Tails.
Tails świetnie się do tego nadaje; nie musisz się o nic martwić, nawet jeśli używasz dysku SSD. Wyłącz go i wszystko zniknie, gdy tylko pamięć się rozpadnie.
Whonix.
Należy pamiętać, że możliwe jest uruchomienie Whonix w trybie Live, nie pozostawiając żadnych śladów po zamknięciu maszyn wirtualnych, rozważ przeczytanie ich dokumentacji tutaj
https://www.whonix.org/wiki/VM_Live_Mode [
Archive.org] i tutaj
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Guest OS.
Przywróć poprzednią migawkę w Virtualbox (lub innym używanym oprogramowaniu VM) i wykonaj polecenie Trim na komputerze Mac za pomocą Narzędzia dyskowego, ponownie wykonując pierwszą pomoc w systemie operacyjnym hosta, jak wyjaśniono na końcu następnej sekcji.
Host OS.
Większość informacji z tej sekcji można również znaleźć w tym fajnym przewodniku
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Baza danych kwarantanny (używana przez Gatekeeper i XProtect).
MacOS (do Big Sur włącznie) przechowuje bazę danych SQL kwarantanny wszystkich plików pobranych kiedykolwiek z przeglądarki. Ta baza danych znajduje się w ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Można ją samodzielnie przeszukać, uruchamiając następujące polecenie z terminala: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent".
Oczywiście jest to kopalnia złota dla kryminalistyków i należy ją wyłączyć:
- Uruchom następujące polecenie, aby całkowicie wyczyścić bazę danych: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Uruchom następujące polecenie, aby zablokować plik i zapobiec dalszemu zapisywaniu w nim historii pobierania: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Na koniec możesz również całkowicie wyłączyć Gatekeepera, wydając następujące polecenie w terminalu:
- sudo spctl --master-disable
Więcej informacji można znaleźć w tej sekcji tego przewodnika
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org].
Oprócz tej wygodnej bazy danych, każdy zapisany plik będzie również zawierał szczegółowe atrybuty systemu plików HFS+/APFS, pokazujące na przykład, kiedy został pobrany, z czym i skąd.
Można je wyświetlić po prostu otwierając terminal i wpisując mdls filename i xattr -l filename na dowolnym pobranym pliku z dowolnej przeglądarki.
Aby usunąć takie atrybuty, będziesz musiał zrobić to ręcznie z terminala:
- Uruchom xattr -d com.apple.metadata:kMDItemWhereFroms filename, aby usunąć pochodzenie
- Możesz także użyć -dr, aby zrobić to rekursywnie na całym folderze/dysku
- Uruchom xattr -d com.apple.quarantine filename, aby usunąć odniesienie do kwarantanny
- Możesz także użyć -dr, aby zrobić to rekursywnie w całym folderze/dysku.
- Zweryfikuj, uruchamiając xattr --l nazwa_pliku i nie powinno być żadnych danych wyjściowych
(Zauważ, że Apple usunęło wygodną opcję xattr -c, która usuwała wszystkie atrybuty naraz, więc będziesz musiał to zrobić dla każdego atrybutu w każdym pliku).
Te atrybuty i wpisy pozostaną nawet po wyczyszczeniu historii przeglądarki, co jest oczywiście szkodliwe dla prywatności (prawda?) i nie znam żadnego wygodnego narzędzia, które poradziłoby sobie z nimi w tej chwili.
Na szczęście istnieją pewne sposoby na uniknięcie tego problemu, ponieważ te atrybuty i wpisy są ustawiane przez przeglądarki. Przetestowałem więc różne przeglądarki (na MacOS Catalina i Big Sur) i oto wyniki na dzień publikacji tego przewodnika:
| Przeglądarka | Wpis w bazie danych kwarantanny | Atrybut pliku kwarantanny | Atrybut pliku pochodzenia |
|---|
| Safari (Normalna) | Tak | Tak | Tak |
| Safari (okno prywatne) | Nie | Nie | Nie |
| Firefox (Normalny) | Tak | Tak | Tak |
| Firefox (okno prywatne) | Nie | Nie | Nie |
| Chrome (Normalny) | Tak | Tak | Tak |
| Chrome (okno prywatne) | Częściowo (tylko znacznik czasu) | Nie | Nie |
| Ungoogled-Chromium (Normalny) | Nie | Nie | Nie |
| Ungoogled-Chromium (okno prywatne) | Nie | Nie | Nie |
| Brave (Normalny) | Częściowy (tylko znacznik czasu) | Nie | Nie |
| Brave (okno prywatne) | Częściowo (tylko znacznik czasu) | Nie | Nie |
| Brave (okno Tor) | Częściowe (tylko znacznik czasu) | Nie | Nie |
| Przeglądarka Tor | Nie | Nie | Nie |
Jak sam widzisz, najłatwiejszym rozwiązaniem jest po prostu użycie Private Windows. Nie zapisują one atrybutów pochodzenia/kwarantanny i nie przechowują wpisów w bazie danych QuarantineEventsV2.
Czyszczenie QuarantineEventsV2 jest łatwe, jak wyjaśniono powyżej. Usunięcie atrybutów wymaga trochę pracy.
Brave jest jedyną testowaną przeglądarką, która domyślnie nie przechowuje tych atrybutów w normalnych operacjach.
Różne artefakty.
Ponadto MacOS przechowuje różne dzienniki zamontowanych urządzeń, podłączonych urządzeń, znanych sieci, analiz, wersji dokumentów....
Zobacz tę sekcję tego przewodnika, aby uzyskać wskazówki, gdzie znaleźć i jak usunąć takie artefakty:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org].
Wiele z nich można usunąć za pomocą różnych komercyjnych narzędzi innych firm, ale osobiście polecam korzystanie z bezpłatnego i dobrze znanego Onyxa, który można znaleźć tutaj:
https://www.titanium-software.fr/en/onyx.html [
Archive.org]. Niestety jest to program o zamkniętym kodzie źródłowym, ale jest poświadczony notarialnie, podpisany i cieszy się zaufaniem od wielu lat.
Wymuś operację Trim po czyszczeniu.
- Jeśli twój system plików to APFS, nie musisz się martwić o Trim, dzieje się to asynchronicznie, gdy system operacyjny zapisuje dane.
- Jeśli system plików to HFS+ (lub jakikolwiek inny niż APFS), możesz uruchomić Pierwszą pomoc na dysku systemowym z Narzędzia dyskowego, które powinno wykonać operację przycinania w szczegółach(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Należy wziąć pod uwagę ich wytyczne
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive
.org].
Jeśli używasz Whonix na Qubes OS, rozważ skorzystanie z niektórych z ich przewodników:
Linux (inny niż Qubes).
Guest OS.
Przywróć poprzednią migawkę maszyny wirtualnej gościa w Virtualbox (lub innym używanym oprogramowaniu maszyny wirtualnej) i wykonaj polecenie przycinania na swoim laptopie za pomocą fstrim --all. Narzędzie to jest częścią pakietu util-linux w Debianie/Ubuntu i powinno być domyślnie zainstalowane w Fedorze. Następnie przejdź do następnej sekcji.
Host OS.
Zwykle nie powinieneś mieć śladów do wyczyszczenia w systemie operacyjnym hosta, ponieważ wszystko robisz z maszyny wirtualnej, jeśli postępujesz zgodnie z tym przewodnikiem.
Niemniej jednak możesz chcieć wyczyścić niektóre dzienniki. Wystarczy użyć tego wygodnego narzędzia:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instrukcje na stronie, aby pobrać przejdź do wydań, to repozytorium zostało niedawno usunięte).
Po wyczyszczeniu upewnij się, że masz zainstalowane narzędzie fstrim (powinno być domyślnie na Fedorze) i część pakietu util-linux na Debianie/Ubuntu. Następnie wystarczy uruchomić fstrim --all w systemie operacyjnym hosta. Powinno to wystarczyć na dyskach SSD, jak wyjaśniono wcześniej.
Rozważ użycie Linux Kernel Guard jako dodatkowego środka
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org].
Windows.
Guest OS.
Przywróć poprzednią migawkę w Virtualbox (lub innym używanym oprogramowaniu maszyny wirtualnej) i wykonaj polecenie przycinania w systemie Windows, korzystając z funkcji Optymalizuj, jak wyjaśniono na końcu następnej sekcji.
Host OS.
Teraz, gdy wykonałeś szereg czynności z maszynami wirtualnymi lub systemem operacyjnym hosta, powinieneś poświęcić chwilę na zatarcie śladów.
Większość z tych kroków nie powinna być podejmowana na Decoy OS w przypadku użycia wiarygodnego zaprzeczenia. Wynika to z faktu, że chcesz, aby ślady rozsądnych, ale nie tajnych działań były dostępne dla przeciwnika. Jeśli wszystko jest czyste, możesz wzbudzić podejrzenia.
Dane diagnostyczne i telemetria.
Najpierw pozbądźmy się wszelkich danych diagnostycznych, które wciąż mogą tam być:
(Pomiń ten krok, jeśli używasz Windows 10 AME)
- Po każdym użyciu urządzeń z systemem Windows przejdź do Ustawień, Prywatności, Diagnostyki i informacji zwrotnych i kliknij Usuń.
Następnie ponownie zrandomizujmy adresy MAC maszyn wirtualnych i adres Bluetooth systemu operacyjnego hosta.
- Po każdym zamknięciu maszyny wirtualnej z systemem Windows zmień jej adres MAC, przechodząc do Virtualbox > Wybierz maszynę wirtualną > Ustawienia > Sieć > Zaawansowane > Odśwież adres MAC.
- Po każdym użyciu systemu operacyjnego hosta Windows (maszyna wirtualna nie powinna w ogóle mieć Bluetooth), przejdź do Menedżera urządzeń, wybierz Bluetooth, wyłącz urządzenie i włącz je ponownie (wymusi to randomizację adresu Bluetooth).
Dzienniki zdarzeń.
Dzienniki zdarzeń systemu Windows przechowują wiele różnych informacji, które mogą zawierać ślady Twojej aktywności, takie jak zamontowane urządzenia (w tym na przykład woluminy Veracrypt
NTFS294), połączenia sieciowe, informacje o awariach aplikacji i różne błędy. Zawsze najlepiej jest je regularnie czyścić. Nie rób tego na Decoy OS.
- Uruchom komputer, wyszukaj Podgląd zdarzeń i uruchom go:
- Przejdź do dzienników systemu Windows.
- Wybierz i wyczyść wszystkie 5 dzienników, klikając prawym przyciskiem myszy.
Historia Veracrypt.
Domyślnie Veracrypt zapisuje historię ostatnio zamontowanych woluminów i plików. Powinieneś upewnić się, że Veracrypt nigdy nie zapisuje historii. Ponownie, nie rób tego na Decoy OS, jeśli używasz wiarygodnego zaprzeczenia dla systemu operacyjnego. Musimy zachować historię montowania woluminu wabika jako część wiarygodnego zaprzeczenia.
- Uruchom Veracrypt
- Upewnij się, że pole wyboru "Nigdy nie zapisuj historii" jest zaznaczone (nie powinno być zaznaczone na Decoy OS).
Teraz należy wyczyścić historię w każdej używanej aplikacji, w tym historię przeglądarki, pliki cookie, zapisane hasła, sesje i historię formularzy.
Historia przeglądarki.
- Brave (w przypadku, gdy nie włączono czyszczenia przy wyjściu)
- Przejdź do Ustawień
- Przejdź do Osłony
- Przejdź do Wyczyść dane przeglądania
- Wybierz Zaawansowane
- Wybierz "Cały czas"
- Zaznacz wszystkie opcje
- Wyczyść dane
- Przeglądarka Tor
- Wystarczy zamknąć przeglądarkę i wszystko zostanie wyczyszczone
Historia Wi-Fi.
Teraz nadszedł czas, aby wyczyścić historię Wi-Fi, z którymi się łączysz. Niestety, Windows przechowuje listę poprzednich sieci w rejestrze, nawet jeśli "zapomniałeś" o nich w ustawieniach Wi-Fi. O ile mi wiadomo, nie ma jeszcze narzędzi do ich czyszczenia (na przykład BleachBit lub PrivaZer), więc będziesz musiał to zrobić ręcznie:
- Uruchom Regedit, korzystając z tego samouczka: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org].
- W Regedit wpisz to w pasku adresu: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Tam zobaczysz kilka folderów po prawej stronie. Każdy z tych folderów to "klucz". Każdy z tych kluczy będzie zawierał informacje o aktualnie znanych sieciach Wi-Fi lub sieciach, z których korzystałeś w przeszłości. Możesz przeglądać je jeden po drugim i zobaczyć opis po prawej stronie.
- Usuń wszystkie te klucze.
Shellbags.
Jak wyjaśniono wcześniej, Shellbags to w zasadzie historie otwieranych woluminów/plików na komputerze. Pamiętaj, że shellbagi są bardzo dobrym źródłem informacji dla
kryminalistyków287 i musisz je wyczyścić. Zwłaszcza jeśli zamontowałeś gdziekolwiek "ukryty wolumin". Ponownie, nie powinieneś tego robić na Decoy OS.
- Pobierz Shellbag Analyzer & Cleaner z https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org].
- Uruchom go
- Analizuj
- Kliknij Wyczyść i wybierz:
- Usunięte foldery
- Foldery w sieci / urządzenia zewnętrzne
- Wyniki wyszukiwania
- Wybierz zaawansowane
- Zaznacz wszystkie opcje z wyjątkiem dwóch opcji tworzenia kopii zapasowych (nie twórz kopii zapasowych).
- Wybierz SSD cleanup (jeśli masz dysk SSD)
- Wybierz 1 przebieg (wszystkie zero)
- Wyczyść
Czyszczenie dodatkowymi narzędziami.
Po wyczyszczeniu poprzednich śladów należy również użyć narzędzi innych firm, które mogą być używane do czyszczenia różnych śladów. Obejmują one ślady usuniętych plików/folderów.
Przed kontynuowaniem zapoznaj się z
Dodatkiem H: Narzędzia do czyszczenia systemu Windows.
PrivaZer.
Oto kroki dla PrivaZer:
- Pobierz i zainstaluj PrivaZer ze strony https://privazer.com/en/download.php [Archive.org]
- Uruchom PrivaZer po instalacji
- Nie używaj kreatora
- Wybierz Zaawansowany użytkownik
- Wybierz opcję Skanuj dogłębnie i wybierz cel.
- Wybierz Wszystko, co chcesz przeskanować i naciśnij Skanuj
- Wybierz, co chcesz wyczyścić (pomiń część dotyczącą worka na śmieci, ponieważ użyłeś do tego innego narzędzia)
- Powinieneś po prostu pominąć część czyszczenia wolnej przestrzeni, jeśli używasz dysku SSD i zamiast tego po prostu użyć natywnej funkcji Optymalizacji systemu Windows (patrz poniżej), która powinna być więcej niż wystarczająca. Używałbym tego tylko na dysku HDD.
- (Jeśli wybrałeś Czyszczenie wolnej przestrzeni) Wybierz Opcje czyszczenia i upewnij się, że typ pamięci masowej został dobrze wykryty (HDD vs SSD).
- (Jeśli wybrałeś czyszczenie wolnego miejsca) W ramach opcji czyszczenia (uważaj na tę opcję, ponieważ spowoduje ona usunięcie całego wolnego miejsca na wybranej partycji, zwłaszcza jeśli używasz systemu operacyjnego wabika. Nie usuwaj wolnego miejsca ani niczego innego na drugiej partycji, ponieważ ryzykujesz zniszczenie ukrytego systemu operacyjnego).
- Jeśli masz dysk SSD:
- Karta Bezpieczne nadpisywanie: Osobiście wybrałbym Normal Deletion + Trim (samo Trim powinno wystarczyć). Bezpieczne usuwanie z przycinaniem (1 przejście) może być tutaj zbędne i przesadne, jeśli i tak zamierzasz nadpisać wolne miejsce.
- Zakładka Wolne miejsce: Osobiście, i ponownie "dla pewności", wybrałbym Normalne czyszczenie, które wypełni całe wolne miejsce danymi. Nie do końca ufam funkcji Smart Cleanup, ponieważ nie wypełnia ona całego wolnego miejsca na dysku SSD danymi. Myślę jednak, że w większości przypadków nie jest to konieczne i stanowi przesadę.
- Jeśli masz dysk HDD:
- Secure Overwriting Tab: Wybrałbym po prostu Bezpieczne usuwanie (1 przejście).
- Wolne miejsce: Wybrałbym Smart Cleanup, ponieważ nie ma powodu, aby nadpisywać sektory bez danych na dysku HDD.
- Wybierz opcję Wyczyść i wybierz swój smak:
- Turbo Cleanup wykonuje tylko normalne usuwanie (na HDD/SSD) i nie czyści wolnego miejsca. Nie jest bezpieczne na dysku HDD ani SSD.
- Quick Cleanup wykona bezpieczne usuwanie (na HDD) i normalne usuwanie + przycinanie (na SSD), ale nie wyczyści wolnego miejsca. Myślę, że jest to wystarczająco bezpieczne dla SSD, ale nie dla HDD.
- Normal Cleanup wykona bezpieczne usuwanie (na HDD) i normalne usuwanie + przycinanie (na SSD), a następnie wyczyści całą wolną przestrzeń (Smart Cleanup na HDD i Full Cleanup na SSD) i powinno być bezpieczne. Myślę, że ta opcja jest najlepsza dla HDD, ale całkowicie przesadzona dla SSD.
- Kliknij Clean i poczekaj na zakończenie czyszczenia. Może to trochę potrwać i zapełni całe wolne miejsce danymi.
BleachBit.
Oto kroki dla BleachBit:
- Pobierz i zainstaluj najnowszą wersję z BleachBit tutaj https://www.bleachbit.org/download [Archive.org].
- Uruchom BleachBit
- Wyczyść przynajmniej wszystko w tych sekcjach:
- Głębokie skanowanie
- Windows Defender
- Eksplorator Windows (w tym Shellbags)
- System
- Wybierz z listy inne ślady, które chcesz usunąć.
- Ponownie, podobnie jak w przypadku poprzedniego narzędzia, nie czyściłbym wolnego miejsca na dysku SSD, ponieważ uważam, że natywne narzędzie "optymalizacji" systemu Windows jest wystarczające (patrz poniżej), a zapełnianie wolnego miejsca na dysku SSD z włączonym przycinaniem jest po prostu całkowicie przesadne i niepotrzebne.
- Kliknij przycisk Wyczyść i poczekaj. Zajmie to trochę czasu i wypełni całe wolne miejsce danymi zarówno na dysku HDD, jak i SSD.
Wymuś przycięcie za pomocą Windows Optimize (dla dysków SSD).
Dzięki temu natywnemu narzędziu systemu Windows 10 można po prostu uruchomić przycinanie na dysku SSD, co powinno wystarczyć do bezpiecznego wyczyszczenia wszystkich usuniętych plików, które w jakiś sposób uniknęłyby przycinania podczas ich usuwania.
Wystarczy otworzyć Eksplorator Windows, kliknąć prawym przyciskiem myszy dysk systemowy i kliknąć Właściwości. Wybierz Narzędzia. Kliknij Optymalizuj, a następnie ponownie Optymalizuj. I gotowe. Moim zdaniem to w zupełności wystarczy.
