrig gemmer historik. Igen skal du ikke gøre dette på Decoy OS, hvis du bruger plausibel benægtelse for OS'et. Vi er nødt til at beholde historikken for montering af decoy-volumen som en del af den plausible benægtelse.
- Start Veracrypt
- Sørg for, at afkrydsningsfeltet "Gemmer aldrig historik" er markeret (dette bør ikke være markeret på Decoy OS).
Nu skal du rense historikken i enhver app, du har brugt, herunder browserhistorik, cookies, gemte adgangskoder, sessioner og formularhistorik.
Browserhistorik.
- Brave (hvis du ikke har aktiveret rengøring ved afslutning)
- Gå ind i Indstillinger
- Gå ind i Skjolde
- Gå ind i Ryd browserdata
- Vælg Avanceret
- Vælg "Hele tiden"
- Tjek alle indstillingerne
- Ryd data
- Tor-browser
- Bare luk browseren, så er alt ryddet
Wi-Fi-historik.
Nu er det tid til at rydde historikken for det Wi-Fi, du opretter forbindelse til. Desværre gemmer Windows en liste over tidligere netværk i registreringsdatabasen, selv om du har "glemt" dem i Wi-Fi-indstillingerne. Så vidt jeg ved, er der endnu ingen værktøjer, der renser dem (f.eks. BleachBit eller PrivaZer), så du bliver nødt til at gøre det manuelt:
- Start Regedit ved hjælp af denne vejledning: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- I Regedit skal du indtaste dette i adresselinjen: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Der vil du se en masse mapper til højre. Hver af disse mapper er en "nøgle". Hver af disse nøgler indeholder oplysninger om dit nuværende kendte Wi-Fi eller tidligere netværk, du har brugt. Du kan udforske dem en efter en og se beskrivelsen i højre side.
- Slet alle disse nøgler.
Shellbags.
Som forklaret tidligere er Shellbags dybest set historik over tilgåede mængder/filer på din computer. Husk, at shellbags er meget gode informationskilder for
retsmedicinere287, og du skal rense dem. Især hvis du har monteret et "skjult volumen" et eller andet sted. Igen bør du ikke gøre dette på Decoy OS.
Rengøring af ekstra værktøjer.
Når du har renset de tidligere spor, bør du også bruge tredjepartsværktøjer, som kan bruges til at rense forskellige spor. Disse omfatter sporene efter de filer/mapper, du har slettet.
Se
Appendiks H: Rengøringsværktøjer til Windows, før du fortsætter.
PrivaZer.
Her er trinnene til PrivaZer:
- Download og installer PrivaZer fra https://privazer.com/en/download.php [Archive.org].
- Kør PrivaZer efter installationen
- Brug ikke deres guide
- Vælg Avanceret bruger
- Vælg Scan in Depth og vælg dit mål
- Vælg alt, hvad du vil scanne, og tryk på Scan
- Vælg, hvad du vil have renset (spring skalposedelen over, da du brugte det andet værktøj til det)
- Hvis du bruger en SSD, skal du bare springe den del over, der handler om rengøring af ledig plads, og i stedet bruge den oprindelige Windows Optimize-funktion (se nedenfor), som burde være mere end nok. Jeg ville kun bruge dette på et HDD-drev.
- (Hvis du har valgt Rengøring af ledig plads) Vælg Rengøringsindstillinger, og sørg for, at din lagringstype er korrekt registreret (HDD vs. SSD).
- (Hvis du har valgt rengøring af ledig plads) Inden for Clean Options (Vær forsigtig med denne mulighed, da den vil slette al ledig plads på den valgte partition, især hvis du kører decoy OS. Slet ikke den ledige plads eller noget andet på den anden partition, da du risikerer at ødelægge dit skjulte OS)
- Hvis du har et SSD-drev:
- Fanen Sikker overskrivning: Personligt ville jeg bare vælge Normal Deletion + Trim (Trim i sig selv burde være nok). Secure Deletion with Trim (1 pass) kan være overflødigt og overkill her, hvis du alligevel har tænkt dig at overskrive den ledige plads.
- Fanen Fri plads: Personligt, og igen "bare for at være sikker", ville jeg vælge Normal oprydning, som vil fylde hele den ledige plads med data. Jeg stoler ikke rigtig på Smart Cleanup, da den faktisk ikke fylder al den ledige plads på SSD'en med data. Men igen mener jeg, at det nok ikke er nødvendigt og i de fleste tilfælde overkill.
- Hvis du har et HDD-drev:
- Fanen Sikker overskrivning: Jeg ville bare vælge Secure Deletion (1 pass).
- Fri plads: Jeg ville bare vælge Smart oprydning, da der ikke er nogen grund til at overskrive sektorer uden data på et HDD-drev.
- Vælg Clean og vælg din smag:
- Turbo Cleanup udfører kun normal sletning (på HDD/SSD) og rydder ikke op i ledig plads. Det er ikke sikkert på en HDD eller en SSD.
- Quick Cleanup udfører sikker sletning (på HDD) og normal sletning + trimning (på SSD), men rydder ikke op i ledig plads. Jeg tror, det er sikkert nok til SSD, men ikke til HDD.
- Normal oprydning udfører sikker sletning (på HDD) og normal sletning + trimning (på SSD) og renser derefter hele den frie plads (Smart oprydning på HDD og fuld oprydning på SSD) og burde være sikker. Jeg synes, at denne mulighed er den bedste til HDD, men fuldstændig overkill til SSD.
- Klik på Clean, og vent på, at rengøringen er færdig. Det kan tage et stykke tid og vil fylde hele din ledige plads med data.
BleachBit.
Her er trinnene til BleachBit:
- Hent og installer den nyeste version fra BleachBit her https://www.bleachbit.org/download [Archive.org]
- Kør BleachBit
- Rens i det mindste alt inden for disse sektioner:
- Dyb scanning
- Windows Defender
- Windows Stifinder (inklusive Shellbags)
- System
- Vælg alle andre spor, du vil fjerne fra deres liste
- Igen, som med det forrige værktøj, ville jeg ikke rense den ledige plads på et SSD-drev, fordi jeg synes, at Windows' eget "optimerings"-værktøj er nok (se nedenfor), og at det bare er helt overkill og unødvendigt at fylde den ledige plads på en trim-aktiveret SSD.
- Klik på Rens og vent. Det vil tage et stykke tid og fylde hele din ledige plads med data på både HDD- og SSD-drev.
Fremtving en trimning med Windows Optimize (for SSD-drev).
Med dette indbyggede Windows 10-værktøj kan du bare fremtvinge en trimning på din SSD, hvilket burde være mere end nok til at rense alle slettede filer, som på en eller anden måde ville have undgået trimning, da du slettede dem.
Bare åbn Windows Stifinder, højreklik på dit systemdrev, og klik på Egenskaber. Vælg Værktøjer. Klik på Optimer og derefter på Optimer igen. Så er du færdig. Jeg tror, det er nok efter min mening.
