Opas anonymiteetin säilyttämiseen verkossa (https://anonymousplanet.org/).

Käyttö omalla vastuulla. Älä pidä tätä opasta lopullisena totuutena kaikesta, koska se ei ole sitä.

Spoileri: Sisällysluettelo

• Johdanto:
• Joidenkin perusasioiden ymmärtäminen siitä, miten jotkin tiedot voivat johtaa takaisin sinuun ja miten lieventää joitakin:
  • Verkkosi:
    • IP-osoitteesi:
    • DNS- ja IP-pyynnöt:
    • RFID-laitteesi:
    • Wi-Fi- ja Bluetooth-laitteet ympärilläsi:
    • Haitalliset/huonot Wi-Fi-yhteyspisteet: Haitalliset/huonot Wi-Fi-yhteyspisteet:
    • Anonymisoitu Tor/VPN-liikenteesi:
    • Joitakin laitteita voidaan jäljittää jopa offline-tilassa:
  • Laitteistotunnisteesi:
    • IMEI- ja IMSI-numerosi (ja sitä kautta puhelinnumerosi):
    • Wi-Fi- tai Ethernet-MAC-osoitteesi:
    • Bluetooth MAC-osoitteesi:
  • Suorittimesi:
  • Käyttöjärjestelmäsi ja sovellusten telemetriapalvelut:
  • Älylaitteet yleensä:
  • Itse:
    • Metatietosi, mukaan lukien maantieteellinen sijaintisi:
    • Digitaalinen sormenjälkesi, jalanjälkesi ja verkkokäyttäytymisesi:
    • Vihjeesi todellisesta elämästäsi ja OSINT:
    • Kasvosi, äänesi, biometriasi ja kuvasi:
    • Phishing ja Social Engineering:
  • Haittaohjelmat, hyväksikäytöt ja virukset:
    • Haittaohjelmat tiedostoissasi/dokumenteissasi/sähköpostissasi:
    • Haittaohjelmat ja hyväksikäytöt sovelluksissasi ja palveluissasi:
    • Haitalliset USB-laitteet:
    • Haittaohjelmat ja takaovet laitteistossasi Firmware ja käyttöjärjestelmä:
  • Tiedostosi, asiakirjasi, kuvasi ja videosi:
    • Ominaisuudet ja metatiedot:
    • Vesileimat:
    • Pikselöity tai epätarkka tieto:
  • Kryptovaluuttasi tapahtumat:
  • Pilvivarmistuksesi/synkronointipalvelusi:
  • Selaimesi ja laitteesi sormenjäljet:
  • Paikalliset tietovuodot ja rikostekniset tutkimukset:
  • Huono kryptografia:
  • Ei kirjaamista, mutta kirjaaminen kuitenkin:
  • Joitakin kehittyneitä kohdennettuja tekniikoita:
  • Joitakin bonusresursseja:
  • Muistiinpanot: Lisää hyödyllisiä lisäominaisuuksia:Muistiinpanot: Muistiinpanot: Muistiinpanot: Muistiinpanot: Muistiinpanot:
• Yleiset valmistelut:
  • Valmistautuminen: Reitin valitseminen:
    • Ajoitusrajoitukset:
    • Budjetti/materiaalirajoitukset:
    • Taidot:
    • Vastustajat (uhat):
  • Kaikkien reittien vaiheet:
    • Hanki nimetön puhelinnumero:
    • Hanki USB-tikku:
    • Etsi turvallisia paikkoja, joissa on kunnollinen julkinen Wi-Fi:
  • TAILS-reitti:
    • Whonixin käyttö TAILSissa:
  • Vaiheet kaikkia muita reittejä varten:
    • Hanki oma kannettava tietokone arkaluonteisia toimintojasi varten:
    • Joitakin kannettavia tietokoneita koskevia suosituksia:
    • Bios/UEFI/Firmware-asetukset kannettavassa tietokoneessa:
    • Fyysinen peukalointisuojaus kannettavaan tietokoneeseen:
  • Whonix-reitti:
    • Host-käyttöjärjestelmän valitseminen (kannettavaan tietokoneeseen asennettu käyttöjärjestelmä):
    • Linux-käyttöjärjestelmä: Linux Host OS:
    • MacOS Host OS:
    • Windows Host OS:
    • Virtualbox isäntäkäyttöjärjestelmässäsi:
    • Valitse yhteysmenetelmäsi:
    • Hanki nimetön VPN/Proxy:
    • Whonix:
    • Tor over VPN:
    • Whonix Virtual Machines:
    • Valitse vieras työasema Virtuaalikone: Valitse vieras työasema: Valitse vieras työasema: Valitse vieras työasema:
    • Linux Virtual Machine (Whonix tai Linux):
    • Virtuaalikone: Windows 10:
    • Virtuaalikone: Android:
    • Virtuaalikone: MacOS:
    • KeepassXC:
    • VPN-asiakkaan asennus (käteinen/Monero maksettu):
    • (Valinnainen) sallii vain VM:ien pääsyn internetiin ja katkaisee samalla isäntäjärjestelmän vuotojen estämiseksi:
    • Viimeinen vaihe:
  • Qubesin reitti:
    • Valitse yhteysmenetelmäsi:
    • Hanki nimetön VPN/Proxy:
    • Asennus:
    • Lid Closure Behavior:
    • Yhteys julkiseen Wi-Fi-yhteyteen:
    • Päivitä Qubes OS:
    • Qubes OS:n koventaminen:
    • VPN ProxyVM:n asennus:
    • Turvallisen selaimen asentaminen Qube OS:ssä (valinnainen mutta suositeltava):
    • Android VM:n asennus:
    • KeePassXC:
• Anonyymien verkkoidentiteettien luominen:
  • Anonymiteetin estämiseen ja identiteetin todentamiseen käytettävien menetelmien ymmärtäminen:
    • Captchat:
    • Puhelinvarmennus:
    • Sähköpostivarmennus:
    • Käyttäjätietojen tarkistaminen:
    • Henkilöllisyystodistuksen todentaminen:
    • IP-suodattimet:
    • Selaimen ja laitteen sormenjälki:
    • Ihmisen vuorovaikutus:
    • Käyttäjien moderointi:
    • Käyttäytymisen analysointi:
    • Rahoitustapahtumat:
    • Kirjautuminen jollakin alustalla:
    • Kasvontunnistus ja biometriikka (jälleen):
    • Manuaaliset tarkistukset:
  • Verkkoon pääseminen:
    • Uusien identiteettien luominen:
    • Oikean nimen järjestelmä:
    • Tietoja maksullisista palveluista:
    • Yleiskatsaus:
    • Kuinka jakaa tiedostoja tai keskustella nimettömänä:
    • Asiakirjojen/kuvien/videoiden/äänitteiden muokkaaminen turvallisesti:
    • Arkaluonteisten tietojen välittäminen erilaisille tunnetuille organisaatioille:
    • Ylläpitotehtävät:
• Työn varmuuskopiointi turvallisesti:
  • Offline-varmuuskopiot:
    • Valittujen tiedostojen varmuuskopiot:
    • Koko levyn/järjestelmän varmuuskopiot:
  • Online-varmuuskopiot:
    • Varmuuskopiot: Tiedostot: Tiedostot:
    • Tiedostot: Tietoja:
  • Tiedostojen synkronointi laitteiden välillä Online:
• Peittää jälkesi:
  • HDD vs. SSD:
    • Wear-Leveling.
    • Leikkaustoiminnot:
    • Roskien kerääminen:
    • Johtopäätökset:
  • Miten pyyhkiä turvallisesti koko kannettava tietokone/asemat, jos haluat poistaa kaiken:
    • Linux (kaikki versiot, mukaan lukien Qubes OS):
    • Windows:
    • MacOS:
  • Miten voit poistaa turvallisesti tietyt tiedostot/kansiot/tiedot kiintolevyltäsi/SSD-levyltäsi ja muistitikulta:
    • Windows:
    • Linux (ei Qubes OS): Linux (ei Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Joitakin lisätoimenpiteitä rikostutkintaa vastaan:
    • Metatietojen poistaminen tiedostoista/dokumenteista/kuvista:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (ei Qubes):
    • Windows:
  • Hakukoneissa ja eri alustoilla olevien identiteettiesi jälkien poistaminen:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipedia:
    • Tänään: Archive.today:
    • Internet Archive:
• Arkisto: Joitakin vanhan koulun matalan teknologian temppuja:
  • Piilotettu viestintä näkyvissä:
  • Kuinka huomata, jos joku on tutkinut tavaroitasi:
• Joitakin viimeisiä OPSEC-ajatuksia:
• Jos luulet joutuneesi kärsimään:
  • Jos sinulla on aikaa:
  • Jos sinulla ei ole aikaa:
• Pieni viimeinen toimituksellinen huomautus

 

[HEISENBERG]

Budjetti/materiaalirajoitukset.

• Sinulla on käytettävissäsi vain yksi kannettava tietokone, eikä sinulla ole varaa mihinkään muuhun. Käytät tätä kannettavaa tietokonetta joko työhön, perheeseen tai henkilökohtaisiin asioihin (tai molempiin):
  
  • Paras vaihtoehtosi on valita Tails-reitti.
• Sinulla on varaa varakannettavaan, valvomattomaan/valvomattomaan kannettavaan tietokoneeseen arkaluonteisia toimintojasi varten:
  
  • Mutta se on vanha, hidas ja sen tekniset ominaisuudet ovat huonot (alle 6 Gt RAM-muistia, alle 250 Gt levytilaa, vanha/hidas suoritin):
    
    • Sinun pitäisi valita Tails-reitti.
  • Se ei ole niin vanha ja siinä on kunnolliset ominaisuudet (vähintään 6 Gt RAM-muistia, vähintään 250 Gt levytilaa, kunnollinen suoritin):
    
    • Voit valita Tails- tai Whonix-reitin.
  • Se on uusi ja siinä on hyvät ominaisuudet (yli 8 Gt RAM-muistia, > 250 Gt levytilaa, uusi nopea prosessori):
    
    • Voit valita minkä tahansa reitin, mutta suosittelen Qubes OS:ää, jos uhkamallisi sallii sen.
  • Jos kyseessä on ARM-pohjainen M1-Mac:
    
    • Se ei ole tällä hetkellä mahdollista näistä syistä:
      
      • Whonix ei vielä tue näitä kaupallisia ohjelmistoja (Parallels).
      • Virtualbox ei ole vielä saatavilla ARM-arkkitehtuurille.
      • Whonix ei ole vielä tuettu ARM-arkkitehtuurille.
      • Tails ei ole vielä tuettu ARM-arkkitehtuurilla.
      • Qubes OS ei ole vielä tuettu ARM-arkkitehtuurilla.

Ainoa vaihtoehtosi M1-Macsilla on luultavasti pysyä toistaiseksi Tor Browsessa. Mutta arvelisin, että jos sinulla on varaa M1-Maciin, sinun pitäisi luultavasti hankkia oma x86-kannettava arkaluontoisempia toimintoja varten.

 

[HEISENBERG]

Taidot.

• Sinulla ei ole lainkaan IT-taitoja tämän oppaan sisältö näyttää sinulle vieraalta kieleltä?
  
  • Sinun kannattaa valita Tails-reitti (lukuun ottamatta pysyvää uskottavaa kiistettävyyttä koskevaa osiota).
• Sinulla on jonkin verran IT-taitoja ja ymmärrät tämän oppaan tähän mennessä suurimmaksi osaksi.
  
  • Sinun pitäisi valita Tails- (mukaan lukien jatkuva uskottava kieltäminen) tai Whonix-reitti.
• Sinulla on kohtalaiset tai korkeat tietotekniset taidot ja tunnet jo osan tämän oppaan sisällöstä.
  
  • Voit valita minkä tahansa, mutta suosittelen vahvasti Qubes OS:ää.
• Olet l33T-hakkeri, "lusikkaa ei ole", "kakku on valetta", olet käyttänyt "doas" jo vuosia ja "kaikki tukikohtasi kuuluvat meille", ja sinulla on vahvoja mielipiteitä systemd:stä.
  
  • Tämä opas ei ole oikeastaan tarkoitettu sinulle, eikä se auta sinua HardenedBSD:n kanssa hardenoidussa Libreboot-kannettavassasi ;-)

 

[HEISENBERG]

Vastustajat (uhat).

• Jos päähuolesi on laitteiden rikostekninen tutkimus:
  
  • Sinun kannattaa valita Tails-reitti (valinnaisella pysyvällä uskottavalla kiistettävyydellä).
• Jos pääasiallinen huolenaiheesi ovat etävastustajat, jotka saattavat paljastaa verkkoidentiteettisi eri alustoilla:
  
  • Voit valita Whonix- tai Qubes OS -reitin.
  • Voit myös valita Tails-reitin (jossa on valinnainen jatkuva uskottava kieltäminen).
• Jos haluat ehdottomasti koko järjestelmän laajuisen uskottavan kiistettävyyden riskeistä huolimatta:
  
  • Voit valita Tails-reitin, joka sisältää myös pysyvän uskottavan kiistettävyyden.
  • Voit käyttää Whonix-rataa (vain Windows-isäntäkäyttöjärjestelmässä tämän oppaan puitteissa).
• Jos olet vihamielisessä ympäristössä, jossa Tor/VPN:n käyttö yksin on mahdotonta/vaarallista/epäilyttävää:
  
  • Voit käyttää Tails-reittiä (ilman Torin käyttöä).
  • Voit valita Whonix- tai Qubes OS -reitin (ilman Whonixin käyttöä).

Kaikissa tapauksissa sinun kannattaa lukea nämä kaksi sivua Whonixin dokumentaatiosta, jotka antavat sinulle syvällistä tietoa valinnoistasi:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

Saatat kysyä itseltäsi: "Mistä tiedän, olenko vihamielisessä verkkoympäristössä, jossa toimintaa valvotaan ja estetään aktiivisesti?".

• Lue ensin lisää EFF:stä täältä: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org] .
• Tarkista itse joitakin tietoja täältä Tor-projektin OONI (Open Observatory of Network Interference) -sivustolta: https://explorer.ooni.org/ [Archive.org].
• Tutustu osoitteeseen https://censoredplanet.org/ [Archive.org] ja katso, onko heillä tietoja maastasi.
• Testaa itse OONI:n avulla (tämä voi olla riskialtista vihamielisessä ympäristössä).

 

[HEISENBERG]

Kaikkien reittien vaiheet.

Totuttele käyttämään parempia salasanoja.

Katso liite A2: Ohjeet salasanoja ja salasanoja varten.

Hanki nimetön puhelinnumero.

Ohita tämä vaihe, jos et aio luoda anonyymejä tilejä useimmille valtavirta-alustoille vaan haluat vain selata anonyymisti tai jos käyttämäsi alustat sallivat rekisteröitymisen ilman puhelinnumeroa.

Fyysinen polttava puhelin ja prepaid-SIM-kortti.

Hanki polttopuhelin.

Tämä on melko helppoa. Jätä älypuhelin pois päältä tai sammuta se ennen lähtöä. Ota käteistä ja mene jollekin satunnaiselle kirpputorille tai pieneen kauppaan (mieluiten sellaiseen, jossa ei ole valvontakameroita sisällä tai ulkona ja jossa vältät kuvaamista/kuvaamista) ja osta halvin puhelin, jonka löydät käteisellä ja antamatta mitään henkilötietoja. Puhelimen on oltava vain toimintakunnossa.


Itse suosittelisin hankkimaan vanhan "tyhmän puhelimen", jossa on irrotettava akku (vanha Nokia, jos matkapuhelinverkkosi sallii vielä niiden käytön, sillä joissakin maissa 1G-2G on poistettu käytöstä kokonaan). Näin vältetään telemetria-/diagnostiikkatietojen automaattinen lähettäminen/kerääminen itse puhelimesta. Puhelinta ei saa koskaan liittää mihinkään Wi-Fi-verkkoon.


On myös erittäin tärkeää, että polttavaa puhelinta ei käynnistetä koskaan (ei edes ilman SIM-korttia) missään maantieteellisessä paikassa, joka voi johtaa sinuun (esimerkiksi kotona tai työpaikalla), eikä koskaan samassa paikassa kuin toinen tunnettu älypuhelimesi (koska sillä on IMEI/IMSI, joka johtaa helposti sinuun). Tämä saattaa tuntua suurelta taakalta, mutta se ei ole sitä, sillä näitä puhelimia käytetään vain asennus-/kirjoitusprosessin aikana ja tarkistamiseen aika ajoin.


Katso liite N: Varoitus älypuhelimista ja älylaitteista.


Sinun kannattaa testata, että puhelin on toimintakunnossa, ennen kuin siirryt seuraavaan vaiheeseen. Toistan kuitenkin itseäni ja totean vielä kerran, että on tärkeää jättää älypuhelin kotiin, kun olet menossa (tai sammuttaa se ennen lähtöä, jos se on pakko pitää mukana), ja että testaat puhelimen satunnaisessa paikassa, josta sinua ei voida jäljittää (ja vielä kerran, älä tee sitä valvontakameran edessä, vältä kameroita ja ole tietoinen ympäristöstäsi). Tässä paikassa ei myöskään tarvita Wi-Fi-yhteyttä.


Kun olet varma, että puhelin on kunnossa, poista Bluetooth käytöstä, sammuta se (irrota akku, jos voit) ja palaa kotiin jatkamaan normaalia toimintaasi. Siirry seuraavaan vaiheeseen.

Hanki nimetön prepaid-SIM-kortti.

Tämä on koko oppaan vaikein osa. Se on SPOF (Single Point of Failure). Paikat, joissa voit vielä ostaa prepaid-SIM-kortteja ilman henkilöllisyystodistusta, ovat yhä harvinaisempia erilaisten KYC-tyyppisten säännösten vuoksi.


Tässä on siis luettelo paikoista, joista niitä voi vielä nyt saada: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org] .


Sinun pitäisi löytää paikka, joka ei ole "liian kaukana", ja mennä sinne fyysisesti ostamaan prepaid-kortteja ja käteisellä ladattavia vouchereita. Varmista, ettei ennen lähtöä ole säädetty lakia, joka tekisi rekisteröinnistä pakollista (jos edellä mainittua wikiä ei ole päivitetty). Yritä välttää valvontakameroita ja kameroita, äläkä unohda ostaa SIM-kortin kanssa täydennysseteliä (jos kyseessä ei ole paketti), sillä useimmat prepaid-kortit vaativat täydennystä ennen käyttöä.


Katso liite N: Varoitus älypuhelimista ja älylaitteista.


Tarkista ennen sinne menoa, että prepaid-SIM-kortteja myyvät matkapuhelinoperaattorit hyväksyvät SIM-kortin aktivoinnin ja lataamisen ilman minkäänlaista henkilöllisyystodistuksen rekisteröintiä. Ihannetapauksessa niiden olisi hyväksyttävä SIM-kortin aktivointi ja lataaminen asuinmaassasi.


Itse suosittelen GiffGaffia Yhdistyneessä kuningaskunnassa, koska se on "edullinen", ei vaadi henkilöllisyystodistusta aktivointia ja latausta varten ja antaa sinun jopa vaihtaa numerosi jopa kaksi kertaa verkkosivustoltaan. Yksi GiffGaffin prepaid-SIM-kortti antaa sinulle siis 3 numeroa, joita voit käyttää tarpeisiisi.


Sammuta puhelin aktivoinnin/latauksen jälkeen ja ennen kotiin lähtöä. Älä koskaan käynnistä sitä uudelleen, ellet ole paikassa, jota voidaan käyttää henkilöllisyytesi paljastamiseen, ja ellet sammuta älypuhelintasi ennen kuin menet "ei-kotipaikallesi".

Nettipuhelinnumero (vähemmän suositeltava).

VASTUUVAPAUTUS: Älä yritä tätä ennen kuin olet luonut turvallisen ympäristön jonkin valitun reitin mukaisesti. Tämä vaihe edellyttää verkkoyhteyttä, ja se tulisi tehdä vain nimettömästä verkosta. Älä tee tätä mistään tunnetusta/turvattomasta ympäristöstä. Jätä tämä väliin, kunnes olet saanut valmiiksi yhden reiteistä.


Monet kaupalliset palvelut tarjoavat numeroita tekstiviestien vastaanottamiseen verkossa, mutta useimmissa niistä ei käytännössä ole anonymiteettiä/yksityisyyden suojaa, eikä niistä voi olla apua, koska useimmat sosiaalisen median alustat rajoittavat, kuinka monta kertaa puhelinnumeroa voi käyttää rekisteröintiin.


On olemassa joitakin foorumeita ja subreddittejä (kuten r/phoneverification/), joissa käyttäjät tarjoavat palvelua tällaisten tekstiviestien vastaanottamiseksi puolestasi pientä maksua vastaan (käyttämällä PayPalia tai jotain kryptomaksua). Valitettavasti nämä ovat täynnä huijareita ja erittäin riskialttiita anonymiteetin kannalta. Sinun ei pitäisi käyttää niitä missään tapauksessa.


Tähän mennessä en tiedä yhtään hyvämaineista palvelua, joka tarjoaisi tätä palvelua ja hyväksyisi käteismaksuja (esimerkiksi postitse) kuten jotkut VPN-palveluntarjoajat. Mutta on olemassa muutama palvelu, jotka tarjoavat online-puhelinnumeroita ja hyväksyvät Moneron, joka voisi olla kohtuullisen anonyymi (mutta vähemmän suositeltava kuin fyysinen tapa edellisessä luvussa), jota voisit harkita:

• Suositeltava: Ei vaadi mitään tunnistamista (edes sähköpostia):
  
  • (UK based, Seems Unavailable at the time of this writing) https://dtmf.io/ [Archive.org] preferred because they even provide an onion hidden service address for direct access through the Tor Network at http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/.
  • (Islannissa sijaitseva) https://crypton.sh [Archive.org].
  • (Ukrainassa sijaitseva) https://virtualsim.net/ [Archive.org]
• Vaaditaan henkilöllisyystodistus (voimassa oleva sähköpostiosoite):
  
  • (Saksaan perustuva) https://www.sms77.io/ [Archive.org]
  • (Venäjällä sijaitseva) https://onlinesim.ru/ [Archive.org]

Tässä on lueteltu joitakin muita mahdollisuuksia https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Käytä omalla vastuullasi.


VASTUUVAPAUTUS: En voi taata mitään näistä palveluntarjoajista, ja siksi suosittelen edelleen tekemään sen itse fyysisesti. Tässä tapauksessa sinun on luotettava Moneron anonymiteettiin, eikä sinun pitäisi käyttää mitään palvelua, joka vaatii minkäänlaista tunnistamista oikean henkilöllisyytesi avulla. Ole hyvä ja lue tämä Moneron vastuuvapauslauseke.


Siksi IMHO on luultavasti helpompaa, halvempaa ja riskittömämpää hankkia prepaid-SIM-kortti jostain fyysisestä paikasta, joka myy niitä edelleen käteisellä ilman henkilöllisyyden rekisteröintiä. Mutta ainakin on olemassa vaihtoehto, jos sinulla ei ole muuta vaihtoehtoa.

Hanki USB-avain.

Hanki ainakin yksi tai kaksi kunnollisen kokoista USB-tikkua (vähintään 16 Gt, mutta suosittelen 32 Gt).


Älkää ostako tai käyttäkö tällaisia kikkailua aiheuttavia itsesalauslaitteita, kuten näitä: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org].


Jotkut niistä saattavat olla erittäin tehokkaita, mutta monet ovat kikkailuja, jotka eivät tarjoa todellista suojaa.

Etsi turvallisia paikkoja, joissa on kunnollinen julkinen Wi-Fi.

Sinun on löydettävä turvallisia paikkoja, joissa voit tehdä arkaluonteisia toimintojasi käyttämällä julkisesti saatavilla olevaa Wi-Fi-verkkoa (ilman tili- tai henkilöllisyystunnuksen rekisteröintiä, välttämällä valvontakameroita).


Tämä voi olla mikä tahansa paikka, joka ei ole suoraan sidottu sinuun (kotiisi/työpaikkaasi) ja jossa voit käyttää Wi-Fi-verkkoa jonkin aikaa ilman, että sinua häiritään. Mutta myös paikka, jossa voit tehdä tämän ilman, että kukaan "huomaa" sinua.


Jos pidät Starbucksia hyvänä ideana, voit harkita asiaa uudelleen:

• Heillä on luultavasti valvontakamerat kaikissa myymälöissään ja he säilyttävät tallenteita tuntemattoman ajan.
• Sinun on ostettava kahvi saadaksesi Wi-Fi-käyttökoodin useimmissa paikoissa. Jos maksat kahvin sähköisellä menetelmällä, he voivat yhdistää Wi-Fi-käytön henkilöllisyytesi henkilöllisyyteesi.

Tilannetietoisuus on avainasemassa, ja sinun pitäisi olla jatkuvasti tietoinen ympäristöstäsi ja välttää turistipaikkoja kuin se oli vaivannut Ebola. Haluat välttää esiintymistä missään kuvassa/videossa kenestäkään, kun joku on ottamassa selfietä, tekemässä TikTok-videota tai lähettämässä jotain matkakuvaa Instagramiinsa. Jos teet niin, muista, että on hyvin todennäköistä, että nämä kuvat päätyvät nettiin (julkisesti tai yksityisesti), ja niihin liitetään täydelliset metatiedot (aika/päivämäärä/paikannus) ja kasvosi. Muista, että Facebook/Google/Yandex/Apple ja luultavasti kaikki kolme kirjaintoimistoa voivat indeksoida nämä kuvat ja indeksoivat ne.


Vaikka tämä ei ole vielä paikallisen poliisin käytettävissä, se voi olla mahdollista lähitulevaisuudessa.


Tarvitset mieluiten 3-5 erilaista paikkaa, jotta vältät saman paikan käyttämisen kahdesti. Tämän oppaan eri vaiheita varten tarvitaan useita matkoja viikkojen aikana.


Voisit myös harkita yhteyden muodostamista näihin paikkoihin turvalliselta etäisyydeltä turvallisuuden lisäämiseksi. Katso liite Q: Pitkän kantaman antennin käyttäminen julkisen Wi-Fi-yhteyden muodostamiseen turvalliselta etäisyydeltä.

 

[HEISENBERG]

Pyrstön reitti.

Tämä oppaan osa auttaa sinua Tailsin käyttöönotossa, jos jokin seuraavista on totta:

• Sinulla ei ole varaa omaan kannettavaan tietokoneeseen
• Oma kannettava tietokoneesi on liian vanha ja hidas.
• Sinulla on hyvin heikot IT-taidot
• Päätät kuitenkin ottaa käyttöön Tailsin

Tails on lyhenne sanoista The Amnesic Incognito Live System. Se on USB-asemasta käynnistettävä live-käyttöjärjestelmä, joka on suunniteltu jättämään jälkiä ja pakottamaan kaikki yhteydet Tor-verkon kautta.


Asetat Tails-USB-levyn kannettavaan tietokoneeseesi, käynnistät sen, ja sinulla on täydellinen käyttöjärjestelmä, joka toimii yksityisyyden ja anonymiteetin kannalta. Heti kun sammutat tietokoneen, kaikki on poissa, ellet tallenna sitä jonnekin.


Tails on erittäin helppo tapa päästä nopeasti liikkeelle sillä, mitä sinulla on, ja ilman suurempaa opettelua. Siinä on laaja dokumentaatio ja opetusohjelmat.


VAROITUS: Tails ei ole aina ajan tasalla mukana tulevien ohjelmistojensa kanssa. Eikä aina myöskään Tor-selaimen päivitysten kanssa. Varmista aina, että käytät Tailsin uusinta versiota, ja ole erittäin varovainen käyttäessäsi Tailsin mukana tulevia sovelluksia, jotka voivat olla alttiita väärinkäytöksille ja paljastaasijaintisi265.


Sillä on kuitenkin joitakin haittoja:

• Tails käyttää Tor-järjestelmää, joten käytät Tor-järjestelmää, kun käytät mitä tahansa resurssia internetissä. Jo pelkästään tämä tekee sinusta epäilyttävän useimmilla alustoilla, joilla haluat luoda anonyymejä tilejä (tästä kerrotaan tarkemmin myöhemmin).
• Myös Internet-palveluntarjoajasi (olipa se sitten sinun tai jokin julkinen Wi-Fi) näkee, että käytät Toria, ja tämä voi jo sinänsä tehdä sinusta epäilyttävän.
• Tails ei sisällä (natiivisti) joitakin ohjelmistoja, joita saatat haluta käyttää myöhemmin, mikä mutkistaa asioita melkoisesti, jos haluat käyttää tiettyjä asioita (esimerkiksi Android-emulaattoreita).
• Tails käyttää Tor-selainta, joka on erittäin turvallinen, mutta useimmat alustat havaitsevat sen ja estävät sinua luomasta anonyymiä identiteettiä monilla alustoilla.
• Tails ei suojaa sinua enempää 5$ wrench8:lta.
• Tor itsessään ei ehkä riitä suojaamaan sinua vastustajalta, jolla on riittävästi resursseja, kuten aiemmin selitettiin.

Tärkeä huomautus: Jos kannettavaa tietokonettasi valvotaan/valvotaan ja joitakin paikallisia rajoituksia on käytössä, lue liite U: Miten ohitetaan (joitakin) paikallisia rajoituksia valvotuissa tietokoneissa.


Lue myös Tailsin dokumentaatio, varoitukset ja rajoitukset, ennen kuin jatkat https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org].


Ottaen kaiken tämän huomioon ja sen, että heidän dokumentaationsa on loistava, ohjaan sinut vain heidän hyvin tehtyyn ja ylläpidettyyn opetusohjelmaansa:


https://tails.boum.org/install/index.en.html [Archive.org], valitse makusi ja jatka.


Kun olet valmis ja sinulla on toimiva Tails kannettavassasi, siirry anonyymien online-tunnusten luominen -vaiheeseen paljon kauempana tässä oppaassa.


Jos sinulla on ongelmia päästä Toriin sensuurin tai muiden ongelmien vuoksi, voit kokeilla Tor Bridgesin käyttöä seuraamalla tätä Tails-opasohjelmaa: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] ja löydät lisätietoja näistä Tor Documentation https://2019.www.torproject.org/docs/bridges [ Archive.org] -sivustolta .


Jos pelkkä Torin käyttäminen on mielestäsi vaarallista/epäilyttävää, katso liite P: Internetin käyttäminen mahdollisimman turvallisesti, kun Tor/VPN ei ole vaihtoehto.

 

[HEISENBERG]

Pysyvä uskottava kiistettävyys Whonixin avulla Tailsin sisällä.

Harkitse https://github.com/aforensics/HiddenVM [Archive.org] -projektin tarkistamista Tailsin osalta.


Tämä hanke on nokkela ajatus yhden napsautuksen itsenäisestä VM-ratkaisusta, jonka voisit tallentaa salatulle levylle käyttäen uskottavaa kiistettävyyttä256 (katso Whonix-reitti: ensimmäiset luvut ja myös joitakin selityksiä uskottavasta kiistettävyydestä sekä Miten poistat turvallisesti tietyt tiedostot/kansiot/tiedot kiintolevyltäsi/SSD-levyltäsi ja peukalolevyiltäsi: - osio tämän oppaan lopussa saadaksesi lisää ymmärrystä).


Tämä mahdollistaisi sellaisen hybridijärjestelmän luomisen, jossa Tails ja tämän oppaan Whonix-reitin virtualisointivaihtoehdot sekoittuvat.

Huomautus: Katso lisätietoja Stream Isolation -virran eristämisestä kohdasta Valitse yhteysmenetelmäsi Whonix-reitillä.


Lyhyesti sanottuna:

• Voit käyttää ei-pysyvää Tailsia yhdestä USB-avaimesta (heidän suositustensa mukaisesti).
• Voisit tallentaa pysyviä VM:iä toissijaiseen säilöön, joka voitaisiin salata normaalisti tai Veracryptin uskottavan kiistettävyyden ominaisuutta käyttäen (nämä voisivat olla esimerkiksi Whonixin VM:iä tai mitä tahansa muita).
• Voit hyötyä lisätystä Tor Stream Isolation -ominaisuudesta (katso Tor over VPN lisätietoja stream isolationista).

Siinä tapauksessa, kuten projektissa hahmotellaan, tietokoneellasi ei pitäisi olla jälkiä mistään toiminnoistasi, ja arkaluonteinen työ voitaisiin tehdä VM:istä, jotka on tallennettu Hidden containeriin, jonka ei pitäisi olla helposti pehmeän vastustajan löydettävissä.


Tämä vaihtoehto on erityisen mielenkiintoinen "kevyessä matkustamisessa" ja rikosteknisten hyökkäysten lieventämisessä samalla, kun työsi pysyvyys säilyy. Tarvitset vain kaksi USB-tietolevyä (toisessa on Tails ja toisessa Veracrypt-säiliö, joka sisältää pysyvän Whonixin). Ensimmäinen USB-levy näyttää sisältävän pelkkää Tailsia ja toinen USB-levy näyttää sisältävän vain satunnaista roskaa, mutta siinä on houkutuslevy, jonka voit näyttää, jotta voit uskottavasti kieltää sen.


Saatat myös miettiä, johtaako tämä "Tor over Tor" -asetukseen, mutta ei johda. Whonixin VM:t käyttävät verkkoa suoraan clearnetin kautta eivätkä Tails Onion Routingin kautta.


Tulevaisuudessa Whonix-projekti voi tukea tätä myös itse, kuten täällä kerrotaan: https://www.whonix.org/wiki/Whonix-Host [Archive.org], mutta sitä ei vielä suositella loppukäyttäjille.


Muistakaa, että salaus uskottavuudella tai ilman sitä ei ole hopealuoti, eikä siitä ole juurikaan hyötyä kidutuksen yhteydessä. Itse asiassa, riippuen siitä, kuka vastustajasi on (uhkamallisi), voi olla viisasta olla käyttämättä Veracryptiä (entinen TrueCrypt) lainkaan, kuten tässä esittelyssä näytetään: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Todennäköinen kiistettävyys on tehokasta vain pehmeitä laillisia vastustajia vastaan, jotka eivät turvaudu fyysisiin keinoihin.


Katso https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


VAROITUS: Katso lisäys K: Ulkoisten SSD-asemien käyttöä koskevia näkökohtia ja Understanding HDD vs. SSD -osiot, jos harkitset tällaisten piilotettujen VM:ien tallentamista ulkoiselle SSD-asemalle:

• Älä käytä piilotettuja volyymeja SSD-asemilla, koska Veracrypt ei tue/suositellut sitä.
• Käytä sen sijaan tiedostosäiliöitä salattujen volyymien sijasta.
• Varmista, että osaat puhdistaa tiedot ulkoiselta SSD-asemalta oikein.

Tässä on oppaani siitä, miten tämä onnistuu:

Ensimmäinen ajo.

• https://github.com/aforensics/HiddenVM/releases [Archive.org].
• Lataa uusin Whonix XFCE -julkaisu osoitteesta https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Valmistele USB-muistitikku/asema Veracryptin avulla.
  
  • Luo piilotettu tilavuus USB-levylle/avainasemalle (suosittelen vähintään 16GB piilotetulle tilavuudelle).
  • Aseta ulkoiseen tilavuuteen joitakin harhautustiedostoja.
  • Sijoita HiddenVM-sovellustiedosto piilotetulle niteelle.
  • Sijoita Piilotettuun tilavuuteen Whonix XFCE ova-tiedosto.
• Käynnistä Tails
• Aseta näppäimistöasettelu haluamallasi tavalla.
• Valitse Lisäasetukset ja aseta järjestelmänvalvojan (root) salasana (tarvitaan HiddenVM:n asentamiseen).
• Käynnistä Tails
• Muodosta yhteys turvalliseen wi-fi:hin (tämä on välttämätön vaihe, jotta kaikki muu toimisi).
• Siirry Utilities-kohtaan ja avaa Veracrypt (piilotettu) Volume (älä unohda ruksata hidden volume -valintaruutua).
• Käynnistä HiddenVM-sovellusimage.
• Kun sinua pyydetään valitsemaan kansio, valitse Hidden volume -levyn juuret (jossa Whonix OVA ja HiddenVM-sovelluksen kuvatiedostot ovat).
• Anna sen tehdä tehtävänsä (Tämä periaatteessa asentaa Virtualboxin Tailsin sisälle yhdellä napsautuksella).
• Kun se on valmis, sen pitäisi automaattisesti käynnistää Virtualbox Manager.
• Tuo Whonix OVA-tiedostot (katso Whonix Virtual Machines:).

Huomaa, että jos tuonnin aikana ilmenee ongelmia, kuten "NS_ERROR_INVALID_ARG (0x80070057)", se johtuu todennäköisesti siitä, että Piilotetulla levylläsi ei ole tarpeeksi levytilaa Whonixille. Whonix itse suosittelee 32 Gt vapaata tilaa, mutta se ei luultavasti ole välttämätöntä, ja 10 Gt pitäisi riittää aluksi. Voit yrittää kiertää tämän virheen nimeämällä Whonixin *.OVA-tiedoston uudelleen *.TAR-tiedostoksi ja purkamalla sen Tailsissa. Kun olet saanut purettua pakkauksen, poista OVA-tiedosto ja tuo muut tiedostot ohjatulla tuontitoiminnolla. Tällä kertaa se saattaa toimia.

Seuraavat ajot.

• Käynnistäkää Tails
• Yhdistä Wi-Fi-yhteys
• Avaa piilotetun äänenvoimakkuuden lukitus
• Käynnistä HiddenVM-sovellus
• Tämän pitäisi automaattisesti avata VirtualBox manager ja näyttää edelliset VM:t ensimmäisestä ajosta.

 

[HEISENBERG]

Kaikkia muita reittejä koskevat vaiheet.

Hanki oma kannettava tietokone arkaluonteisia toimintoja varten.

Ihannetapauksessa sinun tulisi hankkia oma kannettava tietokone, jota ei sidota sinuun millään helpolla tavalla (mieluiten maksetaan käteisellä nimettömänä ja käytetään samoja varotoimia kuin aiemmin mainittiin puhelimen ja SIM-kortin osalta). Se on suositeltavaa mutta ei pakollista, koska tämä opas auttaa sinua kovettamaan kannettavasi mahdollisimman hyvin, jotta voit estää tietovuodot eri keinoin. Verkkoidentiteettisi ja itsesi välissä on useita puolustuslinjoja, joiden pitäisi estää useimpia vastustajia poistamasta anonymiteettiäsi, lukuun ottamatta valtiollisia/globaalisia toimijoita, joilla on huomattavat resurssit.


Tämän kannettavan tietokoneen tulisi mieluiten olla puhdas, juuri asennettu kannettava tietokone (Windows-, Linux- tai MacOS-käyttöjärjestelmä), joka on puhdas tavanomaisista päivittäisistä toiminnoistasi ja joka on offline-tilassa (ei ole vielä koskaan kytketty verkkoon). Jos kyseessä on Windows-kannettava tietokone, ja jos olet käyttänyt sitä ennen puhdasta asennusta, sitä ei myöskään pitäisi aktivoida (asentaa uudelleen ilman tuoteavainta). Erityisesti Macbookien tapauksessa sitä ei olisi koskaan aiemmin pitänyt liittää henkilöllisyyteesi millään tavalla. Osta siis käytettynä käteisellä tuntemattomalta tuntemattomalta, joka ei tunne henkilöllisyyttäsi.


Tällä pyritään lieventämään joitakin tulevia ongelmia, jos verkkovuodot (mukaan lukien käyttöjärjestelmän tai sovellusten telemetria) voivat vaarantaa kannettavan tietokoneen yksilölliset tunnisteet sen käytön aikana (MAC-osoite, Bluetooth-osoite ja tuoteavain ...). Mutta myös, jotta sinua ei jäljitettäisi takaisin, jos sinun on hävitettävä kannettava tietokone.


Jos olet käyttänyt tätä kannettavaa tietokonetta aiemmin eri tarkoituksiin (kuten päivittäiseen toimintaasi), Microsoft tai Apple todennäköisesti tuntee ja rekisteröi kaikki sen laitteistotunnisteet. Jos myöhemmin jokin näistä tunnisteista vaarantuu (haittaohjelmat, telemetria, hyväksikäyttö, inhimilliset virheet jne.), ne voivat johtaa takaisin sinuun.


Kannettavassa tietokoneessa on oltava vähintään 250 Gt levytilaa , vähintään 6 Gt (mieluiten 8 tai 16 Gt) RAM-muistia, ja siinä on voitava käyttää useita virtuaalikoneita samanaikaisesti. Siinä pitäisi olla toimiva akku, joka kestää muutaman tunnin.


Kannettavassa voi olla kiintolevy (7200rpm) tai SSD/NVMe-asema. Molemmissa vaihtoehdoissa on omat etunsa ja ongelmansa, joista kerrotaan tarkemmin myöhemmin.


Kaikki tämän kannettavan tietokoneen tulevat verkkotoiminnot tulisi mieluiten tehdä turvallisesta verkosta, kuten turvallisessa paikassa sijaitsevasta julkisesta Wi-Fi-verkosta (katso Etsi turvallisia paikkoja, joissa on kunnollinen julkinen Wi-Fi). Useat vaiheet on kuitenkin ensin suoritettava offline-tilassa.

 

[HEISENBERG]

Joitakin kannettavia suosituksia.

Jos sinulla on siihen varaa, voit harkita Purism Librem -kannettavan(https://puri.sm [Archive.org]) tai System76-kannettavan(https://system76.com/ [Archive.org]) hankkimista Corebootia käytettäessä (jossa Intel IME on poistettu käytöstä tehtaalta).


Muissa tapauksissa suosittelen vahvasti hankkimaan Business-luokan kannettavia tietokoneita (ei siis kuluttaja-/pelikäyttöön tarkoitettuja kannettavia tietokoneita), jos voit. Esimerkiksi joitakin Lenovon ThinkPadeja (henkilökohtainen suosikkini). Tässä on luetteloita kannettavista tietokoneista, jotka tukevat tällä hetkellä Librebootia ja muita, joissa voit itse flashata Corebootin (jolloin voit poistaa Intel IME:n tai AMD PSP:n käytöstä):

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

Tämä johtuu siitä, että nuo yrityskannettavat tarjoavat yleensä parempia ja muokattavampia tietoturvaominaisuuksia (erityisesti BIOS/UEFI-asetuksissa), joilla on pidempi tuki kuin useimmilla kuluttajakannettavilla (Asus, MSI, Gigabyte, Acer...). Mielenkiintoisia ominaisuuksia, joita kannattaa etsiä, ovat IMHO:

• Paremmat mukautetut Secure Boot -asetukset (joissa voit hallita valikoivasti kaikkia avaimia etkä vain käyttää vakioavaimia).
• HDD/SSD-salasanat pelkkien BIOS/UEFI-salasanojen lisäksi.
• AMD:n kannettavat tietokoneet voisivat olla mielenkiintoisempia, koska joissakin niistä on mahdollisuus poistaa AMD PSP (AMD:n vastine Intelin IME:lle) BIOS/UEFI-asetuksista oletusarvoisesti käytöstä. Ja koska AFAIK:n mukaan AMD PSP:tä on tarkastettu, eikä siinä, toisin kuin IME:ssä, ole todettu olevan mitään "pahoja" toimintoja. Kuitenkin, jos olet menossa Qubes OS Route harkitse Intel, koska he eivät tue AMD:tä anti-evil-maid järjestelmällään.
• Secure Wipe -työkalut BIOSista (erityisen hyödyllisiä SSD/NVMe-asemille, katso liite M: BIOS/UEFI-vaihtoehdot levyjen pyyhkimiseen eri tuotemerkeissä).
• Parempi valvonta tiettyjen oheislaitteiden (USB-portit, Wi-Fi-yhteydet, Bluetooth, kamera, mikrofoni ...) käytöstä poistamisen/poistamisen suhteen.
• Paremmat tietoturvaominaisuudet virtualisoinnin avulla.
• Natiivit suojaukset peukaloinnin estämiseksi.
• Pidempi tuki BIOS/UEFI-päivityksille (ja myöhemmille BIOS/UEFI-turvapäivityksille).
• Joitakin tukee Libreboot

 

[HEISENBERG]

Kannettavan tietokoneen Bios/UEFI/Firmware-asetukset.

PC.

Näihin asetuksiin pääsee käsiksi kannettavan tietokoneen käynnistysvalikon kautta. Tässä on hyvä HP:n opetusohjelma, jossa selitetään kaikki tavat päästä BIOSiin eri tietokoneissa: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org].


Yleensä siihen pääsee käsiksi painamalla tiettyä näppäintä (F1, F2 tai Del) käynnistyksen yhteydessä (ennen käyttöjärjestelmääsi).


Kun olet päässyt sinne, sinun on sovellettava muutamia suositeltuja asetuksia:

• Poista Bluetooth kokonaan käytöstä, jos voit.
• Poista biometriset tunnistimet (sormenjälkilukijat) käytöstä, jos sinulla on sellaisia, jos voit. Voit kuitenkin lisätä biometrisen lisätarkastuksen vain käynnistystä varten (ennen käynnistystä), mutta et BIOS/UEFI-asetusten käyttämistä varten.
• Poista webkamera ja mikrofoni käytöstä, jos voit.
• Ota BIOS/UEFI-salasana käyttöön ja käytä salasanan sijasta pitkää salasanaa (jos voit) ja varmista, että tämä salasana vaaditaan:
  
  • BIOS/UEFI-asetusten käyttäminen itse.
  • Käynnistysjärjestyksen muuttaminen
  • Laitteen käynnistäminen/virran kytkeminen päälle
• Ota HDD/SSD-salasana käyttöön, jos ominaisuus on käytettävissä. Tämä ominaisuus lisää toisen salasanan itse kiintolevylle/SSD-levylle (ei BIOS/UEFI-firmwareen), joka estää tämän kiintolevyn/SSD-levyn käytön toisessa tietokoneessa ilman salasanaa. Huomaa, että tämä ominaisuus on myös valmistajakohtainen ja saattaa vaatia erityisohjelmiston, jotta levyn lukitus voidaan avata täysin eri tietokoneessa.
• Estä käynnistysvaihtoehtojen (käynnistysjärjestyksen) käyttäminen ilman BIOS/UEFI-salasanan antamista, jos se on mahdollista.
• Poista USB/HDMI tai jokin muu portti (Ethernet, Firewire, SD-kortti ...) käytöstä, jos voit.
• Poista Intel ME käytöstä, jos voit.
• Poista AMD:n PSP käytöstä, jos voit (AMD:n vastaava IME, katso kohta Suoritin).
• Poista Secure Boot käytöstä, jos aiot käyttää QubesOS:ää, koska se ei tue sitä suoraan laatikosta. Pidä se päällä, jos aiot käyttää Linuxia/Windowsia.
• Tarkista, onko kannettavan tietokoneen BIOS:ssa turvallinen pyyhkimisvaihtoehto kiintolevylle/SSD-levylle, joka voisi olla kätevä tarvittaessa.

Ota ne käyttöön vain tarvittaessa ja poista ne käytöstä käytön jälkeen. Tämä voi auttaa lieventämään hyökkäyksiä, jos kannettava tietokone takavarikoidaan, kun se on lukittu, mutta se on edelleen päällä, TAI jos joudut sammuttamaan sen melko nopeasti ja joku ottaa sen haltuunsa (tämä aihe selitetään myöhemmin tässä oppaassa).

Tietoja suojatusta käynnistyksestä.

Lyhyesti sanottuna se on UEFI:n tietoturvaominaisuus, joka on suunniteltu estämään tietokonettasi käynnistämästä käyttöjärjestelmää, jonka käynnistyslatausta ei ole allekirjoitettu tietyillä avaimilla, jotka on tallennettu kannettavan tietokoneen UEFI-firmwareen.


Periaatteessa, kun käyttöjärjestelmät (tai käynnistyslatausohjelma) tukevat sitä, voit tallentaa käynnistyslatausohjelman avaimet UEFI-firmwareen, ja tämä estää minkä tahansa luvattoman käyttöjärjestelmän käynnistämisen (kuten live-käyttöjärjestelmän USB-levyn tai muun vastaavan).


Secure Boot -asetukset suojataan salasanalla, jonka asetat BIOS/UEFI-asetuksiin pääsemiseksi. Jos sinulla on tämä salasana, voit poistaa Secure Bootin käytöstä ja sallia allekirjoittamattomien käyttöjärjestelmien käynnistyksen järjestelmässäsi. Tämä voi auttaa lieventämään joitakin Evil-Maid-hyökkäyksiä (selitetään myöhemmin tässä oppaassa).


Useimmissa tapauksissa Secure Boot on oletusarvoisesti poistettu käytöstä tai se on käytössä, mutta "setup"-tilassa, jolloin mikä tahansa järjestelmä voi käynnistyä. Jotta Secure Boot toimisi, käyttöjärjestelmäsi on tuettava sitä ja allekirjoitettava käynnistyslatausohjelmansa ja siirrettävä nämä allekirjoitusavaimet UEFI-firmwareen. Tämän jälkeen sinun on mentävä BIOS/UEFI-asetuksiin ja tallennettava nämä käyttöjärjestelmän työnnetyt avaimet ja muutettava Secure Boot asetustilasta käyttäjätilaan (tai joissakin tapauksissa mukautettuun tilaan).


Tämän vaiheen jälkeen vain ne käyttöjärjestelmät, joista UEFI-firmware voi tarkistaa käynnistyslataajan eheyden, voivat käynnistyä.


Useimmissa kannettavissa tietokoneissa on joitakin oletusavaimia jo tallennettuna turvallisen käynnistyksen asetuksiin. Yleensä ne ovat peräisin valmistajalta itseltään tai joiltakin yrityksiltä, kuten Microsoftilta. Tämä tarkoittaa siis sitä, että oletusarvoisesti joitakin USB-levyjä on aina mahdollista käynnistää myös suojatun käynnistyksen avulla. Näihin kuuluvat Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla ja monet muut. QubesOS ei kuitenkaan tue Secure Bootia lainkaan tässä vaiheessa.


Joissakin kannettavissa tietokoneissa voit hallita näitä avaimia ja poistaa ne, joita et halua "mukautetun tilan" avulla, jotta voit valtuuttaa vain oman käynnistyslataimesi, jonka voit allekirjoittaa itse, jos todella haluat.


Miltä Secure Boot siis suojaa sinua? Se suojaa kannettavaa tietokonettasi käynnistymästä (käyttöjärjestelmän tarjoajan allekirjoittamattomilla) käynnistyslataimilla, joihin on esimerkiksi lisätty haittaohjelmia.


Miltä Secure Boot ei suojaa sinua?

• Secure Boot ei salaa levyäsi, ja hyökkääjä voi edelleen vain poistaa levyn kannettavasta tietokoneesta ja poimia siitä tietoja toisella koneella. Secure Boot on siis hyödytön ilman koko levyn salausta.
• Secure Boot ei suojaa sinua allekirjoitetulta käynnistyslatausohjelmalta, joka on vaarantunut ja jonka valmistaja on itse allekirjoittanut (esimerkiksi Microsoft Windowsin tapauksessa). Useimmat valtavirran Linux-jakelut ovat nykyään allekirjoitettuja ja käynnistyvät, kun Secure Boot on käytössä.
• Secure Bootissa voi olla puutteita ja käyttökohteita, kuten missä tahansa muussakin järjestelmässä. Jos käytössäsi on vanha kannettava tietokone, joka ei hyödy uusista BIOS/UEFI-päivityksistä, näitä voidaan jättää korjaamatta.

Lisäksi Secure Bootia vastaan voidaan tehdä useita hyökkäyksiä, jotka selitetään (perusteellisesti) näissä teknisissä videoissa:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Se voi siis olla hyödyllinen lisätoimenpide joitakin vastustajia vastaan, mutta ei kaikkia. Secure Boot ei sinänsä salaa kiintolevyä. Se on lisätty kerros, mutta siinä kaikki.


Suosittelen silti pitämään sen päällä, jos voit.

Mac.

Käytä hetki aikaa asettaaksesi firmware-salasanan tämän ohjeen mukaisesti: https://support.apple.com/en-au/HT204455 [Archive.org].


Sinun kannattaa myös ottaa käyttöön firmware-salasanan palautussuojaus (saatavana Catalinasta) dokumentaation mukaan täällä: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].


Tämä ominaisuus vähentää joidenkin vastustajien mahdollisuutta käyttää laitteistohakkereita laiteohjelmiston salasanan poistamiseksi käytöstä tai ohittamiseksi. Huomaa, että tämä estää myös Applea itse pääsemästä käsiksi laiteohjelmistoon korjaustilanteessa.

 

[HEISENBERG]

Fyysinen peukalointisuojaus kannettavalle tietokoneelle.

Jossain vaiheessa jätät väistämättä tämän kannettavan tietokoneen yksin jonnekin. Et nuku sen kanssa etkä ota sitä mukaan kaikkialle joka ikinen päivä. Sinun pitäisi tehdä siitä mahdollisimman vaikea, että kukaan voisi peukaloida sitä huomaamattasi. Tämä on hyödyllistä lähinnä joitakin rajoitettuja vastustajia vastaan, jotka eivät käytä 5 dollarin jakoavainta sinua vastaan.


On tärkeää tietää, että joidenkin asiantuntijoiden on erittäin helppoa asentaa kannettavaan tietokoneeseesi näppäinlokeri tai tehdä kiintolevystäsi kloonikopio, jonka avulla he voivat myöhemmin havaita salattujen tietojen olemassaolon rikosteknisin tekniikoin (tästä lisää myöhemmin).


Tässä on hyvä ja halpa tapa tehdä kannettavasta tietokoneesta peukaloinnin kestävä käyttäen kynsilakkaa (jossa on glitteriä) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (kuvineen).


Vaikka tämä on hyvä ja halpa menetelmä, se voi myös herättää epäilyksiä, koska se on melko "näkyvä" ja saattaa paljastaa, että sinulla "on jotain salattavaa". On siis olemassa hienovaraisempia tapoja saavuttaa sama tulos. Voit myös esimerkiksi ottaa lähimakrokuvauksen kannettavan tietokoneen takaruuvista tai käyttää hyvin pientä määrää kynttilävahaa yhdessä ruuvissa, joka voi näyttää aivan tavalliselta lialta. Voisit sitten tarkistaa peukaloinnin vertaamalla ruuvien valokuvia uusiin ruuveihin. Niiden suuntaus on saattanut muuttua hieman, jos vastapuoli ei ollut tarpeeksi varovainen (kiristämällä ne täsmälleen samalla tavalla kuin ennenkin). Tai ruuvin pään pohjassa oleva vaha on saattanut vaurioitua aiempaan verrattuna.

Samoja tekniikoita voidaan käyttää USB-porttien kanssa, jolloin voit vain laittaa pienen määrän kynttilävahaa pistokkeen sisään, joka vahingoittuisi USB-avaimen asettamisesta siihen.


Riskialttiimmissa ympäristöissä tarkista kannettava tietokone peukaloinnin varalta ennen kuin käytät sitä säännöllisesti.

 

[HEISENBERG]

Whonixin reitti.

Host-käyttöjärjestelmän valitseminen (kannettavaan tietokoneeseen asennettu käyttöjärjestelmä).

Tällä reitillä käytetään laajasti virtuaalikoneita, ne vaativat isäntäkäyttöjärjestelmän virtualisointiohjelmiston käyttämiseen. Sinulla on 3 suositeltua vaihtoehtoa oppaan tässä osassa:

• Linux-jakelusi (lukuun ottamatta Qubes OS:ää).
• Windows 10 (mieluiten Home-versio Bitlockerin puuttumisen vuoksi).
• MacOS (Catalina tai uudempi)

Lisäksi on todennäköistä, että Mac-tietokoneesi on tai on ollut sidottu Apple-tiliin (ostohetkellä tai kirjautumisen jälkeen), joten sen yksilölliset laitteistotunnisteet voivat johtaa takaisin sinuun, jos laitteistotunnisteet vuotavat.


Linux ei myöskään ole välttämättä paras valinta anonymiteetin säilyttämiseksi uhkamallista riippuen. Tämä johtuu siitä, että Windowsia käyttämällä voimme kätevästi käyttää Plausible Deniabilityä (eli kieltävää salausta) helposti käyttöjärjestelmätasolla. Windows on myös valitettavasti samalla yksityisyydensuojan painajainen, mutta se on ainoa (kätevä) vaihtoehto käyttöjärjestelmän laajuisen uskottavan kiistettävyyden käyttämiseen. Windowsin telemetria ja telemetrian estäminen on myös laajasti dokumentoitu, minkä pitäisi lieventää monia ongelmia.


Mitä siis on uskottava kieltäminen? Se tarkoittaa, että voit tehdä yhteistyötä sellaisen vastustajan kanssa, joka pyytää pääsyä laitteeseesi/tietoihisi paljastamatta todellista salaisuuttasi. Kaikki tämä käyttämällä kieltäydyttävää salausta.


Pehmeä, laillinen vastustaja voisi pyytää salattua salasanaasi kannettavan tietokoneen salasanaa. Aluksi voisit kieltäytyä antamasta salasanaa (käyttämällä "oikeutta pysyä vaiti" ja "oikeutta olla paljastamatta itseäsi"), mutta joissakin maissa on otettu käyttöön lakeja, jotka vapauttavat tämän tällaisista oikeuksista (koska terroristit ja "ajattele lapsia"). Siinä tapauksessa sinun on ehkä paljastettava salasana tai saatat joutua vankilaan oikeuden halventamisesta. Tässä vaiheessa tulee kyseeseen uskottava kiistettävyys (plausible deniability).


Voisit sitten paljastaa salasanan, mutta salasana antaa pääsyn vain "uskottaviin tietoihin" (harhautuskäyttöjärjestelmä). Rikostutkijat ovat hyvin tietoisia siitä, että on mahdollista, että sinulla on piilotettuja tietoja, mutta heidän ei pitäisi pystyä todistamaan sitä (jos teet tämän oikein). Olet tehnyt yhteistyötä, ja tutkijat pääsevät käsiksi johonkin, mutta eivät siihen, mitä oikeasti haluat piilottaa. Koska todistustaakan pitäisi olla heidän puolellaan, heillä ei ole muuta vaihtoehtoa kuin uskoa sinua, ellei heillä ole todisteita siitä, että sinulla on piilotettuja tietoja.


Tätä ominaisuutta voidaan käyttää käyttöjärjestelmätasolla (uskottava käyttöjärjestelmä ja piilotettu käyttöjärjestelmä) tai tiedostotasolla, jolloin sinulla on salattu tiedostosäiliö (zip-tiedoston kaltainen), jossa näytetään eri tiedostot käyttämästäsi salaussalasanasta riippuen.


Tämä tarkoittaa myös sitä, että voit luoda oman kehittyneen "uskottavan kiistettävyyden" asetuksesi käyttämällä mitä tahansa isäntäkäyttöjärjestelmää tallentamalla esimerkiksi virtuaalikoneet Veracryptin piilotetun tietolevyn konttiin (varo jälkiä isäntäkäyttöjärjestelmässä, joka on puhdistettava, jos isäntäkäyttöjärjestelmä on pysyvä, katso Joitakin lisätoimenpiteitä rikosteknisiä tutkimuksia vastaan -osio myöhemmin). Tailsin sisällä on projekti tämän saavuttamiseksi(https://github.com/aforensics/HiddenVM [Archive.org]), joka tekisi isäntäkäyttöjärjestelmästä ei-pysyvän ja käyttäisi uskottavaa kiistettävyyttä Tailsin sisällä.


Windowsin tapauksessa uskottava kiistettävyys on myös syy siihen, miksi sinun pitäisi mieluiten käyttää Windows 10 Homea (eikä Prota). Tämä johtuu siitä, että Windows 10 Pro tarjoaa luonnostaan täyden levyn salausjärjestelmän (Bitlocker), kun taas Windows 10 Home ei tarjoa lainkaan täyden levyn salausta. Käytämme myöhemmin kolmannen osapuolen avoimen lähdekoodin salausohjelmistoa, joka mahdollistaa täyden levyn salauksen Windows 10 Homessa. Tämä antaa sinulle hyvän (uskottavan) tekosyyn käyttää tätä ohjelmistoa. Kun taas tämän ohjelmiston käyttäminen Windows 10 Prossa olisi epäilyttävää.


Huomautus Linuxista: Entä Linux ja uskottava kieltäminen? Kyllä, uskottavan kieltämisen saavuttaminen on tavallaan mahdollista myös Linuxissa. Mutta se on monimutkainen asentaa ja vaatii IMHO niin korkeaa taitotasoa, että et luultavasti tarvitse tätä opasta auttamaan sinua kokeilemaan sitä.


Valitettavasti salaus ei ole taikuutta ja siihen liittyy riskejä:

Uhkia salauksen kanssa.

5 dollarin jakoavain.

Salaus ei ole hopealuoti, eikä siitä ole juurikaan hyötyä kidutuksen yhteydessä. Itse asiassa, riippuen siitä, kuka vastustajasi olisi (uhkamallisi), voi olla viisasta olla käyttämättä Veracryptiä (entinen TrueCrypt) lainkaan, kuten tässä esittelyssä näytetään: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Uskottava kieltäminen on tehokasta vain pehmeitä laillisia vastustajia vastaan, jotka eivät turvaudu fyysisiin keinoihin. Vältä mahdollisuuksien mukaan uskottavaan kieltämiseen kykenevien ohjelmistojen (kuten Veracryptin) käyttöä, jos uhkamallissasi on kovia vastustajia. Windows-käyttäjien tulisi siis tässä tapauksessa asentaa Windows Pro isäntäkäyttöjärjestelmäksi ja käyttää sen sijaan Bitlockeria.


Katso https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org] [ Wikiless]

Evil-Maid Attack.

Evil Maid Attacks (Paha neito -hyökkäykset) tehdään, kun joku peukaloi kannettavaa tietokonettasi, kun olet poissa. Asennetaan kloonata kiintolevyäsi, asennetaan haittaohjelmia tai näppäinlokeja. Jos he pystyvät kloonaamaan kiintolevyn, he voivat verrata kiintolevyn kuvaa, jonka he ottivat kiintolevystäsi, kun olit poissa, kiintolevyyn, kun he takavarikoivat sen sinulta. Jos käytit kannettavaa tietokonetta uudelleen tässä välissä, rikostekniset tutkijat voivat ehkä todistaa piilotetun datan olemassaolon tarkastelemalla kahden kuvan välisiä eroja siinä, minkä pitäisi olla tyhjää/käyttämätöntä tilaa. Tämä voi johtaa vahvaan näyttöön piilotetun datan olemassaolosta. Jos kannettavaan tietokoneeseesi asennetaan näppäinlokiohjelma tai haittaohjelma (ohjelmisto tai laitteisto), he voivat yksinkertaisesti saada sinulta salasanan myöhempää käyttöä varten, kun he takavarikoivat sen. Tällaisia hyökkäyksiä voidaan tehdä kotona, hotellissa, rajanylityspaikalla tai missä tahansa, missä jätät laitteesi valvomatta.


Voit lieventää tätä hyökkäystä tekemällä seuraavat toimet (kuten aiemmin on suositeltu):

• Ota käyttöön perusmuotoinen peukalointisuojaus (kuten aiemmin selitettiin), joka estää fyysisen pääsyn kannettavan tietokoneen sisäosiin tietämättäsi. Tämä estää heitä kloonaamasta levyjäsi ja asentamasta fyysistä näppäinlokkeria tietämättäsi.
• Poista kaikki USB-portit käytöstä (kuten aiemmin selitettiin) salasanalla suojatun BIOS/UEFI:n avulla. He eivät myöskään pysty käynnistämään niitä (pääsemättä fyysisesti emolevylle BIOSin nollaamiseksi) käynnistämään USB-laitetta, joka voisi kloonata kiintolevyn tai asentaa ohjelmistopohjaisen haittaohjelman, joka voisi toimia näppäinten kirjaajana.
• Aseta BIOS/UEFI/Firmware-salasanat, jotta estät luvattoman laitteen luvattoman käynnistyksen.
• Joissakin käyttöjärjestelmissä ja salausohjelmistoissa on aktivoitavissa EvilMaid-suojaus. Näin on Windows/Veracrypt ja QubeOS.

Kylmäkäynnistyshyökkäys.

Kylmäkäynnistyshyökkäykset ovat hankalampia kuin Evil Maid -hyökkäys, mutta ne voivat olla osa Evil Maid -hyökkäystä, sillä ne edellyttävät, että vastustaja saa kannettavan tietokoneen haltuunsa, kun käytät laitetta aktiivisesti tai pian sen jälkeen.


Idea on melko yksinkertainen, kuten tässä videossa näytetään, vastustaja voisi teoriassa käynnistää laitteesi nopeasti erityisellä USB-avaimella, joka kopioisi laitteen RAM-muistin (muistin) sisällön sen jälkeen, kun olet sammuttanut sen. Jos USB-portit on kytketty pois käytöstä tai jos heistä tuntuu, että he tarvitsevat enemmän aikaa, he voisivat avata sen ja "jäähdyttää" muistin käyttämällä suihketta tai muita kemikaaleja (esimerkiksi nestemäistä typpeä), mikä estää muistin hajoamisen. Sen jälkeen he voisivat kopioida sen sisällön analysoitavaksi. Tämä muistidomppi voisi sisältää avaimen laitteen salauksen purkamiseen. Sovellamme myöhemmin muutamia periaatteita näiden ongelmien lieventämiseksi.


Plausible Deniability -tapauksessa on tehty joitakin rikosteknisiä tutkimuksia, joissa on käsitelty piilotetun datan teknistä todistamista yksinkertaisella rikosteknisellä tutkimuksella (ilman Cold Boot / Evil Maid Attack -hyökkäystä), mutta muut tutkimukset ja Veracryptin ylläpitäjä ovat kiistäneet nämä tutkimukset, joten en olisi vielä kovin huolissani niistä.


Samojen toimenpiteiden, joita käytetään Evil Maid -hyökkäysten lieventämiseen, pitäisi olla käytössä Cold Boot -hyökkäyksiä varten, ja niihin pitäisi lisätä joitakin toimenpiteitä:

• Jos käyttöjärjestelmä tai salausohjelmisto sallii sen, kannattaa harkita avainten salaamista myös RAM-muistissa (tämä on mahdollista Windows/Veracryptin kanssa ja selitetään myöhemmin).
• Sinun tulisi rajoittaa valmiustilan käyttöä ja käyttää sen sijaan Shutdown- tai Hibernate-toimintoa, jotta salausavaimet eivät jäisi RAM-muistiin tietokoneen siirtyessä lepotilaan. Tämä johtuu siitä, että lepotila säilyttää virran muistissa, jotta voit jatkaa toimintaa nopeammin. Vain horrostila ja sammutus todella poistavat avaimen muistista.

Katso myös https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] ja https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Tässä on myös muutamia mielenkiintoisia työkaluja, joita Linux-käyttäjät voivat harkita suojautuakseen näitä vastaan:

• https://github.com/0xPoly/Centry [Archive.org] (valitettavasti sitä ei näköjään ylläpidetä, joten tein haaran ja pull request -päivityksen Veracryptille https://github.com/AnonymousPlanet/Centry [Archive.org], jonka pitäisi silti toimia).
• https://github.com/hephaest0s/usbkill [Archive.org] (valitettavasti myöskin näyttää siltä, että sitä ei ylläpidetä).
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (Qubes OS, vain Intel CPU) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

Sleep, Hibernation ja Shutdown.

Jos haluat parempaa turvallisuutta, sinun tulisi sammuttaa kannettava tietokone kokonaan aina, kun jätät sen ilman valvontaa tai suljet kannen. Tämän pitäisi puhdistaa ja/tai vapauttaa RAM-muisti ja lieventää kylmäkäynnistyshyökkäyksiä. Tämä voi kuitenkin olla hieman hankalaa, sillä sinun on käynnistettävä tietokone kokonaan uudelleen ja kirjoitettava lukuisia salasanoja eri sovelluksiin. Käynnistä eri VM:t ja muut sovellukset uudelleen. Sen sijaan voisit siis käyttää sen sijaan myös horrostilaa (ei tuettu Qubes OS:ssä). Koska koko levy on salattu, horrostuksen ei sinänsä pitäisi aiheuttaa suurta tietoturvariskiä, mutta se sammuttaa silti kannettavan tietokoneen ja tyhjentää muistin samalla, kun voit sen jälkeen jatkaa työtäsi kätevästi. Mitä sinun ei pitäisi koskaan tehdä, on käyttää tavallista lepotilaominaisuutta, joka pitää tietokoneen päällä ja muistin virran päällä. Tämä on hyökkäysvektori aiemmin käsiteltyjä evil-maid- ja cold-boot-hyökkäyksiä vastaan. Tämä johtuu siitä, että päällä oleva muisti sisältää levyjen salausavaimet (salatut tai salaamattomat), ja taitava vastustaja voi päästä niihin käsiksi.


Tässä oppaassa annetaan myöhemmin ohjeita siitä, miten horrostila voidaan ottaa käyttöön eri isäntäkäyttöjärjestelmissä (paitsi Qubes OS:ssä), jos et halua sammuttaa muistia joka kerta.

Paikalliset tietovuodot (jäljet) ja rikostekninen tutkimus.

Kuten aiemmin lyhyesti mainittiin, nämä ovat käyttöjärjestelmän ja sovellusten tietovuotoja ja jälkiä, kun suoritat mitä tahansa toimintaa tietokoneella. Nämä koskevat enimmäkseen salattuja tiedostosäiliöitä (uskottavasti kiistettävissä tai ei) kuin käyttöjärjestelmän laajuista salausta. Tällaiset vuodot ovat vähemmän "tärkeitä", jos koko käyttöjärjestelmä on salattu (jos sinua ei pakoteta paljastamaan salasanaa).


Sanotaan esimerkiksi, että sinulla on Veracryptillä salattu USB-avain, jossa on plausible deniability käytössä. Riippuen salasanasta, jota käytät USB-levyä asentaessasi, se avaa harhautuskansion tai arkaluonteisen kansion. Näiden kansioiden sisällä on harhautusasiakirjoja/tietoja harhautuskansiossa ja arkaluonteisia asiakirjoja/tietoja arkaluonteisessa kansiossa.


Kaikissa tapauksissa avaat (todennäköisesti) nämä kansiot Windows Explorerilla, MacOS Finderilla tai muulla apuohjelmalla ja teet sen, mitä olet suunnitellut tekeväsi. Ehkä muokkaat asiakirjaa arkaluonteisessa kansiossa. Ehkä teet hakuja kansiossa olevasta asiakirjasta. Ehkä poistat yhden tai katsot arkaluonteisen videon VLC:llä.


No, kaikki nämä sovellukset ja käyttöjärjestelmäsi saattavat säilyttää lokit ja jäljet tästä käytöstä. Näihin voi sisältyä kansion/tiedostojen/asemien koko polku, aika, jolloin niitä käytettiin, näiden tiedostojen väliaikaiset välimuistit, kunkin sovelluksen "viimeisimmät" -luettelot, tiedostojen indeksointijärjestelmä, joka voi indeksoida aseman, ja jopa luotavat pikkukuvat.


Tässä on joitakin esimerkkejä tällaisista vuodoista:

Windows.

• Windows ShellBags, jotka on tallennettu Windowsin rekisteriin ja jotka tallentavat hiljaa erilaisia historioita käytetyistä niteistä/tiedostoista/kansioista.
• Windowsin indeksointi, joka säilyttää oletusarvoisesti jälkiä käyttäjäkansiossa olevista tiedostoista.
• Windowsin ja eri sovellusten viimeisimmät luettelot (eli hyppyluettelot), jotka säilyttävät jälkiä viimeksi käytetyistä asiakirjoista.
• Monia muita jälkiä eri lokitiedostoissa, katso tämä mielenkiintoinen juliste, josta saat lisää tietoa: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org].

MacOS.

• Gatekeeper290 ja XProtect, jotka pitävät kirjaa lataushistoriasta paikallisessa tietokannassa ja tiedostojen attribuuteista.
• Spotlight-indeksointi
• Eri sovellusten viimeisimmät luettelot, jotka pitävät kirjaa viimeksi käytetyistä asiakirjoista.
• Väliaikaiset kansiot, jotka säilyttävät erilaisia jälkiä sovellusten ja asiakirjojen käytöstä.
• MacOS-lokit
• ...

Linux.

• Linux: Seurantaindeksointi
• Bash-historia
• USB-lokit
• Eri sovellusten viimeisimmät luettelot, jotka pitävät jälkiä viimeksi käytetyistä asiakirjoista.
• Linux-lokit
• ...

Rikostutkinta voi käyttää kaikkia näitä vuotoja (katso Paikalliset tietovuodot ja rikostutkinta) todistaakseen piilotettujen tietojen olemassaolon ja kukistaakseen yrityksesi käyttää uskottavaa kieltämistä ja selvittääksesi erilaisia arkaluonteisia toimintojasi.


Siksi on tärkeää soveltaa erilaisia toimenpiteitä, joilla estetään rikostutkijoita tekemästä tätä estämällä ja puhdistamalla nämä vuodot/jäljet ja ennen kaikkea käyttämällä koko levyn salausta, virtualisointia ja lokerointia.


Rikostutkijat eivät voi poimia paikallisia tietovuotoja käyttöjärjestelmästä, johon heillä ei ole pääsyä. Ja voit puhdistaa useimmat näistä jäljistä pyyhkimällä aseman tai poistamalla virtuaalikoneesi turvallisesti (mikä ei ole niin helppoa kuin luulet SSD-asemilla).


Joitakin puhdistustekniikoita käsitellään kuitenkin tämän oppaan "Peitä jälkesi" -osiossa aivan lopussa.

Verkkotietovuodot.

Käytitpä sitten yksinkertaista salausta tai uskottavaa salausta. Vaikka peittäisitkin jälkesi itse tietokoneella. On silti olemassa verkkotietovuodon riski, joka voi paljastaa piilotetun tiedon.


Telemetria on vihollisesi. Kuten aiemmin tässä oppaassa on selitetty, käyttöjärjestelmien mutta myös sovellusten telemetria voi lähettää verkossa huikeita määriä yksityisiä tietoja.


Windowsin tapauksessa näitä tietoja voitaisiin esimerkiksi käyttää osoittamaan, että tietokoneessa on piilotettu käyttöjärjestelmä/tietue, ja ne olisivat helposti saatavilla Microsoftilla. Siksi on erittäin tärkeää, että poistat ja estät telemetrian kaikin käytettävissäsi olevin keinoin. Riippumatta siitä, mitä käyttöjärjestelmää käytät.

Johtopäätös.

Sinun ei pitäisi koskaan suorittaa arkaluonteisia toimintoja salaamattomasta järjestelmästä. Ja vaikka järjestelmä olisikin salattu, sinun ei pitäisi todennäköisesti koskaan suorittaa arkaluonteisia toimia itse isäntäkäyttöjärjestelmästä käsin. Sen sijaan sinun pitäisi käyttää VM:ää, jotta voit tehokkaasti eristää ja lokeroida toimintasi ja estää paikalliset tietovuodot.


Jos sinulla on vain vähän tai ei lainkaan tietoa Linuxista tai jos haluat käyttää käyttöjärjestelmän laajuista uskottavaa kiistettävyyttä, suosittelen käyttämään Windowsia (tai palaamaan Tails-reittiin) mukavuuden vuoksi. Tämä opas auttaa sinua koventamaan sitä mahdollisimman paljon vuotojen estämiseksi. Tämä opas auttaa sinua myös kovettamaan MacOS:n ja Linuxin mahdollisimman paljon vastaavien vuotojen estämiseksi.


Jos et ole kiinnostunut käyttöjärjestelmän laajuisesta uskottavasta kiistettävyydestä ja haluat oppia käyttämään Linuxia, suosittelen vahvasti Linuxia tai Qubes-reittiä, jos laitteistosi sallii sen.


Kaikissa tapauksissa isäntäkäyttöjärjestelmää ei pitäisi koskaan käyttää suoraan arkaluontoiseen toimintaan. Isäntäkäyttöjärjestelmää käytetään vain yhteyden muodostamiseen julkiseen Wi-Fi-yhteyspisteeseen. Se jätetään käyttämättä arkaluonteisten toimintojen suorittamisen ajaksi, eikä sitä tulisi mieluiten käyttää mihinkään päivittäisiin toimintoihin.


Harkitse myös lukemista https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]

 

[HEISENBERG]

Linux-isäntäkäyttöjärjestelmä.

Kuten aiemmin mainittiin, en suosittele päivittäisen kannettavan tietokoneen käyttämistä hyvin arkaluonteisiin toimintoihin. Tai ainakaan en suosittele käyttämään paikan päällä olevaa käyttöjärjestelmääsi näihin tarkoituksiin. Se saattaa johtaa ei-toivottuihin tietovuotoihin, joita voidaan käyttää nimettömyyden poistamiseen. Jos sinulla on tätä varten oma kannettava tietokone, sinun kannattaa asentaa uudelleen tuore, puhdas käyttöjärjestelmä. Jos et halua pyyhkiä kannettavaa tietokonettasi ja aloittaa alusta, sinun kannattaa harkita Tails-reittiä tai toimia omalla vastuullasi.


Suosittelen myös, että teet alkuasennuksen täysin offline-tilassa tietovuotojen välttämiseksi.


Kannattaa aina muistaa, että maineestaan huolimatta Linuxin valtavirtajakelut (esimerkiksi Ubuntu) eivät välttämättä ole tietoturvallisesti parempia kuin muut järjestelmät, kuten MacOS ja Windows. Katso tämä viite ymmärtääksesi miksi https://madaidans-insecurities.github.io/linux.html [Archive.org].

Koko levyn salaus.

Ubuntussa on kaksi vaihtoehtoa:

• (Suositeltava ja helppo) Salaa osana asennusprosessia: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org] .
  
  • Tämä prosessi edellyttää koko aseman täydellistä poistamista (puhdas asennus).
  • Rastita vain "Salaa uusi Ubuntu-asennus turvallisuuden vuoksi"
• (Työlästä mutta mahdollista) Salaa asennuksen jälkeen: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

Muiden distrojen osalta sinun on dokumentoitava itse, mutta se on todennäköisesti samanlainen. Salaus asennuksen aikana on vain paljon helpompaa tämän oppaan yhteydessä.

Hylkää/poista käytöstä kaikki telemetria.

• Varmista asennuksen aikana, ettet salli tietojen keräämistä, jos sitä pyydetään.
• Jos et ole varma, varmista vain, ettet salli telemetriaa, ja seuraa tarvittaessa tätä ohjetta https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org].
• Mikä tahansa muu distro: Sinun on dokumentoitava itse ja selvitettävä itse, miten telemetria poistetaan käytöstä, jos se on käytössä.

Poista käytöstä kaikki tarpeeton.

• Poista Bluetooth käytöstä, jos se on käytössä, noudattamalla tätä opasta https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] tai antamalla seuraava komento:
  
  • palvelu --force: sudo systemctl disable bluetooth.service --force.
• Poista indeksointi käytöstä, jos se on oletusarvoisesti käytössä (Ubuntu >19.04) noudattamalla tätä opasta https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] tai antamalla seuraavat komennot:
  
  • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Voit huoletta jättää huomiotta kaikki virheet, jos se sanoo, että jotain palvelua ei ole olemassa.
  • sudo tracker reset -hard

Lepotila.

Kuten aiemmin selitettiin, sinun ei pitäisi käyttää lepotilaominaisuuksia, vaan sammuttaa tai horrostaa kannettava tietokone lieventääksesi joitakin evil-maid- ja cold-boot-hyökkäyksiä. Valitettavasti tämä ominaisuus on oletusarvoisesti poistettu käytöstä monissa Linux-ohjelmissa, mukaan lukien Ubuntu. Se on mahdollista ottaa käyttöön, mutta se ei välttämättä toimi odotetulla tavalla. Noudata näitä tietoja omalla vastuullasi. Jos et halua tehdä tätä, sinun ei pitäisi koskaan käyttää lepotoimintoa ja sammuttaa virta sen sijaan (ja luultavasti asettaa kannen sulkemiskäyttäytyminen sammuttamiseen lepotoiminnon sijaan).


Seuraa jotakin näistä opetusohjelmista horrostilan ottamiseksi käyttöön:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

Kun Hibernate on otettu käyttöön, muuta käyttäytyminen niin, että kannettava tietokone menee lepotilaan, kun suljet kannen, noudattamalla tätä opetusohjelmaa Ubuntu 20 .04:lle http://ubuntuhandbook.org/index.php/2020/05/lid-close -behavior-ubuntu-20-04/ [Archive.org] ja tätä opetusohjelmaa Ubuntu 18 .04:lle https://tipsonubuntu.com/2018/04/28/change-lid-close -action-ubuntu-18-04-lts/ [Archive.org].


Valitettavasti tämä ei puhdista avainta muistista suoraan muistista horrostuksen aikana. Jos haluat välttää tämän jonkin verran suorituskyvyn kustannuksella, voit harkita swap-tiedoston salaamista noudattamalla tätä opetusohjetta: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org] .


Näiden asetusten pitäisi lieventää kylmäkäynnistyshyökkäyksiä, jos voit horrostaa tarpeeksi nopeasti.

Ota MAC-osoitteen satunnaistaminen käyttöön.

• Ubuntu, noudata näitä ohjeita https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Mikä tahansa muu distro: sinun on löydettävä dokumentaatio itse, mutta sen pitäisi olla melko samanlainen kuin Ubuntun ohjeen.
• Harkitse tätä ohjetta, jonka pitäisi silti toimia: https://josh.works/shell-script-basics-change-mac-address [Archive.org].

Linuxin koventaminen.

Kevyeksi johdannoksi uusille Linux-käyttäjille kannattaa harkita seuraavaa.

[Invidious]


Jos haluat syvällisempiä ja edistyneempiä vaihtoehtoja, katso:

• Tämä erinomainen opas: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org].
• Tämä erinomainen wiki-lähde: https://wiki.archlinux.org/title/Security [Archive.org].
• Nämä erinomaiset skriptit, jotka perustuvat yllä olevaan oppaaseen ja wikiin: https://codeberg.org/SalamanderSecurity/PARSEC [Archive.org] .

Turvallisen selaimen perustaminen.

Katso lisäys G: Turvallinen selain isäntäkäyttöjärjestelmässä

 

[HEISENBERG]

MacOS Host OS.

Huomautus: Tällä hetkellä tämä opas ei tue (vielä) ARM M1 MacBooks -tietokoneita. Johtuen siitä, että Virtualbox ei vielä tue tätä arkkitehtuuria. Se voisi kuitenkin olla mahdollista, jos käytät kaupallisia työkaluja, kuten VMWarea tai Parallelsia, mutta niitä ei käsitellä tässä oppaassa.


Kuten aiemmin mainittiin, en suosittele käyttämään päivittäistä kannettavaa tietokonettasi hyvin arkaluontoisiin toimintoihin. Tai ainakaan en suosittele käyttämään paikallaan olevaa käyttöjärjestelmääsi näihin tarkoituksiin. Se voi johtaa ei-toivottuihin tietovuotoihin, joita voidaan käyttää nimettömyytesi poistamiseen. Jos sinulla on tätä varten oma kannettava tietokone, sinun kannattaa asentaa uudelleen tuore, puhdas käyttöjärjestelmä. Jos et halua pyyhkiä kannettavaa tietokonettasi ja aloittaa alusta, sinun kannattaa harkita Tails-reittiä tai toimia omalla vastuullasi.


Suosittelen myös, että teet alkuasennuksen täysin offline-tilassa tietovuodon välttämiseksi.


Älä koskaan kirjaudu sisään Apple-tililläsi kyseisellä Macilla.

Asennuksen aikana.

• Pysy offline-tilassa
• Poista käytöstä kaikki tietojen jakamista koskevat pyynnöt pyydettäessä, mukaan lukien sijaintipalvelut.
• Älä kirjaudu sisään Applella
• Älä ota Siriä käyttöön

MacOS:n koventaminen.

Kevyeksi johdannoksi uusille MacOS-käyttäjille kannattaa harkita seuraavaa

[Invidious]


Jos haluat nyt syventyä syvällisemmin MacOS:n suojaamiseen ja kovettamiseen, suosittelen lukemaan tämän GitHub-oppaan, jonka pitäisi kattaa monet asiat: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Tässä ovat perusaskeleet, jotka sinun tulisi tehdä offline-asennuksen jälkeen:

Ota Firmware-salasana käyttöön "disable-reset-capability"-vaihtoehdolla.

Ensin sinun tulisi asettaa firmware-salasana tämän Applen oppaan mukaisesti: https://support.apple.com/en-us/HT204455 [Archive.org]


Valitettavasti jotkin hyökkäykset ovat edelleen mahdollisia ja vastustaja voi poistaa tämän salasanan käytöstä, joten sinun tulisi myös noudattaa tätä opasta, jolla estät firmware-salasanan poistamisen käytöstä keneltä tahansa, myös Applelta: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].

Ota käyttöön lepotila lepotilan sijaan.

Tämäkin estää joitakin kylmäkäynnistys- ja evil-maid-hyökkäyksiä sammuttamalla RAM-muistin ja puhdistamalla salausavaimen, kun suljet kannen. Sinun pitäisi aina joko horrostaa tai sammuttaa. MacOS:ssä horrostoiminnolla on jopa erityinen vaihtoehto, joka tyhjentää salausavaimen nimenomaan muistista horrostettaessa (kun taas muissa käyttöjärjestelmissä joudut ehkä odottamaan, että muisti tyhjenee). Jälleen kerran asetuksissa ei ole helppoja vaihtoehtoja tämän tekemiseen, joten sen sijaan meidän on tehtävä tämä suorittamalla muutama komento horrostilan ottamiseksi käyttöön:

• Avaa pääte
• Suorita: sudo pmset -a destroyfvvkeyonstandby 1
  
  • Tämä komento käskee MacOS:ää tuhoamaan Filevault-avaimen valmiustilassa (lepotilassa).
• Suorita: sudo pmset -a hibernatemode 25
  
  • Tämä komento neuvoo MacOS:ää sammuttamaan muistin lepotilan aikana sen sijaan, että se tekisi hybridi-lepotilan, joka pitää muistin päällä. Se johtaa hitaampaan heräämiseen, mutta lisää akun käyttöikää.

Nyt kun suljet MacBookin kannen, sen pitäisi lepotilan sijasta vaipua horrokseen ja vähentää kylmäkäynnistysyrityksiä.


Lisäksi sinun kannattaa myös asettaa automaattinen lepotila (Asetukset > Energia), jotta MacBook lepotilaan automaattisesti, jos se jätetään ilman valvontaa.

Poista tarpeettomat palvelut käytöstä.

Poista käytöstä joitakin tarpeettomia asetuksia asetuksista:

• Poista Bluetooth käytöstä
• Poista kamera ja mikrofoni käytöstä
• Poista sijaintipalvelut käytöstä
• Poista Airdrop käytöstä
• Poista indeksointi käytöstä

Estä Applen OCSP-kutsut.

Nämä ovat MacOS Big Surin pahamaineisia "estämättömiä telemetriakutsuja", jotka paljastetaan täällä: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org] .


Voit estää OCSP-raportoinnin antamalla seuraavan komennon Terminalissa:

• sudo sh -c 'echo "127.0.0.0.1 ocsp.apple.com" >> /etc/hosts': sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Mutta sinun pitäisi luultavasti dokumentoida itse varsinainen ongelma ennen kuin toimit. Tämä sivu on hyvä aloituspaikka: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Se on oikeastaan sinusta kiinni. Minä estäisin sen, koska en halua minkäänlaista telemetriaa käyttöjärjestelmältäni emoalukselle ilman erillistä suostumustani. Ei mitään.

Ota käyttöön koko levyn salaus (Filevault).

Sinun pitäisi ottaa Macissa käyttöön koko levyn salaus Filevaultin avulla oppaan tämän osan mukaan: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org] .


Ole varovainen, kun otat sen käyttöön. Älä tallenna palautusavainta Appleen, jos sitä pyydetään (ei pitäisi olla ongelma, koska sinun pitäisi olla offline-tilassa tässä vaiheessa). Et tietenkään halua, että kolmas osapuoli saa palautusavaimesi.

MAC-osoitteen satunnaistaminen.

Valitettavasti MacOS ei tarjoa omaa kätevää tapaa satunnaistaa MAC-osoitetta, joten sinun on tehtävä tämä manuaalisesti. Tämä nollataan jokaisen uudelleenkäynnistyksen yhteydessä, ja sinun on tehtävä se joka kerta uudelleen varmistaaksesi, ettet käytä todellista MAC-osoitettasi, kun muodostat yhteyden eri Wi-Fi-verkoihin.


Voit tehdä sen antamalla terminaalissa seuraavat komennot (ilman sulkuja):

• (Kytke Wi-Fi-verkko pois päältä) networksetup -setairportpower en0 off.
• (Muuta MAC-osoite) sudo ifconfig en0 ether 88:63:11:11:11:11:11:11:11
• (Kytke Wi-Fi takaisin päälle) networksetup -setairportpower en0 on.

Turvallisen selaimen määrittäminen.

Katso lisäys G: Turvallinen selain isäntäkäyttöjärjestelmässä.

Windows-isäntäkäyttöjärjestelmä.

Kuten aiemmin mainittiin, en suosittele päivittäisen kannettavan tietokoneen käyttämistä hyvin arkaluonteisiin toimintoihin. Tai ainakaan en suosittele käyttämään paikallaan olevaa käyttöjärjestelmääsi näihin tarkoituksiin. Se voi johtaa ei-toivottuihin tietovuotoihin, joita voidaan käyttää nimettömyyden poistamiseen. Jos sinulla on tätä varten oma kannettava tietokone, sinun kannattaa asentaa uudelleen tuore, puhdas käyttöjärjestelmä. Jos et halua pyyhkiä kannettavaa tietokonettasi ja aloittaa alusta, sinun kannattaa harkita Tails-reittiä tai toimia omalla vastuullasi.


Suosittelen myös, että teet alkuasennuksen täysin offline-tilassa tietovuodon välttämiseksi.

Asennus.

Windows-asennus: Noudata liitettä A: Windows-asennus


Kevyenä johdantona kannattaa katsoa

[Invidious]

Ota MAC-osoitteen satunnaistaminen käyttöön.

Sinun tulisi satunnaistaa MAC-osoite, kuten aiemmin tässä oppaassa on selitetty:


Mene kohtaan Asetukset > Verkko ja Internet > Wi-Fi > Ota käyttöön satunnaiset laiteosoitteet.


Vaihtoehtoisesti voit käyttää tätä ilmaista ohjelmistoa: https://technitium.com/tmac/ [Archive.org].

Turvallisen selaimen määrittäminen.

Katso liite G: Turvallinen selain isäntäkäyttöjärjestelmässä.

Ota käyttöön joitakin muita yksityisyysasetuksia isäntäkäyttöjärjestelmässäsi.

Katso liite B: Windowsin yksityisyyden suojaa koskevat lisäasetukset

Windows-isäntäkäyttöjärjestelmän salaus.

Jos aiot käyttää koko järjestelmän laajuista uskottavaa kieltämistä.

Veracrypt on ohjelmisto, jota suosittelen koko levyn salaukseen, tiedostojen salaukseen ja uskottavaan kieltämiseen. Se on haarautunut versio tunnetusta, mutta vanhentuneesta ja ylläpitämättömästä TrueCryptistä. Sitä voidaan käyttää

• Täyden levyn yksinkertaiseen salaukseen (kiintolevysi salataan yhdellä salasanalla).
• Koko levyn salaus uskottavalla kieltämisellä (tämä tarkoittaa, että käynnistyksen yhteydessä syötetystä salasanasta riippuen käynnistät joko harhautetun käyttöjärjestelmän tai piilotetun käyttöjärjestelmän).
• Tiedostosäiliön yksinkertainen salaus (kyseessä on suuri tiedosto, jonka voit liittää Veracryptissä ikään kuin se olisi ulkoinen asema, johon voit tallentaa salattuja tiedostoja).
• File container with plausible deniability (se on sama suuri tiedosto, mutta riippuen salasanasta, jota käytät sitä kiinnittäessäsi, kiinnität joko "piilotetun aseman" tai "harhautetun aseman").

Se on tietääkseni ainoa ilmainen, avoimen lähdekoodin ja avoimesti tarkastettu salausohjelmisto, joka tarjoaa myös uskottavan salattavuuden yleiseen käyttöön, ja se toimii Windows Home Editionin kanssa.


Lataa ja asenna Veracrypt osoitteesta: https://www.veracrypt.fr/en/Downloads.html [Archive.org].


Asennuksen jälkeen tutustu hetki seuraaviin vaihtoehtoihin, jotka auttavat lieventämään joitakin hyökkäyksiä:

• Salaa muisti Veracrypt-vaihtoehdolla (asetukset > suorituskyky/ajurivaihtoehdot > salaa RAM-muisti), mikä maksaa 5-15 % suorituskyvystä. Tämä asetus poistaa myös lepotilan käytöstä (joka ei tyhjennä aktiivisesti avainta lepotilan aikana) ja salaa sen sijaan muistin kokonaan joidenkin kylmäkäynnistyshyökkäysten lieventämiseksi.
• Ota käyttöön Veracrypt-vaihtoehto, joka pyyhkii avaimet muistista, jos uusi laite asetetaan paikalleen (järjestelmä > asetukset > turvallisuus > tyhjennä avaimet muistista, jos uusi laite asetetaan paikalleen). Tämä voi auttaa, jos järjestelmä kaapataan, kun se on vielä päällä (mutta lukittu).
• Ota käyttöön Veracrypt-vaihtoehto, jonka avulla niteet voidaan liittää siirrettävinä niteinä (Asetukset > Asetukset > Asetukset > Liitä nide siirrettävänä mediana). Tämä estää Windowsia kirjoittamasta joitain lokitietoja kiinnityksistäsi tapahtumalokeihin ja estää joitain paikallisia tietovuotoja.
• Ole varovainen ja ole hyvä tilannetietoinen, jos aistit jotain outoa. Sammuta kannettava tietokone mahdollisimman nopeasti.
• Vaikka Veracryptin uudemmat versiot tukevat Secure Bootia, suosittelen sen poistamista BIOSista, koska pidän Veracrypt Anti-Evil Maid -järjestelmää Secure Bootin sijaan.

Jos et halua käyttää salattua muistia (koska suorituskyky voi olla ongelma), sinun pitäisi ainakin ottaa käyttöön lepotila lepotilan sijaan. Tämä ei poista avaimia muistista (olet edelleen altis cold boot -hyökkäyksille), mutta ainakin lieventää niitä jonkin verran, jos muistisi ehtii hajota.


Lisätietoja myöhemmin kohdissa Reitti A ja B: Yksinkertainen salaus Veracryptin avulla (Windows-opas).

Jos et aio käyttää koko järjestelmän laajuista uskottavaa kieltämistä.

Tässä tapauksessa suosittelen BitLockerin käyttöä Veracryptin sijasta koko levyn salaukseen. Perusteluna on se, että BitLocker ei tarjoa uskottavaa kieltämismahdollisuutta toisin kuin Veracrypt. Kovalla vastustajalla ei ole silloin mitään kannustinta jatkaa "tehostettua" kuulustelua, jos paljastat salasanan.


Normaalisti sinun pitäisi tässä tapauksessa olla asentanut Windows Pro, ja BitLockerin asennus on melko suoraviivaista.


Periaatteessa voit seurata ohjeita täältä: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org].


Mutta tässä ovat vaiheet:

• Napsauta Windows-valikkoa
• Kirjoita "Bitlocker"
• Napsauta "Manage Bitlocker"
• Napsauta "Ota Bitlocker käyttöön" järjestelmäasemalla.
• Seuraa ohjeita
  
  • Älä tallenna palautusavainta Microsoft-tilille, jos sitä pyydetään.
  • Tallenna palautusavain vain ulkoiselle salatulle asemalle. Voit ohittaa tämän tulostamalla palautusavaimen Microsoft Print to PDF -tulostimella ja tallentamalla avaimen Documents-kansioon.
  • Salaa koko asema (älä salaa vain käytettyä levytilaa).
  • Käytä "uutta salaustilaa"
  • Suorita BitLocker-tarkistus
  • Käynnistä uudelleen
• Salaus pitäisi nyt käynnistyä taustalla (voit tarkistaa sen napsauttamalla Bitlocker-kuvaketta tehtäväpalkin oikeassa alakulmassa).

Ota lepotila käyttöön (valinnainen).

Jälleen, kuten aiemmin selitettiin. Lepotila-ominaisuutta ei koskaan kannata käyttää joidenkin kylmäkäynnistys- ja evil-maid-hyökkäysten lieventämiseksi. Sen sijaan sinun pitäisi sammuttaa tai horrostaa. Kannettavan tietokoneen tulisi siis vaihtaa lepotilasta horrostilaan, kun suljet kannen tai kun kannettava tietokone menee lepotilaan.


(Huomaa, että et voi ottaa horrostilaa käyttöön, jos olet aiemmin ottanut RAM-salauksen käyttöön Veracryptissä).


Syynä on se, että lepotila todella sammuttaa kannettavan tietokoneen kokonaan ja puhdistaa muistin. Lepotila taas jättää muistin päälle (mukaan lukien salausavaimesi) ja saattaa jättää kannettavan tietokoneen alttiiksi kylmäkäynnistyshyökkäyksille.


Oletusarvoisesti Windows 10 ei ehkä tarjoa tätä mahdollisuutta, joten sinun kannattaa ottaa se käyttöön noudattamalla tätä Microsoftin ohjetta: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org].

• Avaa järjestelmänvalvojan komentorivi (napsauta hiiren oikealla komentoriviä ja valitse "Suorita järjestelmänvalvojana").
• Suorita: powercfg.exe /hibernate on
• Suorita nyt lisäkomento: **powercfg /h /type full**
  
  • Tämä komento varmistaa, että horrostila on täynnä ja puhdistaa muistin kokonaan (ei varmasti tho).

Tämän jälkeen sinun pitäisi mennä virta-asetuksiin:

• Avaa ohjauspaneeli
• Avaa Järjestelmä ja turvallisuus
• Avaa Virta-asetukset
• Avaa "Valitse mitä virtapainike tekee"
• Vaihda kaikki lepotilasta horrostilaan tai sammuttamiseen.
• Palaa takaisin Virta-asetuksiin
• Valitse Change Plan Settings (Muuta suunnitelman asetuksia)
• Valitse Advanced Power Settings (Lisäasetukset)
• Muuta jokaisen virransäästösuunnitelman kaikki lepotila-arvot arvoon 0 (ei koskaan).
• Varmista, että Hybridilepotila on Pois päältä jokaisessa Power Planissa.
• Ota lepotila käyttöön haluamasi ajan kuluttua.
• Poista kaikki herätysajastimet käytöstä

Päätä, mitä alareittiä käytät.

Nyt sinun on valittava seuraava vaihe kahden vaihtoehdon välillä:

• Reitti A: Yksinkertainen nykyisen käyttöjärjestelmän salaus
  
  • Edut:
    
    • Ei vaadi kannettavan tietokoneen pyyhkimistä
    • Ei aiheuta paikallisia tietovuotoja
    • Toimii hyvin SSD-aseman kanssa
    • Toimii minkä tahansa käyttöjärjestelmän kanssa
    • Yksinkertainen
  • Miinukset:
    
    • Vastustaja voi pakottaa sinut paljastamaan salasanasi ja kaikki salaisuutesi, eikä sinulla ole mitään uskottavaa kiistettävyyttä.
    • Verkkotietovuodon vaara
• Reitti B: Nykyisen käyttöjärjestelmäsi yksinkertainen salaus, jonka jälkeen tiedostojen salattavuus on mahdollista kieltää:
  
  • Edut:
    
    • Ei vaadi kannettavan tietokoneen pyyhkimistä.
    • Toimii hyvin SSD-aseman kanssa
    • Toimii minkä tahansa käyttöjärjestelmän kanssa
    • Todennäköinen kiistettävyys mahdollista "pehmeiden" vastustajien kanssa.
  • Miinukset:
    
    • Verkkotietovuodon vaara
    • Paikallisten tietovuotojen vaara (mikä lisää työtä näiden vuotojen siivoamiseksi).
• Reitti C: Todennäköinen kiistettävyys Käyttöjärjestelmän salaus (kannettavassa tietokoneessa on piilotettu käyttöjärjestelmä ja harhautettu käyttöjärjestelmä):
  
  • Plussat:
    
    • Ei ongelmia paikallisten tietovuotojen kanssa
    • Todennäköinen kieltäminen on mahdollista "pehmeiden" vastustajien kanssa.
  • Miinukset:
    
    • Vaatii Windowsin (tätä ominaisuutta ei tueta "helposti" Linuxissa).
    • Verkkotietovuodon vaara
    • Vaatii kannettavan tietokoneen täydellisen pyyhkimisen
    • Ei voi käyttää SSD-aseman kanssa, koska Trim Operations on poistettava käytöstä. Tämä heikentää SSD-aseman suorituskykyä/terveyttä vakavasti ajan myötä.

Kuten näet, Route C tarjoaa vain kaksi yksityisyysetua muihin verrattuna, ja siitä on hyötyä vain pehmeää, laillista vastustajaa vastaan. Muista https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Päätös siitä, kumman reitin valitset, on sinusta itsestäsi kiinni. Reitti A on minimi.


Varmista aina, että tarkistat Veracryptin uudet versiot usein, jotta voit varmistaa, että hyödyt uusimmista korjauksista. Tarkista tämä erityisesti ennen kuin käytät suuria Windows-päivityksiä, jotka saattavat rikkoa Veracryptin käynnistyslataajan ja lähettää sinut käynnistyssilmukkaan.


HUOMAA, ETTÄ VERACRYPT EDELLYTTÄÄ JÄRJESTELMÄSALASANAN AINA QWERTY-merkinnällä (näytä salasana testinä). Tämä voi aiheuttaa ongelmia, jos käynnistyksen syöttö tapahtuu kannettavan tietokoneen näppäimistöllä (esimerkiksi AZERTY), koska salasanasi on asetettu QWERTY-kirjaimella ja syötät sen käynnistyksen aikana AZERTY-kirjaimella. Varmista siis testikäynnistyksen yhteydessä, mitä näppäimistöasettelua BIOS käyttää. Kirjautuminen voi epäonnistua vain QWERTY/AZERTY -näppäimistön sekaannuksen vuoksi. Jos BIOS käynnistyy AZERTY-näppäimistöllä, sinun on kirjoitettava salasana QWERTY-kirjaimella Veracryptissä.

Reitti A ja B: Yksinkertainen salaus Veracryptin avulla (Windows-opas).

Jätä tämä vaihe väliin, jos olet käyttänyt BitLockeria aiemmin.


Tätä menetelmää varten sinulla ei tarvitse olla kiintolevyä, eikä sinun tarvitse poistaa Trim-toimintoa käytöstä tällä reitillä. Trim-vuodoista on hyötyä vain rikostutkijoille piilotetun tietueen havaitsemisessa, mutta niistä ei ole paljon hyötyä muuten.


Tämä reitti on melko suoraviivainen, ja se vain salaa nykyisen käyttöjärjestelmäsi paikallaan menettämättä mitään tietoja. Muista lukea kaikki Veracryptin näyttämät tekstit, jotta ymmärrät täysin, mistä on kyse.

• Käynnistä VeraCrypt
• Siirry Asetuksiin:
  
  • Asetukset > Suorituskyky/ajurivaihtoehdot > Salaa RAM-muisti.
  • Järjestelmä > Asetukset > Suojaus > Tyhjennä avaimet muistista, jos uusi laite asetetaan paikalleen.
  • Järjestelmä > Asetukset > Windows > Ota suojattu työpöytä käyttöön
• Valitse Järjestelmä
• Valitse Salaa järjestelmäosio/asema
• Valitse Normaali (yksinkertainen)
• Valitse Single-Boot (Yksittäiskäynnistys)
• Valitse salausalgoritmiksi AES (napsauta testipainiketta, jos haluat vertailla nopeuksia).
• Valitse SHA-512 hash-algoritmiksi (koska miksipä ei).
• Anna vahva salasana (mitä pidempi, sitä parempi, muista liite A2: Ohjeet salasanoja ja salasanoja varten).
• Kerää hieman entropiaa liikuttelemalla kursoria satunnaisesti, kunnes palkki on täynnä.
• Napsauta Seuraava, kun avautuu Generated Keys -näyttö
• Pelastatko levyn vai et, se on sinusta kiinni. Suosittelen sellaisen tekemistä (kaiken varalta), mutta varmista, että säilytät sen salatun aseman ulkopuolella (esimerkiksi USB-levyllä, tai odota ja katso tämän oppaan lopusta ohjeita turvallisista varmuuskopioista). Tämä pelastuslevy ei tallenna salasanaa, ja tarvitset sitä silti käyttääksesi sitä.
• Pyyhi tila:
  
  • Jos kannettavassa tietokoneessa ei ole vielä arkaluonteisia tietoja, valitse Ei mitään.
  • Jos sinulla on arkaluonteisia tietoja SSD-levyllä, Trim yksinään pitäisi hoitaa ne, mutta suosittelen varmuuden vuoksi 1 läpikäyntiä (satunnaiset tiedot).
  • Jos sinulla on arkaluonteisia tietoja kiintolevyllä, Trim ei ole käytössä, ja suosittelen vähintään 1 läpikäyntiä.
• Testaa asetuksesi. Veracrypt käynnistää nyt järjestelmän uudelleen testatakseen käynnistyslataajan ennen salausta. Tämän testin on läpäistävä, jotta salaus voi edetä.
• Kun tietokoneesi on käynnistetty uudelleen ja testi on läpäisty. Veracrypt pyytää sinua aloittamaan salausprosessin.
• Käynnistä salaus ja odota, että se on valmis.
• Olet valmis, ohita reitti B ja siirry seuraaviin vaiheisiin.

Tulee toinen osio salattujen tiedostosäiliöiden luomisesta Plausible Deniabilityn avulla Windowsissa.

Reitti B: Plausible Deniability -salaus piilotetulla käyttöjärjestelmällä (vain Windows)

Tämä on tuettu vain Windowsissa.


Tätä suositellaan vain kiintolevyasemassa. Tätä ei suositella SSD-asemalla.


Piilotettua käyttöjärjestelmääsi ei saa aktivoida (MS:n tuoteavaimella). Siksi tämä reitti suosittelee ja opastaa sinua täysin puhtaaseen asennukseen, joka pyyhkii kaiken kannettavassa tietokoneessasi.


Lue Veracryptin dokumentaatio https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Hidden Operating System -osan luomisprosessi) ja https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] ( Piilotettuja tietovälineitä koskevat turvallisuusvaatimukset ja varotoimet).


Järjestelmäsi näyttää tältä prosessin jälkeen:

(Kuva Veracryptin dokumentaatiosta, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]).


Kuten näet, tämä prosessi edellyttää, että kiintolevylläsi on alusta alkaen kaksi osiota.


Tämä prosessi tekee seuraavaa:

• Salaa toisen osiosi (ulompi tilavuus), joka näyttää tyhjältä alustamattomalta levykkeeltä harhautuskäyttöjärjestelmästä.
• Kehottaa sinua kopioimaan jonkin verran houkutusaineiston sisältöä ulomman osion sisälle.
  
  • Tässä vaiheessa kopioit valheellisen Anime/Pornokokoelmasi ulkoiselta kiintolevyltä ulkoiselle asemalle.
• Luo piilotettu tilavuus kyseisen toisen osion ulomman tilavuuden sisälle. Tähän piilotettu käyttöjärjestelmä sijoitetaan.
• Kloonaa tällä hetkellä käynnissä oleva Windows 10 -asennus piilotetulle asemalle.
• Pyyhi nykyisin käytössä oleva Windows 10.
• Tämä tarkoittaa, että nykyisestä Windows 10:stä tulee piilotettu Windows 10 ja että sinun on asennettava uusi houkutus-Windows 10 -käyttöjärjestelmä uudelleen.

Pakollinen, jos sinulla on SSD-asema ja haluat silti tehdä tämän suosituksen vastaisesti: Kuten aiemmin mainittiin, SSD-aseman käyttöiän lyhenee, kun se poistetaan käytöstä, ja se vaikuttaa merkittävästi sen suorituskykyyn ajan mittaan (kannettava tietokone muuttuu hitaammaksi ja hitaammaksi useiden kuukausien käytön aikana, kunnes se on lähes käyttökelvoton, jolloin sinun on puhdistettava asema ja asennettava kaikki uudelleen). Sinun on kuitenkin tehtävä se, jotta vältät tietovuodot , joiden avulla rikostutkijat voivat tuhota uskottavan kiistettävyytesi. Tällä hetkellä ainoa keino kiertää tämä on hankkia kannettava tietokone, jossa on sen sijaan klassinen kiintolevyasema.

 

[HEISENBERG]

Vaihe 1: Luo Windows 10:n asennuksen USB-avain.

Katso liite C: Windows-asennusmedian luominen ja valitse USB-avaimen reitti.

Vaihe 2: Käynnistä USB-levy ja käynnistä Windows 10 -asennusprosessi (piilotettu käyttöjärjestelmä).

• Aseta USB-tikku kannettavaan tietokoneeseen
• Katso liite A: Windowsin asennus ja jatka Windows 10 Home -ohjelman asentamista.

Vaihe 3: Tietosuoja-asetukset (Hidden OS)

Katso liite B: Windowsin yksityisyyden suoja-asetusten lisäasetukset

Vaihe 4: Veracryptin asennus ja salausprosessin käynnistäminen (Hidden OS).

Muista lukea https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org].


Älä yhdistä tätä käyttöjärjestelmää tunnettuun Wi-Fi-yhteyteen. Lataa Veracrypt-asennusohjelma toisesta tietokoneesta ja kopioi asennusohjelma tänne USB-muistitikulla.

• Asenna Veracrypt
• Käynnistä Veracrypt
• Siirry kohtaan Asetukset:
  
  • Asetukset > Suorituskyky/ajurivaihtoehdot > Salaa RAM-muisti(huomaa, että tämä vaihtoehto ei ole yhteensopiva kannettavan tietokoneen lepotilan kanssa, joten sinun on sammutettava se kokonaan).
  • Järjestelmä > Asetukset > Suojaus > Tyhjennä avaimet muistista, jos uusi laite asetetaan paikalleen.
  • Järjestelmä > Asetukset > Windows > Ota suojattu työpöytä käyttöön
• Siirry kohtaan Järjestelmä ja valitse Luo piilotettu käyttöjärjestelmä.
• Lue kaikki kehotteet huolellisesti
• Valitse Single-Boot, jos pyydetään
• Luo Outer Volume käyttäen AES:ää ja SHA-512:ta.
• Käytä kaikki toisessa osiossa käytettävissä oleva tila Outer Volumea varten.
• Käytä vahvaa salasanaa (muista liite A2: Salasanoja ja salasanoja koskevat ohjeet).
• Valitse Kyllä suurille tiedostoille
• Luo hieman entropiaa liikuttamalla hiirtä, kunnes palkki on täynnä, ja valitse NTFS (älä valitse exFAT:ia, koska haluamme tämän ulomman osion näyttävän "normaalilta" ja NTFS on normaali).
• Muotoile ulompi osa
• Avaa Outer Volume:
  
  • Tässä vaiheessa sinun pitäisi kopioida houkutusdataa ulkoiselle asemalle. Sinulla pitäisi siis olla joitain arkaluonteisia mutta ei niin arkaluonteisia tiedostoja/kansioita, jotka voit kopioida sinne. Jos sinun täytyy paljastaa salasana tähän Volumeen. Tämä on hyvä paikka Anime/Mp3/Movies/Pornokokoelmalle.
  • Suosittelen, ettet täytä ulompaa tilavuutta liikaa tai liian vähän (noin 40 %). Muista, että sinun on jätettävä tarpeeksi tilaa Piilotetulle käyttöjärjestelmälle (joka on samankokoinen kuin ensimmäinen osio, jonka loit asennuksen aikana).
• Käytä vahvaa salasanaa Piilotetulle kovalevylle (luonnollisesti eri salasana kuin Ulkoiselle kovalevylle).
• Nyt luot piilotetun tietueen, valitse AES ja SHA-512.
• Täytä entropiapalkki loppuun asti satunnaisilla hiiren liikkeillä
• Muotoile piilotettu tilavuus
• Jatka kloonausta
• Veracrypt käynnistää nyt uudelleen ja kloonaa Windowsin, josta aloitit tämän prosessin Hidden Volumeen. Tästä Windowsista tulee piilotettu käyttöjärjestelmäsi.
• Kun kloonaus on valmis, Veracrypt käynnistyy uudelleen piilotetussa järjestelmässä.
• Veracrypt ilmoittaa sinulle, että Piilotettu järjestelmä on nyt asennettu, ja pyytää sinua sitten pyyhkimään Alkuperäisen käyttöjärjestelmän (jonka asensit aiemmin USB-avaimella).
• Käytä 1-Pass Wipe -ohjelmaa ja jatka.
• Nyt piilotettu käyttöjärjestelmä on asennettu, siirry seuraavaan vaiheeseen.

Vaihe 5: Käynnistä USB-avain uudelleen ja käynnistä se ja aloita Windows 10:n asennusprosessi uudelleen (Decoy OS).

Nyt kun Hidden OS on asennettu kokonaan, sinun on asennettava Decoy OS.

• Aseta USB-tikku kannettavaan tietokoneeseen
• Katso liite A: Windowsin asennus ja jatka Windows 10 Home -version asentamista uudelleen (älä asenna eri versiota, vaan pysy Home-versiossa).

Vaihe 6: Tietosuoja-asetukset (Decoy OS)

Katso liite B: Windowsin yksityisyyden suojaa koskevat lisäasetukset

Vaihe 7: Veracryptin asennus ja salausprosessin käynnistäminen (Decoy OS)

Nyt salataan Decoy OS:

• Asenna Veracrypt
• Käynnistä VeraCrypt
• Valitse järjestelmä
• Valitse Encrypt System Partition/Drive
• Valitse Normal (Yksinkertainen)
• Valitse Single-Boot
• Valitse salausalgoritmiksi AES (napsauta testipainiketta, jos haluat vertailla nopeuksia).
• Valitse SHA-512 hash-algoritmiksi (koska miksipä ei).
• Anna lyhyt heikko salasana (kyllä, tämä on vakavaa, tee se, se selitetään myöhemmin).
• Kerää hieman entropiaa liikuttelemalla kursoria satunnaisesti, kunnes palkki on täynnä.
• Napsauta Seuraava, kun avautuu Generated Keys -näyttö
• Pelastaa levy tai ei pelasta levyä, no se on sinusta kiinni. Suosittelen sellaisen tekemistä (kaiken varalta), mutta varmista, että säilytät sen salatun aseman ulkopuolella (esimerkiksi USB-levyllä, tai odota ja katso tämän oppaan lopusta ohjeita turvallisista varmuuskopioista). Tämä pelastuslevy ei tallenna salasanaa, ja tarvitset sitä silti käyttääksesi sitä.
• Pyyhi tila: Valitse varmuuden vuoksi 1-Pass
• Testaa asetuksesi etukäteen. Veracrypt käynnistää nyt järjestelmän uudelleen testatakseen käynnistyslataajan ennen salausta. Tämän testin on läpäistävä, jotta salaus voi edetä.
• Kun tietokoneesi on käynnistetty uudelleen ja testi on läpäisty. Veracrypt pyytää sinua aloittamaan salausprosessin.
• Käynnistä salaus ja odota, että se on valmis.
• Decoy-käyttöjärjestelmäsi on nyt käyttövalmis.

Vaihe 8: Testaa asetuksesi (käynnistys molemmissa)

On aika testata asennusta.

• Käynnistä uudelleen ja syötä Hidden OS -salasana, sinun pitäisi käynnistyä Hidden OS:ssä.
• Käynnistä uudelleen ja syötä Decoy OS -salasana, sinun pitäisi käynnistyä Decoy OS:ssä.
• Käynnistä Veracrypt Decoy OS:ssä ja kiinnitä toinen osio käyttämällä Outer Volume Passphrase -lauseketta (kiinnitä se vain lukuoikeuksin, menemällä Mount Options -valintaruutuun ja valitsemalla Read-Only), ja sen pitäisi kiinnittää toinen osio vain lukuoikeuksin ja näyttää houkutusaineistosi (Anime/Pornokokoelmasi). Asennat sen nyt vain lukuoikeuksin, koska jos kirjoittaisit siihen tietoja, voisit ohittaa piilotetun käyttöjärjestelmäsi sisällön.

Vaihe 9: Houkutteludatan muuttaminen turvallisesti Outer Volume -levylläsi

Ennen kuin siirryt seuraavaan vaiheeseen, sinun pitäisi oppia tapa asentaa Outer Volume -levy turvallisesti, jotta voit kirjoittaa siihen sisältöä. Tämä selitetään myös tässä virallisessa Veracrypt-asiakirjassa https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org].


Sinun tulisi tehdä tämä turvallisesta luotetusta paikasta.


Periaatteessa aiot liittää Outer Volume -tallennustilasi ja antaa samalla Hidden Volume -salasanan Mount Options -asetuksissa suojellaksesi Hidden Volume -tallennustilaa ylikirjoittamiselta. Veracrypt sallii sinun kirjoittaa tietoja ulkoiseen tietueeseen ilman, että vaarannat piilotetun tietueen tietojen ylikirjoittamisen.


Tämä toiminto ei varsinaisesti kiinnitä piilotettua tietuetta, ja sen pitäisi estää sellaisten rikosteknisten todisteiden luominen, jotka voisivat johtaa piilotetun käyttöjärjestelmän löytämiseen. Kun suoritat tämän toiminnon, molemmat salasanat tallennetaan kuitenkin RAM-muistiin, joten voit silti olla altis Cold-Boot-hyökkäykselle. Tämän lieventämiseksi varmista, että sinulla on mahdollisuus salata myös RAM-muisti.

• Avaa Veracrypt
• Valitse toinen osio
• Napsauta Mount
• Napsauta Mount Options
• Valitse "Suojaa piilotettu tilavuus...". Vaihtoehto
• Syötä piilotetun käyttöjärjestelmän salasana
• Napsauta OK
• Syötä Outer Volume -salasana
• Napsauta OK
• Sinun pitäisi nyt pystyä avaamaan ja kirjoittamaan Outer Volume -levyllesi ja muuttamaan sen sisältöä (kopioida/siirtää/poistaa/editoida...).

Vaihe 10: Jätä joitakin rikosteknisiä todisteita ulommasta tilestäsi (harhautusdatan kanssa) harhautuskäyttöjärjestelmään.

Meidän on tehtävä houkutuskäyttöjärjestelmästä mahdollisimman uskottava. Haluamme myös, että vastustajasi luulee, ettet ole kovin fiksu.


Siksi on tärkeää, että jätät vapaaehtoisesti jonkin verran rikosteknisiä todisteita houkutusaineistostasi houkutuskäyttöjärjestelmään. Näiden todisteiden avulla rikostutkijat näkevät, että olet asentanut ulkoisen kovalevyn usein, jotta voit käyttää sen sisältöä.


Tässä on hyviä vinkkejä rikosteknisten todisteiden jättämiseen:

• Toista Outer Volume -levyn sisältöä Decoy-käyttöjärjestelmästäsi (esimerkiksi VLC:n avulla). Muista pitää niistä historiatiedot.
• Muokkaa asiakirjoja ja työskentele niissä.
• Ota tiedostojen indeksointi uudelleen käyttöön Decoy OS:ssä ja sisällytä mountattu Outer Volume.
• Irrota se ja kiinnitä se usein katsellaksesi jotain sisältöä.
• Kopioi jotain sisältöä Outer Volume -tietueesta Decoy OS -käyttöjärjestelmään ja poista se sitten turvattomasti (laita se vain roskakoriin).
• Asenna Torrent-asiakasohjelma Decoy OS -käyttöjärjestelmään ja käytä sitä aika ajoin ladataksesi samankaltaista tavaraa, jonka jätät Decoy OS -käyttöjärjestelmään.
• Sinulla voisi olla Decoy OS:ään asennettuna VPN-asiakas, jonka VPN:n tunnet (ei-käteisellä maksettu).

Älä laita mitään epäilyttävää Decoy OS:lle, kuten esim:

• Tämä opas
• Kaikki linkit tähän oppaaseen
• Mitään epäilyttäviä anonymiteettiohjelmistoja, kuten Tor Browser -selainta

Huomautuksia.

Muista, että tarvitset päteviä tekosyitä, jotta tämä uskottava kiistämisskenaario toimisi:


Ota aikaa lukea uudelleen Veracryptin dokumentaation "Possible Explanations for Existence of Two Veracrypt Partitions on Single Drive" täältä https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org].

• Käytät Veracryptiä, koska käytät Windows 10 Home -käyttöjärjestelmää, jossa ei ole Bitlockeria, mutta halusit silti yksityisyyden suojaa.
• Sinulla on kaksi osiota, koska halusit erottaa Järjestelmän ja Tiedot toisistaan helpomman organisoinnin vuoksi ja koska joku nörttiystävä kertoi, että tämä on parempi suorituskyvyn kannalta.
• Olet käyttänyt heikkoa salasanaa helppoa ja kätevää käynnistystä varten Järjestelmässä ja vahvaa pitkää salasanaa Ulkoisessa osassa, koska olit liian laiska kirjoittamaan vahvaa salasanaa jokaisen käynnistyksen yhteydessä.
• Salasit toisen osion eri salasanalla kuin Järjestelmän, koska et halua kenenkään lähipiiristäsi näkevän tavaroitasi. Etkä siis halunnut, että tiedot ovat kenenkään saatavilla.

Ole varovainen:

• Sinun ei pitäisi koskaan mountata piilotettua kovalevyä houkutuskäyttöjärjestelmästä (NEVER EVER). Jos teet näin, se luo rikosteknisiä todisteita piilotetusta kovalevystä houkutuskäyttöjärjestelmässä, mikä voi vaarantaa yrityksesi kiistää uskottavuus. Jos teit tämän kuitenkin (tahallisesti tai vahingossa) houkutuskäyttöjärjestelmästä, on olemassa keinoja poistaa rikostekniset todisteet, jotka selitetään myöhemmin tämän oppaan lopussa.
• Älä koskaan käytä Decoy OS -käyttöjärjestelmää samasta verkosta (julkisesta Wi-Fi-verkosta) kuin Hidden OS -käyttöjärjestelmää.
• Kun mounttaat Outer Volume -levyn Decoy OS:stä, älä kirjoita mitään tietoja Outer Volume -levylle, koska se voi ohittaa tyhjältä näyttävän tilan, mutta on itse asiassa Hidden OS. Sinun tulisi aina asentaa se vain lukuoikeuksin.
• Jos haluat muuttaa Outer Volume -levyn Decoy-sisältöä, käytä Live OS -USB-avainta, jolla Veracrypt toimii.
• Huomaa, että et käytä Piilotettua käyttöjärjestelmää arkaluontoisten toimintojen suorittamiseen, vaan se tehdään myöhemmin VM:llä Piilotetun käyttöjärjestelmän sisällä. Piilotettu käyttöjärjestelmä on tarkoitettu vain suojaamaan sinua pehmeältä vastustajalta, joka voisi päästä käsiksi kannettavaan tietokoneeseesi ja pakottaa sinut paljastamaan salasanasi.
• Ole varovainen kannettavan tietokoneen peukaloinnin suhteen. Evil-Maid-hyökkäykset voivat paljastaa piilotetun käyttöjärjestelmäsi.

 

[HEISENBERG]

Virtualbox isäntäkäyttöjärjestelmässäsi.

Muista liite W: Virtualisointi.


Tämä vaihe ja seuraavat vaiheet on tehtävä Host-käyttöjärjestelmästä käsin. Tämä voi olla joko isäntäkäyttöjärjestelmäsi yksinkertaisella salauksella (Windows/Linux/MacOS) tai piilotettu käyttöjärjestelmäsi uskottavalla kieltämisellä (vain Windows).


Tällä reitillä käytämme laajasti ilmaista Oracle Virtualbox -ohjelmistoa. Kyseessä on virtualisointiohjelmisto, jolla voit luoda virtuaalikoneita, jotka emuloivat tiettyä käyttöjärjestelmää käyttävää tietokonetta (jos haluat käyttää jotain muuta, kuten Xeniä, Qemua, KVM:ää tai VMWAREa, voit tehdä niin vapaasti, mutta tämä osa oppaasta kattaa vain Virtualboxin).


Kannattaa siis olla tietoinen siitä, että Virtualbox ei ole virtualisointiohjelmisto, jolla on parhaat mahdolliset kokemukset tietoturvan suhteen, ja joitakin raportoituja ongelmia ei ole vielä tähän päivään mennessä täysin korjattu, ja jos käytät Linuxia, jossa on hieman enemmän teknisiä taitoja, sinun kannattaa harkita sen sijaan KVM:n käyttämistä noudattamalla Whonixissa saatavilla olevaa opasta täällä https://www.whonix.org/wiki/KVM [Archive.org] ja täällä https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


Joitakin vaiheita tulisi ottaa kaikissa tapauksissa:


Kaikki arkaluonteiset toiminnot tehdään vieraana olevassa virtuaalikoneessa, jossa on Windows 10 Pro (ei Home tällä kertaa), Linux tai MacOS.


Tällä on muutamia etuja, jotka auttavat sinua pysymään anonyyminä:

• Sen pitäisi estää vieras-VM-käyttöjärjestelmää (Windows/Linux/MacOS), sovelluksia ja VM:ssä olevaa telemetriaa pääsemästä suoraan laitteistoosi. Vaikka VM:n vaarantaisi haittaohjelma, haittaohjelman ei pitäisi päästä VM:ään ja vaarantaa varsinaista kannettavaa tietokonettasi.
• Sen avulla voimme pakottaa kaiken verkkoliikenteen asiakas-VM:stäsi kulkemaan toisen Gateway-VM:n kautta, joka ohjaa (torifioi) kaiken liikenteen Tor-verkkoon. Tämä on verkon "tappokytkin". VM:si menettää verkkoyhteytensä kokonaan ja menee offline-tilaan, jos toinen VM menettää yhteyden Tor-verkkoon.
• Itse VM, jolla on internet-yhteys vain Tor-verkon yhdyskäytävän kautta, muodostaa yhteyden rahana maksettavaan VPN-palveluun Torin kautta.
• DNS-vuodot ovat mahdottomia, koska VM on eristetyssä verkossa, jonka on kuljettava Torin kautta kaikesta huolimatta.

 

[HEISENBERG]

Valitse liitettävyysmenetelmäsi.

Tällä reitillä on 7 vaihtoehtoa:

• Suositeltava ja suositeltava:
  
  • (Käyttäjä > Tor > Internet).
  • Käytä VPN:ää Torin yli (Käyttäjä > Tor > VPN > Internet) tietyissä tapauksissa.
• Mahdollista, jos asiayhteys sitä vaatii:
  
  • Käytä VPN:ää Torin kautta VPN:n kautta (Käyttäjä > VPN > Tor > VPN > Internet).
  • Käytä Toria VPN:n yli (Käyttäjä > VPN > Tor > Internet).
• Ei suositella ja riskialtista:
  
  • Käytä pelkkää VPN:ää (Käyttäjä > VPN > Internet).
  • Käytä VPN:ää VPN:n yli (Käyttäjä > VPN > VPN > Internet).
• Ei suositella ja erittäin riskialtis (mutta mahdollinen).
  
  • Ei VPN:ää eikä Toria (Käyttäjä > Internet)

Vain Tor.

Tämä on suositeltavin ja suositeltavin ratkaisu.

Tässä ratkaisussa kaikki verkkosi kulkee Torin kautta, ja sen pitäisi riittää takaamaan anonymiteettisi useimmissa tapauksissa.


On kuitenkin yksi haittapuoli: Jotkin palvelut estävät/kieltävät Tor Exit -solmut kokonaan eivätkä salli tilin luomista niistä.


Tämän lieventämiseksi sinun on ehkä harkittava seuraavaa vaihtoehtoa: VPN over Tor, mutta ota huomioon siihen liittyvät riskit, jotka selitetään seuraavassa osiossa.

VPN/Proxy Torin kautta.

Tämä ratkaisu voi tuoda joitakin etuja joissakin erityistapauksissa verrattuna pelkkään Torin käyttöön, kun kohdepalveluun pääsy olisi mahdotonta Tor Exit -solmusta. Tämä johtuu siitä, että monet palvelut suorastaan kieltävät, estävät tai estävät Torin käytön ( ks. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Kuten näet tästä kuvasta, jos vastapuoli vaarantaa käteisellä (mieluiten)/Monerolla maksetun VPN/Proxy-tilisi (huolimatta niiden yksityisyyslausunnosta ja kirjaamiskieltokäytännöistä), he löytävät vain anonyymin käteisellä/Monerolla maksetun VPN/Proxy-tilin, joka on yhteydessä heidän palveluihinsa Tor Exit -solmusta.

Jos vastustaja onnistuu jotenkin vaarantamaan myös Tor-verkon, se paljastaa vain satunnaisen julkisen Wi-Fi:n IP-osoitteen, joka ei ole sidottu henkilöllisyyteesi.


Jos vastustaja jotenkin vaarantaa VM-käyttöjärjestelmäsi (esimerkiksi haittaohjelmalla tai hyväksikäytöllä), se jää loukkuun Whonixin sisäiseen verkkoon, eikä sen pitäisi pystyä paljastamaan julkisen Wi-Fi-yhteyden IP-osoitetta.


Tässä ratkaisussa on kuitenkin yksi merkittävä haittapuoli: Häiriö Tor Stream -eristyksen kanssa.


Virran eristäminen on lieventämistekniikka, jota käytetään joidenkin korrelaatiohyökkäysten estämiseen ottamalla käyttöön eri Tor-piirit kullekin sovellukselle. Tässä on kuva, joka osoittaa, mitä virran eristäminen on:

(Kuvitus on peräisin Marcelo Martinsilta, https://stakey.club/en/decred-via-tor-network/ [Archive.org]).


VPN/Proxy over Tor sijoittuu oikealle puolelle, mikä tarkoittaa, että VPN/Proxy over Torin käyttö pakottaa Torin käyttämään yhtä piiriä kaikkiin toimintoihin sen sijaan, että se käyttäisi useita eri piirejä kullekin. Tämä tarkoittaa sitä, että VPN/Proxy-toiminnon käyttäminen Torin yli voi vähentää jonkin verran Torin tehokkuutta joissakin tapauksissa, ja siksi sitä tulisi käyttää vain tietyissä erityistapauksissa:

• Kun kohdepalvelusi ei salli Tor Exit-solmuja.
• Kun sinua ei haittaa käyttää jaettua Tor-piiriä eri palveluille. Kuten esimerkiksi erilaisten todennettujen palvelujen käyttämiseen.

Sinun kannattaa kuitenkin harkita, ettet käytä tätä menetelmää, kun tarkoituksesi on vain selata satunnaisesti erilaisia autentikoimattomia verkkosivustoja, koska et hyödy Stream Isolation -ominaisuudesta, ja tämä voi ajan mittaan tehdä korrelaatiohyökkäyksistä helpompia vastustajalle kunkin istuntosi välillä (katso Anonymisoitu Tor/VPN-liikenteesi). Jos kuitenkin tavoitteenasi on käyttää samaa identiteettiä jokaisessa istunnossa samoissa todennetuissa palveluissa, Stream-eristyksen arvo vähenee, koska sinut voidaan korreloida muilla keinoin.


Sinun on myös hyvä tietää, että Stream Isolation ei välttämättä ole oletusarvoisesti määritetty Whonix Workstationissa. Se on valmiiksi konfiguroitu vain joillekin sovelluksille (mukaan lukien Tor Browser).


Huomaa myös, että Stream Isolation ei välttämättä muuta kaikkia Tor-piirisi solmuja. Joskus se voi muuttaa vain yhtä tai kahta. Monissa tapauksissa Stream Isolation (esimerkiksi Tor Browserissa) vaihtaa vain releen (keskimmäisen) solmun ja poistumissolmun säilyttäen saman vartijasolmun (sisääntulosolmun).


Lisätietoja osoitteessa:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor over VPN.

Saatat ihmetellä: Tor over VPN:n sijaan? No, en välttämättä käyttäisi sitä:

• Haitat
  
  • VPN-palveluntarjoajasi on vain toinen Internet-palveluntarjoaja, joka sitten tietää alkuperäisen IP-osoitteesi ja pystyy tarvittaessa poistamaan nimettömyytesi. Emme luota heihin. Pidän parempana tilannetta, jossa VPN-palveluntarjoajasi ei tiedä, kuka olet. Se ei lisää anonymiteettiä juurikaan.
  • Tämä johtaisi siihen, että ottaisit yhteyden eri palveluihin käyttämällä Tor Exit Node IP:tä, joka on kielletty/liputettu monissa paikoissa. Se ei auta mukavuuden kannalta.
• Edut:
  
  • Tärkein etu on oikeastaan se, että jos olet vihamielisessä ympäristössä, jossa Tor-yhteys on mahdoton/vaarallinen/epäilyttävä, mutta VPN on ok.
  • Tämä menetelmä ei myöskään riko Tor Stream -eristystä.

Huomaa, että jos sinulla on ongelmia päästä Tor-verkkoon eston/sensuurin vuoksi, voit kokeilla Tor Bridgesin käyttöä. Katso liite X: Tor-siltojen käyttäminen vihamielisissä ympäristöissä.


On myös mahdollista harkita VPN over Tor over VPN (Käyttäjä > VPN > Tor > VPN > Internet) käyttämällä sen sijaan kahta käteisellä/Monerolla maksettua VPN:ää. Tämä tarkoittaa sitä, että yhdistät isäntäjärjestelmän ensimmäiseen VPN:ään julkisesta Wi-Fi:stä, sitten Whonix muodostaa yhteyden Toriin ja lopuksi VM muodostaa yhteyden toiseen VPN:ään Tor over over VPN ( katso https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Tämä vaikuttaa tietysti merkittävästi suorituskykyyn ja saattaa olla melko hidasta, mutta mielestäni Tor on jossain kohtaa välttämätön kohtuullisen anonymiteetin saavuttamiseksi.


Tämän saavuttaminen on teknisesti helppoa tämän reitin sisällä, tarvitset kaksi erillistä anonyymiä VPN-tiliä ja sinun täytyy muodostaa yhteys ensimmäiseen VPN:ään Host OS:stä ja seurata reittiä.


Johtopäätös: Tee tämä vain, jos pelkän Torin käyttö on mielestäsi riskialtista/mahdotonta, mutta VPN:t ovat ok. Tai vain siksi, että voit ja niin miksipä ei.

 

[HEISENBERG]

Vain VPN.

Tätä reittiä ei selitetä eikä suositella.


Jos osaat käyttää VPN:ää, sinun pitäisi pystyä lisäämään Tor-kerros sen päälle. Ja jos pystyt käyttämään Toria, voit lisätä Torin päälle anonyymin VPN:n saadaksesi parhaan mahdollisen ratkaisun.


Pelkän VPN:n tai jopa VPN:n yli VPN:n käyttämisessä ei ole mitään järkeä, koska ne voidaan jäljittää sinuun ajan mittaan. Yksi VPN-palveluntarjoajista tietää todellisen alkuperäisen IP-osoitteesi (vaikka se olisikin turvallisessa julkisessa tilassa), ja vaikka lisäisit yhden sen päälle, toinen tietää silti, että käytit sitä toista ensimmäistä VPN-palvelua. Tämä viivästyttää vain hieman nimettömyytesi poistamista. Kyllä, se on lisätty kerros ... mutta se on pysyvä keskitetty lisätty kerros, ja sinut voidaan poistaa nimettömyydestä ajan myötä. Tämä on vain 3 ISP:n ketjuttamista, joihin kaikkiin kohdistuu laillisia pyyntöjä.


Lisätietoja on seuraavissa viitteissä:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

Tämän oppaan yhteydessä Toria tarvitaan jossakin kohtuullisen ja turvallisen anonymiteetin saavuttamiseen, ja sinun kannattaa käyttää sitä, jos voit.

Ei VPN/Tor.

Jos et voi käyttää VPN:ää tai Toria siellä, missä olet, olet todennäköisesti hyvin vihamielisessä ympäristössä, jossa valvonta ja valvonta on hyvin korkealla tasolla.


Älä vain tee sitä, se ei ole sen arvoista ja liian riskialtista IMHO. Kuka tahansa motivoitunut vastustaja, joka voi päästä fyysiseen sijaintiisi muutamassa minuutissa, voi poistaa nimettömyytesi lähes välittömästi.


Älä unohda tarkistaa uudelleen kohdat Vastustajat (uhat) ja Liite S: Tarkista verkkosi valvonta/sensuuri OONI:n avulla.


Jos sinulla ei ole mitään muuta vaihtoehtoa ja haluat silti tehdä jotain, katso liite P: Internetin käyttö mahdollisimman turvallisesti, kun Tor/VPN ei ole vaihtoehto (omalla vastuullasi), ja harkitse sen sijaan The Tails -reittiä.

Johtopäätökset.

Valitettavasti pelkkä Torin käyttö herättää epäilyksiä monien kohteiden alustoilla. Jos käytät vain Toria, kohtaat monia esteitä (captchoja, virheitä, kirjautumisvaikeuksia). Lisäksi Torin käyttäminen siellä, missä olet, voi aiheuttaa sinulle ongelmia jo pelkästään sen vuoksi. Tor on kuitenkin edelleen paras ratkaisu anonymiteettiin ja sen on oltava jossain anonymiteetin vuoksi.

• Jos tarkoituksenasi on luoda pysyviä jaettuja ja todennettuja identiteettejä eri palveluihin, joihin pääsy Torista on vaikeaa, suosittelen VPN over Tor -vaihtoehtoa (tai tarvittaessa VPN over Tor over VPN). Se saattaa olla hieman vähemmän turvallinen korrelaatiohyökkäyksiä vastaan Tor Stream -eristyksen rikkoutumisen vuoksi, mutta tarjoaa paljon paremman mukavuuden käyttää verkkoresursseja kuin pelkkä Torin käyttö. Se on "hyväksyttävä" kompromissi IMHP, jos olet tarpeeksi varovainen identiteettisi kanssa.
• Jos tarkoituksesi on kuitenkin vain selata satunnaisia palveluita anonyymisti luomatta erityisiä jaettuja identiteettejä, käyttämällä Tor-ystävällisiä palveluita; tai jos et halua hyväksyä tätä kompromissia edellisessä vaihtoehdossa. Silloin suosittelen käyttämään Tor Only -reittiä, jotta voit säilyttää Stream Isolationin kaikki edut (tai Tor over VPN:n, jos tarvitset).
• Jos kustannukset ovat ongelma, suosittelen Tor Only -vaihtoehtoa, jos mahdollista.
• Jos sekä Tor- että VPN-yhteys ovat mahdottomia tai vaarallisia, sinulla ei ole muuta vaihtoehtoa kuin turvautua turvallisesti julkiseen wi-fiin. Katso liite P: Internetin käyttö mahdollisimman turvallisesti silloin, kun Tor ja VPN eivät ole mahdollisia.

Lisätietoa saat myös täältä keskusteluista, jotka voivat auttaa päättämään itse:

• Tor-projekti: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org].
• Tails-dokumentaatio:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Whonix Documentation (tässä järjestyksessä):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Joitakin papereita asiasta:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Hanki anonyymi VPN/Proxy.

Ohita tämä vaihe, jos haluat käyttää vain Toria.


Katso liite O: Hanki nimetön VPN/Proxy.

Whonix.

Ohita tämä vaihe, jos et voi käyttää Toria.


Tämä reitti käyttää Virtualisointia ja Whonix309:ää osana anonymisointiprosessia. Whonix on Linux-jakelu, joka koostuu kahdesta virtuaalikoneesta:

• Whonix Workstation (tämä on VM, jossa voit suorittaa arkaluonteisia toimintoja).
• Whonix Gateway (tämä VM luo yhteyden Tor-verkkoon ja reitittää kaiken työaseman verkkoliikenteen Tor-verkon kautta).

Tässä oppaassa ehdotetaan siis 2 makua tästä reitityksestä:

• Whonix only -reitti, jossa kaikki liikenne ohjataan Tor-verkon kautta (Tor Only tai Tor over VPN).

Whonix-hybridireitti, jossa kaikki liikenne ohjataan käteisellä (mieluiten)/Monerolla maksetun VPN:n kautta Tor-verkon kautta (VPN over Tor tai VPN over Tor over VPN).

Voit päättää, mitä makua käytät suositusteni perusteella. Suosittelen jälkimmäistä, kuten aiemmin selitettiin.


Whonix on hyvin ylläpidetty ja sillä on laaja ja uskomattoman yksityiskohtainen dokumentaatio.

Huomautus Virtualboxin tilannekuvista.

Myöhemmin luot ja käytät Virtualboxissa useita virtuaalikoneita arkaluonteisia toimintojasi varten. Virtualbox tarjoaa ominaisuuden nimeltä "Snapshots", joka mahdollistaa VM:n tilan tallentamisen milloin tahansa. Jos jostain syystä haluat myöhemmin palata kyseiseen tilaan, voit palauttaa tilannekuvan milloin tahansa.


Suosittelen vahvasti, että hyödynnät tätä ominaisuutta luomalla tilannekuvan jokaisen VM:n ensimmäisen asennuksen/päivityksen jälkeen. Tämä tilannekuva olisi tehtävä ennen niiden käyttöä arkaluonteiseen/anonyymiin toimintaan.


Näin voit muuttaa VM:t eräänlaisiksi kertakäyttöisiksi "eläviksi käyttöjärjestelmiksi" (kuten aiemmin käsitelty Tails). Tämä tarkoittaa, että voit poistaa kaikki jäljet VM:ssä suorittamistasi toimista palauttamalla tilannekuvan aikaisempaan tilaan. Tämä ei tietenkään ole "yhtä hyvä" kuin Tails (jossa kaikki tallennetaan muistiin), sillä kiintolevylle saattaa jäädä jälkiä tästä toiminnasta. Rikostekniset tutkimukset ovat osoittaneet, että palautetusta VM:stä voidaan palauttaa tietoja. Onneksi on olemassa keinoja poistaa nämä jäljet poistamisen tai edelliseen tilannekuvaan palauttamisen jälkeen. Tällaisia tekniikoita käsitellään tämän oppaan kohdassa Joitakin lisätoimenpiteitä rikosteknistä tutkimusta vastaan.

Lataa Virtualbox- ja Whonix-apuohjelmat.

Sinun kannattaa ladata muutamia asioita isäntäkäyttöjärjestelmässä.

• Uusin versio Virtualbox-asennusohjelmasta isäntäkäyttöjärjestelmäsi mukaan https://www.virtualbox.org/wiki/Downloads [Archive.org].
• (Ohita tämä, jos et voi käyttää Toria natiivisti tai VPN:n kautta) Uusin Whonix OVA-tiedosto osoitteesta https://www.whonix.org/wiki/Download [Archive.org ] mieltymyksesi mukaan (Linux/Windows, työpöytäliittymällä XFCE yksinkertaisuuden vuoksi tai vain teksti-clientillä edistyneille käyttäjille).

Tähän valmistelut on saatu päätökseen, ja sinun pitäisi nyt olla valmis aloittamaan lopullisen ympäristön luominen, joka suojaa anonymiteettisi verkossa.

Virtualboxin koventamissuositukset.

https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Disable Audio.
• Älä ota jaettuja kansioita käyttöön.
• Älä ota 2D-kiihdytystä käyttöön. Tämä tehdään seuraavalla komennolla VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off.
• Älä ota 3D-kiihdytystä käyttöön.
• Älä ota sarjaporttia käyttöön.
• Poista levykeasema.
• Poista CD/DVD-asema.
• Älä ota Remote Display -palvelinta käyttöön.
• Ota PAE/NX käyttöön (NX on tietoturvaominaisuus).
• Poista Advanced Configuration and Power Interface (ACPI) käytöstä. Tämä tehdään seuraavalla komennolla VBoxManage modifyvm "vm-id" --acpi on|off
• Älä liitä USB-laitteita.
• Poista oletusarvoisesti käytössä oleva USB-ohjain käytöstä. Aseta osoitinlaitteeksi "PS/2 Mouse" tai muutokset palautuvat.

Noudata lopuksi myös tätä suositusta VM:n kellon synkronoinnin poistamiseksi verrattuna isäntäjärjestelmän kelloon https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org].


Tämän offsetin tulisi olla 60000 millisekunnin alueella ja sen tulisi olla erilainen jokaiselle VM:lle, ja tässä on muutamia esimerkkejä (joita voidaan myöhemmin soveltaa mihin tahansa VM:ään):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Harkitse myös näiden lieventämistoimien soveltamista VirtualBoxista Spectre/Meltdown-haavoittuvuuksien lieventämiseksi suorittamalla tämä komento VirtualBoxin ohjelmahakemistosta. Kaikki nämä on kuvattu täällä: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (huomaa, että nämä voivat vaikuttaa vakavasti VM:ien suorituskykyyn, mutta ne tulisi tehdä parhaan turvallisuuden vuoksi).


Huomioi lopuksi Virtualboxin omat tietoturvaohjeet täällä: https://www.virtualbox.org/manual/ch13.html [Archive.org] .

 

[HEISENBERG]

Tor over VPN.

Ohita tämä vaihe, jos et aio käyttää Tor over VPN:ää ja aiot käyttää vain Toria tai et voi käyttää sitä.


Jos aiot käyttää Tor over VPN:ää jostain syystä. Sinun on ensin konfiguroitava VPN-palvelu isäntäkäyttöjärjestelmääsi.


Muista, että tässä tapauksessa suosittelen kahta VPN-tiliä. Molemmat maksetaan käteisellä/Monerolla (katso Liite O: Hanki nimetön VPN/Proxy). Toista käytetään host-käyttöjärjestelmässä ensimmäistä VPN-yhteyttä varten. Toista voidaan käyttää VM:ssä VPN:n toteuttamiseksi Torin kautta VPN:n kautta (Käyttäjä > VPN > Tor > VPN).


Jos aiot käyttää vain Tor over VPN:ää, tarvitset vain yhden VPN-tilin.


Katso ohjeet kohdasta Liite R: VPN:n asentaminen VM:ään tai isäntäkäyttöjärjestelmään.

 

[HEISENBERG]

Whonix Virtual Machines.

Ohita tämä vaihe, jos et voi käyttää Toria.

• Käynnistä Virtualbox isäntäkäyttöjärjestelmässäsi.
• Tuo Whonix-tiedosto Virtualboxiin noudattaen ohjeita osoitteessa https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Käynnistä Whonix VM:t

Muista tässä vaiheessa, että jos sinulla on ongelmia yhteyden muodostamisessa Toriin sensuurin tai estojen vuoksi, sinun kannattaa harkita yhteyden muodostamista Bridgesin avulla, kuten tässä ohjeessa https://www.whonix.org/wiki/Bridges [Archive.org] selitetään.

• Päivitä Whonix VM:t noudattamalla ohjeita osoitteessa https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org].
• Sammuta Whonix VM:t
• Ota tilannekuva päivitetyistä Whonix-VM:istä Virtualboxissa (valitse VM ja napsauta Take Snapshot-painiketta). Siitä lisää myöhemmin.
• Siirry seuraavaan vaiheeseen

Tärkeä huomautus: Kannattaa lukea myös nämä erittäin hyvät suositukset osoitteessa https://www.whonix.org/wiki/DoNot [Archive.org] , sillä suurin osa näistä periaatteista pätee myös tähän oppaaseen. Kannattaa myös lukea heidän yleinen dokumentaationsa täältä https://www.whonix.org/wiki/Documentation [Archive.org] , jossa on myös paljon neuvoja, kuten tässä oppaassa.