Tails.
Tails es genial para esto; no tienes de qué preocuparte aunque utilices una unidad SSD. Apágala y todo desaparecerá en cuanto la memoria se descomponga.
Whonix.
Ten en cuenta que es posible ejecutar Whonix en modo Live sin dejar rastros cuando apagas las VMs, considera leer su documentación aquí
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] y aquí
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Guest OS.
Vuelva a una instantánea anterior en Virtualbox (o cualquier otro software de VM que esté utilizando) y ejecute un comando Trim en su Mac utilizando la Utilidad de Discos ejecutando de nuevo un first-aid en el SO Huésped como se explica al final de la siguiente sección.
SO Anfitrión.
La mayor parte de la información de esta sección también se puede encontrar en esta bonita guía
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Base de datos de cuarentena (utilizada por Gatekeeper y XProtect).
MacOS (hasta Big Sur incluido) mantiene una Base de Datos SQL de Cuarentena de todos los archivos que ha descargado desde un Navegador. Esta base de datos se encuentra en ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Puede consultarla usted mismo ejecutando el siguiente comando desde el terminal: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Obviamente, esto es una mina de oro para los forenses y deberías desactivarlo:
- Ejecute el siguiente comando para borrar completamente la base de datos: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Ejecute el siguiente comando para bloquear el archivo y evitar que se escriba más historial de descargas: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Por último, también puede desactivar Gatekeeper por completo ejecutando el siguiente comando en el terminal:
- sudo spctl --master-disable
Consulte esta sección de esta guía para obtener más información
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Además de esta práctica base de datos, cada archivo guardado también incluirá atributos detallados del sistema de archivos HFS+/APFS que muestran, por ejemplo, cuándo se descargó, con qué y desde dónde.
Puedes verlos simplemente abriendo un terminal y escribiendo mdls nombrearchivo y xattr -l nombrearchivo en cualquier archivo descargado desde cualquier navegador.
Para eliminar estos atributos, tendrás que hacerlo manualmente desde el terminal:
- Ejecute xattr -d com.apple.metadata:kMDItemWhereFroms filename para eliminar el origen
- También puede utilizar -dr para hacerlo de forma recursiva en toda una carpeta/disco
- Ejecute xattr -d com.apple.quarantine filename para eliminar la referencia a la cuarentena.
- También puede utilizar -dr para hacerlo de forma recursiva en toda una carpeta o disco.
- Compruébelo ejecutando xattr --l nombrearchivo y no debería haber ningún resultado.
(Tenga en cuenta que Apple ha eliminado la opción xattr -c que eliminaba todos los atributos a la vez, por lo que tendrá que hacerlo para cada atributo de cada archivo).
Estos atributos y entradas se mantendrán incluso si borras el historial de tu navegador y esto es obviamente malo para la privacidad (¿verdad?) y no conozco ninguna herramienta conveniente que se ocupe de ellos por el momento.
Afortunadamente, hay algunas soluciones para evitar este problema en primer lugar, ya que estos atributos y entradas son establecidos por los navegadores. Por lo tanto, he probado varios navegadores (En MacOS Catalina y Big Sur) y aquí están los resultados a la fecha de esta guía:
| Navegador | Entrada en la base de datos de cuarentena | Atributo de archivo de cuarentena | Atributo del archivo de origen |
|---|
| Safari (Normal) | Sí | Sí | Sí |
| Safari (Ventana privada) | No | No | No |
| Firefox (Normal) | Sí | Sí | Sí |
| Firefox (Ventana privada) | No | No | No |
| Chrome (Normal) | Sí | Sí | Sí |
| Chrome (Ventana privada) | Parcial (sólo marca de tiempo) | No | No |
| Ungoogled-Chromium (Normal) | No | No | No |
| Ungoogled-Chromium (Ventana privada) | No | No | No |
| Valiente (Normal) | Parcial (sólo marca de tiempo) | No | No |
| Valiente (Ventana privada) | Parcial (sólo marca de tiempo) | No | No |
| Brave (Ventana Tor) | Parcial (sólo marca de tiempo) | No | No |
| Navegador Tor | No | No | No |
Como puedes ver por ti mismo la mitigación más fácil es sólo usar Ventanas Privadas. Estas no escriben esos atributos de origen/cuarentena y no almacenan las entradas en la base de datos QuarantineEventsV2.
Borrar el QuarantineEventsV2 es fácil como se explicó anteriormente. Eliminar los atributos requiere algo de trabajo.
Brave es el único navegador probado que no almacena esos atributos por defecto en operaciones normales.
Varios artefactos.
Además, MacOS guarda varios registros de dispositivos montados, dispositivos conectados, redes conocidas, análisis, revisiones de documentos...
Consulte esta sección de esta guía para obtener orientación sobre dónde encontrar y cómo eliminar dichos artefactos:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Muchos de ellos pueden eliminarse utilizando diversas herramientas comerciales de terceros, pero yo personalmente recomendaría utilizar la conocida y gratuita Onyx, que puedes encontrar aquí: https:
//www.titanium-software.fr/en/onyx.html [Archive.org]. Desgraciadamente, es de código cerrado pero está notarizado, firmado y es de confianza desde hace muchos años.
Forzar una operación de Trim después de la limpieza.
- Si tu sistema de archivos es APFS, no necesitas preocuparte por Trim, ocurre de forma asíncrona mientras el SO escribe datos.
- Si su sistema de archivos es HFS+ (o cualquier otro que no sea APFS), puede ejecutar First Aid en su unidad de sistema desde la Utilidad de Discos, que debería realizar una operación de Trim en los detalles(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Tenga en cuenta sus directrices
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive
.org]
Si estás usando Whonix en Qubes OS, por favor considera seguir algunas de sus guías:
Linux (no Qubes).
Guest OS.
Vuelva a una instantánea anterior de la máquina virtual invitada en Virtualbox (o cualquier otro software de máquina virtual que esté utilizando) y ejecute un comando de recorte en su portátil utilizando fstrim --all. Esta utilidad forma parte del paquete util-linux en Debian/Ubuntu y debería estar instalada por defecto en Fedora. A continuación, pasa a la siguiente sección.
Sistema operativo anfitrión.
Normalmente no deberías tener rastros que limpiar dentro del SO anfitrión ya que estás haciendo todo desde una máquina virtual si sigues esta guía.
Sin embargo, es posible que desee limpiar algunos registros. Simplemente use esta conveniente herramienta:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instrucciones en la página, para descargar diríjase a las versiones, este repositorio fue removido recientemente)
Después de limpiar, asegúrate de que tienes instalada la utilidad fstrim (debería estar por defecto en Fedora) y parte del paquete util-linux en Debian/Ubuntu. A continuación, ejecute fstrim --all en el sistema operativo anfitrión. Esto debería ser suficiente en unidades SSD, como se ha explicado anteriormente.
Considere el uso de Linux Kernel Guard como medida adicional
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
SO huésped.
Vuelva a una instantánea anterior en Virtualbox (o cualquier otro software VM que esté utilizando) y realice un comando de recorte en su Windows utilizando el Optimizar como se explica al final de la siguiente sección
Sistema operativo anfitrión.
Ahora que ya has realizado un montón de actividades con tus VMs o SO Host, deberías tomarte un momento para cubrir tus huellas.
La mayoría de estos pasos no deben realizarse en el SO Decoy en caso de uso de negación plausible. Esto es porque quieres mantener rastros señuelo/plausibles de actividades sensibles pero no secretas disponibles para tu adversario. Si todo está limpio, podrías levantar sospechas.
Datos de diagnóstico y telemetría.
En primer lugar vamos a deshacernos de cualquier dato de diagnóstico que todavía podría estar allí:
(Omita este paso si utiliza Windows 10 AME)
- Después de cada uso de sus dispositivos Windows, vaya a Configuración, Privacidad, Diagnóstico y comentarios, y haga clic en Eliminar.
A continuación, volvamos a aleatorizar las direcciones MAC de sus máquinas virtuales y la dirección Bluetooth de su sistema operativo host.
- Después de cada apagado de su máquina virtual Windows, cambie su dirección MAC para la próxima vez yendo a Virtualbox > Seleccione la máquina virtual > Configuración > Red > Avanzado > Actualizar la dirección MAC.
- Después de cada uso de su sistema operativo Windows (su máquina virtual no debería tener Bluetooth en absoluto), vaya al Administrador de dispositivos, seleccione Bluetooth, Deshabilite el dispositivo y Vuelva a habilitarlo (esto forzará una aleatorización de la dirección Bluetooth).
Registros de eventos.
Los registros de eventos de Windows guardan mucha información que puede contener rastros de tus actividades, como los dispositivos montados (incluidos los volúmenes NTFS de Veracrypt, por
ejemplo294), tus conexiones de red, información sobre fallos de aplicaciones y varios errores. Siempre es mejor limpiarlos regularmente. No hagas esto en el sistema operativo Decoy.
- Arranca, busca el Visor de Eventos y ejecútalo:
- Vaya a los registros de Windows.
- Seleccione y borre los 5 registros haciendo clic con el botón derecho.
Historial de Veracrypt.
Por defecto, Veracrypt guarda un historial de los volúmenes y archivos montados recientemente. Debes asegurarte de que Veracrypt nunca guarde el Historial. De nuevo, no haga esto en el sistema operativo Decoy si está usando negación plausible para el sistema operativo. Necesitamos mantener el historial de montaje del Volumen señuelo como parte de la negación plausible.
- Inicia Veracrypt
- Asegúrate de que la casilla "Never saves history" está marcada (esto no debería estar marcado en el SO señuelo)
Ahora debes limpiar el historial de cualquier aplicación que hayas utilizado, incluyendo el historial del navegador, cookies, contraseñas guardadas, sesiones e historial de formularios.
Historial del navegador.
- Brave (en caso de que no hayas activado la limpieza al salir)
- Entra en Configuración
- Entra en Escudos
- Entra en Borrar datos de navegación
- Selecciona Avanzado
- Selecciona "Todo el tiempo
- Marque todas las opciones
- Borrar Datos
- Navegador Tor
- Simplemente cierre el Navegador y todo estará limpio
Historial Wi-Fi.
Ahora es el momento de limpiar el historial del Wi-Fi al que te conectas. Desafortunadamente, Windows sigue almacenando una lista de redes pasadas en el registro incluso si las "olvidaste" en la configuración Wi-Fi. Que yo sepa, todavía no hay utilidades para limpiarlas (BleachBit o PrivaZer, por ejemplo), así que tendrás que hacerlo manualmente:
- Inicia Regedit usando este tutorial: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- Dentro de Regedit, introduce esto en la barra de direcciones: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Allí verás un montón de carpetas a la derecha. Cada una de esas carpetas es una "Clave". Cada una de esas claves contendrá información sobre tu Wi-Fi actual conocido o redes pasadas que hayas usado. Puedes explorarlas una a una y ver la descripción en el lado derecho.
- Borra todas esas claves.
Shellbags.
Como se explicó anteriormente, los Shellbags son básicamente historiales de volúmenes/archivos accedidos en tu ordenador. Recuerda que los shellbags son una muy buena fuente de información para los
forenses287 y necesitas limpiarlos. Especialmente si montaste algún "volumen oculto" en algún lugar. De nuevo, no deberías hacer esto en el sistema operativo Decoy.
- Descarga Shellbag Analyzer & Cleaner desde https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org]
- Ejecútalo
- Analiza
- Haz clic en Limpiar y selecciona:
- Carpetas eliminadas
- Carpetas en red / Dispositivos externos
- Resultados de la búsqueda
- Seleccione avanzado
- Marque todas las opciones excepto las dos de copia de seguridad (no hacer copia de seguridad)
- Seleccione limpieza SSD (si tiene un SSD)
- Seleccione 1 pasada (Todo a cero)
- Limpiar
Limpieza con herramientas extra.
Después de limpiar los rastros anteriores, también debe utilizar utilidades de terceros que se pueden utilizar para limpiar varios rastros. Estos incluyen los rastros de los archivos/carpetas que borraste.
Consulte el
Apéndice H: Herramientas de limpieza de Windows antes de continuar.
PrivaZer.
Estos son los pasos para PrivaZer:
- Descargue e instale PrivaZer desde https://privazer.com/en/download.php [Archive.org].
- Ejecute PrivaZer después de la instalación
- No utilice su Asistente
- Seleccione Usuario Avanzado
- Seleccione Escanear en Profundidad y elija su Objetivo
- Seleccione Todo lo que desea escanear y pulse Escanear
- Seleccione lo que desea limpiar (omita la parte de la bolsa de cáscaras ya que utilizó la otra utilidad para eso)
- Si utiliza un SSD, debería omitir la parte de limpieza del espacio libre y utilizar la función nativa de Windows Optimizar (ver más abajo), que debería ser más que suficiente. Yo sólo usaría esto en una unidad HDD.
- (Si seleccionó la limpieza de espacio libre) Seleccione Opciones de limpieza y asegúrese de que su tipo de almacenamiento está bien detectado (HDD vs SSD).
- (Si seleccionó Limpieza de Espacio Libre) Dentro de Opciones de Limpieza (Tenga cuidado con esta opción ya que borrará todo el espacio libre en la partición seleccionada, especialmente si está ejecutando el SO señuelo. No borre el espacio libre o cualquier otra cosa en la segunda partición ya que corre el riesgo de destruir su SO Oculto)
- Si tienes un disco SSD:
- Pestaña de sobrescritura segura: Personalmente, yo sólo elegiría Normal Deletion + Trim (Trim en sí mismo debería ser suficiente). Borrado Seguro con Recorte (1 pasada) podría ser redundante y excesivo aquí si tiene la intención de sobrescribir el espacio libre de todos modos.
- Pestaña Espacio Libre: Personalmente, y de nuevo "sólo para estar seguro", seleccionaría Limpieza Normal que llenará todo el espacio libre con Datos. Realmente no confío en la Limpieza Inteligente ya que no llena todo el espacio libre del SSD con Datos. Pero de nuevo, creo que esto probablemente no es necesario y exagerado en la mayoría de los casos.
- Si usted tiene una unidad de disco duro:
- Pestaña de sobrescritura segura: Yo sólo elegiría Borrado Seguro (1 pasada).
- Espacio Libre: Yo sólo elegiría Limpieza Inteligente ya que no hay razón para sobrescribir sectores sin datos en un disco duro.
- Seleccione Limpiar y elija su sabor:
- Turbo Cleanup sólo hará un borrado normal (en HDD/SSD) y no limpiará el espacio libre. No es seguro en un HDD ni en un SSD.
- Limpieza Rápida hará un borrado seguro (en HDD) y un borrado normal + recorte (en SSD) pero no limpiará el espacio libre. Creo que esto es suficientemente seguro para SSD pero no para HDD.
- Normal Cleanup hará un borrado seguro (en HDD) y un borrado normal + recorte (en SSD) y luego limpiará todo el espacio libre (Smart Cleanup en HDD y Full Cleanup en SSD) y debería ser seguro. Creo que esta opción es la mejor para HDD pero completamente exagerada para SSD.
- Haga clic en Limpiar y espere a que termine la limpieza. Puede tardar un poco y llenará todo el espacio libre de datos.
BleachBit.
Aquí están los pasos para BleachBit:
- Consigue e instala la última versión de BleachBit aquí https://www.bleachbit.org/download [Archive.org]
- Ejecuta BleachBit
- Limpia al menos todo lo que haya dentro de esas secciones:
- Escaneo profundo
- Windows Defender
- Explorador de Windows (incluyendo Shellbags)
- Sistema
- Seleccione cualquier otro rastro que desee eliminar de su lista
- Una vez más, al igual que con la utilidad anterior, yo no limpiaría el espacio libre en una unidad SSD porque creo que la utilidad nativa de Windows "optimizar" es suficiente (véase más adelante) y que llenar el espacio libre en un SSD habilitado para recortar es completamente exagerado e innecesario.
- Haga clic en Limpiar y espere. Esto tomará un tiempo y llenará todo su espacio libre con datos en ambas unidades HDD y SSD.
Forzar un recorte con Windows Optimize (para unidades SSD).
Con esta utilidad nativa de Windows 10, puede simplemente activar un Trim en su SSD que debería ser más que suficiente para limpiar de forma segura todos los archivos borrados que de alguna manera habrían escapado Trim al eliminarlos.
Sólo tienes que abrir el Explorador de Windows, haga clic derecho en la unidad del sistema y haga clic en Propiedades. Selecciona Herramientas. Haga clic en Optimizar y, a continuación, en Optimizar de nuevo. Ya está. En mi opinión, creo que es suficiente.
