Tails.
Tails on selleks suurepärane; teil ei ole midagi muretseda isegi siis, kui kasutate SSD-ketast. Lülitage see välja ja kõik on kadunud niipea, kui mälu laguneb.
Whonix.
Pange tähele, et Whonixi on võimalik käivitada Live-režiimis, mis ei jäta jälgi, kui te VM-i välja lülitate, kaaluge nende dokumentatsiooni lugemist siin
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] ja siin
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Guest OS.
Pöörduge tagasi Virtualboxi (või mõne muu kasutatava VM-tarkvara) eelmise hetkefoto juurde ja tehke oma Macil Disk Utility abil Trim käsk, sooritades Host OS-is uuesti esmaabi, nagu on selgitatud järgmise jaotise lõpus.
Host OS.
Enamik selle jaotise infost on leitav ka sellest kenast juhendist
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
Karantiini andmebaas (mida kasutavad Gatekeeper ja XProtect).
MacOS (kuni Big Surini kaasa arvatud) säilitab karantiini SQL andmebaasi kõigist brauserist kunagi alla laaditud failidest. See andmebaas asub aadressil ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Saate seda ise pärida, käivitades terminalist järgmise käsu: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Ilmselt on see kullaauk kohtumeditsiini jaoks ja sa peaksid selle keelama:
- Andmebaasi täielikuks kustutamiseks käivitage järgmine käsk: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Käivitage järgmine käsk, et lukustada fail ja takistada edasist allalaadimisajaloo kirjutamist sinna: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Lõpuks saate Gatekeeperi ka täielikult välja lülitada, andes terminalis järgmise käsu:
- sudo spctl --master-disable
Lisateavet leiate käesoleva juhendi sellest osast
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Lisaks sellele mugavale andmebaasile kannab iga salvestatud fail ka üksikasjalikke failisüsteemi HFS+/APFS atribuute, mis näitavad näiteks, millal see alla laaditi, millega ja kust.
Neid saate vaadata, avades lihtsalt terminali ja sisestades mis tahes brauserist mdls failinimi ja xattr -l failinimi iga allalaaditud faili kohta.
Selliste atribuutide eemaldamiseks peate seda tegema käsitsi terminalist:
- Käivitage xattr -d com.apple.metadata:kMDItemWhereFroms failinimi, et eemaldada päritolu
- Te võite ka lihtsalt kasutada -dr, et teha seda rekursiivselt kogu kausta/ketta kohta
- Käivita xattr -d com.apple.quarantine failinimi, et eemaldada viide karantiini kohta.
- Võite kasutada ka lihtsalt -dr, et teha seda rekursiivselt terves kaustas/ketastel.
- Kontrollige, käivitades xattr --l failinimi ja väljundit ei tohiks olla.
(Pange tähele, et Apple on eemaldanud mugava xattr -c valiku, mis eemaldaks kõik atribuudid korraga, nii et peate seda tegema iga faili iga atribuudi jaoks)
Need atribuudid ja kirjed jäävad alles isegi siis, kui te kustutate oma brauseri ajaloo ja see on ilmselgelt halb eraelu puutumatusele (eks?) ja ma ei tea hetkel ühtegi mugavat tööriista, mis nendega tegeleks.
Õnneks on olemas mõned leevendused, et seda probleemi üldse vältida, kuna need atribuudid ja kirjed on määratud brauserite poolt. Niisiis, ma testisin erinevaid brausereid (MacOS Catalina ja Big Sur) ja siin on tulemused selle juhendi kuupäeva seisuga:
| Brauser | Karantiini DB kanne | Karantiini faili atribuut | Päritolu faili atribuut |
|---|
| Safari (normaalne) | Jah | Jah | Jah |
| Safari (privaatne aken) | Ei | Ei | Ei |
| Firefox (tavaline) | Jah | Jah | Jah |
| Firefox (privaatne aken) | Ei | Ei | Ei |
| Chrome (tavaline) | Jah | Jah | Jah |
| Chrome (privaatne aken) | Osaliselt (ainult ajatempel) | Ei | Ei |
| Ungoogled-Chromium (tavaline) | Ei | Ei | Ei |
| Ungoogled-Chromium (privaatne aken) | Ei | Ei | Ei |
| Brave (tavaline) | Osaline (ainult ajatempel) | Ei | Ei |
| Brave (privaatne aken) | Osaliselt (ainult ajatempel) | Ei | Ei |
| Brave (Tor Window) | Osaliselt (ainult ajatempel) | Ei | Ei |
| Tor brauser | Ei | Ei | Ei |
Nagu te ise näete, on lihtsaim leevendus lihtsalt Private Windows'i kasutamine. Need ei kirjuta neid päritolu/karantiini atribuute ja ei salvesta kirjeid QuarantineEventsV2 andmebaasi.
QuarantineEventsV2 kustutamine on lihtne, nagu eespool selgitatud. Atribuutide eemaldamine nõuab veidi tööd.
Brave on ainus testitud brauser, mis ei salvesta neid atribuute vaikimisi tavapärastes toimingutes.
Erinevad artefaktid.
Lisaks säilitab MacOS erinevaid logisid paigaldatud seadmete, ühendatud seadmete, teadaolevate võrkude, analüütika, dokumentide redaktsioonide...
Vt selle juhendi selles osas juhiseid selle kohta, kust selliseid artefakte leida ja kustutada:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Paljusid neist saab kustutada mõnede erinevate kommertslike kolmandate osapoolte tööriistade abil, kuid mina isiklikult soovitan kasutada tasuta ja tuntud Onyxit, mille leiad siit:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Kahjuks on see suletud lähtekoodiga, kuid see on notariseeritud, allkirjastatud ja seda on aastaid usaldatud.
Force Trim operatsiooni pärast puhastamist.
- Kui teie failisüsteem on APFS, ei pea te Trim'i pärast muretsema, see toimub asünkroonselt, kui operatsioonisüsteem kirjutab andmeid.
- Kui teie failisüsteem on HFS+ (või mõni muu kui APFS), võite käivitada süsteemikettal First Aid'i Disk Utilityst, mis peaks teostama Trim operatsiooni detailides(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Palun arvestage nende juhiseid
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Kui te kasutate Whonixi Qubes OS-i, palun kaaluge mõnede nende juhendite järgimist:
Linux (mitte-Qubes).
Guest OS.
Virtualboxi (või mõne muu kasutatava VM-tarkvara) külalis-VMi eelmise hetkefoto taastamine ja trimmimise käsu täitmine sülearvutis, kasutades fstrim --all. See utiliit on Debian/Ubuntu puhul osa util-linuxi paketist ja peaks Fedora puhul olema vaikimisi paigaldatud. Seejärel lülituge järgmisse jaotisse.
Host OS.
Tavaliselt ei tohiks teil olla jälgi, mida Host OS-is puhastada, kuna teete kõike VM-st, kui te järgite seda juhendit.
Sellegipoolest võite soovida puhastada mõned logid. Kasutage lihtsalt seda mugavat tööriista:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (juhised lehel, allalaadimiseks suunduge releases, see repositoorium on hiljuti eemaldatud)
Pärast puhastamist veenduge, et teil on installeeritud utiliit fstrim (peaks Fedoral olema vaikimisi olemas) ja Debian/Ubuntu puhul on see osa util-linux paketist. Seejärel käivitage lihtsalt fstrim --all host OS-is. Sellest peaks SSD-ketaste puhul piisama, nagu eelnevalt selgitatud.
Kaaluge lisameetmena Linux Kernel Guard'i kasutamist
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Windows: Guest OS.
Pöördu tagasi Virtualboxi (või mõne muu kasutatava VM-tarkvara) eelmise hetkefoto juurde ja vii oma Windowsis läbi trimmi käsk, kasutades Optimize'i, nagu on selgitatud järgmise lõigu lõpus
Host OS.
Nüüd, kui teil oli hulk tegevusi oma VM-ide või Host OS-iga, peaksite võtma hetke, et oma jälgi katta.
Enamikku neist sammudest ei tohiks Decoy OS-i puhul võtta ette usutava eitatavuse kasutamise korral. Seda seetõttu, et te soovite, et teie vastase jaoks oleksid kättesaadavad mõistlike, kuid mitte salajaste tegevuste peibutus-/usaldusväärsed jäljed. Kui kõik on puhas, siis võite tekitada kahtlusi.
Diagnostilised andmed ja telemeetria.
Kõigepealt vabaneme kõigist diagnostilistest andmetest, mis võivad veel olemas olla:
(Jäta see samm vahele, kui Sa kasutad Windows 10 AME-d)
- Pärast igat Windowsi seadmete kasutamist mine Settings, Privacy, Diagnostic & Feedback ja kliki Delete.
Seejärel loosime uuesti oma virtuaalsete masinate MAC-aadressid ja oma Host OS-i Bluetooth-aadressi.
- Pärast iga Windows VM-i väljalülitamist muuda tema MAC-aadressi järgmiseks korraks, minnes Virtualboxi > Vali VM > Settings > Network > Advanced > Refresh the MAC address.
- Pärast iga oma Host OS Windowsi kasutamist (teie VM-l ei tohiks üldse Bluetooth olla), minge Device Managerisse, valige Bluetooth, lülitage seade välja ja lülitage seade uuesti sisse (see sunnib Bluetooth-aadressi juhuslikuks muutmist).
Sündmuste logid.
Windows Event logid säilitavad palju erinevaid andmeid, mis võivad sisaldada jälgi Sinu tegevusest, näiteks monteeritud seadmed (sealhulgas näiteks Veracrypt NTFS
mahud294), Sinu võrguühendused, rakenduste kokkuvarisemise info ja erinevad vead. Neid on alati kõige parem regulaarselt puhastada. Ärge tehke seda Decoy OS-i puhul.
- Käivitage, otsige Event Viewer ja käivitage Event Viewer:
- Mine Windowsi logidesse.
- Valige ja tühjendage kõik 5 logi, kasutades parempoolset klõpsu.
Veracrypt History.
Veracrypt salvestab vaikimisi ajaloo hiljuti monteeritud mahtude ja failide kohta. Sa peaksid veenduma, et Veracrypt ei salvesta kunagi ajalugu. Jällegi, ärge tehke seda Decoy OS-i puhul, kui kasutate usutavat eitamist OS-i jaoks. Me peame hoidma ajalugu monteerimisest Decoy Volume osana usutavast eitatavusest (plausible deniability).
- Käivitage Veracrypt
- Veenduge, et märkeruut "Never saves history" on märgitud (Decoy OS-i puhul ei tohiks seda märkida).
Nüüd peaksite puhastama ajaloo igas kasutatud rakenduses, sealhulgas brauseri ajalugu, küpsised, salvestatud paroolid, seansid ja vormide ajalugu.
Brauseri ajalugu.
- Brave (juhul, kui te ei võimaldanud puhastamist väljumisel)
- Mine seadistustesse
- Mine jaotisse Varjundid
- Minge jaotisse Clear Browsing Data (Tühjenda sirvimisandmed)
- Valige Täiustatud
- Valige "Kogu aeg"
- Kontrollida kõik valikud
- Tühjenda andmed
- Tor Browser
- Lihtsalt sulgege brauser ja kõik on puhastatud
Wi-Fi ajalugu.
Nüüd on aeg kustutada Wi-Fi ajalugu, millega te ühendute. Kahjuks säilitab Windows registris varasemate võrkude nimekirja, isegi kui Sa "unustasid" need Wi-Fi seadetes. Minu teada ei ole veel ühtegi utiliiti, mis neid puhastaks (näiteks BleachBit või PrivaZer), nii et Sa pead seda tegema käsitsi:
- Käivitage Regedit selle õpetuse abil: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- Regeditis sisesta aadressiribale see: Arvuti\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Seal näete paremal pool hulga kaustu. Kõik need kaustad on "Key". Kõik need võtmed sisaldavad teavet teie praeguse teadaoleva Wi-Fi või varem kasutatud võrkude kohta. Saate neid ükshaaval uurida ja näha paremal pool kirjeldust.
- Kustutage kõik need võtmed.
Koorikukotid.
Nagu varem selgitatud, on Shellbags põhimõtteliselt teie arvutis kasutatud mahtude/failide ajalugu. Pidage meeles, et Shellbags on väga head teabeallikad kohtuekspertiisi
jaoks287 ja te peate need puhastama. Eriti kui te paigaldasite kuhugi "varjatud mahu". Jällegi, te ei tohiks seda teha Decoy OS-i puhul.
Extra Tools Cleaning (Täiendavad tööriistad).
Pärast nende eelmiste jälgede puhastamist peaksite kasutama ka kolmanda osapoole utiliite, mida saab kasutada erinevate jälgede puhastamiseks. Nende hulka kuuluvad ka kustutatud failide/kaustade jäljed.
Enne jätkamist lugege
lisa H: Windows Cleaning Tools (Windowsi puhastustööriistad ).
PrivaZer.
Siin on toodud PrivaZer'i sammud:
- Laadige alla ja installige PrivaZer aadressilt https://privazer.com/en/download.php [Archive.org].
- Pärast installimist käivitage PrivaZer
- Ärge kasutage nende Wizard
- Valige Advanced User
- Valige Scan in Depth ja valige oma Target
- Valige Everything you want to Scan ja vajutage Scan
- Valige What you want cleaned (jätke shell bag'i osa vahele, kuna kasutasite selleks teist utiliiti)
- Sa peaksid lihtsalt vahele jätma vaba ruumi puhastamise osa, kui kasutad SSD-d ja selle asemel lihtsalt kasutama Windowsi algupärast Optimize funktsiooni (vt allpool), millest peaks olema rohkem kui küllalt. Ma kasutaksin seda ainult HDD-ketta puhul.
- (Kui Sa valisid Free Space cleaning) Vali Clean Options ja veendu, et Sinu Storage tüüp on hästi tuvastatud (HDD vs SSD).
- (Kui te valisite Free Space cleaning) Within Clean Options (Olge selle valikuga ettevaatlik, sest see kustutab kogu vaba ruumi valitud partitsioonil, eriti kui te kasutate peibutus OS-i. Ärge kustutage vaba ruumi ega midagi muud teisel partitsioonil, kuna riskite oma peidetud operatsioonisüsteemi hävitamisega)
- Kui teil on SSD-ketas:
- Secure Overwriting (turvaline ülekirjutamine) - vahekaart: Isiklikult valiksin lihtsalt Normal Deletion + Trim (Trim ise peaks olema piisav). Secure Deletion koos Trimiga (1 läbimine) võib siinkohal olla üleliigne ja üle jõu käiv, kui te kavatsete niikuinii vaba ruumi üle kirjutada.
- Vaba ruumi vahekaart: Isiklikult ja jällegi "kindluse mõttes" valiksin ma Normal Cleanup, mis täidab kogu vaba ruumi andmetega. Smart Cleanup'i ma ei usalda eriti, sest see ei täida tegelikult kogu SSD vaba ruumi Data'ga. Aga jällegi, ma arvan, et seda pole ilmselt vaja ja enamasti on see üle jõu käiv.
- Kui sul on HDD-ketas:
- Secure Overwriting Tab: Ma valiksin lihtsalt Secure Deletion (1 pass).
- Vaba ruum: Mina valiksin lihtsalt Smart Cleanup, sest kõvakettal ei ole põhjust ilma andmeteta sektoreid üle kirjutada.
- Valige Clean ja valige oma maitse:
- Turbo Cleanup teeb ainult tavalist kustutamist (HDD/SSD-l) ja ei puhasta vaba ruumi. See ei ole turvaline HDD-l ega SSD-l.
- Quick Cleanup teeb turvalise kustutamise (HDD-l) ja tavalise kustutamise + kärpimise (SSD-l), kuid ei puhasta vaba ruumi. Ma arvan, et see on piisavalt turvaline SSD jaoks, kuid mitte HDD jaoks.
- Normal Cleanup teeb turvalise kustutamise (HDD-l) ja tavalise kustutamise + kärpimise (SSD-l) ning puhastab seejärel kogu vaba ruumi (Smart Cleanup HDD-l ja Full Cleanup SSD-l) ja peaks olema turvaline. Ma arvan, et see valik on HDD jaoks parim, kuid SSD jaoks täiesti üle jõu käiv.
- Klõpsake Clean ja oodake, kuni puhastamine on lõppenud. Võib võtta aega ja täidab kogu vaba ruumi andmetega.
BleachBit.
Siin on sammud BleachBiti jaoks:
- https://www.bleachbit.org/download [Archive.org].
- Käivitage BleachBit
- Puhastage vähemalt kõik need lõigud:
- Deep Scan
- Windows Defender
- Windows Explorer (sh Shellbags)
- Süsteem
- Valige muud jäljed, mida soovite eemaldada nende nimekirjast
- Nagu ka eelmise utiliidi puhul, ei puhastaks ma SSD-ketta vaba ruumi, sest ma arvan, et Windowsi emakeelne "optimeerimise" utiliit on piisav (vt allpool) ja et vaba ruumi täitmine trimmiga lubatud SSD-kettal on lihtsalt täiesti liigne ja mittevajalik.
- Klõpsa Clean ja oota. See võtab aega ja täidab kogu Sinu vaba ruumi andmetega nii HDD kui ka SSD kettal.
Force a Trim with Windows Optimize (SSD-ketaste puhul).
Selle Native Windows 10 utiliidi abil võid Sa lihtsalt käivitada oma SSD plaadil Trim'i, millest peaks olema rohkem kui küllalt, et turvaliselt puhastada kõik kustutatud failid, mis oleksid kustutamisel kuidagi Trim'ist välja pääsenud.
Ava lihtsalt Windows Explorer, tee oma süsteemikettal paremklõps ja klõpsa Properties. Vali Tools. Klõpsa Optimize ja seejärel Optimize uuesti. Sa oledki valmis. Ma arvan, et sellest piisab minu arvates ilmselt.
