Tails.
Tails este excelent pentru acest lucru; nu aveți de ce să vă faceți griji chiar dacă utilizați o unitate SSD. Opriți-l și totul dispare de îndată ce memoria se descompune.
Whonix.
Rețineți că este posibil să rulați Whonix în modul Live, fără a lăsa urme atunci când închideți VM-urile; citiți documentația lor aici
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] și aici
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Sistem de operare invitat.
Reveniți la un snapshot anterior pe Virtualbox (sau orice alt software VM pe care îl utilizați) și efectuați o comandă Trim pe Mac utilizând Disk Utility, executând din nou un prim ajutor pe sistemul de operare gazdă, după cum se explică la sfârșitul secțiunii următoare.
Sistemul de operare gazdă.
Majoritatea informațiilor din această secțiune pot fi găsite și în acest ghid interesant
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Baza de date pentru carantină (utilizată de Gatekeeper și XProtect).
MacOS (până la și inclusiv Big Sur) păstrează o bază de date Quarantine SQL a tuturor fișierelor pe care le-ați descărcat vreodată dintr-un browser. Această bază de date este localizată la ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Puteți să o interogați singur executând următoarea comandă din terminal: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Evident, aceasta este o mină de aur pentru criminaliști și ar trebui să o dezactivați:
- Executați următoarea comandă pentru a șterge complet baza de date: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Executați următoarea comandă pentru a bloca fișierul și a împiedica scrierea istoriei descărcărilor ulterioare acolo: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
În cele din urmă, puteți dezactiva complet Gatekeeper prin emiterea următoarei comenzi în terminal:
- sudo spctl --master-disable
Consultați această secțiune a ghidului pentru informații suplimentare
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
În plus față de această bază de date convenabilă, fiecare fișier salvat va purta, de asemenea, atribute HFS+/APFS detaliate ale sistemului de fișiere, indicând de exemplu când a fost descărcat, cu ce și de unde.
Puteți vizualiza aceste date doar deschizând un terminal și tastând mdls filename și xattr -l filename pe orice fișier descărcat din orice browser.
Pentru a elimina astfel de atribute, va trebui să o faceți manual din terminal:
- Rulați xattr -d com.apple.metadata:kMDItemWhereFroms filename pentru a elimina originea
- De asemenea, puteți utiliza doar -dr pentru a o face recursiv pe un întreg folder/discul
- Executați xattr -d com.apple.quarantine nume fișier pentru a elimina referința de carantină
- De asemenea, puteți utiliza doar -dr pentru a o face recursiv pe un întreg folder/disk
- Verificați prin rularea xattr --l filename și nu ar trebui să existe niciun rezultat
(Rețineți că Apple a eliminat opțiunea convenabilă xattr -c care ar elimina toate atributele deodată, astfel încât va trebui să faceți acest lucru pentru fiecare atribut de pe fiecare fișier)
Aceste atribute și intrări vor rămâne chiar dacă ștergeți istoricul browserului și acest lucru este evident rău pentru confidențialitate (nu-i așa?) și nu sunt la curent cu niciun instrument convenabil care să se ocupe de acestea în acest moment.
Din fericire, există unele atenuări pentru a evita această problemă în primul rând, deoarece aceste atribute și intrări sunt setate de browsere. Așadar, am testat diverse browsere (pe MacOS Catalina și Big Sur) și iată care sunt rezultatele la data acestui ghid:
| Browser | Intrare DB carantină | Atributul fișierului de carantină | Origine Atribut fișier |
|---|
| Safari (Normal) | (Normal) Da | Da (Normal) | Da (Normal) |
| Safari (fereastră privată) | Nu | Nu | Nu |
| Firefox (Normal) | Da | Da | Da |
| Firefox (fereastră privată) | Nu | Da Nu | Nu |
| Chrome (Normal) | Da | Da | Da |
| Chrome (fereastră privată) | Parțial (doar timestamp) | Nu | Nu |
| Ungoogled-Chromium (Normal) | Nu (Normal) | Nu (normal) | Nu |
| Ungoogled-Chromium (fereastră privată) | Nu | Nu | Nu |
| Curajos (Normal) | Parțial (doar timestamp) | Nu | (parțial) Nu |
| Brave (fereastră privată) | Parțial (doar timestamp) | Nu | Nu |
| Brave (fereastra Tor) | Parțial (doar timestamp) | Nu | Nu (parțial) |
| Browser Tor | Nu | Nu | Nu |
După cum puteți vedea, cea mai ușoară atenuare este să utilizați doar Private Windows. Acestea nu scriu acele atribute de origine/carantină și nu stochează intrările în baza de date QuarantineEventsV2.
Curățarea QuarantineEventsV2 este ușoară, așa cum s-a explicat mai sus. Eliminarea atributelor necesită ceva muncă.
Brave este singurul browser testat care nu va stoca aceste atribute în mod implicit în timpul operațiunilor normale.
Diverse artefacte.
În plus, MacOS păstrează diverse jurnale ale dispozitivelor montate, dispozitivelor conectate, rețelelor cunoscute, analizelor, revizuirilor documentelor...
Consultați această secțiune a ghidului pentru îndrumări cu privire la unde să găsiți și cum să ștergeți astfel de artefacte:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Multe dintre acestea pot fi șterse cu ajutorul unor diverse instrumente comerciale terțe, dar eu personal aș recomanda utilizarea gratuitului și binecunoscutului Onyx pe care îl puteți găsi aici:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Din păcate, este un program cu sursă închisă, dar este autentificat, semnat și are încredere de mulți ani.
Forțați o operațiune Trim după curățare.
- Dacă sistemul dvs. de fișiere este APFS, nu trebuie să vă faceți griji cu privire la Trim, aceasta are loc asincron, pe măsură ce sistemul de operare scrie date.
- Dacă sistemul dvs. de fișiere este HFS+ (sau oricare altul decât APFS), ați putea rula First Aid pe unitatea de sistem din Disk Utility, care ar trebui să efectueze o operațiune Trim în detalii(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Vă rugăm să luați în considerare orientările lor
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Dacă utilizați Whonix pe Qubes OS, vă rugăm să luați în considerare unele dintre ghidurile lor:
Linux (non-Qubes).
Sistemul de operare invitat.
Reveniți la un snapshot anterior al VM-ului invitat pe Virtualbox (sau orice alt software VM pe care îl utilizați) și efectuați o comandă de tăiere pe laptop utilizând fstrim --all. Acest utilitar face parte din pachetul util-linux pe Debian/Ubuntu și ar trebui să fie instalat implicit pe Fedora. Apoi treceți la secțiunea următoare.
Sistemul de operare gazdă.
În mod normal, nu ar trebui să aveți urme de curățat în cadrul sistemului de operare gazdă, deoarece faceți totul dintr-o mașină virtuală dacă urmați acest ghid.
Cu toate acestea, s-ar putea să doriți să curățați unele jurnale. Trebuie doar să utilizați acest instrument convenabil:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instrucțiuni pe pagină, pentru descărcare mergeți la versiuni, acest depozit a fost recent eliminat)
După curățare, asigurați-vă că aveți instalat utilitarul fstrim (ar trebui să fie implicit pe Fedora) și parte a pachetului util-linux pe Debian/Ubuntu. Apoi, trebuie doar să rulați fstrim --all pe sistemul de operare gazdă. Acest lucru ar trebui să fie suficient pe unitățile SSD, așa cum s-a explicat mai devreme.
Luați în considerare utilizarea Linux Kernel Guard ca măsură suplimentară
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Sistem de operare invitat.
Reveniți la un snapshot anterior pe Virtualbox (sau orice alt software VM pe care îl utilizați) și efectuați o comandă de tăiere pe Windows utilizând optimizarea, după cum se explică la sfârșitul secțiunii următoare
Sistemul de operare gazdă.
Acum, că ați avut o grămadă de activități cu VM-urile sau cu sistemul de operare gazdă, ar trebui să luați un moment pentru a vă acoperi urmele.
Majoritatea acestor pași nu ar trebui să fie întreprinși pe sistemul de operare Decoy în cazul utilizării negării plauzibile. Acest lucru se datorează faptului că doriți să păstrați urme false/plauzibile ale activităților sensibile, dar nu secrete, disponibile pentru adversarul dvs. Dacă totul este curat, atunci ați putea ridica suspiciuni.
Date de diagnosticare și telemetrie.
Mai întâi să scăpăm de orice date de diagnosticare care ar putea fi încă acolo:
(Săriți peste acest pas dacă utilizați Windows 10 AME)
- După fiecare utilizare a dispozitivelor dvs. Windows, accesați Setări, Confidențialitate, Diagnostic și feedback și faceți clic pe Ștergere.
Apoi, haideți să rearanjăm adresele MAC ale mașinilor dvs. virtuale și adresa Bluetooth a sistemului de operare gazdă.
- După fiecare închidere a mașinii dvs. virtuale Windows, schimbați-i adresa MAC pentru data viitoare intrând în Virtualbox > Selectați mașina virtuală > Setări > Rețea > Avansate > Reîmprospătați adresa MAC.
- După fiecare utilizare a sistemului de operare gazdă Windows (VM-ul dvs. nu trebuie să aibă deloc Bluetooth), accesați Device Manager, selectați Bluetooth, dezactivați dispozitivul și reactivați dispozitivul (acest lucru va forța o randomizare a adresei Bluetooth).
Jurnale de evenimente.
Jurnalele de evenimente Windows vor păstra multe informații diverse care ar putea conține urme ale activităților dvs. cum ar fi dispozitivele care au fost montate (inclusiv volumele NTFS Veracrypt, de
exemplu294), conexiunile dvs. de rețea, informații despre blocarea aplicațiilor și diverse erori. Întotdeauna este mai bine să le curățați în mod regulat. Nu faceți acest lucru pe sistemul de operare Decoy.
- Start, căutați Event Viewer și lansați Event Viewer:
- Intrați în jurnalele Windows.
- Selectați și ștergeți toate cele 5 jurnale folosind clic dreapta.
Istoricul Veracrypt.
În mod implicit, Veracrypt salvează un istoric al volumelor și fișierelor montate recent. Ar trebui să vă asigurați că Veracrypt nu salvează niciodată istoricul. Din nou, nu faceți acest lucru pe sistemul de operare înșelător dacă utilizați o negare plauzibilă pentru sistemul de operare. Trebuie să păstrăm istoricul de montare a volumului momeală ca parte a negației plauzibile.
- Lansați Veracrypt
- Asigurați-vă că caseta de selectare "Never saves history" este bifată (aceasta nu trebuie bifată pe sistemul de operare fals)
Acum ar trebui să curățați istoricul din orice aplicație pe care ați utilizat-o, inclusiv istoricul browserului, modulele cookie, parolele salvate, sesiunile și istoricul formularelor.
Istoricul browserului.
- Brave (în cazul în care nu ați activat curățarea la ieșire)
- Intrați în Setări
- Intrați în Scuturi
- Accesați Ștergeți datele de navigare (Clear Browsing Data)
- Selectați Avansat
- Selectați "Tot timpul"
- Bifați toate opțiunile
- Ștergeți datele
- Browser Tor
- Doar închideți browserul și totul este curățat
Istoric Wi-Fi.
Acum este momentul să ștergeți istoricul rețelelor Wi-Fi la care vă conectați. Din păcate, Windows continuă să stocheze o listă a rețelelor anterioare în registru, chiar dacă le-ați "uitat" în setările Wi-Fi. Din câte știu eu, încă nu există utilitare care să le curețe (BleachBit sau PrivaZer, de exemplu), așa că va trebui să o faceți manual:
- Lansați Regedit folosind acest tutorial: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- În cadrul Regedit, introduceți următoarele în bara de adrese: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Acolo veți vedea o grămadă de foldere în dreapta. Fiecare dintre aceste foldere este o "cheie". Fiecare dintre aceste chei va conține informații despre rețelele Wi-Fi cunoscute în prezent sau despre rețelele pe care le-ați folosit în trecut. Le puteți explora una câte una și puteți vedea descrierea din partea dreaptă.
- Ștergeți toate aceste chei.
Shellbags.
După cum am explicat mai devreme, Shellbags sunt practic istorii ale volumelor/filelor accesate pe computerul dvs. Amintiți-vă că shellbag-urile sunt surse foarte bune de informații pentru
criminaliști287 și trebuie să le curățați. Mai ales dacă ați montat orice "volum ascuns" oriunde. Din nou, nu trebuie să faceți acest lucru pe sistemul de operare Decoy.
- Descărcați Shellbag Analyzer & Cleaner de la https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org]
- Lansați-l
- Analizați
- Faceți clic pe Clean și selectați:
- Dosare șterse
- Dosare în rețea / Dispozitive externe
- Rezultate căutare
- Selectați avansat
- Bifați toate opțiunile, cu excepția celor două opțiuni de backup (nu face backup)
- Selectați curățare SSD (dacă aveți un SSD)
- Selectați 1 trecere (Toate zero)
- Curățare
Instrumente suplimentare de curățare.
După curățarea acestor urme anterioare, ar trebui să utilizați și utilitare terțe care pot fi utilizate pentru a curăța diverse urme. Acestea includ urmele fișierelor/dosarelor pe care le-ați șters.
Vă rugăm să consultați
Anexa H: Instrumente de curățare Windows înainte de a continua.
PrivaZer.
Iată pașii pentru PrivaZer:
- Descărcați și instalați PrivaZer de pe https://privazer.com/en/download.php [Archive.org]
- Rulați PrivaZer după instalare
- Nu utilizați Expertul
- Selectați Utilizator avansat
- Selectați Scan in Depth și alegeți ținta
- Selectați Everything you want to Scan și apăsați Scan
- Selectați ce doriți să curățați (săriți peste partea cu sacul de cochilie deoarece ați folosit celălalt utilitar pentru asta)
- Ar trebui să săriți peste partea de curățare a spațiului liber dacă utilizați un SSD și să folosiți în schimb funcția nativă Windows Optimize (a se vedea mai jos), care ar trebui să fie mai mult decât suficientă. Eu aș utiliza această opțiune numai pe o unitate HDD.
- (Dacă ați selectat curățarea spațiului liber) Selectați Opțiuni de curățare și asigurați-vă că tipul de stocare este bine detectat (HDD vs SSD).
- (Dacă ați selectat curățarea spațiului liber) În cadrul opțiunilor de curățare (Aveți grijă cu această opțiune deoarece va șterge tot spațiul liber de pe partiția selectată, mai ales dacă rulați sistemul de operare momeală. Nu ștergeți spațiul liber sau orice altceva de pe a doua partiție deoarece riscați să vă distrugeți sistemul de operare ascuns)
- Dacă aveți o unitate SSD:
- fila Suprascriere securizată: Personal, aș alege doar Normal Deletion + Trim (Trim în sine ar trebui să fie suficient). Secure Deletion with Trim (1 trecere) ar putea fi redundant și exagerat aici dacă intenționați oricum să suprascrieți spațiul liber.
- Tab-ul Spațiu liber: Personal, și din nou "doar pentru a fi sigur", aș selecta Normal Cleanup, care va umple întregul spațiu liber cu date. Nu prea am încredere în Smart Cleanup, deoarece nu umple de fapt tot spațiul liber al SSD-ului cu date. Dar, din nou, cred că acest lucru nu este probabil necesar și este exagerat în majoritatea cazurilor.
- Dacă aveți o unitate HDD:
- Secure Overwriting Tab: Aș alege doar Secure Deletion (1 trecere).
- Spațiu liber: Aș alege doar Smart Cleanup, deoarece nu există niciun motiv să suprascrieți sectoare fără date pe o unitate HDD.
- Selectați Clean și alegeți aroma:
- Turbo Cleanup va efectua doar ștergerea normală (pe HDD/SSD) și nu va curăța spațiul liber. Nu este sigur nici pe un HDD, nici pe un SSD.
- Quick Cleanup va efectua ștergerea securizată (pe HDD) și ștergerea normală + trim (pe SSD), dar nu va curăța spațiul liber. Cred că acest lucru este suficient de sigur pentru SSD, dar nu și pentru HDD.
- Normal Cleanup va efectua o ștergere sigură (pe HDD) și o ștergere normală + tăiere (pe SSD) și apoi va curăța întregul spațiu liber (Smart Cleanup pe HDD și Full Cleanup pe SSD) și ar trebui să fie sigură. Cred că această opțiune este cea mai bună pentru HDD, dar complet exagerată pentru SSD.
- Faceți clic pe Clean și așteptați să se termine curățarea. Ar putea dura ceva timp și vă va umple tot spațiul liber cu date.
BleachBit.
Aici sunt pașii pentru BleachBit:
- Obțineți și instalați cea mai recentă versiune de la BleachBit aici https://www.bleachbit.org/download [Archive.org]
- Rulați BleachBit
- Curățați cel puțin tot ce se află în aceste secțiuni:
- Scanare profundă
- Windows Defender
- Windows Explorer (inclusiv Shellbags)
- Sistem
- Selectați orice alte urme pe care doriți să le eliminați din lista lor
- Din nou, la fel ca în cazul utilitarului anterior, nu aș curăța spațiul liber de pe o unitate SSD, deoarece cred că utilitarul "optimizare" nativ al Windows este suficient (a se vedea mai jos) și că umplerea spațiului liber de pe un SSD cu trim activat este doar complet exagerată și inutilă.
- Faceți clic pe Clean (Curățare) și așteptați. Acest lucru va dura ceva timp și vă va umple tot spațiul liber cu date atât pe HDD, cât și pe SSD.
Forțați o tăiere cu Windows Optimize (pentru unități SSD).
Cu acest utilitar nativ pentru Windows 10, puteți pur și simplu să declanșați un Trim pe SSD, ceea ce ar trebui să fie mai mult decât suficient pentru a curăța în siguranță toate fișierele șterse care, cumva, ar fi scăpat de Trim la ștergerea lor.
Trebuie doar să deschideți Windows Explorer, să faceți clic dreapta pe unitatea de sistem și să faceți clic pe Proprietăți. Selectați Instrumente. Faceți clic pe Optimizare și apoi din nou pe Optimizare. Sunteți gata. În opinia mea, cred că este suficient.
