Tajemství.
Tails je pro tyto účely skvělý; nemusíte se ničeho obávat ani v případě, že používáte disk SSD. Vypněte jej a vše je pryč, jakmile se paměť rozloží.
Whonix.
Všimněte si, že je možné provozovat Whonix v režimu Live a nezanechávat po vypnutí virtuálních počítačů žádné stopy, zvažte přečtení jejich dokumentace zde
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] a zde
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Hostující operační systém: MacOS Mac (Mac OS) je v současné době v provozu.
Vraťte se k předchozímu snímku v systému Virtualbox (nebo jiném softwaru pro virtuální počítače, který používáte) a proveďte příkaz Trim v počítači Mac pomocí nástroje Disk Utility tím, že znovu provedete první pomoc v hostitelském systému, jak je vysvětleno na konci další části.
Hostitelský operační systém.
Většinu informací z této části najdete také v tomto pěkném průvodci: https:
//github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Karanténní databáze (používaná nástroji Gatekeeper a XProtect).
MacOS (až po Big Sur) uchovává karanténní SQL databázi všech souborů, které jste kdy stáhli z Průzkumníka. Tato databáze se nachází na adrese ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Můžete se na ni sami zeptat spuštěním následujícího příkazu z terminálu: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent".
Je zřejmé, že je to zlatý důl pro forenzní analýzu a měli byste to zakázat:
- Spusťte následující příkaz pro úplné vymazání databáze: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Spusťte následující příkaz pro uzamčení souboru a zabránění dalšímu zápisu historie stahování do něj: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Nakonec můžete Gatekeeper také zcela zakázat zadáním následujícího příkazu v terminálu:
- sudo spctl --master-disable
Další informace naleznete v této části příručky: https:
//github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org].
Kromě této praktické databáze bude každý uložený soubor také obsahovat podrobné atributy souborového systému HFS+/APFS, které například ukazují, kdy byl stažen, čím a odkud.
Ty si můžete zobrazit pouhým otevřením terminálu a zadáním příkazu mdls název souboru a xattr -l název souboru u libovolného staženého souboru z libovolného prohlížeče.
Chcete-li tyto atributy odstranit, musíte to provést ručně z terminálu:
- Pro odstranění původu je nutné spustit příkaz xattr -d com.apple.metadata:kMDItemWhereFroms název souboru.
- Můžete také použít pouze parametr -dr a provést to rekurzivně na celé složce/disku.
- Spusťte xattr -d com.apple.quarantine název souboru pro odstranění odkazu na karanténu
- Můžete také jen použít -dr a provést to rekurzivně v celé složce/disku.
- Ověřte to spuštěním xattr --l název souboru a neměl by se objevit žádný výstup
(Všimněte si, že společnost Apple odstranila praktickou volbu xattr -c, která odstraňovala všechny atributy najednou, takže to budete muset provést pro každý atribut u každého souboru).
Tyto atributy a záznamy zůstanou zachovány, i když vymažete historii prohlížeče, což je samozřejmě špatné pro soukromí (že?) a v současné době nevím o žádném vhodném nástroji, který by se s nimi vypořádal.
Naštěstí existují určitá opatření, jak se tomuto problému vyhnout, protože tyto atributy a položky nastavují prohlížeče. Otestoval jsem tedy různé prohlížeče (Na MacOS Catalina a Big Sur) a zde jsou výsledky k datu vydání tohoto návodu:
| Prohlížeč | Položka v karanténní databázi | Atribut karanténního souboru | Atribut souboru původu |
|---|
| Safari (Normální) | Ano | Ano | Ano |
| Safari (soukromé okno) | Ne | Ne | Ne |
| Firefox (normální) | Ano | Ano | Ano |
| Firefox (Soukromé okno) | Ne | Ne | Ne |
| Chrome (Normální) | Ano | Ano | Ano |
| Chrome (Soukromé okno) | Částečně (pouze časové razítko) | Ne | Ne |
| Ungoogled-Chromium (Normální) | Ne | Ne | Ne |
| Ungoogled-Chromium (Soukromé okno) | Ne | Ne | Ne |
| Odvážný (Normální) | Částečně (pouze časové razítko) | Ne | Ne |
| Brave (soukromé okno) | Částečné (pouze časové razítko) | Ne | Ne |
| Brave (Tor Window) | Částečně (pouze časové razítko) | Ne | Ne |
| Prohlížeč Tor | Ne | Ne | Ne |
Jak sami vidíte, nejjednodušší zmírnění je prostě použít Private Windows. Ty nezapisují tyto atributy původu/karantény a neukládají záznamy do databáze QuarantineEventsV2.
Vymazání databáze QuarantineEventsV2 je snadné, jak je vysvětleno výše. Odstranění atributů vyžaduje trochu práce.
Brave je jediný testovaný prohlížeč, který tyto atributy ve výchozím nastavení při běžném provozu neukládá.
Různé artefakty.
Kromě toho systém MacOS uchovává různé protokoly o připojených zařízeních, připojených zařízeních, známých sítích, analýzách, revizích dokumentů...
Návod, kde takové artefakty najít a jak je odstranit, najdete v této části příručky: https:
//github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org].
Mnohé z nich lze odstranit pomocí různých komerčních nástrojů třetích stran, osobně bych však doporučil použít bezplatný a známý nástroj Onyx, který najdete zde:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Bohužel je sice closed-source, ale je notářsky ověřený, podepsaný a těší se důvěře již mnoho let.
Po vyčištění si vynuťte operaci Trim.
- Pokud je váš souborový systém APFS, nemusíte se o Trim starat, probíhá asynchronně při zápisu dat operačním systémem.
- Pokud je váš souborový systém HFS+ (nebo jakýkoli jiný než APFS), můžete na systémové jednotce spustit z nástroje Disk Utility funkci First Aid, která by měla v detailech provést operaci Trim (https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (operační systém Qubes).
Vezměte prosím v úvahu jejich pokyny
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org].
Pokud používáte Whonix v systému Qubes OS, zvažte prosím, zda se řídit některým z jejich návodů:
Linux (jiný než Qubes).
Hostující operační systém.
Vraťte se k předchozímu snímku virtuálního počítače hosta ve Virtualboxu (nebo jiném softwaru pro virtuální počítače, který používáte) a proveďte příkaz trim na svém notebooku pomocí fstrim --all. Tento nástroj je součástí balíčku util-linux v Debianu/Ubuntu a ve Fedoře by měl být standardně nainstalován. Poté přejděte na další část.
Hostitelský operační systém.
Pokud budete postupovat podle tohoto návodu, neměli byste mít v hostitelském operačním systému žádné stopy k čištění, protože vše provádíte z virtuálního počítače.
Přesto byste mohli chtít vyčistit některé protokoly. Stačí použít tento šikovný nástroj:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (pokyny na stránce, pro stažení zamiřte do vydání, tento repozitář byl nedávno odstraněn).
Po vyčištění se ujistěte, že máte nainstalovaný nástroj fstrim (ve Fedoře by měl být ve výchozím nastavení), v Debianu/Ubuntu je součástí balíčku util-linux. Pak stačí v hostitelském operačním systému spustit příkaz fstrim --all. Na SSD discích by to mělo stačit, jak bylo vysvětleno dříve.
Jako další opatření zvažte použití Linux Kernel Guard
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org].
Windows.
Hostující operační systém.
Vraťte se k předchozímu snímku ve Virtualboxu (nebo jiném softwaru pro virtuální počítače, který používáte) a proveďte příkaz trim ve Windows pomocí příkazu Optimize, jak je vysvětleno na konci další části.
Hostitelský operační systém.
Nyní, když jste provedli několik činností s virtuálními počítači nebo hostitelským operačním systémem, měli byste na chvíli zahladit stopy.
Většina těchto kroků by neměla být prováděna na Decoy OS v případě použití plausible deniability. Je to proto, že chcete, aby byly protivníkovi k dispozici návnady/věrohodné stopy po rozumných, ale ne tajných činnostech. Pokud je vše čisté, pak byste mohli vzbudit podezření.
Diagnostická data a telemetrie.
Nejprve se zbavme všech diagnostických dat, která by tam ještě mohla být:
(Pokud používáte systém Windows 10 AME, tento krok přeskočte).
- Po každém použití zařízení se systémem Windows přejděte do Nastavení, Soukromí, Diagnostické údaje a zpětná vazba a klikněte na tlačítko Odstranit.
Poté si znovu vylosujme adresy MAC vašich virtuálních počítačů a adresu Bluetooth vašeho hostitelského operačního systému.
- Po každém vypnutí virtuálního počítače se systémem Windows změňte jeho adresu MAC pro příště tak, že přejdete do Virtualboxu > vyberete virtuální počítač > Nastavení > Síť > Upřesnit > Obnovit adresu MAC.
- Po každém použití hostitelského operačního systému Windows (váš virtuální počítač by vůbec neměl mít Bluetooth) přejděte do Správce zařízení, vyberte Bluetooth, Zakažte zařízení a Znovu povolte zařízení (tím vynutíte náhodnou změnu adresy Bluetooth).
Protokoly událostí.
Protokoly událostí systému Windows uchovávají mnoho různých informací, které by mohly obsahovat stopy vašich činností, jako jsou připojená zařízení (včetně například svazků Veracrypt
NTFS294), vaše síťová připojení, informace o pádu aplikací a různé chyby. Ty je vždy nejlepší pravidelně čistit. V operačním systému Decoy to nedělejte.
- Spusťte počítač, vyhledejte položku Prohlížeč událostí a spusťte ji:
- Přejděte do protokolů systému Windows.
- Vyberte a vymažte všech 5 protokolů pomocí pravého tlačítka myši.
Veracrypt History.
Veracrypt ve výchozím nastavení ukládá historii naposledy připojených svazků a souborů. Měli byste zajistit, aby Veracrypt nikdy neukládal Historii. Opět to nedělejte v operačním systému Decoy, pokud pro něj používáte věrohodné popření. Historii připojování decoy svazku potřebujeme uchovávat jako součást věrohodného popření.
- Spusťte Veracrypt
- Ujistěte se, že je zaškrtnuto políčko "Nikdy neukládat historii" (toto políčko by nemělo být zaškrtnuto na Decoy OS).
Nyní byste měli vyčistit historii v rámci všech používaných aplikací, včetně historie prohlížeče, souborů cookie, uložených hesel, relací a historie formulářů.
Historie prohlížeče.
- (v případě, že jste nepovolili čištění při ukončení).
- Přejděte do Nastavení
- Přejděte do části Štíty
- Přejděte na Vymazat data o prohlížení
- Vyberte možnost Pokročilé
- Vyberte možnost "All Time"
- Zaškrtněte všechny možnosti
- Vymazat data
- Prohlížeč Tor
- Stačí zavřít Prohlížeč a vše je vyčištěno.
Historie Wi-Fi.
Nyní je čas vymazat historii Wi-Fi, ke které se připojujete. Systém Windows bohužel uchovává seznam minulých sítí v registru, i když jste je "zapomněli" v nastavení Wi-Fi. Pokud vím, žádné nástroje je zatím nečistí (například BleachBit nebo PrivaZer), takže to budete muset udělat ručně:
- Spusťte Regedit pomocí tohoto návodu: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org].
- V programu Regedit zadejte do adresního řádku toto: Počítač\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles.
- Vpravo uvidíte několik složek. Každá z těchto složek je "klíč". Každý z těchto klíčů bude obsahovat informace o vaší aktuální známé síti Wi-Fi nebo o sítích, které jste v minulosti používali. Můžete je prozkoumat jednu po druhé a zobrazit si popis na pravé straně.
- Všechny tyto klíče odstraňte.
Shellbagy: Klíče, které se nacházejí v seznamu klíčů, jsou označeny jako "Shellbagy".
Jak bylo vysvětleno dříve, Shellbagy jsou v podstatě historie přístupných svazků/souborů ve vašem počítači. Nezapomeňte, že shellbagy jsou velmi dobrým zdrojem informací pro
forenzní analýzu287 a je třeba je vyčistit. Zejména pokud jste někde připojili nějaký "skrytý svazek". Opět platí, že byste to neměli dělat v operačním systému Decoy.
- Nástroj Shellbag Analyzer & Cleaner si stáhněte z adresy https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org].
- Spusťte jej
- Analyzujte stránku
- Klepněte na tlačítko Clean a vyberte:
- Smazané složky
- Složky v síti / externích zařízeních
- Výsledky hledání
- Zvolte pokročilé
- Zaškrtněte všechny možnosti kromě dvou možností zálohování (nezálohovat).
- Vyberte možnost Vyčištění SSD (pokud máte SSD)
- Vyberte možnost 1 průchod (Vše nulové)
- Vyčistit
Další nástroje čištění.
Po vyčištění těchto předchozích stop byste měli použít také nástroje třetích stran, které lze použít k vyčištění různých stop. Mezi ně patří i stopy po odstraněných souborech/složkách.
Než budete pokračovat, přečtěte si
Dodatek H: Nástroje pro čištění systému Windows.
PrivaZer.
Zde jsou uvedeny kroky pro program PrivaZer:
- Stáhněte a nainstalujte PrivaZer z adresy https://privazer.com/en/download.php [Archive.org].
- Po instalaci spusťte PrivaZer
- Nepoužívejte jejich průvodce
- Vyberte možnost Pokročilý uživatel
- Zvolte možnost Scan in Depth a vyberte svůj cíl
- Vyberte vše, co chcete skenovat, a stiskněte tlačítko Scan
- Vyberte, co chcete vyčistit (přeskočte část se skořápkovým vakem, protože jste k tomu použili jiný nástroj).
- Pokud používáte disk SSD, měli byste část s čištěním volného místa přeskočit a místo toho použít pouze nativní funkci Windows Optimize (viz níže), která by měla být více než dostačující. Tuto funkci bych použil pouze u jednotky HDD.
- (Pokud jste vybrali čištění volného místa) Vyberte možnost Clean Options (Možnosti čištění) a ujistěte se, že je váš typ úložiště dobře detekován (HDD vs. SSD).
- (Pokud jste vybrali čištění Free Space) V rámci Clean Options (Buďte opatrní s touto volbou, protože vymaže veškeré volné místo na vybraném oddílu, zejména pokud používáte operační systém decoy. Nevymazávejte volné místo ani nic jiného na druhém oddílu, protože riskujete zničení skrytého OS).
- Pokud máte disk SSD:
- Zabezpečené přepisování na kartě: Osobně bych zvolil pouze Normální mazání + Oříznutí (samotné Oříznutí by mělo stačit). Zabezpečené mazání s Trimováním (1 průchod) by zde mohlo být zbytečné a přehnané, pokud máte v úmyslu volné místo stejně přepsat.
- Karta Volné místo: Osobně, a opět "pro jistotu", bych vybral možnost Normální vyčištění, která zaplní celé volné místo daty. Inteligentnímu čištění příliš nedůvěřuji, protože ve skutečnosti nevyplní celý volný prostor na SSD diskem s daty. Ale zase si myslím, že to asi není potřeba a ve většině případů je to přehnané.
- Pokud máte disk HDD:
- Secure Overwriting (Zabezpečené přepisování) karta: Zvolil bych pouze možnost Zabezpečené mazání (1 průchod).
- Free Space (Volné místo): Na jednotce HDD bych vybral pouze možnost Inteligentní čištění, protože není důvod přepisovat sektory bez dat.
- Vyberte možnost Vyčistit a vyberte si příchuť:
- Turbo Cleanup provede pouze běžné mazání (na HDD/SSD) a nevyčistí volné místo. Není bezpečný na HDD ani SSD.
- Rychlé čištění provede bezpečné odstranění (na HDD) a normální odstranění + ořezání (na SSD), ale nevyčistí volné místo. Myslím, že je to dostatečně bezpečné pro SSD, ale ne pro HDD.
- Normální čištění provede bezpečné mazání (na HDD) a normální mazání + trim (na SSD) a poté vyčistí celé volné místo (Inteligentní čištění na HDD a Úplné čištění na SSD) a mělo by být bezpečné. Myslím, že tato možnost je nejlepší pro HDD, ale zcela přehnaná pro SSD.
- Klikněte na tlačítko Vyčistit a počkejte na dokončení čištění. Mohlo by to chvíli trvat a zaplní se vám celé volné místo daty.
Bleskově se to vyřeší.
Zde jsou uvedeny kroky pro BleachBit:
- Získejte a nainstalujte nejnovější verzi BleachBitu zde: https: //www.bleachbit.org/download [Archive.org]
- Spusťte BleachBit
- Vyčistěte alespoň vše v těchto sekcích:
- Hloubková kontrola
- Windows Defender
- Průzkumník Windows (včetně Shellbagů)
- Systém
- Vyberte z jejich seznamu všechny další stopy, které chcete odstranit.
- Opět, stejně jako u předchozího nástroje, bych volné místo na disku SSD nečistil, protože si myslím, že nativní nástroj "optimalizace" systému Windows je dostatečný (viz níže) a že zaplňování volného místa na SSD disku s povoleným trimováním je prostě zcela přehnané a zbytečné.
- Klepněte na tlačítko Vyčistit a počkejte. Bude to chvíli trvat a zaplní se vám celé volné místo daty na jednotkách HDD i SSD.
Vynucení trimování pomocí funkce Windows Optimize (pro disky SSD).
Pomocí tohoto nativního nástroje systému Windows 10 můžete na disku SSD pouze vyvolat Trim, což by mělo být více než dostatečné k bezpečnému vyčištění všech odstraněných souborů, které by při odstraňování nějakým způsobem unikly Trim.
Stačí otevřít Průzkumníka Windows, kliknout pravým tlačítkem myši na systémový disk a kliknout na Vlastnosti. Vyberte možnost Nástroje. Klikněte na položku Optimalizovat a poté znovu na položku Optimalizovat. Hotovo. Myslím, že to podle mého názoru pravděpodobně stačí.
