Tails.
Tails is hier geweldig voor; je hoeft je nergens zorgen over te maken, zelfs niet als je een SSD-schijf gebruikt. Sluit het af en het is allemaal weg zodra het geheugen vervalt.
Whonix.
Merk op dat het mogelijk is om Whonix in Live-modus te draaien zonder sporen achter te laten wanneer je de VM's afsluit, overweeg om hun documentatie hier
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] en hier
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org] te lezen.
MacOS.
Guest OS.
Keer terug naar een vorige momentopname op Virtualbox (of een andere VM-software die je gebruikt) en voer een Trim-opdracht uit op je Mac met Schijfhulpprogramma door opnieuw een first-aid uit te voeren op het Host OS zoals uitgelegd aan het einde van de volgende sectie.
Host OS.
De meeste info uit deze sectie is ook te vinden in deze mooie gids
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Quarantaine Database (gebruikt door Gatekeeper en XProtect).
MacOS (tot en met Big Sur) houdt een Quarantaine SQL Database bij van alle bestanden die je ooit van een Browser hebt gedownload. Deze database bevindt zich in ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Je kunt deze database zelf raadplegen door het volgende commando in de terminal uit te voeren: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent".
Uiteraard is dit een goudmijn voor forensisch onderzoek en moet je dit uitschakelen:
- Voer de volgende opdracht uit om de database volledig te wissen: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Voer de volgende opdracht uit om het bestand te vergrendelen en te voorkomen dat er nog meer downloadgeschiedenis wordt geschreven: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Ten slotte kun je Gatekeeper ook helemaal uitschakelen door het volgende commando in terminal uit te voeren:
- sudo spctl --master-disable
Raadpleeg dit gedeelte van deze handleiding voor meer informatie
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org].
Naast deze handige database heeft elk opgeslagen bestand ook gedetailleerde bestandssysteem HFS+/APFS attributen die bijvoorbeeld laten zien wanneer het is gedownload, met wat en van waar.
Je kunt deze bekijken door een terminal te openen en mdls bestandsnaam en xattr -l bestandsnaam in te typen op elk gedownload bestand vanuit elke browser.
Om zulke attributen te verwijderen, moet je dit handmatig doen vanaf de terminal:
- Voer xattr -d com.apple.metadata:kMDItemWhereFroms bestandsnaam uit om de oorsprong te verwijderen
- Je kunt ook gewoon -dr gebruiken om het recursief op een hele map/schijf te doen
- Voer xattr -d com.apple.quarantine bestandsnaam uit om de quarantaineverwijzing te verwijderen
- Je kunt ook gewoon -dr gebruiken om het recursief over een hele map/schijf te doen
- Controleer door xattr --l bestandsnaam uit te voeren en er zou geen uitvoer moeten zijn
(Merk op dat Apple de handige xattr -c optie die alle attributen in een keer zou verwijderen heeft verwijderd, dus je zult dit voor elk attribuut van elk bestand moeten doen)
Deze attributen en vermeldingen blijven bestaan, zelfs als je je Browsergeschiedenis wist en dit is natuurlijk slecht voor de privacy (toch?) en ik ken op dit moment geen handige tool die hier iets aan kan doen.
Gelukkig zijn er enkele oplossingen om dit probleem te voorkomen, omdat deze attributen en vermeldingen door de browsers worden ingesteld. Ik heb dus verschillende browsers getest (op MacOS Catalina en Big Sur) en dit zijn de resultaten op de datum van deze gids:
| Browser | Quarantaine DB invoer | Attribuut quarantainebestand | Herkomst bestandskenmerk |
|---|
| Safari (Normaal) | Ja | Ja | Ja |
| Safari (privévenster) | Geen | Nee | Nee |
| Firefox (normaal) | Ja | Ja | Ja |
| Firefox (privévenster) | Geen | Nee | Nee |
| Chrome (normaal) | Ja | Ja | Ja |
| Chrome (privévenster) | Gedeeltelijk (alleen tijdstempel) | Geen | Nee |
| Ungoogled-Chromium (Normaal) | Geen | Nee | Geen |
| Ungoogled-Chromium (privévenster) | Geen | Nee | Nee |
| Dapper (Normaal) | Gedeeltelijk (alleen tijdstempel) | Geen | Nee |
| Brave (privévenster) | Gedeeltelijk (alleen tijdstempel) | Geen | Geen |
| Brave (Tor Venster) | Gedeeltelijk (alleen tijdstempel) | Geen | Nee |
| Tor Browser | Geen | Nee | Geen |
Zoals je zelf kunt zien is de eenvoudigste beperking om gewoon Private Windows te gebruiken. Deze schrijven die origin/quarantine attributen niet weg en slaan de entries niet op in de QuarantineEventsV2 database.
Het wissen van QuarantineEventsV2 is eenvoudig zoals hierboven uitgelegd. Het verwijderen van de attributen kost wat werk.
Brave is de enige geteste browser die deze attributen standaard niet opslaat bij normaal gebruik.
Diverse artefacten.
Daarnaast houdt MacOS verschillende logboeken bij van aangekoppelde apparaten, verbonden apparaten, bekende netwerken, analyses, revisies van documenten...
Zie deze sectie van deze gids voor richtlijnen over waar je zulke artefacten kunt vinden en hoe ze te verwijderen:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org].
Veel van deze artefacten kunnen worden verwijderd met behulp van een aantal commerciële tools van derden, maar persoonlijk zou ik aanraden om het gratis en bekende Onyx te gebruiken dat je hier kunt vinden:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Helaas is het closed-source, maar het is notarieel bekrachtigd, ondertekend en wordt al vele jaren vertrouwd.
Forceer een Trim-bewerking na het opschonen.
- Als uw bestandssysteem APFS is, hoeft u zich geen zorgen te maken over Trim, het gebeurt asynchroon als het OS gegevens schrijft.
- Als uw bestandssysteem HFS+ is (of een ander bestandssysteem dan APFS), kunt u First Aid uitvoeren op uw systeemschijf vanuit het Schijfhulpprogramma dat een Trim-bewerking zou moeten uitvoeren in de details(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Houd rekening met hun richtlijnen
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Als je Whonix gebruikt op Qubes OS, overweeg dan om enkele van hun richtlijnen te volgen:
Linux (niet-Qubes).
Gast OS.
Ga terug naar een vorige snapshot van de gast-VM op Virtualbox (of een andere VM-software die je gebruikt) en voer een trim-opdracht uit op je laptop met fstrim --all. Dit hulpprogramma is onderdeel van het util-linux pakket op Debian/Ubuntu en zou standaard geïnstalleerd moeten zijn op Fedora. Ga dan naar de volgende sectie.
Host OS.
Normaal gesproken zou je geen sporen moeten hebben om schoon te maken in het Host OS aangezien je alles vanuit een VM doet als je deze gids volgt.
Desondanks wil je misschien wat logs schoonmaken. Gebruik gewoon deze handige tool:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instructies op de pagina, om te downloaden ga je naar de releases, deze repository is onlangs verwijderd)
Zorg er na het opschonen voor dat je het hulpprogramma fstrim hebt geïnstalleerd (zou standaard moeten zijn op Fedora) en onderdeel van het util-linux pakket op Debian/Ubuntu. Draai dan gewoon fstrim --all op het Host OS. Dit zou voldoende moeten zijn op SSD schijven zoals eerder uitgelegd.
Overweeg het gebruik van Linux Kernel Guard als extra maatregel
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org].
Windows.
Gast OS.
Keer terug naar een vorige snapshot op Virtualbox (of een andere VM-software die u gebruikt) en voer een trim-opdracht uit op uw Windows met behulp van Optimize, zoals uitgelegd aan het einde van de volgende sectie.
Host OS.
Nu je een heleboel activiteiten hebt gehad met je VM's of Host OS, moet je even de tijd nemen om je sporen uit te wissen.
De meeste van deze stappen moeten niet worden uitgevoerd op het Decoy OS in het geval van het gebruik van plausibele ontkenning. Dit is omdat je lok/plausibele sporen van zinnige maar niet geheime activiteiten beschikbaar wilt houden voor je tegenstander. Als alles schoon is, zou je argwaan kunnen wekken.
Diagnostische gegevens en telemetrie.
Laten we eerst alle diagnostische gegevens verwijderen die er nog zouden kunnen zijn:
(Sla deze stap over als je Windows 10 AME gebruikt)
- Ga na elk gebruik van je Windows-apparaten naar Instellingen, Privacy, Diagnostiek & Feedback en klik op Verwijderen.
Laten we vervolgens de MAC-adressen van uw virtuele machines en het Bluetooth-adres van uw host-OS opnieuw rangschikken.
- Na elke shutdown van uw Windows VM, wijzigt u het MAC-adres voor de volgende keer door naar Virtualbox te gaan > Selecteer de VM > Instellingen > Netwerk > Geavanceerd > Vernieuw het MAC-adres.
- Na elk gebruik van je Host OS Windows (je VM zou helemaal geen Bluetooth moeten hebben), ga naar Apparaatbeheer, selecteer Bluetooth, Schakel apparaat uit en schakel apparaat weer in (dit zal een randomisatie van het Bluetooth-adres forceren).
Gebeurtenislogboeken.
De gebeurtenislogboeken van Windows bewaren veel verschillende stukjes informatie die sporen van je activiteiten kunnen bevatten, zoals de apparaten die werden gemount (inclusief Veracrypt NTFS volumes
bijvoorbeeld294), je netwerkverbindingen, app crash informatie en verschillende fouten. Het is altijd het beste om deze regelmatig op te schonen. Doe dit niet op het Decoy OS.
- Start, zoek naar Event Viewer en start Event Viewer:
- Ga naar Windows-logboeken.
- Selecteer alle 5 logs en wis ze met de rechtermuisknop.
Geschiedenis van Veracrypt.
Veracrypt slaat standaard een geschiedenis op van recent gemounte volumes en bestanden. Je moet ervoor zorgen dat Veracrypt de geschiedenis nooit opslaat. Nogmaals, doe dit niet op het Decoy OS als je plausibele ontkenning gebruikt voor het OS. We moeten de geschiedenis van het mounten van het lokvolume bewaren als onderdeel van de plausibele ontkenning.
- Start Veracrypt
- Zorg ervoor dat het selectievakje "Geschiedenis nooit opslaan" is ingeschakeld (dit moet niet zijn ingeschakeld op het lokaas-OS)
Nu moet je de geschiedenis opschonen van elke app die je hebt gebruikt, inclusief browsergeschiedenis, cookies, opgeslagen wachtwoorden, sessies en formuliergeschiedenis.
Browsergeschiedenis.
- Brave (voor het geval je het opschonen bij afsluiten niet hebt ingeschakeld)
- Ga naar Instellingen
- Ga naar Schermen
- Ga naar Browsergegevens wissen
- Selecteer geavanceerd
- Selecteer "Alle tijd
- Vink alle opties aan
- Gegevens wissen
- Tor-browser
- Sluit de browser en alles is opgeschoond
Wi-Fi-geschiedenis.
Nu is het tijd om de geschiedenis te wissen van de Wi-Fi waarmee je verbinding maakt. Helaas blijft Windows een lijst met netwerken uit het verleden opslaan in het register, zelfs als je deze bent "vergeten" in de Wi-Fi instellingen. Voor zover ik weet, zijn er nog geen hulpprogramma's die deze lijst opschonen (BleachBit of PrivaZer bijvoorbeeld), dus je zult het handmatig moeten doen:
- Start Regedit met behulp van deze tutorial: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- Voer in Regedit het volgende in de adresbalk in: Computer-HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows NTCurrentVersion\NetworkList\Profiles
- Daar zie je rechts een aantal mappen. Elk van deze mappen is een "sleutel". Elk van deze sleutels bevat informatie over je huidige Wi-Fi of netwerken die je in het verleden hebt gebruikt. Je kunt ze een voor een verkennen en de beschrijving aan de rechterkant bekijken.
- Verwijder al deze sleutels.
Shellbags.
Zoals eerder uitgelegd, zijn Shellbags in feite geschiedenissen van geraadpleegde volumes/bestanden op je computer. Onthoud dat shellbags zeer goede informatiebronnen zijn voor
forensisch onderzoek287 en dat je deze moet opschonen. Vooral als je ergens een "verborgen volume" hebt aangekoppeld. Nogmaals, je moet dit niet doen op het Decoy OS.
- Download Shellbag Analyzer & Cleaner van https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org].
- Start het
- Analyseer
- Klik op Schoonmaken en selecteer:
- Verwijderde mappen
- Mappen op netwerk / externe apparaten
- Zoekresultaten
- Selecteer geavanceerd
- Vink alle opties aan behalve de twee back-upopties (geen back-up maken)
- Selecteer SSD opschonen (als je een SSD hebt)
- Selecteer 1 pass (Alles nul)
- Opschonen
Extra hulpprogramma's opschonen.
Na het opschonen van deze eerdere sporen, moet je ook hulpprogramma's van derden gebruiken waarmee je verschillende sporen kunt opschonen. Deze omvatten de sporen van de bestanden/mappen die je hebt verwijderd.
Raadpleeg
Bijlage H: Windows Opschoontools voordat je verder gaat.
PrivaZer.
Dit zijn de stappen voor PrivaZer:
- PrivaZer downloaden en installeren van https://privazer.com/en/download.php [Archive.org]
- PrivaZer uitvoeren na installatie
- Gebruik hun wizard niet
- Selecteer Geavanceerde gebruiker
- Selecteer Diepte scannen en kies je doel
- Selecteer Alles wat je wilt scannen en druk op Scannen
- Selecteer wat je schoongemaakt wilt hebben (sla het shell bag gedeelte over omdat je daarvoor het andere hulpprogramma hebt gebruikt)
- Als je een SSD gebruikt, moet je het gedeelte voor het opschonen van vrije ruimte overslaan en in plaats daarvan gewoon de ingebouwde Windows Optimaliseer-functie gebruiken (zie hieronder) die meer dan genoeg zou moeten zijn. Ik zou dit alleen gebruiken op een HDD schijf.
- (Als je Vrije ruimte opruimen hebt geselecteerd) Selecteer Schone opties en zorg ervoor dat je type opslag goed wordt gedetecteerd (HDD vs SSD).
- (Als je Free Space cleaning hebt geselecteerd) Binnen Clean Options (Wees voorzichtig met deze optie omdat het alle vrije ruimte op de geselecteerde partitie zal wissen, vooral als je het decoy OS draait. Wis niet de vrije ruimte of iets anders op de tweede partitie omdat je dan het risico loopt je verborgen besturingssysteem te vernietigen)
- Als je een SSD-schijf hebt:
- Tabblad Beveiligd overschrijven: Persoonlijk zou ik kiezen voor Normal Deletion + Trim (Trim zelf zou voldoende moeten zijn). Beveiligd verwijderen met bijsnijden (1 keer) kan hier overbodig en overkill zijn als je toch al van plan bent om de vrije ruimte te overschrijven.
- Tabblad Vrije ruimte: Persoonlijk, en opnieuw "voor de zekerheid", zou ik Normale Opruiming selecteren die de volledige vrije ruimte zal vullen met Gegevens. Ik vertrouw Smart Cleanup niet echt, omdat het niet alle vrije ruimte van de SSD vult met Data. Maar nogmaals, ik denk dat dit waarschijnlijk niet nodig is en overkill in de meeste gevallen.
- Als je een HDD-schijf hebt:
- Tabblad Beveiligd overschrijven: Ik zou gewoon Secure Deletion (1 pass) kiezen.
- Vrije ruimte: Ik zou kiezen voor Smart Cleanup omdat er geen reden is om sectoren zonder gegevens te overschrijven op een HDD-schijf.
- Selecteer Schoonmaken en Kies je smaak:
- Turbo Cleanup doet alleen normale verwijdering (op HDD/SSD) en ruimt geen vrije ruimte op. Het is niet veilig op een HDD of SSD.
- Quick Cleanup kan veilig verwijderen (op HDD) en normaal verwijderen + trimmen (op SSD) maar ruimt de vrije ruimte niet op. Ik denk dat dit veilig genoeg is voor SSD, maar niet voor HDD.
- Normal Cleanup zal veilig verwijderen (op HDD) en normaal verwijderen + trimmen (op SSD) en zal dan de hele vrije ruimte opschonen (Smart Cleanup op HDD en Full Cleanup op SSD) en zou veilig moeten zijn. Ik denk dat deze optie het beste is voor HDD maar volledig overkill voor SSD.
- Klik op Opschonen en wacht tot het opschonen klaar is. Dit kan een tijdje duren en zal je hele vrije ruimte vullen met gegevens.
BleachBit.
Hier zijn de stappen voor BleachBit:
- Haal en installeer de nieuwste versie van BleachBit hier https://www.bleachbit.org/download [Archive.org]
- BleachBit uitvoeren
- Maak in ieder geval alles binnen deze secties schoon:
- Diepe scan
- Windows Verdediger
- Windows Verkenner (inclusief Shellbags)
- Systeem
- Selecteer andere sporen die je uit de lijst wilt verwijderen
- Nogmaals, net als bij het vorige hulpprogramma, zou ik de vrije ruimte op een SSD-schijf niet opschonen omdat ik denk dat het Windows-hulpprogramma "optimaliseren" voldoende is (zie hieronder) en dat het opvullen van de vrije ruimte op een SSD met trim volledig overkill en onnodig is.
- Klik op Schoonmaken en wacht. Dit zal een tijdje duren en zal je hele vrije ruimte vullen met gegevens op zowel HDD- als SSD-schijven.
Forceer een Trim met Windows Optimize (voor SSD-schijven).
Met dit inheemse Windows 10-hulpprogramma kun je gewoon een Trim op je SSD activeren, wat meer dan genoeg zou moeten zijn om alle verwijderde bestanden veilig op te ruimen die op de een of andere manier aan Trim zouden zijn ontsnapt toen je ze verwijderde.
Open Windows Verkenner, klik met de rechtermuisknop op je systeemschijf en klik op Eigenschappen. Selecteer Extra. Klik op Optimaliseren en dan nogmaals op Optimaliseren. Je bent klaar. Ik denk dat dit waarschijnlijk voldoende is.
